ALLEGATO B - DOCUMENTAZIONE TECNICA DEL SAAS
Introduzione
Questo documento fornisce standard e caratteristiche applicabili al SaaS di Compri ("Compri") fornita al Cliente ai sensi dell’Accordo Commerciale.
Indice dei contenuti.
1. DETTAGLI DI FATTURAZIONE.
2. STORAGE DEI DATI.
3. FORNITURA DEL SERVIZIO.
4. REQUISITI DI SICUREZZA E AUDIT.
5. PERFORMANCE E DISPONIBILITÀ.
6. LIVELLO DI SERVIZIO DISPONIBILITÀ (SLA).
7. METODO DI MISURAZIONE SLA.
8. BACKUP E ARCHIVIAZIONE DATI.
9. RIPRISTINO DI EMERGENZA (“DISASTER RECOVERY”, “DR”)
1. Dettagli di fatturazione.
La soluzione SaaS di Compri può essere acquistata attraverso la sottoscrizione di un valido Accordo Commerciale con Compri.
L’offerta, oltre alla necessaria implementazione dei servizi, può includere diversi pacchetti/moduli.
Ogni pacchetto/modulo ha una tariffa di licenza definita, a seconda della complessità del pacchetto/modulo. I prezzi dei singoli pacchetti/moduli, nonché della tariffa di implementazione, sono specificati nell’Offerta Commerciale redatta in base al numero di pacchetti/moduli di interesse del cliente ed alle dimensioni della sua organizzazione.
La tariffa di implementazione rappresenta una voce di pagamento una tantum e dovrà essere corrisposta con le modalità di cui all’Offerta Commerciale.
La tariffa di licenza a copertura dei pacchetti/moduli selezionati dal Cliente dovrà essere corrisposta annualmente con le modalità di cui all’Offerta Commerciale ed avrà una durata pari alla durata dell’Accordo Commerciale tra Compri ed il Cliente.
2. Storage dei dati.
Tutti i dati e l'infrastruttura di Compri verranno distribuiti nella regione AWS eu-west-1 (Dublino - Irlanda), garantendo la conformità ai requisiti di residenza dei dati dell'UE.
Per minimizzare il rischio di perdita di dati da guasti locali e semplificare le procedure di recupero di emergenza, tutti i backup verranno distribuiti in una diversa regione AWS all'interno dell'Unione Europea (UE).
Compri si riserva il diritto di modificare la posizione dei dati all'interno dei paesi indicati e notificherà ai clienti eventuali modifiche con almeno 30 giorni di preavviso.
3. Fornitura del servizio.
Versioni: Compri distribuirà al cliente l'ultima versione del servizio generalmente disponibile.
Ambienti: Compri fornirà a tutti i clienti un ambiente di produzione; Compri userà inoltre un ambiente di produzione sandbox per la validazione ed il testing dell’interazione con i sistemi dei clienti (ERP e altri servizi). All’ambiente sandbox si applicano solo le sezioni 3 e 4 del presente documento.
SLA: La sezione SLA si applica solo all'ambiente di produzione.
Misure di sicurezza o modalità di acceso: Per garantire un'autenticazione sicura degli amministratori/utenti e un corretto controllo degli accessi, compri utilizza un approccio senza password. Si raccomanda il Single Sign-On (SSO) con il provider di identità del cliente per l'autenticazione. In alternativa, utilizziamo l'autenticazione tramite e-mail attraverso link magici. Ogni amministratore/utente deve avere un indirizzo e-mail valido per questo scopo. Questo è in linea con il principio di Minimizzazione dei Dati. Gli utenti del cliente indicheranno nome e cognome al primo accesso.
4. Requisiti di sicurezza e audit.
Per garantire la riservatezza, l'integrità e la disponibilità (R.I.D.) del servizio in modo verificabile, Compri registra le connessioni e le azioni associate agli ID utente. Tali dati vengono utilizzati solo per ulteriori analisi e risoluzione dei casi di supporto e conservati per non più di 90 giorni.
Le valutazioni delle vulnerabilità sono autogestite dal team Compri secondo il seguente programma indicativo:
Scansioni dinamiche esterne: trimestrale
Scansioni di vulnerabilità interne: trimestrale
Scansioni statiche interne: trimestrale
Nuovi componenti infrastrutturali inseriti
5. Performance e disponibilità.
Per mantenere la disponibilità e le prestazioni del sistema per tutti i clienti, Compri si riserva il diritto di limitare l'accesso alle API per preservare l'operatività dell'applicazione.
Per fornire ai clienti un adeguato preavviso per le attività di manutenzione programmata che comportano tempi di inattività del sistema, Compri fornirà un preavviso di 1 settimana (7 giorni di calendario) per tutte le attività imminenti. In caso di necessità di una finestra di manutenzione d'emergenza, Compri farà uno sforzo ragionevole per fornire un preavviso di 48 ore.
6. Livello di Servizio Disponibilità (SLA).
Il livello di servizio disponibilità è garantito come indicato nella tabella sottostante per Compri durante il periodo di validità del contratto. Nel caso in cui il livello di servizio disponibilità scenda al di sotto della soglia per il livello di servizio predefinito indicato di seguito in un determinato trimestre, il Cliente potrebbe avere diritto ad intraprendere le azioni descritte in questo documento.
Componenti / Funzionalità
Garanzia di uptime (Tempo di disponibilità durante l'orario lavorativo, 9:00 - 18:00, dal lunedì al venerdì, esclusi i giorni festivi nella regione del cliente)
Disponibilità Totale (tempo fuori dall'orario lavorativo)
compri
99.9%
99%
7. Metodo di misurazione SLA.
Gli obiettivi del livello di servizio sono misurati come descritto di seguito:
Compri esegue script di test utilizzando strumenti di monitoraggio delle applicazioni sul sistema di produzione per verificare che il software sia disponibile. Gli script di test vengono eseguiti approssimativamente ogni cinque (5) minuti, ventiquattro (24) ore al giorno, sette giorni alla settimana, per tutta la durata contrattuale del software.
I periodi di inattività programmati sono definiti come il tempo di inattività della disponibilità della soluzione per eventi di manutenzione periodici e necessari in cui compri fornisce un avviso al Cliente.
Tipo di servizio
Definizione
Credito
compri
1 mese di commissioni
8. Backup e archiviazione dei dati.
Il seguente backup e replica dei dati è garantito durante il periodo di abbonamento:
Backup dei dati: Tutti i clienti di Compri avranno i loro dati sottoposti a backup giornalieri. I backup sono replicati in modo sicuro in una posizione alternativa (fare riferimento alla posizione dei dati) limitando la perdita di dati a non più di 24 ore in caso di emergenza nella posizione primaria dei dati.
I backup giornalieri vengono conservati per 21 giorni
I supporti rimovibili non sono utilizzati per la memorizzazione dei dati o dei backup
Tutti i dati dei clienti sono crittografati a riposo con AES-256
9. Ripristino di Emergenza (Disaster Recovery, DR).
Compri è configurato con un sito di DR e un piano per passare al sito di DR nel caso in cui il sito primario sia inoperabile. Il sito di DR è una replica del sito principale per fornire prestazioni e disponibilità costanti. Compri passa periodicamente tra i siti per verificare la funzionalità del sito di DR come delineato nel piano DR.
Di seguito sono riportate le misure chiave del piano DR:
Cosa è coperto
Recovery Time Objective (RTO)
Recovery Point Objective (RPO)
compri
24 ore
Recovery Time Objective o RTO è definito come il tempo entro cui un servizio deve essere ripristinato dopo un'interruzione o incidente maggiore.
Recovery Point Objective o RPO è definito come il periodo massimo in cui i dati potrebbero essere persi da un servizio a causa di un'interruzione o incidente maggiore.