• (+39) 0823 322 898
  • info@bidata.it

Whitepaper SaaS al 20/09/2022



1.LEGENDA

  • ACN - Agenzia per Cyber Sicurezza Nazionale.
  • AdS – Amministratore di Sistema
  • ARUBA - Aruba S.p.A.
  • Bidata – Bidata S.r.l.
  • CSP – Cloud Service Provider, fornitore di servizi Cloud.
  • DNSH – Do No Significant Harm
  • DPO - Responsabile della Protezione dei Dati.
  • Hetzner - Hetzner Online GmbH
  • KPI - Key Performance Indicators: parametri oggettivi atti a monitorare il rispetto dello SLA.
  • NDA - Non Disclosure Agreements, accordo di riservatezza.
  • NTP – Network Time Protocol, protocollo per la sincronizzazione degli orologi dei server.
  • PII - Personally Identifiable Information, ovvero informazioni relativi alla persona fisica.
  • RUP – Referente Unico del Progetto.
  • SaaS – Software as a Service: è un modello di distribuzione del software applicativo dove un produttore di software sviluppa, opera e gestisce un'applicazione che mette a disposizione dei propri clienti via Internet.
  • SLA - Service Level Agreement.
  • SLI – Service Level Indicator

2. INFRASTRUTTURA

2.1 Bidata si avvale di due fornitori di infrastruttura Cloud: ARUBA (Aruba S.p.A.) ed Hetzner (Hetzner Online GmbH).

  • Il fornitore dell’infrastruttura Cloud ARUBA, CSP in possesso delle certificazioni per la PA previste dalla circolare AGID n. 3 del 9 aprile 2018, garantisce adeguati livelli di integrità, disponibilità e di riservatezza.
    Condizioni, ruoli e responsabilità di Aruba nella fornitura dell’infrastruttura Cloud e nel trattamento di informazioni in essa contenute, sono resi disponibili dal fornitore su richiesta e comunque messi a disposizione nell’area personale nella sezione “Informazioni” e “Schede prodotto”;
  • Il fornitore dell’infrastruttura in Cloud Hetzner è un'azienda tedesca specializzata in servizi di hosting, cloud computing e server dedicati: è una delle principali aziende di hosting in Europa, e gestisce una rete di data center in Germania e Finlandia. La società è rinomata per la sua affidabilità, velocità e stabilità, offrendo ai suoi clienti servizi di alta qualità con un'assistenza clienti eccellente. Condizioni, ruoli e responsabilità di Hetzner nella fornitura dell’infrastruttura Cloud e nel trattamento di informazioni in essa contenute, sono pubblicati dal fornitore nel documento: https://www.hetzner.com/legal/terms-and-conditions/

2.2 Bidata ha scelto per i servizi cloud forniti da Aruba il datacenter “IT3”, situato in territorio italiano e dotato di certificazione ISO 14001 la quale garantisce il pieno rispetto della normativa DNSH e, pertanto, ideale per i servizi in SaaS destinati alle Pubbliche Amministrazioni. Inoltre, il datacenter è certificato secondo la normativa ANSI/TIA-942 al massimo livello (former Tier 4): tale risultato, che indica la capacità di evitare interruzioni dei servizi anche in presenza di guasti gravi (fault-tolerance), è stato ottenuto grazie ad una serie di accorgimenti progettuali e realizzativi che hanno interessato tutti gli aspetti del data center, ovvero, la scelta del sito, gli aspetti architettonici, la sicurezza fisica, i sistemi antincendio, l’impianto elettrico, l’impianto meccanico e le reti dati.

L’elenco completo delle certificazioni di Aruba è disponibile al link: https://www.aruba.it/certificazioni.aspx

Le caratteristiche tecniche dell’infrastruttura scelta, le garanzie di continuità del servizio, di riservatezza dei dati e le possibilità di monitoraggio sono pubblicate da Aruba all’indirizzo: https://www.datacenter.it/data-center-aruba/italia-bergamo-dc-it3.aspx

2.3 Bidata seleziona, per i servizi cloud forniti da Hetzner, datacenter europei con sedi in Germania (Falkenstein e Nuremberg) o in Finlandia (Helsinki). La scalabilità ed il costo competitivo dei servizi offerti da Hetzner lo rendono ideale per i servizi in SaaS destinati ad Aziende e Privati. Lo stato dei sistemi e dei servizi di Hetzner è riportato in tempo reale alla pagina: https://status.hetzner.com

2.4 Il servizio SaaS utilizza come sorgente di data/ora, i server NTP forniti da Inrim (https://www.inrim.it/).

3. PROTEZIONE DEL SISTEMA E DEI DATI

I servizi SaaS sono erogati da Bidata, azienda che detiene la piena proprietà dei prodotti concessi in licenza d’uso. Al fine di garantire la sicurezza dei dati in ogni fase dell'utilizzo delle applicazioni, Bidata ha messo in atto le seguenti misure.

3.1 Le comunicazioni da/verso il servizio cloud avvengono all’interno di un canale sicuro TLS, con queste caratteristiche:

  • Algoritmo della firma SHA-256;
  • Chiave pubblica RSA 2048 bit

3.2 Il controllo degli accessi al sistema di gestione e configurazione della piattaforma avviene esclusivamente con le credenziali di autenticazione ad esclusivo utilizzo dell’Amministratore di Sistema di Bidata;

3.3 L’adeguata piattaforma di trasferimento di informazioni, tramite canale sicuro FTPS in area dedicata, oppure altro metodo alternativo con pari grado di sicurezza;

3.4 Il monitoraggio delle risorse e controllo del log degli accessi al servizio SaaS tramite l’utilizzo di strumenti dedicati (Prometheus e Grafana); per richiedere maggiori informazioni sulla raccolta di log nelle procedure SaaS Bidata, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper);

3.5 Il log dettagliato degli accessi e delle operazioni eseguite nel sistema, sia amministrative che operative, viene storicizzato su sistema logicamente o fisicamente separato in modalità criptata (AES-256) non esposto e non modificabile, accessibile al solo Amministratore di Sistema di Bidata;

La retention massima dei log è 5 anni;

  • Salvo dove non altrimenti possibile, sono messe in atto azioni al fine di evitare l’inclusione di PII all’interno dei log;

3.6 La pubblicazione del servizio, la protezione dei dati e la gestione dei backup vengono eseguite nell’osservanza delle policy aziendali, fornibili a richiesta;

3.7 Gli aggiornamenti del sistema e degli applicativi a seguito di evoluzione del prodotto o di intervenute esigenze normative sono eseguite da Bidata previa comunicazione fornita al cliente.

3.8 Il prodotto software mette a disposizione adeguati strumenti per la protezione degli account utente, dell’accesso al sistema (es. protezione da attacchi brute force) e di tutela delle PII in caso di sospetta compromissione delle credenziali di accesso (es. a seguito della loro presunta divulgazione involontaria).

4. REGISTRAZIONE E DEREGISTRAZIONE DELL'UTENTE

4.1 Il servizio è accessibile esclusivamente tramite autenticazione; Le credenziali di primo accesso sono create da Bidata e consegnate tramite canale sicuro al referente del Cliente, successivamente alla sottoscrizione del contratto.

4.2 La creazione delle credenziali di primo accesso avverrà successivamente alla sottoscrizione del contratto con Bidata, seguendo queste modalità:

  • Un referente aziendale, il RUP, o un responsabile da esso nominato, si occuperà di fornire la lista di utenti ai quali abilitare l'accesso al servizio SaaS;
  • Bidata potrà creare nuovi accessi al servizio SaaS solo se convalidati in forma scritta dal suddetto responsabile;
  • Le richieste di creazione di nuove credenziali di accesso ai servizi SaaS devono pervenire via e-mail all'indirizzo helpdesk@bidata.it oppure tramite la pagina di ticketing dedicata il cui link sarà fornito da Bidata al RUP o referente;
  • Bidata si impegna a processare le richieste di nuovi accessi ai servizi SaaS entro 7 giorni lavorativi;
  • Gli utenti riceveranno le credenziali di accesso su canale sicuro e saranno obbligati alla loro modifica in occorrenza del primo accesso o dopo un tentativo di recupero.

4.3 Qualora ci fosse la necessità di visionare una versione di prova (demo) dell'applicativo SaaS prima della sottoscrizione del contratto, saranno create credenziali esclusivamente dedicate a questo scopo su un'ambiente dedicato.
È compito del Cliente prendere in carico le credenziali di primo accesso e procedere immediatamente con la variazione della relativa password.

4.4 È dovere del Cliente attuare tutte le buone norme sulla conservazione in sicurezza delle credenziali di accesso ai servizi SaaS Bidata; qualora si avesse il sospetto della compromissione delle credenziali di accesso, il Cliente è tenuto a eseguire tempestivamente la variazione della password in autonomia o aprendo una richiesta di supporto tramite il Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).

4.5 Bidata non sarà tenuta responsabile per qualsiasi inconveniente derivato dall'utilizzo non autorizzato delle credenziali di accesso del cliente ai servizi SaaS Bidata.

4.6 È possibile, qualora sia definito all'interno del contratto, abilitare il Cliente alla creazione autonoma di ulteriori accessi alla piattaforma SaaS. In questo caso sarà responsabilità del cliente la corretta creazione, gestione, comunicazione ed eventuale eliminazione di queste credenziali di accesso.

4.7 È previsto, nelle forniture SaaS destinate alle Pubbliche Amministrazioni, l’accesso ai servizi tramite metodi di accesso sicuri e certificati come SPID, CIE e CieID.

4.8 La deregistrazione degli utenti dal servizio SaaS di Bidata può avvenire in una delle seguenti forme:

  • Alla cessazione del contratto, vengono contestualmente disattivati gli account SaaS utilizzati dal Cliente;
    Per maggiori informazioni vedere il punto 15 - ATTIVAZIONE E DISATTIVAZIONE DEL SERVIZIO;
  • Dopo richiesta scritta da parte del Cliente, convalidata per iscritto dal RUP o da un responsabile da esso nominato;
    In questo caso Bidata si impegna a processare le richieste di deregistrazione dai servizi SaaS entro 7 giorni lavorativi;

Le richieste di deregistrazione delle credenziali di accesso ai servizi SaaS devono pervenire via e-mail all'indirizzo helpdesk@bidata.it oppure tramite la pagina di ticketing dedicata.

4.9 Per maggiori informazioni sul processo di registrazione degli utenti alla piattaforma SaaS di Bidata, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).

5. SICUREZZA ORGANIZZATIVA

5.1 Bidata assicura che tutti coloro che operano nell’ambito dell’erogazione dei servizi siano adeguatamente selezionati e formati al fine di poter raggiungere la consapevolezza dell’importanza delle informazioni trattate.

5.2 A tutti i dipendenti e collaboratori che operano con le informazioni del cliente e i servizi forniti, Bidata richiede la firma di una NDA e il rispetto delle relative politiche aziendali.

5.3 Sono inoltre pianificati programmi periodici di formazione e verifica interna del personale.

6. MULTITENANCY E ACCESSO ALLE RISORSE DEL CLIENTE

6.1 Le caratteristiche di tenancy dell'ambiente SaaS fornito da Bidata sono definite in modalità single-tenant:

  • Il cliente è proprietario in esclusiva di una porzione delle risorse hardware fornite da Bidata;
  • l'ambiente software è dedicato esclusivamente al cliente;
  • le risorse del cliente sono isolate così da impedire ad un cliente di accedere ai dati di altri clienti.

6.2 Le persone che possono accedere alle risorse del cliente sono quelle individuate nel team di lavoro dedicato

6.3 Per maggiori informazioni sulle caratteristiche del servizio SaaS, è possibile attivare una richiesta di supporto al Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).

7. SVILUPPO SICURO

7.1 Gli ambienti di sviluppo di Bidata sono segregati e accessibili solo al personale autorizzato.

7.2 Lo sviluppo del software segue le linee guida di sviluppo sicuro, atte ad assicurare che vengano rispettati i principi di Security by Design e di Privacy by Design emanate da AGID.

7.3 Tanto per i test quanto per le attività di sviluppo è garantito un ambiente sicuro e separato da quello di produzione.

8. BACKUP

8.1 Bidata ha stabilito politiche specifiche per la salvaguardia dei dati relativi ai servizi cloud (backup). I backup sono preventivamente criptati con algoritmo AES-256 e successivamente trasferiti tramite canale sicuro su sistema, fisicamente separato dall’ambiente di produzione, situato in Italia o comunque nell’Unione Europea.

8.2 Solo il personale autorizzato ha accesso alle location del backup.

8.3 Bidata effettua regolari verifiche sui backup eseguiti. La retention minima dei backup dei database è di 1 anno, mentre la retention massima è di 5 anni o fino alla risoluzione del contratto. La retention delle macchine virtuali fornite dai CSP è di 7 giorni (una copia al giorno) per Hetzner e 14 giorni per Aruba (una copia al giorno).

8.4 Il Cliente può richiedere evidenza dell'avvenuta esecuzione delle verifiche sui backup inviando una richiesta tramite il Canale di Assistenza Tecnica (vedere l'apposita sezione "Contatti" di questo whitepaper).
Bidata si impegna a rispondere alla richiesta di verifica sui backup entro 15 giorni lavorativi, allegando dove possibile un report dettagliato del test effettuato.

9. SICUREZZA OPERATIVA

9.1 Bidata riconosce che la gestione delle vulnerabilità tecniche dei sistemi informatici sia una delle attività fondamentali per garantire la sicurezza e la piena operatività dei propri servizi.

9.2 A tal fine sono state predisposte risorse che si occupano di ricercare, gestire e risolvere le vulnerabilità tecniche individuate.

9.3 Qualora siano riscontrate gravi vulnerabilità tecniche non risolvibili (0-day) sul sistema cloud, Bidata informerà il cliente tramite comunicazione documentata.

10. SEGREGAZIONE DELLE RISORSE

10.1 Bidata mette in atto adeguate politiche al fine di ottenere l’isolamento delle risorse in cui sono presenti dati dei clienti.

10.2 Dove possibile, vengono messi in atto automatismi per eliminare le informazioni create a seguito di altre elaborazioni (per esempio, file temporanei).

10.3 L’accesso da parte di personale aziendale, anche in sola lettura, ai dati è regolamentato secondo il criterio “least privilege” per il quale ad ogni operatore è concesso il privilegio minimo necessario per poter svolgere i propri compiti.

11. GESTIONE DEL CAMBIAMENTO

11.1 Bidata adotta politiche e procedure al fine di gestire in maniera ottimale e controllata i cambiamenti all’infrastruttura cloud o agli applicativi ivi ospitati.

11.2 Bidata metterà in atto procedure di notifica ai clienti dei cambiamenti che è intenzionata a eseguire o che sono già stati effettuati. Dove necessario, saranno inclusi nelle procedure di notifica dettagli relativi a:

- Categoria dei cambiamenti;

- Data e ora dell’intervento pianificato;

- Descrizione tecnica dei cambiamenti all’infrastruttura o agli applicativi ospitati;

- Notifica di inizio o fine dell’intervento.

11.3 Inoltre Bidata notificherà ai clienti qualsiasi cambiamento eseguito o programmato dai CSP ARUBA ed Hetzner che dovessero avere impatto sui servizi cloud pubblicati.

12. GESTIONE DEGLI INCIDENTI

12.1 Bidata ha definito controlli e procedure per poter permettere un approccio organizzato e regolato alla gestione degli incidenti come parte della propria strategia di sicurezza delle informazioni.

12.2 Qualora si verifichino incidenti relativi alla sicurezza informatica di gravità tale che sia presente un rischio elevato per i diritti e le libertà fondamentali degli interessati, Bidata si occuperà di comunicare l’accaduto al cliente nel minor tempo possibile. In caso di Data Breach, il cliente contatterà tramite e-mail il DPO di Bidata (vedere sezione contatti all’interno di questo documento).

12.3 Il canale utilizzato per la comunicazione e le caratteristiche di quest’ultima saranno definite da Bidata in base alla tipologia di violazione.

12.4 Il referente che sarà contattato da Bidata in caso di incidente è il referente aziendale o il RUP indicato dal cliente e definito all’interno del contratto.

12.5 Il referente di Bidata da contattare per la segnalazione di eventuali incidenti o per ottenere un aggiornamento su segnalazioni precedenti è la Direzione (vedere sezione contatti all’interno di questo documento).

12.6 Tutti i dettagli relativi alla gestione degli incidenti sono presenti nella procedura aziendale di riferimento, producibili avanzando apposita richiesta tramite il Canale di Assistenza Tecnica (vedere la sezione Contatti di questo whitepaper).

13. INTEROPERABILITÀ

13.1 Bidata garantisce al cliente la possibilità di estrarre in qualsiasi momento una copia completa di dati, metadati e documenti memorizzati dal servizio SaaS in formati pubblici e aperti.

13.2 Allo scopo di consentire la migrazione da un altro Fornitore SaaS o servizio SaaS, Bidata garantisce al cliente la possibilità di importare i dati all’interno del servizio SaaS tramite formati pubblici e aperti, ovvero per le PA, nel rispetto dei requisiti di interoperabilità e portabilità contenuti nella Circolare n. 2 e nella Circolare n. 3 dell’AGID del 9 Aprile 2018.

14. GESTIONE PII

14.1 Bidata può trattare PII al fine unico di eseguire il lavoro concordato con il Cliente in fase contrattuale.

14.2 Bidata è responsabile delle PII che risiedono su suoi servizi SaaS e sarà sua responsabilità garantire la loro protezione, integrità e disponibilità. La protezione delle PII raccolte dal sistema avviene con criptazione dell’archivio dati, secondo le indicazioni sullo sviluppo sicuro di AGID. Nell’ambito del servizio di assistenza, Bidata si impegna a non divulgare a terzi PII senza l'esplicito consenso del cliente, salvo che questa azione non vada in violazione della legislazione corrente.

14.3 L’utilizzo di PII in ambito di test e demo degli applicativi è vincolato alla stretta osservanza di regole al fine di evitare la divulgazione involontaria delle PII. I dati contenenti PII utilizzati nell’ambito di test vengono storicizzati in luogo sicuro e segregato oppure eliminati appena terminata l’esigenza della loro conservazione o allo scadere del contratto con il titolare del trattamento.

14.4 Nel caso di richieste fatte nell’ambito di procedimenti giudiziari, Bidata si impegna a darne tempestiva informazione al cliente salvo liceità dell’azione.

15. ATTIVAZIONE E DISATTIVAZIONE DEL SERVIZIO

15.1 Il processo di attivazione decorre dalla sottoscrizione contrattuale e prevede l’attivazione entro 7 giorni dell’istanza applicativa, l’abilitazione dei servizi acquisiti e la trasmissione delle credenziali temporanee di primo accesso.

15.2 Il processo di disattivazione parziale o totale del servizio si attiva automaticamente decorsi 30gg dal termine contrattuale o a seguito di esplicita richiesta del Cliente.

15.3 Il proprietario esclusivo dei dati raccolti e memorizzati nell’archivio dell’applicativo è il cliente.

15.4 Al termine del contratto tra Bidata e il cliente, quest’ultimo riceverà copia completa dei dati a chiusura del servizio, in formati concordati con il cliente (es. CSV, MDB, SQL Server, ecc..).

15.5 Saranno inoltre messe in atto le politiche riguardanti la dismissione o il riutilizzo delle risorse previste dalle policy aziendali, producibili a richiesta.

16. SLA (SERVICE LEVEL AGREEMENT)

16.1 È definita Service Level Agreement (“SLA”) la metrica di Servizio che Bidata si impegna a rispettare nei confronti del Cliente. Bidata definisce ed aggiorna parametri di riferimento per l’erogazione dei servizi in SaaS, ovvero, un “Service Level Agreement” disponibile all’indirizzo: https://www.bidata.it/service-level-agreement/

16.2 Gli SLI associati agli SLA sono costantemente monitorati da Bidata tramite strumenti e software dedicati.

16.3 In nessun caso saranno prese in considerazione misurazioni degli SLI effettuate tramite strumenti diversi dai sistemi predisposti da Bidata. Nell'ambito dei SLI si fa presente che non saranno conteggiati i tempi di indisponibilità dovuti a interventi di manutenzione programmati da Bidata.

16.4 Al fine di verificare il rispetto degli SLA da parte di Bidata, il Cliente può richiedere un report riepilogativo dettagliato dei dati relativi al monitoraggio dei SLI di proprio interesse. La richiesta deve pervenire attraverso il Canale di Assistenza Tecnica (vedere la sezione Contatti di questo whitepaper). Bidata si impegna a inviare il report entro 7 giorni lavorativi dal momento di ricezione della richiesta.

Dal momento dell'invio del report, il Cliente ha 10 giorni per avanzare notifiche per presunti casi di mancato raggiungimento degli SLA, rispondendo tramite il medesimo canale.

Alla ricezione della notifica di mancato raggiungimento degli SLA, Bidata attiverà una verifica dei dati in proprio possesso per valutare la fondatezza della contestazione; al termine della verifica Bidata comunicherà al Cliente l'esito di tale verifica e di conseguenza la possibilità o meno di accettare la contestazione.

16.5 È possibile visionare lo status in tempo reale dei servizi SaaS di Bidata facendo riferimento alla pagina: https://status.bidata.it

17. REFERENTI E CONTATTI

17.1 Il Canale di Assistenza Tecnica di Bidata è l’indirizzo mail helpdesk@bidata.it

17.2 Il responsabile della configurazione e del funzionamento in produzione dei sistemi SaaS è l’AdS Francesco Marigliano <fmarigliano@bidata.it>.

17.4 Il responsabile dei dati contenuti nei sistemi SaaS è la Direzione Andrea della Peruta <adellaperuta@bidata.it>

17.5 Bidata opera come responsabile del trattamento dei dati ed è contattabile all’indirizzo privacy@bidata.it o al numero di telefono +39 0823 322 898.

17.6 In caso di necessità di segnalazioni di presunta violazione della altrui proprietà intellettuale, inviare una mail all’indirizzo: info@bidata.it

17.7 Per richieste relative ad audit o riesami relativi alla sicurezza delle informazioni, contattare il Responsabile dei Sistemi di Gestione Rosa Palmiero <rpalmiero@bidata.it>

17.8 Per richieste relative a incidenti di sicurezza, contattare la Direzione Andrea della Peruta<adellaperuta@bidata.it>

17.9 Ai sensi del Regolamento EU n. 679/2013 (GDPR), Bidata ha indicato come DPO: Francesco Marigliano <fmarigliano@bidata.it>

Data ultimo aggiornamento: 20/09/2022