COPID – Data Processing Addendum (DPA)

Versione: 1.0 — Data: 02/02/2026

1. Parti e ruoli

1.1 Titolare del trattamento (Controller): Merchant.

1.2 Responsabile del trattamento (Processor): BCMS Web Services (di seguito COPID).

1.3 Il presente DPA integra i Merchant Terms e disciplina il trattamento dei dati personali effettuato da COPID per conto del Merchant.

2. Oggetto e durata

2.1 Oggetto: erogazione del servizio COPID per verifica età e emissione/validazione token 18+.

2.2 Durata: per tutta la durata del contratto, limitatamente ai trattamenti attivati dal Merchant.

3. Natura e finalità del trattamento

3.1 Natura: trattamento effimero per eseguire Presence Check (client-side) e Age Check (server-side) e gestire token monouso.

3.2 Finalità: consentire al Merchant di limitare accesso a contenuti/servizi riservati a maggiorenni; prevenire abusi; sicurezza tecnica.

4. Categorie di dati e interessati

4.1 Interessati: utenti finali del Merchant che avviano la verifica.

4.2 Categorie di dati trattati da COPID:

  • immagine del volto (singolo frame) in transito per Age Check (non salvata);
  • esito Age Check e range stimato (low/high) associato a sessione, con TTL;
  • identificatori tecnici: session_id, nonce token, timestamp e stato sessione;
  • dati tecnici del Merchant: client_id, API key (hash/riferimenti), dati di billing del Merchant (non dell’utente finale).

5. Istruzioni documentate del Titolare

5.1 Il Merchant istruisce COPID tramite:

  • documentazione API ufficiale;
  • configurazioni nel portale (whitelist, chiavi, billing);
  • parametri tecnici consentiti dagli endpoint.

5.2 Istruzioni ulteriori devono essere concordate per iscritto.

6. Obblighi del Responsabile (COPID)

COPID si impegna a:

  • trattare i dati solo su istruzione del Merchant;
  • garantire riservatezza a personale autorizzato;
  • adottare misure tecniche e organizzative adeguate (Allegato 2);
  • assistere il Merchant per richieste di diritti, nei limiti tecnici (vedi §10);
  • notificare al Merchant eventuali data breach secondo §11;
  • cancellare o restituire i dati al termine, ove applicabile (§12);
  • mettere a disposizione informazioni necessarie a dimostrare conformità.

7. Obblighi del Titolare (Merchant)

Il Merchant garantisce:

  • base giuridica e informativa agli utenti;
  • conformità del proprio sito/app e dei propri contenuti;
  • configurazione corretta della whitelist e gestione API key;
  • gestione delle richieste degli interessati e delle decisioni di accesso.

8. Sub-responsabili (Sub-processors)

8.1 COPID utilizza i seguenti sub-responsabili:

  • Amazon Web Services inclusi Amazon Rekognition, Amazon CloudFront, AWS Lambda, Amazon DynamoDB, AWS Secrets Manager, Amazon API Gateway, Amazon Cognito;
  • Stripe (solo dati di pagamento del Merchant).

8.2 COPID informerà il Merchant di modifiche sostanziali ai sub-responsabili secondo quanto previsto dai Merchant Terms.

9. Trasferimenti extra SEE

COPID opera in UE. Qualora i sub-responsabili effettuino accessi/trasferimenti extra SEE, COPID si avvale di garanzie appropriate (es. SCC) e misure tecniche/organizzative.

10. Assistenza per diritti degli interessati

10.1 COPID non crea account utente e non conserva identificatori persistenti: non può identificare direttamente l’utente.

10.2 COPID assisterà ragionevolmente il Merchant fornendo informazioni tecniche disponibili (es. conferma di retention effimera, log sanitizzati), ma il Merchant gestisce la richiesta verso l’interessato.

11. Data breach

11.1 COPID notificherà al Merchant senza ingiustificato ritardo un data breach relativo ai dati trattati per conto del Merchant, fornendo informazioni utili (natura, categorie, misure).

11.2 Il Merchant resta responsabile delle notifiche all’autorità e agli interessati, salvo diversa previsione normativa.

12. Cancellazione e restituzione

12.1 Per design, COPID conserva i dati di sessione per circa 10 minuti (TTL) e i nonce per 15 minuti (TTL).

12.2 Le immagini non vengono salvate.

12.3 A cessazione del contratto, COPID disabilita le chiavi e conserva solo quanto necessario per obblighi contabili/billing del Merchant.

13. Audit

13.1 Su richiesta ragionevole, COPID mette a disposizione evidenze documentali (policy, architettura, misure).

13.2 Audit on-site solo per contratti enterprise e previo accordo scritto.

Allegato 1 — Dettagli del trattamento

Finalità: verifica 18+ e sicurezza anti-abuso

Operazioni: ricezione frame → age check → scarto frame; gestione sessione/nonce

Retention: session 10m, nonce 15m

Regioni: backend UE (Milano), Rekognition UE (Irlanda)

Allegato 2 — Misure tecniche e organizzative (TOMs)

  • Cifratura in transito (TLS)
  • Nessuno storage di immagini/video
  • TTL aggressivo su session/nonce
  • Segreti in Secrets Manager, accesso minimo
  • Logging sanitizzato (no payload, no IP app-level)
  • Principio del privilegio minimo IAM
  • Rate limit / blocco abuso (logico e/o gateway)
  • Rotazione API key, revoca immediata
  • Segregazione ambienti e controllo accessi (Cognito per portal)

Version: 1.0 — Date: 2026-02-02

1. Parties and roles

1.1 Controller: Merchant.

1.2 Processor: BCMS Web Services ("COPID" hereinafter).

1.3 This DPA supplements the Merchant Terms and governs COPID’s processing of personal data on behalf of the Merchant.

2. Scope and duration

2.1 Scope: delivery of COPID service for age verification and issuance/validation of one‑time 18+ tokens.

2.2 Duration: for the term of the agreement, limited to processing activated by the Merchant.

3. Nature and purpose of processing

3.1 Nature: ephemeral processing to run Presence Check (client‑side) and Age Check (server‑side) and manage one‑time tokens.

3.2 Purpose: enable the Merchant to restrict access to age‑restricted content/services; prevent abuse; ensure technical security.

4. Data categories and data subjects

4.1 Data subjects: end users of the Merchant who start verification.

4.2 Categories of data processed by COPID:

  • face image (single frame) in transit for Age Check (not stored);
  • Age Check outcome and estimated range (low/high) linked to the session, with TTL;
  • technical identifiers: session_id, token nonce, timestamps, session status;
  • Merchant technical data: client_id, API key (hash/references), Merchant billing data (not end‑user data).

5. Documented instructions of the Controller

5.1 The Merchant instructs COPID through:

  • official API documentation;
  • portal configuration (allowlist, keys, billing);
  • technical parameters allowed by endpoints.

5.2 Additional instructions must be agreed in writing.

6. Processor obligations (COPID)

COPID commits to:

  • process data only on Merchant’s instructions;
  • ensure confidentiality of authorized personnel;
  • implement appropriate technical and organizational measures (Annex 2);
  • assist the Merchant with data subject requests within technical limits (§10);
  • notify the Merchant of data breaches per §11;
  • delete or return data at termination where applicable (§12);
  • make available information to demonstrate compliance.

7. Controller obligations (Merchant)

The Merchant ensures:

  • lawful basis and user notice;
  • compliance of its site/app and content;
  • proper allowlist configuration and API key management;
  • handling of data subject requests and access decisions.

8. Sub‑processors

8.1 COPID uses the following sub‑processors:

  • Amazon Web Services including Amazon Rekognition, Amazon CloudFront, AWS Lambda, Amazon DynamoDB, AWS Secrets Manager, Amazon API Gateway, Amazon Cognito;
  • Stripe (Merchant payment data only).

8.2 COPID will inform the Merchant of material changes to sub‑processors as provided in the Merchant Terms.

9. Transfers outside the EEA

COPID operates in the EU. Where sub‑processors access/transfer data outside the EEA, COPID relies on appropriate safeguards (e.g., SCCs) and technical/organizational measures.

10. Assistance for data subject rights

10.1 COPID does not create user accounts and does not keep persistent identifiers, so it cannot directly identify the user.

10.2 COPID will reasonably assist the Merchant by providing available technical information (e.g., confirmation of ephemeral retention, sanitized logs), while the Merchant handles requests to data subjects.

11. Data breach

11.1 COPID will notify the Merchant without undue delay of a data breach relating to data processed on behalf of the Merchant, providing useful information (nature, categories, measures).

11.2 The Merchant remains responsible for notifications to authorities and data subjects unless otherwise required by law.

12. Deletion and return

12.1 By design, COPID retains session data for ~10 minutes (TTL) and nonces for 15 minutes (TTL).

12.2 Images are not stored.

12.3 Upon termination, COPID disables keys and retains only what is necessary for Merchant billing/accounting obligations.

13. Audit

13.1 Upon reasonable request, COPID provides documentary evidence (policies, architecture, measures).

13.2 On‑site audits only for enterprise contracts and by prior written agreement.

Annex 1 — Processing details

Purpose: 18+ verification and anti‑abuse security

Operations: receive frame → age check → discard frame; session/nonce management

Retention: session 10m, nonce 15m

Regions: backend EU (Milan), Rekognition EU (Ireland)

Annex 2 — Technical and organizational measures (TOMs)

  • Encryption in transit (TLS)
  • No storage of images/videos
  • Aggressive TTL on session/nonce
  • Secrets in Secrets Manager, least‑privilege access
  • Sanitized logging (no payload, no app‑level IP)
  • Least‑privilege IAM principle
  • Rate limit / abuse blocking (logical and/or gateway)
  • API key rotation, immediate revocation
  • Environment segregation and access control (Cognito for portal)