AREA TECNOLOGIA
Tipologia: Saas
ID Scheda: La qualificazione SaaS è consultabile direttamente nel Catalogo delle Infrastrutture Digitali e dei Servizi Cloud di ACN con riferimento alla Scheda ID: SA-461
Stato corrente: QUALIFICATA
Azienda fornitrice: Boxxapps S.r.l.
Referente commerciale: info@boxxapps.com
Data di qualificazione: 13.06.2019
X-GDPR
Il servizio X-GDPR progettato per la PA, mette a disposizione dellEnte una piattaforma SaaS per la gestione della privacy secondo quanto previsto dal Regolamento UE 679 del 2016. Il servizio è integrabile da attività specialistiche, erogate da uno staff di personale preparato e con competenze multidisciplinari sia in tema giuridico che informatico, per mantenere e migliorare il sistema di gestione Privacy e della sicurezza delle informazioni contenenti dati personali.
Il servizio viene erogato da Internet Data Center di proprietà, in modalità SaaS, attraverso la piattaforma X-GDPR qualificata sul Marketplace ACN. I processi di attivazione e manutenzione vengono erogati e garantiti da BOXXAPPS con un monitoraggio proattivo tramite una Control room dedicata alla gestione del servizio. Il Sistema di Gestione Integrato della sicurezza delle informazioni di BOXXAPPS, relativo al servizio, è conforme alle specifiche dettate dalla norma ISO/IEC 27001, ISO 27017, ISO 27018, ISO 9001, ISO 20000-1, ISO 22301 e ISO 14001. Il servizio di assistenza garantisce un contatto immediato per ogni richiesta del Cliente ed è operativo 24 ore su 24, per 365 giorni lanno, le risposte dello staff qualificato vengono rilasciate in orario d'ufficio. La piattaforma "X-GDPR" rilasciata al Cliente, gli consente la verifica in tempo reale dell'andamento dell'applicazione del sistema di gestione della privacy all'interno dell'Ente. Il servizio mette a disposizione una piattaforma multimediale per l'eroga zione della formazione continua in ambito Privacy e sicurezza delle informazioni. Il servizio mette a disposizione la documentazione necessaria come richiesto dalla normativa in ambito privacy, costantemente aggiornata. Il servizio prevede la gestione completa delle informazioni necessarie alla redazione del registro del trattamento Art. 30 paragrafo 1 e paragrafo 2 del Regolamento UE 679 del 2016. Il servizio prevede la raccolta delle informazioni necessarie alla redazione del modello di implementazione delle misure minime AgID come da Circolare 18 aprile 2017, n. 2/2017.
Il servizio permette una gestione integrata delle informazioni utili al sistema di gestione della privacy. La piattaforma "X-GDPR" permette l'organizzazione e il mantenimento dei modelli organizzativi in ambito privacy. Il servizio permette l'integrazione con il sistema di gestione della Data Protection Impact Assessment. Il servizio permette l'integrazione con le funzioni tipiche del Data Protection Officer. Il servizio permette l'integrazione con i controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID.
Proprietario
Private Cloud
CSP Tipo "C" di proprietà Boxxapps S.r.l. - ID Scheda: IN-55
X-INFRASTRUTTURA, audit ICT in grado di rappresentare e monitorare gli asset hardware e software dell'Ente con la creazione di un'inventario dinamico e automatico - X-DESK, scrivania digitale dedicata al cliente.
Sì
No
L'inizializzazione del servizio prevede la fornitura dell'organigramma privacy dell'Ente.
No
No
BOXXAPPS utilizza un Sistema di Gestione Integrato e certificato basato sull'interazione delle norme: UNI EN ISO 9001, cioè nel sistema di gestione per la qualità, relativamente alla progettazione, sviluppo ed erogazione di servizi di distribuzione, installazione, manutenzione, assistenza e formazione di soluzioni informatiche. ISO/IEC 20000-1 basata su procedure standard ad utilizzo internazionale per migliorare la gestione del modello IT (Information Technology) questo per garantire un servizio sempre migliore al Cliente finale. UNI EN ISO 22301 "Social security - Business Continuity Management Systems - Requirements" ovvero uno standard internazionale che è stato sviluppato per aiutare un'organizzazione a ridurre al minimo il rischio di interruzioni. UNI CEI ISO/IEC 27001:2017, cioè nella sicurezza delle informazioni, nella progettazione, realizzazione, assistenza e mantenimento in esercizio di infrastrutture tecnologiche ICT. ISO/IEC 27018:2019, cioè un addendum a ISO/IEC 27001, ovvero il primo Code of Practice internazionale per la privacy nel cloud. Basato sulle nuove leggi di protezione dei dati dell'Unione, specifiche ai provider che gestiscono servizi in cloud. Inoltre, pur non essendo oggetto di certificazione sono rispettati i seguenti standard di sicurezza: ISO / IEC 27017 che fornisce le linee guida per i controlli di sicurezza delle informazioni applicabili alla fornitura e all'utilizzo dei servizi cloud in integrazione alla SOA aziendale. Le figure di coordinamento del servizio sono certificate ITIL Information Technology Infrastructure Library (ITIL) V3. Viene applicato il modello di gestione aziendale a norma del D.Lgs. 231/2001. Per la creazione di applicazioni Internet sicure vengono seguiti i consigli e le linee guida dell'Open Web Application Security Project (chiamato più semplicemente OWASP).
Assistenza prioritaria via trouble ticket con accodamento tramite scrivania digitale X-DESK alla funzione Segnalazioni. Il servizio è operativo 24 ore su 24, per 365 giorni lanno, le risposte dello staff qualificato vengono date in orario d'ufficio. La segnalazione è inoltrata direttamente al reparto di competenza. Tramite Mail, Telefono Numero VERDE dal lunedì al venerdì, dalle 8:00 alle ore 18:00.
Tempo di presa in carico attivazione: 30 giorni Tempo di presa in carico disattivazione: 5 giorni
Le modalità e il processo di attivazione prevedono: a) Il reparto commerciale provvede alla raccolta della richiesta del cliente e alla loro conformità con il servizio offerto a catalogo. b) Il reparto commerciale provvede quindi alla formulazione dell'offerta. c) Una volta ricevuto l'ordine il reparto dei servizi di gestione sicurezza e privacy provvede a informare il Cliente della presa in carico dell'ordine e pianificare le varie attività necessarie.
Le modalità e il processo di disattivazione prevedono: a) Il reparto commerciale verifica che siano in essere le condizioni di disattivazione. b) Il reparto commerciale una volta verificata la condizione per la dismissione del servizio provvede a predisporre l'invio di una PEC che informi il Cliente sull'iter per la dismissione del servizio. c) Il reparto tecnico Inizia le attività che permettano ai dati riconducibili al servizio di essere cancellati il più rapidamente possibile, compatibilmente con i tempi tecnici di gestione. d) Comunicazione al Cliente che le attività inizieranno a decorrere dal quinto giorno lavorativo successivo alla data di inoltro della PEC.
In seguito alle comunicazioni previste nel processo di disattivazione al Cliente viene comunicato via PEC che, se fosse interessato alla consegna dei dati relativi al servizio, verranno concordati e definiti i tempi e i modi di erogazione dell'attività di consegna dei dati oggetti del servizio in disattivazione. Il download del registro del trattamento sarà reso disponibili entro massimo 30 giorni lavorativi su area sicura e raggiungibile per un massimo di 60 giorni consecutivi.
Formato dei dati esportabili: Il registro del trattamento verrà messo a disposizione su formato DOC, mentre i modelli organizzativi saranno messi a disposizione nello stesso formato in cui sono stati caricati nel sistema dall'Ente. Dati derivati (configurazioni, template, log, ecc.): a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato tramite opportune rappresentazioni di tipo tabellare e/o grafico. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente tramite opportune rappresentazioni di tipo tabellare e/o grafico. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conclusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato tramite opportune rappresentazioni di tipo tabellare e/o grafico. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi tramite opportune rappresentazioni di tipo tabellare e grafico.. e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti tramite opportune rappresentazioni di tipo tabellare e grafico.. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento tramite opportune rappresentazioni di tipo tabellare e grafico.. g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse tramite opportune rappresentazioni di tipo tabellare e grafico. h) La misurazione della disponibilità del servizio viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso, esposto in un grafico che evidenzia l'andamento negli ultimi 12 mesi.
Il registro del trattamento verrà messo a disposizione su formato DOC, mentre i modelli organizzativi saranno messi a disposizione nello stesso formato in cui sono stati caricati nel sistema dall'Ente.
Le informazioni riportate nella sezione Dati derivati vengono messe a disposizione su richiesta del Cliente in formato CSV.
Web Browser
I browser di uso comune, all'ultima e penultima versione disponibile
La documentazione tecnica della piattaforma è ramificata e distribuita all'interno della piattaforma stessa su ogni finestra su cui si sta svolgendo l'attività. Le istruzioni di dettaglio descrivono sia il contenuto della pagina web, che le funzionalità interattive, permettendo all'utilizzatore un'agevole fruizione del servizio.. In aggiunta ogni modifica relativa alla funzionalità del servizio è accessibile dall'apposita funzione "CHANGELOG" contenuta nella piattaforma. E' in ogni caso disponibile una documentazione che descrive l'architettura del servizio e le macro funzionalità messe a disposizione del Cliente.
Disponibile e navigabile su Web (https://gdpr.boxxapps.com/docs/)
Italiano
E' disponibile l'endpoint REST (https://gdpr.boxxapps.com/boxxapps/api/v1/) Viene fornita la documentazione delle API in formato Web (https://gdpr.boxxapps.com/boxxapps/api/v1/docs)
Funzionalità invocabili tramite API di tipo REST : -BancheDati -Databreach -Databreach_dettaglio_tipologia -DatiTitolariResponsabiliDpo -DocsPrint -DocStandard -DocsUser -Eventi -Eventi_dettaglio -Eventi_dettaglio_tipologia -Eventi_tipologia -Evento_singolo -Incidente_descrizione -Incidenti -Incidenti_dettaglio -Incidenti_dettaglio_singolo -Incidenti_dettaglio_tipologia -Incidenti_info_aggiuntive -Login -Logout -Misure_Minime -Numero_Pareri -Percorso_Formativo -Stato_mmp -Stato_Webinar -Titolari -Trattamenti Funzionalità che non sono accessibili per mezzo di tali API : 1.Eliminazione di un trattamento o di una banca dati censita
Il processo attraverso il quale il Cliente, in previsione della cessazione del rapporto contrattuale con BOXXAPPS, è in grado di recuperare tutti i propri dati memorizzati dal servizio viene chiamato processo di reversibilità e prevede diverse fasi in cui, completate le operazioni di recupero dei dati e trascorso il periodo di salvaguardia concordato, BOXXAPPS procederà all'eliminazione definitiva di tutti i dati di proprietà del Cliente. Le attività di recupero e cancellazione dei dati riguardano anche i dati derivati e le copie di backup. Nel dettaglio in seguito alle comunicazioni previste nel processo di disattivazione del servizio, al Cliente viene comunicato via PEC che se fosse interessato alla consegna dei dati relativi al servizio verranno concordati e definiti i tempi e i modi di erogazione dell'attività di consegna dei dati oggetti del servizio in disattivazione.
Boxxapps, tramite la scrivania virtuale X-Desk messa a disposizione del cliente, sulla base della tipologia di servizio offerto, mette a disposizione strumenti e funzionalità utili a gestire la scalabilità del servizio interessato. Le modifiche saranno valutate sulla base delle richieste, alla fine delle quali il Cliente sarà prontamente contattato per comunicare eventuali costi per levoluzione di quanto richiesto.
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale un'area trasparenza dove sono esposte le modalità e condizioni di scalabilità, in particolare, provisioning e de-provisioning.
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale i seguenti strumenti di monitoraggio delle risorse associate al servizio e della qualità del servizio stesso: a) Numero delle segnalazioni aperte dal cliente al servizio di assistenza. b) Tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza. c) Grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza. d) Verifica dei soggetti privacy e loro incarico. e) Verifica del percorso formativo di ogni soggetto privacy. f) Verifica della distribuzione dei modelli organizzativi privacy. g) Verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID. h) Disponibilità del servizio (Availability).
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale le seguenti metriche e statistiche: a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conclusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse. h) La misurazione della disponibilità del servizio viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso.
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale le seguenti: a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato tramite opportune rappresentazioni di tipo tabellare e/o grafico. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente tramite opportune rappresentazioni di tipo tabellare e/o grafico. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conclusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato tramite opportune rappresentazioni di tipo tabellare e/o grafico. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi tramite opportune rappresentazioni di tipo tabellare e grafico.. e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti tramite opportune rappresentazioni di tipo tabellare e grafico.. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento tramite opportune rappresentazioni di tipo tabellare e grafico.. g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse tramite opportune rappresentazioni di tipo tabellare e grafico. h) La misurazione della disponibilità del servizio viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso, esposto in un grafico che evidenzia l'andamento negli ultimi 12 mesi.
Availability (in percentuale): 99 Maximum First Support Response Time (in minuti): 480
Sono disponibili API dedicate per il monitoraggio del servizio.
Autenticazione tramite credenziali di accesso e mappatura degli indirizzi di erogazione del servizio. In altri termini il servizio è accessibile solo dal personale formalmente autorizzato dall'Ente e ogni indirizzo di chiamata viene verificato e autorizzato.
No
No
Nome parametro Unità di misura Quantità minima Parametro 1 Utenti Numero 1
Il prezzo del servizio su base annua è calcolato in relazione ai parametri inseriti (Numero di utenti) e dall'eventuale numero di servizi correlati richiesti dal Cliente. Sul prezzo viene applicata una scontistica crescente all'aumentare del numero di utenti oggetto del servizio. Una quotazione personalizzata può essere richiesta utilizzando i contatti indicati in www.boxxapps.com
Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?: No Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità: No
Il periodo di erogazione del servizio di assistenza è il seguente: dal lunedì al venerdì, dalle 8.00 - 18:00. Tale servizio garantisce un contatto immediato per ogni richiesta del Cliente effettuata tramite Numero VERDE e una presa in carico immediata tramite la scrivania digitale. Nel caso in cui il problema non trovi soluzione immediata, il Cliente verrà contattato in un tempo massimo di 8 ore lavorative secondo il periodo di erogazione di servizio.
Localizzazione (anche parziale) all'interno del territorio italiano
No
ID Scheda: La qualificazione SaaS è consultabile direttamente nel Catalogo delle Infrastrutture Digitali e dei Servizi Cloud di ACN con riferimento alla Scheda ID: SA-461
Stato corrente: QUALIFICATA
Azienda fornitrice: Boxxapps S.r.l.
Referente commerciale: info@boxxapps.com
Data di qualificazione: 13.06.2019
Nome del servizio
X-GDPR
Descrizione generale del servizio
Il servizio X-GDPR progettato per la PA, mette a disposizione dellEnte una piattaforma SaaS per la gestione della privacy secondo quanto previsto dal Regolamento UE 679 del 2016. Il servizio è integrabile da attività specialistiche, erogate da uno staff di personale preparato e con competenze multidisciplinari sia in tema giuridico che informatico, per mantenere e migliorare il sistema di gestione Privacy e della sicurezza delle informazioni contenenti dati personali.
Caratteristiche funzionali del servizio
Il servizio viene erogato da Internet Data Center di proprietà, in modalità SaaS, attraverso la piattaforma X-GDPR qualificata sul Marketplace ACN. I processi di attivazione e manutenzione vengono erogati e garantiti da BOXXAPPS con un monitoraggio proattivo tramite una Control room dedicata alla gestione del servizio. Il Sistema di Gestione Integrato della sicurezza delle informazioni di BOXXAPPS, relativo al servizio, è conforme alle specifiche dettate dalla norma ISO/IEC 27001, ISO 27017, ISO 27018, ISO 9001, ISO 20000-1, ISO 22301 e ISO 14001. Il servizio di assistenza garantisce un contatto immediato per ogni richiesta del Cliente ed è operativo 24 ore su 24, per 365 giorni lanno, le risposte dello staff qualificato vengono rilasciate in orario d'ufficio. La piattaforma "X-GDPR" rilasciata al Cliente, gli consente la verifica in tempo reale dell'andamento dell'applicazione del sistema di gestione della privacy all'interno dell'Ente. Il servizio mette a disposizione una piattaforma multimediale per l'eroga zione della formazione continua in ambito Privacy e sicurezza delle informazioni. Il servizio mette a disposizione la documentazione necessaria come richiesto dalla normativa in ambito privacy, costantemente aggiornata. Il servizio prevede la gestione completa delle informazioni necessarie alla redazione del registro del trattamento Art. 30 paragrafo 1 e paragrafo 2 del Regolamento UE 679 del 2016. Il servizio prevede la raccolta delle informazioni necessarie alla redazione del modello di implementazione delle misure minime AgID come da Circolare 18 aprile 2017, n. 2/2017.
Benefici offerti dal servizio
Il servizio permette una gestione integrata delle informazioni utili al sistema di gestione della privacy. La piattaforma "X-GDPR" permette l'organizzazione e il mantenimento dei modelli organizzativi in ambito privacy. Il servizio permette l'integrazione con il sistema di gestione della Data Protection Impact Assessment. Il servizio permette l'integrazione con le funzioni tipiche del Data Protection Officer. Il servizio permette l'integrazione con i controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID.
Piattaforma Cloud attraverso la quale è erogato il servizio
Proprietario
Cloud Deployment Model
Private Cloud
Infrastruttura Cloud su cui è basato il servizio
CSP Tipo "C" di proprietà Boxxapps S.r.l. - ID Scheda: IN-55
Eventuali servizi correlati qualificati nel Marketplace
X-INFRASTRUTTURA, audit ICT in grado di rappresentare e monitorare gli asset hardware e software dell'Ente con la creazione di un'inventario dinamico e automatico - X-DESK, scrivania digitale dedicata al cliente.
Sono richiesti prerequisiti?
Sì
I prerequisiti riguardano altri servizi Cloud?
No
Eventuali altri prerequisiti
L'inizializzazione del servizio prevede la fornitura dell'organigramma privacy dell'Ente.
Esistono dipendenze?
No
Le dipendenze riguardano servizi Cloud?
No
Eventuali standard e certificazioni
BOXXAPPS utilizza un Sistema di Gestione Integrato e certificato basato sull'interazione delle norme: UNI EN ISO 9001, cioè nel sistema di gestione per la qualità, relativamente alla progettazione, sviluppo ed erogazione di servizi di distribuzione, installazione, manutenzione, assistenza e formazione di soluzioni informatiche. ISO/IEC 20000-1 basata su procedure standard ad utilizzo internazionale per migliorare la gestione del modello IT (Information Technology) questo per garantire un servizio sempre migliore al Cliente finale. UNI EN ISO 22301 "Social security - Business Continuity Management Systems - Requirements" ovvero uno standard internazionale che è stato sviluppato per aiutare un'organizzazione a ridurre al minimo il rischio di interruzioni. UNI CEI ISO/IEC 27001:2017, cioè nella sicurezza delle informazioni, nella progettazione, realizzazione, assistenza e mantenimento in esercizio di infrastrutture tecnologiche ICT. ISO/IEC 27018:2019, cioè un addendum a ISO/IEC 27001, ovvero il primo Code of Practice internazionale per la privacy nel cloud. Basato sulle nuove leggi di protezione dei dati dell'Unione, specifiche ai provider che gestiscono servizi in cloud. Inoltre, pur non essendo oggetto di certificazione sono rispettati i seguenti standard di sicurezza: ISO / IEC 27017 che fornisce le linee guida per i controlli di sicurezza delle informazioni applicabili alla fornitura e all'utilizzo dei servizi cloud in integrazione alla SOA aziendale. Le figure di coordinamento del servizio sono certificate ITIL Information Technology Infrastructure Library (ITIL) V3. Viene applicato il modello di gestione aziendale a norma del D.Lgs. 231/2001. Per la creazione di applicazioni Internet sicure vengono seguiti i consigli e le linee guida dell'Open Web Application Security Project (chiamato più semplicemente OWASP).
Canali disponibili per il supporto tecnico
Assistenza prioritaria via trouble ticket con accodamento tramite scrivania digitale X-DESK alla funzione Segnalazioni. Il servizio è operativo 24 ore su 24, per 365 giorni lanno, le risposte dello staff qualificato vengono date in orario d'ufficio. La segnalazione è inoltrata direttamente al reparto di competenza. Tramite Mail, Telefono Numero VERDE dal lunedì al venerdì, dalle 8:00 alle ore 18:00.
Tempi di attivazione e disattivazione del servizio
Tempo di presa in carico attivazione: 30 giorni Tempo di presa in carico disattivazione: 5 giorni
Modalità e processo di attivazione
Le modalità e il processo di attivazione prevedono: a) Il reparto commerciale provvede alla raccolta della richiesta del cliente e alla loro conformità con il servizio offerto a catalogo. b) Il reparto commerciale provvede quindi alla formulazione dell'offerta. c) Una volta ricevuto l'ordine il reparto dei servizi di gestione sicurezza e privacy provvede a informare il Cliente della presa in carico dell'ordine e pianificare le varie attività necessarie.
Modalità e processo di disattivazione
Le modalità e il processo di disattivazione prevedono: a) Il reparto commerciale verifica che siano in essere le condizioni di disattivazione. b) Il reparto commerciale una volta verificata la condizione per la dismissione del servizio provvede a predisporre l'invio di una PEC che informi il Cliente sull'iter per la dismissione del servizio. c) Il reparto tecnico Inizia le attività che permettano ai dati riconducibili al servizio di essere cancellati il più rapidamente possibile, compatibilmente con i tempi tecnici di gestione. d) Comunicazione al Cliente che le attività inizieranno a decorrere dal quinto giorno lavorativo successivo alla data di inoltro della PEC.
Estrazione dei dati a seguito di disattivazione
In seguito alle comunicazioni previste nel processo di disattivazione al Cliente viene comunicato via PEC che, se fosse interessato alla consegna dei dati relativi al servizio, verranno concordati e definiti i tempi e i modi di erogazione dell'attività di consegna dei dati oggetti del servizio in disattivazione. Il download del registro del trattamento sarà reso disponibili entro massimo 30 giorni lavorativi su area sicura e raggiungibile per un massimo di 60 giorni consecutivi.
Dati esportabili
Formato dei dati esportabili: Il registro del trattamento verrà messo a disposizione su formato DOC, mentre i modelli organizzativi saranno messi a disposizione nello stesso formato in cui sono stati caricati nel sistema dall'Ente. Dati derivati (configurazioni, template, log, ecc.): a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato tramite opportune rappresentazioni di tipo tabellare e/o grafico. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente tramite opportune rappresentazioni di tipo tabellare e/o grafico. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conclusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato tramite opportune rappresentazioni di tipo tabellare e/o grafico. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi tramite opportune rappresentazioni di tipo tabellare e grafico.. e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti tramite opportune rappresentazioni di tipo tabellare e grafico.. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento tramite opportune rappresentazioni di tipo tabellare e grafico.. g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse tramite opportune rappresentazioni di tipo tabellare e grafico. h) La misurazione della disponibilità del servizio viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso, esposto in un grafico che evidenzia l'andamento negli ultimi 12 mesi.
Formati in cui è possibile estrarre i dati
Il registro del trattamento verrà messo a disposizione su formato DOC, mentre i modelli organizzativi saranno messi a disposizione nello stesso formato in cui sono stati caricati nel sistema dall'Ente.
Estrazione e formati di altri asset (in seguito a disattivazione)
Le informazioni riportate nella sezione Dati derivati vengono messe a disposizione su richiesta del Cliente in formato CSV.
Indicare quali delle seguenti modalità di fruizione del servizio sono supportate
Web Browser
Specificare i browser supportati
I browser di uso comune, all'ultima e penultima versione disponibile
Documentazione tecnica
La documentazione tecnica della piattaforma è ramificata e distribuita all'interno della piattaforma stessa su ogni finestra su cui si sta svolgendo l'attività. Le istruzioni di dettaglio descrivono sia il contenuto della pagina web, che le funzionalità interattive, permettendo all'utilizzatore un'agevole fruizione del servizio.. In aggiunta ogni modifica relativa alla funzionalità del servizio è accessibile dall'apposita funzione "CHANGELOG" contenuta nella piattaforma. E' in ogni caso disponibile una documentazione che descrive l'architettura del servizio e le macro funzionalità messe a disposizione del Cliente.
Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)
Disponibile e navigabile su Web (https://gdpr.boxxapps.com/docs/)
Elenco delle lingue in cui è disponibile la documentazione
Italiano
API di tipo REST/SOAP disponibili per il servizio
E' disponibile l'endpoint REST (https://gdpr.boxxapps.com/boxxapps/api/v1/) Viene fornita la documentazione delle API in formato Web (https://gdpr.boxxapps.com/boxxapps/api/v1/docs)
Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API
Funzionalità invocabili tramite API di tipo REST : -BancheDati -Databreach -Databreach_dettaglio_tipologia -DatiTitolariResponsabiliDpo -DocsPrint -DocStandard -DocsUser -Eventi -Eventi_dettaglio -Eventi_dettaglio_tipologia -Eventi_tipologia -Evento_singolo -Incidente_descrizione -Incidenti -Incidenti_dettaglio -Incidenti_dettaglio_singolo -Incidenti_dettaglio_tipologia -Incidenti_info_aggiuntive -Login -Logout -Misure_Minime -Numero_Pareri -Percorso_Formativo -Stato_mmp -Stato_Webinar -Titolari -Trattamenti Funzionalità che non sono accessibili per mezzo di tali API : 1.Eliminazione di un trattamento o di una banca dati censita
Elenco di procedure per garantire la reversibilità del servizio SaaS.
Il processo attraverso il quale il Cliente, in previsione della cessazione del rapporto contrattuale con BOXXAPPS, è in grado di recuperare tutti i propri dati memorizzati dal servizio viene chiamato processo di reversibilità e prevede diverse fasi in cui, completate le operazioni di recupero dei dati e trascorso il periodo di salvaguardia concordato, BOXXAPPS procederà all'eliminazione definitiva di tutti i dati di proprietà del Cliente. Le attività di recupero e cancellazione dei dati riguardano anche i dati derivati e le copie di backup. Nel dettaglio in seguito alle comunicazioni previste nel processo di disattivazione del servizio, al Cliente viene comunicato via PEC che se fosse interessato alla consegna dei dati relativi al servizio verranno concordati e definiti i tempi e i modi di erogazione dell'attività di consegna dei dati oggetti del servizio in disattivazione.
Scalabilità del servizio
Boxxapps, tramite la scrivania virtuale X-Desk messa a disposizione del cliente, sulla base della tipologia di servizio offerto, mette a disposizione strumenti e funzionalità utili a gestire la scalabilità del servizio interessato. Le modifiche saranno valutate sulla base delle richieste, alla fine delle quali il Cliente sarà prontamente contattato per comunicare eventuali costi per levoluzione di quanto richiesto.
Modalità e condizioni previste per la scalabilità del servizio
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale un'area trasparenza dove sono esposte le modalità e condizioni di scalabilità, in particolare, provisioning e de-provisioning.
Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale i seguenti strumenti di monitoraggio delle risorse associate al servizio e della qualità del servizio stesso: a) Numero delle segnalazioni aperte dal cliente al servizio di assistenza. b) Tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza. c) Grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza. d) Verifica dei soggetti privacy e loro incarico. e) Verifica del percorso formativo di ogni soggetto privacy. f) Verifica della distribuzione dei modelli organizzativi privacy. g) Verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID. h) Disponibilità del servizio (Availability).
Metriche e statistiche disponibili
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale le seguenti metriche e statistiche: a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conclusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse. h) La misurazione della disponibilità del servizio viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso.
Report disponibili
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale le seguenti: a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato tramite opportune rappresentazioni di tipo tabellare e/o grafico. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente tramite opportune rappresentazioni di tipo tabellare e/o grafico. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conclusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato tramite opportune rappresentazioni di tipo tabellare e/o grafico. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi tramite opportune rappresentazioni di tipo tabellare e grafico.. e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti tramite opportune rappresentazioni di tipo tabellare e grafico.. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento tramite opportune rappresentazioni di tipo tabellare e grafico.. g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse tramite opportune rappresentazioni di tipo tabellare e grafico. h) La misurazione della disponibilità del servizio viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso, esposto in un grafico che evidenzia l'andamento negli ultimi 12 mesi.
Livelli di servizio garantiti da dichiarare obbligatoriamente
Availability (in percentuale): 99 Maximum First Support Response Time (in minuti): 480
Monitoraggio dello stato del servizio e notifiche
Sono disponibili API dedicate per il monitoraggio del servizio.
Meccanismi di autenticazione degli utenti supportati
Autenticazione tramite credenziali di accesso e mappatura degli indirizzi di erogazione del servizio. In altri termini il servizio è accessibile solo dal personale formalmente autorizzato dall'Ente e ogni indirizzo di chiamata viene verificato e autorizzato.
Possibilità di configurazione/customizzazione dei meccanismi di autenticazione
No
Disponibilità di autenticazione a 2 fattori
No
Elementi che concorrono alla determinazione del prezzo (parametri)
Nome parametro Unità di misura Quantità minima Parametro 1 Utenti Numero 1
Altre condizioni
Il prezzo del servizio su base annua è calcolato in relazione ai parametri inseriti (Numero di utenti) e dall'eventuale numero di servizi correlati richiesti dal Cliente. Sul prezzo viene applicata una scontistica crescente all'aumentare del numero di utenti oggetto del servizio. Una quotazione personalizzata può essere richiesta utilizzando i contatti indicati in www.boxxapps.com
Esecuzione dei test OWASP
Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?: No Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità: No
Tempistiche per la presa in carico e gestione delle segnalazioni
Il periodo di erogazione del servizio di assistenza è il seguente: dal lunedì al venerdì, dalle 8.00 - 18:00. Tale servizio garantisce un contatto immediato per ogni richiesta del Cliente effettuata tramite Numero VERDE e una presa in carico immediata tramite la scrivania digitale. Nel caso in cui il problema non trovi soluzione immediata, il Cliente verrà contattato in un tempo massimo di 8 ore lavorative secondo il periodo di erogazione di servizio.
Localizzazione dei data center
Localizzazione (anche parziale) all'interno del territorio italiano
Rispetto alle nazioni extra UE di cui al punto precedente, sono in essere accordi bilaterali con l'Italia (o con l'UE) volti alla salvaguardia della riservatezza e proprietà dei dati?
No
Calcolo GDPR
Per ulteriori informazioni riguardante il servizio o la quotazione, scrivere a info@boxxapps.com
