Data Protection Manager (DPM)

  • Tipologia: SaaS
  • ID Scheda: SA-1922
  • Stato corrente: QUALIFICATA
  • Categoria: Servizi per l'information technology, IT Security
  • Azienda fornitrice: Studio Storti Srl
  • Referente commerciale: Andrea De Lorenzi
  • Data di qualificazione: 11-11-2021 14:16

Descrizione generale del servizio

Data Protection Manager (DPM) è una applicazione web ideata per decentralizzare ed automatizzare gli adempimenti normativi in materia privacy e protezione dei dati giunto alla sua quarta versione in occasione dell’entrata in vigore del GDPR. Il software è progettato per agevolare l'adempimento degli obblighi prescritti dalla normativa nazionale ed europea in materia di Privacy e Protezione dei Dati è uno strumento di compliance che consente di agevolare l'ottemperanza agli adempimenti in matteria di protezione dei dati, quali la tenuta del registro dei trattamenti, valutazione d'impatto, la tenuta di un registro delle violazioni dei dati, delle richieste degli interessati, la generazione di accordi sulla protezione dei dati interni ed esterni all'organizzazione e delle informative.

Caratteristiche funzionali del servizio

  • Registro delle attività di trattamento
  • Valutazione d’impatto sulla protezione dei dati (DPIA)
  • Registro delle violazioni di dati
  • Registro delle richieste di esercizio dei diritti degli interessati
  • Generazione documenti: registri, report DPIA, informative, notifiche violazioni dei dati
  • Generazione accordi: responsabile del trattamento, designati, amministratori di sistema e autorizzati al trattamento
  • FAD Formazione a distanza

Piattaforma Cloud attraverso la quale è erogato il servizio

Nivola CSI Piemonte

Cloud Deployment Model

Public Cloud

Specificare altra rete pubblica

  • Altra rete pubblica (specificare) (NA)

Infrastruttura Cloud su cui è basato il servizio

  • Infrastruttura di un fornitore terzo qualificato come CSP
    • CSI Piemonte - Consorzio per il Sistema Informativo

Eventuali servizi correlati già qualificati nel Marketplace

  • Data Protection Manager (DPM)

Sono richiesti prerequisiti?

I prerequisiti riguardano altri servizi Cloud?

No

Esistono dipendenze?

Le dipendenze riguardano servizi Cloud?

No

Canali disponibili per il supporto tecnico

  • E-mail: Disponibile
  • Ore supporto: 24h con presa in carico dal lunedì al venerdì, dalle 9.00 alle 18.00
  • Telefono: Disponibile
  • Ore supporto: Dal lunedì al venerdì, dalle 9.00 alle 13.00 e dalle 14.00 alle 18.00
  • Sistema di on-line ticketing: Non Disponibile
  • Web chat: Non Disponibile
  • Assistenza on-site: Non Disponibile
  • Assistenza remota: Non Disponibile
  • Eventuale altro canale (specificare): Non disponibile

Tempi di attivazione e disattivazione del servizio

  • Tempo di attivazione: 2 giorni
  • Tempo di disattivazione: 2 giorni

Modalità e processo di attivazione

Alla sottoscrizione del Contratto o dell’aggiudicazione di una procedura di appalto, il Responsabile del Contratto della Studio Storti srl individua un referente che segue tutte le fasi di implementazione di DPM all’interno dell’Ente. A seguire, le fasi del processo di attivazione del servizio: 1. creazione dell'istanza; 2. migrazione ed importazione massiva di contenuti preesistenti; 3. eventuale integrazione con sistemi di autenticazione e inventario aziendali; 4. collaudo

Modalità e processo di disattivazione

Allo scadere del contratto o su richiesta legittima del cliente il servizio viene disattivato in 2 giorni lavorativi.

Estrazione dei dati a seguito di disattivazione

Durante il periodo di vigenza del contratto il cliente può in qualsiasi momento estrarre i dati in formato odf (open document format) e pdf. Salvo diversa richiesta del cliente i dati sono conservati da Studio Storti per i tre mesi successivi alla cessazione del rapporto contrattuale. Fino al secondo mense successivo alla conclusione del contratto il cliente può chiedere la restituzione dei dati contenuti nel DB in formato sql o csv.

Dati esportabili

  • Formato dei dati esportabili: PDF, ODF, CSV, Sql
  • Dati derivati (configurazioni, template, log, ecc.): NA

Formati in cui è possibile estrarre i dati

PDF, ODF, CSV, Sql

Estrazione e formati di altri asset (in seguito a disattivazione)

PDF, ODF, CSV, Sql

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate

  • Web Browser

Specificare i browser supportati

  • Explorer (Edge ultime 2 versioni stabili (96.0))
  • Firefox (Firefox Ultima Versione Stabile e extended support release (ESR) (94.0))
  • Chrome (Chrome Ultima Versione Stabile (96.0))
  • Safari (Safari ultime 2 versioni stabili (14.1))

Documentazione tecnica

È disponibile un manuale on-line anche scaricabile anche in formato PDF nella documentazione on- line sono presenti anche dei video tutorial che illustrano il funzionamento di alcune componenti dell’applicativo.

Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)

  • Disponibile e navigabile su Web (https://doc.privacymanager.eu)
  • Disponibile in formato/i consultabile/i offline (pdf)

Elenco delle lingue in cui è disponibile la documentazione

  • Italiano

API di tipo REST/SOAP disponibili per il servizio

  • E' disponibile l'endpoint REST (https://TENANT.privacymanager.eu/api/)
  • Sono presenti meccanismi di autenticazione per le API (plain auth / token JWT)
  • Viene fornita la documentazione delle API in formato Web (https://doc.privacymanager.eu/manuale/API.html)
  • Viene fornita la documentazione delle API in altri formati (pdf)

Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API

Autenticazione, Registro delle attività di trattamento, Valutazione d’impatto sulla protezione dei dati, Gerazione report DPIA, Applicativi, Server, Utenti, Accordi, Documenti, Data Breach e richieste degli interessati

Specificare le piattaforme abilitanti supportate dal servizio

  • Altro (specificare) (NA)

Elenco di procedure per garantire la reversibilità del servizio SaaS.

  • L’amministrazione acquirente può, tramite l’interfaccia grafica dell’applicativo, esportare la quasi totalità delle informazioni inserite nel software in formato aperto e modificabile. Per le informazioni non ricomprese nell’export dei documenti il fornitore si impegna durante il periodo di salvaguardia a garantire su istanza del cliente l’esportazione in formato csv, o un intero dump del DB in formato sql.

Scalabilità del servizio

  • E' prevista la scalabilità del servizio:
  • La scalabilità del servizio è di tipo automatico: No

Modalità e condizioni previste per la scalabilità del servizio

Il servizio è erogato in modalità “Multi-tenant SaaS Application”, con un utilizzo efficiente ed efficace delle risorse computazioni dell’infrastruttura cloud. Inoltre il design della soluzione software permette di scalare sia verticalmente (potenziamento hardware dei nodi) che orizzontalmente (aggiunta di nuove istanze)

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio

Il servizio è erogato a canone fisso annuale. Tramite il cruscotto gli utenti con privilegi di amministratore hanno la possibilità di visualizzare dei KPI relativo allo stato di compliance dell'organizzazione. Una apposta pagina accessibile tramite il sito istituzionale della soluzione, riposta lo stato del servizio in tempo reale

Metriche e statistiche disponibili

Numero di attività di trattamento svolte dall’organizzazione in qualità di titolare e in qualità di responsabile. Categorie di dati classificate come Personali, Particolari e Relativi a reati e condanne penali. Numero de ruolo applicativo degli utenti. Numero complessivo: strutture, applicativi, server, e terze parti. Valutazione d’impatto: indice di rischio residuo

Report disponibili

Registri delle attività di trattamento Valutazioni d'impatto sulla protezione dei dati Notifiche di violazioni di dati

Livelli di servizio garantiti da dichiarare obbligatoriamente

  • Availability (in percentuale): 99,8
  • Maximum First Support Response Time (in minuti): 120

Monitoraggio dello stato del servizio e notifiche

  • E' disponibile il monitoraggio in tempo reale dello stato del servizio?:
  • Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?: No

Controllo dell'Acquirente sulla gestione dei dati

  • L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?: No
  • L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?:

Meccanismi di autenticazione degli utenti supportati

username e password

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione

  • Descrizione: integrazione con active directory LDAP o eventuali portali esterni previa verifica tecnica

Disponibilità di autenticazione a 2 fattori

No

Politiche di accesso alle informazioni in audit

  • In tempo reale: No
  • Differenziata tra utilizzatori e fornitore: No
  • Tempo minimo di conservazione delle informazioni di audit: 180gg
  • Tempo massimo di conservazione delle informazioni di audit: 180gg
  • Tempo minimo di conservazione dei log di servizio: 180gg
  • Tempo massimo di conservazione dei log di servizio: Il log di servizio vengono conservati su filesystem per sei mesi

Elementi che concorrono alla determinazione del prezzo (parametri)

Nome parametro Unità di misura Quantità minima
Parametro 1 istanza numero 1

Prezzo base del servizio

  • Prezzo base in euro (in euro): 1500
  • Eventuale costo di attivazione (in euro): NA

Altre condizioni

Il prezzo di base si riferisce all’applicativo senza connettori e DB aziendali, senza la funzionalità di FAD e senza giornate di supporto on-site, le sopracitate funzionalità sono disponibili su richiesta e quotate separatamente, con quotazione da listino

Esecuzione dei test OWASP

  • Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?:
  • Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità:

Tempistiche per la presa in carico e gestione delle segnalazioni

Quanto sopra con finestra di servizio: lun/ven 09:00-13:00,14:00-18:00 Prevista la presa in carico del problema entro due ore lavorative dalla vostra segnalazione. La risoluzione è garantita entro quattro ore lavorative in orario standard salvo malfunzionamenti hardware e/o di componenti non riconducibili al committente.

Localizzazione dei data center

Localizzazione (anche parziale) all'interno del territorio italiano

Terms & Conditions

  • Dichiaro che non è occorso altro evento che abbia modificato il rispetto dei requisiti di cui all'allegato "A" alla presente circolare.