CAPITOLATO TECNICO PER L’AFFIDAMENTO DEI SERVIZI DI EROGAZIONE, CONDUZIONE E ASSISTENZA IN CLOUD DEL SITO WWW.AGCM.IT E DEGLI ALTRI SERVIZI WEB DELL’AUTORITA’
N. RDO 2366395
CAPITOLATO TECNICO PER L’AFFIDAMENTO DEI SERVIZI DI EROGAZIONE, CONDUZIONE E ASSISTENZA IN CLOUD DEL SITO XXX.XXXX.XX E DEGLI ALTRI SERVIZI WEB DELL’AUTORITA’
NUMERO GARA: 7509531- NUMERO CIG: 8000067821
INDICE
1 Premessa 3
2 Oggetto della procedura di gara 3
3 Durata del contratto 5
4 Configurazione attuale dell’infrastruttura 5
4.1 Caratteristiche funzionali dei servizi 5
4.1.2 Servizio di reindirizzamento da siti internet oscurati 6
4.2 Architettura hardware e software attuale 6
4.2.1 Hardware del sito web 6
4.2.2 Software del sito web 7
4.2.3 Servizio di reindirizzamento 8
5 Requisiti dei servizi richiesti 8
5.1 Componenti infrastrutturali 9
5.1.1 Ambiente di erogazione 9
5.1.2 Software operativo, di base e applicativo 11
5.1.3 Servizi di connettività 11
5.1.4 Indirizzi IP 12
5.1.5 Firewall dedicato 12
5.1.6 Piattaforma di monitoraggio 12
5.1.7 Networking ed interconnessione 13
5.1.8 Servizi di backup e disaster recovery 13
5.2 Servizi 14
5.2.1 Servizi di migrazione e presa in carico 14
5.2.1.1 Progetto di Attivazione e Responsabile del Progetto 15
5.2.1.2 Collaudo 16
5.2.2 Servizi di gestione e conduzione 17
5.2.3 Servizi di assistenza specialistica sistemistica ed applicativa 18
5.2.4 Servizio di formazione 18
5.2.5 Reportistica e rendicontazione 18
5.3 Livelli di servizio e penali 19
5.4 Fase di rilascio del servizio 20
5.5 Requisiti e certificazioni dei Data Center 21
1 Premessa
L'Autorità Garante della Concorrenza e del Mercato (di seguito AGCM) ha necessità di effettuare l’aggiornamento tecnologico delle piattaforme a supporto dell’erogazione del proprio portale web e del servizio di reindirizzamento da siti internet oscurati a seguito di provvedimenti restrittivi di tutela del consumatore, affidandone contestualmente la gestione e conduzione e costituendo una piattaforma integrata ed unica per l’erogazione dei servizi web che potranno essere attivati nel corso del prossimo quadriennio.
Il sito xxx.xxxx.xx è già operativo ed è gestito in web-hosting da una società esterna. E’ il sito istituzionale dell’AGCM e viene gestito internamente per quanto riguarda la componente redazionale e per la gestione di contenuti, grafica e architettura informativa.
Il servizio di reindirizzamento da siti internet oscurati a seguito di provvedimenti restrittivi di tutela del consumatore (nel seguito “servizio di reindirizzamento”), ad oggi indipendente dal servizio del sito web, consiste nell'erogazione di un servizio rispondente a un indirizzo IP pubblico assegnato univocamente che riceve le richieste di consultazione di siti internet interessati da provvedimenti restrittivi adottati dalla Direzione Tutela del Consumatore di questa Autorità, presentando una o più pagine web di tipo statico informative del provvedimento adottato.
II presente capitolato tecnico descrive la configurazione attuale ed i requisiti cui devono riferirsi i partecipanti alla presente procedura per la formulazione dell'offerta progettuale relativa all’erogazione dei servizi funzionali al mantenimento on-line del sito e del servizio di reindirizzamento, comprensivi della presa in carico e migrazione, gestione e conduzione, assistenza sistemistica specialistica, implementazione e manutenzione applicativa, e rilascio al termine del servizio, come meglio appresso specificato.
2 Oggetto della procedura di gara
Scopo del presente appalto è la migrazione con aggiornamento tecnologico dell’infrastruttura a supporto dell’erogazione dei servizi di portale istituzionale e del servizio di reindirizzamento e la gestione e conduzione dell’intera piattaforma per un periodo di n. 4 anni a partire dalla data di avvio in esercizio.
La soluzione presentata dai partecipanti dovrà prevedere la messa a disposizione di una piattaforma dedicata ad AGCM basata su un’infrastruttura di erogazione di tipo virtual data center in cloud. Tale soluzione è considerata essenziale dall’AGCM, sia in relazione alla flessibilità che presenta ai fini dei possibili sviluppi ed ampliamenti in programma, che in relazione a quanto prescritto da AgID nel “Piano Triennale per l’Informatica nella Pubblica Amministrazione 2019 – 2021” e con Determinazione n. 408/2018 del 19 dicembre 2018 e precedenti.
In particolare, come meglio specificato nel seguito, in relazione alla citata Determinazione AgID, gli offerenti potranno presentare soluzioni basate esclusivamente sui servizi IaaS qualificati dall’Agenzia e pubblicati sul Cloud Marketplace della PA alla data di scadenza della presentazione dell’offerta.
L’Aggiudicatario dovrà inoltre essere responsabile della fornitura del software operativo e di base (di cui si forniscono maggiori dettagli nel seguito del presente documento), della presa in carico e migrazione, dell’eventuale hosting di sistemi per i quali non è possibile effettuare la virtualizzazione, dei servizi di connettività, backup, disaster recovery e reportistica, oltre alla gestione e conduzione, con relativi servizi di assistenza sistemistica e manutenzione correttiva ed evolutiva quadriennale su tutta l’infrastruttura e sul software (operativo e di base).
I servizi di help desk, assistenza, manutenzione, gestione operativa e conduzione saranno quindi erogati sull’intera piattaforma, e sui relativi software operativi e di base per l’intera durata
contrattuale, sul sito web xxx.xxxx.xx, sul servizio di reindirizzamento e, senza ulteriori oneri o gravami a carico di AGCM, sulle altre eventuali macchine virtuali e software (operativo e di base) che AGCM decidesse di attivare sulla piattaforma (all’interno del pool di risorse messo a disposizione da parte dell’Aggiudicatario).
Dovrà inoltre essere erogato un servizio di assistenza applicativa correttiva ed evolutiva sulla componente di Content Management System del portale xxx.xxxx.xx, nella forma di un numero totale di giornate/uomo di cui fruire nel corso della durata contrattuale.
L’Aggiudicatario del presente appalto dovrà quindi fornire i seguenti servizi:
1. fornitura per un quadriennio dalla data di avvio in esercizio di un ambiente di virtual data center comprensivo di un pool di risorse dedicato e garantito all’Amministrazione in logica di Public Cloud della PA, tra quelle qualificate sul Cloud Marketplace AgID e rispondente ai requisiti prescritti dalla normativa vigente in materia ed alle già richiamate qualificazioni AgID (vedi ad esempio Circolare n. 2 del 9 aprile 2018), ed alle necessarie risorse specialistiche, logistiche e tecniche nell'ambito di un Data Center;
2. messa a disposizione presso il Data Center di tutte le risorse infrastrutturali accessorie, logistiche e di supporto necessarie per l’erogazione dei servizi di cui al presente capitolato;
3. migrazione e presa in carico del sito xxx.xxxx.xx e del servizio di reindirizzamento e di tutte le apparecchiature, servizi, consistenze ed interconnessioni presenti oggi nell’infrastruttura di erogazione (dettagliata nel seguito) ed eventualmente necessarie per rendere operativa l’intera piattaforma, con funzionalità almeno pari a quelle odierne e a quelle migliorative richieste nel presente capitolato. Tale attività dovrà essere completata in un periodo massimo di 2 mesi solari dalla stipula del contratto: ai fini del punteggio tecnico saranno valutate come migliorative le offerte che proporranno una riduzione di tale intervallo;
4. conduzione tecnica, operativa, assistenza sistemistica sull’intero ambiente, in aderenza a quanto specificato nel seguito del presente documento ed in particolare ai Service Level Agreement contrattualizzati per l’intera durata contrattuale;
5. fornitura in uso e upgrade delle versioni di tutti i software operativi e di base presenti sull’infrastruttura e di quelli che si renderanno necessari, anche a seguito di aggiornamenti del software interno agli uffici dell'Autorità, e installazione e gestione di tutti i software operativi e di base che l’Autorità dovesse ritenere necessari sulle macchine facenti parte dell’infrastruttura (a meno di quanto specificato nel seguito in relazione al software Domino). L’aggiudicatario dovrà garantire l’aggiornamento costante delle patch di sicurezza sui software per tutta la durata contrattuale.
6. assistenza sui software operativi e di base ed applicativa sullo strumento di Content Management System (nei limiti previsti al paragrafo 5.2.3);
7. rendicontazione e reportistica dei livelli di servizio erogati e verifica della compliance con gli SLA contrattualizzati ai fini del conteggio delle eventuali penali;
8. attività di rilascio del servizio al termine della durata contrattuale (e/o di sue eventuali proroghe) per un periodo minimo di un mese solare, al termine del periodo quadriennale di erogazione del servizio.
L’offerta economica per i servizi oggetto della presente procedura – sia quelli indicati nel presente capitolato, sia quelli aggiuntivi/migliorativi eventualmente offerti dai concorrenti – è omnicomprensiva, tutto incluso e nessuna voce esclusa. Eventuali modifiche in corso di esecuzione potranno essere eventualmente autorizzate nei termini ed alle condizioni di cui all’art. 106 del d.lgs. n. 50/2016.
3 Durata del contratto
Il contratto sarà efficace dal momento della stipula e avrà termine alla conclusione della fase di rilascio del servizio che dovrà necessariamente concludersi entro 30 giorni solari al termine del periodo di erogazione. La durata del periodo di erogazione è pari a 24 (ventiquattro) mesi a decorrere dalla data di avvio in esercizio indicata nel verbale di collaudo di cui al punto 5.2.1.2 del presente Capitolato, con opzione di rinnovo fino ad ulteriori 2 anni.
E’ inoltre previsto un periodo preliminare all’erogazione, in cui l’Aggiudicatario dovrà effettuare tutte le attività di progettazione di dettaglio, creazione dell’ambiente, migrazione e presa in carico necessarie per avviare in esercizio tutti i servizi nel rispetto dei requisiti tecnici ed organizzativi ed in piena continuità con il servizio da prendere in carico (cfr, infra par. 5.2.1, 5.2.1.1 e 5.2.1.2). La durata massima di tale periodo è fissata in 2 mesi solari decorrenti dalla Stipula negoziale o eventuale esecuzione anticipata, fermo restando che, laddove i concorrenti proponessero in sede di offerta tecnica una riduzione della predetta durata temporale, dovranno garantire il rispetto della tempistica migliorativa. Gli oneri relativi a questo periodo sono da intendersi ricompresi nel prezzo complessivo offerto per la durata contrattuale.
4 Configurazione attuale dell’infrastruttura
4.1 Caratteristiche funzionali dei servizi
Di seguito il dettaglio delle caratteristiche dei servizi oggi erogati da AGCM che dovranno essere presi in carico sul nuovo ambiente.
Il sito dell'AGCM (xxx.xxxx.xx) possiede le seguenti caratteristiche funzionali:
1. è costituito da due ambienti distinti, ma funzionalmente simili:
- ambiente di produzione;
- ambiente di pre-produzione (test e collaudo);
2. la piattaforma software è in parte open source e in parte proprietaria;
3. la struttura architetturale logica è basata su un paradigma multi-layer, costituita da:
a) WEB layer;
b) Data Base layer;
c) Service layer (Lotus Domino e Mail Server);
d) Back-end layer;
e) Test layer.
In particolare il back-end layer, costituito dal sottosistema di applicazioni, procedure e dati, è sito in parte all’interno della LAN di AGCM ed interagisce tramite rete con il resto del sistema posto in outsourcing su server dedicati presso l’attuale erogatore dei servizi di hosting.
4. l'ambiente di collaudo è speculare a quello di produzione, non è accessibile al pubblico, ma deve essere raggiunto in maniera sicura dalla sede AGCM;
5. il sito gestisce contemporaneamente pagine statiche e dinamiche;
6. il sito interagisce con database di tipo Lotus Domino con sincronizzazione dei database in modalità manuale;
7. sono implementate politiche di profilazione dell'utente amministratore ed altri profili tramite la gestione di ACL;
8. è presente una doppia versione del sito in italiano e inglese (xxx.xxxx.xx e xx.xxxx.xx/xx/) con struttura dei contenuti diversa e personalizzabile per ciascuna delle due lingue;
9. la gestione dei contenuti viene effettuata da remoto mediante lo strumento di Content Management dotCMS. In merito si veda il punto 4.2.2 per i dettagli della configurazione software attuale del sito;
10. sono utilizzati motori di ricerca anche basati su Lotus Domino;
11. è presente una soluzione di firewalling dedicato;
12. è prevista la gestione di newsletters;
13. il sito gestisce inoltri verso siti esterni e verso server web presenti in sede AGCM.
4.1.2 Servizio di reindirizzamento da siti internet oscurati
Il servizio prevede la semplice esposizione di una o più pagine web statiche informative del provvedimento adottato relative a richieste di consultazione di siti internet interessati da provvedimenti restrittivi adottati dalla Direzione Tutela del Consumatore di questa Autorità. Oggi è erogato da una piattaforma cloud separata da quella del sito web, rispondendo ad un indirizzo IP pubblico assegnato univocamente. II servizio dovrà rimanere configurato su un indirizzo IP pubblico diverso rispetto a quello utilizzato per il sito web.
4.2 Architettura hardware e software attuale
La piattaforma a supporto dell’infrastruttura di portale è strutturata in maniera corrispondente alla suddivisione in layer descritta al punto 3 del paragrafo 4.1.1. Il Data Center del service provider che attualmente eroga il servizio ospita 5 macchine fisiche, oltre all’apparato di firewalling dedicato (per i dettagli vedi il paragrafo 4.2.1). Su una delle macchine fisiche è installato un virtualizzatore e su essa sono presenti 4 macchine virtuali con le funzioni di cui si dirà nel paragrafo successivo. Il servizio di reindirizzamento, invece, è ospitato su una piattaforma cloud, oggi separata dall’infrastruttura di portale, con le caratteristiche descritte nel paragrafo 4.2.3.
4.2.1 Hardware del sito web
Nella tabella seguente viene fornita la specifica della configurazione dei vari server che compongono l’infrastruttura.
Sistema | Caratteristiche |
Web Server | • Modello: Dell PowerEdge R410 • Processore: 1 cpu con 4 core e 2 thread per core • RAM: 4 GB • Hard Disk: ca 550 GB |
Database Server | • Modello: Dell PowerEdge R410 • Processore: 1 cpu con 4 core e 2 thread per core • RAM: 8 GB • Hard Disk: ca 500 GB |
Domino Server | • Modello: Dell PowerEdge R410 • Processore: 1 processore con 4 core • RAM: 8 GB • Hard Disk: ca 550 GB (4 dischi SAS in RAID) | |
Backup Server | • Modello: IBM SystemX 3550 • Processore: 1 processore con 4 core • RAM: 4 GB • Hard Disk: ca 80 GB | |
Server Virtualizzato | • Modello: Dell PowerEdge R410 • Processore: 4 processori con 4 core cadauno • RAM: 32 GB • Hard Disk: ca 920 GB complessivi | |
Test Server | Virtual Machine • 4 vcpu • RAM: 4 GB • Hard Disk: ca 160 GB | |
HA Server | Virtual Machine • 4 vcpu • RAM: 8 GB • Hard Disk: ca 210 GB | |
Mail Server | Virtual Machine • 2 vcpu • RAM: 4 GB • Hard Disk: ca 45 GB | |
Server monitoraggio | Virtual Machine • 1 vcpu • RAM: 2 GB • Hard Disk: ca 20 GB | |
Tabella 1 – Configurazione dei server componenti l’infrastruttura di erogazione del sito xxx.xxxx.xx.
E’ inoltre presente nell’architettura un firewall Fortinet 90 D con 1 cpu, 1800 MB Ram sul quale sono implementate le policies di sicurezza a protezione della piattaforma dedicata.
4.2.2 Software del sito web
I principali software operativi, di base e applicativi presenti oggi sulle macchine di cui sopra sono indicati nella tabella 2. Si specifica che alcune delle versioni dei software indicate nella tabella sottostante potrebbero variare, per esigenze di AGCM e/o in funzione dell’applicazione di aggiornamenti di sicurezza, nel periodo intercorrente tra la data di pubblicazione del presente documento e l’avvio della fase di migrazione.
Si specifica, inoltre, che dovranno essere oggetto di migrazione e presa in carico anche gli altri eventuali software “di servizio” eventualmente presenti sulle macchine (ad esempio software per collegamento ftp/ftps, o ssh, monitoraggio, …). Con esclusivo riferimento a tali strumenti accessori
si specifica che essi potranno eventualmente essere sostituiti con pacchetti analoghi messi a disposizione dall’Aggiudicatario, qualora pienamente corrispondenti in termini di funzionalità e prestazioni.
Sistema | Caratteristiche |
Web Server | • CentOS ver. 6.2 • Apache ver. 2.2.15 • Joomla! ver. 3.9.2 • dotCMS ver. 4.2.2 • Php ver. 5.6.23 |
Database Server | • CentOS ver. 6.2 • MySQL ver. 5.5.49 |
Domino Server | • Windows Server 2003, Enterprise Edition Version 5.2 (Build 3790: Service Pack 2) (x86) • Lotus Domino ver. 8.5 |
Mail Server | • CentOS ver. 6.7 • PostFix ver. 2.6.6 |
Test Server | • CentOS ver. 6.2 • Apache ver. 2.2.15 • dotCMS ver. 4.2.2 |
Tabella 2 – Principali software presenti sui server del sito xxx.xxxx.xx.
4.2.3 Servizio di reindirizzamento
II servizio di reindirizzamento da siti internet oscurati a seguito di provvedimenti restrittivi di tutela del consumatore è oggi ospitato su una piattaforma cloud dedicata che comprende una Virtual Machine con le seguenti caratteristiche:
• 1 core;
• 2 GB RAM;
• 10 GB Hard Disk;
• Sistema operativo CentOS, con webserver Apache 2.2;
II sistema consente la modifica della/e pagine web mediante accesso ftps e tramite console alla macchina.
E’ inoltre presente una seconda macchina virtuale che funge da firewall (Pfsense) accessibile tramite console e tramite interfaccia grafica PfSense sulla quale sono impostate le policies di sicurezza (la VM è configurata con 1 core, 1 GB Ram e 10 GB memoria di massa).
Sono disponibili 8 indirizzi IP pubblici dedicati.
5 Requisiti dei servizi richiesti
L’Aggiudicatario dovrà provvedere alla predisposizione, configurazione e attivazione di un pool di risorse virtuali (e/o di eventuali apparati hardware per quanto non virtualizzabile), del software, dei sistemi di sicurezza e di rete necessari all’erogazione dei servizi di ospitalità e di gestione di siti/applicazioni web.
Dovrà poi erogare le attività di conduzione, monitoraggio e assistenza necessarie per garantire
all’AGCM un servizio continuativo ed efficiente. Tale servizio sarà reso operativo a valle della fase di migrazione e presa in carico di dati, contenuti e applicazioni presenti sull’attuale piattaforma.
La fase di presa in carico e migrazione dalla piattaforma di erogazione attualmente in esercizio dovrà essere conclusa entro il periodo massimo di 2 mesi solari decorrenti dalla data di stipula del contratto. L’Aggiudicatario potrà proporre in fase di presentazione dell’offerta tecnica un intervallo di tempo più limitato per effettuare tali attività: la riduzione del periodo sarà considerato elemento migliorativo ai fini della valutazione dell’offerta, nei termini e secondo i criteri indicati nel Disciplinare di gara. Gli apparati dovranno essere ospitati in Data Center residenti in Italia che assicurino i massimi livelli di sicurezza fisica e logica e tali da consentire, in caso di malfunzionamenti HW/SW o di perdita di contenuti informativi, il ripristino tempestivo della situazione. L’infrastruttura di erogazione dovrà essere tra quelle qualificate da AgID ai sensi delle Determinazioni e Circolari citate nel Capitolo 2. In sintesi il servizio dovrà essere comprensivo dei seguenti elementi ed attività:
- messa a disposizione della soluzione infrastrutturale, progettazione ed implementazione di apparati dedicati e della piattaforma per l'erogazione dei servizi applicativi dell’AGCM;
- disponibilità di un’architettura di Disaster Recovery dislocata presso un sito secondario in Italia in modo tale da poter riattivare in tempi estremamente stretti i servizi da erogare nel caso di disastro o indisponibilità prolungata del sito primario;
- connessioni ridondate alla rete internet per la raggiungibilità dall’esterno del Data Center (sia per il front-end che per il back-end);
- conduzione tecnica e gestione operativa delle piattaforme hardware e software relative ad AGCM (comprensiva di manutenzione, backup dei dati, politiche di sicurezza, attività di amministrazione generale dei sistemi ed assistenza sistemistica ed applicativa, ecc.);
- migrazione e presa in carico;
- manutenzione evolutiva e change management, supporto al test ed al deployment di nuovi siti/applicazioni o all’aggiornamento sistemistico ed applicativo;
- monitoraggio dei sistemi, rilevazione proattiva e risoluzione di malfunzionamenti hardware e software.
Nei paragrafi che seguono vengono descritte le principali caratteristiche dei servizi richiesti con riferimento sia alle componenti infrastrutturali che ai servizi che dovranno essere erogati nel corso della durata contrattuale (nelle fasi di migrazione, erogazione e rilascio).
Il presente Capitolato esplicita i requisiti minimi richiesti per il servizio: tutte le eventuali migliorie proposte dall’offerente che consentano di elevare i livelli di esercibilità, flessibilità, scalabilità, raggiungibilità e robustezza della piattaforma saranno considerate ai fini dell’attribuzione del punteggio tecnico e della valutazione complessiva dell’offerta, nei termini e secondo i criteri espressamente specificati nel Disciplinare di gara per la formulazione dell’offerta tecnica.
5.1 Componenti infrastrutturali
5.1.1 Ambiente di erogazione
L’aggiudicatario dovrà mettere a disposizione un ambiente dedicato in cloud in logica di virtual data center, sul quale dovrà essere possibile creare e modificare dinamicamente macchine virtuali destinate ai vari servizi al fine di poter replicare in tale ambiente la configurazione attuale descritta al paragrafo 4.2.1, oltre ad eventuali ulteriori server.
Sarà compito dell’Aggiudicatario, in fase di migrazione, attivare l’ambiente e configurare le macchine con i parametri appresso specificati, provvedendo eventualmente e di concerto con i
referenti tecnici dell’AGCM ad eventuali ottimizzazioni e tuning dei parametri in funzione dei dati di carico a disposizione, dei test effettuati e delle prime attività d’esercizio.
La configurazione architetturale implementata dovrà ricalcare l’attuale struttura logica, sia in termini di server che di componenti applicative. Pertanto nella tabella seguente vengono specificate le caratteristiche minime delle macchine virtuali che dovranno essere messe a disposizione all’avvio del servizio. Su esse dovranno essere migrate funzionalità, servizi e software dei sistemi presenti nella configurazione attuale (con i relativi aggiornamenti software per i quali si concorderà di procedere in fase di migrazione) per riconfigurare l’ambiente di erogazione del sito web e del servizio di reindirizzamento sulla nuova infrastruttura.
Nel corso dell’intera durata contrattuale resterà facoltà anche dell’Amministrazione, oltre che degli incaricati del fornitore, operare autonomamente sul pannello di controllo dell’ambiente dedicato per configurare eventuali ulteriori macchine virtuali e/o modificare quelle esistenti.
Le variazioni alla configurazione (in termini di vCPU, memoria Ram o disco) delle macchine che l’Aggiudicatario vorrà suggerire per ottimizzare/modificare la configurazione iniziale o quella in esercizio in un dato momento dovranno comunque necessariamente essere condivise e preventivamente autorizzate da parte dell’AGCM.
Tutte le risorse richieste, e quelle eventualmente ulteriori offerte dal partecipante in aggiunta alla configurazione minima, dovranno essere riservate, garantite e dedicate al progetto.
Nella tabella 3 è indicata la dotazione complessiva minima di risorse che dovranno essere messe a disposizione. La capacità totale dell’ambiente, in termini sia di vCPU, che di memoria Ram e disco, dovrà essere non inferiore ai totali esposti in tabella 3. Essi sono ottenuti dalla somma delle risorse necessarie alla configurazione delle macchine virtuali del sito web e del servizio di reindirizzamento, di quelle da destinare alla piattaforma di monitoraggio di cui al successivo paragrafo 5.1.6 ed al sistema firewall di cui al paragrafo 5.1.5 e di una capacità ulteriore destinata a nuovi servizi che l’AGCM potrà avviare nella durata contrattuale del servizio.
Non potranno essere considerate nel conteggio della capacità complessiva dedicata ad AGCM, eventuali ulteriori risorse di vCPU, memoria RAM e disco necessarie per servizi infrastrutturali e/o accessori (ad esempio servizi di backup, spazio per dati di servizio, …).
Sarà valutato come elemento migliorativo qualificante dell’offerta, ai fini del calcolo del punteggio tecnico, il quantitativo di risorse aggiuntive eventualmente reso disponibile (nella modalità e nel rapporto specificato nel Disciplinare di gara) nell’ambiente dedicato ad AGCM per le macchine virtuali già esistenti o nuove.
Ambiente di virtual data center | vCPU | RAM | Disco |
Web Server | 4 | 4 GB | 800 GB |
Domino server | 4 | 8 GB | 800 GB |
MySQL Server | 4 | 8 GB | 800 GB |
Newsletter | 2 | 1 GB | 15 GB |
Ambiente Test | 4 | 8 GB | 300 GB |
Servizio di reindirizzamento | 1 | 2 GB | 10 GB |
Sistema Firewall UTM | 1 | 1 GB | 10 GB |
Piattaforma Monitoraggio | 1 | 4 GB | 50 GB |
Altre risorse disponibili | 3 | 4 GB | 500 GB |
TOTALE | 24 | 40 GB | 3285 GB |
Tabella 3 – Dimensionamento minimo delle risorse dell’ambiente di virtual data center.
Con riferimento alla dotazione di vCPU si richiede che per l’ambiente dedicato messo a disposizione di AGCM la mappatura tra core fisico e core virtuale (vCPU) sia pari al più ad 1:4 (e senza hyperthreading). In fase di risposta alla procedura, il partecipante dovrà attestare il rispetto di tale requisito, che potrà poi essere soggetto a verifica da parte dell’Amministrazione durante la fase di collaudo o in qualsiasi momento nel corso del periodo di erogazione dei servizi.
E’ inoltre richiesto che la memoria di massa sia resa disponibile su LUN Multi-Tier SSD+SAS.
5.1.2 Software operativo, di base e applicativo
L’Aggiudicatario dovrà mettere a disposizione, senza alcun onere aggiuntivo per l’Amministrazione, per tutta la durata del contratto versioni aggiornate di tutti i software (sistemi operativi, di base, middleware e applicativi) che dovranno far parte della piattaforma, o che siano funzionali alla sua corretta operatività (ad esempio software di virtualizzazione, di backup, per i servizi ftps,….) a meno del software Lotus Domino, le cui licenze verranno fornite dall’Amministrazione.
Resta inteso che qualora proponga una configurazione software più aggiornata o migliorativa rispetto a quella attuale (ad esempio versioni più recenti del software di base o di sistema), l'Aggiudicatario sarà tenuto in ogni caso a garantirne la compatibilità con gli applicativi e con tutti i componenti software facenti parte della piattaforma, oltre che con il server Domino "master" presente presso l'AGCM che replica il server Domino nell'ambiente virtuale e ad assicurare la piena analogia funzionale del sito web a valle dell'aggiornamento.
Sono da considerarsi parte integrante della fase di migrazione, e conseguentemente da intendersi a carico dell’Aggiudicatario, le attività di installazione, configurazione, aggiornamento dei suddetti software sulle macchine fisiche o virtuali, e tutte le eventuali azioni ed attività di aggiornamento, riconfigurazione, tuning, hardening e ottimizzazione da effettuare in occasione di prima installazione e/o di ogni cambio di versione.
L’Aggiudicatario avrà la responsabilità di garantire la gestione e applicazione del patching di sicurezza dei software installati, in modo da assicurare alla piattaforma i più elevati standard di affidabilità, stabilità e sicurezza.
I software e le versioni che l’Aggiudicatario dovrà mettere a disposizione in fase di avvio del servizio saranno almeno quelli riportata nella tabella 2, da cui va esclusa, come detto, il software Lotus Domino.
Tale lista non è esaustiva e la dotazione software andrà completata con gli altri eventuali pacchetti o applicativi necessari all’operatività piena dell’infrastruttura (ad esempio i software di controllo, reporting, per il collegamento da remoto alle macchine, di virtualizzazione e per il backup automatizzato), compresi in particolare il sistema firewall, la piattaforma di monitoraggio, gli eventuali apparati di networking e di management, etc.
Anche per tali sistemi dovrà essere gestita una politica di aggiornamento pianificato di versione e di regolare implementazione delle patch di sicurezza.
5.1.3 Servizi di connettività
Per le piattaforme di cui al paragrafo 5.1.1 dovrà essere messa a disposizione una connettività flat ridondata con banda garantita di almeno 1 Gbps, interamente dedicata ad AGCM e disponibile al rack (o al pool di risorse) presso il quale risiede l’ambiente di virtual data center. Dovranno essere previste tutte le necessarie interfacce di rete, le connettorizzazioni e i cablaggi tra gli apparati di terminazione dei servizi di connettività, gli apparati di networking locale ed i server facenti parte dell’infrastruttura, in modo tale che la disponibilità di banda alla porta del router possa essere consegnata alle porte delle macchine virtuali senza degrado.
5.1.4 Indirizzi IP
Nel servizio deve essere compresa la fornitura di almeno 20 indirizzi IP pubblici statici IPv4 da assegnare all’AGCM per tutta la durata del contratto. Su essi dovranno essere ruotati il/i domini e i servizi già attivi e/o gli eventuali altri domini/servizi che nel corso dell’appalto dovessero rendersi necessari (qualora non sia possibile mantenere gli stessi indirizzi IP oggi in uso).
Sarà cura dell’Aggiudicatario effettuare, o supportare l’Amministrazione, nella gestione delle attività di aggiornamento degli indirizzamenti pubblici e di tutte le attività di migrazione ad essi correlate, al fine di garantire la transizione dal vecchio al nuovo ambiente senza alcun disservizio, con riferimento a tutte le componenti infrastrutturali, sistemistiche ed applicative.
5.1.5 Firewall dedicato
Oltre ai servizi di sicurezza logica condivisi del Data Center che ospiterà l’ambiente di virtual data center, la piattaforma dedicata all’AGCM dovrà essere protetta da una soluzione di firewall dedicato (anch’essa potrà essere resa disponibile in forma virtuale o fisica) sul quale dovranno essere attivate le funzioni di Unified Threat Management.
Le caratteristiche tecniche della soluzione di UTM che verrà proposta dovranno essere tali da garantire un livello di servizio adeguato (in termini di requisiti minimi di throughput, numero di sessioni, …) a gestire i valori di connettività almeno doppia del requisito richiesto nel paragrafo 5.1.3. L’Aggiudicatario, inoltre, dovrà garantire l’erogazione di funzionalità di Intrusion Detection per effettuate l’analisi del traffico ed eventualmente bloccare le connessioni nel caso in cui si verifichino o si sospetti che si verifichino condizioni di attacco (quali ad esempio attacchi di tipo probing, denial of service, exploit di servizi come dns, ftp, smtp, http, etc., o traffico di rete da backdoors o tentativi di accesso non autorizzato o in generale attività sospette).
Per le funzioni di amministrazione del CMS e per le altre eventuali necessità di accesso all’ambiente da parte del personale AGCM autorizzato da internet, dovrà essere previsto un opportuno livello di sicurezza, garantito mediante configurazioni e regole firewall (basate su indirizzi ip, protocolli, porte e direzione delle comunicazioni). E' richiesta inoltre l'introduzione di una ssl-vpn al fine di consentire l’accesso remoto “fuori sede”. Tale ssl-vpn deve poter essere utilizzata tramite un comune browser web (come ad esempio Internet Explorer, Firefox o Chrome) attraverso cui sarà richiesto di aprire una pagina in standard https in cui inserire le proprie credenziali e accedere agli strumenti di gestione remota. Dovrà essere inoltre prevista la possibilità di gestione di ACL per vincolare, ad esempio, l’accesso in base all’indirizzo IP di provenienza della richiesta. Tutte le comunicazioni dovranno essere mediate anche da regole di firewalling per incrementare ulteriormente la sicurezza. E’ richiesta la fornitura di almeno 3 token OTP in grado di garantire l'accesso alla ssl-vpn tramite autenticazione a doppio fattore.
5.1.6 Piattaforma di monitoraggio
Dovrà far parte della piattaforma anche una macchina dedicata al monitoraggio dell’intera infrastruttura. Il sistema di monitoring dovrà essere fruibile in modalità web ed essere in grado di fornire informazioni e strumenti di analisi, reportistica, modellazione e ottimizzazione dell'infrastruttura in modalità proattiva. Dovrà monitorare costantemente le grandezze relative allo stato delle apparecchiature adottando una visualizzazione a dashboard configurabile da parte dell’utente finale in modalità grafica.
La storicizzazione dei dati deve essere disponibile in tempo reale unitamente alla consultazione degli stessi con reportistica grafica.
5.1.7 Networking ed interconnessione
Il networking di interconnessione tra le macchine fisiche e virtuali dovrà essere interamente almeno ad 1/10 Gbps. Nel caso si rendano necessarie, dovranno essere rese disponibili fino a 48 porte a 100/1000 Mbps o 10 Gbps per l’interconnessione tra le eventuali macchine fisiche da inserire nell’ambiente nel corso dell’appalto. L'aggiudicatario dovrà implementare una soluzione di comunicazione per lo scambio dati tra l'ambiente virtuale e il server Domino presente sulla LAN dell'AGCM: le opportune configurazioni e regole firewall (basate su indirizzi ip, protocolli, porte e direzione delle comunicazioni) dovranno consentire l'accesso al server Domino (slave) presente nel virtual data center esclusivamente per le finalità di replica dati da parte del sistema interno all'AGCM (che funge da master). La soluzione dovrà essere realizzata in modo da replicare per quanta possibile l'attuale protocollo di comunicazione e ridurre al minimo le modifiche di configurazione eventualmente necessarie sui sistemi interni dell'AGCM. Tutte le componenti software e gli script prodotti e installati sui sistemi in Data Center, per realizzare la soluzione di comunicazione prevista saranno di proprietà dell'AGCM.
Dovrà inoltre essere possibile configurare ed attivare almeno 8 VLAN, per poter replicare ed eventualmente in seguito espandere, la configurazione attuale della piattaforma.
5.1.8 Servizi di backup e disaster recovery
Dovrà essere garantito un servizio di backup di tutti i dati/macchine presenti sull’infrastruttura dedicata. Tale backup dovrà essere effettuato con:
- metodologia incrementale;
- frequenza giornaliera con mantenimento delle ultime 7 versioni di back-up;
- frequenza settimanale con mantenimento delle ultime 4 versioni di back-up;
- frequenza mensile con mantenimento delle ultime 4 versioni di back-up;
- operazioni di restore a seguito di fallimenti causati da errori hardware o di software di base;
- operazioni di restore su richiesta dell’amministrazione.
Le procedure di salvataggio dei dati dovranno essere eseguite tramite procedure schedulate in orari notturni. Il backup potrà eventualmente ed ove possibile, essere effettuato a livello di intera virtual machine.
I dati di backup dovranno essere conservati in uno spazio dedicato ad AGCM, presso lo stesso Data Center di produzione o meno (in caso di Data Center diverso da quello di produzione vale quanto indicato anche per il servizio di disaster recovery in merito alla connettività separata, di cui si dice in calce al presente paragrafo).
Lo spazio disco dedicato alla conservazione dei dati di backup deve essere reso disponibile dall’Aggiudicatario: non potrà essere utilizzato quello offerto come dotazione di memoria disco dell’ambiente di virtual data center di cui al paragrafo 5.1.1 (dovrà essere spazio disco aggiuntivo, che non sarà considerato nel calcolo della dotazione di spazio disco dedicato all’AGCM ai fini dell’eventuale punteggio tecnico dell’offerta).
Dovrà altresì essere previsto un servizio di disaster recovery dedicato al progetto, da attivare presso un Data Center diverso da quello di produzione e dislocato ad una distanza fisica in linea d’aria di almeno 250 kilometri.
Al netto delle eventuali operazioni di propagazione delle rotte DNS, il fornitore dovrà garantire, come requisito minimo, un RPO di 2 ore ed un RTO di 8 ore.
Considerato il livello qualitativo offerto dalle soluzioni certificate da AgID e la rilevanza relativa di alcune delle macchine rispetto alle altre per l’erogazione dei servizi AGCM verso gli utenti finali, si richiede la replica continua delle VM del sito primario solo per alcuni dei server, mentre per le altre sarà possibile ricreare le VM ex-novo riportando le configurazioni di quelle del sito primario.
Nella tabella sottostante si riportano le caratteristiche dell’ambiente di Virtual Data Center (di cui alla tabella 3), completate con la specifica di quanto necessario in termini di disaster recovery.
Ambiente di virtual data center | vCPU | RAM | Disco | Distaster Recovery |
Web Server | 4 | 4 GB | 800 GB | Replica continua da sito primario |
Domino server | 4 | 8 GB | 800 GB | Replica continua da sito primario |
MySQL Server | 4 | 8 GB | 800 GB | Replica continua da sito primario |
Newsletter | 2 | 1 GB | 15 GB | Replica continua da sito primario |
Ambiente Test | 4 | 8 GB | 300 GB | Ricreata con configurazioni sito primario |
Servizio di reindirizzamento | 1 | 2 GB | 10 GB | Ricreata con configurazioni sito primario |
Sistema Firewall | 1 | 1 GB | 10 GB | Ricreata con configurazioni sito primario |
Piattaforma Monitoraggio | 1 | 4 GB | 50 GB | Ricreata con configurazioni sito primario |
Altre risorse disponibili | 3 | 4 GB | 500 GB | Ricreata con configurazioni sito primario |
Tabella 4 – Specifica della configurazione dell’ambiente di disaster recovery.
Si specifica che l’ambiente di disaster recovery dovrà poter essere utilizzato senza alcun limite di tempo e senza alcun costo aggiuntivo rispetto a quanto ricompreso nel contratto, in relazione ad eventi disastrosi o a condizioni di disservizio che ne richiedano l’attivazione. In tal senso si precisa inoltre che saranno a carico dell’Aggiudicatario le operazioni di attivazione del disaster recovery insieme a tutte le fasi preliminari e necessarie, la redazione e predisposizione delle procedure di attivazione, della modulistica e del processo autorizzativo e tutta l’ulteriore eventuale documentazione e procedure. Dovranno essere incluse nel perimetro del servizio, fruibili 24h ore al giorno, 7 giorni su 7, 365 gg/anno e senza alcun eventuale onere ulteriore a carico di AGCM. Anche l’ambiente di disaster recovery dovrà essere realizzato su infrastruttura qualificata Cloud della PA.
E’ richiesto inoltre, sia per il servizio di backup che per quello di disaster recovery, che la connettività tra il Data Center di Produzione ed il sito di DR (e il sito dove sono ospitati i dati di backup, se non coincidente con uno dei due Data Center precedenti) non venga utilizzata la banda disponibile dedicata ad AGCM di cui al paragrafo 3.2.1; l’Aggiudicatario dovrà altresì utilizzare o mettere a disposizione, senza eventuali oneri a carico dell’AGCM, un distinto canale di comunicazione tra i siti, al fine di consentire la replica delle VM ed il trasferimento dei dati tra gli ambienti con i requisiti di latenza, disponibilità e banda necessari al corretto funzionamento dei servizi suddetti.
5.2 Servizi
5.2.1 Servizi di migrazione e presa in carico
Il servizio di presa in carico comprende la migrazione di tutti i dati ed i contenuti applicativi e gestionali ospitato sulle piattaforme fisiche e virtuali dell’attuale erogatore dei servizi di hosting ed il caricamento, configurazione e riattivazione degli stessi sulle piattaforme che verranno messe a disposizione da parte dell’Aggiudicatario.
L’attività dovrà essere conclusa al più entro 2 mesi solari dalla stipula del contratto. Eventuali miglioramenti in termini di riduzione del periodo necessario alla migrazione e presa in carico dell’intera infrastruttura saranno oggetto di valutazione ai fini dell’attribuzione del punteggio tecnico, nei termini e secondo i criteri indicati nel Disciplinare di gara.
L'Aggiudicatario dovrà considerare prioritaria, sia nella pianificazione che nell'esecuzione dell’attivazione, la salvaguardia dell'operatività di tutti i servizi previsti nella presente procedura e delle altre attività istituzionali dell'AGCM nel periodo di tempo durante il quale avverrà la migrazione. In particolare, nel caso in cui un'operazione di attivazione del servizio dovesse costituire causa di malfunzionamento, dovrà essere assicurata la possibilità di un ripristino immediato della condizione preesistente. A tal fine si dovrà fare riferimento alla procedura di roll-back presentata dall’Aggiudicatario all’interno del Progetto di Attivazione approvato dall’AGCM di cui al paragrafo 5.2.1.1.
In considerazione del lasso di tempo intercorrente tra la data di predisposizione della documentazione di gara e l’avvio delle attività da parte dell’Aggiudicatario è presumibile che le informazioni relative alla configurazione dei sistemi possano essere parzialmente superate. Resta inteso che l’Aggiudicatario dovrà prendere visione delle configurazioni aggiornate, dei volumi di dati e delle applicazioni da migrare all’atto dell’avvio delle attività di competenza e non potrà richiedere ulteriori oneri e spese a carico dell’AGCM per effettuare le attività di migrazione e presa in carico anche a fronte di differenti numero di macchine da migrare o differenti applicazioni e/o contenuti. Dovrà inoltre farsi carico di tutte le attività di progettazione e di implementazione necessarie al fine di importare sulla nuova piattaforma tutti i dati, contenuti e servizi necessari, mettendo a disposizione gli eventuali strumenti hardware, software, prodotti e risorse umane e logistiche necessarie.
Potrà essere richiesta all’Amministrazione la documentazione tecnica esistente sugli applicativi e sui contesti attivi, in modo da poter effettuare senza criticità le attività di presa in carico, anche se le richieste di dati e informazioni non potranno condizionare, né tanto meno sospendere, se non su espressa indicazione di AGCM, il conteggio ed il rispetto della pianificazione temporale proposta per l’espletamento della fase di migrazione e presa in carico.
5.2.1.1 Progetto di Attivazione e Responsabile del Progetto
Entro al più la metà del periodo proposto per il completamento della fase di migrazione, l'Aggiudicatario dovrà presentare all'AGCM un documento denominato "Progetto di Attivazione", nel quale formulerà la proposta tecnica di attivazione e migrazione del servizio presso la sua infrastruttura.
II Progetto di Attivazione dovrà contenere almeno le seguenti indicazioni:
• piano temporale di attivazione contenente l'elenco delle attività/fasi previste con le relative date di inizio e fine;
• dettaglio delle modalità e delle fasi previste per la migrazione ed il porting di tutte le componenti software operativo, di base e applicativo e degli eventuali altri elementi da implementare;
• sequenza del piano di cut-off e del piano di roll-back;
• documento relativo alla gestione della sicurezza ed alle politiche implementate in relazione al rispetto delle normative sulla sicurezza e sulla privacy;
• dettaglio implementativo della piattaforma di erogazione, con l’indicazione specifica dell’infrastruttura, delle componenti fisiche e virtuali messe a disposizione, della localizzazione fisica delle risorse attraverso le quali avviene l’erogazione, della dislocazione del/dei Data Center presso cui sarà ospitata la piattaforma, e degli schemi architetturali,
funzionali ed esecutivi di rete (sia per il networking locale che geografico), di sicurezza e di piattaforma;
• riferimenti logistici, fisici, e tecnici dei server e dei componenti di networking e firewalling attivati per AGCM presso il Data Center, comprensivi delle informazioni sul posizionamento delle macchine, delle procedure e delle modalità per l’eventuale accesso ai locali ed ai prerequisiti necessari, indirizzi e riferimenti da contattare per attività di sopralluogo e/o ispettive;
• specifiche di dettaglio della progettazione, realizzazione ed erogazione del servizio richiesto;
• impegno delle eventuali risorse professionali dedicate;
• descrizione della struttura funzionale ed organizzativa del team che si occuperà della migrazione e delle attività di project management e di supporto ed assistenza, completa dei nomi e dei ruoli delle figure responsabili, nonché delle relative procedure di escalation;
• specifiche di collaudo, contenenti le modalità di esecuzione dei test di collaudo, descritte tramite schede tecniche di dettaglio e date di prevista disponibilità al collaudo.
L'AGCM approva il Progetto di Attivazione, ovvero richiede eventuali modifiche, prima di autorizzare la migrazione. In caso di richiesta di modifiche l'Aggiudicatario dovrà apportare al documento presentato le modifiche/integrazioni richieste e ripresentare la versione definitiva del Progetto di Attivazione entro e non oltre 5 giorni dalla data di comunicazione delle modifiche richieste da AGCM. In ogni caso, il Piano di Attivazione deve essere approvato da AGCM prima di effettuare le attività di migrazione dei servizi.
L’aggiudicatario dovrà inoltre comunicare nell’ambito del Progetto di Attivazione il nominativo ed i riferimenti (comprensivi di indirizzo mail e di numero telefonico fisso e mobile diretto) di un Responsabile del Progetto che per l’intera durata del servizio, ed in particolare per la fase di migrazione ed avvio in esercizio, sarà l’interfaccia unica dell’Amministrazione per gli aspetti generali, progettuali e organizzativi, oltre che per il coordinamento, la pianificazione ed il governo di tutte le fasi/attività del progetto e per le procedure di escalation nei problemi di assistenza tecnica e manutenzione e di gestione delle richieste.
Tale figura dovrà farsi carico inoltre di comunicare tempestivamente qualsiasi problematica che richieda l’intervento immediato dell’Amministrazione, e di governare tutte le risorse interne all’Aggiudicatario impegnate sul progetto al fine di rispettare nei tempi e nelle modalità di esecuzione, le fasi previste nel Progetto di Attivazione e l’erogazione del servizio.
Il Responsabile del Progetto sarà il riferimento dell’Amministrazione per la gestione delle escalation ed in tutti i casi di non fluida gestione delle richieste, dei malfunzionamenti e/o di criticità che dovessero rendere necessario un contatto diretto, urgente ed immediato con l’Aggiudicatario.
L’onere relativo all’impegno del Responsabile del Progetto sarà da intendersi già incluso nell’importo complessivo offerto in risposta alla presente procedura.
5.2.1.2 Collaudo
Al termine della fase di migrazione, di cui al precedente punto 5.2.1, l’Aggiudicatario dovrà predisporre quanto necessario ad effettuare una prova di collaudo finale, atta a verificare la conformità di quanto realizzato rispetto ai requisiti esposti nel presente Capitolato Tecnico.
Il collaudo avverrà secondo le specifiche predisposte dall’Aggiudicatario nel Progetto di Attivazione e approvate da AGCM.
Le prove saranno effettuate congiuntamente con i referenti di AGCM, che eseguiranno quelle previste dall’Aggiudicatario ed ogni altra reputata opportuna al fine della verifica della completa rispondenza di quanto predisposto rispetto alle richieste dell’Amministrazione. Al collaudo dovrà essere presente il referente dell’Aggiudicatario.
Al termine delle prove, verrà redatto un Verbale di Xxxxxxxx che riporterà la data concordata a partire dalla quale avrà avvio il periodo biennale di esercizio. L’eventuale esecuzione di collaudi parziali non esime l’Aggiudicatario dall’esecuzione di un collaudo finale per l’intera fornitura.
L’Aggiudicatario dovrà mettere a disposizione senza oneri per l’Amministrazione personale, sistemi, attrezzature, locali e quanto altro necessario alla esecuzione delle suddette prove di collaudo.
5.2.2 Servizi di gestione e conduzione
Il fornitore sarà responsabile del corretto esercizio dei sistemi in gestione e di mantenere funzionanti ed in piena efficienza tutti i componenti facenti parte dell’ambiente, oltre alle infrastrutture condivise e/o dedicate che possano influire sull’andamento dei servizi di pertinenza di AGCM.
In particolare dovranno essere gestite in maniera tempestiva le richieste provenienti dall’Amministrazione e le altre attività di gestione della piattaforma complessa quali ad esempio (elenco non esaustivo):
- modifiche delle configurazioni e dei parametri dell’ambiente;
- verifica della condizione dell’infrastruttura e monitoraggio dei servizi e delle prestazioni per la gestione proattiva e la prevenzione di anomalie;
- riavvio dei server su base periodica o a richiesta;
- supporto alla creazione di nuove virtual machine e/o modifiche alla configurazione interna dell’ambiente di virtual data center, all’installazione di nuovi software operativi e di base, o di servizi applicativi;
- analisi della configurazione software al fine di estrazione di log e di verifiche di carico di macchine o servizi per l’individuazione proattiva di potenziali malfunzionamenti;
- ottimizzazione delle prestazioni dei sistemi operativi e di base;
- estrazione di reportistica e di statistiche sugli accessi al sito ed alle pagine in modalità web, di file di configurazione e di immagini delle macchine o dei componenti dell’architettura su richiesta dell’Amministrazione;
- supporto all’avvio in esercizio di aggiornamenti applicativi e eventuali modifiche o nuove implementazioni;
- gestione delle policies di sicurezza e configurazioni di eventuali regole di firewalling o abilitazioni/disabilitazioni sulla rete e relative attività sul networking interno (ad esempio configurazione di indirizzi IP, apertura/chiusura di porte sui firewall, impostazione di restrizioni all’accesso, …);
- attività proattive di hardening della piattaforma;
- ripristino dei contenuti del sito: relativamente agli ultimi 7 giorni deve essere possibile effettuare il ripristino di tutti i contenuti rispetto ad eventuali modifiche apportate;
- gestione complessiva della sicurezza dell’ambiente durante il periodo di erogazione.
Sarà facoltà di AGCM richiedere o accordare al fornitore, su richiesta motivata, interruzioni dei servizi erogati, in deroga a quanta stabilito dai livelli di servizio stabiliti contrattualmente, per motivazioni interne o qualora si reputasse opportuno e indifferibile apportare modifiche o aggiornamenti dei sistemi, che comportino un potenziale disservizio. Nei casi di richiesta da parte del fornitore, l'interruzione del servizio non potrà avere durata superiore ad un'ora e dovrà essere pianificata in fasce orarie che consentano di limitare al massimo il disservizio per gli utenti. In ogni caso, il fornitore dovrà garantire, senza ulteriori oneri per l'Autorità e per tutta la durata dell'interruzione, l'erogazione di un servizio web sostitutivo che consenta almeno la pubblicazione di una pagina web statica informativa dell'interruzione di servizio, con contenuti e impostazione grafica concordati con l'Autorità, anche nel caso di malfunzionamento dell’intero virtual data center.
Tutte le attività sopra descritte, insieme ai servizi di gestione, conduzione, ottimizzazione e monitoraggio proattivo dell’ambiente e delle infrastrutture su cui esse risiedono dovranno essere condotte dal team di supporto all’esercizio del fornitore. Come già specificato (cfr. art. 5.2.1.1), l’Aggiudicatario dovrà fornire riferimenti completi e modalità di interlocuzione con il team di supporto, in modo da rendere fluida ed efficiente la comunicazione tra Amministrazione e fornitore anche per le attività di gestione ordinaria, oltre che di manutenzione e gestione dei disservizi.
5.2.3 Servizi di assistenza specialistica sistemistica ed applicativa.
Al fine di garantire eventuali attività di supporto specialistico, interventi urgenti o attività di diagnosi specialistica e/o servizi di manutenzione evolutiva sulle applicazioni in esercizio, è richiesta la disponibilità di giornate/uomo di assistenza specialistica e applicativa prestata da risorse professionali con esperienza sulle piattaforme utilizzate nell’ambiente AGCM.
L’eventuale attivazione dell’assistenza specialistica verrà richiesta esplicitamente di volta in volta dall’Amministrazione nel limite complessivo di n. 20 giornate nel corso del quadriennio, specificando l’ambito di intervento e la tipologia di risorsa richiesta.
Le giornate/uomo di sviluppo verranno concordate preventivamente al loro utilizzo in base ad una quantificazione proposta dal fornitore ed approvata dall’Autorità.
Tutti gli eventuali script, procedure software, sviluppi applicativi e personalizzazioni prodotte sul sistema nel corso di tali interventi saranno di proprietà di AGCM.
5.2.4 Servizio di formazione
Fermo restando il servizio di assistenza e gestione erogato dall’Aggiudicatario, al fine di rendere operativi e autonomi i referenti tecnici dell’Amministrazione sugli strumenti di controllo e gestione del virtual data center con particolare riferimento alla creazione e configurazione delle macchine virtuali, ed all’utilizzo dei sistemi di monitoraggio e di sicurezza, dovrà essere prevista un’attività di formazione di almeno 2 giornate (non necessariamente consecutive) da effettuare presso la sede dell’AGCM in date che dovranno essere concordate con l’Amministrazione per un numero massimo di 5 partecipanti a giornata. Il programma ed il dettaglio tecnico delle giornate sarà oggetto di apposita proposta dell’Aggiudicatario ed accettazione da parte di AGCM prima dell’erogazione.
5.2.5 Reportistica e rendicontazione
Dovrà essere fornita con cadenza quadrimestrale, oltre che eventualmente ed in aggiunta su esplicita richiesta dell’Amministrazione, una reportistica di dettaglio comprensiva degli indicatori dell’andamento dei servizi, completa sia dei dati che delle relative rappresentazioni grafiche che possano indirizzare eventuali azioni di miglioramento o potenziamento di alcune componenti dell’architettura in logica proattiva. La reportistica dovrà rivolgere particolare attenzione ai parametri che caratterizzano l’efficace funzionamento dell’infrastruttura (ad esempio livello di impegno medio della banda disponibile, livello di uso delle vcpu e della memoria Ram, occupazione della memoria di massa, …) per ciascuna delle macchine che compongono la piattaforma e per l’ambiente nel suo complesso.
Il sistema di rendicontazione dovrà essere utilizzato anche per il controllo dei livelli di servizio di cui al successivo paragrafo 5.3: dovrà pertanto essere in grado di rilevare tutti gli eventi necessari per la loro consuntivazione al fine di monitorare la conformità ai requisiti del servizio. In particolare il sistema dovrà assicurare le seguenti funzioni:
• acquisizione dei dati di dettaglio necessari alla determinazione dei livelli di servizio;
• raccolta, aggregazione e normalizzazione dei dati ed elaborazione dei valori dei livelli di servizio con riferimento alla finestra temporale di osservazione;
• produzione di reportistica sui livelli di servizio monitorati;
• memorizzazione affidabile e riservata dei dati archiviati e della reportistica;
• calcolo delle eventuali penali.
Tutta la reportistica relativa al servizio dovrà essere archiviata per la durata contrattuale a cura dell’Aggiudicatario e resa accessibile su richiesta di AGCM in formato elettronico modificabile (non sarà accettato il formato pdf).
5.3 Livelli di servizio e penali
Per tutto il periodo di durata del contratto, i malfunzionamenti, di qualsiasi natura, dovranno essere gestiti e risolti con intervento da parte di personale qualificato dell'affidatario.
Come meglio specificato nel documento allegato “Livelli di Servizio e Penali”, che è da intendersi parte integrante del presente Capitolato, i disservizi verranno classificati nella fase di segnalazione e prima diagnosi. In caso di mancato accordo tra le parti, la classificazione sarà quella indicata dall’Amministrazione, a suo insindacabile giudizio.
La classificazione prevede tre categorie in funzione del livello di severità del malfunzionamento e della gravità delle conseguenze che esso comporta.
In particolare il malfunzionamento viene classificato nelle seguenti tre categorie:
1. Bloccante – livello di Severità 1: AGCM ovvero gli utenti finali non sono in grado di usufruire del servizio per indisponibilità dello stesso o perché le sue prestazioni risultano decisamente degradate. Si tratta di situazioni in cui risulta impedita la fruibilità del sito e/o degli altri servizi in tutto o in parte.
2. Non bloccante critico – livello di Severità 2: AGCM o gli utenti finali sono in grado di usufruire del servizio anche se le prestazioni dello stesso risultano degradate in alcune sue componenti ritenute critiche dall’Amministrazione. Si tratta di quelle situazioni in cui è impedito l'aggiornamento delle informazioni presenti nel sito o l’operatività sui servizi del virtual data center da parte di AGCM o degli utenti, ma non è compromessa la visibilità dall’esterno per le funzionalità principali.
3. Non bloccante non critico – livello di Severità 3: AGCM o gli utenti finali sono in grado di usufruire dei servizi anche se le prestazioni risultano degradate in alcune componenti ritenute non critiche dall’Amministrazione. Si tratta di tutti i casi di comportamenti anomali che non ricadono nelle tipologie precedenti e che non pregiudicano l’operatività ordinaria del sito web e degli altri servizi presenti nell’ambiente dedicato ad AGCM.
In relazione a tale classificazione, l’Aggiudicatario dovrà garantire i seguenti livelli di servizio minimi:
• Bloccante - Severità 1:
o entro 10 minuti nel 100% dei casi.
• Non bloccante critico - Severità 2:
o entro 20 minuti nel 100% dei casi.
• Non bloccante non critico - Severità 3:
o entro 60 minuti nel 100% dei casi.
Tempo di risposta al disservizio (*)
Tempo di ripristino (*) | • Bloccante - Severità 1: o entro 2 ore nel 95% dei casi; o entro 6 ore nel 100% dei casi. • Non bloccante critico - Severità 2: o entro 4 ore nel 95% dei casi ore; o entro 8 ore nel 100% dei casi. • Non bloccante non critico - Severità 3: o entro 1 giorno lavorativo (8 ore) nel 95% dei casi; o entro 2 giorni lavorativi (16 ore) nel 100% dei casi. |
(*) Per la definizione di Tempo di risposta al disservizio e di Tempo di ripristino, si veda pag. 5 del documento “Livelli di Servizio e Penali”. | |
Tabella 5 – Livelli di Servizio minimi richiesti.
Per quanto concerne i disservizi di Severità 1, è inoltre richiesto che entro 3 giorni lavorativi dalla risoluzione degli stessi, venga fornito ad AGCM un incident report ufficiale che riporti almeno i riferimenti temporali di tutte le fasi del guasto, la descrizione puntuale e le cause di quanto accaduto, le azioni messe in atto per risolverlo, insieme alla specifica delle modifiche di configurazione effettuate, oltre agli eventuali miglioramenti proposti per minimizzare i rischi che il disservizio possa ripetersi.
Per maggior dettaglio e specifica di quanto sopra descritto e per i parametri, le modalità di consuntivazione e quantificazione delle penali si rimanda al documento “Livelli di Servizio e Penali”.
5.4 Fase di rilascio del servizio
L’Aggiudicatario si impegna, a conclusione del periodo di erogazione e delle eventuali proroghe che dovessero rendersi necessarie, a favorire il subentro nell’erogazione di tutti i servizi oggetto del presente documento da parte dell’Amministrazione o di un suo incaricato.
In particolare dovrà mettere a disposizione tutte le informazioni acquisite nel corso dell’erogazione e le documentazioni di progetto necessarie a consentire la prosecuzione regolare del servizio.
Al termine del periodo contrattuale e su richiesta dell’Amministrazione, il fornitore dovrà rendere disponibili almeno i documenti e le attività sotto specificate:
• documentazione architetturale redatta ad hoc relativa all’infrastruttura ed all’ambiente di erogazione, con specifica delle eventuali criticità e dei possibili miglioramenti da implementare per la prosecuzione dell’erogazione del servizio;
• dettaglio della configurazione hardware e software (di base ed applicativa) di ognuna delle macchine (fisiche o virtuali) componenti l’architettura, con specifica delle versioni installate e dei moduli software;
• estrazione delle immagini delle macchine, contenuto dei file system, dump dei database e di tutti i file di configurazione, log e oggetti software necessari per predisporre un ambiente operativo speculare a quello di esercizio;
• documentazione di dettaglio delle interfacce e dei collegamenti esistenti tra le macchine e gli altri elementi dell’infrastruttura (ad esempio collegamenti e configurazione delle porte degli switch, policies attivate sulle porte firewall dedicate, …) ed ogni altro elemento utile alla riconfigurazione di un ambiente idoneo a riproporre tutte le condizioni di lavoro dell’ambiente di esercizio.
Nell’ultimo trimestre di erogazione e comunque nella fase di rilascio del servizio l’Aggiudicatario dovrà, su richiesta dell’Amministrazione, rendere disponibili per non meno di 10 gg/uomo (anche eventualmente da remoto) risorse professionali con conoscenza specifica della piattaforma di servizio di AGCM per effettuare il trasferimento delle conoscenze ed il passaggio di consegne verso il nuovo eventuale fornitore, e per ogni eventuale attività o documentazione afferente all’ambiente che dovesse rendersi necessaria.
Tutte le configurazioni software, il codice e la relativa documentazione, prodotti dall'Aggiudicatario per realizzare quanto richiesto dal presente capitolato e installati sulle macchine fisiche o virtuali, rimarranno di proprietà esclusiva di AGCM, e dovranno essere rilasciate a quest'ultima entro il giorno lavorativo successivo alla richiesta.
I dati, contenuti redazionali, immagini e quant'altro caricato sul sistema durante l'erogazione del servizio sono e resteranno di proprietà esclusiva di AGCM. L'Aggiudicatario è autorizzato al trattamento di tali dati esclusivamente ai fini dell'erogazione del servizio previsto dal presente capitolato e/o dagli obblighi assunti alla firma del contratto.
Le attività descritte nel presente paragrafo sono da intendersi già ricomprese nell’onere contrattuale complessivo e non potranno generare costi aggiuntivi per l’Amministrazione.
5.5 Requisiti e certificazioni dei Data Center
Come già specificato, per l’erogazione dei servizi e per l’ambiente d’esercizio ove sarà ospitato il virtual data center dedicato all’Amministrazione, l’Aggiudicatario dovrà utilizzare esclusivamente soluzioni qualificate AgID e presenti sul Marketplace Cloud della PA alla data di scadenza della presentazione dell’offerta.
Inoltre, anche per il Data Center ove sarà realizzato l’ambiente di disaster recovery dovrà essere assicurato il suddetto requisito di qualificazione.
Per entrambi gli ambienti deve essere previsto un uptime complessivo minimo della piattaforma cloud virtualizzata pari almeno al 99,9%.
Nell’offerta tecnica le imprese partecipanti dovranno indicare l’ubicazione fisica del/dei Data Center e le principali caratteristiche in termini di logistica e condizioni ambientali. In particolare dovranno essere dettagliate le informazioni relative alle infrastrutture di collegamento, impianto elettrico, dislocazione apparecchiature di rete e server, illuminazione, sicurezza, insonorizzazione, aerazione e impianto di climatizzazione artificiale.
Il Data Center ospitante l’ambiente di esercizio dovrà essere certificato Rating 4 ANSI TIA 942-A.
Firmato digitalmente da
Xxxxxxxxxx Xxxxxxx
CN = Messina
O = non presente C = IT
Xxxxxxxxxx