AREA TECNOLOGIA
Tipologia: Saas
ID Scheda: SA-461
Stato corrente: QUALIFICATA
Azienda fornitrice: Boxxapps S.r.l.
Referente commerciale: - info@boxxapps.com
Data di qualificazione: 13-06-2019 11:20
X-GDPR
Il servizio "X-GDPR" progettato per la PA, mette a disposizione del'Ente una piattaforma SaaS per la gestione della privacy secondo quanto previsto dal Regolamento UE 679 del 2016. Il servizio è integrabile da attività specialistiche, erogate da uno staff di personale competente e preparato, per mantenere e migliorare il sistema di gestione Privacy e della sicurezza delle informazioni contenenti dati personali.
Il servizio viene erogato da Internet Data Center di proprietà, in modalità SaaS, attraverso la piattaforma "X-GDPR" qualificata sul Marketplace Agid. I processi di attivazione e manutenzione vengono erogati e garantiti da BOXXAPPS con un monitoraggio proattivo tramite una "Control room" dedicata alla gestione del servizio. Il Sistema di Gestione Integrato della sicurezza delle informazioni di BOXXAPPS, relativo al servizio, è conforme alle specifiche dettate dalla norma ISO/IEC 27001, ISO 27018, ISO 9001, ISO 20000, ISO 22301 e ISO/IEC 27017. Il servizio di assistenza garantisce un contatto immediato per ogni richiesta del Cliente ed è operativo 24 ore su 24, per 365 giorni l'anno, le risposte dello staff qualificato vengono rilasciate in orario d'ufficio. La piattaforma "X-GDPR" rilasciata al Cliente, gli consente la verifica in tempo reale dell'andamento dell'applicazione del sistema di gestione della privacy all'interno dell'Ente. Il servizio mette a disposizione una piattaforma multimediale per l'erogazione della formazione continua in ambito Privacy e sicurezza delle informazioni. Il servizio mette a disposizione la documentazione necessaria come richiesto dalla normativa in ambito privacy, costantemente aggiornata. Il servizio prevede la gestione completa delle informazioni necessarie alla redazione del registro del trattamento Art. 30 paragrafo 1 e paragrafo 2 del Regolamento UE 679 del 2016.
Il servizio permette una gestione integrata delle informazioni utili al sistema di gestione della privacy. La piattaforma "X-GDPR" permette l'organizzazione e il mantenimento dei modelli organizzativi in ambito privacy. Il servizio permette l'integrazione con il sistema di gestione della Data Protection Impact Assessment. Il servizio permette l'integrazione con le funzioni tipiche del Data Protection Officer. Il servizio permette l'integrazione con i controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID.
Proprietario
Public Cloud
Altra rete pubblica (specificare) (NA)
Infrastruttura propria già qualificata come CSP
1. Integrazione con un sistema di audit ICT in grado di rappresentare e monitorare gli asset hardware e software dell'Ente con la creazione di un'inventario dinamico e automatico. 2. Integrazione con il sistema di gestione della Data Protection Impact Assessment. 3. Integrazione con le funzioni tipiche del Data Protection Officer.
Sì
No
1. L'inizializzazione del servizio prevede la fornitura dell'organigramma privacy dell'Ente.
Sì
No
BOXXAPPS utilizza un Sistema di Gestione Integrato e certificato basato sull'interazione delle norme: UNI EN ISO 9001, cioè nel sistema di gestione per la qualità, relativamente alla progettazione, sviluppo ed erogazione di servizi di distribuzione, installazione, manutenzione, assistenza e formazione di soluzioni informatiche. ISO/IEC 20000-1 basata su procedure standard ad utilizzo internazionale per migliorare la gestione del modello IT (Information Technology) questo per garantire un servizio sempre migliore al Cliente finale. UNI EN ISO 22301 "Social security - Business Continuity Management Systems - Requirements" ovvero uno standard internazionale che è stato sviluppato per aiutare un'organizzazione a ridurre al minimo il rischio di interruzioni. UNI CEI ISO/IEC 27001:2017, cioè nella sicurezza delle informazioni, nella progettazione, realizzazione, assistenza e mantenimento in esercizio di infrastrutture tecnologiche ICT. ISO/IEC 27018:2019, cioè un addendum a ISO/IEC 27001, ovvero il primo Code of Practice internazionale per la privacy nel cloud. Basato sulle nuove leggi di protezione dei dati dell'Unione, specifiche ai provider che gestiscono servizi in cloud. Inoltre, pur non essendo oggetto di certificazione sono rispettati i seguenti standard di sicurezza: ISO / IEC 27017 che fornisce le linee guida per i controlli di sicurezza delle informazioni applicabili alla fornitura e all'utilizzo dei servizi cloud in integrazione alla SOA aziendale. Le figure di coordinamento del servizio sono certificate ITIL Information Technology Infrastructure Library (ITIL) V3. Viene applicato il modello di gestione aziendale a norma del D.Lgs. 231/2001. Per la creazione di applicazioni Internet sicure vengono seguiti i consigli e le linee guida dell'Open Web Application Security Project (chiamato più semplicemente OWASP).
E-mail: Disponibile Ore supporto: Ricezione 24 su 24 Il periodo di erogazione del servizio di assistenza è dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Telefono: Disponibile Ore supporto: Dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Sistema di on-line ticketing: Disponibile Ore supporto: Il servizio è operativo 24 ore su 24, per 365 giorni l'anno, le risposte dello staff tecnico vengono date Dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Web chat: Disponibile Ore supporto: Il servizio è operativo 24 ore su 24, per 365 giorni l'anno, le risposte dello staff tecnico vengono date dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Assistenza on-site: Disponibile Ore supporto: Dal lunedì al venerdì, dalle 8.30 - 13.30 / 14.30 -17:30. Assistenza remota: Disponibile Ore supporto: Dal lunedì al venerdì, dalle 8.30 - 13.30 / 14.30 -17:30. Eventuale altro canale (specificare): Disponibile Altro: Il servizio mette a disposizione una scrivania digitale pensata in modo che ogni operatore dell'Ente possa disporre di un canale privilegiato di contatto con la nostra struttura. Ore supporto: Il servizio è operativo 24 ore su 24, per 365 giorni l'anno, le risposte dello staff qualificato vengono date in orario d'ufficio.
Tempo di attivazione: 30 giorni Tempo di disattivazione: 5 giorni
Le modalità e il processo di attivazione prevedono: a) Il reparto commerciale provvede alla raccolta della richiesta del cliente e alla loro conformità con il servizio offerto a catalogo. b) Il reparto commerciale provvede quindi alla formulazione dell'offerta. c) Una volta ricevuto l'ordine il reparto dei servizi di gestione sicurezza e privacy provvede a informare il Cliente della presa in carico dell'ordine e pianificare le varie attività necessarie.
Le modalità e il processo di disattivazione prevedono: a) Il reparto commerciale verifica che siano in essere le condizioni di disattivazione. b) Il reparto commerciale una volta verificata la condizione per la dismissione del servizio provvede a predisporre l'invio di una PEC che informi il Cliente sull'iter per la dismissione del servizio. c) Il reparto tecnico Inizia le attività che permettano ai dati riconducibili al servizio di essere cancellati il più rapidamente possibile, compatibilmente con i tempi tecnici di gestione. d) Comunicazione al Cliente che le attività inizieranno a decorrere dal quinto giorno lavorativo successivo alla data di inoltro della PEC.
In seguito alle comunicazioni previste nel processo di disattivazione al Cliente viene comunicato via PEC che, se fosse interessato alla consegna dei dati relativi al servizio, verranno concordati e definiti i tempi e i modi di erogazione dell'attività di consegna dei dati oggetti del servizio in disattivazione. Il download del registro del trattamento sarà reso disponibili entro massimo 30 giorni lavorativi su area sicura e raggiungibile per un massimo di 60 giorni consecutivi.
Formato dei dati esportabili: Il registro del trattamento verrà messo a disposizione su formato DOC, mentre i modelli organizzativi saranno messi a disposizione nello stesso formato in cui sono stati caricati nel sistema dall'Ente. Dati derivati (configurazioni, template, log, ecc.): a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato tramite opportune rappresentazioni di tipo tabellare e/o grafico. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente tramite opportune rappresentazioni di tipo tabellare e/o grafico. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conlcusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato tramite opportune rappresentazioni di tipo tabellare e/o grafico. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi tramite opportune rappresentazioni di tipo tabellare e grafico.. e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti tramite opportune rappresentazioni di tipo tabellare e grafico.. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento tramite opportune rappresentazioni di tipo tabellare e grafico.. g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse tramite opportune rappresentazioni di tipo tabellare e grafico. h) La misurazione della disponibilità del servizio viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso, esposto in un grafico che evidenzia l'andamento negli ultimi 12 mesi.
Il registro del trattamento verrà messo a disposizione su formato DOC, mentre i modelli organizzativi saranno messi a disposizione nello stesso formato in cui sono stati caricati nel sistema dall'Ente.
Le informazioni riportate nella sezione Dati derivati vengono messe a disposizione su richiesta del Cliente in formato CSV.
Web Browser
Explorer (3. Internet explorer) Firefox (2. Firefox) Chrome (1. Chrome) Safari (4. Safari ) I browser, nell'ultima e penultima versione disponibile, in cui è ottimizzato il funzionamento del servizio sono:1. Chrome2. Firefox3. Internet explorer4. Safari 5. Edge
La documentazione tecnica della piattaforma è ramificata e distribuita all'interno della piattaforma stessa su ogni finestra su cui si sta svolgendo l'attività. Le istruzioni di dettaglio descrivono sia il contenuto della pagina web, che le funzionalità interattive, permettendo all'utilizzatore un'agevole fruizione del servizio.. In aggiunta ogni modifica relativa alla funzionalità del servizio è accessibile dall'apposita funzione "CHANGELOG" contenuta nella piattaforma. E' in ogni caso disponibile una documentazione che descrive l'architettura del servizio e le macro funzionalità messe a disposizione del Cliente.
Disponibile e navigabile su Web (https://gdpr.boxxapps.com/docs/)
Italiano
E' disponibile l'endpoint REST (https://gdpr.boxxapps.com/boxxapps/api/v1/) Viene fornita la documentazione delle API in formato Web (https://gdpr.boxxapps.com/boxxapps/api/v1/docs)
Funzionalità invocabili tramite API di tipo REST : -BancheDati -Databreach -Databreach_dettaglio_tipologia -DatiTitolariResponsabiliDpo -DocsPrint -DocStandard -DocsUser -Eventi -Eventi_dettaglio -Eventi_dettaglio_tipologia -Eventi_tipologia -Evento_singolo -Incidente_descrizione -Incidenti -Incidenti_dettaglio -Incidenti_dettaglio_singolo -Incidenti_dettaglio_tipologia -Incidenti_info_aggiuntive -Login -Logout -Misure_Minime -Numero_Pareri -Percorso_Formativo -Stato_mmp -Stato_Webinar -Titolari -Trattamenti Funzionalità che non sono accessibili per mezzo di tali API : 1.Eliminazione di un trattamento o di una banca dati censita
Altro (specificare) (NA)
Il processo attraverso il quale il Cliente, in previsione della cessazione del rapporto contrattuale con BOXXAPPS, è in grado di recuperare tutti i propri dati memorizzati dal servizio viene chiamato processo di reversibilità e prevede diverse fasi in cui, completate le operazioni di recupero dei dati e trascorso il periodo di salvaguardia concordato, BOXXAPPS procederà all'eliminazione definitiva di tutti i dati di proprietà del Cliente. Le attività di recupero e cancellazione dei dati riguardano anche i dati derivati e le copie di backup.Nel dettaglio in seguito alle comunicazioni previste nel processo di disattivazione del servizio, al Cliente viene comunicato via PEC che se fosse interessato alla consegna dei dati relativi al servizio verranno concordati e definiti i tempi e i modi di erogazione dell'attività di consegna dei dati oggetti del servizio in disattivazione.
E' prevista la scalabilità del servizio: Sì La scalabilità del servizio è di tipo automatico: No
La garanzia di dimensionamento è relativa alla gestione del numero di utenti e al numero di trattamenti effettuati ed è relativa all'intera durata della convenzione. La scalabilità del servizio sarà oggetto di accordo tra il Cliente e BOXXAPPS all'eventuale rinnovo della convenzione.
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale i seguenti strumenti di monitoraggio delle risorse associate al servizio e della qualità del servizio stesso: a) Numero delle segnalazioni aperte dal cliente al servizio di assistenza. b) Tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza. c) Grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza. d) Verifica dei soggetti privacy e loro incarico. e) Verifica del percorso formativo di ogni soggetto privacy. f) Verifica della distribuzione dei modelli organizzativi privacy. g) Verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID. h) Disponibilità del servizio (Availability).
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale le seguenti metriche e statistiche: a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conlcusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse. h) La misurazione della disponibilità del servizio viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso.
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale le seguenti: a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato tramite opportune rappresentazioni di tipo tabellare e/o grafico. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente tramite opportune rappresentazioni di tipo tabellare e/o grafico. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conlcusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato tramite opportune rappresentazioni di tipo tabellare e/o grafico. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi tramite opportune rappresentazioni di tipo tabellare e grafico.. e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti tramite opportune rappresentazioni di tipo tabellare e grafico.. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento tramite opportune rappresentazioni di tipo tabellare e grafico.. g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse tramite opportune rappresentazioni di tipo tabellare e grafico. h) La misurazione della disponibilità del servizio viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso, esposto in un grafico che evidenzia l'andamento negli ultimi 12 mesi.
Availability (in percentuale): 99.99 Maximum First Support Response Time (in minuti): 480
E' disponibile il monitoraggio in tempo reale dello stato del servizio?: Sì Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?: No
L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?: No L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?: No
Autenticazione tramite credenziali di accesso e mappatura degli indirizzi di erogazione del servizio. In altri termini il servizio è accessibile solo dal personale formalmente autorizzato dall'Ente e ogni indirizzo di chiamata viene verificato e autorizzato.
No
No
In tempo reale: No Differenziata tra utilizzatori e fornitore: No Tempo minimo di conservazione delle informazioni di audit: NA Tempo massimo di conservazione delle informazioni di audit: NA Tempo minimo di conservazione dei log di servizio: NA Tempo massimo di conservazione dei log di servizio: NA
Nome parametro Unità di misura Quantità minima Parametro 1 Utenti Numero 1
Prezzo base in euro (in euro): 39.9 Eventuale costo di attivazione (in euro): 900
Il prezzo del servizio su base annua è calcolato in relazione ai parametri inseriti (Numero di utenti) e dall'eventuale numero di servizi correlati richiesti dal Cliente. Sul prezzo viene applicata una scontistica crescente all'aumentare del numero di utenti oggetto del servizio. Una quotazione personalizzata può essere richiesta utilizzando i contatti indicati in www.boxxapps.com
Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?: No Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità: No
Il periodo di erogazione del servizio di assistenza è il seguente: dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Tale servizio garantisce un contatto immediato per ogni richiesta del Cliente effettuata tramite Numero VERDE e una presa in carico immediata tramite la scrivania digitale. Nel caso in cui il problema non trovi soluzione immediata, il Cliente verrà contattato in un tempo massimo di 8 ore lavorative secondo il periodo di erogazione di servizio.
Localizzazione (anche parziale) all'interno del territorio italiano
No
ID Scheda: SA-461
Stato corrente: QUALIFICATA
Azienda fornitrice: Boxxapps S.r.l.
Referente commerciale: - info@boxxapps.com
Data di qualificazione: 13-06-2019 11:20
Nome del servizio
X-GDPR
Descrizione generale del servizio
Il servizio "X-GDPR" progettato per la PA, mette a disposizione del'Ente una piattaforma SaaS per la gestione della privacy secondo quanto previsto dal Regolamento UE 679 del 2016. Il servizio è integrabile da attività specialistiche, erogate da uno staff di personale competente e preparato, per mantenere e migliorare il sistema di gestione Privacy e della sicurezza delle informazioni contenenti dati personali.
Caratteristiche funzionali del servizio
Il servizio viene erogato da Internet Data Center di proprietà, in modalità SaaS, attraverso la piattaforma "X-GDPR" qualificata sul Marketplace Agid. I processi di attivazione e manutenzione vengono erogati e garantiti da BOXXAPPS con un monitoraggio proattivo tramite una "Control room" dedicata alla gestione del servizio. Il Sistema di Gestione Integrato della sicurezza delle informazioni di BOXXAPPS, relativo al servizio, è conforme alle specifiche dettate dalla norma ISO/IEC 27001, ISO 27018, ISO 9001, ISO 20000, ISO 22301 e ISO/IEC 27017. Il servizio di assistenza garantisce un contatto immediato per ogni richiesta del Cliente ed è operativo 24 ore su 24, per 365 giorni l'anno, le risposte dello staff qualificato vengono rilasciate in orario d'ufficio. La piattaforma "X-GDPR" rilasciata al Cliente, gli consente la verifica in tempo reale dell'andamento dell'applicazione del sistema di gestione della privacy all'interno dell'Ente. Il servizio mette a disposizione una piattaforma multimediale per l'erogazione della formazione continua in ambito Privacy e sicurezza delle informazioni. Il servizio mette a disposizione la documentazione necessaria come richiesto dalla normativa in ambito privacy, costantemente aggiornata. Il servizio prevede la gestione completa delle informazioni necessarie alla redazione del registro del trattamento Art. 30 paragrafo 1 e paragrafo 2 del Regolamento UE 679 del 2016.
Benefici offerti dal servizio
Il servizio permette una gestione integrata delle informazioni utili al sistema di gestione della privacy. La piattaforma "X-GDPR" permette l'organizzazione e il mantenimento dei modelli organizzativi in ambito privacy. Il servizio permette l'integrazione con il sistema di gestione della Data Protection Impact Assessment. Il servizio permette l'integrazione con le funzioni tipiche del Data Protection Officer. Il servizio permette l'integrazione con i controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID.
Piattaforma Cloud attraverso la quale è erogato il servizio
Proprietario
Cloud Deployment Model
Public Cloud
Specificare altra rete pubblica
Altra rete pubblica (specificare) (NA)
Infrastruttura Cloud su cui è basato il servizio
Infrastruttura propria già qualificata come CSP
Eventuali servizi correlati NON qualificati nel Marketplace
1. Integrazione con un sistema di audit ICT in grado di rappresentare e monitorare gli asset hardware e software dell'Ente con la creazione di un'inventario dinamico e automatico. 2. Integrazione con il sistema di gestione della Data Protection Impact Assessment. 3. Integrazione con le funzioni tipiche del Data Protection Officer.
Sono richiesti prerequisiti?
Sì
I prerequisiti riguardano altri servizi Cloud?
No
Eventuali altri prerequisiti
1. L'inizializzazione del servizio prevede la fornitura dell'organigramma privacy dell'Ente.
Esistono dipendenze?
Sì
Le dipendenze riguardano servizi Cloud?
No
Eventuali standard e certificazioni
BOXXAPPS utilizza un Sistema di Gestione Integrato e certificato basato sull'interazione delle norme: UNI EN ISO 9001, cioè nel sistema di gestione per la qualità, relativamente alla progettazione, sviluppo ed erogazione di servizi di distribuzione, installazione, manutenzione, assistenza e formazione di soluzioni informatiche. ISO/IEC 20000-1 basata su procedure standard ad utilizzo internazionale per migliorare la gestione del modello IT (Information Technology) questo per garantire un servizio sempre migliore al Cliente finale. UNI EN ISO 22301 "Social security - Business Continuity Management Systems - Requirements" ovvero uno standard internazionale che è stato sviluppato per aiutare un'organizzazione a ridurre al minimo il rischio di interruzioni. UNI CEI ISO/IEC 27001:2017, cioè nella sicurezza delle informazioni, nella progettazione, realizzazione, assistenza e mantenimento in esercizio di infrastrutture tecnologiche ICT. ISO/IEC 27018:2019, cioè un addendum a ISO/IEC 27001, ovvero il primo Code of Practice internazionale per la privacy nel cloud. Basato sulle nuove leggi di protezione dei dati dell'Unione, specifiche ai provider che gestiscono servizi in cloud. Inoltre, pur non essendo oggetto di certificazione sono rispettati i seguenti standard di sicurezza: ISO / IEC 27017 che fornisce le linee guida per i controlli di sicurezza delle informazioni applicabili alla fornitura e all'utilizzo dei servizi cloud in integrazione alla SOA aziendale. Le figure di coordinamento del servizio sono certificate ITIL Information Technology Infrastructure Library (ITIL) V3. Viene applicato il modello di gestione aziendale a norma del D.Lgs. 231/2001. Per la creazione di applicazioni Internet sicure vengono seguiti i consigli e le linee guida dell'Open Web Application Security Project (chiamato più semplicemente OWASP).
Canali disponibili per il supporto tecnico
E-mail: Disponibile Ore supporto: Ricezione 24 su 24 Il periodo di erogazione del servizio di assistenza è dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Telefono: Disponibile Ore supporto: Dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Sistema di on-line ticketing: Disponibile Ore supporto: Il servizio è operativo 24 ore su 24, per 365 giorni l'anno, le risposte dello staff tecnico vengono date Dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Web chat: Disponibile Ore supporto: Il servizio è operativo 24 ore su 24, per 365 giorni l'anno, le risposte dello staff tecnico vengono date dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Assistenza on-site: Disponibile Ore supporto: Dal lunedì al venerdì, dalle 8.30 - 13.30 / 14.30 -17:30. Assistenza remota: Disponibile Ore supporto: Dal lunedì al venerdì, dalle 8.30 - 13.30 / 14.30 -17:30. Eventuale altro canale (specificare): Disponibile Altro: Il servizio mette a disposizione una scrivania digitale pensata in modo che ogni operatore dell'Ente possa disporre di un canale privilegiato di contatto con la nostra struttura. Ore supporto: Il servizio è operativo 24 ore su 24, per 365 giorni l'anno, le risposte dello staff qualificato vengono date in orario d'ufficio.
Tempi di attivazione e disattivazione del servizio
Tempo di attivazione: 30 giorni Tempo di disattivazione: 5 giorni
Modalità e processo di attivazione
Le modalità e il processo di attivazione prevedono: a) Il reparto commerciale provvede alla raccolta della richiesta del cliente e alla loro conformità con il servizio offerto a catalogo. b) Il reparto commerciale provvede quindi alla formulazione dell'offerta. c) Una volta ricevuto l'ordine il reparto dei servizi di gestione sicurezza e privacy provvede a informare il Cliente della presa in carico dell'ordine e pianificare le varie attività necessarie.
Modalità e processo di disattivazione
Le modalità e il processo di disattivazione prevedono: a) Il reparto commerciale verifica che siano in essere le condizioni di disattivazione. b) Il reparto commerciale una volta verificata la condizione per la dismissione del servizio provvede a predisporre l'invio di una PEC che informi il Cliente sull'iter per la dismissione del servizio. c) Il reparto tecnico Inizia le attività che permettano ai dati riconducibili al servizio di essere cancellati il più rapidamente possibile, compatibilmente con i tempi tecnici di gestione. d) Comunicazione al Cliente che le attività inizieranno a decorrere dal quinto giorno lavorativo successivo alla data di inoltro della PEC.
Estrazione dei dati a seguito di disattivazione
In seguito alle comunicazioni previste nel processo di disattivazione al Cliente viene comunicato via PEC che, se fosse interessato alla consegna dei dati relativi al servizio, verranno concordati e definiti i tempi e i modi di erogazione dell'attività di consegna dei dati oggetti del servizio in disattivazione. Il download del registro del trattamento sarà reso disponibili entro massimo 30 giorni lavorativi su area sicura e raggiungibile per un massimo di 60 giorni consecutivi.
Dati esportabili
Formato dei dati esportabili: Il registro del trattamento verrà messo a disposizione su formato DOC, mentre i modelli organizzativi saranno messi a disposizione nello stesso formato in cui sono stati caricati nel sistema dall'Ente. Dati derivati (configurazioni, template, log, ecc.): a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato tramite opportune rappresentazioni di tipo tabellare e/o grafico. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente tramite opportune rappresentazioni di tipo tabellare e/o grafico. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conlcusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato tramite opportune rappresentazioni di tipo tabellare e/o grafico. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi tramite opportune rappresentazioni di tipo tabellare e grafico.. e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti tramite opportune rappresentazioni di tipo tabellare e grafico.. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento tramite opportune rappresentazioni di tipo tabellare e grafico.. g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse tramite opportune rappresentazioni di tipo tabellare e grafico. h) La misurazione della disponibilità del servizio viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso, esposto in un grafico che evidenzia l'andamento negli ultimi 12 mesi.
Formati in cui è possibile estrarre i dati
Il registro del trattamento verrà messo a disposizione su formato DOC, mentre i modelli organizzativi saranno messi a disposizione nello stesso formato in cui sono stati caricati nel sistema dall'Ente.
Estrazione e formati di altri asset (in seguito a disattivazione)
Le informazioni riportate nella sezione Dati derivati vengono messe a disposizione su richiesta del Cliente in formato CSV.
Indicare quali delle seguenti modalità di fruizione del servizio sono supportate
Web Browser
Specificare i browser supportati
Explorer (3. Internet explorer) Firefox (2. Firefox) Chrome (1. Chrome) Safari (4. Safari ) I browser, nell'ultima e penultima versione disponibile, in cui è ottimizzato il funzionamento del servizio sono:1. Chrome2. Firefox3. Internet explorer4. Safari 5. Edge
Documentazione tecnica
La documentazione tecnica della piattaforma è ramificata e distribuita all'interno della piattaforma stessa su ogni finestra su cui si sta svolgendo l'attività. Le istruzioni di dettaglio descrivono sia il contenuto della pagina web, che le funzionalità interattive, permettendo all'utilizzatore un'agevole fruizione del servizio.. In aggiunta ogni modifica relativa alla funzionalità del servizio è accessibile dall'apposita funzione "CHANGELOG" contenuta nella piattaforma. E' in ogni caso disponibile una documentazione che descrive l'architettura del servizio e le macro funzionalità messe a disposizione del Cliente.
Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)
Disponibile e navigabile su Web (https://gdpr.boxxapps.com/docs/)
Elenco delle lingue in cui è disponibile la documentazione
Italiano
API di tipo REST/SOAP disponibili per il servizio
E' disponibile l'endpoint REST (https://gdpr.boxxapps.com/boxxapps/api/v1/) Viene fornita la documentazione delle API in formato Web (https://gdpr.boxxapps.com/boxxapps/api/v1/docs)
Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API
Funzionalità invocabili tramite API di tipo REST : -BancheDati -Databreach -Databreach_dettaglio_tipologia -DatiTitolariResponsabiliDpo -DocsPrint -DocStandard -DocsUser -Eventi -Eventi_dettaglio -Eventi_dettaglio_tipologia -Eventi_tipologia -Evento_singolo -Incidente_descrizione -Incidenti -Incidenti_dettaglio -Incidenti_dettaglio_singolo -Incidenti_dettaglio_tipologia -Incidenti_info_aggiuntive -Login -Logout -Misure_Minime -Numero_Pareri -Percorso_Formativo -Stato_mmp -Stato_Webinar -Titolari -Trattamenti Funzionalità che non sono accessibili per mezzo di tali API : 1.Eliminazione di un trattamento o di una banca dati censita
Specificare le piattaforme abilitanti supportate dal servizio
Altro (specificare) (NA)
Elenco di procedure per garantire la reversibilità del servizio SaaS.
Il processo attraverso il quale il Cliente, in previsione della cessazione del rapporto contrattuale con BOXXAPPS, è in grado di recuperare tutti i propri dati memorizzati dal servizio viene chiamato processo di reversibilità e prevede diverse fasi in cui, completate le operazioni di recupero dei dati e trascorso il periodo di salvaguardia concordato, BOXXAPPS procederà all'eliminazione definitiva di tutti i dati di proprietà del Cliente. Le attività di recupero e cancellazione dei dati riguardano anche i dati derivati e le copie di backup.Nel dettaglio in seguito alle comunicazioni previste nel processo di disattivazione del servizio, al Cliente viene comunicato via PEC che se fosse interessato alla consegna dei dati relativi al servizio verranno concordati e definiti i tempi e i modi di erogazione dell'attività di consegna dei dati oggetti del servizio in disattivazione.
Scalabilità del servizio
E' prevista la scalabilità del servizio: Sì La scalabilità del servizio è di tipo automatico: No
Modalità e condizioni previste per la scalabilità del servizio
La garanzia di dimensionamento è relativa alla gestione del numero di utenti e al numero di trattamenti effettuati ed è relativa all'intera durata della convenzione. La scalabilità del servizio sarà oggetto di accordo tra il Cliente e BOXXAPPS all'eventuale rinnovo della convenzione.
Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale i seguenti strumenti di monitoraggio delle risorse associate al servizio e della qualità del servizio stesso: a) Numero delle segnalazioni aperte dal cliente al servizio di assistenza. b) Tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza. c) Grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza. d) Verifica dei soggetti privacy e loro incarico. e) Verifica del percorso formativo di ogni soggetto privacy. f) Verifica della distribuzione dei modelli organizzativi privacy. g) Verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID. h) Disponibilità del servizio (Availability).
Metriche e statistiche disponibili
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale le seguenti metriche e statistiche: a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conlcusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse. h) La misurazione della disponibilità del servizio viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso.
Report disponibili
Vengono messi a disposizione del Cliente tramite la sua scrivania digitale le seguenti: a) Il numero delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato tramite opportune rappresentazioni di tipo tabellare e/o grafico. b) Il tempo medio di primo contatto delle segnalazioni aperte dal cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del cliente tramite opportune rappresentazioni di tipo tabellare e/o grafico. c) Il grado di soddisfazione espresso dal cliente per l'erogazione del servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conlcusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato tramite opportune rappresentazioni di tipo tabellare e/o grafico. La valutazione viene espressa su tre livelli di emoticons. d) Verifica dei soggetti privacy e loro incarico viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare il numero e i nominativi presenti nell'organigramma privacy e la loro associazione o meno con i rispettivi incarichi tramite opportune rappresentazioni di tipo tabellare e grafico.. e) La verifica del percorso formativo di ogni soggetto privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare sia il numero dei corsi sostenuti che il grado di conoscenza acquisito dai singoli soggetti tramite opportune rappresentazioni di tipo tabellare e grafico.. f) La verifica della distribuzione dei modelli organizzativi privacy viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare la distribuzione puntuale dei modelli organizzativi agli incaricati di riferimento tramite opportune rappresentazioni di tipo tabellare e grafico.. g) La verifica dello stato di implementazione dei controlli di natura tecnologica, organizzativa e procedurale delle misure minime di sicurezza ICT emanate dall'AgID, viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la possibilità di verificare lo stato di avanzamento delle misure stesse tramite opportune rappresentazioni di tipo tabellare e grafico. h) La misurazione della disponibilità del servizio viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso, esposto in un grafico che evidenzia l'andamento negli ultimi 12 mesi.
Livelli di servizio garantiti da dichiarare obbligatoriamente
Availability (in percentuale): 99.99 Maximum First Support Response Time (in minuti): 480
Monitoraggio dello stato del servizio e notifiche
E' disponibile il monitoraggio in tempo reale dello stato del servizio?: Sì Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?: No
Controllo dell'Acquirente sulla gestione dei dati
L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?: No L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?: No
Meccanismi di autenticazione degli utenti supportati
Autenticazione tramite credenziali di accesso e mappatura degli indirizzi di erogazione del servizio. In altri termini il servizio è accessibile solo dal personale formalmente autorizzato dall'Ente e ogni indirizzo di chiamata viene verificato e autorizzato.
Possibilità di configurazione/customizzazione dei meccanismi di autenticazione
No
Disponibilità di autenticazione a 2 fattori
No
Politiche di accesso alle informazioni in audit
In tempo reale: No Differenziata tra utilizzatori e fornitore: No Tempo minimo di conservazione delle informazioni di audit: NA Tempo massimo di conservazione delle informazioni di audit: NA Tempo minimo di conservazione dei log di servizio: NA Tempo massimo di conservazione dei log di servizio: NA
Elementi che concorrono alla determinazione del prezzo (parametri)
Nome parametro Unità di misura Quantità minima Parametro 1 Utenti Numero 1
Prezzo base del servizio
Prezzo base in euro (in euro): 39.9 Eventuale costo di attivazione (in euro): 900
Altre condizioni
Il prezzo del servizio su base annua è calcolato in relazione ai parametri inseriti (Numero di utenti) e dall'eventuale numero di servizi correlati richiesti dal Cliente. Sul prezzo viene applicata una scontistica crescente all'aumentare del numero di utenti oggetto del servizio. Una quotazione personalizzata può essere richiesta utilizzando i contatti indicati in www.boxxapps.com
Esecuzione dei test OWASP
Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?: No Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità: No
Tempistiche per la presa in carico e gestione delle segnalazioni
Il periodo di erogazione del servizio di assistenza è il seguente: dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Tale servizio garantisce un contatto immediato per ogni richiesta del Cliente effettuata tramite Numero VERDE e una presa in carico immediata tramite la scrivania digitale. Nel caso in cui il problema non trovi soluzione immediata, il Cliente verrà contattato in un tempo massimo di 8 ore lavorative secondo il periodo di erogazione di servizio.
Localizzazione dei data center
Localizzazione (anche parziale) all'interno del territorio italiano
Rispetto alle nazioni extra UE di cui al punto precedente, sono in essere accordi bilaterali con l'Italia (o con l'UE) volti alla salvaguardia della riservatezza e proprietà dei dati?
No
Calcolo GDPR
Per ulteriori informazioni riguardante il servizio o la quotazione, scrivere a info@boxxapps.com
