GRC CORA

  • Tipologia: SaaS
  • ID Scheda: SA-1711
  • Stato corrente: QUALIFICATA
  • Categoria: Servizi interni alle PA, Compliance e Trasparenza, Data Governance
  • Azienda fornitrice: Compet-e srl
  • Referente commerciale: Piermaria saglietto
  • Data di qualificazione: 16-07-2021 15:55

Descrizione generale del servizio

GRC CORA è una soluzione integrata e modulabile, estremamente flessibile e parametrizzabile che permette di governare l'intero modello di compliance aziendale attraverso un unico sistema sinergico.Moduli disponibili: GDPR – Regolamento Europeo 2016/679 27001 - Analisi dei rischi e sicurezza delle informazioni ai sensi della ISO/IEC27001:2013 ADS – Gestione dei log degli amministratori di sistema AML – Gestione rischi antiriciclaggio Principali caratteristiche: Integrata, Modulabile, Multi-aziendale, Multilingua, Documentata Compliant alle best practices e linee guida per lo sviluppo Sicuro del Software

Caratteristiche funzionali del servizio

  • Gestione dell'organizzazione dell'ente (organigrammi e funzionigrammi)
  • Gestione degli adempimenti privacy (GDPR e d.lgs.196/2003 così come novellato dal d.lgs.101/2018)
  • Gestione degli aspetti legati alla sicurezza delle informazioni (ISO 27001, ISO27017, ISO27018)
  • Gestione degli aspetti legati agli amministratori di sistema (Provv. Garante Privacy 27/11/2008 e s.m.i.)
  • Gestione degli aspetti compliance con approccio "risk based" (ISO 31000)
  • Gestione degli aspetti di presenza e sicurezza in azienda legati all'emergenza Covid
  • Gestione dei rischi in ambito riciclaggio
  • Gestione delle informazioni su base storica

Benefici offerti dal servizio

  • Software altamente guidato tramite percorsi e wizard
  • Costantemente aggiornato a livello normativo ad opera di un team di esperti
  • Conservazione storica delle informazioni
  • Prodotto esclusivamente web-based: non sono necessarie estensioni sui client degli utilizzatori.
  • Alta configurabilità delle utenze e dei profili di utenza

Piattaforma Cloud attraverso la quale è erogato il servizio

Etaeria

Cloud Deployment Model

Hybrid Cloud

Infrastruttura Cloud su cui è basato il servizio

  • Infrastruttura di un fornitore terzo qualificato come CSP
    • etaeria spa

Sono richiesti prerequisiti?

No

Esistono dipendenze?

No

Canali disponibili per il supporto tecnico

  • E-mail: Disponibile
  • Ore supporto: Da lunedì al venerdì, dalle ore 9 alle ore 18 - presa in carico entro 4 ore dalla richiesta.
  • Telefono: Disponibile
  • Ore supporto: Da lunedì al venerdì, dalle ore 9 alle ore 18 - presa in carico immediata ma condizionata dalla disponibilità del personale.
  • Sistema di on-line ticketing: Disponibile
  • Ore supporto: Da lunedì al venerdì, dalle ore 9 alle ore 18 - presa in carico immediata e prima risposta entro 4 ore.
  • Web chat: Disponibile
  • Ore supporto: Da lunedì al venerdì, dalle ore 9 alle ore 18 - presa in carico immediata ma condizionata dalla disponibilità del personale.
  • Assistenza on-site: Disponibile
  • Ore supporto: Da lunedì al venerdì, dalle ore 9 alle ore 18
  • Assistenza remota: Disponibile
  • Ore supporto: Da lunedì al venerdì, dalle ore 9 alle ore 18
  • Eventuale altro canale (specificare): Non disponibile

Tempi di attivazione e disattivazione del servizio

  • Tempo di attivazione: 30 giorni da ordine/affidamento
  • Tempo di disattivazione: 30 giorni da comunicazione/scadenza del contratto

Modalità e processo di attivazione

Alla ricezione dell'ordine /affidamento avviene la creazione dell'ambiente dedicato al cliente e creata la prima utenza ad un key user. Viene indetta la riunione di kick off con il cliente durante la quale: i) viene illustrato il prodotto ii) viene effettuata una pianificazione condivisa delle attività con il cliente

Modalità e processo di disattivazione

Alla scadenza del Contratto, al Cliente verrà concesso il diritto di utilizzare l’applicativo per un termine di ulteriori 30 giorni, cosicché egli possa estrarre/salvare tutti i propri dati. Decorso questo ulteriore termine, verranno cancellati l’utenza, l’ambiente e tutti i dati del Cliente, senza possibilità di recuperarli.

Estrazione dei dati a seguito di disattivazione

Sono concessi al cliente ulteriori 30 giorni dalla data di scadenza/cessazione del contratto per estrarre/salvare tutti i propri dati con funzionalità proprie dell'applicativo.

Dati esportabili

  • Formato dei dati esportabili: CSV, XLS, DOC
  • Dati derivati (configurazioni, template, log, ecc.): CSV, XLS, DOC

Formati in cui è possibile estrarre i dati

CSV, XLS, DOC

Estrazione e formati di altri asset (in seguito a disattivazione)

Sono concessi al cliente ulteriori 30 giorni dalla data di scadenza/cessazione del contratto per estrarre/salvare tutti i propri dati con funzionalità proprie dell'applicativo. (formati CSV, XLS, DOC)

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate

  • Web Browser

Specificare i browser supportati

  • Explorer (10+)
  • Firefox (42+)
  • Chrome (47+)
  • Safari (9+)
  • Edge 12+

Documentazione tecnica

In fase di offerta sono allegati i seguenti documenti: - scheda di prodotto - allegato tecnico E' presente un manuale online sull'applicativo.

Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)

  • Disponibile e navigabile su Web (Previa autenticazione)
  • Disponibile in formato/i consultabile/i offline (PDF,DOC)

Elenco delle lingue in cui è disponibile la documentazione

  • Italiano

API di tipo REST/SOAP disponibili per il servizio

  • E' disponibile l'endpoint REST (https://grccora-pa.compet-e.com/CORAAPI/api/)
  • Sono presenti meccanismi di autenticazione per le API (Sono presenti meccanismi di autenticazione per le API (Autenticazione tramite token, username e password). Vedere la documentazione su come devono essere passati i parametri. Il nome utente per l'accesso è "testagid". Per la password e il token, per motivi di sicurezza, rivolgersi al fornitore (hd-cora@compet-e.it).)
  • Viene fornita la documentazione delle API in formato Web (https://grccora-pa.compet-e.com/CORAAPI/HelpAPI )
  • Viene fornita la documentazione delle API in altri formati (pdf)

Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API

- API che restituisce i costi sostenuti sul Cloud relativamente al cliente. - API che restituisce una richiesta degli interessati all’interno del sistema GRC CORA.

Specificare le piattaforme abilitanti supportate dal servizio

  • Altro (specificare) (N/A)

Elenco di procedure per garantire la reversibilità del servizio SaaS.

  • La richiesta di cancellazione può essere fatta dal cliente tramite email. Il support center inserisce la richiesta nel sistema interno di trouble-ticketing con una scadenza compatibile con i tempi dichiarati in fase contrattuale. Parallelamente il support center invia una mail di risposta al cliente indicando le tempistiche di esecuzione ed esortandolo, nel periodo precedente, ad operare le estrazioni dei dati di proprio interesse con le funzioni specifiche del sistema. La richiesta immessa dal support center è presa in carico dal team di competenza il quale, nei tempi stabiliti, opererà i seguenti passi: 1. Disattivazione account degli utenti 2. Cancellazione dei dati di produzione 3. Comunicazione dell'avvenuta cancellazione.

Scalabilità del servizio

  • E' prevista la scalabilità del servizio:
  • La scalabilità del servizio è di tipo automatico: No

Modalità e condizioni previste per la scalabilità del servizio

Il cliente deve contattare il fornitore per indicare i nuovi parametri (ex: aumento del numero trattamenti). Il fornitore effettua quotazione, Ricevuto assenso a procedere da parte del cliente genera una nuova chiave di licenza, la inserisce sul sistema e notifica al cliente l'avvenuto upgrade / downgrade.

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio

Pagina sull'applicativo di monitoraggio dei costi (Sezione UTILITY -Costo servizio SaaS)

Metriche e statistiche disponibili

Canone mensile in base al tipo di servizio erogato. Il sistema di economics non si basa su numero utenze attive connesse, risorse consumate ma è di tipo flat in base ai servizi acquisiti (valore flat esplicitato chiaramente in fase contrattuale) - L'utente ha la possibilità di avere informazioni circa le metriche grazie alla specifica funzionalità a sistema "UTILITY -Costo servizio SaaS"

Report disponibili

Report dei livelli di utilizzo del servizio (in formato anonimo e quindi non a livello di singolo utente) per ciascuna funzionalità. Non sono presenti report di stampo economico in quanto la tariffa è flat.

Livelli di servizio garantiti da dichiarare obbligatoriamente

  • Availability (in percentuale): 99,73
  • Maximum First Support Response Time (in minuti): 240

Monitoraggio dello stato del servizio e notifiche

  • E' disponibile il monitoraggio in tempo reale dello stato del servizio?: No
  • Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?:

Controllo dell'Acquirente sulla gestione dei dati

  • L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?: No
  • L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?: No

Meccanismi di autenticazione degli utenti supportati

User e password gestiti dalla piattaforma in base a prefissate regole di complessità, integrazione con LDAP tramite Microsoft Federation Services.

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione

  • Descrizione: Numero minimo e massimo di caratteri delle password, livello di complessità, numero di password precedenti non riutilizzabili

Disponibilità di autenticazione a 2 fattori

Politiche di accesso alle informazioni in audit

  • In tempo reale: No
  • Differenziata tra utilizzatori e fornitore: No
  • Tempo minimo di conservazione delle informazioni di audit: 6 mesi
  • Tempo massimo di conservazione delle informazioni di audit: Un anno
  • Tempo minimo di conservazione dei log di servizio: 6 mesi
  • Tempo massimo di conservazione dei log di servizio: Un anno

Elementi che concorrono alla determinazione del prezzo (parametri)

Nome parametro Unità di misura Quantità minima
Parametro 1 TRATTAMENTI NUMERO 5
Parametro 2 UTENTI NUMERO 1
Parametro 3 PROCESSI / SERVIZI NUMERO 5
Parametro 4 ENTI NUMER0 1

Prezzo base del servizio

  • Prezzo base in euro (in euro): 1200 / anno
  • Eventuale costo di attivazione (in euro): 0

Altre condizioni

N/A

Esecuzione dei test OWASP

  • Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?:
  • Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità:

Tempistiche per la presa in carico e gestione delle segnalazioni

eMail entro 4 ore dalla richiesta ,Telefono generalmente immediata ma condizionata a seconda della disponibilità del personale On-Line Ticketing presa in carico immediata e prima risposta entro 4 ore

Localizzazione dei data center

Localizzazione (anche parziale) all'interno del territorio italiano

Terms & Conditions

  • Dichiaro che non è occorso altro evento che abbia modificato il rispetto dei requisiti di cui all'allegato "A" alla presente circolare.