ALLEGATO B - DOCUMENTAZIONE TECNICA SAAS
ALLEGATO B - DOCUMENTAZIONE TECNICA SAAS
ALLEGATO B - DOCUMENTAZIONE TECNICA SAAS
Introduzione
Questo documento fornisce standard e funzionalità applicabili al Compri SaaS (“Compri”) fornito al Cliente ai sensi del Contratto Commerciale.
Indice dei Contenuti.
1. DETTAGLI DI FATTURAZIONE.
2. MEMORIZZAZIONE DEI DATI.
3. FORNITURA DEL SERVIZIO.
4. REQUISITI DI SICUREZZA E AUDIT.
5. POSIZIONE E DISPONIBILITÀ.
6. DISPONIBILITÀ DEL LIVELLO DI SERVIZIO (SLA).
7. METODO DI MISURAZIONE ALS.
8. BACKUP E MEMORIZZAZIONE DEI DATI.
9. RECUPERO DA DISASTRI (“DR”)
1. Dettagli di fatturazione.
La soluzione SaaS di Compri può essere acquistata firmando un valido Accordo Commerciale con Compri.
L'offerta, oltre alla necessaria implementazione dei servizi, può includere vari pacchetti/moduli.
Ogni pacchetto/modulo ha una tariffa di licenza definita, a seconda della sua complessità. I prezzi per i singoli pacchetti/moduli, così come la tariffa di implementazione, sono specificati nell'Offerta Commerciale, che viene redatta in base al numero di pacchetti/moduli di cui il cliente è interessato e alla dimensione della sua organizzazione.
La tariffa di implementazione è un pagamento una tantum e deve essere pagata in conformità con i termini stabiliti nell'Offerta Commerciale.
La tariffa di licenza relativa ai pacchetti/moduli selezionati dal Cliente deve essere pagata secondo le modalità stabilite nell'Offerta Commerciale e avrà una durata pari alla durata dell'Accordo Commerciale tra Compri e il Cliente.
2. Data storage.
Tutti i dati e l'infrastruttura di Compri saranno distribuiti nella Regione AWS eu-west-1 (Dublino, Irlanda), garantendo la conformità ai requisiti di residenza dei dati dell'UE.
Per ridurre al minimo il rischio di perdita di dati a causa di guasti locali e semplificare le procedure di ripristino dopo un disastro, tutti i backup saranno distribuiti in una diversa Regione AWS all'interno dell'Unione Europea (UE).
Compri si riserva il diritto di cambiare la posizione dei dati all'interno dei paesi indicati e notificherà i clienti di eventuali cambiamenti con un preavviso di almeno 30 giorni.
3. Fornitura del servizio.
Versioni : Compri distribuirà al cliente l'ultima versione generalmente disponibile del servizio.
Ambienti : Compri fornirà a tutti i clienti un ambiente di produzione; Compri utilizzerà anche un ambiente di produzione sandbox per convalidare e testare le interazioni con i sistemi dei clienti (ERP e altri servizi). Solo le sezioni 3 e 4 di questo documento si applicano all'ambiente sandbox.
SLA : La sezione SLA si applica solo all'ambiente di produzione.
Misure di sicurezza o metodi di accesso : Per garantire un'autenticazione sicura degli amministratori/users e un adeguato controllo degli accessi, utilizziamo un approccio senza password. È consigliata l'autenticazione tramite single sign-on (SSO) con il fornitore di identità del cliente. In alternativa, utilizziamo l'autenticazione tramite email tramite link magici. Ogni amministratore/user deve avere un indirizzo email valido per questo scopo. Questo è in linea con il principio di riduzione dei dati. Gli utenti clienti forniranno il proprio nome e cognome al primo accesso.
4. Requisiti di sicurezza e audit.
Per garantire la verifica della riservatezza, integrità e disponibilità (RID) del servizio, Compri registra le connessioni e le azioni associate agli ID utente. Questi dati vengono utilizzati solo per ulteriori analisi e risoluzione dei casi di supporto e vengono conservati per un periodo non superiore a 90 giorni.
Le valutazioni delle vulnerabilità sono gestite autonomamente dal team di Compri secondo il seguente programma indicativo:
Scansioni Dinamiche Esterni: Trimestrali
Scansioni di Vulnerabilità Interne: Trimestrali
Scansioni Statiche Interne: Trimestrali
Nuovi componenti infrastrutturali inseriti
5. Prestazioni e disponibilità.
Per mantenere la disponibilità e le prestazioni del sistema per tutti i clienti, Compri si riserva il diritto di limitare l'accesso all'API per preservare il tempo di attività dell'applicazione.
Per fornire ai clienti un adeguato preavviso delle attività di manutenzione programmate che comportano un'interruzione del sistema, Compri fornirà un preavviso di 1 settimana (7 giorni di calendario) di tutte le prossime attività. Se è necessaria una finestra di manutenzione d'emergenza, Compri farà un ragionevole sforzo per fornire un preavviso di 48 ore.
6. Disponibilità del Livello di Servizio (SLA).
Il livello di servizio di disponibilità è garantito come indicato nella tabella sottostante per gli acquisti durante il periodo del contratto. Nel caso in cui il livello di servizio di disponibilità scenda al di sotto della soglia per il livello di servizio predefinito indicato di seguito in un determinato trimestre, il Cliente potrebbe avere diritto a intraprendere le azioni descritte in questo documento.
Componenti / Caratteristiche
Garanzia di Uptime (Tempo di disponibilità durante l'orario lavorativo, 9:00 - 18:00, da lunedì a venerdì, escluse le festività nella regione del cliente)
Disponibilità Totale (tempo al di fuori degli orari lavorativi)
acquistare
99,9%
99%
7. Metodo di misurazione SLA.
Gli obiettivi di livello di servizio sono misurati come descritto di seguito:
Compri esegue script di test utilizzando strumenti di monitoraggio dell'applicazione sul sistema di produzione per verificare che il software sia disponibile. Gli script di test vengono eseguiti approssimativamente ogni cinque (5) minuti, ventiquattro (24) ore al giorno, sette giorni alla settimana, per l'intero periodo contrattuale del software.
Il tempo di inattività programmato è definito come il periodo in cui la soluzione non è disponibile per eventi di manutenzione periodici e necessari nei quali Compaq fornisce avviso al Cliente.
Tipo di servizio
Definizione
Credito
acquistare
1 mese di commissioni
8. Backup e archiviazione dei dati.
I seguenti dati di backup e replica sono garantiti durante il periodo di abbonamento:
Backup dei dati: Tutti i clienti Compri avranno i loro dati salvati quotidianamente. I backup vengono replicati in modo sicuro in una posizione alternativa (vedi posizione dei dati), limitando la perdita di dati a non più di 24 ore in caso di disastro presso la posizione principale dei dati.
I backup giornalieri sono conservati per 21 giorni
I supporti removibili non vengono utilizzati per l'archiviazione dei dati o dei backup
Tutti i dati dei clienti sono crittografati a riposo con AES-256
9. Ripristino di emergenza ( DR ).
Compri è configurato con un sito DR e un piano per passare al sito DR nel caso in cui il sito primario non sia operativo. Il sito DR è una replica del sito primario per garantire prestazioni e disponibilità coerenti. Compri passa periodicamente tra i siti per verificare il funzionamento del sito DR come previsto nel piano DR.
Di seguito sono elencate le misure chiave del piano DR:
Cosa è coperto
Obiettivo di Tempo di Recupero (RTO)
Obiettivo di recupero (RPO)
acquistare
24 ore
Obiettivo di Tempo di Recupero o RTO è definito come il tempo entro il quale un servizio deve essere ripristinato dopo un'interruzione o un incidente significativo.
Obiettivo di Punto di Recupero o RPO è definito come il periodo massimo durante il quale i dati potrebbero essere persi da un servizio a causa di un'interruzione o un incidente significativo.
ALLEGATO B.1 – COMUNICAZIONE D'INFORMAZIONI: PROCEDURA TECNICA DI ESCROW PER LA CONTINUITÀ AZIENDALE
1. Scopo del documento.
Questa comunicazione ha l'obiettivo di illustrare in modo trasparente le misure tecniche adottate da Compri per proteggere la continuità operativa dei Clienti in scenari di emergenza.
Queste misure non sostituiscono gli accordi contrattuali esistenti, ma forniscono garanzie aggiuntive basate sulla prevedibilità, sulla buona fede contrattuale e sulla protezione dei dati e dei processi del Cliente.
2. Campo di applicazione.
Le seguenti protezioni si applicano solo ai clienti attivi di Compri e sono fornite in scenari come:
Interruzione permanente dell'attività di Compri;
Interruzione dei servizi di Compri a causa di cause imprevedibili e straordinarie;
La procedura di Escrow è descritta in questa nota informativa e nell'appendice allegata.
3. Misure previste.
In particolare, le seguenti misure di protezione operative sono previste:
3.1 Accesso al codice sorgente:
Con cadenza mensile, Compri deposita una copia aggiornata del proprio codice sorgente in un repository privato dedicato (Bitbucket).
Ogni repository è tracciato tramite una registrazione di audit verificabile (data, ora e numero di versione) se necessario.
Ogni cliente ha un account Bitbucket dedicato con accesso in sola lettura (disabilitato per impostazione predefinita). Se uno degli scenari sopra menzionati viene attivato, l'account viene prontamente attivato per garantire l'accesso al repository il più rapidamente possibile.
3.2 Gestione della fase di transizione:
Compri si impegna, in base alle risorse disponibili, a mantenere l'accesso al servizio per un periodo minimo di 30 giorni dalla data di notifica ufficiale di cessazione dell'attività o interruzione del servizio.
Durante questo periodo, su richiesta del Cliente, un rappresentante tecnico sarà reso disponibile per supportare la transizione a un sistema alternativo o per l'estrazione dei dati, senza alcun costo aggiuntivo.
3.3 Archiviazione ed esportazione dei dati:
Compri fornirà, su richiesta del Cliente, un'esportazione completa dei dati in un formato interoperabile standard (ad es. CSV, JSON, XML), entro 15 giorni lavorativi dalla richiesta, se la piattaforma non è più accessibile in modo indipendente.
I dati dei clienti saranno conservati per 90 giorni dopo la cessazione dell'attività, salvo diversa richiesta da parte del Cliente o specifiche obbligazioni legali.
4. Come attivare le protezioni.
Le protezioni sopra indicate verranno attivate in seguito a:
Comunicazione formale da parte di Compri della cessazione della sua attività;
Interruzione del servizio per un periodo continuo superiore a 15 giorni, senza preavviso;
Richiesta scritta da parte del Cliente a seguito della comunicazione di risoluzione del rapporto contrattuale da parte di Compri;
In uno qualsiasi dei casi sopraindicati, saranno implementate tempestivamente misure di emergenza per garantire la continuità aziendale.
APPENDICE
PROCEDURA TECNICA DI ESCROW
Di seguito è fornita una descrizione tecnica dettagliata del sistema di deposito a garanzia.
1. Repository del codice sorgente mensile.
1.1. Procedura:
Ogni mese, una copia completa del codice sorgente della piattaforma Compri sarà depositata in un repository dedicato su Bitbucket.
Ogni repository è tracciato con un registro audit che registra la data, l'ora e la versione.
Il processo di backup è completamente automatizzato.
1.2. Processo operativo:
Mese N: Backup automatico del codice Compra → repository Bitbucket → Registro audit generato
Mese N+1: Backup automatico aggiornato → Repository Bitbucket → Registro audit generato
Mese N+2: Backup automatico aggiornato → Repository Bitbucket → Registro audit generato
(...ciclo continuo)
2. Accesso di Emergenza Account.
2.1 Come funziona:
Per ogni cliente, viene creato un account Bitbucket dedicato con accesso "in sola lettura".
L'account rimane disabilitato durante il normale funzionamento del servizio.
L'account viene attivato automaticamente solo quando necessario
2.2. Quando si attiva:
Chiusura definitiva dell'attività di Compri.
Interruzione del servizio per più di 15 giorni consecutivi a causa di eventi straordinari.
2.3. Funzionalità di accesso:
Solo lettura: non possono essere effettuate modifiche o eliminazioni.
Immediato: nessuna attesa per approvazioni o interventi manuali.
Completo: Accesso a tutto il codice sorgente e a tutta la cronologia delle versioni.
3. Supporto alla transizione.
3.1 Cosa garantiamo:
30 giorni di accesso continuato alla piattaforma attuale dopo la notifica di cessazione, per consentire al Cliente di operare nel frattempo.
Un consulente tecnico dedicato per supportare la transizione a un nuovo sistema (servizio incluso senza costi aggiuntivi).
Esportazione completa dei dati del cliente in formati standard (CSV, JSON, XML) entro 15 giorni lavorativi dalla richiesta.
4. Specifiche tecniche.
Repository Bitbucket:
Piattaforma: Bitbucket Cloud.
Backup: mensile automatizzato.
Conservazione: 90 giorni dopo la risoluzione del contratto.
Accesso: Clone in sola lettura con cronologia Git completa.
4.2. Audit e Sicurezza:
Log dettagliati di ogni operazione di backup.
Account di emergenza creati ma disabilitati per impostazione predefinita.
allerta in caso di errore di backup.
Controlli mensili dell'integrità dei dati.
4.3. Esportazione Dati:
Formati disponibili: CSV, JSON, XML (altri formati su richiesta).
Consegna: link di download sicuro fornito al Cliente.
Contenuto: configurazioni, dati utente, report, integrazioni.
Tempo: massimo 15 giorni lavorativi dalla richiesta.
5. Esempio pratico: Cosa succede in caso di emergenza.
Scenario: Chiusura di Compri
Giorno 0: Comunicazione ufficiale della chiusura ai clienti.
Il conto Bitbucket di emergenza di ogni cliente viene attivato automaticamente.
Giorni 0-30: La piattaforma Compri rimane accessibile ai clienti.
Entro 15 giorni: I dati dei clienti vengono esportati e resi disponibili per il download in formati standard.
Giorni 0-30: Un consulente tecnico è disponibile per supportare la migrazione verso sistemi alternativi.
Fino a 90 giorni: Il codice sorgente della piattaforma rimane accessibile su Bitbucket per consultazione.
Cosa può fare il cliente:
Scarica l'intero codice sorgente della piattaforma Compri.
Ottieni tutti i tuoi dati, consegnati in un formato aperto e utilizzabile.
Ricevi supporto tecnico per installare o migrare il sistema internamente o a un altro fornitore.
Hai sufficiente tempo (almeno 30 giorni) per organizzare la transizione a una soluzione alternativa.