WhistleblowingPA

  • Tipologia: SaaS
  • ID Scheda: SA-1721
  • Stato corrente: QUALIFICATA
  • Categoria: Servizi per l'information technology, IT Security, Content Management
  • Azienda fornitrice: Whistleblowing Solutions Impresa Sociale S.r.l.
  • Referente commerciale: Giovanni Pellerano
  • Data di qualificazione: 12-05-2021 14:31

Descrizione generale del servizio

Servizio di whistleblowing software as a service (SaaS) basato su GlobaLeaks Free and Open Source Software e realizzato da Whistleblowing Solutions Impresa Sociale in collaborazione Transparency International Italia.

Caratteristiche funzionali del servizio

  • Piattaforma di Whistleblowing basata su software GlobaLeaks ufficiale realizzato e mantenuto daglia autori originali del software e configurato in aderenza alla best practice in materia di whistleblowing in collaborazione con Transparency International Italia
  • Costantemente aggiornato rispetto agli sviluppi normativi: rappresenta la soluzione definitiva e l’eliminazione delle problematiche legate agli interventi di adeguamento ad ogni cambiamento legislativo e/o nuovo regolamento tecnico
  • Garantito da SLA (Service Level Agreement) di primo livello, per offrire la massima garanzia di raggiungibilità del servizio, in linea con il Codice dell'Amministrazione Digitale
  • Configurabilità dei contenuti della homepage (logo, contenuti)
  • Configurabilità della struttura informativa dei moduli di segnalazione
  • Completa configurabilità delle policy di amministrazione e delle policy di data retention
  • Semplicissimo da utilizzare in quanto caratterizzata da un ambiente di gestione di ultima generazione con molteplici strumenti e funzionalità dedicate, volte a guidare i gestori delle segnalazioni durante la fase di gestione delle segnalazioni ricevute, al fine di garantire ai segnalanti il massimo livello di protezione in riferimento al rispetto della normativa
  • Pieno supporto all'anonimato tecnologico Tor

Benefici offerti dal servizio

  • Piena aderenza alle normative e alla best practice in materia di whistleblowing, anticorruzione e sicurezza informatica. L'applicativo informatico è conforme alle leggi n. 190/2012 e 179/2017, alla direttiva (UE) 2019/1937 e al GDPR
  • Significativa qualità e sicurezza nella gestione dei dati; L'applicativo è il risultato di ricerca applicata in 10 anni di progetti in molteplici settori di applicazione che spaziano dai sistemi anticorruzione della pubblica amministrazione ai sistemi di auditing e compliance nel settore privato; l'applicativo sviluppato in collaborazione con l'Open Technology Fund di Washington vede la sua adozione da parte di importanti autorità tra cui a titolo di esempio l'Autorià Nazionale Anticorruzione Italiana (ANAC), Agenzia per l'Italia Digitale (Agid), Corte Penale Internazionale dell'Aia, Governo di Barcellona, Governo del Messico e Autorità Anticorruzione del Madagascar (BIANCO); Parimenti il software è usato nel settore privato da importanti aziende italiane e straniere e multinazionali quali Cameo, Angelini Farmaceutica, Gruppo Sole 24 Ore e ACF Fiorentina; tutti questi esempi d'uso e diversificati contesti di utilizzo sono garanzia della qualità maturata e di una continua e completata peer review pubblica.
  • Elevata usabilità; Il software è specificatamente studiato per poter rispondere alle esigenze dei segnalanti comuni, dotati di pochi o ridotti strumenti informatici quali smartphone o tablet e connessione limitata; ogni interfaccia è studiata per essere responsive e fruibile anche da questo tipo di terminali
  • Pienamente aderente alle linee guida di riuso e basato interamente su tecnologia open-source
  • Gratuito

Piattaforma Cloud attraverso la quale è erogato il servizio

VMware

Cloud Deployment Model

Public Cloud

Specificare altra rete pubblica

  • Altra rete pubblica (specificare) (Rete internet (ridondata su operatori: Cogent, MINMAP, AMSIX AMS-IX,TIM, MIX, NTT, GTT); Rete Tor)

Infrastruttura Cloud su cui è basato il servizio

  • Infrastruttura di un fornitore terzo qualificato come CSP
    • Seeweb s.r.l.

Sono richiesti prerequisiti?

No

Esistono dipendenze?

No

Eventuali standard e certificazioni

Certificazioni di Servizio - ISO/IEC 27001 - ISO/IEC 27017 - ISO/IEC 27018 - CSA STAR Self-Assessment - CAIQ Standard utilizzati nell'applicativo: - Metodologia di programmazione sicura su riferimento OWASP - Linguaggi utilizzati: Python / Javascript - Accessibilita conforma standard WAI-ARIA - Crittografia dei dati basasta su protocolli standard: AES/PGP/Curve25519/XSalsa20/Poly1305 - Crittografia delle connessioni HTTPS basata su TLSV1.2 e TLSV1.3 - Utilizzo del protocollo Tor per l'implementazione del piu avanzato livello di anonimato tecnologico al passo con lo stato dell'arte di settore.

Canali disponibili per il supporto tecnico

  • E-mail: Disponibile
  • Ore supporto: Dal lunedì al venerdì dalle 9.00 alle 18.00
  • Telefono: Disponibile
  • Ore supporto: Dal lunedì al venerdì dalle 9.00 alle 18.00
  • Sistema di on-line ticketing: Disponibile
  • Ore supporto: Dal lunedì al venerdì dalle 9.00 alle 18.00
  • Web chat: Disponibile
  • Ore supporto: Dal lunedì al venerdì dalle 9.00 alle 18.00
  • Assistenza on-site: Non Disponibile
  • Assistenza remota: Disponibile
  • Ore supporto: Dal lunedì al venerdì dalle 9.00 alle 18.00
  • Eventuale altro canale (specificare): Disponibile
  • Altro: Forum utenti
  • Ore supporto: Sempre attivo

Tempi di attivazione e disattivazione del servizio

  • Tempo di attivazione: Attivazione immediata
  • Tempo di disattivazione: 7gg

Modalità e processo di attivazione

Gli utenti possono attivare gratuitamente una propria piattaforma compilando un semplice form di self signup.

Modalità e processo di disattivazione

Il committente può procedere all’esportazione di dati in qualunque momento tramite le funzioni disponibili all'interno dell'ambiente applicativo. Dietro richiesta, verrà preparato un pacchetto dati ed i diversi asset di configurazione del servizio per eventuale migrazione.

Estrazione dei dati a seguito di disattivazione

L'estrazione dei dati è operabile dagli utenti in ogni momento tramite il proprio pannello di gestione e ancor prima che la piattaforma venga disattivata; su richiesta esportati secondo le esigenze degli utenti per poi attivare le procedure automatiche di cancellazione sicura.

Dati esportabili

  • Formato dei dati esportabili: I dati sono esportabili in formato aperto (ZIP, TXT, CSV) e fruibili senza necessità di alcuna acquisizione software o licenze d'uso.
  • Dati derivati (configurazioni, template, log, ecc.): I dati sono esportabili in formato aperto (ZIP, TXT, CSV) e fruibili senza necessità di alcuna acquisizione software o licenze d'uso.

Formati in cui è possibile estrarre i dati

ZIP, TXT, CSV

Estrazione e formati di altri asset (in seguito a disattivazione)

N/A

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate

  • Web Browser

Specificare i browser supportati

  • Explorer (11)
  • Firefox (34)
  • Chrome (37)
  • Safari (10)
  • Opera (24)
  • Tor Browser: Vengono supportate tutte le versioni basate su Firefox >=34; Per ragioni di sicurezza si invitano gli utenti che si dotano di questo browser ad utilizzare sempre la versione più aggiornata disponibile su sito www.torproject.org

Documentazione tecnica

- Specifica di Threat Model (https://docs.globaleaks.org/en/main/security/ThreatModel.html) - Specifica di Application Security (https://docs.globaleaks.org/en/main/security/ApplicationSecurity.html) - Specifica di Encryption Protocol (https://docs.globaleaks.org/en/main/security/EncryptionProtocol.html) - Report indipendenti di sicurezza (https://docs.globaleaks.org/en/main/security/PenetrationTests.html) - Manuale utente (https://docs.globaleaks.org/en/main/user/index.html) - Intera metodologià a codice aperto e con peer review pubblica (https://github.com/globaleaks/GlobaLeaks)

Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)

  • Disponibile e navigabile su Web (https://docs.globaleaks.org)
  • Disponibile in formato/i consultabile/i offline (PDF, HTML, ePub)

Elenco delle lingue in cui è disponibile la documentazione

  • Italiano
  • Inglese

API di tipo REST/SOAP disponibili per il servizio

  • E' disponibile l'endpoint REST (https://registrazione.whistleblowing.it/api/public)
  • Sono presenti meccanismi di autenticazione per le API (Sono presenti meccanismi di autenticazione per le API (Alcune API richiedono l'utilizzo di un particolare Token autorizzativo. A seconda del modello di implementazione scelto dal cliente inoltre, potrebbero esserci meccanismi di autenticazione a livello servizio.))
  • Viene fornita la documentazione delle API in formato Web (https://docs.globaleaks.org)
  • Viene fornita la documentazione delle API in altri formati (Viene fornita la documentazione delle API in altri formati (Documentazi)
  • E' presente un ambiente di test delle API (https://try.globaleaks.org/api/public)

Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API

L’intero software erogato è stato sviluppato tramite una API di tipo REST con interfacce GET/POST/PUT/DELETE e formato di richiesta HTTP/JSON. L’elenco delle principali funzionalità utente invocabili tramite API sono le seguenti: Funzionalità: Autenticazione tramite passphrase e 2FA handler: /api/authentication medodi: POST Funzionalità: Accesso e aggiornamento del token di sessione handler: /api/session medodi: GET, PUT Funzionalità: Accesso alla lista configurazione pubblica del sistema handler: /api/public medodi: GET Funzionalità: Accesso e modifica della configurazione del sistema handler: /api/node medodi: GET, PUT Funzionalità: Accesso e modifica delle preferenze utente e della password handler: /api/preferences medodi: GET, PUT Funzionalità: Richiesta di cambio password handler: /api/preferences medodi: POST Funzionalità: Accesso alla lista delle segnalazioni handler: /api/rtips medodi: GET Funzionalità: Accesso ad una segnalazione handler: /api/rtips/$ID$ medodi: GET Funzionalità: Download di un singolo allegato di una segnalazione handler: /api/rfile/$ID$ medodi: GET Funzionalità: Export zip di una segnalazione e dei suoi allegati handler: /api/rtips/$ID$/export medodi: GET Funzionalità: Export zip di tutte le segnalazioni presenti a sistema handler: /api/rtips/export medodi: GET L'intera API è studiata con l'ambizione di poter diventare una API open-source standard per sistemi di whistleblowing e per favorire integrazione con case managements di terze parti.

Specificare le piattaforme abilitanti supportate dal servizio

  • Altro (specificare) (N/A: Il sistema dedicato ad un uso applicativo in materia di protezione dei segnalant è specificatamente progettato e privo di alcun componenti e integrazioni di terze parti)

Elenco di procedure per garantire la reversibilità del servizio SaaS.

  • La procedura di reversibilità messa in essere all’interno del progetto WhistleblowingPA risponde specifiche necessità legislative, a un complesso insieme di normative ed a best practice specifica in materia di whistleblowing, privacy e sicurezza delle informazioni.
  • Nello specifico la procedura è studiata per rispondere alle esigenze di reversibilità nel rispetto delle leggi 190/2012 e 179/2017, della Direttiva (UE) 2019/1937, del GDPR e della best practice in materia di whistleblowing e di sicurezza informatica.
  • La pubblica amministrazione ha sempre piena disponibilità di funzioni atte a scaricare l’archivio delle segnalazioni a sistema tramite funzionalità di export presenti sulle interfacce utente; gli archivi esportati sono resi fruibili in formati aperti (zip, txt, csv, xls) fruibili senza necessità di software addizionale e/o licenziato;
  • La procedura di disattivazione e cancellazione della piattaforma deve essere richiesta dalla pubblica amministrazione tramite formale richiesta mail all’indirizzo info@whistleblowing.it che esprimano le necessità della disattivazione e lo stato di gestione delle segnalazioni in essere e le procedure attivate per assicurarsi di una completa gestione delle segnalazioni attive nel pieno rispetto dei segnalanti e dei loro diritti ai sensi di legge;
  • I responsabili del servizio SaaS in collaborazione con il partner di progetto Transparency International Italia fanno seguito a presa in carico della richiesta entro e non oltre 7gg con riscontro e confronto con la pubblica amministrazione sulle best practice di gestione in risposta alle necessità di progetto della pubblica amministrazione e con accertamento volto a verificare che la pubblica amministrazione abbia proceduto all’effettivo salvataggio responsabile dei contenuti e gestione delle segnalazioni attive;

Scalabilità del servizio

  • E' prevista la scalabilità del servizio:
  • La scalabilità del servizio è di tipo automatico: No

Modalità e condizioni previste per la scalabilità del servizio

Le prestazioni di tutto il sistema sono costantemente monitorate da strumenti manuali ed automatici. In caso di eventi critici o problematiche di performance, gli operatori del fornitore sono avvisati immediatamente e possono valutare la necessità di intervento sulle risorse utilizzate (CPU, RAM, disco, istanze dei servizi attive, ecc...)

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio

Non sono previsti strumenti di monitoraggio in merito ai costi in quanto la piattaforma viene offerta a titolo gratuito per pubblica utilità. Lo stato di disponibilità delle componenti infrastrutturali e delle percentuali di uptime è visualizzabile agli indirizzi - https://uptime.globaleaks.org/ - https://uptime.whistleblowing.it/ L'applicativo e i componenti che lo compongono sono monitorabili in ogni fase dello sviluppo con possibilità di ispezione del codice, visualizzazione di parametri di qualità statica e dinamica: Qualità del codice e metriche di copertura test visualizzabile tramite pannello Codacy.io: https://app.codacy.com/manual/GlobaLeaks/GlobaLeaks Qualità generale del progetto visualizzabile tramite pannello OpenHub: https://www.openhub.net/p/globaleaks Mozilla HTTP Observatory: https://www.ssllabs.com/ssltest/analyze.html?d=try.globaleaks.org Security Headers: https://securityheaders.com/?q=try.globaleaks.org SSLLabs: https://www.ssllabs.com/ssltest/analyze.html?d=try.globaleaks.org Stato delle traduzioni: https://www.transifex.com/otf/globaleaks/dashboard/ Software pubblicato in riuso su portale Developers Italia: https://developers.italia.it/it/software/globaleaks-globaleaks-f22648.html

Metriche e statistiche disponibili

- Percentuali di disponibilità dei sistemi coinvolti nel servizio (percentuale) - Tempi di risposta (min, max, avg in ms) - Metriche di code quality (riferimento codacy.io) - Metriche di code coverage (percentuale) - Numero di traduzioni disponibili (numero) - Percentuale di stato delle traduzioni (percentuale) - Livello di qualità delle comunicazioni WEB (secondo standard di mercato e parametri SSLLabs, Mozilla HTTP Observatory, Security Headers)

Report disponibili

Metodologià completamente opensource con piena trasparenza agli utenti degli aspetti che ne determinano e ottimizzano i costi e pieno reinvestimento della società di ogni eventuale profitto nelle finalità di ricerca e sviluppo di GlobaLeaks e progetti di anticorruzione.

Livelli di servizio garantiti da dichiarare obbligatoriamente

  • Availability (in percentuale): 99.5
  • Maximum First Support Response Time (in minuti): 240

Monitoraggio dello stato del servizio e notifiche

  • E' disponibile il monitoraggio in tempo reale dello stato del servizio?:
  • Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?: No

Controllo dell'Acquirente sulla gestione dei dati

  • L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?:
  • L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?:

Meccanismi di autenticazione degli utenti supportati

Autenticazione Web sicura (senza cookies) con supporto alla autenticazione a due fattori (2FA) basata su protocollo TOTP Autenticazione anonima per i segnalanti ricercata in collaborazione con Open Tech Fund di Washington

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione

No

Disponibilità di autenticazione a 2 fattori

Politiche di accesso alle informazioni in audit

  • In tempo reale:
  • Differenziata tra utilizzatori e fornitore:
  • Tempo minimo di conservazione delle informazioni di audit: 10 anni
  • Tempo massimo di conservazione delle informazioni di audit: 10 anni
  • Tempo minimo di conservazione dei log di servizio: 10 anni
  • Tempo massimo di conservazione dei log di servizio: 10 anni

Elementi che concorrono alla determinazione del prezzo (parametri)

Nome parametro Unità di misura Quantità minima
Parametro 1 piattaforma gratuita 1 1

Prezzo base del servizio

  • Prezzo base in euro (in euro): 0
  • Eventuale costo di attivazione (in euro): 0

Esecuzione dei test OWASP

  • Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?:
  • Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità:

Tempistiche per la presa in carico e gestione delle segnalazioni

Tempi di presa in carico e risoluzione relativa a segnalazioni bloccanti: 4 ore lavorative; Tempi di presa in carico e risoluzione relativa a segnalazioni non bloccanti: 8 ore lavorative.

Localizzazione dei data center

Localizzazione (anche parziale) all'interno del territorio italiano