SOMMARIO
Protocollo di intesa con ODCEC Arezzo
Offerta tecnico-economica
Resp. Xxxx. Xxxxxxxxx Xxxxxxx
SOMMARIO
1 INTRODUZIONE ERRORE. IL SEGNALIBRO NON È DEFINITO.
3.1 REALIZZAZIONE DEI BENEFICI 5
3.3 OTTIMIZZAZIONE DELLE RISORSE 5
3.6 ADEGUAMENTO INFRASTRUTTURALE 6
4.4 RESPONSABILI DI CONTRATTO 9
5.1 FORNITURA HARDWARE E SOFTWARE ERRORE. IL SEGNALIBRO NON È DEFINITO.
6 MODALITÀ DI FATTURAZIONE E TERMINI DI PAGAMENTO 10
8 PIANIFICAZIONE DELLE ATTIVITÀ 11
9 CONDIZIONI PER EROGARE I SERVIZI 11
10 CRITERI DI COMPLETAMENTO 12
11 RESPONSABILI DI CONTRATTO 12
12 RICHIESTE DI CAMBIAMENTO IN CORSO D’OPERA 12
13 PERSONALE E COLLABORATORI DI QM 13
15 PRIVACY ERRORE. IL SEGNALIBRO NON È DEFINITO.
1 Protocollo d'intesa
Ambito
Il General Data Protection Regulation (GDPR UE 679/16) pone l’attenzione, fra le altre, sulle misure tecniche ed organizzative. E’ un Regolamento (e non una Direttiva) già in vigore dal Maggio 2016 le cui sanzioni verranno applicate dal Maggio 2018: i due anni di tempo tra l’entrata in vigore e l’applicazione delle sanzioni sono il tempo che il Legislatore, consapevole dell’importante lavoro che le Organizzazioni dovranno affrontare considerando il cambio di paradigma sul Dato e la sua protezione (Data Protection), ha ritenuto congruo per adeguarsi.
Proprio per la natura multidisciplinare, l’analisi del dato è argomento attenzionato sotto vari profili (Cyber security, Data Design, Web Reputation, Privacy, etc..). Oggi più che mai serve un collettore di tutti i deliverable: la cosiddetta Data Governance.
Con l’obiettivo di supportare le Aziende nel percorso di adeguamento al GDPR, QM propone un approccio progettuale finalizzato a rafforzare le pratiche di Data Governance aziendale con particolare riferimento alla capacità di indirizzare in maniera sistematica e strutturata il sistema dei controlli, a partire dai meccanismi di governo degli accessi alle risorse informatiche, comprendendo i driver di business e adattandosi di volta in volta al cambiamento delle esigenze proponendo soluzioni tecnologiche e/o procedurali che minimizzino il rischio di tale cambiamento.
Inoltre, l’approccio QM garantirà un incremento significativo del livello di sicurezza aziendale e una riduzione del rischio a beneficio di tutta l’azienda. Di seguito sono elencati alcuni benefici ottenibili:
• fornire evidenze di una corretta gestione delle informazioni in conformità alle responsabilità civili e penali;
• assicurare la conformità alle policy aziendali;
• ridurre l’esposizione ai rischi nei limiti di una soglia accettabile;
• aumentare la fiducia nella relazione con i clienti, i partner e i fornitori;
• proteggere l’immagine e la reputazione dell’organizzazione;
• identificare e tracciare le responsabilità nello svolgimento delle attività critiche;
• ridurre le perdite in seguito ad eventi di sicurezza.
In tale contesto, QM offre un supporto specialistico consulenziale al fine di:
• supportare la struttura IT nella identificazione di nuove modalità operative (es. outsourcing di alcuni processi, esternalizzazione di alcuni servizi ecc.);
• supportare l’azienda nel rafforzamento di alcuni dei controlli chiave per la protezione delle informazioni aziendali;
• introdurre metodologie di gestione della cyber-security rispetto alle esigenze di compliance verso il GDPR.
Il beneficio per l’organizzazione si traduce in un generale miglioramento nell’efficienza di erogazione dei servizi IT, in un sempre migliore rapporto con clienti interni, e una più consapevole gestione del rischio negli ambiti sensibili alla disponibilità del servizio:
• rafforzando tutti i processi di Data governance;
• focalizzandosi e supportando i processi operativi dell’azienda in relazione alle attività che sono in carico alla Direzione IT.
Nel presente documento sono indicati di seguito l’analisi della soluzione proposta e la valutazione complessiva dell’offerta.
Di seguito descritti gli aspetti di creazione di valore che QM si prefigge di realizzare al completamento dell’attività oggetto dell’attuale proposta.
2.1 Realizzazione dei benefici
In questo paragrafo viene descritto l’impatto atteso dell’iniziativa in termini di realizzazione di benefici per il Business.
• Migliore conoscenza del patrimonio informatico aziendale;
• adeguamento delle prassi di gestione della sicurezza al nuovo Regolamento Europeo, con particolare attenzione al trattamento dei dati personali.
In questo paragrafo viene descritto l’impatto atteso dell’iniziativa in termini di gestione ed eventuale riduzione dei rischi associati.
• grazie all’identificazione dei rischi e degli impatti sarà possibile pianificare delle azioni di trattamento mirate a specifici controlli di sicurezza;
• assicurare il rispetto delle prescrizioni previste dal nuovo Regolamento Europeo in materia di trattamento dei dati personali (GDPR).
2.3 Ottimizzazione delle risorse
In questo paragrafo viene descritto l’impatto atteso dell’iniziativa in termini di ottimizzazione delle risorse aziendali.
• valutazione degli strumenti a supporto della Security Operations in modo da individuare, tramite appropriate software e technology selection le soluzioni più idonee agli scopi aziendali;
• riduzione dei tempi legati alla disponibilità delle informazioni a seguito di disservizi grazie al rafforzamento delle policy e procedure di gestione della sicurezza delle informazioni in linea con lo standard ISO27001.
La nostra consulenza in tema di Privacy e GDPR, permette di rispondere agli adempimenti Privacy Italiani ed Europei andando e tutelare concretamente le informazioni presenti e trattate in azienda.
In tema Privacy, alla normativa Italiana si è andato a sommare il recente Regolamento Europeo sulla Data Protection che impone alle imprese una revisione radicale della Privacy passando ad modello strutturato di gestione della privacy.
QM è a vostra disposizione per supportarvi nello sviluppo e nell'implementazione di un Modello di Gestione della Privacy, adeguato al vostro ambito lavorativo, che rispetti gli obblighi di legge ma non sia di ostacolo al business.
Di seguito proponiamo una descrizione delle attività che i professionisti di QM svolgeranno per il Cliente.
Interviste focus group
La prima fase delle attività si svolgeranno tramite la metodologia dei focus group: attraverso interviste rivolte ai referenti di business sarà possibile raccogliere informazioni di tipo qualitativo sul tema oggetto di analisi. Gli intervistati
forniranno le informazioni sui processi gestionali e modalità operative ad essi associati che hanno un impatto sui dati personali.
Gap Analysis
Questa attività permetterà di identificare e misurare gli scostamenti normativi ed operativi rispetto al GDPR, per verificare se la vostra azienda è conforme in tutto, o solamente in parte, piuttosto che completamente non conforme alla normativa. Quest’analisi, che riguarderà le quattro direttive Policy e procedure, Applicativi, Infrastruttura, Database, permette di identificare quali siano le aree prioritarie sulle quali intervenire per poter proporre, in seguito, un piano di remediation volto a ridurre e sanare le non conformità.
Di seguito proponiamo uno schema con le attività che verranno svolte
Attraverso le attività di consulenza Informatica, legale ed organizzativa, QM è in grado di verificare e misurare quanto l’azienda è conforme alle norme disposte dal GDPR. Vengono valutati gli aspetti organizzativi e le procedure adottate dall’azienda, analizzando in modo puntuale ciascun requisito della normativa.
Attraverso il team specializzato costituito da QM e dai propri partner, porre in essere tutte le azioni di remediation, finalizzate ad indirizzare le non conformità rilevate dall’attività di Gap Analysis. Viene definito un piano di rientro strutturato ed organico, che tiene conto delle priorità di intervento e delle esigenze operative della vostra azienda.
Obiettivo è affiancare sia per gli aspetti legali, sia per gli interventi di carattere organizzativo e funzionale, rivedendo, ottimizzando o implementando le procedure necessarie.
2.6 ADEGUAMENTO INFRASTRUTTURALE
Terminate le prime due fasi, QM è in grado di proporvi le migliori soluzioni tecnologiche che presentano le caratteristiche necessarie all’adeguamento alla normativa GDPR.
QM mette a disposizione tutte le competenze dei propri consulenti, per affiancare lo staff IT della vostra azienda nella definizione, ottimizzazione e gestione di tutte le attività necessarie all’implementazione e alla messa in produzione delle soluzioni, per rispondere pienamente alle esigenze della normativa.
A seguito della raccolta delle informazioni relative ai sistemi informatici, all’infrastruttura hardware e software in uso presso il Cliente, QM sarà in grado di valutare, tramite appropriate software e technology selection, le soluzioni più idonee agli scopi aziendali e in conformità al GDPR.
Di seguito proponiamo un diagramma con le macro-fasi dell’Assessement:
Prerequisiti per lo svolgimento delle attività.
Dal punto di vista delle analisi dei flussi procedurali si richiederà al Cliente:
• Organigramma aziendale
• Documento di Valutazione dei Rischi (D.V.R.)
• Documento Programmatico di Sicurezza (D.P.S.)
• Regolamento Informatico aziendale Per gli aspetti informatici:
• Possibilità di installazione fisica dell’appliance in ascolto su una porta mirror dello switch core
• Accesso ai sistemi di networking e ai sistemi informatici del cliente
L’offerta tecnico-economica di QM è comprensiva di deliverable documentali. Di seguito il dettaglio:
Deliverable |
Report di Analisi degli impatti |
Report di Analisi dei rischi |
Mappa Applicativa |
Registro dei trattamenti |
Mappa Infrastrutturale |
Policy e procedure |
Piano di remediation |
Data Protection Impact Analysis |
Tabella dei deliverables
La proposta prevede impegno di figure professionali con pluriennale esperienza nei rispettivi ambiti di intervento, in particolare saranno presenti:
• Senior Project Manager: con esperienza pluriennale in vari ambiti progettuali ICT: Data Analysis, Software Engeenering, ERP, Business Analysis, IT Governance, Entreprise Architecture.
• Business Analyst: con esperienza nell’identificare le aree dove sono necessari cambiamenti del sistema informativo per supportare il business plan e controllare l'impatto in termini di gestione del cambiamento. Esperienza in ambito IT Governance, Risk & Compliance management.
• Senior System Engineer: con esperienza pluriennale in ambito Vulnerability assessment, design and delivery di infrastrutture di sicurezza, design and delivery di infrastrutture di backup e recovery.
Di seguito a titolo esplicativo riportiamo un macro Gantt delle attività, tale documento sarà poi preparato con il responsabile del Cliente e, presentato a tutti gli utenti nella giornata di kick-off.
QM e il Cliente nomineranno ciascuno in Responsabile del Contratto e della gestione degli aspetti tecnici, applicativi e gestionali relativi ai servizi di cui al presente documento. In funzione delle criticità presenti saranno predisposte opportune sessioni in cui saranno trattati, in particolare, (e senza alcuna pretesa di esaustività) i seguenti argomenti:
• mantenere i contatti con la controparte;
• coordinare le attività del proprio gruppo di lavoro e gestire le obbligazioni relative al Progetto;
• supportare le proprie funzioni aziendali;
• tracciare e conservare le comunicazioni intercorse, che si supporranno validamente conosciute dalle Parti. pianificazione generale delle attività operative (con riferimento, anzitutto, alle modalità applicative del sistema informativo). In tale ambito occorrerà definire anche i criteri da adottare davanti a nuovi sviluppi o a
circostanze contingenti per l’erogazione dei servizi e la conduzione del sistema informativo;
• impatto delle soluzioni informatiche e informative, ed eventuali ripianificazioni;
• verifica e collaudo delle procedure messe in atto da QM;
• verifica dello stato di avanzamento nell’erogazione dei servizi, degli eventuali malfunzionamenti e dei punti critici del Sistema;
• predisposizione e sottoscrizione dei verbali relativi e documentazione di progetto.
Nei paragrafi successivi sono decritti i prezzi di tutte le attività professionali e consulenziali per la realizzazione del progetto.
Di seguito si riporta il dimensionamento economico previsto, come concordato per il presente protocollo di intesa, in funzione del numero di addetti dello studio commerciale:
Descrizione Fasce | Prezzo di listino |
Da 0 a 5 addetti | 900,00 € c.a. |
Addetti da 6 a 10 | 1.300,00 € c.a. |
Addetti da 11 a 20 | 2.000,00 € c.a. |
Addetti da 21 e oltre | 2.900,00 € c.a. |
Tabella 1:Corrispettivi economici, si considerano addetti coloro che risiedono lavorativamente all’interno dello stesso studio commerciale.
Il corrispettivo indicato è da intendersi al netto dell'I.V.A..
5 Modalità di Fatturazione e Termini di pagamento
I corrispettivi economici indicati nel presente documento come attività svolta da QM saranno effettuati secondo il seguente schema:
Descrizione | Modalità |
Servizi professionali | 40% alla firma del contratto 60% alla consegna della documentazione di progetto |
Tabella 3:Modalità di Fatturazione
I pagamenti dovranno essere effettuati tramite Ricevuta Bancaria Gli Acconti si intendono:
• acconto 40% immediato
• restante 60% a 30 gg data fattura
6 Pianificazione delle attività
Il piano di realizzazione prevede l’inizio delle attività 15 (quindici) giorni lavorativi dalla sottoscrizione dell'ordine da parte del Cliente. I tempi di realizzazione, le funzionalità previste per l’implementazione e la pianificazione delle attività del Progetto sono riportati nel rispettivo paragrafo. Al termine delle attività il Responsabile del Progetto QM consegnerà al suo omologo (brevi manu o a mezzo di posta elettronica certificata (PEC)) un documento con la comunicazione del raggiungimento del risultato previsto, che dovrà essere sottoscritto dal Cliente “per accettazione”. La mancata sottoscrizione da parte del Cliente del suddetto documento di accettazione entro 5 (cinque) giorni lavorativi dalla sua presentazione da parte del Responsabile del Progetto QM, e/o l’assenza di un motivato rifiuto del Cliente alla sottoscrizione di detto documento nel medesimo termine di 5 (cinque) giorni lavorativi, equivarranno ad accettazione.
Qualora si verifichino impedimenti al regolare svolgimento delle attività pianificate imputabili completamente ed in modo comprovato al Cliente, quest’ultimo riconoscerà a QM gli eventuali costi aggiuntivi, inclusa l’eventuale forzata sottoutilizzazione delle risorse in base alle tariffe in vigore, ed il possibile e conseguente slittamento delle relative date di completamento.
Le Parti concorderanno che gli avvenimenti sussumibili nella definizione comunemente accettata di forza maggiore, daranno luogo alla sospensione momentanea e reciproca delle obbligazioni contrattuali, qui dedotte, sino a quando l’avvenimento di forza maggiore cesserà di avere effetto sulla parte colpita ed impedita, e allo slittamento delle date di completamento.
7 Condizioni per erogare i Servizi
I servizi precedentemente descritti saranno erogati a condizione che il Cliente:
• comunichi tempestivamente a QM eventuali interventi di terzi in concomitanza con le attività di cui alla presente offerta;
• mettere a disposizione un accesso al sistema, la documentazione e tutte le informazioni necessarie per effettuare le attività oggetto del presente Contratto, senza addebiti, allo scopo;
• predisporre, se necessario in relazione alla attività, a propria cura e spese un adeguato ambiente di test per le verifiche necessarie;
• permettere al personale QM accesso ad Internet, la dove necessario;
• permettere al personale QM di poter accedere da remoto attraverso VPN, la dove necessario;
• fornire un gruppo di lavoro che per competenze, profilo professionale, deleghe decisionali, e disponibilità di tempo, rispecchi le richieste di QM, per una corretta gestione del Progetto;
QM si impegna a prestare i Servizi di cui al presente protocollo d'intesa secondo i criteri, le modalità e le condizioni contenute in esso descritte, inoltre QM:
• garantirà per tutti i componenti del proprio Team di Progetto (personale dipendente, collaboratori esterni, partner, ecc.) comportamenti coerenti agli impegni assunti tra le Parti in materia di riservatezza, e rispettosi delle policy di sicurezza e di utilizzo delle risorse adottate dal Cliente, e comunicate a QM;
• manlevare e tenere indenne il Cliente rispetto ad eventuali pretese di personale dipendente (e non) verso il Cliente stesso.
Il Cliente potrà proporre mediante comunicazione scritta qualsiasi rilievo, critica, e/o eccezione relative alle prestazioni di un singolo dipendente e/o collaboratore di QM. A seguito del ricevimento di tale comunicazione, QM adotterà le misure opportune, comunicandole al Cliente, per correggere quanto rilevato, comunicato o eccepito dallo stesso. In ogni caso il Cliente, con specifica richiesta adeguatamente motivata, potrà richiedere ed ottenere la sostituzione di dipendenti e/o collaboratori di QM.
Le attività di cui al presente documento si riterranno completate qualora i casi prova siano stati positivamente eseguiti.
Qualora il completamento non sia ritenuto raggiunto QM ed il Cliente ridefiniranno un piano di lavoro atto a superare gli errori identificati e fisseranno una data per un nuovo system test.
Qualora, in seguito ai test ed alle verifiche successive effettuati dal Cliente nell’ambiente di test, questi rilevasse difformità rispetto a quanto indicato nel presente Ordine, dovrà darne comunicazione scritta recante l’indicazione dei malfunzionamenti rilevati, entro e non oltre 5 (cinque) giorni lavorativi dalla consegna in ambiente di test. Sarà quindi compito di QM rimediare alle carenze.
In assenza della comunicazione scritta del Cliente recante l’indicazione dei malfunzionamenti, nelle modalità e tempi come sopra descritto, le attività si riterranno accettate dal Cliente.
QM e il Cliente nomineranno ciascuno in Responsabile del Contratto e della gestione degli aspetti tecnici, applicativi e gestionali relativi ai servizi di cui al presente documento. In funzione delle criticità presenti saranno predisposte opportune sessioni in cui saranno trattati, in particolare, (e senza alcuna pretesa di esaustività) i seguenti argomenti:
• mantenere i contatti con la controparte;
• coordinare le attività del proprio gruppo di lavoro e gestire le obbligazioni relative al Progetto;
• supportare le proprie funzioni aziendali;
• tracciare e conservare le comunicazioni intercorse, che si supporranno validamente conosciute dalle Parti. pianificazione generale delle attività operative (con riferimento, anzitutto, alle modalità applicative del sistema informativo). In tale ambito occorrerà definire anche i criteri da adottare davanti a nuovi sviluppi o a circostanze contingenti per l’erogazione dei servizi e la conduzione del sistema informativo;
• impatto delle soluzioni informatiche e informative, ed eventuali ripianificazioni;
• verifica e collaudo delle procedure messe in atto da QM;
• verifica dello stato di avanzamento nell’erogazione dei servizi, degli eventuali malfunzionamenti e dei punti critici del Sistema;
• predisposizione e sottoscrizione dei verbali relativi e documentazione di progetto.
10 Richieste di Cambiamento in Corso d’Opera
Le variazioni dovranno essere concordate e apportate osservando la disciplina del presente paragrafo.
Nel caso in cui una Parte (di seguito la “Parte Richiedente”) intenda richiedere all'altra una variazione al Progetto oggetto del presente Ordine, la Parte Richiedente stessa dovrà inviare all'altra Parte un documento in cui siano descritti in modo dettagliato la variazione richiesta, le motivazioni di tale variazione e gli effetti che la stessa ha sulle attività
precedentemente descritte (di seguito la "Richiesta di Variazione del Progetto" o “Change Request”). La Richiesta di Variazione del Progetto, prima di essere sottoposta all'altra Parte, deve essere approvata dal Responsabile di Progetto della Parte Richiedente.
I Responsabili di Progetto delle Parti dovranno esaminare congiuntamente la Richiesta di Variazione del Progetto. All’esito di tale esame, i Responsabili di Progetto delle Parti possono approvare la Richiesta di Variazione del Progetto, richiedere un suo approfondimento, o respingerla.
Qualora venga richiesto un suo approfondimento, QM comunicherà al Cliente il costo di tale analisi. Se il Cliente conviene di accettare le condizioni economiche poste da QM, i capi progetto delle due parti firmano il documento della Change Request, che costituisce approvazione per l’avvio dell’analisi, in caso negativo le Parti si accorderanno sulla continuazione od interruzione del Progetto. Tale analisi ha lo scopo di stabilire l’effetto che detto cambiamento avrà sull’importo complessivo delle attività di cui al presente documento, il nuovo calendario delle attività ed ogni altro punto dell’accordo che risulterà alterato. Pertanto, QM avrà la facoltà di rivederne i costi e le tempistiche del Progetto.
Tali spese correlate a qualunque attività (Progetto, Change Request, ecc.) saranno fatturate al Cliente sulla base del piano di fatturazione precedentemente descritto.
11 Personale e Collaboratori di QM
QM, per l'esecuzione dell'ordine, si avvarrà di lavoratori coi quali ha stipulato un regolare contratto conforme alle disposizioni di legge vigenti, nei confronti dei quali dovrà corrispondere il trattamento economico previsto da legge e contratto, nonché versare i contributi previdenziali ed assistenziali ove previsto. Ogni conseguenza derivante dalla violazione precedentemente sarà esclusivamente a carico di QM, che fin d'ora dichiara di manlevare e tenere indenne il Cliente da qualsivoglia responsabilità, onere, danno e/o costo derivante da detto inadempimento. Infine, QM avrà la facoltà di subappaltare prestazioni oggetto del presente Ordine a fornitori di fiducia facenti parte del proprio Network, QM potrà impiegare liberi professionisti e/o subfornitori, il cui rapporto dovrà essere regolamentato per iscritto, e di cui QM sarà l’unica e diretta responsabile. Qualora QM intendesse subappaltare prestazioni oggetto del presente Ordine a società estranee al proprio Network, dovrà ottenere una preventiva autorizzazione da parte del Cliente, che non potrà essere irragionevolmente negata.
QM si impegna a tenere il Cliente informato di tutte le posizioni e di provvedere, qualora il Cliente lo richiedesse, a dare visibilità del versamento dei contributi previdenziali ed assistenziali.
QM si impegna a fornire risorse qualificate per il Progetto e salvo cause di forza maggiore darà continuità di rapporto durante il Progetto, evitando che il Cliente debba rifare attività per il passaggio di consegne e competenze tra persone diverse nello stesso ruolo.
QM e il Cliente saranno tenuti ad assumere le misure di sicurezza e di protezione necessarie, sia all’interno della propria organizzazione, sia nello svolgimento di attività che comportino contatti con i terzi, a garantire la riservatezza dei dati e a garantire l’osservanza di tutte le disposizioni vigenti in materia di trattamento dei dati riservati con particolare riferimento alla Legge.196/03.
• I dati e i programmi che il Cliente affida a QM sono riservati.
• Non si devono considerare segrete le informazioni quando il soggetto cui pervengono: o ne fosse già in legittimo possesso come dato certo;
o le abbia ricevute da terzi autorizzati validamente a trasferirle e senza il vincolo della soggezione al segreto.
La presente offerta è riservata esclusivamente agli iscritti all'Ordine Dottori Commercialisti ed Esperti Cpntabili di Arezzo ed ha validità 90 giorni lavorativi.
A questo documento dovrà seguire un ordine a QM, all'indirizzo di seguito indicato:
QM Srl
Email: xxxx@xxxxx.xx Pec: xx.xxx@xxx.xx
Arezzo, 22.01.2018
Firmato
Il Presidente ODCEC Arezzo Xxx.xx Unico