GH GambleHub

NDA e protezione delle informazioni sensibili

1) Obiettivi e principi

NDA (Non-Disclosure Agreement) e politiche interne proteggono:
  • Segreti aziendali (algoritmi antifrode, profili bonus, modelli ML, matematica RNG);
  • Materiale negoziale (prezzi, offerenti, M&A, due diligence);
  • processori e sorgenti (architettura, IaC, schemi API, chiavi)
  • partner (SDK, roadmaps, bet)
  • dati personali/commerciali (all'interno di DPA/DSA).

I principi sono: riduzione dell'accesso (need-to-know), tracciabilità, crittografia predefinita, separazione dei ruoli/incarichi, «stanza pulita» per lo sviluppo collaborativo.

2) Classificazione e etichettatura delle informazioni

Livello di classificazione raccomandato e regole di circolazione:
LivelloEsempioAccessoStorageTrasferimento
Publiccomunicato stampa, aiuto wikia tuttistorage condivisosenza vincoli
Internalplaybook sapportdipendentiunità aziendaliPosta aziendale
Confidentialpiani di mercato, contrattineed-to-knowcrittografia at restestcrittografia completa, NDA
Strict/Secretchiavi, modelli antifrode, sorgenti RNGcerchio strettoHSM/interno. cassafortesolo per canale con mTLS + registro

Etichetta: '[CONFIDENTIAL]', proprietario dei dati, data di rilascio, riferimento al ticket/base di accesso.

3) Modalità segreto commerciale (trade secret)

Yur act/policy: elenco di informazioni, misure di protezione, responsabilità.
Misure tecniche: RBAC/ABAC, registri di accesso, DLP, watermarking, controllo stampa/screenshot.
Organizzazione: onboarding/offboarding-scontrino-fogli, formazione, accordi di riservatezza, divieto di portare/inviare i supporti senza registrazione.
Disciplina doc: versioni, registro degli artefatti, etichettatura, canali «riservati» (spazi chiusi/repository).

4) Viste NDA

One-way - Mostra un lato (tipicamente un fornitore SDK).
Reciproco (mutual): scambio di informazioni sensibili in entrambe le direzioni (negoziato, integrato).
Multilaterale - consorzi, piloti congiunti.
NCA/NDA + NCA - A NDA viene aggiunto non-circumvensione (divieto di aggirare l'intermediario).
NDA con sviluppatore/appaltatore: combinato con Inventions/Assignment (diritti di risultato).

5) Sezioni chiave NDA (obbligatorio)

1. Definizione delle Informazioni Sensibili: racchiusa oralmente (con successiva conferma scritta), elettronica, materiale; elencare gli esempi tipici (codice, schemi, prezzi, dashboard).
2. Eccezioni: i) pubblicamente noto senza violazione; (ii) era già in possesso legale; (iii) sviluppato in modo indipendente (dimostrabile); (iv) risolto legittimamente agli enti pubblici (con notifica).
3. L'obiettivo della divulgazione è specifico (valutazione della partnership, pilota, verifica).
4. Obblighi del destinatario: livello di protezione non inferiore al proprio; need-to-know, divieto di copia oltre lo scopo, divieto di sviluppo inverso/benchmarking senza consenso.
5. Durata e «sopravvivenza»: durata del contratto (ad esempio, 2-5 anni) + protezione post-periodo dei segreti (ad esempio, 5-10 anni/a tempo indeterminato per i segreti).
6. Restituzione/distruzione: al momento della richiesta o del termine, restituzione/rimozione con conferma; Backup in modalità di conservazione fino alla data di scadenza automatica.
7. Controllo e notifica degli incidenti: rapidità di notifica (ad esempio, ≤72 h), collaborazione nelle indagini.
8. Rimedi legali: injunctive relief (ingiunzione), risarcimenti, limiti non si applicano a violazioni intenzionali.
9. Diritto/arbitrato applicabile: giurisdizione/foro, lingua, ADR/arbitrato.
10. Esportazione/sanzioni: divieto di trasferimento a soggetti/giurisdizioni; rispetto del controllo delle esportazioni (crittografia).
11. «Residual Knowledge» (in accordo): è possibile/non utilizzare la «conoscenza non definita» del personale (solitamente escludere o limitare).
12. Subappaltatori/affiliati: ammessi solo con obblighi simili e consenso scritto.
13. Protezione dei dati (in caso di PII): riferimento a DPA/DSA, ruolo delle parti (controllore/processore), obiettivi/basi legali, trasferimenti transfrontalieri, conservazione.

6) Comunicazione NDA con privacy e sicurezza

Se si trasmettono dati personali, NDA non è sufficiente - sono necessarie DPA/DSA e misure relative a GDPR/analoghi (basi legali, diritti dei soggetti, DPIA per high-risk).
Controllo tecnico: crittografia in transito (TLS 1. 2 +), AT-west (AES-256), gestione del segreto, rotazione delle chiavi, MDM per dispositivi, 2FA, SSO, minimizzazione dei loghi con PII.

7) Procedure di accesso e scambio

Canali: messaggi di dominio, stanze protette (VDR), archivi crittografati (AES-256 + out-of-band).
Restrizioni: messaggistica senza integrazione aziendale, cloud personali, collegamenti pubblici, dispositivi fuori controllo.
Controllo stampa/esportazione, disattivazione dei supporti flash personali, geo-restrizioni (geofens).

8) Clean room e sviluppo congiunto

Separare i comandi «visivi» e «puliti», tenere separati gli artefatti unilaterali.
Documentare le origini e l'origine (provenance).
Per i PoC condivisi: concordare i diritti di risultato (congiunti/assignment) di chi possiede Derived Data.

9) Matrice di rischio RAP

RischioR (critico)A (regolabile)G (controllo)
Nessun NDAScambio di segreti senza contrattoModello condiviso senza DPAApplicazioni NDA + (DPA/Sanzioni)
AccessoPosta personale/dispositiviMDM/SSO parzialeMDM completo/SSO/2FA
EtichettaturaNessuna classificazioneEtichettatura incompletaStandard unico + registri
IncidentiNessuna notifica SLAProcedura senza testSLA ≤72 h + esercitazioni
SubappaltatoriNon coperti da NDAParzialmenteObbligo flow-down
Esportazione/sanzioniNiente screeningScreening singoloCriterio + Recrining periodico

10) Assegno fogli

Prima di condividere le informazioni

  • Firmato NDA (diritto/forum/scadenza/espulsioni/sanzioni).
  • È necessario un DPA/DSA? Se sì, è firmato.
  • Il proprietario del dataset e il livello di classificazione sono stati assegnati.
  • Canale di scambio e crittografia concordati.
  • Elenco destinatari (need-to-know), accesso VDR/cartelle configurato.

Durante lo scambio

  • Etichettatura dei file e versione, filigrana.
  • Registri di accesso, divieto di re-sharing senza consenso.
  • Importi hash/registro manufatti.

Dopo il completamento

  • Restituzione/rimozione e conferma scritta.
  • Sono stati richiamati, i token/chiavi sono rotaati.
  • Post-revisione: cosa migliorare nei processi/modelli.

11) Modelli (sezioni di clausole contrattuali)

A. Definizione e Esclusioni

💡 «Informazioni riservate»: qualsiasi informazione pubblica non rivelata fornita dalla Parte rivelatrice al Destinatario, inclusi dati tecnici, commerciali, finanziari, codice, documentazione, specifiche, piani di sviluppo, termini contrattuali. Le informazioni non sono considerate riservate se: (i) erano pubbliche prima della divulgazione; (ii) non è stata resa pubblica a causa di una violazione; (iii) era presso il Destinatario legittimamente; (iv) è stata sviluppata in modo indipendente.

B. Obblighi e Accesso

💡 Il destinatario applica la modalità di protezione non inferiore al proprio, consente l'accesso solo a dipendenti/appaltatori in base al principio «need-to-know», obbliga i destinatari a firmare accordi equivalenti, non copia o utilizza informazioni oltre lo Scopo.

C. Durata/Sopravvivenza

💡 Il presente Contratto è valido per mesi; l'obbligo di proteggere i segreti commerciali è mantenuto per [5-10] anni o fino al momento della divulgazione legale.

D. Restituzione/Distruzione

💡 Su richiesta della Parte Rivelatrice, il Destinatario restituisce o distrugge il materiale entro [10] giorni e lo conferma per iscritto; i backup vengono archiviati fino alla cancellazione automatica standard, con la riservatezza.

E. Strumenti legali

💡 Le parti riconoscono che una violazione può causare danni irreparabili; La Parte rivelatrice ha il diritto di richiedere un ordine restrittivo (injuncitivo relief) oltre ad altri mezzi di difesa.

F. Esportazione/Sanzioni

💡 Il destinatario garantisce il rispetto dei controlli sulle esportazioni e dei regimi sanzionatori e non trasmetterà le informazioni ai soggetti/giurisdizioni soggetti a restrizioni.

G. Residual Knowledge (opzionale)

> Le parti concordano che le competenze e le conoscenze generali dei dipendenti del Destinatario non siano considerate riservate, purché non siano memorizzate o utilizzate intenzionalmente il codice sorgente o le formule riservate. (Si consiglia di escludere o limitare severamente i progetti ad alto rischio).

12) Registri consigliati (YAML)

12. 1 Registro NDA

yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"

12. 2 Registro dello scambio di manufatti

yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf"  # sha256:...
- "kpis_q1. xlsx"    # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false

13) Politiche e pratiche di sicurezza (brevemente)

Dispositivi: crittografia aziendale, full action, MDM, divieto BYOD per Secret.
Accesso: SSO/2FA, accesso condizionale (geo/dispositivo), ruoli temporanei (just-in-time).
Logi di archiviazione e monitoraggio delle disponibilità alert per scaricamenti di massa/orologi non standard.
DLP - Blocco di allegati fuori dal dominio/senza crittografia, filigrana in PDF.
Comfort: modelli di stanza protetta (VDR), script di crittografia degli archivi pronti, standard NDA/DPA.

14) Gestione degli incidenti (nel contesto NDA)

1. Fissare cosa, quando, chi, quali file/repository; congelamento delle sessioni.
2. Isolamento: recensione della disponibilità/chiave, congelatore temporaneo nella nuvola.
3. Notifiche: proprietario dei dati, avvocati, soci; PII - DPA/GDPR.
4. Indagine: raccolta dei reparti, forense, determinazione del danno.
5. Rimediazione: sostituire segreti, patch, aggiornare playbook, imparare.
6. Misure legali: reclami/cause NDA, risarcimenti.

15) Mini FAQ

L'NDA è sufficiente per i dati personali? No, ci servono DPA/DSA e misure di privacy.
È possibile inviare un servizio di messaggistica confidenziale? Solo in aziende approvate e con end-to-end, con DLP/registri inclusi.
Quanto conservare il materiale? Quanto richiesto da un obiettivo/contratto; al termine - restituzione/rimozione con conferma.
È necessario crittografare i dischi interni? Sì, a tutto campo, crittografia dei file e dei segreti.

16) Conclusione

L'NDA è solo la punta dell'iceberg. La protezione effettiva si basa sulla modalità di segreto commerciale, il collegamento con la privacy (DPA), i rigorosi controlli tecnici e org, la disciplina di scambio e la rapida risposta agli incidenti. Standardizzare i modelli, creare registri e playbook - e i segreti, il codice e le negoziazioni rimarranno un bene e non una vulnerabilità.

Contact

Mettiti in contatto

Scrivici per qualsiasi domanda o richiesta di supporto.Siamo sempre pronti ad aiutarti!

Avvia integrazione

L’Email è obbligatoria. Telegram o WhatsApp — opzionali.

Il tuo nome opzionale
Email opzionale
Oggetto opzionale
Messaggio opzionale
Telegram opzionale
@
Se indichi Telegram — ti risponderemo anche lì, oltre che via Email.
WhatsApp opzionale
Formato: +prefisso internazionale e numero (ad es. +39XXXXXXXXX).

Cliccando sul pulsante, acconsenti al trattamento dei dati.