AREA TECNOLOGIA

Tipologia: SaaS
ID Scheda: SA-460
Stato corrente: QUALIFICATA
Azienda fornitrice: Boxxapps S.r.l.
Referente commerciale: - info@boxxapps.com
Data di qualificazione: 05/06/2019 21:16

Nome del servizio


X-LOG

Descrizione generale del servizio


Il servizio "X-LOG" progettato per la PA, permette all'Ente di registrare e conservare i "LOG" di tutti gli accessi logici ai server monitorati da parte degli Amministratori di Sistema presso l'IDC BOXXAPPS, Cloud Service Provider qualificato sul Marketplace Agid. I "LOG" registrati includono le informazioni relative ai riferimenti temporali e alla descrizione dell’evento che li ha generati questi saranno conservati per un congruo periodo. Il sistema di gestione integrato dell’organizzazione BOXXAPPS, relativa al servizio, è conforme alle specifiche dettate dalla norma ISO 27001, ISO 27017, ISO 27018, ISO 9001, ISO 20000-1 e ISO 22301.

Caratteristiche funzionali del servizio


Il servizio viene erogato da Internet Data Center di proprietà, in modalità SaaS, attraverso la piattaforma "X-LOG" qualificata sul Marketplace Agid. I processi di attivazione e manutenzione vengono erogati e garantiti da BOXXAPPS con un monitoraggio proattivo tramite una “Control room” dedicata alla gestione ed il controllo giornaliero della corretta esecuzione del servizio di registrazione e conservazione dei log di tutti gli accessi logici ai server monitorati, da parte degli Amministratori di Sistema. Il Sistema di Gestione Integrato della sicurezza delle informazioni di BOXXAPPS, relativo al servizio, è conforme alle specifiche dettate dalla norma ISO/IEC 27001:2015, ISO 27018:2019, ISO 9001:2015, ISO 20000:2011, ISO 22301:2014 e ISO/IEC 27017: 2015. Il servizio di assistenza garantisce un contatto immediato per ogni richiesta del Cliente ed è operativo 24 ore su 24, per 365 giorni l’anno, le risposte dello staff qualificato vengono rilasciate in orario d'ufficio. La piattaforma "X-LOG" rilasciata al Cliente, gli consente la verifica in tempo reale dell'andamento del servizio di registrazione e conservazione dei log di tutti gli accessi logici ai server monitorati. Il servizio permette la mappatura e la revisione degli utenti con qualifica di A.d.S. verbalizzandone lo stato dell’arte. Il servizio permette l'individuazione e la registrazione dei “sistemi” da sottoporre a tracciatura e report individuati dall'Ente. Viene garantita la conservazione “in linea” per un periodo di almeno 6 mesi dei "LOG" degli accessi per consentire eventuali verifiche e controlli da parte del Titolare del Trattamento Dati. Il servizio prevede la verifica annuale e la relativa verbalizzazione sulla rispondenza dell'operato degli Amministratori di Sistema, da notificare al Titolare. Il servizio prevede la messa a disposizione del Cliente all'interno della piattaforma “X-LOG”, dei "LOG" riferiti al periodo di verbalizzazione annuale, firmati e marcati temporalmente.

Benefici offerti dal servizio


Il servizio consente di ottemperare al provvedimento del Garante della Privacy sugli Amministratori di Sistema. Il servizio permette la verifica funzionale da parte del Titolare sulle attività degli Amministratori di Sistema. Il servizio conserva in remoto i log presso l'IDC BOXXAPPS, Cloud Service Provider qualificato sul Marketplace Agid, debitamente firmati e marcati temporalmente in modo da garantirne l'inalterabilità. Notifica via PEC delle variazioni di stato del servizio. A seguito di segnalazione non risolvibili con il servizio di assistenza dedicato da remoto, si effettueranno interventi presso il Cliente.

Piattaforma Cloud attraverso la quale è erogato il servizio


Proprietaria

Cloud Deployment Model


Public Cloud

Specificare altra rete pubblica


Altra rete pubblica (specificare) (NA)

Infrastruttura Cloud su cui è basato il servizio


Infrastruttura propria già qualificata come CSP

Eventuali servizi correlati NON qualificati nel Marketplace


1. Mappatura e revisione degli utenti con qualifica di A.d.S. verbalizzandone lo stato dell’arte e verificandone la nomina formale. 2. Verifica annuale e relativa relazione sulla rispondenza dell'operato degli A.d.S., per il Titolare. 3. Gestione in tempo reale degli alert di accesso anomalo al server controllato. 4. Implementazione del servizio "X-STORAGE".

Sono richiesti prerequisiti?



I prerequisiti riguardano altri servizi Cloud?


No

Eventuali altri prerequisiti


1. I Sistemi Operativi da sottoporre al servizio "X-LOG", devono essere in regolare manutenzione. 2. Le policy di controllo account dei sistemi operativi, devono essere settate per la raccolta dei log di Accesso.

Esistono dipendenze?



Le dipendenze riguardano servizi Cloud?


No

Eventuali altre dipendenze


1. Il servizio è subordinato alla disponibilità e al corretto funzionamento della rete internet del Cliente, e ad una larghezza di banda correttamente dimensionata. 2. I "LOG" non inviati durante i periodi di inattività della linea, verranno inviati al ripristino della stessa.

Eventuali standard e certificazioni


BOXXAPPS utilizza un Sistema di Gestione Integrato e certificato basato sull'interazione delle norme: UNI EN ISO 9001, cioè nel sistema di gestione per la qualità, relativamente alla progettazione, sviluppo ed erogazione di servizi di distribuzione, installazione, manutenzione, assistenza e formazione di soluzioni informatiche, anche in ambito sicurezza e data protection. ISO/IEC 20000-1:2011 basata su procedure standard ad utilizzo internazionale per migliorare la gestione del modello IT (Information Technology) questo per garantire un servizio sempre migliore al Cliente finale. UNI EN ISO 22301 "Social security - Business Continuity Management Systems - Requirements" ovvero uno standard internazionale che è stato sviluppato per aiutare un'organizzazione a ridurre al minimo il rischio di interruzioni. UNI CEI ISO/IEC 27001:2017, cioè nella sicurezza delle informazioni, nella progettazione, realizzazione, assistenza e mantenimento in esercizio di infrastrutture tecnologiche ICT. ISO/IEC 27018, cioè un addendum a ISO/IEC 27001, ovvero il primo Code of Practice internazionale per la privacy nel cloud. Basato sulle nuove leggi di protezione dei dati dell'Unione, specifiche ai provider che gestiscono servizi in cloud. Inoltre, pur non essendo oggetto di certificazione sono rispettati i seguenti standard di sicurezza: ISO / IEC 27017 che fornisce le linee guida per i controlli di sicurezza delle informazioni applicabili alla fornitura e all'utilizzo dei servizi cloud in integrazione alla SOA aziendale. Le figure di coordinamento del servizio sono certificate ITIL Information Technology Infrastructure Library (ITIL) V3. Viene applicato il modello di gestione aziendale a norma del D.Lgs. 231/2001. Per la creazione di applicazioni Internet sicure vengono seguiti i consigli e le linee guida dell'Open Web Application Security Project (chiamato più semplicemente OWASP).

Canali disponibili per il supporto tecnico


E-mail: Disponibile Ore supporto: Ricezione 24 su 24 Il periodo di erogazione del servizio di assistenza è dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Telefono: Disponibile Ore supporto: Dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Sistema di on-line ticketing: Disponibile Ore supporto: Il servizio è operativo 24 ore su 24, per 365 giorni l’anno, le risposte dello staff tecnico vengono date dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Web chat: Disponibile Ore supporto: Il servizio è operativo 24 ore su 24, per 365 giorni l’anno, le risposte dello staff tecnico vengono date dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Assistenza on-site: Disponibile Ore supporto: Dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Assistenza remota: Disponibile Ore supporto: Dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Eventuale altro canale (specificare): Disponibile Altro: Il servizio mette a disposizione una scrivania digitale pensata in modo che ogni operatore dell’Ente possa disporre di un canale privilegiato di contatto con la nostra struttura. Ore supporto: Il servizio è operativo 24 ore su 24, per 365 giorni l’anno, le risposte dello staff qualificato vengono date in orario d'ufficio.

Tempi di attivazione e disattivazione del servizio


Tempo di attivazione: 30 giorni Tempo di disattivazione: 5 giorni

Modalità e processo di attivazione


Le modalità e il processo di attivazione prevedono: a) Il reparto commerciale provvede alla raccolta della richiesta del Cliente e alla verifica della tipologia di asset che il servizio dovrà gestire con l'eventuale ausilio del reparto tecnico. b) Il reparto tecnico verifica quindi le tipologie di asset da gestire, e la connettività disponibile presso il Cliente. c) Una volta ricevuto l'ordine il reparto tecnico provvede ad attivarsi per l'erogazione del servizio.

Modalità e processo di disattivazione


Le modalità e il processo di disattivazione prevedono: a) Il reparto commerciale verifica che siano in essere le condizioni di disattivazione. b) Il reparto commerciale una volta verificata la condizione per la dismissione del servizio provvede a predisporre l’invio di una PEC che informi il Cliente sull'iter per la dismissione del servizio. c) Il reparto tecnico Inizia delle attività che permettano ai dati riconducibili al servizio di essere cancellati il più rapidamente possibile, compatibilmente con i tempi tecnici di gestione. d) Comunicazione al Cliente che le attività inizieranno a decorrere dal quinto giorno lavorativo successivo alla data di inoltro della PEC.

Estrazione dei dati a seguito di disattivazione


Il download delle ultime registrazioni dei log e il documento previsto di verifica sull'attività degli Amministratori di Sistema saranno resi disponibili entro massimo 30 giorni lavorativi su area sicura e raggiungibile per un massimo di 60 giorni consecutivi.

Dati esportabili


Formato dei dati esportabili: I LOG verranno forniti in formato CSV mentre il documento previsto di verifica sull'attività degli Amministratori di Sistema verrà fornito in formato PDF. Dati derivati (configurazioni, template, log, ecc.): Verranno messi a disposizione su richiesta del cliente in seguito a disattivazione: a) Il numero delle segnalazioni aperte dal Cliente al servizio di assistenza viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato. b) Il tempo medio di primo contatto delle segnalazioni aperte dal Cliente al servizio di assistenza viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del Cliente. c) Il grado di soddisfazione espresso dal Cliente per l'erogazione del servizio di assistenza viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conclusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato. La valutazione viene espressa su tre livelli di emoticons. d) Il numero di giorni in cui il servizio non è stato attivo viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale il numero dei giorni in cui il servizio non ha portato a termine le operazioni si salvataggio dei "LOG". In aggiunta al Cliente viene notificata una PEC relativa alla mancanza di disponibilità del servizio e una successiva per la notifica della ripresa a regime del servizio. Il tutto viene rappresentato tramite un istogramma navigabile con la possibilità di visionare fino al dettaglio giornaliero. e) La misurazione della disponibilità del servizio viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso, esposto in un grafico che evidenzia l'andamento negli ultimi 12 mesi.

Formati in cui è possibile estrarre i dati


I LOG verranno forniti in formato CSV mentre il documento previsto di verifica sull'attività degli Amministratori di Sistema verrà fornito in formato PDF.

Estrazione e formati di altri asset (in seguito a disattivazione)


Le informazioni indicate nella sezione Dati derivati verranno messe a disposizione si richiesta del Cliente in formato CSV.

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate


Web Browser

Specificare i browser supportati


Explorer (3. Internet explorer) Firefox (2. Firefox) Chrome (1. Chrome) Safari (4. Safari ) I browser, nell'ultima e penultima versione disponibile, in cui è ottimizzato il funzionamento del servizio sono:1. Chrome2. Firefox3. Internet explorer4. Safari 5. Edge

Documentazione tecnica


La documentazione tecnica della piattaforma è ramificata e distribuita all'interno della piattaforma stessa su ogni finestra su cui si sta svolgendo l'attività. Le istruzioni di dettaglio descrivono sia il contenuto della pagina web, che le funzionalità interattive, permettendo all'utilizzatore un'agevole fruizione del servizio. In aggiunta ogni modifica relativa alla funzionalità del servizio è accessibile dall'apposita funzione "CHANGELOG" contenuta nella piattaforma. E' in ogni caso disponibile una documentazione che descrive l'architettura del servizio e le macro funzionalità messe a disposizione del Cliente.

Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)


Disponibile e navigabile su Web (https://x-log.boxxapps.com/docs/)

Elenco delle lingue in cui è disponibile la documentazione


Italiano

API di tipo REST/SOAP disponibili per il servizio


E' disponibile l'endpoint REST (https://x-log.boxxapps.com/boxxapps/api/v1/) Viene fornita la documentazione delle API in formato Web (https://x-log.boxxapps.com/boxxapps/api/v1/docs/)

Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API


Funzionalità invocabili tramite API di tipo REST : 1. authlogin 2. authlogout 3. Server 4. LogList 5. Metriche Funzionalità che non sono accessibili per mezzo di tali API : 1. Eliminazione di un dispositivo dalla tracciatura dei Log

Specificare le piattaforme abilitanti supportate dal servizio


Altro (specificare) (NA)

Elenco di procedure per garantire la reversibilità del servizio SaaS.


Il processo attraverso il quale il Cliente, in previsione della cessazione del rapporto contrattuale con BOXXAPPS, è in grado di recuperare tutti i propri dati memorizzati dal servizio viene chiamato processo di reversibilità e prevede diverse fasi in cui, completate le operazioni di recupero dei dati e trascorso il periodo di salvaguardia concordato, BOXXAPPS procederà all'eliminazione definitiva di tutti i dati di proprietà del Cliente. Le attività di recupero e cancellazione dei dati riguardano anche i dati derivati e le copie di backup.Nel dettaglio in seguito alle comunicazioni previste nel processo di disattivazione al Cliente viene comunicato via PEC che se fosse interessato alla consegna dei dati relativi al servizio verranno concordati e definiti i tempi e i modi di erogazione dell’attività di consegna dei dati oggetti del servizio in disattivazione.

Scalabilità del servizio


E' prevista la scalabilità del servizio: Sì La scalabilità del servizio è di tipo automatico: No

Modalità e condizioni previste per la scalabilità del servizio


La garanzia di dimensionamento sia relativa ad un singolo asset per cui tracciare i "LOG", sia relativa al numero di asset per cui tracciare i "LOG", è relativa all'intera durata della convenzione. La scalabilità del servizio sarà oggetto di accordo tra il Cliente e BOXXAPPS all'eventuale rinnovo della convenzione.

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio


Vengono messi a disposizione del Cliente tramite la sua scrivania digitale i seguenti strumenti di monitoraggio delle risorse associate al servizio e della qualità del servizio stesso : a) Numero delle segnalazioni aperte dal Cliente al servizio di assistenza. b) Tempo medio di primo contatto delle segnalazioni aperte dal Cliente al servizio di assistenza. c) Grado di soddisfazione espresso dal Cliente per l'erogazione del servizio di assistenza. d) Numero di giorni in cui il servizio non è stato attivo. e) Disponibilità del servizio (Availability).

Metriche e statistiche disponibili


Vengono messi a disposizione del Cliente tramite la sua scrivania digitale le seguenti metriche e statistiche: a) Il numero delle segnalazioni aperte dal Cliente al servizio di assistenza viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato. b) Il tempo medio di primo contatto delle segnalazioni aperte dal Cliente al servizio di assistenza viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale il tempo medio con cui il reparto di assistenza effettua un primo contatto nei confronti del Cliente. c) Il grado di soddisfazione espresso dal Cliente per l'erogazione del servizio di assistenza viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conclusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato. La valutazione viene espressa su tre livelli di emoticons. d) Il numero di giorni in cui il servizio non è stato attivo viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale il numero dei giorni in cui il servizio non ha portato a termine le operazioni di dislocazione dei dati di log tramite un grafico esplicativo disponibile direttamente all'interno della piattaforma del servizio "X-LOG", che da la visione annuale e mensile dell'andamento del servizio stesso. In aggiunta al Cliente viene notificata una PEC relativa alla mancanza di disponibilità del servizio e una successiva per la notifica della ripresa a regime del servizio stesso. e) La misurazione della disponibilità del servizio viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso.

Report disponibili


Vengono messi a disposizione del Cliente tramite la sua scrivania digitale i seguenti report: a) Il numero delle segnalazioni aperte dal Cliente al servizio di assistenza viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale il numero di segnalazioni che sono giunte al reparto di assistenza distinte per il canale di comunicazione utilizzato. b) Il tempo medio di primo contatto delle segnalazioni aperte dal Cliente al servizio di assistenza viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale il tempio medio con cui il reparto di assistenza effettua un primo contatto nei confronti del Cliente. c) Il grado di soddisfazione espresso dal Cliente per l'erogazione del servizio di assistenza viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale il numero dei giudizi espressi a conclusione di ogni segnalazione relativi al grado di soddisfazione espressa per il servizio erogato. La valutazione viene espressa su tre livelli di emoticons. d) Il numero di giorni in cui il servizio non è stato attivo viene messo a disposizione del Cliente è gli da in ogni momento e in tempo reale il numero dei giorni in cui il servizio non ha portato a termine le operazioni si salvataggio dei "LOG". In aggiunta al Cliente viene notificata una PEC relativa alla mancanza di disponibilità del servizio e una successiva per la notifica della ripresa a regime del servizio. Il tutto viene rappresentato tramite un istogramma navigabile con la possibilità di visionare fino al dettaglio giornaliero. e) La misurazione della disponibilità del servizio viene messo a disposizione del cliente è gli da in ogni momento e in tempo reale la media mensile effettuata su rilevazioni 24 su 24 ogni 300 secondi dell'accesso funzionale al servizio stesso, esposto in un grafico che evidenzia l'andamento negli ultimi 12 mesi.

Livelli di servizio garantiti da dichiarare obbligatoriamente


Availability (in percentuale): 99.56 Maximum First Support Response Time (in minuti): 480

Monitoraggio dello stato del servizio e notifiche


E' disponibile il monitoraggio in tempo reale dello stato del servizio?: Sì Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?: Sì

Controllo dell'Acquirente sulla gestione dei dati


L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?: No L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?: No

Meccanismi di autenticazione degli utenti supportati


Autenticazione tramite credenziali di accesso e mappatura degli indirizzi di erogazione del servizio. In altri termini il servizio è consultabile solo dal personale formalmente autorizzato dall'Ente e ogni indirizzo di chiamata viene verificato e autorizzato.

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione


No

Disponibilità di autenticazione a 2 fattori


No

Politiche di accesso alle informazioni in audit


In tempo reale: No Differenziata tra utilizzatori e fornitore: No Tempo minimo di conservazione delle informazioni di audit: NA Tempo massimo di conservazione delle informazioni di audit: NA Tempo minimo di conservazione dei log di servizio: NA Tempo massimo di conservazione dei log di servizio: NA

Elementi che concorrono alla determinazione del prezzo (parametri)


Nome parametro Unità di misura Quantità minima Parametro 1 Server Numero 1

Prezzo base del servizio


Prezzo base in euro (in euro): 365 Eventuale costo di attivazione (in euro): 900

Altre condizioni


Il prezzo del servizio su base annua è calcolato in relazione ai parametri inseriti (Numero dei Server) e dall'eventuale numero di servizi correlati richiesti dal Cliente. Sul prezzo viene applicata una scontistica crescente all'aumentare del numero dei server oggetto del servizio. Una quotazione personalizzata può essere richiesta utilizzando i contatti indicati in www.boxxapps.com

Esecuzione dei test OWASP


Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?: No Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità: No

Tempistiche per la presa in carico e gestione delle segnalazioni


Il periodo di erogazione del servizio di assistenza è il seguente: dal lunedì al venerdì, dalle 8.30 - 13.00 / 14.30 -18:00. Tale servizio garantisce un contatto immediato per ogni richiesta del Cliente effettuata tramite Numero VERDE e una presa in carico immediata tramite la scrivania digitale. Nel caso in cui il problema non trovi soluzione immediata, il Cliente verrà contattato in un tempo massimo di 8 ore lavorative secondo il periodo di erogazione di servizio.

Localizzazione dei data center


Localizzazione (anche parziale) all'interno del territorio italiano

Rispetto alle nazioni extra UE di cui al punto precedente, sono in essere accordi bilaterali con l'Italia (o con l'UE) volti alla salvaguardia della riservatezza e proprietà dei dati?


No