CONDIZIONI GENERALI DI CONTRATTO PER GLI APPALTI DI SERVIZI E PRESTAZIONI PROFESSIONALI IN AMBITO INFORMATION TECHNOLOGY DI MM S.P.A.
CONDIZIONI GENERALI DI CONTRATTO PER GLI APPALTI DI SERVIZI E PRESTAZIONI PROFESSIONALI IN AMBITO INFORMATION TECHNOLOGY DI MM S.P.A.
(Edizione 1 – 2020)
Sommario
Articolo 1 Documenti contrattuali 2
Articolo 2 Ambito di applicazione 2
Articolo 3 Modalità di esecuzione delle attività 2
Articolo 5 Modifiche ai Servizi o ai Deliverables 2
Articolo 6 Criteri di accettazione 3
Articolo 9 Comunicazioni fra le parti 3
Articolo 10 Autorizzazioni, abilitazioni e qualifiche professionali 3
Articolo 11 Pretese di terzi 3
Articolo 12 Esecuzione di sopralluoghi e/o attività in aree o su impianti del Committente 3
Articolo 13 Uso dei locali e strumenti del Committente o di terzi 4
Articolo 14 Esclusione della rappresentanza 4
Articolo 15 Ritardo nell’adempimento 4
Articolo 16 Fatturazione e pagamenti 4
Articolo 17 Tracciabilità dei flussi finanziari 4
Articolo 18 Termini essenziali 4
Articolo 19 Importo del Contratto – Recesso 4
Articolo 21 Ispezioni, garanzia ed effetti delle penali 5
Articolo 22 Clausola risolutiva espressa 5
Articolo 23 Divieto di cessione del Contratto e del credito 6
Articolo 24 Obbligo di riservatezza 6
Articolo 25 Modello ex D.Lgs. 231/2001 e Codice Etico 6
Articolo 26 Ambito di applicazione 6
Articolo 27 Legge regolatrice del Contratto e Foro esclusivo 6
Articolo 1 Documenti contrattuali
Costituiscono parte integrante del Contratto, oltre alle presenti Condizioni Generali, l’Ordine di acquisto e tutti i documenti ad esso allegati ivi comprese, ove previste, le Condizioni Speciali, nonché le “Linee Guida di riferimento per lo sviluppo e l’evoluzione delle applicazioni” recanti direttive attinenti agli standard di qualità e ai requisiti di sicurezza.
Per Ordine di acquisto si intende il documento sottoscritto dalle parti nel quale sono specificati, tra l’altro, l’oggetto della prestazione e il relativo importo; esso sostituisce il Contratto nei casi di cui all’art. 32, comma 14, ultimo periodo, del D.Lgs. 50/2016 e ss.mm.ii.
Articolo 2 Ambito di applicazione
Le presenti Condizioni Generali si applicano ai Contratti aventi a oggetto la prestazione di servizi di sviluppo e/o manutenzione e/o assistenza di uno o più prodotti software, nonché la consulenza informatica e la realizzazione dei Deliverables meglio definiti nel successivo Articolo 4 (nel seguito, per brevità, “Servizi”).
Con la sottoscrizione del Contratto, l’Appaltatore si impegna ad aderire agli standard tecnici del Committente.
Articolo 3 Modalità di esecuzione delle attività
L’esecuzione delle attività affidate deve avvenire secondo il piano di lavoro definito nel Contratto, ove previsto.
Prima dell’inizio delle attività, l’Appaltatore deve nominare un proprio Referente tecnico e il gruppo di lavoro eventualmente previso, comunicandone i nominativi al Committente.
Resta inteso che il Committente, a proprio insindacabile giudizio, ha la facoltà di esigere la sostituzione del Referente tecnico e/o di uno o più componenti il gruppo di lavoro senza alcuna pretesa di indennizzo.
Si rinvia a quanto precisato nelle Condizioni Speciali, ove previste, per la definizione di eventuali SLA.
Articolo 4 Deliverables
Ai fini delle presenti Condizioni Generali con il termine "Deliverables" si intende, a mero titolo esemplificativo ma non esaustivo, qualsiasi report, documento, template, studio, strategia, modello di servizio, architettura tecnica, design, prodotto informatico, codice sorgente, codice oggetto, software, specifica, documentazione, abstract e sommario e altri prodotti e materiali sviluppati specificamente per il Committente e forniti dall’Appaltatore (individualmente dall’Appaltatore, o congiuntamente dall’Appaltatore e dal Committente, o dall’Appaltatore e terze parti) nel corso dell'esecuzione del Contratto.
Dal momento dell'accettazione di un Deliverable, il Committente diviene proprietario esclusivo ed è titolare esclusivo dei diritti di utilizzazione economica, nonché della documentazione a supporto del progetto.
Qualora il Deliverable presupponga opere di proprietà di terzi, resta inteso che al Committente dovrà essere trasferita e/o data idonea evidenza di tutta la documentazione relativa ai diritti e alle facoltà concesse all’Appaltatore dal terzo proprietario e garantita in ogni caso a tempo indeterminato la licenza delle opere di proprietà di terzi.
L’Appaltatore si impegna a tenere indenne il Committente da ogni conseguenza pregiudizievole derivante da qualsiasi azione legale intentata o minacciata da terzi, qualora tale azione fosse basata sulla rivendicazione che quanto realizzato o venduto (i) viola un valido diritto d’autore, (ii) viola un brevetto o (iii) costituisce appropriazione indebita di un segreto commerciale o industriale.
In tal caso l’Appaltatore rimborserà al Committente qualsiasi danno o spesa, compresi onorari e spese legali, che quest'ultima possa aver sopportato in conseguenza delle disposizioni impartite dal giudice o arbitro competente o in forza di transazioni relative alle predette rivendicazioni.
L’Appaltatore è libero di usare nell'ambito della propria ordinaria e ulteriore attività di consulenza la propria generale competenza, conoscenza ed esperienza, nonché ogni idea, concetto, know-how e tecnica che siano stati utilizzati o sviluppati nel corso dello svolgimento delle attività affidate.
Qualora l’Appaltatore debba introdurre nuovi prodotti o nuove componenti di prodotti per l’espletamento delle attività affidate, dovrà:
− installare i prodotti e/o le componenti aggiuntive negli ambienti non produttivi on-site con eventuale supporto del personale del Committente;
− predisporre la documentazione di configurazione/installazione per il rilascio in produzione da parte del personale del Committente, fermo restando l’obbligo di collaborazione dell’Appaltatore medesimo;
− gestire direttamente il rapporto con i laboratori e i centri di supporto del prodotto per problemi di fix o di performance della soluzione, ferma restando la responsabilità del produttore del software, dell’hardware e/o di ogni prodotto strumentale nell’eseguire le attività che fossero necessarie per l’eliminazione dei problemi riscontrati qualora di sua competenza per legge o per Contratto.
Articolo 5 Modifiche ai Servizi o ai Deliverables
È fatto espresso divieto all’Appaltatore di eseguire qualsiasi modifica ai Servizi o ai Deliverables oggetto del Contratto senza il preventivo consenso scritto del Committente.
In caso di modifiche non autorizzate dal Committente, a quest’ultimo è riservata la facoltà di farle eliminare a spese dell’Appaltatore o di trattenerle a titolo gratuito.
Rimane ferma la responsabilità dell’Appaltatore per i ritardi al piano di lavoro causati da modifiche non autorizzate.
Qualora, nel corso dell’esecuzione del Contratto, insorgesse la necessità di adeguamenti dei Deliverables ad eventi imprevisti, ivi incluse sopravvenute modifiche normative, l’Appaltatore ha l’obbligo di informare il Committente della necessità di tali modifiche e il Committente si riserva la facoltà di chiedere una proposta contenente una dettagliata descrizione del piano di intervento affinché il Committente sia in grado di decidere se e quali adeguate istruzioni impartire.
Nulla è dovuto all’Appaltatore per prestazioni o forniture aggiuntive che non siano state preventivamente autorizzate per iscritto dal Committente.
Articolo 6 Criteri di accettazione
I Servizi si intenderanno favorevolmente eseguiti quando le attività e/o i Deliverables oggetto del Contratto avranno soddisfatto i criteri di accettazione ivi indicati mediante formale approvazione da parte del Committente.
Resta esclusa l’accettazione tacita dei Servizi: in particolare, non potranno valere come accettazione la mancata partecipazione a fasi di verifica eventualmente previste, il mero esercizio provvisorio del software sviluppato o, più in generale, la mera consegna di Deliverables al Committente e/o il completamento delle attività indipendentemente dal fatto che quest’ultimo abbia o non abbia opposto eccezioni ovvero formulato osservazioni di alcun tipo.
I collaudi parziali dei Servizi, ove previsti, saranno irrilevanti ai fini della valutazione complessiva della corretta esecuzione delle prestazioni da parte dell’Appaltatore.
Articolo 7 Prezzi e imposte
I prezzi indicati nel Contratto sono al netto di I.V.A. e di eventuali versamenti dovuti a casse professionali; essi non potranno essere variati in corso di esecuzione del Contratto, salvo il ricorrere di eventuali condizioni di legge, specificatamente applicabili.
Articolo 8 Spese accessorie
Salvo eventuale diversa previsione dei documenti di gara e di Contratto, gli importi contrattuali si intendono comprensivi delle spese accessorie sostenute per lo svolgimento delle attività oggetto del Contratto, ivi incluse, a titolo esemplificativo e non esaustivo, tutte le spese di viaggio e pernottamento, di comunicazione, di tempo macchina e per materiali di consumo e accessori.
L’Appaltatore non potrà pretendere aumenti di prezzo, né richiedere indennità e compensi particolari adducendo motivo di errori di valutazione di tali spese accessorie in sede di presentazione dell’offerta.
Articolo 9 Comunicazioni fra le parti
Articolo 10 Autorizzazioni, abilitazioni e qualifiche professionali
L’Appaltatore dichiara di essere in possesso delle licenze, delle autorizzazioni, delle idonee qualifiche professionali per sé e per il personale impiegato, delle abilitazioni, richieste dalla legge e dai principi di buona tecnica, e dell’adeguato know-how necessario per l’esecuzione della prestazione di Servizi oggetto del Contratto.
Il Committente, si riserva, comunque, il diritto di verificare il possesso dei requisiti sopra citati.
Articolo 11 Pretese di terzi
Nel caso in cui i Deliverables siano o possano, a giudizio di una od entrambe le parti, essere ritenuti in violazione di diritti di terzi, l’Appaltatore a proprie spese e a propria scelta potrà (i) procurare al Committente il diritto di continuare ad utilizzarli o (ii) sostituirli con materiale equipollente non in violazione di diritti di terzi o (iii) modificarli in modo da renderli non in violazione di tali diritti o (iv) chiederne la restituzione, rimborsando al Committente i corrispettivi versati, detratto un equo compenso per l'utilizzo dei Deliverables sino al momento della restituzione.
Articolo 12 Esecuzione di sopralluoghi e/o attività in aree o su impianti del Committente
Per l’esecuzione di sopralluoghi e/o attività in aree o su impianti del Committente o comunque di pertinenza di questo, l’Appaltatore è tenuto alla rigorosa osservanza di quanto di seguito specificato.
1) L’Appaltatore si impegna a rispettare, e a far rispettare dai propri dipendenti e altri ausiliari comunque definiti, tutte le disposizioni di legge in materia di sicurezza ed igiene sul lavoro, così come le norme tecniche, i regolamenti e le procedure del Committente.
2) L’Appaltatore è tenuto ad esibire, a semplice richiesta, la documentazione comprovante l'adempimento degli obblighi di legge in materia di previdenza, assistenza ed assicurazione infortuni per i lavoratori impegnati nell'esecuzione delle attività oggetto del Contratto.
3) L’Appaltatore è tenuto ad osservare e a far osservare dai propri dipendenti e altri ausiliari comunque definiti, oltre a ciò che è riportato al precedente punto 1), ogni disposizione che venga impartita dal Committente relativa:
3.1 alla temporanea sospensione delle attività per particolari esigenze connesse alle attività del Committente;
3.2 alle misure e cautele da osservarsi in dipendenza di rischi specifici inerenti all'ambiente in cui le attività devono svolgersi;
3.3 al rispetto delle segnalazioni e protezioni poste in luogo in ordine ai rischi di cui al precedente punto 3.2.
Per il recepimento e il rispetto delle disposizioni in questione (o di ogni altra concernente le attività affidate) si intende delegato ad ogni effetto civile e penale il referente del Contratto, del quale l’Appaltatore è tenuto a comunicare il nominativo ai fini dell’esecuzione del Contratto.
L’Appaltatore è tenuto a designare con comunicazione scritta un sostituto del soggetto di cui al capoverso che precede, con eguali requisiti e qualifiche, che possa sostituire quest’ultimo in caso di assenze e che sia autorizzato a farne le veci a tutti gli effetti.
4) L'accesso alle zone di lavoro, ad impianti o parti di impianto sarà consentito al personale dell’Appaltatore solo se in possesso di un documento di riconoscimento rilasciato dall’Appaltatore medesimo che dovrà essere esibito a semplice richiesta.
Tale documento dovrà essere munito di fotografia e dovrà attestare l'appartenenza dell’Appaltatore a un’Impresa/Studio, la qualifica e la posizione assicurativa nonché le altre informazioni previste dalla vigente normativa.
Articolo 13 Uso dei locali e strumenti del Committente o di terzi
Qualora contrattualmente previsto, il Committente metterà a disposizione del personale dell’Appaltatore che si trova presso di esso adeguata sistemazione in ufficio, tavoli, armadi, mobilio e qualsiasi altra normale fornitura per ufficio necessaria per consentire a detto personale lo svolgimento delle attività oggetto del Contratto.
Fatte salve esplicite diverse pattuizioni, è esclusa l'autorizzazione all'utilizzo o alla modifica di software di proprietà di terzi, telefoni, fax, posta e fotocopie.
Tutti i beni, materiali o immateriali, concessi in uso all’Appaltatore dovranno da quest’ultimo essere utilizzati esclusivamente per l’uso determinato contrattualmente e custoditi con cura e diligenza e in caso di danno, deterioramento, furto o smarrimento degli stessi, il Committente si riserva di richiedere il risarcimento del danno.
Qualora necessario, il Committente otterrà tutti gli eventuali consensi ed autorizzazioni di terze parti indispensabili affinché l’Appaltatore possa eseguire le prestazioni affidate.
Articolo 14 Esclusione della rappresentanza
Salvo esplicita diversa indicazione nel Contratto, l’affidamento del servizio non conferisce alcun potere all’Appaltatore di agire per conto del Committente.
Articolo 15 Ritardo nell’adempimento
Il mancato rispetto, da parte dell’Appaltatore, dei termini contrattualmente previsti comporta l'applicazione delle penali, se indicate nel Contratto, salvo che il ritardo sia dovuto a cause di forza maggiore.
Nel caso in cui i termini siano dichiarati essenziali, la fattispecie è regolata altresì dal successivo Articolo 17 delle presenti Condizioni Generali.
Rimangono comunque salve le previsioni particolari e di dettaglio stabilite nel Contratto.
Articolo 16 Fatturazione e pagamenti
16.1 Fatture
Nelle fatture devono essere indicati i riferimenti che verranno precisati dal Committente. Gli importi fatturati devono essere assoggettati all’I.V.A. secondo le norme in vigore.
16.2 Pagamenti
I pagamenti verranno effettuati nei termini precisati nel Contratto ed avranno luogo solo se la documentazione inviata al Committente risponderà alle caratteristiche previste dalle presenti Condizioni Generali e/o dal Contratto e con decorrenza dal giorno del ricevimento della documentazione richiesta, se corretta.
I pagamenti saranno effettuati dal Committente mediante bonifico bancario, sulla base delle fatture emesse conformemente alle modalità previste dalla normativa vigente in materia. In tutti i casi il Committente sarà tenuto a corrispondere all’Appaltatore esclusivamente i pagamenti dovuti per le prestazioni effettivamente eseguite ed accettate.
Articolo 17 Tracciabilità dei flussi finanziari
L’Appaltatore è obbligato ad assicurare la tracciabilità dei flussi finanziari, ai sensi e per gli effetti della Legge 13 agosto 2010, n. 136 e ss.mm.ii. e delle altre norme, di legge o regolamentari, vigenti in materia.
L’Appaltatore è obbligato, ai sensi dell’art. 3 della L. 136/2010, a utilizzare uno o più conti correnti bancari o postali dedicati, anche se non in via esclusiva, al Contratto.
L’Appaltatore è tenuto a comunicare al Committente, entro 7 giorni, ogni eventuale variazione relativa al predetto conto ed ai soggetti autorizzati ad operare su di esso.
L’inadempimento degli obblighi di cui al presente articolo è causa di risoluzione espressa del Contratto ai sensi dell’art. 1456 c.c.
Articolo 18 Termini essenziali
Salvo diversa esplicita previsione nel Contratto e/o negli altri documenti contrattuali, i termini contrattuali non sono da intendersi posti come essenziali nell’interesse del Committente.
In deroga a quanto previsto dall’art. 1457 c.c., anche qualora siano contrattualmente previsti termini essenziali nell’interesse del Committente, l’Appaltatore è tenuto a eseguire le prestazioni affidate anche oltre il termine convenuto salvo che il Committente manifesti la volontà di risolvere il Contratto con le medesime modalità previste all’Articolo 22 delle presenti Condizioni Generali per la clausola risolutiva espressa.
La violazione dei termini essenziali per fatto e colpa dell’Appaltatore comporta, a carico di quest’ultimo, l’applicazione delle penali eventualmente previste nel Contratto e l’obbligo al risarcimento dei danni ulteriori patiti dal Committente.
Articolo 19 Importo del Contratto – Recesso
Nei contratti “a misura” l'importo contrattuale massimo stimato corrisponde al fabbisogno previsto per il periodo di validità del Contratto stesso.
Il Committente ha facoltà di recedere unilateralmente dal Contratto in qualsiasi momento, indipendentemente dallo stato di esecuzione del Contratto.
Il Committente pagherà all’Appaltatore tutti i Servizi ed i Deliverables resi dall’Appaltatore e accettati dal Committente fino alla data di efficacia del recesso.
Articolo 20 Forza maggiore
Qualora il mancato rispetto dei termini contrattuali o la mancata esecuzione totale o parziale siano dovuti ad accertate cause di forza maggiore, l’Appaltatore è esente da penali e dall’obbligo al risarcimento dei danni patiti dal Committente.
Resta salvo il diritto del Committente di risolvere il Contratto nei termini di cui all’Articolo 22 delle presenti Condizioni Generali.
Articolo 21 Ispezioni, garanzia ed effetti delle penali
L’Appaltatore garantisce lo svolgimento delle prestazioni con la dovuta diligenza e secondo adeguati livelli qualitativi. È facoltà del Committente verificare che i Servizi svolti abbiano le caratteristiche concordate.
Ai fini di cui sopra, il Committente ha diritto di chiedere in ogni momento informazioni ed aggiornamenti in merito all’andamento delle attività svolte e di verificare le procedure adottate dall’Appaltatore per l’esecuzione dei Servizi oggetto del Contratto.
È riservata al Committente l’incondizionata facoltà per i propri organi di controllo, nell’espletamento dei compiti istituzionali, di accedere agli uffici dell’Appaltatore al fine di verificare tutte le procedure – nonché le relative risultanze – attinenti alle attività svolte per l’esecuzione dei Servizi oggetto del Contratto.
Le modalità dei controlli saranno stabilite dal Committente a seconda dei casi: essi potranno essere effettuati anche durante l’esecuzione della prestazione e a “campione”.
Al fine di garantire la continuità dei Servizi e consentire la prestazione degli stessi secondo i canoni di diligenza previsti per incarichi analoghi, il diritto di accesso è esercitato dal Committente nel rispetto delle esigenze organizzative e procedurali dell’Appaltatore. In particolare, il diritto di accesso potrà avvenire durante il normale orario di ufficio e di norma con preavviso di almeno 24 ore. In ogni caso, il Committente prende atto che ogni decisione in merito ai tempi, ai modi e ai soggetti designati alla verifica delle procedure utilizzate dall’Appaltatore per lo svolgimento dei Servizi, oggetto del Contratto, deve essere assunta nel rispetto del principio di buona fede nell’esercizio dei diritti spettanti al Committente in base al Contratto.
Il mancato rispetto dei livelli di servizio concordati e dei termini di esecuzione e consegna del piano di lavoro, ove previsto, salve eventuali proroghe concesse e salvi ritardi dovuti a forza maggiore e indipendenti da fatto e volontà dell’Appaltatore, comporterà l’applicazione delle penali contrattualmente previste, salvo il risarcimento di eventuali maggiori danni subiti dal Committente.
All’Appaltatore potrà essere richiesto il rilascio di una polizza assicurativa per la responsabilità civile a copertura dei danni di rilevante gravità, quali perdite irrecuperabili di dati, che possano derivare nell’esecuzione della prestazione commissionata.
L’Appaltatore si impegna a garantire gli interventi di manutenzione correttiva e o di modifica necessari al fine di eliminare le difformità e i vizi dei Deliverables rispetto alle specifiche tecniche e funzionali concordate con il Committente per la durata di due anni a partire dall’accettazione del software medesimo, salvo diverso accordo tra le parti sulla durata del periodo di garanzia stesso. Le operazioni di correzione devono svolgersi in un termine congruo, avuto riguardo alla complessità dei Deliverables, alla gravità del difetto e alle difficoltà di intervento. Tali operazioni sono poste in capo e a spese dell’Appaltatore.
Al fine di monitorare l’Elenco Appaltatori qualificati, è attiva una procedura di valutazione degli affidamenti con l’ausilio di check list specifiche da utilizzarsi periodicamente per la sorveglianza delle prestazioni dell’Appaltatore, da compilare a cura del personale del Committente.
Nei casi di rilievo di comportamenti non conformi, copia della check list di riferimento compilata dal personale del Committente verrà inviata all’Appaltatore tramite PEC.
Tali check list sono state elaborate per monitorare le fasi di ogni singolo affidamento ritenute più critiche ai fini della qualità, della sicurezza e della prestazione ambientale ivi comprese quelle relative alla produzione dei documenti normativamente e contrattualmente previsti.
In tal caso il Committente (i) applica all’Appaltatore in sede di chiusura di una non conformità rilevata e in relazione alla merceologia di appartenenza dell’affidamento, i punti di penalizzazione determinati a seguito della gestione della stessa non conformità; (ii) procede (per ogni singola merceologia) al calcolo e alla conseguente attribuzione dei punti di bonus eventuale spettanti all’Appaltatore in ragione delle non conformità su di essa chiuse in tale periodo.
Articolo 22 Clausola risolutiva espressa
Le parti convengono che, oltre a quanto è previsto dall’art. 1453 c.c. per i casi di inadempimento delle obbligazioni contrattuali, costituiscono motivi per la risoluzione del Contratto su iniziativa del Committente ai sensi dell’art. 1456 c.c. le seguenti ipotesi:
✓ apertura di una procedura concorsuale a carico dell’Appaltatore;
✓ messa in liquidazione o altri casi di cessazione dell'attività dell’Appaltatore;
✓ comportamenti dell’Appaltatore idonei a connotare frode o collusione con soggetti collegati al Committente da rapporto organico o dipendenza, in seguito a procedimenti promossi da qualsiasi autorità giudiziaria anche amministrativa, a carico dell’Appaltatore medesimo;
✓ ritardo nell'esecuzione dei Servizi superiore a due mesi, anche nel caso in cui il ritardo sia dovuto a forza maggiore;
✓ mancato rispetto dei termini dichiarati essenziali, come previsto nell'Articolo 18 delle presenti Condizioni Generali;
✓ perdita delle licenze, autorizzazioni, qualifiche, abilitazioni indicate nell'Articolo 10 delle presenti Condizioni Generali;
✓ violazione degli obblighi di cui all’Articolo 17 e all’Articolo 25 delle presenti Condizioni Generali;
✓ accertata inadempienza o irregolarità nei versamenti dei contributi INAIL, INPS, ecc. per il personale dell’Appaltatore impiegato presso il Committente;
✓ gravi inosservanze da parte dell’Appaltatore alle disposizioni legislative in materia di sicurezza, con particolare riguardo al D.Lgs. 81/2008 e s.m.i., nonché gravi inosservanze alle prescrizioni dei piani di sicurezza, oltre alle disposizioni contenute nell’Articolo 12 delle presenti Condizioni Generali.
✓ mancato rispetto, da parte dell’Appaltatore, delle prescrizioni contenute nelle “Linee Guida di riferimento per lo sviluppo e l’evoluzione delle applicazioni”, facenti parte integrante e sostanziale della documentazione contrattuale.
Qualora al momento della risoluzione del Contratto siano state eseguite consegne e/o prestazioni parziali, a suo insindacabile giudizio, il Committente ha la facoltà di trattenere la documentazione prodotta e ritenuta utilizzabile, mentre, la restante parte, dovrà essere ritirata a cura e spese dell’Appaltatore tenendo il Committente completamente esente da qualsiasi onere.
Nelle ipotesi sopra indicate, il Contratto sarà risolto di diritto e con effetto immediato sulla base della dichiarazione del Committente, inviata all’Appaltatore tramite PEC o lettera raccomandata a/r, di volersi avvalere della clausola risolutiva espressa.
Nel caso di risoluzione del Contratto per fatto o colpa dell’Appaltatore, il Committente si riserva ogni diritto al risarcimento dei danni subiti e, in particolare, si riserva di esigere dall’Appaltatore il rimborso di eventuali spese ulteriori rispetto a quelle che avrebbe
sostenuto in presenza di un regolare adempimento del Contratto, comprese a titolo esemplificativo e non esaustivo quelle derivanti da quanto dovuto a terzi per Servizi e i Deliverables non eseguiti per fatto e colpa dell’Appaltatore.
Il Committente avrà anche facoltà di differire il pagamento del saldo eventualmente dovuto sino alla quantificazione del danno che l’Appaltatore è tenuto a risarcire.
In tutti i casi di subentro di un altro appaltatore su indicazione del Committente, l’Appaltatore dovrà consegnare tutta la documentazione tecnica integrativa che sia richiesta dal Committente stesso per il buon esito del subentro.
Rimangono sempre e comunque salve le previsioni particolari e di dettaglio stabilite nel Contratto.
Articolo 23 Divieto di cessione del Contratto e del credito
All’Appaltatore è fatto divieto di cedere il Contratto.
Il credito relativo al pagamento dei corrispettivi della prestazione dei Servizi affidati non può essere ceduto.
Articolo 24 Obbligo di riservatezza
L’Appaltatore è tenuto a mantenere riservate tutte le informazioni scambiate durante lo svolgimento dei Servizi adottando tutte le misure atte a garantirne un’adeguata tutela e al fine di assicurare la confidenzialità e la riservatezza del loro contenuto.
Sono da considerarsi informazioni confidenziali, in via esemplificativa e non esaustiva, tutte le notizie, i dati, la conoscenza e l’esperienza tecnologica, i disegni, le specifiche e le caratteristiche di progetti, apparecchiature, strumenti, materiali, sistemi informativi, database, architetture di sistema, accordi di commercializzazione o di licenza o di partnership forniti direttamente o indirettamente dal Committente o comunque acquisiti durante le visite od altri contatti effettuati per loro conto.
In particolare, fatta salva l’esplicita autorizzazione rilasciata in forma scritta dal Committente, all’Appaltatore è fatto divieto di cedere, consegnare, rendere disponibili a qualsiasi titolo, o comunque comunicare o divulgare per qualsiasi motivo e in qualsiasi momento, il contenuto delle informazioni confidenziali a terzi.
L’Appaltatore è tenuto a rispondere nei termini indicati nel presente articolo anche per l’operato e i comportamenti dei suoi dipendenti e degli altri ausiliari comunque definiti.
Al termine del Contratto, per qualsiasi motivo determinato, il Committente avrà la facoltà di chiedere all’Appaltatore la restituzione o la prova della distruzione delle informazioni confidenziali in possesso dell’Appaltatore che risulti di interesse del Committente riottenere o distruggere.
Articolo 25 Modello ex D.Lgs. 231/2001 e Codice Etico
L’Appaltatore è tenuto ad osservare il Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001, reperibile sul sito istituzionale del Committente, e a tenere un comportamento in linea con il relativo Codice Etico. L’inosservanza di tale impegno costituisce grave inadempimento contrattuale e legittima il Committente a risolvere il presente Contratto ai sensi e per gli effetti di cui all’art. 1456 c.c.
Articolo 26 Ambito di applicazione
Le disposizioni di cui alle presenti Condizioni Generali debbono intendersi sostituite, modificate o integrate automaticamente, ove il relativo contenuto sia incompatibile con quanto previsto nella restante documentazione di gara e contrattuale.
In ogni caso, in ipotesi di contrasto e/o di incompatibilità tra le disposizioni contenute nella documentazione contrattuale, vale l’interpretazione più favorevole per la puntuale e ottimale esecuzione del Contratto e, comunque, rispondente ai criteri di ragionevolezza e buona tecnica esecutiva, nel rispetto della normativa vigente in materia, a giudizio insindacabile del Committente.
Articolo 27 Legge regolatrice del Contratto e Foro esclusivo
Il Contratto è regolato dalla legge italiana.
Per ogni controversia relativa all'interpretazione, applicazione ed esecuzione del Contratto, ivi comprese le presenti Condizioni Generali, è competente in via esclusiva il Foro di Milano.
L’Appaltatore
Ai sensi dell'art. 1341 c.c., nella mia qualità di legale rappresentante dell’Appaltatore dichiaro di approvare espressamente le seguenti clausole:
Articolo 6 - Criteri di accettazione; Articolo 15 - Ritardo nell’adempimento; Articolo 16 - Fatturazione e pagamenti;
Articolo 17 - Tracciabilità dei flussi finanziari; Articolo 18 - Termini essenziali;
Articolo 19 - Importo del Contratto - Diritto di recesso; Articolo 22 - Clausola risolutiva espressa;
Articolo 23 - Divieto di cessione del Contratto e del credito; Articolo 24 - Obbligo di riservatezza;
Articolo 27 - Legge regolatrice del Contratto e Foro esclusivo. L’Appaltatore
MM Spa
Condizioni di fornitura Servizi ICT
Linee guida di riferimento per lo sviluppo e l’evoluzione delle applicazioni
- Versione 1.0 -
Indice
2. Linee guida per la gestione dei progetti ed evoluzioni applicative 4
2.3 Progettazione tecnica e funzionale 5
2.4 Sviluppo e configurazione 6
2.5 Test tecnici e collaudo utente 7
2.6 Preparazione all’esercizio 8
2.7 Gestione rilascio in produzione 9
3. Requisiti minimi di sicurezza 12
3.1 Gestione delle credenziali per l’accesso alle Applicazioni 12
3.2 Sicurezza delle applicazioni Web-based 13
Il presente documento contiene le linee guida ICT di riferimento a cui i fornitori dovranno attenersi durante l’espletamento dei servizi ICT, in particolare per quanto riguarda l’area applicativa. Tutte le attività inserite nel documento sono a carico del fornitore.
Esso è diviso in due sezioni:
• linee guida per la gestione dei progetti ed evoluzioni applicative
• requisiti minimi di sicurezza informatica per lo sviluppo e la gestione delle applicazioni
2. Linee guida per la gestione dei progetti ed evoluzioni applicative
Un progetto ICT si deve articolare nelle seguenti fasi fondamentali:
1. Governance di progetto
2. Studio di Fattibilità
3. Progettazione tecnica e funzionale
4. Sviluppo/configurazione
5. Test tecnici e collaudo utente
6. Preparazione all'Esercizio
7. Gestione rilascio in produzione
8. Periodo di post avvio
Segue, per ciascuna delle fasi, una tabella contenente le principali attività, la descrizione delle stesse e i deliverable che dovranno essere prodotti.
Attività | Descrizione | Deliverable |
Pianificazione e monitoraggio del progetto | L’attività comporta la stesura e l’aggiornamento del piano di lavoro di dettaglio del progetto, l’avanzamento lavori e la predisposizione e aggiornamento del piano dei rischi di progetto | Piano di lavoro SAL di progetto (presentazioni) Verbali di SAL |
Governo ambito di progetto | Mantenere aggiornata la matrice dei requisiti di progetto al fine controllare l’ambito del progetto. Saranno tracciati i requisiti emersi durante il ciclo di vita del | Matrice di tracciabilità dei requisiti |
progetto (BBP, collaudi, post avvio) | |||
Configuration | L’attività include il supporto | Piano di | configiration |
management | alla gestione del set di | management | |
documenti specifici del | |||
progetto e ai relativi passaggi | |||
di approvazione nonché | |||
l’applicazione delle regole di | |||
archiviazione, accesso e | |||
modifica dei documenti. | |||
Attività | Descrizione | Deliverable |
Set up del progetto | L’attività comporta: - la raccolta e l’analisi dei requisiti - l’individuazione della soluzione sulla base delle best practice di mercato o, in alternativa, custom - definizione del piano di lavoro - supporto alla definizione dei benefici | Documento di fattibilità Piano di lavoro |
2.3 Progettazione tecnica e funzionale
Attività | Descrizione | Deliverable |
Affinamento requisiti | L’attività comporta la definizione dei requisiti di dettaglio a partire dai requisiti | Kick off di progetto BBP o documento equivalente |
di massima raccolti durante lo studio di fattibilità | Matrice di tracciabilità dei requisiti | |
Progettazione della soluzione | Mantenere aggiornata la matrice dei requisiti di progetto al fine controllare l’ambito del progetto. Saranno tracciati i requisiti emersi durante il ciclo di vita del progetto (BBP, collaudi, post avvio) | BBP (disegno architetturale, profili, strategia di test) Architettura tecnica |
Approccio e condivisione al collaudo utente | L’attività comporta la definizione della strategia di collaudo che deve essere condivisa con MM | BBP (strategia di collaudo) |
Piano di test | Sulla base della strategia di collaudo vengono definiti i piani di test e i criteri di esercibilità della soluzione | Documenti di test interni e di collaudo (da inserire nella BBP) Criteri di esercibilità |
Riesame della progettazione | L’attività comporta un confronto con MM per valutare se quanto progettato tecnicamente risponde alle esigenze funzionali (business) e tecniche (ICT) | SAL di progetto Verbale di SAL BBP approvata |
2.4 Sviluppo e configurazione
Attività | Descrizione | Deliverable |
Analisi tecnica | L’attività comporta la stesura del disegno tecnico propedeutico alla successiva fase realizzativa | Specifiche tecniche |
Pianificazione unit test e assembly test | Individuazione degli scenari di test da svolgere durante la fase di sviluppo (“unit test” e a seguire gli “assembly test”), in particolare vengono descritti gli scenari specificandone per | Scenari di test |
ognuno il requisito ad esso correlato e le componenti impattate | ||
Sviluppo e configurazione della soluzione | Predisposizione dell’ambiente di sviluppo e sviluppo/configurazione della soluzione finale che deve essere eseguita a regola d’arte | Soluzione completata e dichiarazione del fornitore di completamento sviluppo a regola d’arte |
Riesame dello sviluppo | Lo sviluppo della soluzione viene verificata all’interno del team mediante SAL, per assicurare la completezza, la coerenza e la tracciabilità rispetto ai requisiti. I risultati del SAL sono raccolti nell’apposito verbale. | SAL di progetto Verbale di SAL (riesame dello sviluppo) |
2.5 Test tecnici e collaudo utente
Attività | Descrizione | Deliverable |
Esecuzione test di sistema e dati: • System test • Performance test • Regression test • Test di conversione e migrazione dati | Per tutte le tipologie di test indicate, l’attività prevede: · rilascio della soluzione nell’ambiente in cui verrà svolto il test · individuazione e preparazione degli scenari di test e dei casi di test · esecuzione dei test e tracciatura dell’esito | Scenari e casi di test con relativi esiti |
Conferma corretta esecuzione dei test precedenti | L’attività prevede la comunicazione a MM degli esiti dei test con i relativi documenti ed evidenze prodotte | Verbale di consegna dei test |
Passaggio della soluzione in ambiente di collaudo | Dopo avere avuto evidenza dell’esito positivo dei test, la soluzione deve essere portata dall’ambiente di sviluppo/test all’ambiente di collaudo | Comunicazione avvenuto trasporto della soluzione in ambiente di collaudo |
Esecuzione dei collaudi (UAT) | Vengono svolte le attività necessarie a validare la soluzione sviluppata rispetto ai requisiti previsti: • Preparazione degli Scenari e Casi di collaudo • Esecuzione del collaudo • Documentazione esito collaudo | Scenari e dati di collaudo Esiti del collaudo |
Chiusura ed accettazione del collaudo | Con l’accettazione del collaudo da parte dell’utente viene redatta la documentazione di rilascio, con la lista delle componenti/oggetti sviluppati da rilasciare e la relativa procedura di rilascio (modalità di rilascio in produzione). Questa fase rappresenta il momento di validazione dello sviluppo e della esercibilità della soluzione, che ha come output il verbale di collaudo approvato. | Verbali di collaudo approvati (mail di approvazione) Modulo di rilascio |
Xxxxxxxx non superato | In caso di test o collaudo con esito negativo è necessario tracciare le anomalie nel relativo Log, implementare le azioni correttive e ripercorrere tutti i test sottesi all’anomalia riscontrata. | File di log contenente le anomalie |
2.6 Preparazione all’esercizio
Attività | Descrizione | Deliverable |
Verifica dell’esercibilità della soluzione | Verifica delle caratteristiche di esercibilità della soluzione rispetto a quanto definito in fase di BBP | Documento di esercibilità |
Identificazione azioni correttive | Nel caso in cui la verifica di esercibilità non sia andata a buon fine, si provvede ad individuare le azioni correttive da porre in atto per colmare le carenze individuate, se necessario apportando le dovute modifiche | Xxxxxx correttive (incluse nel documento di esercibilità) Documento di esercibilità (aggiornato) |
Stesura del piano di cut over | Definizione del piano dettagliato delle attività che dovranno essere svolte per assicurare il passaggio in produzione della soluzione (attività del fornitore, di MM e di terze parti coinvolte). Il piano dovrà contenere le attività atomiche, ora e minuti di inizio/fine e l’owner. Il piano di cut-over dovrà essere rilasciato prima della conclusione del collaudo. | Piano di cut over |
2.7 Gestione rilascio in produzione
Attività | Descrizione | Deliverable |
Pianificazione Rilascio e preparazione al rilascio | Sulla base della documentazione di rilascio preparata dal fornitore, viene definito il calendario di rilascio di dettaglio. Vengono identificate le risorse, gli strumenti e gli oggetti tecnici necessari ad eseguire il rilascio, e ove ritenute necessarie vengono definite le procedure di roll-back | Piano di rilascio e procedure di roll back |
Preparazione alla conversione dati | Se prevista un’attività di conversione dati, vengono | Piano di conversione dati |
eseguite le attività propedeutiche alla stessa | ||
Set-up ambiente di produzione | Il fornitore deve supportare il personale ICT di MM nella preparazione dell’ambiente di produzione in modo da essere pronto per il rilascio della soluzione. | Comunicazione esito set up ambiente di produzione |
Esecuzione rilascio | Il fornitore deve eseguire le attività di trasporto in produzione con la supervisione del personale ICT di MM | Comunicazione Esito di esecuzione rilascio |
Esecuzione Migrazione dati | Ove prevista una migrazione di dati, viene effettuata nell’ambiente di produzione. | Esito conversione dati (incluso nel piano di conversione dati) e nel piano di cut over |
Conclusione del rilascio in produzione | Deve essere notificata la conclusione del rilascio in produzione (sia nel caso di esito positivo, sia in caso di roll back) | Comunicazione di avvenuto rilascio in produzione o di roll back |
Attività | Descrizione | Deliverable |
Supporto Post Go-live | Attività di supporto utente, manutenzione correttiva, attività di manutenzione della base dati | Ticket lavorato |
Chiusura del progetto | La chiusura del progetto include le seguenti attività: • verifica che tutte le attività del progetto siano state completate • verifica che gli obiettivi del progetto siano stati raggiunti | Kick out del progetto Verbale di kick out |
• assenza di ticket correttivi aperti bloccanti (malfunzionamento che impedisce all’utente di potere operare a sistema con work around). Il ticket viene considerato chiuso solo se risolto il problem oltre all’incident • presenza di ticket correttivi aperti non bloccanti > 5 • raccolta delle lesson learnt |
3. Requisiti minimi di sicurezza
I requisiti minimi di sicurezza ai quali il Fornitore si dovrà attenere durante lo sviluppo e l’evoluzione delle applicazioni sono i seguenti:
1. Gestione delle credenziali per l’accesso alle applicazioni
2. Sicurezza delle applicazioni Web
3. Produzione dei Log
3.1 Gestione delle credenziali per l’accesso alle Applicazioni
Le credenziali di accesso a qualsiasi applicazione devono rispettare le seguenti regole:
• ogni User Id deve essere univocamente associato ad una persona fisica
• la Password deve essere diversa dallo User Id
• la Password deve essere lunga almeno 8 caratteri
• la Password deve scadere ogni 3 mesi e deve essere modificabile dal proprietario dello User Id associato
• la Password non deve essere visibile durante la digitazione
• la nuova Password deve essere diversa dalle 12 precedentemente usate
• la Password deve essere memorizzata in forma cifrata e non deve essere trasmessa in chiaro sulla rete
• al primo logon ciascun utente deve essere obbligato a cambiare la propria Password, anche a seguito di reset della medesima
3.2 Sicurezza delle applicazioni Web-based
Le applicazioni Intranet ed Internet utilizzano principalmente le applicazioni web per la gestione degli accessi alle informazioni che l’azienda propone agli utenti.
E’ pertanto indispensabile costruire le Applicazioni Web con un livello di sicurezza accettabile tale da minimizzare il rischio di potenziali attacchi che possano in qualche modo violare l’integrità, la disponibilità e la riservatezza delle informazioni.
Al fine di proporre uno standard ed una metodologia, le Applicazioni Web devono essere in grado di sostenere un Vulnerability Assessment effettuato secondo quanto indicato dalla metodologia OWASP (Open Web Application Security Project – xxxx://xxx.xxxxx.xxx) all’interno del suo “Web Application Security Testing”.
Tale metodologia propone:
- Linee guida per lo sviluppo di applicazioni web sicure
- Linee guida per la metodologia di analisi di sicurezza di applicativi web (tramite Web Application Penetration Test)
- Sviluppo di strumenti open-source per l’analisi del codice in via di sviluppo e per l’audit di sicurezza
Gli assessment facenti parte della metodologia OWASP riguardano le seguenti macrocategorie:
- Denial of Service
- Access Control
- Anthentication
- Configuration
- Error Handling
- Data Protection
- Input Validation
Inoltre, nell’ambito dei collaudi o delle attività di post avvio dei progetti, dovranno essere effettuati dei Penetration Test indipendenti per la verifica delle Web Application che si dovranno concludere con esito positivo. Eventuali remediation dovranno necessariamente essere completate entro la fine del periodo di post avvii progettuale e saranno condizione necessaria per la conclusione dello stesso.
La Produzione dei Log costituisce l'insieme di attività legate alla raccolta e all'analisi dei dati tracciati nei messaggi di Log e rappresenta una registrazione completa degli eventi che accadono in qualunque contesto di sicurezza informatica.
Per ogni Database, Sistema o Applicazione il set minimo di informazioni che devono essere prodotte sono:
- data e ora di logon
- user ID che ha effettuato l’accesso
- stazione di lavoro da cui è avvenuto l’accesso
- tentativi falliti di accesso
- data e ora di logoff (ove l’evento sia registrabile)
- attività eseguita durante l’accesso, ad esempio il download massivo di dati e/o modifiche massive
- modifiche ai privilegi di accesso di User ID
- creazione/Cancellazione di utenze
Gli ultimi due punti devono essere presi in considerazione qualora l’accesso al Database, Sistema o Applicazione permetta di effettuare le operazioni indicate e per consentire ciò è necessario che venga attivato un livello di audit adeguato.
Qualora un’applicazione non produca nativamente le suddette informazioni oggetto di logging il Fornitore dovrà provvedere mediante personalizzazioni alla modifica dell’applicazione al fine di generare i log richiesti. Sarà obbligo del fornitore formare i referenti della Direzione ICT di MM alla verifica e comprensione dei Log.