Data Processing Agreement (DPA)

Ultimo aggiornamento: 04 January 2026

1. Definizioni e Ruoli

Ai fini del GDPR e delle normative applicabili sulla privacy:

• Titolare (Controller): Il Cliente che scarica e installa il Software.
• Responsabile (Processor): KineticMCP (limitatamente alla fornitura di aggiornamenti e licenze).
• Dati del Cliente: Qualsiasi informazione elaborata dall'istanza del Software installata dal Cliente.

2. Natura del Trattamento (Zero-Retention)

Il Software è progettato per operare in modalità effimera:

1. Transito: I dati transitano dalla memoria volatile (RAM) del server del Cliente direttamente alle API di Terze Parti (Salesforce, LLM Providers).
2. Nessun Storage Remoto: KineticMCP non possiede, gestisce o ha accesso a database remoti contenenti Dati del Cliente.
3. Log Locali: Eventuali log operativi sono salvati localmente sul filesystem del Cliente e non vengono inviati a KineticMCP, salvo esplicita azione di supporto tecnico.

3. Misure di Sicurezza

Il Licenziante garantisce che il Software incorpora misure di sicurezza fin dalla progettazione (Privacy by Design):

• Utilizzo esclusivo di protocolli HTTPS/TLS 1.3 per tutte le connessioni esterne.
• Gestione delle credenziali tramite Variabili d'Ambiente (.env) e non hard-coded.
• Nessun meccanismo di telemetria nascosta sui contenuti dei dati trattati.

4. Sub-processori

Poiché il Software è self-hosted, il Cliente ha il controllo diretto sui Sub-processori (es. OpenAI, Anthropic, Salesforce) configurando le rispettive chiavi API. KineticMCP non agisce da intermediario contrattuale verso questi fornitori.

5. Audit e Compliance

Il Cliente ha il diritto di effettuare audit di sicurezza sul codice sorgente fornito (per licenze Enterprise Source-Available) per verificare l'assenza di backdoor o meccanismi di esfiltrazione dati.