Verifica punto-per-punto delle affermazioni del revisore (GV.RR-04, GV.PO-01,
codifica importanti/essenziali) contro i testi ufficiali ACN. Esito: finding
fondato; imprecisioni di contorno documentate. Razionale del modulo Gap Analysis ACN.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Assessment di SECONDO LIVELLO sulla Determinazione ACN 164179/2025 (non le 10
lettere generiche Art.21, gia coperte). Distingue soggetti importanti/essenziali:
- IMPORTANTI (All.1): 37 misure, 87 requisiti
- ESSENZIALI (All.2): 43 misure, 116 requisiti
- application/data/acn_measures.json: dataset canonico estratto dai testi
UFFICIALI ACN (Allegati 1+2), testi requisiti INTEGRALI (no troncamenti),
flag per-requisito importante/essenziale. Validato 37/87 + 43/116, zero
discrepanze vs codici di riferimento.
- AcnAssessmentController: catalog/list/create/get/requirements/respond/complete/
report/aiAnalyze. Pre-popola requisiti applicabili per entity_level, scoring
per funzione FW (GOVERN/IDENTIFY/PROTECT/DETECT/RESPOND/RECOVER), grounding AI
sui 203 requisiti ACN gia in KB. Anti-IDOR, snapshot testo immutabile.
- Migrazione 036: acn_assessments + acn_assessment_responses (APPLICATA su host).
- Router: acn-gap controllerMap + actionMap.
Origine: finding revisore (la Gap Analysis Art.21 non e l'autovalutazione ACN).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Una sola iscrizione Apple Developer per tutta la suite, Team 5W6WYDQKTS,
Bundle ID convention it.<prodotto>.app, credenziali Apple nel vault sotto
tier1__shared-apple__developer/. Onboarding nuovo prodotto mobile in 30 min.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Race in audit.log() fixata con transazione + SELECT FOR UPDATE; CLI
audit fix LIMIT bug; chain re-anchor entry id 23793. Doc completo in
docs/INCOMING_FROM_AGILEHUB_2026_05_31_vault_chain_fix.md.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
- bulkUpsertSuppliers: il ramo category_id esplicito (import API/CSV) ora verifica
che la categoria sia un preset (org 0) o della stessa org, come gia' fa il ramo
category_slug. Evita di scrivere suppliers.category_id di un'altra org (dato sporco
cross-org). Finding review multi-agente (MINORE, correttezza dati).
- docs/sql/032,033: header "PROPOSTA DI DESIGN (NON applicata)" -> "APPLICATA su
produzione 2026-05-31" (sono effettivamente applicate). Evita confusione operativa.
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Review normativa multi-agente sul template NIS2 base (18/26 citazioni gia' perfette):
- Q24/Q26 (GV.SC-05): la citazione attribuiva al "§1" un testo che e' il TITOLO della
misura. Corretto col testo verbatim del §1 reale (inserimento requisiti GV.SC-01.1.b
in contratti/bandi).
- Q22 (GV.SC-02): idem, distinto titolo da §1; il "punto di contatto sicurezza" e'
dichiarato come buona pratica, non obbligo testuale.
- Q4 (RTO), Q7 (ISO 27001), Q22, Q26: aggiunti disclaimer [Interpretazione del prodotto]
dove la piattaforma fa una scelta metodologica (soglie RTO, ISO come proxy, mappature)
non imposta dalla lettera della norma.
0 citazioni inventate, 0 articoli errati. Forte adesione normativa: dove c'e'
interpretazione ora e' dichiarata esplicitamente. JSON valido (26 domande).
Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
Distribuzione cross-suite su direttiva utente "se devi segnalare aggiornamenti
devi farlo per tutti i dockers dev". Doc completo in
docs/INCOMING_FROM_AGILEHUB_2026_05_31_email_send_fix_and_php_opcache.md.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Decisioni utente: auth OTP/magic-link (no password, tabella supplier_users separata),
categorie predefinite+personalizzabili, scadenze configurabili, portale su supplier-portal.html
(stesso dominio). Schema DB, API (/api/supplier-portal/*), flusso OTP, 4 fasi, sicurezza
(isolamento totale da users interni, no IDOR), domande aperte per approvazione. NO codice.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Allinea il PRODOTTO alla guida/normativa portando la compliance dal livello 10 misure Art.21
al livello operativo dei requisiti ACN (Framework Nazionale 2025).
- Migrazione 031: acn_requirements (catalogo) + org_acn_requirement_status (stato per-org)
- Seed da Allegati 1-2 ACN (fonte certa, parsing verificato): 87 importanti + 116 essenziali = 203 requisiti reali
- AuditController: acnRequirements (GET, per entity_type org: importanti 87 / essenziali 116, summary per funzione GV/ID/PR/DE/RS/RC, % compliance) + updateAcnRequirement (PUT stato+evidenza)
- Route audit/acnRequirements GET/PUT
- guida.html: fix refuso cap-5 (residuo 'otto categorie...no' -> '10 categorie x 8, quattro modalita')
E2E prod: org importante -> 87 req; PUT implemented -> compliance aggiornata.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Scaricati da acn.gov.it: Allegato1 (soggetti importanti), Allegato2 (essenziali),
Allegato3/4 (incidenti significativi). PDF + .txt (pdftotext -layout). Sono la fonte
certa per allineare il questionario Gap Analysis ai requisiti operativi reali del
Framework Nazionale 2025 (funzioni GV/ID/PR/DE/RS/RC). Importanti: 43 sottocategorie;
essenziali: 49. (Conteggio requisiti di dettaglio: parsing tabellare da rifinire.)
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
- Migrazione 030: UNIQUE uq_policy_version su policy_versions (de-dup prima, idempotente).
approve() ora usa INSERT ... ON DUPLICATE KEY UPDATE -> riapprovare la stessa versione
aggiorna lo snapshot invece di duplicarlo. Verificato E2E: 2x approve v1.0 -> 1 sola riga.
- diff(): sostituito il confronto set-based (falsi negativi su righe duplicate/riordino) con
un vero diff LCS line-by-line con posizioni. Verificato E2E: bump v1->v2 -> added 2, removed 1 corretti.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Richiesta utente: 'le credenziali si configurano nella card per ogni azienda cliente'.
- Migrazione 029: tabella org_connectors (config NON segreta + vault_key_alias + secret_status). NESSUN segreto nel DB.
- OrganizationController: listConnectors/saveConnector/deleteConnector + connectorOrgGuard (org_admin/compliance_manager propria org, o firm che la gestisce, o super_admin)
- Difesa: i campi segreti (client_secret/api_key/...) inviati vengono STRIPPATI prima del salvataggio (verificato E2E: non finiscono nel DB)
- saveConnector ritorna cli_hint col comando vault-cli per caricare il segreto (write-path vault = solo CLI admin, confermato leggendo server.js: solo GET /v1/credentials/*)
- UI: pannello 'Connettori' nella card di companies.html (8 tipi, tenant/client id, toggle attivo, stato segreto, modal)
- Route organizations/{id}/connectors GET/PUT/DELETE (type nel body)
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Competizione coi GRC enterprise sul risk management quantitativo:
- FairService: simulazione Monte Carlo FAIR (PERT su TEF e Loss Magnitude),
ALE in EUR con percentili P10/P50/P90 + istogramma, deterministico (seed da input)
- RiskController::computeFair -> POST /risks/{id}/fair (persiste parametri+ALE)
- RiskController::fairRegister -> GET /risks/fairRegister (portfolio ALE EUR)
- KRI: listKri/createKri/updateKri (GET/POST /risks/kri, PUT /risks/kri/{id})
con stato semaforo green/amber/red su soglie+direzione
- Migrazione 026: risks += parametri FAIR + ale_min/ml/max/mean; nuova tabella kri
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
Aggiunto da AgileHub-side (VIGILE) su autorizzazione esplicita utente, dopo che la
sessione NIS2 ha scoperto sul campo 2 lezioni critiche:
1. opcache.validate_timestamps=Off -> ogni edit .php richiede kill -USR2 1 nel
container FPM (bind-mount non basta a servire il nuovo bytecode)
2. modifiche non committate vengono revertate dal cron ticket-agent (caso reale:
commit d5d83bb ha revertato index.php di una Feature 1 WIP)
- Nuovo doc docs/INCOMING_FROM_AGILEHUB_2026_05_30_release_workflow_hot_reload.md
- Sezione ATTIVITA PRIMARIA inserita in CLAUDE.md subito dopo lo standard timezone
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Il FAB ARIA (common.js) chiamava POST /api/ai/ask ma il controller non esisteva
(assistente AI rotto). Creato AiController::ask -> AIService::askWithRag con RAG su KB
+ grounding fonti certe. Verificato in produzione: rag_used=True, cita Ambiti NIS2 / Determina ACN.
Fix DNS Qdrant: nei worker php-fpm (musl) getenv e gethostbyname NON funzionano per
hostname Docker single-label; funziona solo un IP letterale. VectorService fallback ->
172.21.0.3 (fpm-safe); QDRANT_URL compose resta hostname per CLI. Vedi nota drift in VectorService.
Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
- ServicesController: nuovo endpoint GET /api/services/full-snapshot
Aggrega gap-analysis, measures, incidents, training, deadlines,
compliance-summary in una sola chiamata (reduce 6 round-trip → 1)
Parametro ?days=N per finestra deadlines (default 30, max 365)
- public/index.php: route GET:fullSnapshot aggiunta all'action map services
- public/simulate-nis2-big.php: wrapper SSE per simulate-nis2-big.php
Esegue il simulatore come sottoprocesso CLI con NIS2_SSE=1 e
streama l'output al browser tramite Server-Sent Events
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
Il trigger prevent_audit_log_delete blocca DELETE e interrompe lo script.
Fix: drop triggers prima di DELETE audit_logs, poi ricrea.
Richiede esecuzione con utente root MySQL.
Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
