informativa SUI servizi cloud SaaS erogati da Gruppo Informatica e Servizi GIES. S.r.l.

Whitepaper informativa servizi cloud V4_3 20241118


Il presente documento, denominato "Whitepaper informativa servizi cloud", ha lo scopo di illustrare e definire aspetti e caratteristiche dei servizi cloud SaaS offerti da GIES.

1.Legenda

  • PII - Personally Identifiable Information, ovvero informazioni relativi alla persona fisica. 
  • GIES – Gruppo Informatica e Servizi G.I.E.S. S.r.l. 
  • ARUBA - Aruba S.p.A. 
  • CSP – Cloud Service Provider, fornitore di servizi Cloud. 
  • NTP – Network Time Protocol, protocollo per la sincronizzazione degli orologi dei server. 
  • SaaS – Software as a Service: è un modello di distribuzione del software applicativo dove un produttore di software sviluppa, opera e gestisce un'applicazione che mette a disposizione dei propri clienti via Internet. 
  • SLA - Service Level Agreement.
  • KPI - Key Performance Indicators: parametri oggettivi atti a monitorare il rispetto dello SLA.
  • DPO - Responsabile della Protezione dei Dati. 
  • AGID - Agenzia per l'Italia digitale. 
  • NDA - Non Disclosure Agreements, accordo di riservatezza. 
  • RUP – Referente Unico del Progetto. 

2. Infrastruttura

2.1 Il fornitore dell’infrastruttura Cloud è ARUBA, CSP in possesso delle qualificazioni per la PA previste dalla circolare AGID n. 3 del 9 aprile 2018, che garantisce di conseguenza adeguati livelli di integrità, disponibilità e di riservatezza. 
Condizioni, ruoli e responsabilità di Aruba nella fornitura dell’infrastruttura Cloud e nel trattamento di informazioni in essa contenute, sono pubblicati dal fornitore nel documento: https://www.cloud.it/virtual-private-cloud.aspx

2.2 GIES ha scelto per i servizi cloud forniti da Aruba il datacenter “IT1”, situato in territorio italiano.
Le caratteristiche tecniche dell’infrastruttura scelta, le garanzie di continuità del servizio, di riservatezza dei dati e le possibilità di monitoraggio sono pubblicate da Aruba all’indirizzo: 
https://www.cloud.it/virtual-private-cloud.aspx

2.3 Il servizio SaaS utilizza come sorgente di data/ora, i server NTP forniti da Inrim (https://www.inrim.it/). 

3. Protezione del sistema e dei dati

Il servizio SaaS è erogato da GIES, azienda che detiene la piena proprietà del prodotto concesso in licenza d’uso.
Al fine di garantire la sicurezza dei dati in ogni fase dell'utilizzo dell'applicazione, GIES ha messo in atto le seguenti misure.
3.1 Le comunicazioni da/verso il servizio cloud avvengono all’interno di un canale sicuro TLS, con queste caratteristiche:

  • Algoritmo della firma sha256; 
  • Chiave pubblica RSA 2048 bit

3.3 Il controllo degli accessi al sistema di gestione e configurazione della piattaforma avviene esclusivamente con le credenziali a doppio sistema di autenticazione ad esclusivo utilizzo del RO Sistemi di GIES (Luca Nicolini – sistemi@gies.sm); 

3.4 L’adeguata piattaforma di trasferimento di informazioni, tramite canale sicuro FTPS in area dedicata, oppure altro metodo alternativo con pari grado di sicurezza; 

3.5 Il monitoraggio delle risorse e controllo del log degli accessi al servizio SaaS; 
Per richiedere maggiori informazioni sulla raccolta di log nelle procedure SaaS GIES
, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper). 

3.6 Il log dettagliato degli accessi e delle operazioni eseguite nel sistema, sia amministrative che operative, viene storicizzato su sistema fisicamente separato in modalità criptata (AES-256) non esposto e non modificabile, situato in Repubblica di San Marino, accessibile al solo RO Sistemi (Luca Nicolini – sistemi@gies.sm); 

  • La retention massima dei log è 1 anno mentre la retention minima dei log è 6 mesi;
  • Salvo dove non altrimenti possibile, sono messe in atto azioni al fine di evitare l’inclusione di PII all’interno dei log; 
3.7 La pubblicazione del servizio, la protezione dei dati e la gestione dei backup vengono eseguite nell’osservanza delle policy aziendali, fornibili a richiesta; 

3.8 Gli aggiornamenti del sistema e degli applicativi a seguito di evoluzione del prodotto o di intervenute esigenze normative sono eseguite da GIES previa comunicazione fornita al cliente. 

3.9 Il prodotto software mette a disposizione adeguati strumenti per la protezione degli account utente, dell’accesso al sistema (es. protezione da attacchi brute force) e di tutela delle PII in caso di sospetta compromissione delle credenziali di accesso (es. a seguito della loro presunta divulgazione involontaria). 

4. REGISTRAZIONE e deregistrazione DELL'UTENTE

4.1 Il servizio è accessibile esclusivamente tramite autenticazione;
Le credenziali di primo accesso sono create da GIES e consegnate tramite canale sicuro al referente del Cliente, successivamente alla sottoscrizione del contratto.

4.2 La creazione delle credenziali di primo accesso avverrà successivamente alla sottoscrizione del contratto con GIES, seguendo queste modalità:

  • Il RUP, o un responsabile da esso nominato, si occuperà di fornire la lista di utenti ai quali abilitare l'accesso al servizio SaaS;
    GIES potrà creare nuovi accessi al servizio SaaS solo se convalidati in forma scritta dal suddetto responsabile;
  • Le richieste di creazione di nuove credenziali di accesso ai servizi SaaS devono pervenire via e-mail all'indirizzo assistenza@gies.sm oppure tramite la pagina https://www.gies.sm/credenziali/
    GIES si impegna a processare le richieste di nuovi accessi ai servizi SaaS entro 7 giorni lavorativi;

4.3 Qualora ci fosse la necessità di visionare una versione di prova (demo) dell'applicativo SaaS prima della sottoscrizione del contratto, saranno create credenziali esclusivamente dedicate a questo scopo su un'ambiente dedicato.
E' compito del Cliente prendere in carico le credenziali di primo accesso e procedere immediatamente con la variazione della relativa password.

4.4 E' dovere del Cliente attuare tutte le buone norme sulla conservazione in sicurezza delle credenziali di accesso ai servizi SaaS GIES;
qualora si avesse il sospetto della compromissione delle credenziali di accesso, il Cliente è tenuto a eseguire tempestivamente la variazione della password in autonomia o aprendo una richiesta di supporto tramite il Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).

4.5 GIES non sarà tenuta responsabile per qualsiasi inconveniente derivato dall'utilizzo non autorizzato delle sue credenziali di accesso ai servizi SaaS GIES.

4.6 E' possibile, qualora sia definito all'interno del contratto, abilitare il Cliente alla creazione autonoma di ulteriori accessi alla piattaforma SaaS.
In questo caso sarà responsabilità del cliente la corretta creazione, gestione, comunicazione ed eventuale eliminazione di queste credenziali di accesso.

4.7 La deregistrazione degli utenti dal servizio SaaS di GIES può avvenire in una delle seguenti forme:

  • Alla cessazione del contratto, vengono contestualmente disattivati gli account SaaS utilizzati dal Cliente;
    Per maggiori informazioni vedere il punto 15 - ATTIVAZIONE E DISATTIVAZIONE DEL SERVIZIO;
  • Dopo richiesta scritta da parte del Cliente, convalidata per iscritto dal RUP o da un responsabile da esso nominato;
    In questo caso GIES si impegna a processare le richieste di deregistrazione dai servizi SaaS entro 7 giorni lavorativi;

Le richieste di deregistrazione delle credenziali di accesso ai servizi SaaS devono pervenire via e-mail all'indirizzo assistenza@gies.sm oppure tramite la pagina https://www.gies.sm/credenziali/

4.8 Per maggiori informazioni sul processo di registrazione degli utenti alla piattaforma SaaS di GIES, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).

5. Sicurezza organizzativa

5.1 GIES assicura che tutti coloro che operano nell’ambito dell’erogazione dei servizi siano adeguatamente selezionati e formati al fine di poter raggiungere la consapevolezza dell’importanza delle informazioni trattate. 

5.2 A tutti i dipendenti e collaboratori che operano con le informazioni del cliente e i servizi forniti, GIES richiede la firma di una NDA e il rispetto delle relative politiche aziendali.

5.3 Sono inoltre pianificati programmi periodici di formazione e verifica interna del personale.  

6. multitenancy e accesso alle risorse del cliente

6.1 Le caratteristiche di tenancy dell'ambiente SaaS fornito da GIES sono definite tra queste modalità:

  • Ambiente single-tenant:
    • Il cliente è proprietario in esclusiva di una porzione delle risorse hardware fornite da GIES;
    • l'ambiente software è dedicato esclusivamente al cliente;
  • Ambiente multi-tenant:
    • l'ambiente è in condivisione con più utenti;
    • la separazione delle risorse avviene a livello software: ogni utente è separato dagli altri da ACL di accesso che isolano i vari tenant tra di loro;

6.2 Le persone che possono accedere alle risorse del cliente sono quelle individuate nel team di lavoro dedicato 

6.3 Per maggiori informazioni sulle caratteristiche del servizio SaaS, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper). 

7. Sviluppo sicuro

7.1 Gli ambienti di sviluppo di GIES sono segregati e accessibili solo al personale autorizzato. 

7.2 Lo sviluppo del software segue le linee guida di sviluppo sicuro, atte ad assicurare che vengano rispettati i principi di Security by Design e di Privacy by Design emanate da AGID. 

7.3 Tanto per i test quanto per le attività di sviluppo è garantito un ambiente sicuro e separato da quello di produzione. 

8. Backup

8.1 GIES ha stabilito politiche specifiche per la salvaguardia dei dati relativi ai servizi cloud (backup). I backup sono preventivamente criptati con algoritmo AES-256 e successivamente trasferiti tramite canale sicuro su sistema, fisicamente separato dall’ambiente di produzione, situato in Repubblica di San Marino.

8.2 Solo il personale autorizzato ha accesso alle location del backup. 

8.3 GIES effettua regolari verifiche sui backup eseguiti. La retention minima dei backup è di 1 anno, mentre la retention massima è di 5 anni o fino alla risoluzione del contratto.

8.4 Il Cliente può richiedere evidenza dell'avvenuta esecuzione delle verifiche sui backup inviando una richiesta tramite il Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).
GIES si impegna a rispondere alla richiesta di verifica sui backup entro 15 giorni lavorativi, allegando dove possibile un report dettagliato del test effettuato.

9. Sicurezza Operativa

9.1 GIES riconosce che la gestione delle vulnerabilità tecniche dei sistemi informatici sia una delle attività fondamentali per garantire la sicurezza e la piena operatività dei propri servizi. 

9.2 A tal fine è stato predisposto un team e delle risorse che si occupano di ricercare, gestire e risolvere le vulnerabilità tecniche individuate. 

9.3 Qualora siano riscontrate gravi vulnerabilità tecniche non risolvibili (0-day) sul sistema cloud, GIES informerà il cliente tramite comunicazione documentata. 

10. Segregazione delle risorse

10.1 GIES mette in atto adeguate politiche al fine di ottenere l’isolamento delle risorse in cui sono presenti dati dei clienti. 

10.2 Dove possibile, vengono messi in atto automatismi per eliminare le informazioni create a seguito di altre elaborazioni (per esempio, file temporanei). 

10.3 L’accesso da parte di personale aziendale, anche in sola lettura, ai dati è regolamentato secondo il criterio “least privilege” per il quale ad ogni operatore è concesso il privilegio minimo necessario per poter svolgere i propri compiti. 

11. Gestione del cambiamento

11.1 GIES adotta politiche e procedure al fine di gestire in maniera ottimale e controllata i cambiamenti all’infrastruttura cloud o agli applicativi ivi ospitati. 

11.2 GIES metterà in atto procedure di notifica ai clienti dei cambiamenti che è intenzionata a eseguire o che sono già stati effettuati. Dove necessario, saranno inclusi nelle procedure di notifica dettagli relativi a: 

- Categoria dei cambiamenti; 
- Data e ora dell’intervento pianificato;
- Descrizione tecnica dei cambiamenti all’infrastruttura o agli applicativi ospitati;
- Notifica di inizio o fine dell’intervento. 

11.3 Inoltre GIES notificherà ai clienti qualsiasi cambiamento eseguito o programmato dal CSP ARUBA che dovesse avere impatto sui servizi cloud pubblicati.  

12. Gestione degli incidenti

12.1 GIES ha definito controlli e procedure per poter permettere un approccio organizzato e regolato alla gestione degli incidenti come parte della propria strategia di sicurezza delle informazioni. 

12.2 Qualora si verifichino incidenti relativi alla sicurezza informatica di gravità tale che sia presente un rischio elevato per i diritti e le libertà fondamentali degli interessati, GIES si occuperà di comunicare l’accaduto al cliente nel minor tempo possibile. 

12.3 Il canale utilizzato per la comunicazione e le caratteristiche di quest’ultima saranno definite da GIES in base alla tipologia di violazione. 

12.4 Il referente che sarà contattato da GIES in caso di incidente è il RUP dell’ente, definito all’interno del contratto. 

12.5 Il referente di GIES da contattare per la segnalazione di eventuali incidenti o per ottenere un aggiornamento su segnalazioni precedenti è il Capo Reparto di pertinenza del prodotto utilizzato (vedere sezione contatti all’interno di questo documento). 

12.6 Tutti i dettagli relativi alla gestione degli incidenti sono presenti nelle policy aziendali, producibili avanzando apposita richiesta tramite il Canale di Assistenza Tecnica (vedere la sezione Contatti di questo whitepaper)

13. Interoperabilità

13.1 GIES garantisce al cliente la possibilità di estrarre in qualsiasi momento una copia completa di dati, metadati e documenti memorizzati dal servizio SaaS in formati pubblici e aperti. 

13.2 Allo scopo di consentire la migrazione da un altro Fornitore SaaS o servizio SaaS, GIES garantisce al cliente la possibilità di importare i dati all’interno del servizio SaaS tramite formati pubblici e aperti. 

14. Gestione PII

14.1 GIES può trattare PII al fine unico di eseguire il lavoro concordato con il Cliente in fase contrattuale. 

14.2 GIES è responsabile delle PII che risiedono su suoi servizi SaaS e sarà sua responsabilità garantire la loro protezione, integrità e disponibilità.
La protezione delle PII raccolte dal sistema avviene con criptazione dell’archivio dati, secondo le indicazioni sullo sviluppo sicuro di AGID. 
Nell’ambito del servizio di assistenza, GIES si impegna a non divulgare a terzi PII senza l'esplicito consenso del cliente, salvo che questa azione non vada in violazione della legislazione corrente.

14.3 L’utilizzo di PII in ambito di test e demo degli applicativi è vincolato alla stretta osservanza di regole al fine di evitare la divulgazione involontaria delle PII.
I dati contenenti PII utilizzati nell’ambito di test vengono storicizzati in location sicura e segregata oppure eliminati appena terminata l’esigenza della loro conservazione o allo scadere del contratto con il titolare del trattamento.

14.4 Nel caso di richieste fatte nell’ambito di procedimenti giudiziari, GIES si impegna a darne tempestiva informazione al cliente salvo liceità dell’azione; 

15. Attivazione e disattivazione del servizio

15.1 Il processo di attivazione decorre dalla sottoscrizione contrattuale e prevede l’attivazione entro 7 giorni dell’istanza applicativa, l’abilitazione dei servizi acquisiti e la trasmissione delle credenziali temporanee di primo accesso. 

15.2 Il processo di disattivazione parziale o totale del servizio si attiva automaticamente decorsi 30gg dal termine contrattuale o a seguito di esplicita richiesta del Cliente. 

15.3 Il proprietario esclusivo dei dati raccolti e memorizzati nell’archivio dell’applicativo è il cliente. 

15.4 Al termine del contratto tra GIES e il cliente, quest’ultimo riceverà copia completa dei dati a chiusura del servizio, in formati concordati con il cliente (es. CSV, MDB, SQL Server, ecc..).

15.5 Saranno inoltre messe in atto le politiche riguardanti la dismissione o il riutilizzo delle risorse previste dalle policy aziendali, producibili a richiesta. 

16. SLA (Service Level Agreement)

È definita Service Level Agreement (“SLA”) la metrica di Servizio che GIES si impegna a rispettare nei confronti del Cliente.

GIES ha adottato i seguenti SLA al fine di misurare il livello di qualità del Servizio offerto e definito dei parametri oggettivi misurabili (KPI)  per accertarsi del suo rispetto.

16.1 Gli SLA adottati da GIES sono i seguenti:

  • SLA di disponibilità del Servizio. GIES ha definito che gli applicativi SaaS sono disponibili con availability del 99.5 % su base mensile.
  • SLA di rispetto dei tempi di presa in carico e risposta. 

    GIES si impegna a dare una prima risposta, nell'ambito dei canonici orari di ufficio (dal lunedì al venerdì, dalle 09 alle 13 e dalle 14.30 alle 17.30, esclusi i festivi), ai quesiti avanzati dal Cliente con queste tempistiche


TipologiaTempo di presa in caricoTempo di rispostaPenali
Intero sistema indisponibile 
2 ore 
3 ore 
Per ogni ora di ritardo si concede la proroga di n. 1 giorno del contratto in essere.
Funzionalità critiche indisponibili, con immediato impatto sull’operatività degli utenti 
4 ore 
12 ore 
Per ogni ora di ritardo si concede la proroga di n. 1 giorno del contratto in essere.
Funzionalità non critiche indisponibili, senza immediato impatto sull’operatività degli utenti 
12 ore 
36 ore 
Per ogni ora di ritardo si concede la proroga di n. 1 giorno del contratto in essere.
Richiesta di assistenza generica / chiarimenti 
16 ore 
48 ore 
Per ogni ora di ritardo si concede la proroga di n. 1 giorno del contratto in essere.

Per maggiori informazioni sulle modalità di contatto dell'assistenza, fare riferimento all'apposita sezione di questo whitepaper.

16.2 I KPI associati agli SLA sono costantemente monitorati da GIES tramite strumenti e software dedicati. 

16.3 In nessun caso saranno prese in considerazione misurazioni dei KPI effettuate tramite strumenti diversi dai sistemi predisposti da GIES.

Nell'ambito dei KPI si fa presente che non saranno conteggiati i tempi di indisponibilità dovuti a interventi di manutenzione programmati da GIES.

16.4 Al fine di verificare  il rispetto degli SLA da parte di GIES, il Cliente può richiedere un report riepilogativo dettagliato dei dati relativi al monitoraggio dei KPI di proprio interesse.
La richiesta deve pervenire attraverso il Canale di Assistenza Tecnica (vedere la sezione Contatti di questo whitepaper).
GIES si impegna a inviare il report entro 7 giorni lavorativi dal momento di ricezione della richiesta.
Dal momento dell'invio del report, il Cliente ha 10 giorni per avanzare notifiche per presunti casi di mancato raggiungimento degli SLA, rispondendo tramite il medesimo canale.
Alla ricezione della notifica di mancato raggiungimento degli SLA, GIES attiverà una verifica dei dati in proprio possesso per valutare la fondatezza della contestazione; al termine della verifica GIES comunicherà al Cliente l'esito di tale verifica e di conseguenza la possibilità o meno di accettare la contestazione.

16.5 E' possibile visionare lo status in tempo reale dei servizi SaaS di GIES facendo riferimento alla pagina: https://whitepaper.gies.it/status/



17. referenti e CONTATTI

17.1 Il Canale di Assistenza Tecnica di GIES è fruibile tramite la pagina: https://gies.bitrix24.it/online/assistenzatecnica

17.2 Il responsabile della configurazione e del funzionamento in produzione del sistema è il RO Sistemi sistemi@gies.sm

17.3 Per richieste sui dati contenuti nel sistema, contattare:

Per il Patrimonio, info@gies.sm;
Per il Turismo, giesturismo@gies.sm; 

17.4 Per informazioni sul trattamento dei dati, inviare una mail all’indirizzo privacy@gies.sm o al numero di telefono 0549 999497. 

17.5 In caso di necessità di segnalazioni di presunta violazione della altrui proprietà intellettuale, inviare una mail all’indirizzo: info@gies.sm 

17.6 Per richieste relativi ad audit o riesami relativi alla sicurezza delle informazioni, contattare il RO Sistemi via e-mail: sistemi@gies.sm 

17.7 Per richieste relative a incidenti di sicurezza, contattare:

Per il Patrimonio, info@gies.sm; 
Per il Turismo, giesturismo@gies.sm; 

17.8 Ai sensi del Regolamento EU n. 679/2013 (GDPR), GIES ha indicato come DPO: ICTLC S.p.A. contattabile tramite questi mezzi:

  • Telefono: 0284247194
  • E-mail: DPO-outsourcing@ictlc.com
  • PEC: ictlc@pec.it


La presente informativa e tutte le policy relative alla sicurezza delle informazioni sono conservate da GIES per un periodo minimo di 5 anni. 

Il Responsabile del trattamento
GRUPPO INFORMATICA E SERVIZI G.I.E.S. S.r.l.  

Utilizziamo i cookie
Preferenze sui cookie
Di seguito puoi trovare informazioni sugli scopi per i quali noi e i nostri partner utilizziamo i cookie ed elaboriamo i dati. Puoi esercitare le tue preferenze in merito al trattamento e/o visualizzare i dettagli sui siti web dei nostri partner.
Cookie analitici Disattiva tutto
Cookie funzionali
Altri cookie
Utilizziamo i cookie per personalizzare contenuti e annunci, fornire funzionalità social e analizzare il nostro traffico. Ulteriori informazioni sulla nostra politica per i cookie.
Accetta tutto Rifiuta tutto Modifica preferenze
Cookies