Mkto Sch Sicurezza24 consulenti 150313-150313 SICUREZZA24 La gestione della Sicurezza sui luoghi di lavoro (ai sensi del D.Lgs. 81/2008 e successivi) per i Consulenti Sicurezza24 nasce dall esigenza dei professionisti/consulenti di seguire la sicurezza sui luoghi di lavoro per le proprie Aziende clienti e di mantenere uno scadenziario dei controlli sia delle normative che delle risorse umane per quest ultime. Per tanto, la caratteristiche principale di Sicurezza24 è quella di essere un vero e proprio gestionale per la sicurezza sui luoghi di lavoro, oltre che ad un software per la compilazione del DVR (Documento di valutazione dei rischi). Sicurezza24, in particolare poi, è un software gestionale on-line che permette di gestire la sicurezza dei luoghi di lavoro per i propri clienti ovunque voi siate, attraverso accessi personalizzati e l uso di un archivio server messo a disposizione del consulente. Sicurezza24 rende più facile l organizzazione e la gestione della sicurezza aziendale, permette un costante controllo da parte del consulente di tutti gli aspetti correlati, contiene i costi, poiché velocizza e automatizza le operazioni di adeguamento normativo e permette in un unico ambiente di governare efficacemente le tematiche della sicurezza per ciascuna delle Aziende Cliente. Inoltre, permette al consulente di tenere aggiornato l andamento del sistema di sicurezza di ciascuna Azienda Cliente anche senza avere il proprio computer a portata di mano, poiché i dati e il programma sono salvati sul server on-line e il software non prevede installazione in locale. Sicurezza24 fornisce un supporto specifico per: analizzare tutti i rischi per la salute e per la sicurezza nei vari settori dell azienda individuare le soluzioni tecniche, organizzative e procedurali per la bonifica compilare in modo automatico il documento di valutazione dei rischi non scordare appuntamenti importanti sia per l azienda (documenti e verifiche obbligatorie, manutenzioni) sia per i lavoratori dipendenti (sorveglianza sanitaria, vaccinazioni, DPI, formazione e informazione, ecc.) attraverso report filtrati informare e formare i lavoratori e aggiornare gli addetti alla prevenzione e protezione aziendale conoscere le leggi e le norme per la sicurezza evitare di incorrere nelle sanzioni degli organi di vigilanza gestire la sicurezza aziendale con la necessaria tranquillità Compilazione del documento di valutazione dei rischi E' un documento già predisposto e modificabile, come ad esempio un normale testo word e permette di ottenere e aggiornare il Documento di valutazione dei rischi. Ad esso vanno allegati gli elaborati ottenuti grazie a Sicurezza24, relativi a: o valutazione dei rischi (All.I-DVR)
o o o o programma delle misure per il miglioramento nel tempo dei livelli di sicurezza (All.II-DVR) organigramma della sicurezza aziendale (All.III-DVR) organico aziendale (All.IV-DVR) dispositivi di protezione individuale (All.V-DVR) Caratteristiche/Funzionalità: Multi-ragione sociale Il software è adatto ai RSPP esterni e alle società di consulenza, che gestiscono molte realtà e ragioni sociali. Infatti, Sicurezza24 permette di attivare, con moduli aggiuntivi, più ragioni sociali contemporaneamente. Inoltre, al momento della fornitura il cliente potrà comunicarci quale e quante tipologie di azienda vuole attivare in modo tale da adeguare le check-list. Qui si riportano le tipologie standard dei settori aziendali che si possono attivare: 1. APSP, Case di Riposo e RSA 2. Alberghi e attività ricettive 3. Ospedali e Case di Cura 4. Banche e Uffici 5. Aziende industriali e artigianali 2
6. Segherie, falegnamerie e mobilifici 7. Farmacie 8. Aziende metalmeccaniche 9. Comuni, comunità montane e aziende di servizi pubblici 10. Scuole e asili Una ragione sociale, infiniti luoghi di lavoro In fase di avvio, per ciascuna Azienda, viene richiesto di definire tramite un diagramma ad albero la struttura aziendale dei luoghi di lavoro con cui si andrà a lavorare in seguito. In questo modo il software attiverà altrettante check-list correlate e un elenco degli adempimenti riservato a quel luogo di lavoro per quell Azienda. Il programma permette di impostare fino a 5 livelli di subordinazione all interno dello schema ad albero, che può avere però infinite diramazioni coordinate. Anagrafiche, Import Massivo Le anagrafiche su cui si baseranno tutti le varie sezioni come Organigramma, Schede dipendenti, Scadenziari etc. sono compilabili a mano dall utente, o grazie a un import massivo da data base. Questa operazione è effettuabile previa visione da parte del ns. servizio tecnico del tipo di data base da importare e di una sua Valutazione di Fattibilità, che dedurrà anche il numero di giorni/lavoro ai fini di definirne i costi dal punto di vista commerciale. Questa operazione di import massivo è possibile sia per le anagrafiche sia per le check-list. Sezioni principali: L inserimento dati può essere categorizzato in 3 diverse macro-sezioni, in cui si suddivide idealmente il lavoro del RSPP: check-list di autocontrollo e valutazione dei rischi tenuta scadenziario delle manutenzioni e degli adempimenti tenuta dello scadenziario e delle schede personali. Controllo e valutazione dei rischi (check-list specifiche) Le check-list, mirate per ogni settore, informano, formano e guidano il Servizio di Prevenzione e Protezione Aziendale all individuazione dei rischi per la salute e dei pericoli per la sicurezza presenti in azienda e sono già presenti nel software. Si dispone già in fase iniziale, quindi, di un archivio di argomenti e rischi che è possibile sempre implementare e/o aggiornare con nuovi dati. Per ogni argomento sono presentati suggerimenti tecnici, organizzativi e procedurali per valutare e quantificare il rischio, individuare le modalità di bonifica, definire le priorità, programmare gli interventi. Per ogni argomento è anche indicato il fattore di Rischio (R) che viene calcolato moltiplicando la possibilità/frequenza e il danno di questo argomento. Il fattore R permette di ordinare gli argomenti, in fase di stampa del programma di interventi, mettendo quelli più con rischio più alto per primi. In modo tale da permettere uno svolgimento delle azioni correttive mirato ed organizzato. L utilizzo delle chek-list è immediato: ci sono dei bottoni da accendere e spegnere, per indicare se l azienda è in regola o meno per quello specifico
argomento. La composizione cromatica e la possibilità di filtraggi rende il software molto intuitivo. Tenuta archivio-scadenzario di documenti, verifiche e manutenzioni Gestisce l archivio e lo scadenzario dei documenti per la sicurezza che devono essere presenti in azienda, individuati dal programma e gestisce l archivio e lo scadenzario delle verifiche e manutenzioni periodiche, obbligatorie e facoltative, sempre identificate dal programma. Il software offre una serie di adempimenti già pre-impostati che possono essere poi modificati, ampliati o creati ex-novo. Tenuta archivio-scadenzario della sicurezza dei lavoratori Gestisce l archivio e lo scadenzario dei dati e appuntamenti importanti per la salute e la sicurezza dei lavoratori dipendenti, in particolare: o scheda anagrafica o storia lavorativa o esposizione ai rischi o sorveglianza sanitaria e idoneità o vaccinazioni o documenti individuali (libretti sanitari, ecc.) o informazione e formazione o dispositivi di protezione individuale (DPI) o infortuni e malattie professionali o Tutele 4
Dei dati che vengono inseriti nelle schede personale, è possibile realizzare report ed estrazione dati per avviare una piccola business intelligence dedicata alla sicurezza sui luoghi di lavoro, anche grazie al formato.xls che si presta a creare grafici e analisi secondo le proprie esigenze. Organigramma della prevenzione e protezione aziendale Registra e conserva l organigramma storico della sicurezza aziendale fornisce l allegato al documento di valutazione dei rischi. Le anagrafiche vengono riprese dalle singole anagrafiche inserite a priori nel programma. Cassetto delle leggi In varie sezioni del programma, come nelle check-list o negli adempimenti per le manutenzioni, sono esposti dei suggerimenti relativi al modo in cui raggiungere la conformità a normativa e la relativa legge di riferimento. Prodotti correlati: excellent Sicurezza - Sicurezza sui Cantieri Versioni disponibili Sicurezza24 Sicurezza Luoghi di Lavoro fino a 50 Aziende (*) Sicurezza24 Sicurezza Luoghi di Lavoro fino a 100 Aziende (*) Sicurezza24 Sicurezza Luoghi di Lavoro fino a 250 Aziende (*) Sicurezza24 Sicurezza Luoghi di Lavoro fino a 500 Aziende (*) Sicurezza24 Ulteriore certificato (*) riservato a Consulenti Sicurezza del Lavoro, comprensivo di licenza d'uso, assistenza e hosting - canone minimo 12 mesi, un certificato di accesso Al momento dell attivazione il sistema presenta le Aziende Cliente nel numero e nel tipo acquistate. Il tipo dovrà essere comunicato in fase di acquisto o prima dell attivazione.
100% SODDISFATTI Il canone d uso comprende aggiornamenti e assistenza tecnica Configurazione Hardware e Software Non è richiesta nessuna particolare configurazione hardware. E sufficiente una connessione ad internet tramite Internet Explorer 6.0 e successivi. Per un posto di lavoro è sufficiente una linea ISDN 128 Kb. Per 5 o 6 posti di lavoro è consigliabile una ADSL base (consumo pari a 13Kb per connessione) 6
SLA (Service Level Agreement) Condizioni di servizio Definizioni OE = Orario di Erogazione: orario in cui un servizio è attivo ed accedibile dall Utente, indipendentemente dal presidio OFS = Orario di Funzionamento Supportato: orario di erogazione di un servizio, con supporto TMO = Tempo di Manutenzione Ordinaria: tempo necessario per lo svolgimento di attività di manutenzione di sistemi e servizi effettuate con cadenza periodica (TMO puo essere nullo se la manutenzione non genera discontinuità di servizio) TMS =Tempo di Manutenzione Straordinaria Pianificata: tempo necessario per lo svolgimento di attività di manutenzione di sistemi e servizi effettuate senza cadenza periodica (TMS puo essere nullo se la manutenzione non genera discontinuità di servizio) TM = Tempo di Manutenzione: TMO + TMS OFG = Orario di Funzionamento Garantito: orario di funzionamento minimo di un servizio, che viene garantito tenendo conto delle possibili discontinuità (escluse quelle relative alla Manutenzione Ordinaria) US = Uptime di Servizio: livello percentuale di funzionamento di servizio espresso come percentuale dell orario di funzionamento garantito (OFG) rispetto all orario di funzionamento supportato (OFS), al netto dei tempi di manutenzione (TM), secondo la formula US = (OFG / (OFS TM)) x 100 (tutti i tempi e gli orari sono riferiti ad una base mensile) Nota: per i servizi lo SLA fornisce i valori OE, OFS, TM, US dai quali può essere ricavato OFG. Tutti gli orari sono riportabili ad una delle seguenti tipologie: O_T = Orario Totale: 24 x 7 (24 ore per 7 giorni pari a 168 ore settimanali) O_S = Orario di Supporto 8 x 5 (8 ore per 5 giorni pari a 40 ore settimanali, dalle 8.30 alle 12.30 dalle 14.00 alle 18.00 giorni LMMGV) Orario di erogazione e di funzionamento supportato Per i servizi del FORNITORE vengono definiti i seguenti orari di erogazione e di funzionamento supportato, nei quali essi vengono forniti rispettivamente senza e con presidio di supporto: Tabella 1 Servizi Sicurezza24 Erogazione (OE) Funzionamento supportato (OFS) Software gestionale Sicurezza sul lavoro O_T = Orario Totale (accessibiità): 24 x 7 O_S = Orario di Supporto 8 x 5 (dalle 8.30 alle 12.30 dalle 14.00 alle 18.00 giorni LMMGV) Formazione On-line O_S O_S
Uptime di servizio L Uptime garantito dal FORNITORE. per tutti i servizi è del 99,5% del tempo contrattualizzato. Il rimanente 0,5% di tempo è utilizzato per lavori di manutenzione. Per ogni singolo servizio il FORNITORE fornisce gli orari di Funzionamento Supportato (OFS: v. tabella 1) e i tempi di discontinuità per la manutenzione necessari per calcolare correttamente i valori relativi all orario di Funzionamento Garantito (OFG) Lo SLA per l'uptime prevede il funzionamento di tutta l'infrastruttura hardware e di rete nonchè la raggiungibilità dei server da parte dell Utente. Si considera downtime il tempo nel quale un Utente non è in grado di raggiungere i server tramite un comando ping. Il tempo di downtime è misurato a partire dal momento in cui l Utente non riesce a connettersi al servizio fino al momento in cui i server sono nuovamente in grado di fornirlo, indipendentemente quindi dal fatto che il l Utente sia pronto ad usufruirlo. Lo SLA non include il funzionamento del PC dell Utente, del sistema operativo su di esso installato e del browser utilizzato. Nel caso di interruzioni di applicativi o servizi installati sui server, come specificato nel punto relativo ai Limiti di applicabilità dello SLA (vedi oltre), il FORNITORE si impegna a ripristinare i servizi interrotti nel più breve tempo possibile. Manutenzione ordinaria e straordinaria pianificata La manutenzione ordinaria e straordinaria pianificata riguardano le attività svolte regolarmente da il FORNITORE per il mantenimento della funzionalità ottimale dei servizi. Le attività relative alla manutenzione ordinaria sono: backup gestione dei log procedure di controllo e gestione Tali attività sono programmate con cadenza giornaliera e non determinano discontinuità nel servizio. Le attività relative alla manutenzione straordinaria pianificata sono: Patch e/o Upgrade ai sistemi operativi Modifiche e/o Upgrade al hardware Modifiche e/o Upgrade alla infrastruttura di rete Patch e/o Upgrade del software applicativo Riconfigurazioni di sistema e ottimizzazioni periodiche di performance Tali attività, non strettamente legate ad una cadenza periodica, vengono effettuate, ove possibile, nelle ore notturne; in caso determinino discontinuità nel servizio la relativa utenza viene avvertita con un congruo tempo di preavviso. La tabella che segue mostra le pianificazioni degli interventi manutentivi: 8
Tabella 2 Servizi Manutenzione ordinaria Manutenzione straordinaria pianificata Periodicità Tempo Discontin Operazione Discontinuità Orario e Periodicità uità Schedulata (TMO) prestab. preavvis (TMS) o Backup Giornaliero - - Settim. 22.00 - - Gestione dei log Giornaliera - - - - - - Procedure di Controllo e gestione Giornaliera - - - - - - Patch e/o Upgrade ai sistemi operativi; - - - Al bisogno - - - Modifiche e/o Upgrade al hardware; Al bisogno Modifiche e/o Upgrade alla infrastruttura di rete; Al bisogno Patch e/o Upgrade del software applicativo Riconfigurazioni di sistema e ottimizzazioni periodiche di performance Giornaliera Notturna Mensile 17,30 Giornaliera Notturna Mensile 14.00 2 gg Mailing list Min 1 minuto Max 20 min. N.B. In quasi tutti i casi non è prevista discontinuità del servizio perché gli interventi (ad es. Patch ai sistemi operativi) viene fatta a turno sui vari server. Il server da sottoporre a manutenzione viene disabilitato e di conseguenza gli utenti vengono automaticamente dirottati sui server attivi. Il server viene aggiornato e rimesso in linea. La discontinuità del servizio avviene solo per l aggiornamento dei programmi e della base dati in quanto le due operazioni devono avvenire congiuntamente. Anche in questo caso però è stata attivata una funzionalità particolare che permette di limitare al massimo il periodo di discontinuità del servizio erogato. In pratica gli utenti vengono invitati ad uscire dal programma all orario stabilito (con almeno 2 gg di preavviso, salvo eventi eccezionali per i quali il preavviso può essere inferiore). Non appena gli utenti si sono disconnessi, viene messo in linea un gruppo di server precedentemente aggiornato e viene lanciato l aggiornamento ai database. Mano a mano che finisce l aggiornamento di versione, gli Utenti di quel database sono di nuovo autorizzati alla connessione. Ecco perché alcuni Utenti possono rientrare quasi immediatamente, altri dopo un paio di minuti, altri ancora dopo tre e così via. In realtà, quindi, i tempi di discontinuità sono molto inferiori di quanto riportato in tabella. Backup e Restore Il FORNITORE garantisce, relativamente ai vari servizi erogati, l esecuzione di backup (salvataggi) periodici di software di base, software applicativo e database su specifici supporti e specifiche modalità di conservazione. Ciò a garanzia di possibili restore (ripristini) in caso di necessità. Il FORNITORE fornisce assicurazione che tutte le operazioni di backup vengono monitorate ed effettuate in piena conformità con le normative vigenti (Privacy). Piano di backup della Server Farm I dati risiedono su supporti magnetici ridondati e sono ridondate anche le apparecchiature di controllo e di accesso, in modo da offrire la massima continuità di servizio.
Limiti di applicabilità dello SLA Di seguito sono riportate le condizioni al di fuori delle possibilità di controllo e gestione del FORNITORE e che, pertanto, costituiscono eccezioni nell applicabilità dello SLA: Cause di Forza Maggiore: eventi che, oggettivamente, impediscano al personale Esakon o a personale specializzato dei partner di raggiungere la sede Utente (qualora previsto dagli accordi e dall offerta), o i locali di Esakon, quali: scioperi e manifestazioni con blocco delle vie di comunicazione; incidenti stradali; guerre e atti di terrorismo; catastrofi naturali quali alluvioni, tempeste, uragani etc; Inaccessibilità fisica all area riservata all Utente: situazione in cui l Utente, per qualunque motivo, non renda disponibile l accesso alle proprie aree riservate per cui è impossibile effettuare interventi di riparazione; Inaccessibilità logica alle risorse dell Utente dovute a cambiamenti dei controlli di accesso fatte dall Utente e non comunicate a Esakon Situazione di interruzioni del servizio rilevate dagli Utenti e dovute ad indisponibilità di reti di altri provider; Indisponibilità o blocchi dei servizi imputabili a anomalie e malfunzionamenti dei software applicativi/gestionali forniti da terze parti; Indisponibilità del servizio Internet dovuta a disservizi sugli Upstream Provider o Peering pubblici e privati; Indisponibilità o blocchi dei servizi imputabili a anomalie e malfunzionamenti di connettività fornita da terze parti (es. Wind, Telecom, etc.) Privacy Tutela e garanzia dei dati e della proprietà degli stessi il FORNITORE può consegnare, ogni qualvolta il Cliente lo ritenga opportuno, sia nel corso del servizio sia al termine dello stesso e dietro semplice richiesta scritta (fax o mail), una copia di backup del database contenente gli archivi dei dati Sicurezza24 del Cliente stesso. Per ciascuna fornitura verrà corrispettivo a forfait. Trascorsi tre mesi dal termine del servizio, il FORNITORE, in conformità con la normativa sulla Privacy, dovrà e distruggerà definitivamente tutti i database contenenti i dati del Cliente. 10
RIASSUNTO MISURE DI SICUREZZA ADOTTATE DEL SERVIZIO SaaS - ASP A) Principali misure adottate contro la perdita dei dati e la continuità del servizio: a1) i database sono fisicamente "alloggiati" su server in configurazione Raid 5 con possibilità, in caso di guasti, di sostituzione a caldo degli hard disk (computer acceso) senza interruzione del servizio e senza la perdita di dati. Ovviamente i server sono dotati di doppio alimentatore anch'esso sostituibile a caldo in caso di guasti; a2) i server dati, di autenticazione, gestionali e di backup solo fisicamente alloggiati in una farm la quale garantisce standard internazionali di sicurezza. I contesti di rischio attinenti le minacce derivanti dalla collocazione territoriale delle attrezzature informatiche sono quindi presi in carico dalla farm. B) Principali misure adottate per i backup: b1) i backup dei database sono eseguiti giornalmente ed alloggiati su un server con le stesse caratteristiche del punto a1). La funzione di backup genera automaticamente messaggi di esecuzione o mancata esecuzione dell'operazione per ciascun database. Il personale del Fornitore è preposto alla verifica giornaliera della perfetta riuscita dei backup programmati;
b2) i backup giornalieri vengono conservati per almeno 1 mese; b3) la copia di backup del primo giorno di ciascun mese viene conservata per almeno due anni; b4) tutte le notti una copia di backup (criptata) viene inviata ad un altro server dislocato in un altra farm. La server farm di "destinazione" ha caratteristiche similari a quella descritta al punto a2). Il controllo di cui al punto b1) verifica, ovviamente, anche la buona riuscita della remotizzazione dei backup; b5) i backup remoti sono conservati per almeno 7 giorni. C) Principali misure adottate per le credenziali di accesso e di autenticazione: c1) accesso tramite USER e PASSWORD dal sito internet www.software-sicurezza.it. La complessità obbligatoria della PASSWORD è minima (8 caratteri alfanumerici); c2) accesso tramite USER e PASSWORD al dominio Esakon-Asp. La complessità obbligatoria della PASSWORD è elevata (minimo 12 caratteri misti con lettere, numeri, caratteri speciali). Facoltativamente, questo secondo livello di protezione può essere automatizzato; c3) accesso tramite USER e PASSWORD a Sicurezza24. La complessità obbligatoria della PASSWORD è minima (8 caratteri alfanumerici). Facoltativamente l amministratore dell Utente di Sicurezza24b può obbligare gli utilizzatori ad elevare la complessità della PASSWORD; c4) gli Utenti di cui al punto c3) sono gestiti direttamente dal Cliente il quale ha la possibilità di definire su quali funzioni ciascun Utente può operare e per ciascuna di esse definire se lo può fare in controllo totale oppure in sola lettura. D) Principali misure adottate per la sicurezza contro virus informatici: d1) gli utenti sono configurati con le massime limitazioni possibili. Non hanno accesso al desktop; d2) i servizi dei server non sono pubblici e non sono visibili da internet; d3) sui server è installato ed è costantemente aggiornato un programma antivirus di tipo professional. 12