Servicio Servidor Dedicado GDPR-Compliant
Última actualización: 16 de marzo de 2026
Il Fornitore mette a disposizione del Cliente un server dedicato e isolato, gestito (managed), con le garanzie infrastrutturali, crittografiche e di conformità normativa descritte nei successivi articoli.
3.1. Il server è ospitato presso datacenter situati in Germania (Norimberga/Falkenstein), all'interno del territorio dell'Unione Europea.
3.2. Tutti i dati — applicazione, database e backup — risiedono esclusivamente su territorio UE.
3.3. Il provider di datacenter opera in conformità alle normative europee sulla protezione dei dati (GDPR — Regolamento UE 2016/679).
3.4. L'infrastruttura non è soggetta al CLOUD Act statunitense né ad altre normative extraeuropee che consentano l'accesso ai dati da parte di autorità di paesi terzi.
3.5. Il server è dedicato e isolato: le risorse hardware non sono condivise con altri clienti del provider.
4.1. Tutte le comunicazioni tra client e server avvengono esclusivamente su canale cifrato HTTPS. Le connessioni HTTP sono reindirizzate automaticamente tramite redirect 301.
4.2. Protocolli e parametri abilitati:
| Parametro | Valore |
|---|---|
| Protocolli abilitati | TLS 1.2, TLS 1.3 |
| Cipher suite principale | TLS_AES_256_GCM_SHA384 |
| Protocolli deprecati (TLS 1.0, 1.1, SSLv3) | Disabilitati |
| Session tickets | Disabilitati |
| Configurazione di riferimento | Mozilla SSL Configuration (intermediate) |
4.3. Header di sicurezza HTTP attivi:
| Header | Valore |
|---|---|
| Strict-Transport-Security | max-age=31536000; includeSubDomains; preload |
| X-Frame-Options | SAMEORIGIN |
| X-XSS-Protection | 1; mode=block |
| X-Content-Type-Options | nosniff |
| Referrer-Policy | strict-origin-when-cross-origin |
5.1. Il disco del server è cifrato tramite LUKS (Linux Unified Key Setup) con algoritmo AES-256-XTS.
5.2. Il database è protetto tramite InnoDB tablespace encryption e binary log encryption (MariaDB). La cifratura delle tabelle temporanee è abilitata.
5.3. Il servizio di cache Redis è in ascolto esclusivamente su interfaccia locale (127.0.0.1) e non è esposto su rete pubblica.
6.1. La configurazione crittografica segue le best practice OWASP e le raccomandazioni ENISA per la protezione dei dati personali.
6.2. La scelta degli algoritmi è allineata alle indicazioni dell'Agenzia per la Cybersicurezza Nazionale (ACN) e agli standard NIST SP 800-111 per la storage encryption.
| Parametro | Dettaglio |
|---|---|
| Ente emittente (CA) | Let's Encrypt — ISRG |
| Tipo di validazione | DV (Domain Validation) |
| Algoritmo di firma | SHA-256 con RSA |
| Chiave pubblica | RSA 2048 bit |
| Validità certificato | 90 giorni |
| Rinnovo | Automatico ogni ~60 giorni tramite Certbot |
| Tipologia | Conservazione | Rotazione |
|---|---|---|
| Chiavi TLS (certificato) | Permessi 600, accesso riservato a root | Automatica ogni 60–90 giorni |
| Chiavi disco (LUKS) | Volume header cifrato, AES-256-XTS, key file protetto | Al reprovisioning del server |
| Chiavi database (MariaDB) | File Key Management, permessi 600, accesso riservato a root e processo DB | Su richiesta o in caso di compromissione |
9.1. Il Fornitore esegue un backup giornaliero comprensivo di: dump completo del database MariaDB, file applicazione, snapshot del server.
9.2. Parametri del backup:
| Parametro | Valore |
|---|---|
| Frequenza | Giornaliera |
| Retention | 7 giorni |
| Destinazione | Datacenter fisicamente separato (Germania, territorio UE) |
| Cifratura at rest | AES-256 |
| Cifratura in transito | TLS 1.2+ |
| Test di ripristino | Trimestrale |
9.3. I backup risiedono esclusivamente su territorio dell'Unione Europea.
10.1. Il Fornitore si impegna a garantire una disponibilità del Servizio pari al 99,5% su base mensile, escluse le finestre di manutenzione programmata.
10.2. Le manutenzioni programmate saranno comunicate con almeno 48 ore di anticipo.
10.3. In caso di incidente di sicurezza che coinvolga dati personali, il Fornitore ne darà comunicazione al Cliente entro 24 ore dalla rilevazione, al fine di consentire l'eventuale notifica al Garante nei termini previsti dall'art. 33 GDPR.
10.4. Lo SLA di cui al punto 10.1 non si applica nei seguenti casi:
10.5. In caso di mancato rispetto dello SLA per cause imputabili al Fornitore, il rimedio esclusivo del Cliente consiste in un credito proporzionale sul canone mensile, calcolato in base alle ore di indisponibilità effettiva, fino a un massimo del 100% del canone mensile del mese interessato. Tale credito deve essere richiesto per iscritto entro 15 giorni dall'evento. Il credito SLA costituisce l'unico ed esclusivo rimedio del Cliente per indisponibilità del Servizio e sostituisce qualsiasi altra forma di risarcimento.
Il Fornitore si impegna a:
Il Cliente si impegna a:
13.1. Il Cliente si impegna a manlevare e tenere indenne il Fornitore da qualsiasi pretesa, azione, danno, costo (incluse le spese legali) derivante da:
13.2. La presente manleva sopravvive alla cessazione del contratto.
14.1. Qualora il Fornitore tratti dati personali per conto del Cliente, agirà in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR.
14.2. Le parti sottoscriveranno un apposito Accordo sul Trattamento dei Dati (DPA) che disciplini nel dettaglio le finalità, le categorie di dati, le misure di sicurezza e i diritti di audit.
14.3. Il Fornitore non trasferisce dati al di fuori dello Spazio Economico Europeo.
14.4. Il Cliente resta Titolare del trattamento ai sensi del GDPR ed è l'unico responsabile della liceità del trattamento, dell'informativa agli interessati, della raccolta del consenso ove necessario, e della gestione delle richieste di esercizio dei diritti degli interessati.
15.1. Il corrispettivo del Servizio è stabilito nell'offerta commerciale accettata dal Cliente e si intende anticipato con cadenza mensile o annuale, secondo quanto concordato.
15.2. Le fatture sono emesse in formato elettronico e il pagamento è dovuto entro 10 giorni dalla data di emissione, salvo diverso accordo scritto.
15.3. In caso di mancato pagamento entro i termini, si applicano gli interessi di mora al tasso previsto dal D.Lgs. 231/2002 (transazioni commerciali), senza necessità di messa in mora formale.
15.4. In caso di morosità superiore a 15 giorni, il Fornitore si riserva il diritto di sospendere il Servizio previa comunicazione scritta con preavviso di 5 giorni lavorativi. La sospensione non esonera il Cliente dall'obbligo di pagamento dei canoni dovuti. Il Fornitore non è responsabile per danni, perdite di dati o mancato guadagno derivanti dalla sospensione per morosità.
15.5. In caso di morosità superiore a 30 giorni, il Fornitore potrà risolvere il contratto ai sensi dell'art. 21 (Clausola risolutiva espressa).
16.1. Il Fornitore è responsabile esclusivamente della corretta gestione dell'infrastruttura secondo le specifiche tecniche descritte nel presente documento. L'obbligazione del Fornitore è di mezzi e non di risultato.
16.2. Il Fornitore non è responsabile per:
16.3. La responsabilità complessiva del Fornitore — per qualsiasi causa e a qualsiasi titolo — è in ogni caso limitata a un importo massimo pari al corrispettivo effettivamente incassato dal Cliente nei 12 mesi precedenti l'evento generatore del danno.
16.4. Le limitazioni di cui al presente articolo non si applicano in caso di dolo o colpa grave del Fornitore, né nelle ipotesi in cui la legge imperativa non consenta la limitazione di responsabilità.
17.1. Il Servizio, l'infrastruttura, le configurazioni, gli script, le automazioni e qualsiasi componente sviluppato dal Fornitore restano di proprietà esclusiva del Fornitore.
17.2. Il Cliente mantiene la piena proprietà dei propri dati, contenuti e applicazioni ospitati sul server.
17.3. Nessuna disposizione del presente contratto trasferisce diritti di proprietà intellettuale da una parte all'altra.
18.1. Oltre a quanto previsto all'art. 15.4, il Fornitore si riserva il diritto di sospendere immediatamente il Servizio, anche senza preavviso, nei seguenti casi:
18.2. Il Fornitore informerà il Cliente della sospensione e dei motivi nel più breve tempo possibile. La sospensione non dà diritto ad alcun risarcimento o credito SLA.
19.1. Ciascuna parte si impegna a mantenere riservate le informazioni confidenziali dell'altra parte, incluse le condizioni economiche, le specifiche tecniche dell'infrastruttura e qualsiasi informazione espressamente qualificata come riservata.
19.2. L'obbligo di riservatezza sopravvive alla cessazione del contratto per un periodo di 2 anni.
20.1. Il Fornitore non è responsabile per inadempimenti o ritardi causati da eventi di forza maggiore, inclusi a titolo esemplificativo: calamità naturali, guerre, atti di terrorismo, pandemie, provvedimenti governativi, interruzioni delle reti di telecomunicazione, guasti del provider di datacenter, attacchi informatici su larga scala, interruzioni prolungate dell'energia elettrica.
20.2. In caso di forza maggiore, gli obblighi della parte interessata sono sospesi per la durata dell'evento. Se l'evento si protrae per oltre 60 giorni, ciascuna parte potrà recedere dal contratto senza penali.
21.1. Ai sensi dell'art. 1456 c.c., il Fornitore potrà dichiarare risolto di diritto il contratto, mediante comunicazione scritta, al verificarsi di uno dei seguenti inadempimenti del Cliente:
21.2. In caso di risoluzione, il Cliente resta obbligato al pagamento di tutti i canoni maturati fino alla data di risoluzione. Il Fornitore renderà disponibili i dati del Cliente per il download per un periodo massimo di 10 giorni lavorativi dalla risoluzione, trascorsi i quali i dati saranno cancellati definitivamente.
22.1. Il Servizio ha durata annuale con rinnovo tacito, salvo disdetta comunicata per iscritto con almeno 30 giorni di anticipo rispetto alla scadenza.
22.2. In caso di recesso ordinario del Cliente, non sono previsti rimborsi per il periodo residuo già fatturato e pagato.
22.3. In caso di recesso, il Fornitore renderà disponibili al Cliente i propri dati per il download entro 15 giorni lavorativi dalla cessazione del servizio, dopodiché i dati saranno cancellati in modo sicuro. Eventuali attività di assistenza alla migrazione richieste dal Cliente saranno fatturate a consuntivo secondo le tariffe vigenti del Fornitore.
23.1. Il Fornitore si riserva di aggiornare i presenti Termini. Le modifiche saranno comunicate al Cliente con almeno 30 giorni di anticipo tramite email o PEC.
23.2. In caso di modifiche sostanziali, il Cliente avrà facoltà di recedere entro 15 giorni dalla comunicazione, senza penali. L'utilizzo continuato del Servizio oltre tale termine costituisce accettazione delle modifiche.
24.1. Tutte le comunicazioni relative al presente contratto devono essere inviate per iscritto tramite email o PEC agli indirizzi indicati all'art. 27.
24.2. Le comunicazioni inviate tramite PEC hanno valore legale equivalente alla raccomandata con ricevuta di ritorno.
25.1. Il presente contratto costituisce l'intero accordo tra le parti in relazione al Servizio e sostituisce qualsiasi precedente intesa, accordo o comunicazione, scritta o orale.
25.2. L'eventuale nullità o inefficacia di una clausola non comporta la nullità dell'intero contratto; la clausola invalida sarà sostituita da una disposizione valida che ne rispecchi il più possibile la finalità economica.
25.3. La tolleranza del Fornitore rispetto a singoli inadempimenti del Cliente non costituisce rinuncia al diritto di far valere le medesime clausole in futuro.
25.4. Il Cliente non può cedere il presente contratto a terzi senza il previo consenso scritto del Fornitore.
26.1. Il presente accordo è regolato dalla legge italiana e dalla normativa europea in materia di protezione dei dati personali.
26.2. Per qualsiasi controversia derivante dal presente contratto o ad esso connessa sarà competente in via esclusiva il Foro di Milano, salvo diverso foro inderogabile previsto dalla legge a tutela del consumatore.
Il presente documento costituisce parte integrante del contratto di fornitura del Servizio Server Dedicato GDPR-Compliant di TurboHost.it.