Whistleacta

  • Tipologia: SaaS
  • ID Scheda: SA-2154
  • Stato corrente: QUALIFICATA
  • Categoria: Servizi interni alle PA, Compliance e Trasparenza
  • Azienda fornitrice: Actainfo di Addari Igino sas
  • Referente commerciale: Igino Addari
  • Data di qualificazione: 22-02-2022 18:57

Descrizione generale del servizio

Software web per la segnalazione di fatti illeciti di cui Il segnalante - whistleblowing - è venuto a conoscenza durante la propria attività lavorativa. Applicativo conforme alla legge n. 179 del 30 novembre 2017 e alle nuove Linee Guida di ANAC n. 469 del 9 giugno 2021 che disciplinano la materia e recepiscono le indicazioni del Garante per la protezione dei dati personali.

Caratteristiche funzionali del servizio

  • Aggiornamento della piattaforma web sulla base delle disposizioni emanate da ANAC.
  • Il segnalante - whistleblower - accede all'applicativo web inserendo l'illecito da segnalare, le prove documentali e le informazioni che lo riguardano.
  • Il segnalante - whistleblower - riceve dal sistema un codice identificativo necessario per i successivi accessi finalizzati all'integrazione di notizie e documenti.
  • l'applicativo permette al segnalante di accedere inizialmente in via anonima.
  • Le segnalazioni pervenute al sistema sono accessibili dal Responsabile della prevenzione della corruzione - RPCT/RPC - ed eventualmente da altro soggetto istruttore e/o gruppo di lavoro.
  • Il RPCT riceve un alert via mail al ricevimento di una nuova segnalazione o integrazione di una precedente segnalazione di illecito.
  • Le informazioni e la documentazione oggetto di segnalazione sono crittografati dal sistema inclusi i messaggi indirizzati al RPCT, protetti da una doppia chiave pubblica e privata e accessibili in chiaro al solo RPCT.
  • Per il principio del disaccoppiamento, il sistema gestisce separatamente i dati identificativi del segnalante dal contenuto della segnalazione in modo che la segnalazione possa essere processata in modalità anonima e successivamente associata, attraverso la funzione CUSTODE, con l’identità del segnalante.
  • Eventuali richieste di chiarimenti da parte del RPCT al segnalante e di integrazione di informazioni e documenti avvengono attraverso l'applicativo tramite un meccanismo di scambio di messaggi interno alla piattaforma.

Benefici offerti dal servizio

  • Il servizio garantisce la tutela dei dati personali del segnalante.
  • Il RPCT (Responsabile della Prevenzione della Corruzione e della Trasparenza) può avvalersi di un gruppo di lavoro che parteciperà all'analisi dei fatti denunciati ma non potrà, comunque, accedere ai dati personali del segnalante.
  • La documentazione e i messaggi scambiati all'interno della piattaforma web sono crittografati.

Piattaforma Cloud attraverso la quale è erogato il servizio

Aruba Cloud

Cloud Deployment Model

Public Cloud

Infrastruttura Cloud su cui è basato il servizio

  • Infrastruttura di un fornitore terzo qualificato come CSP
    • Aruba S.p.A.

Sono richiesti prerequisiti?

No

Esistono dipendenze?

No

Eventuali standard e certificazioni

CSA STAR Self-Assessment - CAIQ Standard Linguaggi utilizzati: PHP / Javascript / MySql. Tutti i dati delle segnalazioni di illeciti sono criptati con algoritmo di cifratura a blocchi a chiave simmetrica (AES 128). Crittografia delle connessioni HTTPS basata su TLSV1.2 e TLSV1.3. Standard applicativi W3C XHTML W3C CSS W3C WAI.

Canali disponibili per il supporto tecnico

  • E-mail: Disponibile
  • Ore supporto: 0-24 dal Lunedì al Venerdì
  • Telefono: Disponibile
  • Ore supporto: 9-13 / 15-19 dal Lunedì al Venerdì
  • Sistema di on-line ticketing: Disponibile
  • Ore supporto: 0-24 dal Lunedì al Venerdì
  • Web chat: Non Disponibile
  • Assistenza on-site: Non Disponibile
  • Assistenza remota: Disponibile
  • Ore supporto: 9-13 / 15-19 dal Lunedì al Venerdì
  • Eventuale altro canale (specificare): Disponibile
  • Altro: Sistema di on-line ticketing
  • Ore supporto: 0-24 dal Lunedì al Venerdì

Tempi di attivazione e disattivazione del servizio

  • Tempo di attivazione: 1 ora
  • Tempo di disattivazione: 1 ora

Modalità e processo di attivazione

Configurazione online del servizio con attribuzione delle credenziali di accesso per l'utente RPCT.

Modalità e processo di disattivazione

Disattivazione online del servizio con eliminazione delle credenziali di accesso e degli archivi.

Estrazione dei dati a seguito di disattivazione

I dati presenti nell'applicativo web Whistleacta sono accessibili al solo RCPT e nella sua piena disponibilità di trasferimento o distruzione.

Dati esportabili

  • Formato dei dati esportabili: I dati sono esportabili in forma crittografata dal solo RPCT.
  • Dati derivati (configurazioni, template, log, ecc.): log

Formati in cui è possibile estrarre i dati

csv

Estrazione e formati di altri asset (in seguito a disattivazione)

Non sono previsti altri asset.

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate

  • Web Browser

Specificare i browser supportati

  • Firefox (Firefox 65)
  • Chrome (Chrome 72)
  • Safari (Safari 13)

Documentazione tecnica

1) Manuale on line completo sull'utilizzo dell'applicativo nell'area riservata al RPCT - Responsabile Prevenzione Corruzione e Trasparenza. 2) Corso on line gratuito riservato ai segnalanti per l'uso della piattaforma web whistleacta.

Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)

  • Disponibile e navigabile su Web (https://demo.whistleacta)
  • Disponibile in formato/i consultabile/i offline (pdf)

Elenco delle lingue in cui è disponibile la documentazione

  • Italiano

API di tipo REST/SOAP disponibili per il servizio

  • E' disponibile l'endpoint REST (https://demo.whistleacta.it/whistleacta/api/)
  • Viene fornita la documentazione delle API in altri formati (pdf)

Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API

Sono invocabili tramite API le seguenti Funzionalità: Autenticazione tramite 2FA handler: /api/authentication medodi: POST Non sono previste altre funzionalità invocabili tramite API.

Specificare le piattaforme abilitanti supportate dal servizio

  • Altro (specificare) (NA)

Elenco di procedure per garantire la reversibilità del servizio SaaS.

  • I dati inseriti nel software Whistleacta sono ad uso esclusivo e riservato del RPCT che potra' eseguire il download dei dati in qualsiasi momento lo ritenga necesssario

Scalabilità del servizio

  • E' prevista la scalabilità del servizio:
  • La scalabilità del servizio è di tipo automatico: No

Modalità e condizioni previste per la scalabilità del servizio

Il cliente può richiedere la scalabilità del servizio in termini di utenti accreditati e storage, tramite ticket o e-mail.

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio

Nel servizio non sono presenti risorse a consumo, dato che il servizio prevede un canone annuale predeterminato.

Metriche e statistiche disponibili

CPU Memoria Disco Interfaccia di rete

Report disponibili

Report disponibili su richiesta: Uptime report, Performance report

Livelli di servizio garantiti da dichiarare obbligatoriamente

  • Availability (in percentuale): 99,80%
  • Maximum First Support Response Time (in minuti): 240

Monitoraggio dello stato del servizio e notifiche

  • E' disponibile il monitoraggio in tempo reale dello stato del servizio?:
  • Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?: No

Controllo dell'Acquirente sulla gestione dei dati

  • L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?: No
  • L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?: No

Meccanismi di autenticazione degli utenti supportati

Autenticazione tramite nome utente e password.

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione

  • Descrizione: L'utente autorizzato può modificare le proprie credenziali di accesso.

Disponibilità di autenticazione a 2 fattori

Politiche di accesso alle informazioni in audit

  • In tempo reale: No
  • Differenziata tra utilizzatori e fornitore: No
  • Tempo minimo di conservazione delle informazioni di audit: Valutazione della veridicità della segnalazione di illeciti da parte del RPCT
  • Tempo massimo di conservazione delle informazioni di audit: Sviluppo delle indagini da parte del RPCT
  • Tempo minimo di conservazione dei log di servizio: Durata contratto
  • Tempo massimo di conservazione dei log di servizio: Durata contratto

Elementi che concorrono alla determinazione del prezzo (parametri)

Nome parametro Unità di misura Quantità minima
Parametro 1 Abitanti/Dipendenti numero 1

Prezzo base del servizio

  • Prezzo base in euro (in euro): 120
  • Eventuale costo di attivazione (in euro): ZERO

Altre condizioni

NESSUNA

Esecuzione dei test OWASP

No

Tempistiche per la presa in carico e gestione delle segnalazioni

Tempistiche valide per tutte le modalità di richiesta supporto: - ERRORE CRITICO: 4 ore (nei giorni lavorativi) dalla ricezione della notifica di errore; - ERRORE SEMI-CRITICO: 8 ore (nei giorni lavorativi) dalla ricezione della notifica di errore.

Localizzazione dei data center

Localizzazione (anche parziale) all'interno del territorio italiano

Terms & Conditions

  • Dichiaro che non è occorso altro evento che abbia modificato il rispetto dei requisiti di cui all'allegato "A" alla presente circolare.