1.1 DESCRIZIONE GENERALE DEI SERVIZI SAAS DI GIES

1.2 INFRASTRUTTURA

1.4 SCOPE DELLE OPERAZIONI

2.1 PRINCIPI DI SICUREZZA DELLE INFORMAZIONI

Al fine di garantire la sicurezza dei dati in ogni fase dell'utilizzo dell'applicazione, GIES ha messo in atto determinate misure.

Le comunicazioni da/verso il servizio cloud avvengono all’interno di un canale sicuro TLS, con queste caratteristiche:

• Algoritmo della firma sha256;
• Chiave pubblica RSA 2048 bit

 
Il controllo degli accessi al sistema di gestione e configurazione della piattaforma avviene esclusivamente con le credenziali a doppio sistema di autenticazione ad esclusivo utilizzo di operatori selezionati di GIES.
L’adeguata piattaforma di trasferimento di informazioni, tramite canale sicuro FTPS in area dedicata, oppure altro metodo alternativo con pari grado di sicurezza.
La pubblicazione del servizio, la protezione dei dati e la gestione dei backup vengono eseguite nell’osservanza delle policy aziendali, fornibili a richiesta.
Il prodotto software mette a disposizione adeguati strumenti per la protezione degli account utente, dell’accesso al sistema (es. protezione da attacchi brute force) e di tutela delle PII in caso di sospetta compromissione delle credenziali di accesso (es. a seguito della loro presunta divulgazione involontaria).

Gli ambienti di sviluppo di GIES sono segregati e accessibili solo al personale autorizzato.
Lo sviluppo del software segue le linee guida di sviluppo sicuro, atte ad assicurare che vengano rispettati i principi di Security by Design e di Privacy by Design, pubblicate da AGID.
Per le attività di sviluppo e di test è garantito un ambiente sicuro e separato da quello di produzione.

2.1.1 BACKUP

2.1.2 SICUREZZA OPERATIVA

GIES riconosce che la gestione delle vulnerabilità tecniche dei sistemi informatici sia una delle attività fondamentali per garantire la sicurezza e la piena operatività dei propri servizi.
A tal fine sono stati predisposti un team e delle risorse che si occupano di ricercare, gestire e risolvere le vulnerabilità tecniche individuate.
Qualora siano riscontrate gravi vulnerabilità tecniche non risolvibili (0-day) sul sistema cloud, GIES informerà il Cliente tramite comunicazione documentata.

2.1.3 FORMAZIONE DEL PERSONALE

Tutto il personale viene formato e sensibilizzato in materia di sicurezza delle informazioni e protezione dei dati personali, comprendendo le possibili conseguenze di comportamenti non conformi sia per l’organizzazione sia per gli interessati, con programmi di formazione periodica e documentata.

2.1.4 RESPONSABILITÀ DOPO CESSAZIONE O CAMBIO DI INCARICO

GIES applica procedure interne che garantiscono la revoca tempestiva degli accessi, la restituzione e la bonifica dei dispositivi aziendali e il mantenimento degli obblighi di riservatezza del personale anche dopo la cessazione o variazione del rapporto di lavoro.
Tali procedure sono formalizzate nelle policy di sicurezza aziendale e soggette a verifica periodica, a tutela della continuità e della protezione dei dati dei clienti.

2.1.5 SMALTIMENTO SICURO E RIUTILIZZO DELLE APPARECCHIATURE

GIES adotta procedure documentate per garantire la cancellazione sicura dei dati e la sanitizzazione dei supporti di memorizzazione prima del loro smaltimento o riutilizzo.
Tutte le apparecchiature, fisiche o virtuali, che possono contenere dati dei clienti o informazioni personali, vengono trattate come se effettivamente li contenessero.
Le operazioni di distruzione o bonifica sono eseguite secondo le policy di sicurezza aziendale e, ove applicabile, in conformità agli standard tecnici riconosciuti.
Le evidenze delle attività di smaltimento sono conservate per eventuali audit.

2.2 MODELLO DI RESPONSABILITÀ CONDIVISA (SSRM)

Il SSRM definisce chiaramente le aree di responsabilità tra il fornitore e il Cliente.
Il fornitore è responsabile della sicurezza dell’infrastruttura cloud, mentre il Cliente gestisce la sicurezza delle applicazioni e dei dati caricati.
Il modello è conforme alle linee guida di ISO/IEC 27001:2022 e ISO/IEC 27018:2019.

MODELLO SSRM (SHARED SECURITY RESPONSIBILITY MODEL) PER FORNITORE DI SERVIZI SaaS
Il presente capitolo/paragrafo disciplina le responsabilità condivise tra GIES e i propri clienti in merito alla gestione della sicurezza delle informazioni, della privacy dei dati e della conformità normativa, in conformità alle best practice del settore.

RESPONSABILITÀ DEL FORNITORE SaaS

1 Sicurezza dell'infrastruttura 
Gestione e protezione dei data center, dei server fisici e delle reti utilizzate per fornire il servizio.
Implementazione di misure di sicurezza fisica e logica, inclusi firewall, IDS/IPS, e protezione DDoS.

2 Crittografia dei dati
Crittografia dei dati in transito e a riposo utilizzando algoritmi avanzati (es. AES-256).
Gestione sicura delle chiavi di crittografia, a meno che diversamente specificato.

3 Patch e aggiornamenti
Applicazione regolare di patch di sicurezza e aggiornamenti del software per garantire la protezione contro vulnerabilità note.

4 Backup e Disaster Recovery
Esecuzione di backup automatici e implementazione di piani di Disaster Recovery con tempi di recupero garantiti.

5 Conformità normativa
Garantire la conformità agli standard di sicurezza riconosciuti a livello nazionale.
Supportare il Cliente nel rispetto delle normative nazionali (con specifico riferimento a quelle per la PA).

6 Monitoraggio e logging
Fornire strumenti di monitoraggio delle attività e accesso ai log di sicurezza.
Segnalazione tempestiva di incidenti di sicurezza rilevati sull'infrastruttura.

RESPONSABILITÀ DEL CLIENTE
Il Cliente è responsabile della gestione e protezione dei propri dati e dell'uso sicuro del servizio SaaS, come segue:

1 Gestione degli accessi e delle identità
Configurare correttamente i controlli di accesso e le politiche di sicurezza interne.
Utilizzare funzionalità proprie di autenticazione a più fattori (MFA) e Single Sign-On (SSO).

2 Protezione dei dati

Garantire che i dati caricati nel sistema siano conformi alle normative vigenti.
Effettuare backup periodici dei dati specifici, se non coperti dal Fornitore.

4 Monitoraggio delle attività
Monitorare le attività degli utenti e rispondere tempestivamente a eventuali anomalie di utilizzo degli utenti.

5 Conformità normativa
Assicurare la conformità normativa nella gestione dei dati propri e dei propri clienti, in particolare rispetto al GDPR.

RESPONSABILITÀ CONDIVISE

Alcuni aspetti della sicurezza richiedono a volte la collaborazione tra Fornitore e Cliente:

1 Gestione delle chiavi di crittografia
In scenari dove il Cliente gestisce le proprie chiavi (es. Bring Your Own Key - BYOK), entrambe le parti devono collaborare per garantire la sicurezza.

2 Gestione degli incidenti
Collaborazione nella rilevazione, gestione e risoluzione di incidenti di sicurezza.
Comunicazione tempestiva di eventuali violazioni dei dati entro i termini previsti dalla normativa.

3 Audit e valutazioni di Sicurezza
Possibilità di condurre audit congiunti o di fornire documentazione comprovante la conformità a standard di sicurezza.

4 Formazione sulla sicurezza
Il Fornitore fornisce risorse e strumenti per la formazione, mentre il Cliente è responsabile della formazione continua dei propri utenti.

LIMITAZIONI DI RESPONSABILITÀ

Il Fornitore SaaS non sarà ritenuto responsabile per:

• Incidenti di sicurezza derivanti da una configurazione errata da parte del Cliente.
• Accessi non autorizzati dovuti a credenziali deboli o condivise.
• Perdite di dati derivanti da errori del Cliente nel backup o nella gestione delle informazioni.

RISOLUZIONE DELLE CONTROVERSIE

MODIFICHE AL CONTRATTO

Eventuali modifiche al presente SSRM devono essere concordate per iscritto tra le parti e allegate al contratto principale.

2.2.1 SEGREGAZIONE DELLE RISORSE

GIES mette in atto adeguate politiche al fine di ottenere l’isolamento delle risorse in cui sono presenti dati dei clienti.
Dove possibile, vengono messi in atto automatismi per eliminare le informazioni create a seguito di altre elaborazioni.
L’accesso da parte di personale aziendale ai dati, anche in sola lettura, è regolamentato secondo il criterio “least privilege” per il quale ad ogni operatore è concesso il privilegio minimo necessario per poter svolgere i propri compiti.

2.2.2 MULTITENANCY E ACCESSO ALLE RISORSE DEL CLIENTE

Le caratteristiche di tenancy dell'ambiente SaaS fornito da GIES sono definite tra queste modalità:

• Ambiente single-tenant:

- Il Cliente è proprietario in esclusiva di una porzione delle risorse hardware fornite da GIES;

- l'ambiente software è dedicato esclusivamente al Cliente;

• Ambiente multi-tenant:

- l'ambiente è in condivisione con più utenti;

- la separazione delle risorse avviene a livello software: ogni utente è separato dagli altri da ACL di accesso che isolano i vari tenant tra di loro;

Le persone che possono accedere alle risorse del Cliente sono quelle individuate nel team di lavoro dedicato.
Il requisito del Regolamento Cloud è gestito correttamente da GIES rispettivamente per i servizi SaaS, garantendo al Cliente la possibilità di censire e mappare i diversi profili e le diverse autorizzazioni per l’accesso corretto ai servizi.
Inoltre, per una maggiore comprensione dei diversi utenti e privilegi sono stati redatti appositi manuali per i diversi servizi erogati.
Per maggiori informazioni sulle caratteristiche del servizio SaaS, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).

2.3 COMPLIANCE CON ISO/IEC 27001 E ISO/IEC 27018

Il servizio è certificato ISO/IEC 27001:2022 per la gestione della sicurezza delle informazioni e ISO/IEC 27018 per la protezione dei dati personali nel cloud. Inoltre, il fornitore è certificato ISO/IEC 20000-1 per garantire la fornitura di servizi IT di alta qualità.
Gli audit annuali confermano l'adesione a questi standard.

3.1 POLITICHE E PROCEDURE

3.2 STANDARD ISO/IEC 20000

Le procedure sono conformi agli standard ISO/IEC 20000 e ai controlli ISO/IEC 27001:2022, garantendo che ogni modifica sia gestita in modo da minimizzare l'impatto sui servizi e sugli utenti finali.

3.3 COMUNICAZIONE DEI CAMBIAMENTI

La comunicazione include i dettagli del cambiamento, l’impatto previsto e le azioni richieste.

4.1 LOGGING

Il log dettagliato degli accessi e delle operazioni eseguite nel sistema, sia amministrative che operative, viene storicizzato su sistema fisicamente separato in modalità criptata (AES-256) non esposto e non modificabile, accessibile a specifici operatori

• La retention massima dei log è 1 anno mentre la retention minima dei log è 6 mesi;
• Salvo dove non altrimenti possibile, sono messe in atto azioni al fine di evitare l’inclusione di PII all’interno dei log.

4.2 COMPLIANCE CON ISO/IEC 27017

Il servizio implementa pratiche di logging e monitoring conformi a ISO/IEC 27017, garantendo la protezione e l'integrità delle informazioni gestite nel cloud.

5.1 PIANO DI GESTIONE DEGLI INCIDENTI

GIES ha definito controlli e procedure per poter permettere un approccio organizzato e regolato alla gestione degli incidenti come parte della propria strategia di sicurezza delle informazioni.
Qualora si verifichino incidenti relativi alla sicurezza informatica di gravità tale che sia presente un rischio elevato per i diritti e le libertà fondamentali degli interessati, GIES si occuperà di comunicare l’accaduto al Cliente nel minor tempo possibile.
Il piano di gestione degli incidenti si basa su un approccio proattivo e reattivo, garantendo che eventuali problemi vengano identificati, gestiti e risolti tempestivamente. Viene implementata una classificazione degli incidenti basata sulla loro criticità – e l’individuazione dei processi o le funzioni vitali in base al loro business aziendale per determinare le priorità di intervento.

5.2 NOTIFICA E COMUNICAZIONE AGLI STAKEHOLDERS

In caso di incidente, i clienti vengono notificati entro un periodo massimo di 72 ore dal rilevamento dell'evento.
Le notifiche includono informazioni dettagliate sull’incidente, le azioni correttive adottate e il tempo stimato per la risoluzione.
La comunicazione avviene attraverso canali sicuri e predefiniti.
Il canale utilizzato per la comunicazione e le caratteristiche di quest’ultima saranno definite da GIES in base alla tipologia di violazione.
Il referente che sarà contattato da GIES in caso di incidente è il RUP dell’ente, definito all’interno del contratto.
Il referente di GIES da contattare per la segnalazione di eventuali incidenti o per ottenere un aggiornamento su segnalazioni precedenti è il Capo Reparto di pertinenza del prodotto utilizzato (vedere sezione contatti all’interno di questo documento).

5.3 RIFERIMENTI ALLA NORMA ISO/IEC 27001

Le procedure di gestione degli incidenti sono allineate alla norma ISO/IEC 27001:2022 e al Regolamento (UE) 679/2016 (GDPR), garantendo un approccio sistematico e standardizzato alla rilevazione, analisi, contenimento e recupero dagli incidenti.
Tutti i dettagli relativi alla gestione degli incidenti sono presenti nelle policy aziendali, producibili avanzando apposita richiesta tramite il Canale di Assistenza Tecnica (vedere la sezione Contatti di questo whitepaper).

6.1 MODALITÀ DI AUDIT

Il Cliente ha il diritto di richiedere audit periodici per verificare la conformità ai termini dello SLA e alle normative applicabili.
Gli audit possono includere verifiche dei sistemi, processi e infrastrutture utilizzate per l’erogazione del servizio.

6.2 REQUISITI NORMATIVI E STANDARD ISO/IEC 27001 E 27018

Il fornitore è certificato secondo gli standard ISO/IEC 27001:2022 e ISO/IEC 27018, che garantiscono la conformità a elevati livelli di sicurezza per i servizi cloud. Gli audit possono essere condotti da enti terzi qualificati o direttamente dal Cliente previa notifica scritta.

6.3 LIMITAZIONI ALL'ESECUZIONE DI AUDIT

Quando l’esecuzione di audit individuali da parte dei clienti non è praticabile o potrebbe compromettere la sicurezza complessiva dell’infrastruttura, GIES mette a disposizione evidenze indipendenti e aggiornate - come certificazioni, rapporti di audit e attestazioni di conformità - a garanzia della trasparenza e dell’efficacia del proprio sistema di gestione della sicurezza delle informazioni.

7.1 REGISTRAZIONE E DE REGISTRAZIONE

• Le richieste di attivazione di nuove credenziali devono essere inviate all’Assistenza via email a uno degli indirizzi riportati nella sezione “12.1. CONTATTI ASSISTENZA”.
• L’affidatario si occuperà di fornire a GIES la lista degli utenti, il loro indirizzo email, nome e cognome, ruolo e permessi dei moduli in uso all’Ente;
• Eventuali richieste di creazione di nuovi utenti, provenienti da soggetti diversi dall’affidatario, saranno prese in considerazione solo se avanzate da figure di ruolo gerarchico superiore rispetto a quello dell’affidatario.
  Le richieste effettuate da soggetti diversi saranno ritenute non autorizzate e pertanto respinte. 

GIES si impegna a processare le richieste di nuovi accessi ai servizi SaaS entro 7 giorni lavorativi;

È compito del Cliente prendere in carico le credenziali di primo accesso e procedere immediatamente con la variazione della relativa password.

È dovere del Cliente attuare tutte le buone norme sulla conservazione in sicurezza delle credenziali di accesso ai servizi SaaS GIES.

Qualora si avesse il sospetto della compromissione delle credenziali di accesso, il Cliente è tenuto a eseguire tempestivamente la variazione della password in autonomia o aprendo una richiesta di supporto esclusivamente tramite l’invio di una email all’Assistenza a uno degli indirizzi riportati nella sezione “12.1. CONTATTI ASSISTENZA”.
Qualora l’utente non ricordi lo username di accesso è tenuto a contattare l’Assistenza con la medesima modalità.

GIES non sarà tenuta responsabile per qualsiasi inconveniente derivato dall'utilizzo non autorizzato delle sue credenziali di accesso ai servizi SaaS GIES.

È possibile, qualora sia definito all'interno del contratto, abilitare il Cliente alla creazione autonoma di ulteriori accessi alla piattaforma SaaS.

In questo caso sarà responsabilità del Cliente la corretta creazione, gestione, comunicazione ed eventuale eliminazione di queste credenziali di accesso.

La deregistrazione degli utenti dal servizio SaaS di GIES può avvenire in una delle seguenti forme:

• Alla cessazione del contratto, vengono contestualmente disattivati gli account SaaS utilizzati dal Cliente;

Per maggiori informazioni vedere il punto 7.2 - POLITICHE DI DISMISSIONE;

• A seguito di richiesta scritta da parte del Cliente, convalidata per iscritto dall’affidatario, che dovrà pervenire via email all’Assistenza a uno degli indirizzi riportati nella sezione “12.1. CONTATTI ASSISTENZA”;

In questo caso GIES si impegna a processare le richieste di deregistrazione dai servizi SaaS entro 7 giorni lavorativi;

Le richieste di deregistrazione delle credenziali di accesso ai servizi SaaS devono pervenire via e-mail a uno degli indirizzi riportati nella sezione “12.1. CONTATTI ASSISTENZA”, oppure tramite la pagina https://www.gies.sm/richiesta-assistenza
Per maggiori informazioni sul processo di registrazione degli utenti alla piattaforma SaaS di GIES, è possibile attivare una richiesta di supporto inviando una email all’Assistenza a uno degli indirizzi riportati nella sezione “12.1. CONTATTI ASSISTENZA”.

7.1.1 BLOCCO E SOSPENSIONE CREDENZIALI BABYLONWEB

GIES provvede al blocco delle credenziali di accesso alla piattaforma di un utente, con le modalità di seguito descritte:

• Il blocco può essere richiesto dal titolare delle credenziali, dall’affidatario o da una figura di ruolo gerarchico superiore all’affidatario, al fine di impedire l’accesso alla piattaforma da parte dell’utente;
• Il blocco è da intendersi permanente fino a contraria comunicazione da parte dell’Ente.
Le richieste di sblocco delle credenziali devono pervenire nelle modalità di seguito descritte:
• Nel caso in cui il blocco delle credenziali sia stato richiesto dall’utente stesso, potrà essere lo stesso utente titolare delle credenziali a richiederne lo sblocco;
• Nel caso in cui il blocco delle credenziali sia stato richiesto dall’affidatario o da una figura di ruolo gerarchico superiore, lo sblocco potrà essere richiesto esclusivamente da tali figure.
• Le richieste provenienti da soggetti diversi da quelli sopra indicati saranno ritenute non autorizzate e pertanto respinte.
GIES provvede alla sospensione delle credenziali di accesso secondo le modalità di seguito descritte:

• Le richieste di sospensione devono essere inviate via email indicando la data di fine sospensione;
• La sospensione può essere richiesta dal titolare delle credenziali, dall’affidatario o da una figura di ruolo gerarchico superiore;
• La sospensione può inoltre avvenire automaticamente, a seguito di ripetuti tentativi di accesso alla piattaforma falliti dall’utente;
• Le richieste provenienti da soggetti diversi da quelli sopra indicati saranno ritenute non autorizzate e pertanto respinte.
Le richieste di riattivazione delle credenziali devono essere trasmesse nelle modalità di seguito descritte:
• Nel caso in cui la sospensione sia stata richiesta dall’utente titolare delle credenziali o derivi da tentativi di accesso falliti, potrà essere lo stesso utente a richiederne la riattivazione;
• Nel caso in cui la sospensione delle credenziali sia stata richiesta dall’affidatario o da una figura di ruolo gerarchico superiore, la riattivazione potrà essere richiesta esclusivamente da tali figure.
Le richieste provenienti da soggetti diversi da quelli sopra indicati saranno ritenute non autorizzate e pertanto respinte.
Tutte le richieste descritte nella sezione devono pervenire esclusivamente via email all’indirizzo dell’Assistenza del Patrimonio “12.1. CONTATTI ASSISTENZA.

7.1.2. GESTIONE DEI PERMESSI DEGLI UTENTI BABYLONWEB

GIES provvede alla gestione delle richieste di aggiunta o rimozione dei permessi assegnati agli utenti della piattaforma, al fine di garantire la tracciabilità e la sicurezza delle attività svolte all’interno del servizio SaaS, secondo le modalità di seguito descritte:

• Le richieste di aggiunta o rimozione dei permessi devono essere inviate via email all’indirizzo dell’Assistenza del Patrimonio riportati nella sezione “12.1. CONTATTI ASSISTENZA”;
• L’affidatario deve fornire a GIES l’elenco degli utenti interessati, specificando per ciascuno il ruolo, le operazioni consentite e i moduli o menu da abilitare o disabilitare.
• Eventuali richieste di aggiunta di permessi provenienti da soggetti diversi dall’affidatario saranno prese in considerazione solo se avanzate da figure di ruolo gerarchico superiore.
• La richiesta di rimozione dei permessi di un utente può essere presentata dall’affidatario, da un suo superiore o dall’utente stesso.
Le richieste provenienti da soggetti diversi da quelli sopra indicati saranno ritenute non autorizzate e pertanto respinte. 

7.2 POLITICHE DI DISMISSIONE

Il processo di disattivazione parziale o totale del servizio si attiva automaticamente decorsi 30gg dal termine contrattuale o a seguito di esplicita richiesta del Cliente.
Alla cessazione del contratto, il fornitore si impegna a garantire la disponibilità dei dati del Cliente per un periodo di almeno 30 giorni al fine di consentire una transizione agevole.
I dati vengono eliminati definitivamente al termine del periodo di conservazione, in conformità con le linee guida di ISO/IEC 27001.
Il proprietario esclusivo dei dati raccolti e memorizzati nell’archivio dell’applicativo è il Cliente.

7.3 PORTABILITÀ DEI DATI

Le politiche di cessazione rispettano le best practices descritte in ISO/IEC 27001 per la sicurezza delle informazioni e la continuità operativa, assicurando un processo di transizione sicuro e trasparente.

Il Cliente ha il diritto di richiedere una copia completa dei propri dati in un formato standard e interoperabile, garantendo la facilità di migrazione verso altri fornitori.
Per questo genere di richieste è necessario che da parte dell’affidatario o da una figura di ruolo gerarchico superiore a esso, pervenga richiesta scritta via email all’Assistenza a uno degli indirizzi riportati nella sezione “12.1. CONTATTI ASSISTENZA”.
Il processo e le politiche di portabilità rispettano le best practices di ISO/IEC 27001.
Al termine del contratto tra GIES e il Cliente, quest’ultimo riceverà copia completa dei dati a chiusura del servizio, in formati concordati con il Cliente (es. CSV, MDB, SQL Server, ecc..).
  

8.1. ESPORTAZIONE DEI DATI BABYLONWEB

GIES mette a disposizione degli utenti dell’Ente abilitati diverse modalità di esportazione dei dati.
Le modalità di esportazione disponibili sono le seguenti e verranno descritte dettagliatamente nelle sezioni successive:

• Esportazioni autonome dell’utente
L’utente può esportare in autonomia i dati visualizzati nelle griglie della piattaforma in vari formati;
• Esportazione tramite query
Comprendono query e query business intelligence creabili dall’utente, al fine di consentire all’utente l’esportazione dei dati desiderati;
• Esportazioni specifiche richieste a GIES
Comprendono query o query parametrizzate predisposte da GIES su richiesta dell’Ente, al fine di consentire l’esportazione di dati formattati secondo esigenze specifiche;
• Esportazione dell’intera banca dati dell’Ente
Può essere effettuata da GIES su richiesta dell’Ente, secondo le modalità indicate nella sezione “8.1.3. ESPORTAZIONE INTERA BANCA DATI”.
Tutte le esportazioni vengono eseguite nel rispetto delle policy di sicurezza e riservatezza dei dati previste da ACN.
 

8.1.1. ESPORTAZIONE AUTONOMA DEI DATI

Ogni utente abilitato ad accedere e operare su un modulo della piattaforma può esportare i dati visualizzati nelle griglie accessibili tramite le voci di menu: cliccando con il tasto destro del mouse sulla griglia visualizzata, l’utente può selezionare la modalità di esportazione desiderata tra quelle disponibili:

• Esporta con HTML;
• Esporta File Tabulato;
• Esporta CSV con separatore “;”;
• Esporta CSV con separatore “|”;
• Esporta Xlsx;
• Esporta XML;
• Sono inoltre disponibili funzioni per la semplice copia dei dati visualizzati, con anche la possibilità di copiare la query utilizzata per popolare la griglia. Tale funzionalità è stata introdotta allo scopo di fornire all’utente una base di partenza per poter comporre o predisporre query personalizzate; tale procedura è da intendersi come rivolta unicamente a personale formato all’utilizzo di SQL Server.
In aggiunta alle griglie predefinite, è possibile creare griglie personalizzate mediante le voci del menu “Utilità”, che mettono a disposizione strumenti di interrogazione e analisi dei dati tramite query.
Le opzioni disponibili sono le seguenti:

• Query, permettono all’utente di scrivere ed eseguire query SQL di sola lettura per ottenere ed esportare i dati desiderati;
• Query parametrizzate, vengono realizzate da GIES su specifiche richieste dell’Ente e qualora previsto richiedono l’inserimento di parametri da parte dell’utente (es. anno, data o identificativo);
• Query Business Intelligence, è disponibile un’interfaccia grafica per la composizione agevolata di query: tramite l’apposita interfaccia l’utente può selezionare i campi da visualizzare, i filtri e gli ordinamenti da applicare e, se previsto, selezionare i parametri obbligatori da inserire prima dell’esecuzione della query, allo scopo di formattare la query desiderata. Tale strumento è rivolto a persone che conoscono SQL Server pur non essendo formati all’uso del Query Language. Le query create tramite questo strumento possono essere salvate e riutilizzate se necessario.
Ogni operazione di esportazione è associata all’utenza che l’ha eseguita, allo scopo di tenere traccia delle azioni eseguite dagli utenti.
 

8.1.2. ESPORTAZIONE DEI DATI SECONDO SPECIFICHE RICHIESTE

Qualora l’Ente necessiti di esportare dati non ottenibili tramite gli strumenti sopra descritti, può richiedere a GIES la realizzazione di query specifiche inviando una richiesta all’indirizzo email dell’Assistenza del Patrimonio riportato nella sezione “12.1. CONTATTI ASSISTENZA”.
Le richieste dovranno essere inviate dall’affidatario o da una figura di ruolo gerarchico superiore all’affidatario. Le richieste prive di tale requisito non saranno considerate autorizzate e pertanto saranno respinte.
A seguito della ricezione della richiesta, GIES valuterà la fattibilità fornendo riscontri all’Ente su tempi e metodi di realizzazione.
Al termine dell’attività, le query realizzate vengono caricate e rese disponibili nella sezione “Utilità” del modulo della piattaforma specifico, al fine di offrire all’Ente la possibilità di eseguirle a piacimento.

8.1.3. ESPORTAZIONE INTERA BANCA DATI

L’Ente che ha in essere rapporti contrattuali con GIES in corso di validità, che prevedono l’erogazione o l’utilizzo del servizio SaaS, può richiedere l’esportazione dell’intera banca dati: per procedere in tal senso è necessario che da parte dell’affidatario o da una figura di ruolo gerarchico superiore all’affidatario, pervenga richiesta scritta all’indirizzo dell’Assistenza del Patrimonio riportato nella sezione “12.1. CONTATTI ASSISTENZA”. Le richieste provenienti da soggetti diversi non saranno considerate autorizzate e pertanto saranno respinte.
Il database contenente l’intera banca dati sarà consegnato all’Ente in un file compresso e protetto, la cui password sarà inviata tramite email al richiedente e il file sarà reso accessibile mediante opportuna piattaforma di trasferimento, tramite apposito link di download inviato in risposta alla richiesta. Il file così condiviso sarà disponibile per il download per un periodo massimo di 15 giorni dal momento della comunicazione di avvenuta condivisione; qualora i dati non vengano scaricati entro tali termini, l’Ente dovrà procedere nuovamente a richiedere l’esportazione.
GIES conserverà una copia dei dati trasmessi all'Ente fino a 90 giorni dal termine della validità dei rapporti contrattuali.
Non saranno forniti altri formati o utilizzati altri canali rispetto agli standard in uso a GIES. Le modalità di conservazione dei dati applicate da GIES saranno le medesime previste dalle vigenti norme ACN; per eventuali informazioni si rimanda ai canali ACN. 

8.1.4 ADOZIONE DI STANDARD APERTI

GIES garantisce al Cliente la possibilità di estrarre in qualsiasi momento una copia completa di dati, metadati e documenti memorizzati dal servizio SaaS in formati pubblici e aperti.

Allo scopo di consentire la migrazione da un altro Fornitore SaaS o servizio SaaS, GIES garantisce al Cliente la possibilità di importare i dati all’interno del servizio SaaS tramite formati pubblici e aperti.

GIES si rende disponibile alla pubblicazione della documentazione a richiesta del Cliente di appositi manuali di gestione delle interfacce API.

• OpenAPI per la documentazione e l’integrazione delle API;
• JSON e XML per la formattazione dei dati;
• ODF (Open Document Format) per documenti elaborati.

Questi standard assicurano la flessibilità e riducono i costi legati alla migrazione e all’integrazione.

8.2 LINEE GUIDA AGID

In linea con le Linee Guida AgID di interoperabilità, il servizio integra meccanismi per:

• Promuovere la resilienza operativa;
• Garantire l’accesso continuo ai dati in caso di incidenti;
• Promuovere la resilienza operativa;

GIES è responsabile delle PII che risiedono su suoi servizi SaaS e sarà sua responsabilità garantire la loro protezione, integrità e disponibilità.

GIES assicura che tutti coloro che operano nell’ambito dell’erogazione dei servizi siano adeguatamente selezionati e formati al fine di poter raggiungere la consapevolezza dell’importanza delle informazioni trattate.

A tutti i dipendenti e collaboratori che operano con le informazioni del Cliente e i servizi forniti, GIES richiede la firma di una NDA e il rispetto delle relative politiche aziendali.

Sono inoltre pianificati programmi periodici di formazione e verifica interna del personale.

9.1 PROTEZIONE DEI DATI PERSONALI

• Crittografia dei dati a riposo e in transito;
• Controlli di accesso basati sui ruoli (RBAC) per limitare l’accesso alle informazioni sensibili;
• Valutazioni di impatto sulla protezione dei dati (DPIA), in conformità con l’articolo 35 del GDPR, per identificare e mitigare rischi associati al trattamento dei dati.
• Osservanza dei principi di Privacy By Design & By Default per adottare tutte le misure più adeguate al contesto ex ante ed ex post il trattamento.

9.2 COMPLIANCE CON GDPR E ISO/IEC 27001

Il servizio è pienamente conforme ai requisiti del GDPR e certificato ISO/IEC 27001:2022. Questo include:

• Procedure trasparenti per la gestione dei diritti degli interessati (accesso, rettifica, cancellazione, portabilità);
• Processi di audit periodici per garantire il rispetto delle normative;
• Trattamento dei dati personali in accordo con principi di minimizzazione e proporzionalità.

GIES adotta un modello di assistenza centralizzato, che garantisce la gestione unificata delle richieste di supporto del Cliente e il monitoraggio continuo delle performance del servizio.

 
Per effettuare una segnalazione, il Cliente deve contattare l’Assistenza GIES attraverso uno dei canali ufficiali indicati nella sezione apposita denominata “Contatti”.
Qualora la richiesta venga inviata via email, è consigliato indicare un oggetto e una descrizione coerente con la problematica riscontrata, al fine di velocizzare le operazioni di identificazione e risoluzione del problema.

 
Ogni richiesta ricevuta viene tracciata tramite l’assegnazione di un codice identificativo, che sarà inviato in risposta all’indirizzo email di colui che ha contattato l’Assistenza. Il codice identificativo consente al Cliente di interagire con l’Assistenza e di ricevere da essa eventuali riscontri in merito alla segnalazione. L’analisi e l’evoluzione della problematica saranno discusse tramite email e tutte le interazioni saranno tracciate tramite il codice identificativo; allo scopo di ciò è fondamentale che ogni risposta ricevuta dal Cliente sia pervenuta all’Assistenza in risposta all’email che ha aperto la segnalazione o successive.

 
Dopo aver ricevuto la richiesta l’Assistenza GIES avvia una fase di analisi preliminare volta a identificare la natura del problema, verificando la completezza e la chiarezza delle informazioni fornite dal Cliente e richiedendo se necessari ulteriori approfondimenti: se la problematica risulta chiara, l’addetto dell’Assistenza assegnerà al tecnico competente la richiesta e a partire da quel momento decorrerà il tempo di risposta previsto dalle SLA.

 
L’addetto che si occuperà della richiesta fornirà risposta alla stessa e attenderà risposta da parte del Cliente entro 72 ore; in assenza di risposta entro tale termine, la segnalazione verrà considerata chiusa per mancanza di risposta da parte del Cliente.

 
Qualora il tecnico incaricato ritenga siano necessarie ulteriori informazioni o chiarimenti contatterà il Cliente e, in questo caso, il conteggio del tempo di risposta previsto dalle SLA sarà sospeso fino al ricevimento delle informazioni richieste, per poi riprendere al momento della ricevuta risposta da parte del Cliente.
Individuate le cause del problema l’Assistenza procederà con le fasi di risoluzione che possono essere di varia tipologia:

1. Risoluzione tramite correzione sul dato
   È possibile un intervento sui dati, in modo che possa essere ripristinato il corretto funzionamento del sistema e la ripresa delle attività da parte del Cliente, agendo sulle informazioni imputate senza necessità di intervento sulle logiche del software;
2. Risoluzione tramite correzione immediata del software, fix
   Qualora sia presente un errore sulle logiche di funzionamento del software, gli addetti GIES possono adoperare delle correzioni immediate in modo che tali logiche diano il risultato atteso. Tali correzioni vengono assoggettate a tempi di rilascio di fix correttivi.
3. Risoluzione tramite correzione del software, aggiornamento di versione
   Qualora sia presente una mancanza all’interno delle logiche di funzionamento del software, gli addetti GIES possono provvedere all’integrazione di tali logiche, che andranno a evolvere il sistema stesso generando quindi una nuova versione. Tale versione sarà assoggettata a tempi di rilascio più lunghi.

• SLA di disponibilità del Servizio. GIES ha definito che gli applicativi SaaS sono disponibili con availability del 99.5 % su base mensile.
• SLA di rispetto dei tempi di presa in carico e risposta alle richieste.

 
GIES si impegna a dare una prima risposta, dal lunedì al venerdì, dalle 09:00 alle 13:00 e dalle 14:30 alle 17:30, esclusi i festivi italiani, ai quesiti avanzati dal Cliente con queste tempistiche:

	Tipologia	Tempo di presa in carico	Tempo di risposta
	Intero sistema indisponibile	2 ore	3 ore
	Funzionalità critiche indisponibili, con immediato impatto sull’operatività degli utenti	4 ore	12 ore
	Funzionalità non critiche indisponibili, senza immediato impatto sull’operatività degli utenti	12 ore	36 ore
	Richiesta di assistenza generica / chiarimenti	16 ore	48 ore

Per le specifiche richieste riguardo ai tempi SLA si rimanda ai singoli contratti in essere con il Cliente.
GIES adotta questi specifici SLA con l’obiettivo di misurare il livello di qualità del Servizio offerto. Tali livelli sono definiti attraverso KPI oggettivi e misurabili, che rappresentano i parametri di riferimento per la valutazione delle prestazioni del Servizio.
Per assicurare il costante rispetto dei KPI associati agli SLA, le misurazioni vengono effettuate e monitorate in modo continuativo tramite strumenti e software dedicati; in nessun caso saranno prese in considerazione misurazioni dei KPI effettuate per mezzo di strumenti diversi dai sistemi predisposti da GIES.
Si precisa inoltre che, nell’ambito dei KPI, non vengono conteggiati i periodi di indisponibilità del Servizio dovuti a interventi di manutenzione programmata da GIES.
Il Cliente, al fine di verificare il rispetto degli SLA da parte di GIES, può richiedere un report riepilogativo dettagliato contenente i dati relativi al monitoraggio dei KPI di proprio interesse.
La richiesta dovrà pervenire contattando l’Assistenza, secondo le modalità disponibili nella sezione “12. REFERENTI E CONTATTI”.
GIES si impegna a inviare il report entro 10 giorni lavorativi dal momento della ricezione della richiesta.
A decorrere dalla data di trasmissione del report, il Cliente dispone di 10 giorni di tempo per comunicare a GIES eventuali contestazioni in merito al mancato rispetto dei livelli di servizio SLA, utilizzando il medesimo canale attraverso il quale il report è stato trasmesso.
Alla ricezione della notifica di presunto disservizio, al fine di valutare la fondatezza della contestazione, GIES avvierà una verifica interna grazie all’analisi dei dati in proprio possesso.
Al termine dell’attività di verifica, GIES comunicherà al Cliente l’esito di quest’ultima e conseguentemente l’accoglimento o il rigetto della contestazione presentata.
GIES conferma di disporre di una copertura assicurativa attiva, idonea a garantire la tutela da eventuali danni arrecati a clienti o infrastrutture.
Inoltre, la Società adotta, ove previsto, garanzie specifiche aggiuntive in relazione ai singoli contratti stipulati.
È possibile consultare in tempo reale lo stato dei servizi SaaS erogati da GIES accedendo alla pagina dedicata: https://whitepaper.gies.it/status/.
11.1. TEMPI DI RISOLUZIONE
GIES si impegna a risolvere le segnalazioni dei Clienti secondo tempistiche definite in base alla natura del problema e alla tipologia di intervento richiesto.
I tempi di risoluzione decorrono dal momento in cui la problematica viene identificata e sono così articolati:
• Correzione sul dato, tempo di risoluzione stimato da 1 settimana a 1 mese;
• Correzione immediata del software, fix, tempo di risoluzione stimato da 1 giorno a 1 settimana;
• Correzione del software tramite aggiornamento di versione, tempo di risoluzione stimato da 1 a 2 mesi.
Le tempistiche di risoluzione varieranno a seconda della tipologia di problematica: sarà premura di GIES adottare le opportune soluzioni nei tempi consoni. 

• Per il Patrimonio: assistenza@gies.sm;
• Per il Turismo: giesturismo@gies.sm;

• Per il Patrimonio: assistenza@gies.sm;
• Per il Turismo: giesturismo@gies.sm;

• Per il Patrimonio info@gies.sm;
• Per il Turismo, giesturismo@gies.sm;

• Inviare una email all’indirizzo privacy@gies.sm;
• Chiamare al numero di telefono +39 0549 999 497.

• Per il Patrimonio, info@gies.sm;
• Per il Turismo, giesturismo@gies.sm;

• Telefono: + 39 0284 247 194;
• E-mail: DPO-outsourcing@ictlc.com;
• PEC: ictlc@pec.it;

• ACN - Agenzia per la cybersicurezza nazionale.
• AGID - Agenzia per l'Italia digitale.
• API (Application Programming Interface): Interfacce che permettono l’interazione tra diverse applicazioni software.
• ARUBA - Aruba S.p.A.
• CSP – Cloud Service Provider, fornitore di servizi Cloud.
• DPIA (Data Protection Impact Assessment): Strumento per valutare gli impatti del trattamento dei dati personali.
• GIES – Gruppo Informatica e Servizi G.I.E.S. S.r.l.
• KPI - Key Performance Indicators: parametri oggettivi atti a monitorare il rispetto dello SLA.
• NDA - Non Disclosure Agreements, accordo di riservatezza.
• NTP – Network Time Protocol, protocollo per la sincronizzazione degli orologi dei server.
• PII - Personally Identifiable Information, ovvero informazioni relativi alla persona fisica.
• RBAC (Role-Based Access Control): Modello di sicurezza che assegna permessi agli utenti in base ai loro ruoli.
• RPD/DPO - Responsabile della Protezione dei Dati/Data Protection Officer
• RUP – Referente Unico del Progetto.
• SaaS – Software as a Service: è un modello di distribuzione del software applicativo dove un produttore di software sviluppa, opera e gestisce un'applicazione che mette a disposizione dei propri clienti via Internet.
• SLA - Service Level Agreement.
• Affidatario – Soggetto responsabile o dirigente che ha dato l’affidamento; in alternativa si intende il RUP nella fase di costituzione del progetto e, successivamente alla firma del contratto, il soggetto che lo sottoscrive, o quello indicato nel Capitolato, qualora previsto.