OpenBlow

  • Tipologia: SaaS
  • ID Scheda: SA-1688
  • Stato corrente: QUALIFICATA
  • Categoria: Servizi interni alle PA, Gestione procedimenti amministrativi, Compliance e Trasparenza
  • Azienda fornitrice: LASER ROMAE S.r.l.
  • Referente commerciale: Emiliano Fedeli
  • Data di qualificazione: 16-06-2021 15:17

Descrizione generale del servizio

Servizio denominato "OpenBlow" per la segnalazione di condotte illecite nel rispetto dei Decreti Legislativi 179/2017 e 231/2001, che oltre a garantire la compliance della normativa, rispetta in modo nativo le linee guida dell'Autorità Nazionale Anticorruzione (ANAC). Il servizio è erogato attraverso la piattaforma OpenBlow sviluppata per ANAC ed applicabile a qualsiasi Pubblica Amministrazione o Ente.

Caratteristiche funzionali del servizio

  • Inserimento segnalazioni condotte illecite
  • Tutela dell'anonimato e riservatezza dei dati del segnalante
  • Comunicazione asincrona tra RPTC/Segnalante
  • Istruttoria delle segnalazioni ricevute
  • Adeguamento immediato alle linee guida emanate dall'ente anticorruzione (ANAC)
  • Personalizzazione del questionario
  • Inserimento della piattaforma all'interno delle infrastrutture interne alla PA
  • Personalizzazione del layout grafico della piattaforma
  • Workflow di processo personalizzati
  • Processo di validazione delle segnalazioni secondo logiche di maggioranza

Benefici offerti dal servizio

  • tutela a norma di legge nei confronti del segnalante
  • completa personalizzazione in base alle esigente della PA
  • Adeguamento al quadro normativo di riferimento e Linee Guida ANAC
  • presa in carico ed messa in opera in tempi rapidi

Piattaforma Cloud attraverso la quale è erogato il servizio

Amazon AWS

Cloud Deployment Model

Public Cloud

Infrastruttura Cloud su cui è basato il servizio

  • Infrastruttura di un fornitore terzo qualificato come CSP
    • AMAZON WEB SERVICES EMEA SARL

Eventuali servizi correlati già qualificati nel Marketplace

  • OpenWhistleblowing

Sono richiesti prerequisiti?

No

Esistono dipendenze?

No

Eventuali standard e certificazioni

ISO 9001:2015

Canali disponibili per il supporto tecnico

  • E-mail: Disponibile
  • Ore supporto: 24 - Il servizio di supporto tramite e-mail è disponibile H24 dal Lunedì al Venerdì, con un servizio di reperibilità nel fine settimana e giorni festivi per le urgenze o criticità bloccanti
  • Telefono: Disponibile
  • Ore supporto: 12 - Il servizio di supporto Helpdesk telefonico è attivo dal lunedì al venerdi dalle 8.00 alle 19.00
  • Sistema di on-line ticketing: Disponibile
  • Ore supporto: 24 - Il servizio di supporto tramite on line ticketing è disponibile H24 dal Lunedì al Venerdì, con un servizio di reperibilità nel fine settimana e giorni festivi per le urgenze o criticità bloccanti
  • Web chat: Disponibile
  • Ore supporto: 12 - Il servizio di web chat è disponibile dal lunedì al venerdì dalle 8.00 alle 19.00
  • Assistenza on-site: Disponibile
  • Ore supporto: 10 - Il servizio di assistenza on site (in base alla zona di erogazione) è attivo dal lunedì al venerdì dalle 9.00 alle 19.00
  • Assistenza remota: Disponibile
  • Ore supporto: 24 - Il servizio di assistenza da remoto è disponibile h24 dal lunedì al venerdì con un servizio di reperibilità nel fine settimane e festivi per urgenze o criticità bloccanti
  • Eventuale altro canale (specificare): Non disponibile

Tempi di attivazione e disattivazione del servizio

  • Tempo di attivazione: 1 giorno
  • Tempo di disattivazione: 1 settimana

Modalità e processo di attivazione

A seguito di formalizzazione di richiesta di attivazione, si procede con: - Deploy del servizio in Cloud - Personalizzazione dell'applicazione - Personalizzazione del questionario - Attivazione dei ruoli e degli utenti - Accettazione e rilascio del servizio

Modalità e processo di disattivazione

A seguito di richiesta di disattivazione o alla scadenza del contratto, si procede con: - (eventuale) backup cifrato - distruzione sicura dell'istanza

Estrazione dei dati a seguito di disattivazione

Dump del database, tempistica 1 settimana

Dati esportabili

  • Formato dei dati esportabili: JSON, CSV
  • Dati derivati (configurazioni, template, log, ecc.): Contenuto delle segnalazioni, anagrafica, storico transazioni, log.

Formati in cui è possibile estrarre i dati

SQL cifrato

Estrazione e formati di altri asset (in seguito a disattivazione)

archivio cifrato con gli allegati delle segnalazioni

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate

  • Web Browser

Specificare i browser supportati

  • Explorer (versione 11)
  • Firefox (versione 54+)
  • Chrome (versione 52+)
  • Safari (versione 10.1+)
  • Opera (versione 39)

Documentazione tecnica

Manuale utente e amministrazione di sistema.

Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)

  • Disponibile in formato/i consultabile/i offline (pdf)

Elenco delle lingue in cui è disponibile la documentazione

  • Italiano
  • Inglese

API di tipo REST/SOAP disponibili per il servizio

  • E' disponibile l'endpoint REST (/api/v0/admin/configs/<type> /api/v0/admin/configs/<type>/<key> /api/v0/admin/contexts /api/v0/admin/contexts/<context_id> /api/v0/forms /api/v0/forms/<form_id> /api/v0/admin/groups /api/v0/admin/groups/<group_id> /api/v0/admin/roles /api/v0/admin/roles/<role_id> /api/v0/admin/tasks /api/v0/admin/tasks/<task_id> /api/v0/admin/users /api/v0/admin/users/<user_id> /api/v0/auth /api/v0/auth/<user_id> /api/v0/authconfig /api/v0/configs/<type> /api/v0/comments/<tip_id> /api/v0/contexts /api/v0/contexts/<context_id> /api/v0/dossiers /api/v0/dossiers/<dossier_id> /api/v0/user/efrs /api/v0/user/efrs/<efr_id> /api/v0/efrs/files /api/v0/efrs/files/<file_id> /api/v0/tips/<tip_id>/files /api/v0/files/user/<file_id> /api/v0/files/user/tip/<tip_id> /api/v0/wb/files/<file_id> /api/v0/tasks/<tip_task_id>/files /api/v0/files/tasks/<file_id> /api/v0/groups /api/v0/groups/<group_id> /api/v0/user/iars /api/v0/user/iars/<iar_id> /api/v0/tasks /api/v0/tasks/<tip_task_id> /api/v0/user/notifications /api/v0/user/notifications/<notification_id> /api/v0/user /api/v0/user/<user_id> /api/v0/user/tips /api/v0/user/tips/<tip_id> /api/v0/whistleblower/tip /api/v0/whistleblower/tip/<tip_id> /api/v0/static /api/v0/heartbeat)

Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API

Le API offerte dalla soluzione sono di tipo REST e coinvolgono principalmente le seguenti entità: Context (che permette di gestire diversi contesti per le segnalazioni all’interno della stessa realtà), File (relativa ai file inseriti all’interno di una segnalazione), Group (che gestisce i ruoli e relativi permessi all’interno della piattaforma), Notification (che gestisce le notifiche utente), Questionnaire (che gestisce i questionari per le segnalazioni), Tip (che rappresenta la segnalazione stessa), User (che rappresenta gli utenti registrati all’interno della piattaforma).

Specificare le piattaforme abilitanti supportate dal servizio

  • SPID

Elenco di procedure per garantire la reversibilità del servizio SaaS.

  • Il presente documento descrive le modalità operative per la reversibilità del servizio OpenBlow ed il trasferimento delle informazioni contenute in un formato standard e aperto che sia possibile importare tramite opportuno job ETL dentro altre istanze della stessa piattaforma o in software diversi.

Scalabilità del servizio

  • E' prevista la scalabilità del servizio:
  • La scalabilità del servizio è di tipo automatico: No

Modalità e condizioni previste per la scalabilità del servizio

La scalabilità del servizio viene operata in base a due possibili condizioni: -in conseguenza dell’attività di monitoraggio del servizio -in conseguenza di un ordine commerciale relativo alla richiesta di espansione del servizio da parte del Cliente

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio

L’infrastruttura offerta prevede un sistema di logging automatico (greylog2) per il monitoraggio delle risorse associate al servizio e i tempi di uptime/downtime.

Metriche e statistiche disponibili

Le metriche disponibili sono: - tempo di uptime/downtime del servizio - % uptime/downtime del servizio

Report disponibili

Il reporting applicativo messo a disposizione terrà conto di valori misurabili tramite delle metriche definite e oggettive. I report saranno inviati nominalmente con cadenza trimestrale, in alternativa, è possibile definire intervalli temporali secondo le esigenze della PA

Livelli di servizio garantiti da dichiarare obbligatoriamente

  • Availability (in percentuale): 99,98
  • Maximum First Support Response Time (in minuti): 30

Monitoraggio dello stato del servizio e notifiche

  • E' disponibile il monitoraggio in tempo reale dello stato del servizio?:
  • Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?: No

Controllo dell'Acquirente sulla gestione dei dati

  • L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?:
  • L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?:

Meccanismi di autenticazione degli utenti supportati

credenziali di autenticazione. In caso di necessità da parte della PA è possibile concordare meccanismi di autenticazione integrativi (i.e. AD, LDAP, etc...)

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione

  • Descrizione: SAML, LDAP, AD,Aouth2

Disponibilità di autenticazione a 2 fattori

Politiche di accesso alle informazioni in audit

  • In tempo reale: No
  • Differenziata tra utilizzatori e fornitore: No
  • Tempo minimo di conservazione delle informazioni di audit: la piattaforma OpenBlow implementa un processo di anonimizzazione per garantire, al raggiungimento di opportune soglie temporali, che i dati sensibili di una segnalazione non risultino più accessibili, eliminando la correlazione tra i Metadati e i Dati. I tempi di anonimizzazione e di data retention possono essere impostati attraverso il pannello di amministrazione della piattaforma secondo le policy interne aziendali e dipendentemente dallo stato della segnalazione.
  • Tempo massimo di conservazione delle informazioni di audit: la piattaforma OpenBlow implementa un processo di anonimizzazione per garantire, al raggiungimento di opportune soglie temporali, che i dati sensibili di una segnalazione non risultino più accessibili, eliminando la correlazione tra i Metadati e i Dati. I tempi di anonimizzazione e di data retention possono essere impostati attraverso il pannello di amministrazione della piattaforma secondo le policy interne aziendali e dipendentemente dallo stato della segnalazione.
  • Tempo minimo di conservazione dei log di servizio: Di default 3 mesi. l tempo minimo e massimo di conservazione dei log di sistema è un parametro impostato dall’amministratore di sistema, secondo il regolamento GPDR implementato all’interno dell'organizzazione. I tempi sono concordati con l’utente finale in base alle politiche di sicurezza interne. I dati sono sempre accessibili e possono essere forniti all’utente in qualsiasi momento.
  • Tempo massimo di conservazione dei log di servizio: Di default 1 anno. l tempo minimo e massimo di conservazione dei log di sistema è un parametro impostato dall’amministratore di sistema, secondo il regolamento GPDR implementato all’interno dell'organizzazione. I tempi sono concordati con l’utente finale in base alle politiche di sicurezza interne. I dati sono sempre accessibili e possono essere forniti all’utente in qualsiasi momento.

Elementi che concorrono alla determinazione del prezzo (parametri)

Nome parametro Unità di misura Quantità minima
Parametro 1 Attivazione licenza dell'istanza mensilità nessuna

Prezzo base del servizio

  • Prezzo base in euro (in euro): 1250
  • Eventuale costo di attivazione (in euro): 0

Esecuzione dei test OWASP

  • Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?:
  • Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità:

Tempistiche per la presa in carico e gestione delle segnalazioni

30 minuti

Localizzazione dei data center

Localizzazione (anche parziale) all'interno del territorio dell'Unione Europea

Terms & Conditions

  • Dichiaro che non è occorso altro evento che abbia modificato il rispetto dei requisiti di cui all'allegato "A" alla presente circolare.