Note Tecniche

TITOLO

 

Allegato tecnico e SLA

 



Versione 1
Ottobre 2024


 

Sommario

 

  1. Introduzione
  2. Descrizione del servizio
  3. Modalità di erogazione del servizio
    1. Ruoli del Cliente nel prodotto
    2. Aree di memoria a disposizione del Cliente
    3. Accesso al servizio SaaS
  4. Sicurezza delle informazioni
    1. Sviluppo sicuro
    2. Accessi logici
    3. Logging
    4. Network time protocol
    5. Protezione Malware
    6. Crittografia dei dati personali
      1. Crittografia at rest
      2. Crittografia at transit
  5. SLA relativo alla Infrastruttura
    1. Protezione per l’ambiente di hosting
    2. Protezione fisica
    3. Protezione delle operazioni e del personale
      1. Progettazione dei servizi
      2. Risposta agli eventi imprevisti
    4. Tolleranza di errore e ridondanza
    5. Capacity Plan
    6. Servizio di Backup dell’infrastruttura
    7. Dati di Targa infrastruttura
  6. SLA sulle applicazioni WKI
    1. System monitoring
    2. System monitoring
    3. Disponibilità del servizio software
    4. Dati di targa servizio software
    5. Modalità di erogazione dei servizi di assistenza, help-desk ed aggiornamenti
    6. Portabilità del dato
    7. Limiti di applicabilità degli SLA



1.   Introduzione

Wolters Kluwer Italia S.r.l. (di seguito anche “WKI”) ha sviluppato una soluzione innovativa per l’erogazione dei propri applicativi della suite ONE, in modalità web, ovvero su piattaforma cloud con alti livelli di affidabilità, sicurezza e scalabilità.

2.   Descrizione del servizio

Il servizio viene erogato tramite un’infrastruttura articolata basata su: piattaforma cloud Amazon AWS, piattaforma cloud Microsoft Azure ed Engineering CloudEng IaaS che garantisce elevati livelli di servizio in merito a:
  • Sicurezza fisica dei server
  • Protezione da interruzioni di alimentazione
  • Ridondanze di apparati
Rimane facoltà di WKI, in qualsiasi momento della durata del Contratto, di cambiare il soggetto titolare dell’infrastruttura, senza previo avviso al Cliente, garantendo comunque a quest’ultimo gli stessi SLA di Servizio di cui al presente documento.

3.   Modalità di erogazione del servizio

L’attivazione del servizio prevede l’invio al Cliente da parte del Wolters Kluwer di un invito a registrarsi. Il Cliente potrà modificare la password scelta in qualsiasi momento.
WK applica delle policy di complessità delle password in linea con gli standard di sicurezza internazionali.
Resta inteso che il Cliente sarà il solo ed esclusivo responsabile della custodia di tali credenziali personale e di tutte le operazioni e/o attività che verranno svolte, attraverso le stesse, sul Servizio e sui dati memorizzati attraverso lo stesso. Il Cliente manleva espressamente WKI per tutti i danni ad esso eventualmente derivanti dall’uso delle credenziali personali dell’utente.
Le utenze sono profilabili nel rispetto del principio di necessità.

3.1   Ruoli del Cliente nel prodotto

Ogni cliente ha una utenza con ruolo privilegiato che può associare o disassociare ulteriori Utenze allo stesso abbonamento al fine di regolamentare chi può accedere al servizio. Questa utenza privilegiata è la prima che si collega al sistema dopo l’apertura dell’abbonamento e può essere successivamente modificata tramite richiesta al servizio clienti.

3.2   Aree di memoria a disposizione del Cliente

Le aree di memoria messe a disposizione da WKI, nei propri server, durante l’erogazione del Servizio saranno utilizzate solo per la memorizzazione delle annotazioni personali sui documenti di ONE da parte del cliente. È fatto divieto a quest’ultimo di utilizzare le predette aree per memorizzare altre informazioni o per altri scopi. L’accesso alle aree di memoria è segregato per singolo utente e non è condivisibile con altri utenti o clienti.

3.3   Accesso ai servizi SaaS

Sarà possibile al cliente, sulla base dei suoi abbonamenti, l’accesso ai servizi acquistati, tramite uno degli indirizzi WEB sottostanti: L’accesso è regolato da utente e password. I clienti che concordano e implementano con WKI l’autenticazione federata tramite protocolli SAML o OIDC possono abilitare la Multi Factor Authentication con il proprio servizio di autenticazione

4.   Sicurezza delle Informazioni

4.1   Sviluppo Sicuro

Al fine di garantire la sicurezza del software in termini di integrità, disponibilità e riservatezza delle informazioni, l’organizzazione ha adottato un Secure Development Life Cycle (SDLC) che include verifiche di sicurezza SAST/OSS e DAST.
Il rispetto delle policy e delle procedure di sviluppo sicuro viene esteso a tutti i soggetti esterni coinvolti nelle attività di sviluppo software.
Nell’ambito del SLDC sono condotte con cadenza periodica attività di vulnerability assessment (VA) e penetration test (PT) sia a livello applicativo che infrastrutturale.

4.2   Accessi Logici

Amazon AWS, MS Azure e Engineering CloudEng utilizzano meccanismi di accesso altamente protetti, limitati a un numero molto ristretto di propri operatori ed operatori WKI che sono tenuti a modificare regolarmente le proprie password di accesso amministratore.

4.3   Logging

WKI si e` dotata di un sistema di log management centralizzato per il tracciamento degli accessi (login) degli utenti finali nelle applicazioni di WKI. WKI archivia tali log per il periodo previsto dalla legge italiana e della retention policy di WKI, questo tipo di log può essere reso disponibile all’utente finale tramite richiesta scritta al supporto clienti

4.4   Network time Protocol

La configurazione NTP (Clock Synchronization) dei sistemi utilizzati per l’erogazione dei servizi si basa sul servizio messo a disposizione da it.pool.ntp.org.

4.5   Protezione Malware

WKI Al fine di garantire l’integrità, la disponibilità e la riservatezza dei dati ha adottato adeguate strategie di protezione dai malware che si sostanziano nell’implementazione di sistemi antivirus e di sistemi intrusion prevention (IPS) e di intrusion detection (IDS)

4.6   Crittografia dei dati personali

4.6.1   Crittografia at rest
I servizi delle piattaforme di Amazon AWS, Microsoft Azure e Engineering CloudEng IaaS dispongono di servizio di crittografia AT REST per tutti i dati personali, secondo quanto previsto dalle policy di hardening di Wolters Kluwer in funzione dei tipi di dati trattati
4.6.2   Crittografia at transit
WKI prevede l’utilizzo di tecniche crittografiche per i dati in transito per le seguenti tipologie d’interconnessione o collegamento:
  • esposizione di dati su rete pubblica, mediante protocolli web e l’utilizzo di certificati SSL, quali:
    • HTTPS
    • FTPS
    • interconnessioni VPN “Site to Site” con utilizzo di IPSEC
Gli standard utilizzati vengono periodicamente aggiornati in funzione di nuovi release software utilizzate da apparati di rete.
WKI prevede l’utilizzo di tecniche crittografiche per i dati in transito per l'esposizione di dati su rete pubblica, mediante protocolli web e l’utilizzo di certificati SSL (https).
Gli standard utilizzati vengono periodicamente aggiornati in funzione di nuovi release software utilizzate da apparati di rete.

5.   SLA relativo alla infrastruttura

Wolters Kluwer Italia S.r.l. ha definito con Amazon AWS, Microsoft Azure ed Engineering CloudEng IaaS i livelli di servizio della piattaforma.
Si fa pertanto riferimento alle garanzie che Amazon, Microsoft ed Engineering stesse prestano, di cui si riportano le caratteristiche più significative.

5.1   Protezione per l’ambiente di hosting

Gli ambienti delle piattaforme Amazon AWS, Microsoft Azure e Engineering CloudEng IaaS sono costituiti da computer, sistemi operativi, applicazioni e servizi, reti, apparecchiature per le operazioni e il monitoraggio e hardware specializzato, oltre dagli operatori e dal personale amministrativo necessari per eseguire e gestire i servizi. L’ambiente include, inoltre, centri operativi fisici che ospitano i servizi e che richiedono protezione da eventuali danni intenzionali e accidentali.
Punti di progettazione architetturale principali
Le piattaforme Amazon AWS, Microsoft Azure ed Engineering CloudEng IaaS sono state progettate per fornire una “difesa in profondità” e ridurre il rischio che il guasto di un singolo meccanismo di protezione comprometta la sicurezza dell’intero ambiente. I livelli di difesa in profondità includono:
  • Router di filtraggio
  • Firewall: i firewall limitano le comunicazioni di dati da e verso porte, protocolli e indirizzi IP di destinazione (e di origine) noti e autorizzati
  • Patch Management
    • Le piattaforme Amazon AWS, Microsoft Azure utilizzano sistemi di distribuzione integrati per gestire la distribuzione e l’installazione delle patch di protezione per i differenti servizi di WKI ospitati. Per i servizi ospitati su Engineering CloudEng IaaS è responsabilità del personale WKI tenere costantemente aggiornati gli ambienti
  • Monitoraggi Pro-attivi in termini di performance e capacity
  • Segmentazione di rete

5.2   Protezione fisica

La protezione fisica va di pari passo con le misure di protezione basate sul software e a entrambe si applicano analoghe procedure di valutazione e attenuazione dei rischi.
I servizi delle piattaforme Amazon AWS, Microsoft Azure ed Engineering CloudEng IaaS vengono forniti ai clienti attraverso una rete di data center, progettati per l’esecuzione 24 ore su 24, 7 giorni su 7 e per l’utilizzo di diverse misure per proteggere le operazioni da eventuali interruzioni di alimentazione, intrusioni fisiche e interruzioni della rete. Questi data center sono conformi agli standard del settore relativi a protezione fisica e affidabilità, vengono gestiti, monitorati e amministrati da operatori specializzati e sono situati in località geografiche diverse con una disponibilità del 99,98% al netto dei fermi programmati.
Per i prodotti della suite ONE, il sito primario è localizzato in Germania (Datacenter di AWS a Francoforte), il sito secondario (Disaster Recovery) in Irlanda. I servizi accessori sono ospitati in Italia.

Per ulteriori dettagli sulla localizzazione dei siti, si rimanda ai seguenti link:
Amazon. https://aws.amazon.com/it/about-aws/global-infrastructure/regions_az/
Microsoft https://learn.microsoft.com/en-us/azure/availability-zones/az-overview
Engineering: https://www.eng.it/it/group/companies/engineering-dhub

L’accesso ai data center e l’autorizzazione ad aprire i ticket di accesso per i data center vengono sottoposti al controllo del responsabile delle operazioni di rete, nel rispetto delle procedure di protezione dei data center locali.

5.3   Protezione delle operazioni e del personale

5.3.1   Progettazione dei servizi
Le piattaforme di Amazon AWS, Microsoft Azure ed Engineering CloudEng IaaS sono progettate per l’esecuzione senza accesso di routine ai dati dei clienti da parte dei propri operatori.
5.3.2   Risposta agli eventi imprevisti
I servizi delle piattaforme di Amazon AWS, Microsoft Azure e Engineering CloudEng IaaS dispongono di operatori che lavorano 24 ore al giorno, 7 giorni su 7. Se l’evento imprevisto è legato alla protezione, le procedure documentate da seguire vengono implementate dal personale addetto. È inoltre disponibile un piano di comunicazione completo, disponibile all’URL: https://status.wolterskluwer.it (protetto con credenziali da richiedere al supporto tecnico), che viene aggiornato nel caso di un evento imprevisto legato alla protezione.

5.4   Tolleranza di errore e ridondanza

Le piattaforme cloud utilizzate per erogare il servizio sono progettate per garantire tolleranza di errore e ridondanza.
Ogni livello dell’infrastruttura delle piattaforme è progettato per consentire il proseguimento delle operazioni in caso di errore, inclusi dispositivi di rete ridondanti a ogni livello in ciascun data center. I servizi sono soggetti a costante monitoraggio da parte dei tecnici WK

5.5   Capacity Plan

Il dimensionamento dell'infrastruttura viene garantito attraverso un monitoraggio costante delle metriche di utilizzo (CPU, RAM, Spazio disco) e scalando l'infrastruttura sia orizzontalmente che verticalmente a seconda delle esigenze rilevate includendo la valutazione delle condizioni massime di carico supportabili.

5.6   Servizio di Backup dell’infrastruttura

Il servizio di backup ha come obiettivo la protezione dei dati.
Sono definite ed applicate opportune politiche di backup giornaliero.
I backup sono localizzati su servizi di storage dei Cloud provider

5.7   Dati di Targa infrastruttura

Si riportano i dati di targa garantiti da Microsoft, Amazon e Engineering che sono alla base del servizio offerto e di cui beneficerà il cliente durante l’utilizzo del prodotto applicativo oggetto del contratto.
La disponibilità dell’infrastruttura è garantita per il 99,6% su base annua comprendendo i fermi programmati.
Essa non include sospensioni programmate per interventi tecnici, interruzioni parziali, degrado del servizio, interruzioni dovute a catastrofi, sommosse, eventi di carattere eccezionale.

6.   SLA relative alle applicazioni WKI

WKI offre le proprie garanzie relativamente al funzionamento dei servizi applicativi ospitati sulle piattaforme Cloud.

6.1   System monitoring

I servizi sono costantemente monitorati dal personale WKI al fine di:
  • Sovrintendere, senza interruzioni, al funzionamento di tutte le componenti del servizio erogato ai clienti
  • Gestire l’esecuzione delle procedure operative e il mantenimento della documentazione relativa all’operatività
  • Interfacciare le terze parti (es. fornitori, partner, clienti) coinvolte nel processo di erogazione e governance dei servizi.
A fronte del flusso di eventi generato dai server, gli operatori WKI applicano le procedure operative di gestione, sia generali, sia, eventualmente, specifiche per il singolo servizio. Gli scopi del servizio di monitoraggio sono:
  1. L’individuazione, preventiva o reattiva, degli eventuali problemi di funzionamento dei servizi (troubleshooting)
  2. Assicurare il rispetto dei valori garantiti nel presente documento Service Level Agreement (SLA).

6.2   System management

Le componenti del Servizio Base di System Management sono:

Problem solving
  • Gestione dei contratti di manutenzione con i fornitori HW/SW, relativamente alle componenti gestite, in caso di failure
  • Risoluzione di eventi dei software registrati nel system-log file.
Gestione ordinaria
  • Tuning dei parametri prestazionali
  • Segnalazione di procedure operative da notificare al cliente.
Manutenzione
  • Pianificazione ed esecuzione degli interventi di manutenzione ordinaria e straordinaria sulle applicazioni.

6.3   Disponibilità del servizio software

  • Il servizio software sarà di norma disponibile 24 ore al giorno, 365 giorni l’anno, fatta salva una FINESTRA DI MANUTENZIONE per le attività di MANUTENZIONE ordinaria (patching, ecc).
    Questa fascia di indisponibilità del SERVIZIO SOFTWARE dovrà avere una durata non superiore ai 60 minuti, collocata nella fascia 18.00 – 08.00
  • Gli interventi di MANUTENZIONE straordinaria effettuati al di fuori della FINESTRA DI MANUTENZIONE e/o per una durata superiore ai 60 minuti saranno segnalati con 3 gg di anticipo tramite comunicazione informativa presente nella pagina di stato del prodotto al seguente indirizzo: https://status.wolterskluwer.it

6.4   Dati di targa del servizio software

Nelle tabelle seguenti sono riportati i gradi di severity del “guasto” ed il relativo tempo di ripristino.
Per indisponibilità s’intende una interruzione del servizio che impedisca il raggiungimento di tutti gli applicativi di Wolters Kluwer Italia ospitati in Microsoft Azure, Amazon AWS e Engineering CloudEng IaaS da una postazione esterna, ma non include sospensioni programmate per interventi tecnici, interruzioni parziali, degrado del servizio, interruzioni dovute a catastrofi, sommosse, eventi di carattere eccezionale, interruzioni dei circuiti forniti dai vari internet carrier.

Livelli di Severity
Critico Grave indisponibilità del servizio che ha un serio impatto sulle attività del cliente e non può essere aggirata. Impossibilità di utilizzo del servizio.
Grave Anomalie parziali a cui è possibile applicare soluzioni temporanee per garantire l’erogazione del servizio.
Normale Inefficienze minori nel servizio che non hanno un immediato impatto sul servizio del Cliente.


Indicatori minimi della qualità del Servizio
Codice sLI Service level indicator (SLI) Descrizione Minimum service Level Objective (SLO)
sL1 Disponibilità La percentuale di tempo in un mese in cui il servizio cloud risulta essere accessibile e usabile. Il tempo totale del periodo di riferimento, che funge da base di calcolo del dato percentuale, non tiene conto degli eventi catastrofici.
Per eventi catastrofici si intendono eventi che rendono indisponibili per un periodo di tempo prolungato le infrastrutture impiegate per l'erogazione del servizio e al verificarsi dei quali è attivata la soluzione di Disaster Recovery.		 99.0%

Verranno condivisi i report di aderenza agli SAL del servizio tramite i canali di supporto o modalità definite negli accordi contrattuali


Ruoli e responsabilità per il servizio SAAS
Attività WKI TERZE PARTI (AZURE, AWS; Engineering) Cliente
Cifratura A    
Monitoraggio Infrastrutturale A/R    
Log Amministratori di Sistema (WKI) A/R    
Log Account Utenti finali A/R    
Log Applicazioni A/R    
Sincronizzazione dei clock di sistema R A  
Configurazione sicura sistemi (Lato SERVER) A/R    
Configurazione sicura sistemi (Infrastruttura SAAS)     A
Configurazione sicura sistemi (Lato Client)     A
Vulnerability Assessment / Penetration Test A/R    
Patching Client     A
Patching Server A/R    
Patching infrastruttura SAAS A/R    
Change Management (Servizio SAAS) A/R    
Change Management (Infrastruttura Servizio SAAS) A/R    
Capacity Management (Risorse Infrastrutturali) A/R    
Incident Management / Data Breach A/R R  
Cancellazione e dismissione A/R    
Gestione accessi logici su ambienti virtuali e network R A  
Gestione account utenti finali per accesso ai servizi     A
Data Center – Gestione Sicurezza fisica ed ambientale   A  
Network – Gestione connettività Data Center   A  
Network – Gestione connettività utente finale     A
Gestione Backup R/A    
Gestione Antivirus su ambiente di produzione R/A    
Gestione sistemistica ambienti virtualizzati   A  
Gestione sistemistica ambienti fisici   A  
Help Desk R/A    
Gestione applicativa (Application Management, Application Security) R/A    
Business Continuity Management A/R    
Sincronizzazione dei clock di sistema R A  

6.5   Modalità di erogazione dei servizi di assistenza, help-desk ed aggiornamenti

1. Il servizio di Help-Desk è fornito da Wolters Kluwer Italia per richiedere informazioni e formulare quesiti su funzionalità, utilizzo, metodologie, segnalazione, malfunzionamenti, ecc… in forma multi-canale con accesso tramite:
  • Form di contatto presso: https://registrazione.wolterskluwer.it/assistenza/tecnica.aspx
  • Linea telefonica “Hot-Line” al numero 02.824761 (normale numerazione a tariffa urbana/interurbana)
  • Indirizzi di posta elettronica dedicati per i diversi prodotti:
One Legale [email protected]
One Fiscale [email protected]
One Lavoro [email protected]
One HSE [email protected]
One PA [email protected]
La Mia Biblioteca [email protected]
VeLa [email protected]
Costo del Lavoro [email protected]

2. Il servizio telefonico è disponibile tutti i giorni lavorativi dalle 9.00 alle 18:00
3. I tempi di presa in carico della richiesta rientrano in un arco di tempo massimo di 5 giorni lavorativi, a prescindere che siano state inoltrate via telefono o tramite e-mail.
4. Il ripristino delle funzionalità a fronte di eventuali bug o malfunzionamenti prevede tempi di intervento che dipendono necessariamente dalla gravità del problema.
  • malfunzionamento - presa in carico entro 5gg
  • chiarimento su funzionalità applicativa – risposta entro 5gg.

6.6 Portabilità del dato

I dati personali inseriti dal cliente in ONE (note, segnalibri) durante l'utilizzo del servizio sono di esclusiva proprietà del Cliente e rimangono a sua completa disposizione in ogni momento e per tutta la durata del Servizio.
Ad ogni modo, WKI si impegna a notificare tempestivamente ai clienti del servizio qualsiasi richiesta legalmente vincolante di divulgazione di dati personali da parte dell’autorità giudiziaria, a meno che tale divulgazione non sia altrimenti vietata.
In caso di risoluzione del contratto, WKI restituirà, al seguito di una richiesta del cliente da far pervenire al supporto clienti tramite PEC all’indirizzo, [email protected], sempre per mezzo di posta certificata tramite allegato cifrato; la richiesta deve pervenire entro le tempistiche previsto della retention policy di WKIT; i dati personali memorizzati strettamente legati all’utilizzo del prodotto ONE. I dati saranno consegnati in un formato di file standard, XML. La consegna, senza spese aggiuntive, avverrà entro 30 giorni lavorativi dal giorno della richiesta. Tutto ciò che non è espressamente riportato è a cura del cliente.
Dalla cessazione del contratto, WKI non sarà più ritenuta responsabile del servizio e nulla potrà esserle addebitato per l’interruzione dello stesso.
Decorsi 30 giorni dalla data di effettiva cessazione del Contratto, WKI avrà titolo per cancellare e distruggere in modo sicuro i dati e i relativi backup, in termini compatibili con le procedure tecniche in corso.
WKI si riserva la possibilità di modificare le tempistiche presenti nella Retention Policy, in caso di modifica il cliente sarà notificato della variazione via mail

6.7 Limiti di applicabilità degli SLA

Oltre alle ipotesi contrattualmente previste sono da considerarsi giustificativi del mancato rispetto da parte di WKI degli SLA sopra indicati e di conseguente esclusione di responsabilità di WKI tutti gli eventi imputabili direttamente o indirettamente al cliente o a terzi. Sono di seguito riportate, a titolo meramente esemplificativo e non esaustivo, ulteriori fattispecie giustificative:
1. Indisponibilità delle linee d’accesso del Cliente
2. Anomalie che comportano il blocco di una specifica funzionalità, in tale caso il Cliente sarà avvisato tramite apposita pagina di cortesia
3. Inaccessibilità logica alle risorse della infrastruttura dovute a cambiamenti dei controlli di accesso fatte dai provider della infrastruttura, e non comunicate a WKI
4. Indisponibilità del servizio causata da azioni non direttamente imputabili a WKI
5. Interruzioni del Servizio dovute ad indisponibilità di reti di altri provider (es: ISP di accesso dell’utente)
6. Indisponibilità del servizio Internet dovuta a disservizi sugli Upstream Provider o Peering pubblici e privati
7. Guasti e/o disservizi comunicati dal Cliente ma non riscontrati da WKI
8. Indisponibilità del Servizio per aggiornamenti dei database degli enti ufficiali che gestiscono regole, infrastrutture e protocolli Internet (Ripe, Nic, ecc.).
I valori di SLA quivi illustrati potranno subire variazioni, nel corso della durata del Contratto, previa comunicazione scritta al Cliente con preavviso di 30 (trenta) giorni.