versione 01/01/2024
1. Introduzione
1.1. Sfridoo S.r.l. di seguito anche “Sfridoo” ha sviluppato una soluzione innovativa per la gestione documentale dei rifiuti aziendali attraverso un applicativo fornito in modalità cloud ai propri Clienti, con alti livelli di integrità, sicurezza e di scalabilità. Per le definizioni utilizzate si rimanda al documento contrattuale di Termini e Condizioni presenti e consultabili all’indirizzo www.rifiutoo.com/termini-e-condizioni. Questo Accordo di Livello di Servizio (SLA o Service Level Agreement) è stipulato tra Sfridoo (proprietaria del marchio e del Software SaaS “Rifiutoo”) e i suoi Clienti (di seguito anche “Cliente”). Questo documento definisce i servizi forniti, i livelli di servizio attesi e le responsabilità delle parti coinvolte. L’accordo è valido annualmente, rinnovato tacitamente, e sarà soggetto a revisioni periodiche. Nel presente Accordo di Livello di Servizio (SLA), i termini e le espressioni, quando riportati con iniziale maiuscola, devono intendersi con il significato ad essi attribuito nel paragrafo qui sopra riportato e in quello presente nel documento di Condizioni di Servizio. I termini indicati al singolare si intendono anche al plurale e viceversa.
2. Descrizione del Software SaaS “Rifiutoo”
2.1. Il Software SaaS viene erogato tramite un’Infrastruttura Cloud basata sulla Piattaforma Cloud “Aruba” con alti livelli di affidabilità, sicurezza e scalabilità. Il Software SaaS “Rifiutoo” utilizza alla data attuale i Data Center di Aruba S.p.A. (di seguito anche “Aruba”), che garantisce elevati livelli di servizio in merito a:
- Data Center dai massimi standard qualitativi (Rating 4 ANSI/TIA) sono in grado di assicurare resilienza e il massimo grado di sicurezza e protezione ai tuoi dati.
- Sicurezza fisica dei server
- Certificazioni ISO 9001, 14001, 27001, 50001
- Disaster recovery geografico
- Intrusion Detection (IDS) e sistema anti-DDoS per attacchi malevoli
- Certificato SSL
- Protezione da interruzioni di alimentazione
- Ridondanze di apparati
- Infrastruttura Enterprise
2.2. Il Cliente fornisce autorizzazione generale alla nomina di ulteriori sub-responsabili del trattamento a termini e condizioni non incompatibili con il presente Accordo SLA. Nel contempo Sfridoo garantisce la corretta installazione e funzionamento degli Aggiornamenti e Sviluppi garantendo tempestivi interventi in caso di errori sul Software SaaS.
3. Protezione dei Dati Aziendali
3.1. Sfridoo non memorizza i dati dei clienti su workstation, laptop, smartphone o supporti rimovibili dell’azienda. I dati dei clienti vengono memorizzati solo nell’ambiente di produzione. I dati dei clienti sono memorizzati solo nell’ambiente di produzione e crittografati sia in transito (HTTPS) che a riposo (AES-256). I sistemi di produzione di Sfridoo sono strettamente controllati. I dispositivi aziendali sono gestiti in modo proattivo durante l’intero ciclo di vita del dispositivo. La nostra soluzione di gestione dei dispositivi garantisce che tutte le postazioni di lavoro siano configurate con antivirus e antimalware e che vengano aggiornate quotidianamente. Queste postazioni di lavoro sono configurate con una password utente forte, e sono limitate all’uso esclusivo per le attività legate alle operazioni. Come ulteriore salvaguardia, quando i computer non sono più necessari, vengono cancellati in modo sicuro utilizzando un processo conforme a US Department of Defense, DoD 5220.22-M o vengono distrutti. I dipendenti di Sfridoo non possono e non sono autorizzati a utilizzare dispositivi mobili sulla rete di produzione per eseguire qualsiasi lavoro legato a Rifiutoo.
4. Controllo degli Accessi
4.1. Rifiutoo è ospitato su infrastruttura Aruba e utilizza la funzionalità IAM (Identity and Access Management) per gestire gli utenti che hanno accesso all’ambiente di produzione.
4.2. Garantiamo che i permessi di accesso e le autorizzazioni per tutti i sistemi (compresi strumenti, applicazioni, database, sistemi operativi, ecc…) siano gestiti in modo da incorporare i principi del minimo privilegio e della separazione dei compiti e dei doveri.
5. Accesso al Software SaaS
5.1. Sarà possibile accedere al Software SaaS da parte del Cliente tramite un indirizzo web fornito al momento della firma sull’Ordine. L’accesso, è regolato da Utente e Password, come da Condizioni del Servizio espresse nel Contratto e/o nel Modulo d’Ordine. Eventuali cambiamenti di indirizzo d’accesso al Servizio Cloud saranno comunicati al cliente con un avviso di almeno 30 (trenta) giorni.
6. Modalità di erogazione del Software SaaS
6.1. Il Cliente, previa verifica dell’identità, riceve, tramite due canali differenti (e-mail e/o telefono), la User e la relativa Chiave di Accesso per accedere al servizio e procedere con il cambio password obbligatorio da parte dell’Utente. Gli Utenti abilitati saranno in numero pari al numero di Utenti richiesto dal Cliente e riportato nel Modulo d’Ordine. È fatto divieto al Cliente di utilizzare le aree di memoria messe a disposizione per memorizzare altre informazioni o per altri scopi.
7. SLA relativo alla Infrastruttura Cloud
7.1. Rifiutoo si avvale delle garanzie fornite da Aruba S.p.A. per l’Infrastruttura Cloud e Piattaforma Cloud. Per i tempi di ripristino dell’Infrastruttura Cloud e delle relative SLA, si rimanda ai dettagli del fornitore Aruba S.p.A, mentre di seguito si riportano gli elementi fondamentali che includono:
- Uptime garantito del 99.70%;
- Supporto tecnico 24/7;
- Ridondanza geografica per disaster recovery.
8. SLA Software Saas “Rifiutoo”
8.1. Sfridoo garantisce il funzionamento dei servizi applicativi ospitati sulla Piattaforma Cloud. I servizi sono monitorati costantemente per:
- Gestire il funzionamento delle componenti del servizio Software SaaS;
- Eseguire le procedure operative e mantenere la documentazione relativa all’operatività;
- Interfacciarsi con Terze Parti di Partner coinvolte nel processo di erogazione del Software SaaS.
9. Tempi di ripristino e gravità dei guasti
9.1. I gradi di severità del guasto e i relativi tempi di ripristino sono definiti come segue nella tabella dove sono elencati i gradi di severity del “guasto” ed il relativo tempo di ripristino.
Livelli di Severity |
Descrizione |
Emergenza |
Grave indisponibilità del servizio che ha un serio impatto sulle attività del cliente. Impossibilità di utilizzo del servizio. |
Grave |
Alto rischio di interruzione del servizio. |
Normale |
Impatto sugli utenti finali. |
Tempo di intervento |
Monitoraggio ambiente di produzione |
24h/7 |
Incident con priorità “Emergenza” o “Grave” |
Massimo 48 ore lavorative: Lunedì ÷ Venerdì 09:00 ÷ 18:00 (festivi esclusi) |
Altri incidenti |
Entro 72 h: Lunedì ÷ Venerdì 09:00 ÷ 18:00 (festivi esclusi) |
10. Esclusioni e Limiti di Applicabilità delle SLA
10.1. Le seguenti situazioni non sono coperte dalle SLA:
- Interruzioni programmate per interventi tecnici della Sfridoo o del Provider di servizi Infrastruttura Cloud di Aruba;
- Interruzioni parziali o degrado del servizio;
- Interruzioni dovute a disastri naturali, sommosse o eventi eccezionali;
- Interruzioni da linee e circuiti forniti provider esterni di rete.
10.2. Oltre alle ipotesi contrattualmente previste, sono di seguito riportate ulteriori fattispecie giustificative del mancato rispetto da parte di Sfridoo degli SLA sopra indicati e di conseguente esclusione di responsabilità di Sfridoo:
- Indisponibilità delle linee d’accesso del Cliente, di rete e di servizio o legate a sistemi IT interni non configurati per far funzionare correttamente l’applicativo Rifiutoo;
- Anomalie che comportano il blocco di una specifica funzionalità, in tale caso il Cliente sarà avvisato tramite apposita pagina di avvertenza;
- Inaccessibilità logica alle risorse della Infrastruttura Cloud dovute a cambiamenti dei controlli di accesso fatte dal provider Aruba e non comunicate a Sfridoo;
- Indisponibilità del servizio causata da azioni non direttamente imputabili a Sfridoo e cause di forza maggiore;
- Interruzioni del Servizio dovute ad indisponibilità di reti di altri provider (es: IP di accesso dell’utente);
- Indisponibilità del servizio Internet dovuta, ad esempio non esaustivo, a disservizi sugli Upstream Provider o Peering pubblici o privati;
- Guasti e/o disservizi comunicati dal Cliente ma non riscontrati da Sfridoo o non ripetibili in ambienti di controllo di Sfridoo;
- Indisponibilità del Servizio per aggiornamenti dei database degli enti ufficiali che gestiscono regole, algoritmi, infrastrutture e protocolli di rete Internet e connessioni (esempi non esaustivi: Ripe, Nic, ecc…)
10.3. I valori di SLA qui ivi illustrati nel documento potranno subire variazioni, nel corso della durata del Contratto, previa comunicazione scritta al Cliente con preavviso di 30 (trenta) giorni.
11. Penalità
11.1. Se il Fornitore del Servizio non rispetta i termini delle SLA, il Cliente ha diritto a crediti di Software SaaS.
12. Risoluzione e Terminazione
12.1. Il Cliente può terminare il contratto con un preavviso di 60 giorni. Le condizioni di risoluzione anticipata devono essere concordate e documentate.
13. Responsabilità del Cliente
13.1. Il Cliente è responsabile di:
- Configurazione sicura sistemi (Lato Client);
- Patching Client;
- Gestione account utenti finali per accesso ai servizi;
- Gestione profilazione utenti finali per accesso ai servizi;
- Network – Gestione connettività utente finale;
- Fornire accesso tempestivo alle risorse necessarie per la risoluzione dei problemi;
- Segnalare tempestivamente eventuali problemi o anomalie riscontrate;
- Possedere sistemi e apparecchiature Hardware e Software necessarie per il collegamento a distanza (Software di collegamento; richiesta connessione, etc…)
- Mantenere aggiornate le informazioni di contatto per comunicazioni urgenti.
14. Secure Development Life Cycle (SDLC)
14.1. Sfridoo e i suoi Partner esterni adottano e/o sottoscrivono il modello Secure Development Life Cycle (SDL). Il rispetto delle policy e delle procedure di sviluppo sicuro viene esteso a tutti i soggetti esterni coinvolti nelle attività di sviluppo software. Sono condotte con cadenza periodica attività di vulnerability assessment (VA) a livello applicativo. Vengono definiti ed attuati piani di remediation delle vulnerabilità tecniche eventualmente emerse. I piani di remediation delle vulnerabilità tecniche vengono definiti e attuati in base all’impatto sul servizio offerto. La sicurezza del software in termini di integrità, disponibilità e riservatezza delle informazioni sono parte del processo di struttura del progetto by-design.
15. Modalità di erogazione dei Servizi
15.1. Fatto salvo particolari casi di difficoltà oggettiva della variazione o in caso di continue variazioni legislative o in caso di evidente mancanza temporale prevista dalla norma o in caso di incertezza nell’interpretazione dei decreti attuativi. Il servizio di assistenza è erogato tutti i giorni lavorativi dell’anno (escluso sabato, domenica, giorni di chiusura aziendale e festività riconosciute) dalle ore 09.00 alle ore 12.00 e dalle ore 15.00 alle ore 18.00. Fatto salvo il pagamento del corrispettivo per l’Assistenza dedicata, quella di base viene erogata secondo i criteri descritti. I tempi di risposta possono variare in base alle disponibilità degli operatori e in base alla priorità acquisita in base al Modulo di Offerta previsto in fase di contrattualizzazione con il Cliente.
16. SLA Assistenza Standard
16.1. Manutenzione ordinaria:
- Distribuzione di release di aggiornamento annue dovute a innovazioni e/o miglioramenti e/o mutate disposizioni legislative e/o prestazioni aggiuntive che, a giudizio dell’Azienda Sfridoo, siano classificabili come manutenzione ordinaria, pertinente con il Sistema di Gestione della Sicurezza Aziendale. Di seguito un maggiore dettaglio:
- Eliminazione di eventuali difetti e/o malfunzionamenti sopravvenuti che siano stati opportunamente segnalati e documentati dal Cliente per iscritto attraverso invio e-mail al servizio assistenza.
- Adeguamento tempestivo dei programmi in oggetto al fine di far fronte ad eventuali mutamenti di norme legislative e/o fiscali dettate in materia di rifiuti dal D.Lgs. 152/2006 e sue successive modifiche e integrazioni.
- Help-desk con accesso tramite i canali comunicati all’acquisto al servizio assistenza: i servizi di assistenza tutti i giorni lavorativi dell’anno (escluso sabato, domenica, giorni di chiusura aziendale e festività riconosciute) dalle ore 09.00 alle ore 12.00 e dalle ore 15.00 alle ore 18.00.
- 1° livello: Bug, errori, recupero password.
- Assistenza in collegamento telematico per attività di “problem solving” – il Cliente si doterà delle apparecchiature Hardware e Software necessarie per il collegamento (Software di collegamento; richiesta connessione, etc…).
17. Formazione sulla Sicurezza
17.1. Sfridoo prevede programmi di formazione annuale sulla sicurezza per tutti i dipendenti, con focus su policy di sicurezza, responsabilità personale e pratiche di sicurezza operative. La formazione include regole di sicurezza informatica, accountability personale, e punti di contatto per escalation di problemi di sicurezza. Inoltre è stato previsto un programma di formazione dedicato ai temi sulla privacy e GDPR.
18. Backup e ripristino dei Dati
18.1. Per garantire l’integrità e la disponibilità dei dati, Rifiutoo esegue backup completi del database ogni notte. Tutti i backup sono memorizzati su server sicuri. Il Cliente può richiedere il backup del proprio account, anche se l’account risulta scaduto nei 30 giorni successivi alla scadenza della licenza.”