Questo sito utilizza cookie tecnici, analytics e di terze parti.
Proseguendo nella navigazione accetti l’utilizzo dei cookie.

Privacy Policy

DISCLOSURE@ME - Raccolta e gestione delle dichirazioni di conflitto di interessi

  • Tipologia: SaaS
  • ID Scheda: SA-727
  • Stato corrente: QUALIFICATA
  • Azienda fornitrice: Windex S.r.l.
  • Referente commerciale: Giuseppe Policante - miscrivo@windex.it
  • Data di qualificazione: 24-12-2019 13:13

Descrizione generale del servizio

DISCLOSURE@ME è un servizio Cloud/SaaS con un interfaccia responsiva e molto intuitiva, indispensabile per una gestione facile e ordinata delle dichiarazioni di potenziale conflitto di interessi (COI - Conflict of interest). Progettato per essere applicato in molteplici contesti anche presso il medesimo Cliente ove è richiesta la raccolta delle dichiarazioni COI, consente modelli di dichiarazione ampiamente configurabili sia come sezioni da compilare sia come attributi e contenuti presenti nel modello. Il sistema è costituito da un portale attraverso il quale il dipendente può immettere la dichiarazione COI e da un sistema di back office per il controllo dell'intero processo e per la completa analisi dei dati e dei documenti caricati dai dipendenti. (https://www.disclosureme.eu).

Caratteristiche funzionali del servizio

  • Configurazione modello disclosure fino a 5 differenti lingue
  • Integrazioni ERP; HR; AD/LDAP
  • Gestione degli utenti e tracciatura degli accessi
  • Gestione società
  • Consultazione disclosure inviate
  • Estrazione dati e allegati delle disclosure inviate
  • Registrazione/attivazione e gestione dell'utenza di front end
  • Compilazione dichiarazione COI anche in più fasi salvando il lavoro precedentemente svolto
  • Estrazione dati inseriti da parte del dipendente
  • Consultazione storico disclosure del dipendente

Benefici offerti dal servizio

  • Completo controllo dello stato dei potenziali COI presenti in azienda
  • Completa configurabilità del sistema
  • Completa storia dele dichiarazioni COI e della loro evoluzione nel tempo
  • Unico punto per il dipendente in cui indicare e aggiornare i potenziali COI
  • Estrazione completa di dati e allegati per analisi of line

Piattaforma Cloud attraverso la quale è erogato il servizio

VMware vCloud Director

Cloud Deployment Model

Public Cloud

Specificare altra rete pubblica

  • Altra rete pubblica (specificare) (NA)

Infrastruttura Cloud su cui è basato il servizio

  • Infrastruttura di un fornitore terzo qualificato come CSP
  • IRIDEOS spa (ex Enter Srl)

Sono richiesti prerequisiti?

No

Esistono dipendenze?

No

Eventuali standard e certificazioni

N/A

Canali disponibili per il supporto tecnico

  • E-mail: Disponibile
  • Ore supporto: Dal lun. al ven. dalle 9.00 alle 13.00 e dalle 14.00 alle 17.30 no festivi
  • Telefono: Disponibile
  • Ore supporto: Dal lun. al ven. dalle 9.00 alle 13.00 e dalle 14.00 alle 17.30 no festivi
  • Sistema di on-line ticketing: Disponibile
  • Ore supporto: Dal lun. al ven. dalle 9.00 alle 13.00 e dalle 14.00 alle 17.30 no festivi
  • Web chat: Non Disponibile
  • Assistenza on-site: Disponibile
  • Ore supporto: Dal lun. al ven. dalle 9.00 alle 13.00 e dalle 14.00 alle 17.30 no festivi
  • Assistenza remota: Disponibile
  • Ore supporto: Dal lun. al ven. dalle 9.00 alle 13.00 e dalle 14.00 alle 17.30 no festivi
  • Eventuale altro canale (specificare): Non disponibile

Tempi di attivazione e disattivazione del servizio

  • Tempo di attivazione: 15 gg. lavorativi
  • Tempo di disattivazione: 10 gg. lavorativi

Modalità e processo di attivazione

A seguito della sottoscrizione del contratto di fornitura del servizio da parte del committente, il reparto sistemistico di Windex S.r.l. provvede a : 1. Creazione di entry point nel dns per il front end ad esempio [cliente].disclosureme.it; 2. Creazione di entry point nel dns per il back office ad esempio [cliente].BO.disclosureme.it; 3. Creazione degli utenti di back office e relativi ruoli; 4. Eventuale personalizzazione del modello di dichiarazione di conflitto di interessi; 5. Rilascio e collaudo del sistema; 6. Messa in produzione. Il committente potrà richiedere dei servizio aggiuntivi di personalizzazione del servizio con costi e modalità da definire e che non rientrano nel processo di attivazione standard. In sede di sottoscrizione del contratto il Cliente comunica i riferimenti (email aziendale e telefono) di uno o due funzionari referenti del servizio. Tra i compiti dei referenti vi è l'invio e la ricezione di comunicazioni inerenti il servizio inclusa la comunicazione di dismissione del servizio dalla quale attivare la procedure per garantirne la reversibilità dei dati su un sistema di altro fornitore.

Modalità e processo di disattivazione

Alla scadenza del servizio le url per il front end e back end vengono disattivate; si procede quindi all'estrazione dei dati e documenti da consegnare al Cliente. Il periodo di salvaguardia contrattualmente definito è di 60 giorni trascorsi i quali la base dei dati del servizio viene distrutta e si esegue lo shutdown dei servizi e si spengono i server.

Estrazione dei dati a seguito di disattivazione

Al termine del servizio tutti i dati e documenti registrati nel sistema vengono estratti e forniti al Cliente. I dati vengono forniti in formato xls ed i documenti (pdf) vengono forniti in file zip unitamente ad un file xls di metadati necessario a mantenere i riferimenti tra le dichiarazioni di potenziale conflitto di interessi ed i relativi documenti allegati.

Dati esportabili

  • Formato dei dati esportabili: xls, pdf, zip
  • Dati derivati (configurazioni, template, log, ecc.): NA

Formati in cui è possibile estrarre i dati

xls, pdf, zip

Estrazione e formati di altri asset (in seguito a disattivazione)

NA

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate

  • Web Browser
  • Altro (specificare) (Desktop mobile browser)

Specificare i browser supportati

  • Explorer (Microsoft Edge dalla ver. 42)
  • Firefox (Mozilla Firefox dalla ver. 62)
  • Chrome (Google Chrome dalla ver. 69)
  • Safari (Safari dalla ver. 11)
  • Google Chrome dalla ver. 69Microsoft Edge dalla ver. 42Microsoft IE 10Mozilla Firefox dalla ver. 62Safari dalla ver. 11

Documentazione tecnica

Manuale per la registrazione del dipendente Manuale per la compilazione della dichiarazione di conflitto di interessi potenziale

Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)

  • Disponibile in formato/i consultabile/i offline (PDF)

Elenco delle lingue in cui è disponibile la documentazione

  • Italiano

API di tipo REST/SOAP disponibili per il servizio

  • E' disponibile l'endpoint REST (https://[cliente]API.disclosureme.it ; es. https://ITMAPI.disclosureme.it)
  • Sono presenti meccanismi di autenticazione per le API (JWT su rdbms)
  • Viene fornita la documentazione delle API in formato Web (https://testapi.disclosureme.it/v1/docs/DisclosureAPI-v1.1.pdf)
  • Viene fornita la documentazione delle API in altri formati (PDF)
  • E' presente un ambiente di test delle API (https://testapi.disclosureme.it)

Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API

Le API forniscono: 1. Lista delle disclosure attive presenti nell'ente/azienda 2. Dato un codice fiscale ed un modello di disclosure fornisce lo stato della disclosure (in redazione, inviata, scaduta). 3. Dato un codice fiscale ed un modello di disclosure fornisce l'elenco delle aziende (codice azienda e P.IVA) con le quali il soggetto ha un potenziale conflitto di interessi (sviluppo futuro)

Specificare le piattaforme abilitanti supportate dal servizio

  • Altro (specificare) (NA)

Elenco di procedure per garantire la reversibilità del servizio SaaS.

  • Al termine del servizio Windex avvia la procedura di disattivazione che prevede:1. disattivazione url front end; 2. disattivazione url di back office; 3. estrazione dei dati e documenti da sistema previa richiesta del Cliente tramite posta certificata; 4. dopo 10 gg. lavorativi dal termine del servizio, consegna al Cliente dei dati estratti; 5. trascorso il periodo di salvaguardia di 60 giorni solari dal termine del servizio si esegue lo shutdown dei servizi applicativi, la base dati e i backup vengono distrutti e si deconfigurano i server.

Scalabilità del servizio

  • E' prevista la scalabilità del servizio:
  • La scalabilità del servizio è di tipo automatico: No

Modalità e condizioni previste per la scalabilità del servizio

Al superamento di soglie previste dal dimensionamento iniziale del servizio vengono adeguate le risorse disponibili allo stesso (numero VM nel bilanciatore di carico, numero VCPU, incremento RAM, incremento capacità HD). (V. Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio).

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio

La governance del servizio e la misurazione real time degli SLA per il costante monitoraggio della qualità del servizio avviene attraverso Icinga2 e Monit ed è strutturato a due livelli: il primo livello è gestito da tecnici WINDEX i quali possono all’occorrenza adeguare le risorse disponibili per i servizi. Il secondo livello è disponibile al Cliente al quale forniamo all’Amministratore (tipicamente una figura del SIA – Sistema Informativo Aziendale) un utenza specifica ad un istanza Icinga2 dedicata (es. https://[cliente]_monitor.disclosureme.it), utenza configurata per il monitoraggio dei propri servizi attivi. L’ampia reportistica resa disponibile dai moduli Grafana e Icinga2 Reporting consentono all’Amministratore di tenere costantemente sotto controllo i parametri di funzionamento dei servizi inclusi gli SLA. Agent customizzati per il servizio DISCLOSUREME testano ad intervalli di 3 minuti l’attività del servizio stesso e il corretto funzionamento del database in lettura/scrittura e rilevano i tempi di risposta di talune funzioni. Le sonde rispondono con codici di errore (normal, warning, critical) registrati nel database di Icinga2 e disponibili alla reportistica. In sede di configurazione delle sonde custom vengono impostate con dei valori di soglia, superati i quali varia lo stato del servizio (es. se i tempi dell’operazione testata sono <= di 2 secondi viene considerata normal , fino a 4 secondi viene segnalata come warning e oltre i 4 secondi viene registrata come critical; nel caso di warning e di critical viene notificato l’evento all’Amministratore tramite mail.

Metriche e statistiche disponibili

- Monitoraggio parametri funzionamento dei servizi - Monitoraggio degli SLA - Monitoraggio dei tempi di risposta del sistema in base misurati da sonde custom configurabili

Report disponibili

Il parametro da tenere sotto controllo è il numero delle dichiarazione di potenziale conflitto di interessi affinché non superi il taglio scelto (200, 500, illimitato) + la tolleranza del 10% in più. Per fare questo sono disponibili all'utente sia form sia estrazioni che forniscono il numero delle disclosure attive presenti nel sistema. Gli aspetti economici e di dimensionamento incluse la scelta delle opzioni da attivare (si vedano i listini di https://www.disclosureme.eu) ed i prezzi devono rimanere fissi per le ragioni di pianificazione finanziaria e la conseguente adozione degli atti amministrativi (delibere/determine, ordini, ecc.) tipici delle PP.AA. Abbiamo valutato che quest’approccio risulta più comodo e sicuro per le PP.AA. Nel caso in cui la PA abbia sottostimato il servizio sarà Windex S.r.l. a indicare al Cliente che è necessario rivedere il dimensionamento ed i costi per adeguarli al reale utilizzo: l'eventuale superamento delle soglie non da mai luogo a fatturazioni automatiche. Altri report disponibili con Icinga2: parametri di funzionamento del servizio, SLA, tempi di risposta del sistema.

Livelli di servizio garantiti da dichiarare obbligatoriamente

  • Availability (in percentuale): 99.85
  • Maximum First Support Response Time (in minuti): 120

Monitoraggio dello stato del servizio e notifiche

  • E' disponibile il monitoraggio in tempo reale dello stato del servizio?:
  • Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?:

Controllo dell'Acquirente sulla gestione dei dati

  • L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?: No
  • L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?: No

Meccanismi di autenticazione degli utenti supportati

Registrazione dell'utente e attivazione account tramite email; è richiesta l'immissione di una password complessa da 8 a 50 caratteri con almeno un numero, un simbolo ed una lettera maiuscola. L'utente dovrà anche indicare la domanda segreta e fornire la risposta da utilizzare per il recupero della password. All'atto della registrazione del candidato è presente un sistema capthca code. Le credenziali dei candidati e degli utenti di back office sono registrate criptate sul rdbms. Opzionalmente è previsto anche l'interfacciamento con il sistema AD/LDAP eventualmente presente in Azienda/Ente.

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione

No

Disponibilità di autenticazione a 2 fattori

No

Politiche di accesso alle informazioni in audit

  • In tempo reale: No
  • Differenziata tra utilizzatori e fornitore: No
  • Tempo minimo di conservazione delle informazioni di audit: NA
  • Tempo massimo di conservazione delle informazioni di audit: NA
  • Tempo minimo di conservazione dei log di servizio: NA
  • Tempo massimo di conservazione dei log di servizio: NA

Elementi che concorrono alla determinazione del prezzo (parametri)

Nome parametro Unità di misura Quantità minima
Parametro 1 Numero dichiarazioni COI numero 200
Parametro 2 Numero utenti back office numero 3
Parametro 3 Gestione allegati SI/NO NO

Prezzo base del servizio

  • Prezzo base in euro (in euro): 435
  • Eventuale costo di attivazione (in euro): 3180

Altre condizioni

Il servizio viene fornito con un modello di dichiarazione di potenziale conflitto di interesse pre-configurato. Eventuali richieste di personalizzazione del modello prevedono attività di analisi e di configurazione da quotarsi separatamente. E' prevista una tolleranza del 10% in più sul numero delle disclosure scelte per il taglio del servizio, senza incremento del prezzo.

Esecuzione dei test OWASP

  • Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?:
  • Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità:

Tempistiche per la presa in carico e gestione delle segnalazioni

180 min.

Localizzazione dei data center

Localizzazione (anche parziale) all'interno del territorio italiano

Rispetto alle nazioni extra UE di cui al punto precedente, sono in essere accordi bilaterali con l'Italia (o con l'UE) volti alla salvaguardia della riservatezza e proprietà dei dati?

No