Santarcangelo di Romagna, 25/05/2018
Santarcangelo di Romagna, 25/05/2018
DICHIARAZIONE DI CONFORMITÀ SOFTWARE “APPALTI&CONTRATTI”, “LAVORI” e “VIGILANZA” IN TEMA DI MISURE MINIME DI SICUREZZA (Circ. Agid 2/2017) E COMPLIANCE ALLA PRIVACY BY DESIGN (Reg. UE 2016/679)
Gentile Cliente,
in data 25 maggio 2018 diventa pienamente efficace Regolamento Generale sulla Protezione dei Dati (Reg. UE 2016/679).
I software delle linee prodotti “Appalti&Contratti”, “Lavori” e “Vigilanza” di Maggioli Spa aderiscono alle indicazioni della Circolare Agid n.2/2017 del 18 aprile 2017 in relazione alle «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)» , e garantiscono il pieno rispetto di quanto previsto dal Reg. UE 2016/679.
Sicurezza dei dati (art. 24 e 32 GDPR)
Tutti i processi produttivi (sviluppo, collaudo, manutenzione del software) e di assistenza (monitoraggio e tracciamento delle richieste, del loro stato ed evoluzione) sono eseguiti in osservanza ed in accordo con il Manuale della Qualità di cui alla certificazione ISO 9001:2015 posseduta, adottando sistemi atti a impedire la vulnerabilità dei codici sorgenti.
La soluzione proposta, tramite l’infrastruttura applicativa, garantisce la disponibilità e l’integrità di tutti i dati nel caso in cui si verifichino errori, assicurando l’isolamento e limitando la propagazione delle anomalie nei diversi moduli applicativi. Il prodotto utilizza un’infrastruttura di persistenza che garantisce l’atomicità delle transazioni effettuate assicurando l’integrità dei dati anche a fronte di errori e situazioni anomale.
Le attività di personalizzazione software di tipo “custom” sono progettate nel rispetto della totale compatibilità e integrazione con la linea di produzione standard, adottando sistemi parametrici con chiavi di attivazione / disattivazione delle funzionalità dedicate.
Servizio di assistenza e manutenzione
L’assistenza viene garantita mediante un servizio di help-desk, per fornire il supporto tecnico-operativo agli utenti dell’Ente interessati alla fruizione dei servizi
dell’infrastruttura tecnologica ed applicativa. Il servizio di help-desk eroga le sue attività agli utenti al fine di risolvere le problematiche che si manifestano e per le quali il personale dell’Ente non sia autonomo nella soluzione. Il servizio di help desk viene erogato da personale altamente qualificato, preparato e di comprovata esperienza nel settore della Pubblica Amministrazione Locale ed è in grado di risolvere in modo rapido e puntuale il problema segnalato. Compiti ed attività del servizio di Help desk sono tali da:
• fornire direttamente la soluzione attraverso il canale telefonico e/o con collegamento da remoto, avvalendosi in caso di necessitò del supporto del 2° Livello e/o del reparto di Sviluppo software.
• attivare su richiesta del Cliente, previo acquisto di giornate, l’assistenza on- site di personale in modalità affiancamento nel caso di esigenza specifica dell’ente.
Misure Tecniche – Gestione Utenti e accessi
Il sistema di autenticazione degli utenti alle applicazioni in oggetto permette di integrarsi in modo efficace con un sistema di autenticazione LDAP. Il sistema di autenticazione delle applicazioni è ovviamente in grado di operare in autonomia anche se non collegato ad un sistema di autenticazione LDAP, in particolare per gestire le situazioni di servizio LDAP momentaneamente offline oppure quando non si voglia proprio fare uso di un LDAP. L'autenticazione degli utenti è prevista una sola volta, al momento dell'accesso all'applicazione. L'applicazione prevede funzionalità di tipo amministrativo, tali da consentire una profilazione centralizzata e granulare degli utenti.
Nello specifico le applicazioni in oggetto recepiscono le seguenti indicazioni previste nella Circolare Agid n.2/2017, con particolare attenzione alle seguenti indicazioni:
• [ABSC 5.1.2] Utilizzare le utenze amministrative solo per effettuare operazioni che ne richiedano i privilegi, registrando ogni accesso effettuato
• [ABSC 5.7.1] Quando l'autenticazione a più fattori non è supportata, utilizzare per le utenze amministrative credenziali di elevata robustezza (e.g. almeno 14 caratteri con la regola di avere almeno una maiuscola e un numero)
• [ABSC 5.7.3] Assicurare che le credenziali delle utenze amministrative vengano sostituite con sufficiente frequenza (password aging opzione 30-60- 90 gg)
• [ABSC 5.7.4] Impedire che credenziali già utilizzate possano essere riutilizzate a breve distanza di tempo (password history opzione 15-20-25 volte)
• [ABSC 5.4.1] Tracciare nei log l'aggiunta o la soppressione di un'utenza amministrativa
• [ABSC 5.4.2] Generare un'allerta quando viene aggiunta un'utenza amministrativa
• [ABSC 5.4.3] Generare un'allerta quando vengano aumentati i diritti di un'utenza amministrativa
• [ABSC 5.5.1] Tracciare nei log i tentativi falliti di accesso con un'utenza amministrativa
• [ABSC 5.7.2] Impedire che per le utenze amministrative vengano utilizzate credenziali deboli
• [ABSC 5.7.5] Assicurare che dopo la modifica delle credenziali trascorra un sufficiente lasso di tempo per poterne effettuare una nuova
• [ABSC 5.7.6] Assicurare che le stesse credenziali amministrative non possano essere riutilizzate prima di sei mesi
Misure Tecniche – Cifratura dei dati
Le applicazioni in oggetto adottano misure di sicurezza a protezione dei dati sensibili con la “pseudonimizzazione” che prevede l’assenza di identificabilità diretta del soggetto interessato («trattamento dei dati personali in modo tale che i dati non possano essere più attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive»);
Gli Enti possono inoltre adottare sistemi di cifratura a protezione delle copie di sicurezza (backup) dei dati ed utilizzare certificati di sicurezza per garantire la cifratura della comunicazione Client-Server.
Misure Tecniche – Log
Le applicazioni in oggetto prevedono una completa gestione dei log all’interno dell’RDBMS sia per tracciare e registrare le operazioni svolte dagli utenti che accedono all’applicazione tramite le credenziali attribuite, che per tracciare e registrare le operazioni svolte dagli amministratori di sistema che accedono all’applicazione tramite le credenziali attribuite. Il sistema gestisce la tracciabilità delle modifiche a livello infrastrutturale direttamente sui sistemi RDBMS utilizzati. Il logging avviene a livello applicativo registrando tutte le operazioni previste dal regolamento e quelle critiche a livello di business, anche a livello di lettura dove necessario.
I log prodotti sono consultabili direttamente dall’ambiente applicativo, semplificando così notevolmente le attività degli amministratori di sistema.
Integrazione con componenti esterne
La soluzione applicativa è parte di una suite completa totalmente integrata ed assicura pertanto una totale interoperabilità tra i vari moduli che la compongono. La soluzione è inoltre aperta e predisposta all’interazione con altre applicazioni esterne, mediante scambio di flussi di dati e/o messaggi utilizzando una tecnologia sicura ed
efficiente: i Web Services SOAP (WS). I WS permettono l’invocazione funzionale sincrona da un applicativo all’altro e complementano le capacità di coordinamento asincrono.
Ove si verificasse la situazione tale per cui parte degli archivi dell’Ente si trovassero in hosting presso il DataCenter, Maggioli Spa, si impegna a restituire tutti i dati nel loro formato nativo, strutturati e non, al momento della conclusione del contratto (attività di “phase out”).
Diritti degli interessati (Capo III GDPR)
In relazione alla tipologia del servizio offerto dal modulo software installato, in accordo con l’ente si provvederà a fornire il supporto necessario, implementando misure per fornire assistenza alla committente.
Violazione dei dati (art. 33 e 34 del GDPR)
In ottemperanza con quanto previsto agli art. 33 e 34 Maggioli Spa rispetterà i tempi di comunicazione previsti dal GDPR.
Cancellazione dei dati (art. 17 “diritto all’oblio”)
In relazione normative specifiche di ogni singolo settore supportato dal software in oggetto Maggioli Spa fornirà il supporto per rispettare quanto previsto dall’art. 17 del GDPR.
Maggioli S.p.A. Responsabile del Trattamento
Dott.ssa Xxxxxxxx Xxxxxxxx