Nome del servizio


X-PDSCIE

Descrizione generale del servizio


Il servizio X-PDSCIE, Piano di sicurezza comunale per la Carta di Identità Elettronica, permette all'Ente di adempiere pienamente alle prescrizioni previste dal Decreto del 2 agosto 2005 del Ministro dell’Interno recante “Regole tecniche e di sicurezza per la redazione dei piani di sicurezza comunali per la gestione delle postazioni di emissione CIE, in attuazione del comma 2 dell’articolo 7-vicies ter della legge 31 marzo 2005, n.43, per quanto riguarda l'obbligo della redazione annuale del "Piano di Sicurezza della C.I.E." Il servizio, inoltre, prevede un'assistenza puntuale sui quesiti normativi e/o gestionali riguardanti l'emissione del Piano.

Caratteristiche funzionali del servizio


Il servizio X-PDSCIE, Piano di sicurezza comunale per la Carta di Identità Elettronica, permette all'Ente di adempiere pienamente alle prescrizioni previste dal Decreto del 2 agosto 2005 del Ministro dell’Interno recante “Regole tecniche e di sicurezza per la redazione dei piani di sicurezza comunali per la gestione delle postazioni di emissione CIE, in attuazione del comma 2 dell’articolo 7-vicies ter della legge 31 marzo 2005, n.43, per quanto riguarda l'obbligo della redazione annuale del "Piano di Sicurezza della C.I.E." È una piattaforma a disposizione del cliente per la gestione delle modalità di implementazione delle misure tecniche, organizzative e fisiche per la gestione della C.I.E e dell’implementazione delle minacce, vulnerabilità e contromisure sul processo di emissione della C.I.E al fine di gestire, elaborare e redigere i documenti necessari all’emissione sicura dell’emissione della Carta di Identità Elettronica. Il servizio, inoltre, prevede un'assistenza puntuale sui quesiti normativi e/o gestionali riguardanti l'emissione del Piano attraverso un team di professionisti, opportunamente formati e selezionati per competenza ed esperienza. Tutte le attività vengono erogate nel rispetto del sistema di gestione integrato per la sicurezza delle informazioni adottato da Boxxapps conforme alle specifiche dettate dalla norma ISO/IEC 27001, ISO/IEC 27018, ISO 9001, ISO 20000, ISO 22301, ISO/IEC 27017, ISO/IEC 27035 e UNI EN ISO 14001. Boxxapps inoltre ha acquisito la Registrazione EMAS.

ATTIVITÀ

  • Attivazione se mancante della scrivania digitale X-DESK
  • Attivazione della piattaforma SaaS PDSCIE
  • Assistenza proattiva per l'aggiornamento delle schede trimestrali da inviare alla prefettura
  • Supporto al CLIENTE per la stampa delle schede trimestrali da inviare alla Prefettura
  • Assistenza all'implementazione del Piano di Sicurezza della C.I.E
  • Audit sulle modalità di implementazione delle misure tecniche organizzative e fisiche per la gestione della CIE
  • Redazione del piano di sicurezza CIE con implementazione delle minacce, vulnerabilità e contromisure sul macroprocesso di emissione della CIE
  • Predisposizione monitoraggio, manutenzione ed evoluzione del Piano
  • Supporto al CLIENTE per la stampa del piano di sicurezza CIE
  • Assistenza normativa e funzionale da remoto sul servizio, su richiesta del CLIENTE.

Benefici offerti dal servizio


Nella realtà odierna, le amministrazioni comunali sono tenute a dotarsi di un sistema di gestione della sicurezza dei sistemi che permetta di mantenere un adeguato livello di protezione dell’informazione e dei dati personali in ogni ambito della loro attività, tra cui è certamente ricompresa l’emissione della carta di identità elettronica.

La gestione della sicurezza per la finalità di trattamento dei dati personali è stata introdotta dalla Legge 43 del 31 marzo 2005 (2° comma art. 7 vicies ter) e attuata dal decreto ministeriale del 2 agosto 2005 recante regole tecniche e di sicurezza per la redazione dei piani di sicurezza comunali legati alla emissione della carta d’identità elettronica, pubblicato il 19 settembre 2005 sul n. 218 della Gazzetta Ufficiale. L’obiettivo primario è quello di fornire ai Comuni uno strumento metodologico ed un insieme di linee guida che consentano di realizzare, adeguare e gestire i piani di sicurezza CIE in modo tale da garantire:

  • La riservatezza delle informazioni;
  • L’integrità delle informazioni;
  • La disponibilità delle informazioni;
  • La continuità delle attività legate ai processi;
  • La realizzazione di un sistema flessibile idoneo a recepire, nel tempo, eventuali aggiornamenti e modifiche (punto 5. Allegato A)

La gestione del piano di sicurezza comunale costituisce, dunque, il momento centrale nell’ambito di una politica organica di sicurezza che mira all’individuazione dei rischi che possano compromettere la sicurezza dei sistemi, ponendo come obiettivo la sicurezza di tutti gli apparati interni alla struttura comunale di emissione ed uso della Carta d’identità Elettronica; la protezione di tutte le informazioni (dati, movimenti, archivi, …); la predisposizione di adeguate misure di sicurezza dei locali che ospitano le postazioni di front office e back office; la riservatezza delle comunicazioni ed il costante e continuo monitoraggio dei processi con l’analisi di incidenti o eventi che possano pregiudicare la sicurezza dell’intero sistema.

Piattaforma Cloud attraverso la quale è erogato il servizio


Proprietaria

Cloud Deployment Model


Private Cloud

Infrastruttura Cloud su cui è basato il servizio


CSP tipo "C" di proprietà Boxxapps S.r.l - ID Scheda: IN-55

Eventuali servizi correlati qualificati nel Marketplace


Servizio X-DESK

Sono richiesti prerequisiti?


NO

Esistono dipendenze?


NO

Eventuali standard e certificazioni


BOXXAPPS utilizza un Sistema di Gestione Integrato e certificato basato sull'interazione delle norme: UNI EN ISO 9001, cioè nel sistema di gestione per la qualità, relativamente alla progettazione, sviluppo ed erogazione di servizi di distribuzione, installazione, manutenzione, assistenza e formazione di soluzioni informatiche. ISO/IEC 20000-1 basata su procedure standard ad utilizzo internazionale per migliorare la gestione del modello IT (Information Technology) questo per garantire un servizio sempre migliore al Cliente finale. UNI EN ISO 22301"Social security - Business Continuity Management Systems - Requirements" ovvero uno standard internazionale che è stato sviluppato per aiutare un'organizzazione a ridurre al minimo il rischio di interruzioni. UNI CEI ISO/IEC 27001, cioè nella sicurezza delle informazioni, nella progettazione, realizzazione, assistenza e mantenimento in esercizio di infrastrutture tecnologiche ICT. ISO/IEC 27018 il primo Code of Practice internazionale per la privacy nel cloud. Basato sulle nuove leggi di protezione dei dati dell'Unione, specifiche ai provider che gestiscono servizi in cloud. ISO / IEC 27017 che fornisce le linee guida per i controlli di sicurezza delle informazioni applicabili alla fornitura e all'utilizzo dei servizi cloud in integrazione alla SOA aziendale. ISO/IEC 27035 fornisce indicazioni aggiuntive ai controlli sulla gestione degli incidenti di sicurezza previsti dalla norma ISO/IEC 27002, un approccio generico e strutturato per preparare, rilevare, segnalare, valutare e rispondere agli incidenti e applicare le lezioni apprese ai sistemi di sicurezza delle informazioni. UNI EN ISO 14001, norma che specifica i requisiti di un sistema di gestione ambientale che un'organizzazione può utilizzare per sviluppare le proprie prestazioni ambientali. La politica ambientale è il quadro di riferimento sul quale impostare le attività e definire gli obiettivi ambientali, impegno formale che un’organizzazione assume nei confronti del miglioramento continuo, adeguatezza e diffusione del sistema di gestione ambientale per limitare l'inquinamento e per migliorare costantemente la propria prestazione per la tutela dell’ambiente. Le figure di coordinamento del servizio sono certificate ITIL Information Technology Infrastructure Library (ITIL) V3. Viene applicato il modello di gestione aziendale a norma del D.Lgs. 231/2001. Per la creazione di applicazioni Internet sicure vengono seguiti i consigli e le linee guida dell'Open Web Application Security Project (chiamato più semplicemente OWASP). BOXXAPPS ha inoltre acquisito la Registrazione EMAS.

Canali disponibili per il supporto tecnico


Assistenza prioritaria via trouble ticket con accodamento tramite scrivania digitale X-DESK alla funzione “Segnalazioni”. Il servizio è operativo 24 ore su 24, per 365 giorni l’anno, le risposte dello staff qualificato vengono date in orario d'ufficio. La segnalazione è inoltrata direttamente al reparto di competenza. Tramite Mail, Telefono Numero VERDE dal lunedì al venerdì, dalle 8:00 alle ore 18:00.

Tempi di attivazione e disattivazione del servizio


Tempo di presa in carico attivazione: 30 giorni Tempo di presa in carico dismissione: 5 giorni

Modalità e processo di attivazione


Le modalità e il processo di attivazione prevedono: a) Il reparto commerciale provvede alla raccolta della richiesta del cliente e alla loro conformità con il servizio offerto a catalogo. b) Il reparto commerciale provvede quindi alla formulazione dell'offerta. c) Una volta ricevuto l'ordine il reparto dei servizi di competenza provvede a informare il Cliente della presa in carico dell'ordine e pianificare le varie attività necessarie.

Modalità e processo di disattivazione


Le modalità e il processo di disattivazione prevedono: a) Il reparto commerciale verifica che siano in essere le condizioni di disattivazione. b) Il reparto commerciale una volta verificata la condizione per la dismissione del servizio provvede a predisporre l'invio di una PEC che informi il Cliente sull'iter per la dismissione del servizio. c) Il reparto tecnico Inizia le attività che permettano ai dati riconducibili al servizio di essere cancellati il più rapidamente possibile, compatibilmente con i tempi tecnici di gestione. d) Comunicazione al Cliente che le attività inizieranno a decorrere dal quinto giorno lavorativo successivo alla data di inoltro della PEC.

Estrazione dei dati a seguito di disattivazione


In seguito alle comunicazioni previste nel processo di disattivazione al Cliente viene comunicato via PEC che, se fosse interessato alla consegna dei dati relativi al servizio, verranno concordati e definiti i tempi e i modi di erogazione dell'attività di consegna dei dati oggetti del servizio in disattivazione. Il download dei dati sarà reso disponibili previa comunicazione dei dati relativi al personale incaricato a riceverli con tempi definiti in sede di contatto.

Dati esportabili


In caso di dismissione ogni dato inserito nel servizio viene restituito nello stesso formato di origine disponibili all'interno della piattaforma protetta e dedicata per la fese di consegna.

Formati in cui è possibile estrarre i dati


Le informazioni riportate nella sezione Dati derivati vengono messe a disposizione su richiesta del Cliente in formato CSV

Estrazione e formati di altri asset (in seguito a disattivazione)


Disponibile al cliente le API appropriate.

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate


Web Browser

Specificare i browser supportati


I browser di uso comune, all'ultima e penultima versione disponibile

Elenco delle lingue in cui è disponibile la documentazione


Italiano

Elenco di procedure per garantire la reversibilità del servizio SaaS.


Il processo attraverso il quale il Cliente, in previsione della cessazione del rapporto contrattuale con BOXXAPPS, è in grado di recuperare tutti i propri dati memorizzati dal servizio viene chiamato processo di reversibilità e prevede diverse fasi in cui, completate le operazioni di recupero dei dati e trascorso il periodo di salvaguardia concordato, BOXXAPPS procederà all'eliminazione definitiva di tutti i dati di proprietà del Cliente. Le attività di recupero e cancellazione dei dati riguardano anche i dati derivati e le copie di backup. Nel dettaglio in seguito alle comunicazioni previste nel processo di disattivazione del servizio, al Cliente viene comunicato via PEC che se fosse interessato alla consegna dei dati relativi al servizio verranno concordati e definiti i tempi e i modi di erogazione dell'attività di consegna dei dati oggetti del servizio in disattivazione.

Scalabilità del servizio


Boxxapps, tramite la scrivania virtuale X-Desk messa a disposizione del cliente, sulla base della tipologia di servizio offerto, mette a disposizione strumenti e funzionalità utili a gestire la scalabilità del servizio interessato. Le modifiche saranno valutate sulla base delle richieste, alla fine delle quali il Cliente sarà prontamente contattato per comunicare eventuali costi per l’evoluzione di quanto richiesto.

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio


Vengono messi a disposizione del Cliente tramite la sua scrivania digitale i seguenti strumenti di monitoraggio delle risorse associate al servizio e della qualità del servizio stesso: a) Numero delle segnalazioni aperte dal cliente al servizio di assistenza. b) Tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza. c) Grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza. d) Disponibilità del servizio (Availability).

Metriche e statistiche disponibili


Vengono messi a disposizione del Cliente tramite la sua scrivania digitale le seguenti metriche e statistiche: a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conclusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato. La valutazione viene espressa su tre livelli di emoticons.

Report disponibili


Vengono messi a disposizione del Cliente tramite la sua scrivania digitale le seguenti: a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato tramite opportune rappresentazioni di tipo tabellare e/o grafico. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente tramite opportune rappresentazioni di tipo tabellare e/o grafico. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conclusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato tramite opportune rappresentazioni di tipo tabellare e/o grafico. La valutazione viene espressa su tre livelli di emoticons.

Livelli di servizio garantiti da dichiarare obbligatoriamente


Availability (in percentuale): 99 Maximum First Support Response Time (in minuti): 480

Monitoraggio dello stato del servizio e notifiche


Sono disponibili API dedicate per il monitoraggio del servizio

Meccanismi di autenticazione degli utenti supportati


Autenticazione tramite credenziali di accesso e mappatura degli indirizzi di erogazione del servizio. In altri termini il servizio è accessibile solo dal personale formalmente autorizzato dall'Ente e ogni indirizzo di chiamata viene verificato e autorizzato. Prevista l'autentificazione a fattore multiplo.

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione


NO

Disponibilità di autenticazione a 2 fattori


SI

Prezzo base del servizio


Il prezzo e quantificato sulla base di tipologia di cliente e numero di dispositivi, contattando il reparto commerciale alla mail info@boxxapps.com

Esecuzione dei test OWASP


Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica.

Tempistiche per la presa in carico e gestione delle segnalazioni


Il periodo di erogazione del servizio di assistenza è il seguente: dal lunedì al venerdì, dalle 8.00 - 18:00. Tale servizio garantisce un contatto immediato per ogni richiesta del Cliente effettuata tramite Numero VERDE e una presa in carico immediata tramite la scrivania digitale. Nel caso in cui il problema non trovi soluzione immediata, il Cliente verrà contattato in un tempo massimo di 40 ore lavorative secondo il periodo di erogazione di servizio.

Localizzazione dei data center


Localizzazione (anche parziale) all'interno del territorio italiano.

Rispetto alle nazioni extra UE di cui al punto precedente, sono in essere accordi bilaterali con l'Italia (o con l'UE) volti alla salvaguardia della riservatezza e proprietà dei dati?


Non sono necessari accordi con nazioni extra UE in quanto i dati sono localizzati (anche parziale) all'interno del territorio italiano.

Calcolo X-PDSCIE


Numero di Abitanti


Per ulteriori informazioni riguardante il servizio o la quotazione, scrivere a info@boxxapps.com