Questo sito utilizza cookie tecnici, analytics e di terze parti.
Proseguendo nella navigazione accetti l’utilizzo dei cookie.

Privacy Policy

Segnalazioni.net - Whistleblowing

  • Tipologia: SaaS
  • ID Scheda: SA-691
  • Stato corrente: QUALIFICATA
  • Azienda fornitrice: Digitalpa Srl
  • Referente commerciale: ILARIA MARIOTTI - commerciale@digitalpa.it
  • Data di qualificazione: 06-12-2019 12:43

Descrizione generale del servizio

Il software Segnalazioni.net è lo strumento informatico che consente agli operatori del settore Pubblico o Privato di effettuare segnalazioni di illeciti con la garanzia di estrema riservatezza. Nel pieno rispetto della normativa, segnalante, responsabile o organismo di vigilanza possono accedere alla propria area riservata tramite una piattaforma gestionale, ottimizzata per l’accesso da qualsiasi dispositivo. L’infrastruttura applicativa è una piattaforma esclusivamente dedicata, sviluppata per soddisfare le più rigide esigenze in fatto di sicurezza e riservatezza, punto essenziale della procedura di whistleblowing. La gestione degli accessi e dei dati avviene nel più rigoroso rispetto del quadro normativo ed è certificata dai più rigorosi standard della norma ISO/IEC 27001.

Caratteristiche funzionali del servizio

  • Accessibile e multidispositivo (pc, tablet e smartphone)
  • Crittografia asimmetrica su contenuti e file allegati
  • Personalizzabile nella configurazione, nelle categorie e nei contenuti (informative, privacy, ecc.)
  • Netta separazione del processo di iscrizione dal processo di segnalazione, per una corretta separazione dei dati a tutela dell’anonimato del segnalante
  • Possibilità di gestire le segnalazioni di utenti registrati e non registrati (a discrezione del committente)
  • Gestione ed informatizzazione delle pratiche cartacee
  • Complete stastistiche e log di sistema che tracciano tutte le operazioni effettuate sulla piattaforma
  • Accesso regolamentato a norma privacy (complessità password e cambio password trimestrale)
  • Multilingua
  • Possibilità di interazione con soggetti terzi rispetto al segnalante e al responsabile

Benefici offerti dal servizio

  • Garanzia di completa sicurezza e riservatezza per i segnalanti e le segnalazioni
  • Possibilità di personalizzazione e configurazione del sistema ad hoc
  • SLA di massimo livello con garanzia di massima raggiungibilità del servizio, in linea con quanto previsto dall’art. 50-bis del Codice dell’Amministrazione Digitale (continuità operativa)
  • Gestione dedicata per RPCT, ODV e Collaboratori
  • Intuitivo e di facile gestione

Piattaforma Cloud attraverso la quale è erogato il servizio

Aruba

Cloud Deployment Model

Public Cloud

Specificare altra rete pubblica

  • Altra rete pubblica (specificare) (NA)

Infrastruttura Cloud su cui è basato il servizio

  • Infrastruttura di un fornitore terzo qualificato come CSP
  • Aruba S.p.A.

Sono richiesti prerequisiti?

I prerequisiti riguardano altri servizi Cloud?

No

Eventuali altri prerequisiti

  • nessun prerequisito

Esistono dipendenze?

Le dipendenze riguardano servizi Cloud?

No

Eventuali standard e certificazioni

ISO/IEC 27001

Canali disponibili per il supporto tecnico

  • E-mail: Disponibile
  • Ore supporto: dal lunedì al venerdì, dalle 9.00 alle 18.00
  • Telefono: Disponibile
  • Ore supporto: dal lunedì al venerdì, dalle 9.00 alle 17.00
  • Sistema di on-line ticketing: Disponibile
  • Ore supporto: dal lunedì al venerdì, dalle 9.00 alle 18.00
  • Web chat: Non Disponibile
  • Assistenza on-site: Disponibile
  • Ore supporto: dal lunedì al venerdì, dalle 9.00 alle 18.00
  • Assistenza remota: Disponibile
  • Ore supporto: dal lunedì al venerdì, dalle 9.00 alle 18.00
  • Eventuale altro canale (specificare): Non disponibile

Tempi di attivazione e disattivazione del servizio

  • Tempo di attivazione: 15
  • Tempo di disattivazione: 90

Modalità e processo di attivazione

Il software in saas è interamente on-line, installato per ogni cliente in modalità esclusiva e non condivisa e, una volta configurato, immediatamente operativo: non è necessaria alcuna installazione sui PC client, né tantomeno sui Server del Cliente, ove non sia appositamente richiesto

Modalità e processo di disattivazione

A far data da 90 (novanta) gg. solari dalla data di scadenza del servizio, DigitalPA invia, all’indirizzo email indicato dell'intestatario del servizio, ripetuti avvisi di scadenza e/o un'offerta di rinnovo del servizio, per segnalare l’approssimarsi della scadenza del servizio e le relative istruzioni per il rinnovo. Nel cruscotto utente è sempre presente inoltre la data di scadenza del servizio. Alla data di scadenza, i software disattivano automaticamente le funzionalità principali del software, mantenendo l’accesso in sola consultazione al pannello di amministrazione per 90 (novanta) gg. solari. Il Cliente può fare esplicita richiesta, attraverso la compilazione e la trasmissione di un apposito modulo fornito da DigitalPA, di poter usufruire di un “grace period”, al fine di poter finalizzare gli atti di rinnovo o al fine di effettuare autonomamente il backup dei dati presenti all’interno del software. Il “grace period” ha una durata massima di 30 (trenta) gg. solari. Il “grace period” garantisce l’utilizzo dei software con funzionalità limitate, al fine di concludere le attività avviate prima della scadenza; in tale circostanza, non sarà comunque possibile avviare nuove procedure. Trascorso il “grace period”, indipendentemente dalle motivazioni di non rinnovo o risoluzione del Contratto, il mancato rinnovo comporta la disattivazione automatizzata delle funzionalità del software e l’accesso in sola consultazione per ulteriori 60 (sessanta) gg. solari. Al termine dei 90 gg. solari dalla data di scadenza del contratto, i sistemi si disattivano automaticamente, con contestuale blocco delle credenziali di accesso.

Estrazione dei dati a seguito di disattivazione

Il cliente può sempre scaricare i dati in autonomia nelle diverse parti del software attraverso pulsanti di backup dedicati che ne permettono lo scaricamento in vari formati aperti, json, csv, xml oltre che a consentire di scaricare attraverso uno zip i fascicoli consultabili offline attraverso dei sinottici html. Successivamente alla disattivazione del software, la consegna al Cliente degli archivi di backup potrà essere effettuata dietro richiesta e a titolo oneroso. A fronte di un corrispettivo forfetario di € 400,00, il Cliente potrà richiedere la trasformazione dei dati contenuti nel proprio back up in uno dei formati riconosciuti come standard a livello internazionale.

Dati esportabili

  • Formato dei dati esportabili: json, xml, csv, xlsx, pdf
  • Dati derivati (configurazioni, template, log, ecc.): NA

Formati in cui è possibile estrarre i dati

json, xml, csv, xlsx, pdf

Estrazione e formati di altri asset (in seguito a disattivazione)

NA

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate

  • Web Browser

Specificare i browser supportati

  • Explorer (Microsoft Edge e Internet Explorer)
  • Firefox (Mozilla Firefox)
  • Chrome (Google Chrome)
  • Safari (Safari)
  • Opera (Opera)
  • Microsoft Edge e Internet ExplorerMozilla FirefoxGoogle ChromeOperaSafari

Documentazione tecnica

Manuali in linea costantemente aggiornati per ogni nuova versione rilasciata, allegato tecnico, elenco funzionalità

Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)

  • Disponibile e navigabile su Web (https://manuali.digitalpa.it/whistleblowing/v2-4-0/backend/manuale-operativo-utente-responsabile.html)
  • Disponibile in formato/i consultabile/i offline (PDF)

Elenco delle lingue in cui è disponibile la documentazione

  • Italiano
  • Inglese
  • Francese
  • Spagnolo

API di tipo REST/SOAP disponibili per il servizio

  • E' disponibile l'endpoint REST (https://dev1.segnalazioni.net/external-api/ping)
  • Viene fornita la documentazione delle API in altri formati (PDF, ODT, DOCX)

Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API

Funzionalità disponibili: verifica disponibilità piattaforma, statistiche tipologie di segnalazione Funzionalità non accessibili: dati delle segnalazioni e dei segnalatori (informazioni cifrate)

Specificare le piattaforme abilitanti supportate dal servizio

  • SPID

Elenco di procedure per garantire la reversibilità del servizio SaaS.

  • L'Acquirente ha disponibili funzionalità web per recuperare tutti i dati memorizzati.1) Dati esportabiliMediante le funzionalità web di ricerca ed esibizione dei dati, l'utente autorizzato è in grado di: visualizzare e scaricare i dati e documenti in formato originale.2) Formati dei dati esportabiliIl servizio supporta tutti i formati predefiniti aperti.3) Dati derivati (configurazioni, template, log, ecc.)In aggiunta, mediante piattaforma web, oppure altro meccanismo concordato, si può effettuare l'esportazione completa dei log e della configurazione dell'ambiente di esercizio dell'Acquirente.File di dettaglioL’applicazione erogata in SaaS è stata progettata e costruita in maniera coerente agli standard di mercato, nello specifico è SOA (Service Oriented Architecture) compliant.Il Cliente ha la facoltà di disconnettersi dal servizio cloud (interruzione del contratto di erogazione in SaaS, dovuto a differenti motivi) e recuperare pienamente tutti i dati di sua proprietà, in autonomia e senza costi aggiuntivi, mediante l’apposita funzionalità di esportazione, utilizzando canali sicuri e cifrati. Per esportazioni particolari, è possibile richiedere il supporto del Fornitore.Il sistema è in grado di esportare i dati in formati standard aperti (xml, json, csv) ed i documenti informatici collegati nel loro formato originale, garantendone l’integrità e la fruibilità presso altri fornitori che utilizzano formati standard aperti.Secondo quando concordato nel contratto di servizio, al termine dell’operazione il Fornitore garantisce che i dati siano effettivamente cancellati in modo permanente da tutti i supporti di memoria utilizzati nell'infrastruttura della piattaforma cloud.

Scalabilità del servizio

  • E' prevista la scalabilità del servizio:
  • La scalabilità del servizio è di tipo automatico: No

Modalità e condizioni previste per la scalabilità del servizio

La scalabilità del servizio viene gestita in base a differenti situazioni, di seguito elencate: 1. A seguito di una richiesta di upgrade del servizio da parte del Cliente 2. A seguito di una richiesta di downgrade del servizio da parte del Cliente. 3. Come effetto dell’attività di monitoraggio del servizio: i sistemi sono costantemente monitorati e servono da indicatori per effettuare statistiche previsionali di utilizzo dei servizi in SaaS.

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio

La soluzione rende disponibile all’utente autorizzato una console (cruscotto) ed altri strumenti di monitoraggio della piattaforma, in modo da avere gli indicatori necessari sulle prestazioni del sistema, risorse e sul dimensionamento dei consumi. Le principali metriche sono di seguito elencate: - Numero di segnalanti - Numero di segnalazioni Con cadenza mensile, viene inoltre inviato al cliente un report di sintesi che riporta la percentuale dei disservizi e l’utilizzo delle risorse per cliente negli ultimi 30 giorni.

Metriche e statistiche disponibili

- numero totale di segnalazioni - numero totale di segnalanti - statistiche per tipologia di segnalazione - statistiche sui tempi di risposta e gestione

Report disponibili

Numero segnalazioni totali o per range temporale e/o per stato di gestione (lette, lavorate, archiviate) Numero segnalazioni per tipologia di illecito, per data, per tipologia di utente (registrato o non registrato), per destinatario della segnalazione Tempistiche di chiusura, lettura, presa in carico

Livelli di servizio garantiti da dichiarare obbligatoriamente

  • Availability (in percentuale): 99.9
  • Maximum First Support Response Time (in minuti): 120

Monitoraggio dello stato del servizio e notifiche

  • E' disponibile il monitoraggio in tempo reale dello stato del servizio?:
  • Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?:

Controllo dell'Acquirente sulla gestione dei dati

  • L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?: No
  • L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?:

Meccanismi di autenticazione degli utenti supportati

User e password SPID CNS WSSE

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione

No

Disponibilità di autenticazione a 2 fattori

Politiche di accesso alle informazioni in audit

  • In tempo reale: No
  • Differenziata tra utilizzatori e fornitore: No
  • Tempo minimo di conservazione delle informazioni di audit: NA
  • Tempo massimo di conservazione delle informazioni di audit: NA
  • Tempo minimo di conservazione dei log di servizio: NA
  • Tempo massimo di conservazione dei log di servizio: NA

Elementi che concorrono alla determinazione del prezzo (parametri)

Nome parametro Unità di misura Quantità minima
Parametro 1 dipendenti numero di dipendenti 1
Parametro 2 fornitori numero di fornitori 1
Parametro 3 dimensione fatturato 1

Prezzo base del servizio

  • Prezzo base in euro (in euro): 300
  • Eventuale costo di attivazione (in euro): 150

Altre condizioni

Il prezzo base del servizio si riferisce al canone Annuale. Viene calcolato sulla base di un listino prezzi suddiviso per numero di dipendenti, dimensione del cliente, moduli attivabili. Un’offerta su misura può essere richiesta inviando una richiesta al nostro riferimento commerciale alla mail commerciale@digitalpa.it.

Esecuzione dei test OWASP

  • Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?:
  • Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità:

Tempistiche per la presa in carico e gestione delle segnalazioni

2 ore

Localizzazione dei data center

Localizzazione (anche parziale) all'interno del territorio italiano

Rispetto alle nazioni extra UE di cui al punto precedente, sono in essere accordi bilaterali con l'Italia (o con l'UE) volti alla salvaguardia della riservatezza e proprietà dei dati?

No