Il presente documento si applica al servizi cloud e di servizio offerti da EGG finance e indicati nelle Condizioni di Fornitura.
1. POLITICA DI SICUREZZA
1.1 Controlli di accesso ai dati
Il personale EGG finance può ottenere diritto di accesso al Servizio per attività specifiche come supporto tecnico, manutenzione, consulenza o sviluppo. Tutte le decisioni relative ad accesso e autorizzazione vengono registrate da EGG finance, con le seguenti descrizioni degli eventi: chi, cosa e quando. Il Cliente può richiedere ad EGG finance l'accesso a queste informazioni in qualsiasi momento.
Log
- Per ogni accesso viene memorizzato l'orario, l’utente, l’IP nonché la sezione dell’applicativo coinvolta, l’ID dell’eventuale elemento nonché il tipo di operazione effettuata (Visualizzazione, Modifica, Eliminazione).
- Nessun utente ha modo di variare o eliminare i log attività.
- Il periodo di conservazione dei log può variare a seconda delle attività: 1 anno per i log di accesso e autenticazione, 6 mesi per i log di attività utente, 1-3 mesi per i log di debug/errore, 5 anni per i log legati a transazioni / interazioni tra il cliente ed EGG finance.
1.3 Luogo svolgimento attività
- Tutte le attività strettamente associate all'erogazione del servizio sono svolte in Europa.
1.4 Accesso e autenticazione
- Gli utenti con privilegio amministratore possono creare, modificare ed eliminare le password di accesso degli utenti nella propria organizzazione e definire i criteri di sicurezza (autenticazione a due fattori, scadenza password, limitazione IP ecc ...). É compito del cliente definire i criteri di sicurezza legati all'accesso dei propri utenti ad EGG finance nel rispetto dei propri processi aziendali e della normativa vigente.
2. POLITICA DI CONTINUITÀ
2.1 Strategia di backup del servizio
EGG finance esegue regolarmente backup completi e/o backup incrementali dei contenti del Cliente per ridurre al minimo la perdita di dati in caso di incidente. Tutti i backup sono crittografati e replicati con una strategia multi-regione e conservati per un periodo definito nelle Condizioni di Fornitura o in Benefici Status.
I backup dei dati sono effettuati in diversi datacenter situati in Europa, sfruttando due fornitori distinti. Questo approccio multi-fornitore offre numerosi benefici, tra cui una maggiore ridondanza, la mitigazione del rischio di perdita di dati e un miglioramento della resilienza complessiva del sistema. Inoltre, l'utilizzo di più datacenter garantisce una distribuzione geografica ottimale, riducendo il rischio di indisponibilità dovuta a disastri naturali o guasti tecnici localizzati.
2.2 Disaster Recovery e Continuità del Servizio
I servizi di Disaster Recovery (DR) in EGG finance sono progettati per fornire la capacità di ripristino del Servizio in caso di un grave disastro. L'approccio al disaster recovery è strutturato per garantire la massima sicurezza e integrità dei dati.
Recovery Time Objective
Il Recovery Time Objective (RTO) è l'obiettivo di EGG finance per il periodo di tempo massimo tra la decisione di EGG finance di attivare i processi di ripristino DR descritti nel presente documento e il momento in cui è possibile riprendere le operazioni di produzione in un sito alternativo. Se la decisione di attivare i processi di ripristino DR viene presa durante il periodo in cui è in corso un aggiornamento, l'RTO si estende per includere il tempo necessario per completare l'aggiornamento. L'RTO è descritto di seguito nel presente documento o altrimenti specificato nel servizio.
Obiettivo del punto di ripristino
L'obiettivo del punto di ripristino (RPO) è l'obiettivo di EGG finance per il periodo massimo di perdita di dati misurato come il tempo dal quale viene persa la prima transazione fino a quando EGG finance dichiarazione del disastro. L'RPO non si applica ai caricamenti di dati in corso al momento del verificarsi del disastro.
L'RPO è descritto nel presente documento di seguito o indicato nella descrizione del Servizio stesso. Gli obiettivi RTO e RPO non si applicano alle personalizzazioni che dipendono da componenti esterni o software di terze parti. Durante eventi di failover attivi o operazioni di ripristino, le richieste di correzione e miglioramento non critiche non sono supportate. EGG finance non è responsabile per problemi derivanti da software di terze parti o personalizzazioni e/o configurazioni legati a servizi offerti da EGG finance ma nei quali possono essere coinvolti il Cliente o terzi.
Dichiarazione di Disastro
In caso di dichiarazione di disastro da parte di EGG finance, quest'ultima avvierà il proprio piano di ripristino di emergenza (DR) per ripristinare i Servizi interessati, in conformità con i seguenti RTO e RPO. I Servizi potrebbero funzionare in condizioni di prestazioni ridotte per tutta la durata dell'evento disastroso.
Per il Servizio principale offerto EGG finance, in caso di High availability (HA), l'RTO è di 12 ore. L'RPO è di 1 ora.
Per tutti gli altri servizi offerti da EGG finance senza High availability (HA) o legati al Servizio principale, EGG finance attiverà i processi per ripristinare il servizio Il backup disponibile più recente effettuato prima dell'inizio del disastro. Sebbene EGG finance si impegni a ripristinare il servizio tempestivamente, la natura del disastro potrebbe influire sui tempi di ripristino. Gli obiettivi RTO e RPO non sono quindi applicabili ai servizi in questa categoria.
Test di ripristino di emergenza
Ogni anno, EGG finance esegue le seguenti esercitazioni obbligatorie di disaster recovery:
• Per i servizi per i quali sono descritti in questo documento un RTO e un RPO specifici vengono eseguiti annualmente due esercizi tabletop e un esercizio di failover/switchover funzionale su un'istanza di servizio rappresentativa;
• Per i servizi per i quali non vengono forniti RTO e RPO specifici, viene eseguito un esercizio tabletop all'anno su un'istanza di servizio rappresentativa.
Le esercitazioni di failover/switchover e le esercitazioni tabletop vengono utilizzate per la formazione del personale e sono coordinate con tutto il personale responsabile della pianificazione e dell'esecuzione delle emergenze. Inoltre, queste esercitazioni verificano che i backup online/offline possano essere ripristinati e che le procedure per il trasferimento di un servizio cloud a un sito alternativo siano adeguate ed efficaci.
I report delle esercitazioni di DR riepilogano i risultati del completamento di un'esercitazione di DR. I clienti possono ottenere il report più recente delle esercitazioni di DR tramite ticket nel portale clienti.
Continuità di servizio
I processi di continuità del servizio possono essere sfruttati per limitare l'interruzione del servizio. EGG finance può, a sua discrezione e ove possibile, trasferire il Servizio dal data center primario a un data center alternativo nell'ambito di un'operazione di switchover per garantire la continuità del servizio. A seguito del ripristino del servizio nel sito primario, EGG finance provvederà a riportare il Servizio al data center primario come parte di un'operazione di switchback per manutenzione programmata.
3. LIVELLO DI SERVIZIO
3.1 Disponibilità del servizio
SLA 99%
EGG finance offre una copertura garantita fino al 99% su tutte le edizioni. È possibile monitorarla accedendo al seguente
link.
In caso di un uptime inferiore al 99% all'interno di un mese, il cliente può richiedere un credito finanziario del canone mensile legato al servizio come indicato nella tabella sottostante. Gli interventi di manutenzione programmata, incidenti dovuti a fattori terzi non gestibili da EGG finance e malfunzionameti dovuti a personalizzazioni / versioni beta o funzionalità terze richieste dal cliente (anche se commissionate ad EGG finance) non sono incluse nell'SLA. Sono inoltre esclusi dall'SLA servizi terzi o servizi non principali offerti da EGG finance. Per questi EGG finance manterrà comunuque l'impegno a garantire un livello di servizio elevato.
Tabella Credito Finanziario
SLA < 99.0% fino a 98.5% 10%
SLA < 98.5% fino a 95.0% 25%
SLA < 95.0% 50%
In nessun caso la quantità di Crediti di Servizio in un periodo di rendicontazione mensile potrà superare il 100% delle tariffe dei servizi applicabili in quel di quel mese.
Affinché EGG finance possa prendere in considerazione una richiesta di crediti per il Servizio, è necessario inviare tale richiesta entro sessanta (60) giorni di calendario dalla fine del mese in cui si è verificato il problema che ha impedito al servizio di raggiungere il livello di disponibilità del servizio target applicabile (o tempo di attività del servizio target).
Per poter beneficiare dei Crediti di Servizio, è necessaria relativa documentazione di supporto. Questa può far riferimento agli strumenti offerti da EGG finance legati al monitoring dell'SLA oppure ad un ticket di malfunzionamento del servizio aperto dal cliente nel momnento in cui il servizio inizia a non essere più disponibile.
High Availability Dati
I dati di tipo documentale e i dati legati alle configurazioni hanno un backup con classe Multi-Region utilizzando il servizio Google Storage come indicato nel seguente link.
I dati presenti nel database hanno un backup giornaliero incrementale e vengono archiviati tramite il servizio Google Cloud SQL come indicato nel seguente
link.
In alcune edizioni di EGG finance (o come servizio aggiuntivo) è attivabile un servizio di HA (High Availability). Con questo servizio i dati vengono memorizzati in replica ma, in caso di incidente, il ripristino è gestito automaticamente dal servizio Google Cloud SQL come indicato nelle condizioni HA. In caso di HA lo spazio dati viene conteggiato doppio. Un 1GB in modalità HA viene conteggiato come 2GB.
É disponibile inoltre la modalità HA Enterprise che offre ulteriori benefici come riduzione del downtime in caso di incidenti, maggiore prestazioni e consente la possibilità, tramite specifico accordo, di aumentare l'SLA di servizio fino a 99,9%.
4. POLITICA DI GESTIONE DEI CAMBIAMENTI
Le finestre di manutenzione programmata sono comunicate all'interno del Servizio stesso.
5. MONITORAGGIO DI SICUREZZA E PENETRATION TEST
Per assicurare un monitoraggio continuo e accurato delle nostre infrastrutture di sicurezza, utilizziamo il servizio di Astrasec.com. Questo ci consente di effettuare un monitoraggio costante e reporting dettagliato dello stato della sicurezza. Oltre a questo, eseguiamo penetration test specifici con cadenza regolare per identificare e correggere tempestivamente eventuali vulnerabilità. Questi test non solo migliorano la nostra capacità di prevenire attacchi, ma dimostrano anche il nostro impegno nel mantenere un alto livello di sicurezza.
Il cliente può richiedere l'ultimo documento di sicurezza aggiornato in qualsiasi momento aprendo relativo ticket.