CONVENZIONE
Dipartimento per la
trasformazione digitale
CONVENZIONE
PER LA GESTIONE DEL SISTEMA NAZIONALE DI CONTACT
TRACING DIGITALE “IMMUNI”
TRA
il Dipartimento per la trasformazione digitale, Presidenza del Consiglio dei ministri, con sede in Roma Largo Xxxxxx xx Xxxxxx, codice fiscale 80188230587, in persona del Capo Dipartimento pro tempore, xxx. Xxxxx Xxxxxxx, nominato con decreto del Presidente del Consiglio dei ministri 29 marzo 2021 (nel seguito per brevità anche il “Dipartimento”),
E
Il Ministero della salute con sede in Roma, viale Xxxxxxx Xxxxxxx, 5, legalmente rappresentato dal xxxx. Xxxxxxxx Xxxxxxxx, nella sua qualità di Direttore Generale della Direzione Generale della Digitalizzazione, del Sistema Informativo Sanitario e della Statistica, in virtù dell’incarico conferito con decreto del Presidente del Consiglio dei Ministri del 26 agosto 2020, registrato dalla Corte dei conti in data 5 ottobre 2020, foglio 1951, limitatamente a quanto previsto dagli articoli 3, comma 3 e articolo 20, comma 1, della presente Convenzione (nel seguito per brevità anche il “Ministero”),
E
la SOGEI - Società Generale d’Informatica S.p.A., con sede legale in Roma, via Xxxxx Xxxxxxx n. 99, iscritta al registro delle imprese di Roma al n. 02327910580, coincidente con il numero di codice fiscale, partita IVA n. 01043931003, per la quale interviene il dottor Xxxxxx Xxxxxxx, Amministratore Delegato, che agisce in virtù dei poteri conferitigli dal Consiglio di amministrazione come da delibere del 7 agosto 2018 e del 22 maggio 2019 (di seguito per brevità anche la “Società”),
il Dipartimento, il Ministero e la Società, di seguito, singolarmente anche “Parte” e congiuntamente “Parti”
VISTI
- la deliberazione del Consiglio dei ministri del 31 gennaio 2020, con la quale è stato dichiarato, per sei mesi, lo stato di emergenza sul territorio nazionale in conseguenza della dichiarazione di “emergenza di sanità pubblica di rilevanza internazionale” da parte della Organizzazione mondiale della sanità (OMS) e le successive deliberazioni con le quali è stata dichiarata la proroga del predetto stato di emergenza, da ultimo fino al 31 luglio 2021;
- l’articolo 122 del decreto-legge 17 marzo 2020, n. 18, ai sensi del quale Con decreto del Presidente del Consiglio dei ministri è nominato un Commissario straordinario per l'attuazione e il coordinamento delle misure occorrenti per il contenimento e contrasto dell'emergenza epidemiologica COVID -19, di cui alla delibera del Consiglio dei ministri 31 gennaio 2020. Al fine di assicurare la più elevata risposta sanitaria all'emergenza, il Commissario attua e sovrintende a ogni intervento utile a fronteggiare l’emergenza sanitaria, organizzando, acquisendo e sostenendo la produzione di ogni genere di bene strumentale utile a contenere e contrastare l’emergenza stessa, o comunque necessario in relazione alle misure adottate per contrastarla, nonché programmando e organizzando ogni attività connessa, individuando e indirizzando il reperimento delle risorse umane e strumentali necessarie, individuando i fabbisogni” e che “nell'esercizio di tali attività può avvalersi di soggetti attuatori e di società in house, nonché delle centrali di acquisto”;
- il decreto del Presidente del Consiglio dei ministri 18 marzo 2020, con il quale il xxxx. Xxxxxxxx Xxxxxx è stato nominato Commissario straordinario per l'attuazione e il coordinamento delle misure occorrenti per il contenimento e contrasto dell'emergenza epidemiologica COVID -19;
- l’art. 6 del decreto legge 30 aprile 2020, n. 28 ed, in particolare, il comma 1 ai sensi del quale Al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell'ambito delle misure di sanità pubblica legate all'emergenza COVID-19, è istituita una piattaforma unica nazionale per la gestione del sistema di allerta dei soggetti che, a tal fine, hanno installato, su base volontaria, un'apposita applicazione sui dispositivi di telefonia mobile. Il Ministero della salute, in qualità di titolare del trattamento, si coordina, sentito il Ministro per gli affari regionali e le autonomie, anche ai sensi dell'articolo 28 del Regolamento (UE) 2016/679, con i soggetti operanti nel Servizio nazionale della protezione civile, di cui agli articoli 4 e 13 del decreto legislativo 2 gennaio 2018, n. 1, e con i soggetti attuatori di cui all'articolo 1 dell'ordinanza del Capo del Dipartimento della protezione civile n. 630 del 3 febbraio 2020, nonché con l'Istituto superiore di sanità e, anche per il tramite del Sistema Tessera Sanitaria, con le strutture pubbliche e private accreditate che operano nell'ambito del Servizio sanitario nazionale, nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all'emergenza epidemiologica da COVID 19, per gli ulteriori adempimenti necessari alla gestione del sistema di allerta e per l'adozione di correlate misure di sanità pubblica e di cura. Le modalità operative del sistema di allerta tramite la piattaforma informatica di cui al presente comma sono complementari alle ordinarie modalità in uso nell'ambito del Servizio sanitario nazionale. Il Ministro della salute e il Ministro per gli affari regionali e le autonomie informano periodicamente la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano sullo stato di avanzamento del progetto.
- l’articolo 6 del citato decreto legge 30 aprile 2020, n. 28 ed, in particolare, i commi 2 e 3 che rispettivamente prevedono che il Ministero della salute adotta misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati, sentito il Garante per la protezione dei dati personali, assicurando, in particolare, il
2
rispetto delle misure individuate nella previsione medesima e che i dati raccolti attraverso l'applicazione di cui al comma 1 non possono essere trattati per finalità diverse da quella di cui al medesimo comma 1, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica e Al solo fine indicato al comma 1, previa valutazione d'impatto ai sensi dell'articolo 35 del regolamento (UE) 2016/679, e' consentita l'interoperabilità, con le piattaforme che operano, con le medesime finalità, nel territorio dell'Unione europea;
- l’articolo 6 del richiamato decreto-legge 30 aprile 2020, n. 28, ed, in particolare, i commi 5, e 6 che dispongono rispettivamente che la piattaforma di cui al comma 1 sia realizzata dal Commissario esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla società di cui all'articolo 83, comma 15, del decreto-legge 25 giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133 e che l'utilizzo dell'applicazione e della piattaforma, nonché ogni trattamento di dati personali effettuato ai sensi della previsione medesima sono interrotti alla data di cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione del COVID-19 anche a carattere transfrontaliero, individuata con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro della salute, e comunque entro il 31 dicembre 2021, ed entro la medesima data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi;
- la legge 30 dicembre 2020, n. 178 concernente il bilancio di previsione dello Stato per l’anno finanziario 2021 e il bilancio pluriennale per il triennio 2021-2023, ed, in particolare, l’art. 1, comma 621 ai sensi del quale Per l'anno 2021, le attività dirette a garantire lo sviluppo, l'implementazione e il funzionamento della piattaforma di cui all'articolo 6 del decreto-legge 30 aprile 2020, n. 28, convertito, con modificazioni, dalla legge 25 giugno 2020, n. 70, sono realizzate dalla competente struttura per l'innovazione tecnologica e la digitalizzazione della Presidenza del Consiglio dei ministri;
- il decreto del Presidente del Consiglio dei ministri 19 giugno 2019, registrato alla Corte dei Conti in data 29 luglio 2019, Reg.ne-Succ. n. 1580, che istituisce il Dipartimento per la trasformazione digitale quale struttura di supporto del Presidente del Consiglio dei ministri per la promozione e il coordinamento delle azioni di Governo finalizzate alla definizione di una strategia unitaria in materia di trasformazione digitale e di modernizzazione del Paese, assicurando il coordinamento e l’esecuzione dei programmi di trasformazione digitale;
- la società Sogei S.p.A. è la società di Information Technology partecipata al 100% dal Ministero dell'Economia e delle Finanze, operante sulla base del modello organizzativo dell’in-house providing, che da oltre 40 anni, realizza servizi informatici in grado di governare la complessità del sistema pubblico, come il Sistema informativo della fiscalità e l’automazione e informatizzazione dei processi operativi e gestionali del Ministero (Sistema informativo dell’Economia), Corte dei conti, Agenzie fiscali, Ministero dell’Interno per la realizzazione e gestione dell’ANPR e altre Pubbliche Amministrazioni e, per il tramite del sistema Tessera Sanitaria, del Ministero della Salute;
PREMESSO CHE
- nei mesi successivi alla dichiarazione dello stato di emergenza sanitaria, a seguito del diffondersi della pandemia, il Governo ha adottato plurimi provvedimenti contenenti misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica da COVID-19, estese a tutto il territorio nazionale, con i quali sono stati limitati gli spostamenti e in parte le attività dei cittadini;
3
- il contact tracing o tracciatura dei contatti è una delle azioni di sanità pubblica che il Governo ha inteso utilizzare per la prevenzione e contenimento della diffusione del COVID-19;
- all’esito delle valutazioni effettuate dal Gruppo di lavoro nominato per individuare le migliori soluzioni digitali e tecnologiche disponibili per il monitoraggio “attivo” del rischio di contagio, è stata selezionata la soluzione denominata “Immuni”, proposta dalla società Bending Spoons
S.p.a e da questa offerta gratuitamente al Commissario e alla Presidenza del Consiglio dei Ministri, unitamente alla manifestata disponibilità a completare gli sviluppi informatici necessari per consentire la messa in esercizio del sistema nazionale di contact tracing digitale;
- con contratto stipulato in data 16 aprile 2020, la Bending Spoons S.p.a. ha concesso al Commissario e alla Presidenza del Consiglio dei Ministri la licenza d’uso aperta, gratuita, perpetua e irrevocabile su tutto il software costituente la soluzione tecnologica “Immuni” e si è impegnata ed obbligata a provvedere all’ulteriore sviluppo, “a regola d’arte” e con diligenza professionale, della soluzione e alle attività di test, collaudo, assistenza e manutenzione correttiva, al fine di consentire il rilascio in produzione del sistema nazionale di contact tracing digitale, la messa a disposizione della relativa applicazione ai cittadini e la realizzazione degli interventi correttivi necessari al pieno funzionamento del sistema;
- il Garante per la protezione dei dati personali nella lettera inviata al Ministro per l’Innovazione Tecnologica e Digitalizzazione il 7 aprile 2020 ha auspicato, al paragrafo 5, che fosse individuato un soggetto pubblico per la gestione della soluzione di Contact Tracing;
- in data 16 maggio 2020 è stata sottoscritta una convenzione tra il Dipartimento per la trasformazione digitale, il Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19, il Ministero della salute e la società SOGEI - Società Generale d’Informatica S.p.A., per la gestione del sistema nazionale di contact tracing digitale denominato “Immuni”, con scadenza al 31 dicembre 2020;
- l’efficacia del sistema di contact tracing Immuni è direttamente connessa alla diffusione della relativa App tra i cittadini, si è ritenuto necessario procedere allo sviluppo e alla gestione di un apposito Sito internet contenente la descrizione del sistema Immuni per consentire agli utenti finali di avere accesso a tutte le informazioni sul funzionamento dell’App Immuni;
- per quanto sopra, in data 29 maggio 2020, è stata sottoscritta una convenzione tra il Dipartimento per la trasformazione digitale, il Commissario straordinario per l’attuazione e il coordinamento delle misure di contenimento e contrasto dell’emergenza epidemiologica COVID-19, il Ministero della salute e la società SOGEI - Società Generale d’Informatica S.p.A. per lo sviluppo e la successiva gestione del Sito internet “App Immuni” relativo al sistema nazionale di contact tracing digitale, che consenta ai cittadini di avere accesso a tutte le informazioni sul funzionamento della predetta App;
CONSIDERATO CHE
- il tracciamento automatico attraverso l’App Immuni dei soggetti risultati positivi al coronavirus, è disponibile dal 1°giugno 2020 sugli store e dal 15 giugno 2020 l’App è operativa su tutto il territorio nazionale;
- al fine di contrastare la nuova ondata di contagi determinata dalla recrudescenza del virus SARS- CoV-2, è necessario assicurare la continuità nella gestione del sistema di contact tracing atteso che il tracciamento automatico, come indicato anche dall’organizzazione mondiale della Sanità, può contribuire tempestivamente all’azione di contrasto del virus;
4
- la Società, in virtù della richiamata disposizione normativa contenuta nell’art. 6, comma 5 del citato decreto legge 30 aprile 2020, n. 28, è deputata a fornire supporto alla Presidenza del Consiglio dei ministri nella gestione del sistema nazionale di contact tracing digitale;
- il Dipartimento, ai sensi delle disposizioni della legge di bilancio 2021, è la struttura della Presidenza del Consiglio dei ministri che deve realizzare, per l'anno 2021, le attività dirette a garantire lo sviluppo, l'implementazione e il funzionamento della piattaforma di contact tracing, assicurate in precedenza dal Commissario straordinario per l'attuazione e il coordinamento delle misure occorrenti per il contenimento e contrasto dell'emergenza epidemiologica COVID -19;
- ai sensi dell’articolo 26 dello statuto della Società, l’esercizio del Controllo Analogo è affidato al Ministero dell’Economia e delle Finanze – Dipartimento delle Finanze;
- ai sensi del citato articolo 26, comma 5 dello Statuto, la Società in data 30 aprile 2021, nota prot. n. 17086, ha provveduto a dare specifica informativa al Dipartimento delle Finanze, che esercita il controllo analogo sulla Società ed alla struttura del Dipartimento del Tesoro che esercita i diritti dell'Azionista sulla Società al fine della verifica del mantenimento dell'equilibrio economico finanziario in relazione all'iniziativa di cui alla presente Convenzione;
- si rende necessario procedere con la stipula della presente Convenzione per la prosecuzione delle attività necessarie ad assicurare il funzionamento della piattaforma Immuni in continuità con l’operato del Commissario straordinario;
- sussiste dunque l’esigenza di sottoscrivere tra il Dipartimento, la Società ed il Ministero della Salute la presente Convenzione per disciplinare i reciproci impegni delle Parti e dettagliare i contenuti delle attività da svolgere nel periodo di durata della Convenzione medesima;
TUTTO CIÒ VISTO, PREMESSO E CONSIDERATO, LE PARTI CONVENGONO E STIPULANO QUANTO SEGUE
Art. 1
(Premesse e allegati)
1. Le premesse e gli allegati alla presente Convenzione costituiscono parte integrante e sostanziale della stessa e ne supportano l’interpretazione e l’attuazione, per quanto non specificamente indicato nel seguente articolato.
2. L’esecuzione della presente Convenzione è regolata, oltre che da quanto previsto dal presente
documento e dai relativi allegati:
- dalle vigenti disposizioni di legge per l’Amministrazione del Patrimonio e della Contabilità generale dello Stato e del regolamento di esecuzione ed attuazione;
- dalle vigenti disposizioni di legge e regolamentari in materia di sistema di contact tracing;
- dal codice dei contratti, d.lgs. 18/4/2016, n. 50, e successive modificazioni ed
integrazioni esclusivamente per gli aspetti relativi all’acquisizione dei beni e servizi;
- dal codice civile.
3. Gli allegati alla presente Convenzione sono i seguenti:
- Allegato A: Piano operativo 2021 contenente anche la matrice RACI, ruoli e responsabilità, che sottoscritto digitalmente dalle Parti costituisce parte integrante e sostanziale del presente contratto;
- Allegato B: Atto di nomina del Responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE 2016/679 (comprensivo della “Metodologia per la protezione dei dati e per la valutazione d’impatto” e del “Flusso di notifica di Data Breach all’Autorità di controllo”) da parte del Ministero, titolare del trattamento, in favore della Società.
5
- Allegato C: Descrizione dei servizi, livelli di servizio e corrispettivi.
Art. 2 (Definizioni)
1. Ai fini della presente Convenzione e salva diversa esplicita indicazione, ai termini riportati in maiuscolo è attribuito il significato di seguito indicato:
- APP: il sistema “Immuni” comprensivo dell’applicazione mobile, back-end comprensiva dei codici sorgente, software, applicativi, tecnologie, know-how, manutenzione e sviluppo e qualunque altro elemento e componente necessario per il funzionamento nel tempo del sistema di contact tracing digitale, sviluppata dalla Bending Spoons S.p.a.;
- SISTEMA: l’insieme dei sistemi e componenti tecnologiche e organizzative, che formano il sistema nazionale di contact tracing digitale denominato “Immuni”;
- CONVENZIONE: la presente convenzione stipulata tra le Parti;
- DIPARTIMENTO: il Dipartimento per la trasformazione digitale istituito con DPCM 19 giugno 2019, quale articolazione organizzativa della Presidenza del Consiglio dei ministri;
- SOCIETÀ: la Società (Sogei S.p.A.) che svolge le attività di sviluppo e di gestione della infrastruttura e che assicura il funzionamento del sistema di contact tracing, ai sensi dell’articolo 6, comma 5, del decreto-legge n. 28 del 2020;
- CAPO PROGETTO: il soggetto, nominato dal Dipartimento, per il coordinamento tecnologico delle attività di sviluppo e di gestione necessarie alla realizzazione Sistema;
- MINISTERO DELLA SALUTE: titolare della piattaforma e titolare del trattamento dei dati ai sensi
dell’art. 4, punto 7) del Regolamento (UE) 2016/679 “GDPR”;
- REGOLAMENTO: il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati o GDPR);
- PIANO OPERATIVO 2021: indica il documento “Allegato A” alla presente Convenzione che contiene la descrizione delle attività oggetto della presente Convenzione, la descrizione puntuale delle modalità di esecuzione del contratto e l’indicazione delle metriche e dei corrispettivi utilizzati per la determinazione degli importi dei prodotti e dei servizi. La definizione dei livelli di servizio e delle relative penali sono presenti all’interno dell’Allegato C.
Art. 3
(Oggetto della Convenzione)
1. La Società, in attuazione dell’articolo 6, comma 5, del decreto-legge n. 28 del 2020, si impegna nei confronti del Dipartimento a sviluppare, gestire, monitorare, condurre e manutenere in sicurezza l’infrastruttura informatica e telematica necessaria per il funzionamento del Sistema e dell’App ai cittadini, nonché a compiere tutte le attività accessorie a tal fine necessarie, ivi comprese le attività necessarie ad aggiornare ed erogare il sito web dell’applicazione.
2. La Società si impegna a provvedere a tutte le attività necessarie per la pubblicazione su Google Play Store, Apple Store e Huawei App Gallery dell’App mobile che all’interno del Sistema sarà rilasciata e potrà essere scaricata e installata dagli utenti.
3. La Società si coordinerà con le strutture e risorse messe a disposizione dal Ministero della Salute e del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei ministri. Le attività e le relative responsabilità delle Parti e dei soggetti interessati sono illustrate all’interno della matrice RACI nell’Allegato A.
6
4. Il Dipartimento, per le scelte e decisioni di natura tecnologica strategica, ricercherà in via prioritaria soluzioni condivise con la Società. La Società si atterrà a quanto sarà concordato con il Dipartimento; in caso di mancata condivisione, la Società si atterrà a quanto indicato dal Dipartimento e in tale ultima ipotesi nessun onere e nessuna responsabilità potranno essere imputati alla Società medesima.
Art. 4 (Durata ed efficacia)
1. La presente Convenzione è vincolante per la Società ed il Ministero a decorrere dalla data di sottoscrizione, mentre per il Dipartimento sarà vincolante solo dopo l’approvazione e la registrazione da parte dei competenti organi di controllo ai sensi delle vigenti disposizioni di legge.
2. Resta inteso che il Dipartimento comunicherà tempestivamente per iscritto alla Società e al Ministero la data in cui si saranno verificate le condizioni di legge di cui al precedente comma 1.
3. La presente Convenzione rimane efficace dalla data della sua sottoscrizione fino alla data di utilizzo dell’App e della piattaforma, utilizzo che sarà interrotto alla data di cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione del COVID-19 anche a carattere transfrontaliero, individuata con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro della salute, e comunque entro il 31 dicembre 2021.
4. Alla data indicata al comma precedente, la Società cessa ogni trattamento dei dati personali correlati all’App, ed entro la medesima data tutti i dati personali trattati dovranno essere cancellati o resi definitivamente anonimi a cura della Società che ne dovrà informare il Ministero della Salute in qualità di titolare dei dati.
Art. 5
(Servizi, obblighi e responsabilità della Società)
1. La Società, ai fini dell’adempimento degli obblighi di cui all’articolo 3, si impegna a svolgere attività di sviluppo, conduzione, monitoraggio e manutenzione evolutiva del sistema di contact tracing e delle architetture di contact delivery networking nonché ogni altra attività coerente con l’oggetto della Convenzione definita fra le Parti. In particolare, la Società erogherà i Servizi indicati nell’Allegato A della presente Convenzione, nel quale sono definiti, altresì, le modalità di erogazione dei Servizi. I relativi corrispettivi e Livelli di servizio sono indicati all’interno dell’Allegato C.
2. I Servizi di cui al precedente comma 1, saranno remunerati sulla base dei corrispettivi congruiti con il parere AGID numero 12/2020, reso ai sensi dell’Articolo 14 bis, comma 2, lettera f) del Decreto Legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale, in relazione al Disciplinare fra il Dipartimento della Ragioneria generale dello Stato del Ministero dell’economia e delle finanze e la Sogei.
3. Resta inteso che le attività di cui alla presente Convenzione saranno realizzate nel rispetto del vincolo delle risorse finanziarie a disposizione, quantificate al successivo articolo 7.
4. Il Dipartimento non è responsabile delle decisioni della Società quanto alla conduzione sistemistica
ed all’evoluzione infrastrutturale del Sistema, di cui al precedente comma 1 del presente articolo.
5. In allegato vengono riportate, con matrice RACI, ruoli e responsabilità delle Parti e degli altri soggetti coinvolti (Allegato A).
ART. 6
(Beni e servizi da acquisire)
1. Nei casi in cui la Società provveda ad acquisire, in nome proprio e per conto del Dipartimento, i beni
ed i servizi necessari all’espletamento delle attività di cui all’Allegato A , il Dipartimento rimborserà
7
alla Società gli importi da questa effettivamente corrisposti ai fornitori, quali risultanti dalla documentazione amministrativa e dalle scritture contabili della Società stessa, nonché i corrispettivi relativi alle attività precitate, in ogni caso entro il limite dell’importo individuato al successivo articolo 7.
2. Il Dipartimento prende atto che la Società per le acquisizioni di beni e servizi si avvale, per effetto dell’art. 4, comma 3-ter, del D.L. n. 95/2012, di Consip S.p.A, nella sua qualità di centrale di committenza.
3. Pertanto nell’ipotesi in cui la Società, in relazione a quanto previsto nell’Allegato A, dovesse provvedere ad acquisire beni o servizi attraverso la Consip S.p.A., in nome proprio e per conto del Dipartimento, quest’ultimo sosterrà i relativi costi eventualmente sostenuti dalla Società nei confronti di Xxxxxx nell’ambito dei massimali previsti dallo stesso Allegato A delle attività e sulla base delle intese che saranno definite tra le Parti.
ART. 7
(Corrispettivi massimali)
1. Per le attività svolte dalla Società fino alla data di efficacia della presente Convenzione e comunque entro il 31 dicembre 2021, l’importo massimale è determinato in Euro 1.112.240,39, oltre IVA pari a Euro 244.692,89 per un importo complessivo pari a Euro 1.356.933,28, determinato sulla base delle attività e dei relativi corrispettivi riportati nell’Allegato A.
2. In presenza di variazioni significative si provvederà ad una revisione dei corrispettivi riportati nell’Allegato A, sulla base di una comunicazione tra le parti ed approvata dal Dipartimento, nei limiti del corrispettivo massimale di cui al comma 1.
ART. 8
(Esecuzione delle attività)
1. La Società si impegna ad eseguire le attività previste nell’Allegato A secondo le modalità definite nel medesimo allegato, nei limiti delle risorse di cui al precedente articolo 7, secondo un piano delle attività predisposto e concordato con il Capo Progetto entro 60 giorni dalla stipula della presente Convenzione, rivista, ove necessario, su base periodica in accordo tra le parti.
ART. 9
(Prestazioni esterne)
1. Per l’esecuzione delle attività previste dalla presente Convenzione nonché dall’Allegato A, la Società, per far fronte a specifiche esigenze organizzative, potrà avvalersi, rimanendone pienamente responsabile, di imprese terze, nonché di esperti e professionisti in possesso di adeguata qualificazione ed in grado di garantire la qualità delle prestazioni nel rispetto della normativa nazionale e comunitaria in materia di forniture pubbliche e di tracciabilità dei flussi finanziari.
2. La Società fornisce al Dipartimento, entro 30 giorni dalla data di stipula della presente Convenzione, l’elenco dei fornitori delle imprese terze nonché degli esperti e professionisti di cui al comma precedente di cui potrà avvalersi per lo svolgimento delle attività previste dalla presente Convenzione.
3. In ogni caso il contratto di appalto e subappalto dovranno prevedere che tutti i diritti di proprietà intellettuale sul software sviluppato e su ogni altra opera comunque prodotta o fornita in esecuzione del contratto, ivi inclusi a titolo esemplificativo documentazione, materiale promozionale, etc., sorgano direttamente in capo o siano ceduti integralmente al Dipartimento così come quelli su eventuali librerie applicative utilizzate ai fini dell’esecuzione del contratto.
8
ART. 10
(Rapporti Periodici)
1. La Società darà conto al Dipartimento dei Servizi erogati nell’ambito della presente Convenzione
mediante appositi Rapporti Periodici, che dovranno contenere:
- il resoconto delle attività realizzate/erogate per i Servizi remunerati a forfait con il relativo valore economico;
- il resoconto delle quantità realizzate/erogate dei singoli Servizi con il relativo valore economico;
- l’elenco dei beni e servizi acquistati le cui fatture siano già state acquisite nel periodo nella contabilità della Società con il relativo valore economico;
- l’elenco dei beni installati con il relativo valore economico;
- la documentazione a supporto per ciascuna delle voci di cui sopra ed in particolare, l’elenco delle fatture relative ai beni e servizi acquisite nella contabilità della Società, nonché l’elenco dei beni installati che il Dipartimento sottoporrà ad ammortamento.
2. I Rapporti Periodici dovranno essere inviati, per l’approvazione al Dipartimento entro 25 (venticinque) giorni dalla fine del quadrimestre, con sistema di posta elettronica certificata, al seguente indirizzo xxxxxxxxxxxxxxxxxxxxxxxxx@xxx.xxxxxxx.xx fermo restando che il Rapporto Periodico relativo all’ultimo quadrimestre dell’anno verrà inviato entro 45 (quarantacinque) giorni dal termine del quadrimestre stesso.
3. Le eventuali osservazioni da parte del Dipartimento sui Rapporti Periodici dovranno essere comunicate entro 30 (trenta) giorni dal loro ricevimento. Trascorso inutilmente tale termine, i Rapporti Periodici si intenderanno approvati ad ogni effetto.
4. Entro il termine previsto per l’invio del Rapporto Periodico relativo all’ultimo quadrimestre dell’anno di riferimento, la Società provvederà ad inviare al Dipartimento il consuntivo relativo ai beni e servizi acquisiti nell’anno di riferimento, le cui fatture non siano state ancora acquisite nella contabilità della Società, sul quale l’Amministrazione interessata comunicherà le proprie osservazioni entro il 28 febbraio dell’anno successivo a quello di riferimento, termine decorso il quale il consuntivo si intenderà approvato.
5. Ad integrazione dei Rapporti Periodici di cui ai precedenti commi, la Società, invierà - almeno ogni quadrimestre - un prospetto contenente:
a) lo stato di avanzamento funzionale;
b) l’avanzamento economico;
c) la situazione relativa ai beni già consegnati ed ai servizi già prestati o in corso di prestazione;
d) le restanti attività pianificate ancora da porre in essere.
ART. 11
(Fatturazione e pagamento)
1. Il Dipartimento procederà a corrispondere alla Società l'importo massimo previsto per i servizi oggetto della presente Convenzione di cui al precedente articolo 7. La Società nell’ambito dell’importo complessivo di cui all’articolo 7, procederà con cadenza quadrimestrale alla fatturazione sulla base dei servizi erogati riportati nei singoli Rapporti Periodici di cui all’articolo 10.
2. La Società procederà all’emissione delle fatture per le attività erogate di cui al comma precedente, successivamente all’approvazione dei Rapporti Periodici di cui al precedente articolo 10.
3. Per i crediti derivanti dall’applicazione delle penali di cui alla presente Convenzione, il Dipartimento potrà compensare il credito con quanto dovuto alla Società. La richiesta e/o il pagamento delle penali di cui alla presente Convenzione non esonera in nessun caso la Società dall’adempimento dell’obbligazione per la quale il Dipartimento ritiene si sia resa inadempiente e
9
che ha fatto sorgere, a parere del Dipartimento, l’obbligo di pagamento della medesima penale.
4. Entro 60 (sessanta) giorni lavorativi dal ricevimento di ciascuna fattura, il Dipartimento provvede ad effettuare il relativo mandato di pagamento. Il Dipartimento effettuerà i pagamenti, previa presentazione di fattura elettronica – codice IPA YPNOAT - sul conto corrente XXXXX, XXXX x. XX00X0000000000000000000000, dedicato alle transazioni di commesse pubbliche ai sensi dell’articolo 3, comma 1, della Legge 13 agosto 2010 n. 136.
5. La Società, sotto la propria esclusiva responsabilità, si impegna a rendere tempestivamente note al Dipartimento eventuali variazioni relative alle coordinate bancarie di cui al precedente comma. In assenza di tali notificazioni, la Società esonera il Dipartimento da ogni responsabilità per i pagamenti eseguiti.
6. Resta inteso che la documentazione di riferimento sarà detenuta presso la sede della Società e tenuta a disposizione del Dipartimento per l’effettuazione di eventuali ulteriori controlli per tutto il periodo previsto dalla normativa vigente.
ART. 12
(Riuso e accessibilità)
1. La Società procederà a realizzare in proprio le applicazioni software soltanto quando non sia possibile – sulla base di valutazioni condivise con il Dipartimento - attuare il riuso delle applicazioni software di proprietà di altre Pubbliche Amministrazioni in conformità a quanto previsto dal citato d.lgs. n. 82/2005 ovvero quando le stesse non siano reperibili sul mercato.
2. La Società ha l'obbligo di rendere disponibile il codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta in conformità alle previsioni del citato d.lgs n. 82/2005, art. 69, e alle linee guida su acquisizione e riuso di software per le pubbliche amministrazioni, adottate con determinazione AgID n. 115 del 9 maggio 2019.
3. Nella realizzazione di nuove applicazioni software, la Società dovrà attenersi alle direttive volte a
favorire l’accessibilità dei soggetti disabili agli strumenti informatici.
ART. 13
(Responsabili della Convenzione)
1. Per assicurare la corretta esecuzione delle attività ed il rispetto dei termini, la Società nomina, un proprio Responsabile del contratto ed un suo sostituto, di seguito riportati:
- Xxxxxxx Xxxxxxx;
- Xxxxx Xxxxxxxxxx.
2. Il Responsabile del contratto per il Dipartimento è Xxxxx xx Xxxx
3. Il Responsabile del contratto per il Ministero della Salute è Xxxxxx Xxxxxxxxx
ART. 14
(Monitoraggio dei livelli di servizio e penali)
1. I livelli di servizio che la Società dovrà assicurare nello svolgimento delle Attività previste dalla
presente Convenzione e le eventuali penali dovute sono riportati nell’Allegato C.
2. Ai fini del controllo dei livelli di servizio e della conseguente applicazione delle penali si procederà come segue:
a) la Società darà evidenza al Dipartimento dei livelli effettivamente conseguiti e degli eventuali scostamenti verificatisi rispetto a quelli convenuti nella presente Convenzione;
b) la Società manterrà a disposizione del Dipartimento, per 90 (novanta) giorni dalla data di
approvazione dell’ultimo Rapporto Periodico di cui all’articolo 10, le registrazioni e/o le
10
rilevazioni analitiche effettuate dal suddetto sistema;
c) la Società, per l’effettuazione dei controlli, dovrà rendere disponibili al Dipartimento le registrazioni e/o le rilevazioni analitiche effettuate, secondo le modalità di accesso e di sicurezza fisica e logica vigenti presso la Società.
3. Tutte le penali previste nell’Allegato C alla presente Convenzione potranno essere applicate dal Dipartimento previa contestazione scritta dell’addebito e previa valutazione delle deduzioni al riguardo addotte dalla Società che dovranno essere presentate non oltre il termine di 30 (trenta) giorni dal ricevimento della comunicazione contenente la contestazione stessa.
4. Il Dipartimento, valutate le predette deduzioni, potrà decidere di dare corso all’applicazione delle penali dandone comunicazione scritta alla Società non oltre il termine di 30 (trenta) giorni dal ricevimento delle deduzioni.
5. La Società provvederà a riconoscere al Dipartimento quanto indicato nella comunicazione di cui al precedente comma 3, secondo le modalità concordate. Le Parti si danno peraltro atto che, qualora la Società ritenga di non condividere le conclusioni del Dipartimento, il pagamento di cui sopra non potrà costituire in nessun caso riconoscimento di responsabilità e/o di debito ove la Società dia inizio alla procedura di cui al successivo articolo 16 entro 60 (sessanta) giorni dal pagamento stesso.
6. Resta inteso che, nel caso in cui gli inadempimenti siano determinati da causa di forza maggiore, nessuna pretesa risarcitoria potrà essere avanzata dal Dipartimento nei confronti della Società stessa, ferma restando la necessità che la Società assicuri l’erogazione, senza soluzione di continuità, dei servizi pubblici correlati alla piattaforma Immuni.
ART. 15
(Recesso)
1. Ciascuna delle Parti ha facoltà di recedere dalla presente Convenzione per cause sopravvenute, determinate dalla modifica delle disposizioni normative attualmente in vigore, previa comunicazione scritta, da inviare alle controparti a mezzo posta elettronica certificata con un preavviso di almeno un mese.
2. Il Dipartimento ha, altresì, facoltà di recedere dalla presente Convenzione in qualsiasi momento, con preavviso di almeno 30 (trenta) giorni solari, da comunicarsi alla Società e al Ministero a mezzo PEC, qualora, prima della scadenza della Convenzione medesima, con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro della salute, sia individuata la data di cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione del COVID-19 anche a carattere transfrontaliero, con conseguente interruzione, alla data medesima, dell’utilizzo dell’App e della piattaforma Immuni.
3. In caso di recesso anticipato, la Società ha diritto al pagamento dei servizi prestati fino a quel momento sulla base di apposita rendicontazione, secondo le modalità stabilite al precedente articolo 10 e secondo il corrispettivo e le condizioni previste nella presente Convenzione, purché eseguiti correttamente ed a regola d’arte, rinunciando espressamente, ora per allora, a qualsiasi ulteriore eventuale pretesa, anche di natura risarcitoria, ed a ogni ulteriore compenso e/o indennizzo e/o rimborso, anche in deroga a quanto previsto dall’articolo 1671 cod. civ.
ART. 16
(Controversie)
1. Nel caso di controversie di qualsiasi natura che dovessero insorgere tra il Dipartimento e la Società in ordine alla interpretazione od all’applicazione della presente Convenzione, o comunque direttamente od indirettamente connesse alla Convenzione stessa, ciascuna parte comunicherà per iscritto all’altra l’oggetto ed i motivi della contestazione.
11
2. Al fine di comporre amichevolmente la controversia l’Amministrazione e la Società si impegnano ad esaminare congiuntamente la questione, entro il termine massimo di 5 (cinque) giorni dalla data di ricezione della contestazione, ed a pervenire ad una composizione entro il successivo termine di 5 (cinque) giorni.
3. In caso di esito negativo del tentativo di composizione di cui al precedente comma 2, la questione verrà rimessa al Foro competente.
4. Resta, peraltro, inteso che le controversie in atto non pregiudicheranno in alcun modo la regolare esecuzione delle attività della presente Convenzione, né consentiranno alcuna sospensione delle prestazioni dovute dall’una e dall’altra parte, fermo restando che riguardo alle questioni oggetto di controversia, le Parti si impegnano a concordare di volta in volta, in via provvisoria, le modalità di parziale esecuzione che meglio garantiscano il pubblico interesse ed il buon andamento dell’attività amministrativa.
ART. 17
(Responsabilità della Società)
1. Fatta salvo l’applicazione delle penali di cui al precedente articolo 14, la Società non potrà essere ritenuta responsabile per eventuali danni materiali o patrimoniali, diretti o indiretti, qualora la Società stessa abbia correttamente adempiuto alle obbligazioni contrattuali ed abbia operato in aderenza alle direttive impartite dal Dipartimento.
ART. 18
(Proprietà intellettuale)
1. Tutti i diritti di proprietà intellettuale sul software oggetto di sviluppo da parte della Società nonché su tutte le librerie sviluppate dalla Società o sulle quali la Società abbia comunque i diritti e che siano strumentali al funzionamento di Immuni sorgono direttamente in capo al Dipartimento. La Società si impegna altresì a consegnare al Dipartimento la documentazione tecnica relativa a tale software, il materiale formativo, ed ogni altro contenuto multimediale da essa prodotto con ogni connesso diritto di proprietà intellettuale. Resta inteso che nel corso dell’esecuzione del contratto la Società riconoscerà al Dipartimento il completo accesso al codice sorgente e ai relativi repository in ottica di supervisione e mantenimento del codice, nonchè la possibilità di notificare problematiche sul flusso dei lavori e poter quindi intervenire tempestivamente. Alla scadenza della presente Convenzione la Società consegnerà infine al Dipartimento il Codice sorgente di tutto il software strumentale al funzionamento ed alla piena operatività del sistema Immuni.
2. Resta esclusa qualsiasi responsabilità del Dipartimento nel caso la Società usi, per l’esecuzione della
presente Convenzione, dispositivi e soluzioni di cui altri siano titolari di diritti di privativa.
3. La Società, conseguentemente, manleverà e terrà indenne il Dipartimento da ogni pretesa e dagli oneri relativi ad azioni per violazione di qualsivoglia diritto di proprietà industriale o intellettuale relativo alle opere oggetto del contratto.
ART. 19
(Sicurezza del sistema)
1. Attesa la specificità dei dati contenuti nel sistema Immuni e la loro rilevanza, la Società è tenuta ad assicurare i livelli di sicurezza previsti dalle disposizioni di legge e normative, con particolare riguardo all’implementazione di strumenti per monitorare la regolarità e la sicurezza degli accessi all’infrastruttura.
2. A tale scopo, tenuto conto dei livelli di qualità dei servizi richiesti, la Società dovrà operare attraverso
12
l’adozione di idonee misure organizzative, tecniche ed operative, per la protezione dei dati e delle informazioni gestite, delle apparecchiature e dei sistemi di elaborazione utilizzati, nonché delle reti di comunicazione.
3. La protezione di cui sopra dovrà essere assicurata riguardo sia alle apparecchiature e alle reti interne alla Società, utilizzate per l’espletamento del suo incarico, sia alla trasmissione di dati attraverso reti esterne.
4. La Società si obbliga espressamente a manlevare e tenere indenne il Dipartimento da tutte le conseguenze derivanti dalla eventuale inosservanza delle norme e prescrizioni tecniche vigenti in materia di sicurezza con esclusivo riferimento alla parte di competenza della Società.
ART. 20
(Tutela dei dati personali e della riservatezza)
1. Il titolare del trattamento dei dati personali trattati nella gestione e utilizzo dell’App dopo il rilascio in esercizio, ivi inclusi quelli relativi agli utilizzatori dell’App, in conformità a quanto previsto dall’articolo 6 del decreto-legge 30 aprile 2020, n. 28, è il Ministero della Salute che sottoscrive, per tale ed esclusiva ragione, la presente Convenzione.
2. Il predetto titolare provvederà alla sottoscrizione dell’Atto di attribuzione del ruolo e degli obblighi di cui all’art. 28 del GDPR nei confronti della Società di cui all’Allegato B alla presente Convenzione.
3. La Società a seguito dell’accettazione dell’atto di cui al precedente comma 2, si obbliga, nel trattamento dei dati personali, ad attenersi alle disposizioni del Regolamento, ivi incluse quelle relative al registro dei trattamenti del responsabile esterno nonché alla procedura di notifica di violazioni di dati personali (data breach management) di cui agli artt. 30 e 33 del citato Regolamento, nonché alle indicazioni che saranno contenute nel medesimo Atto di attribuzione del ruolo e degli obblighi di cui all’articolo 28 del Regolamento.
4. La Società si impegna, anche nei confronti di eventuali soggetti terzi di cui si potrebbe avvalere per l’esecuzione delle attività previste dalla Convenzione a garantire la massima riservatezza e a non divulgare a terzi informazioni o dati relativi al sistema nazionale di contact tracing digitale o di qualsiasi altra natura dei quali verrà a conoscenza in dipendenza dello svolgimento delle attività oggetto della Convenzione. L’obbligo di riservatezza si intende esteso anche al periodo successivo all’esecuzione della presente Convenzione, per un termine non superiore a dieci anni.
5. La Società riconosce che tutte le informazioni, concetti, idee, procedimenti, metodi e/o dati tecnici di cui il personale utilizzato verrà a conoscenza nello svolgimento del servizio debbono essere considerati riservati. A tal fine, la Società si obbliga ad adottare con i propri dipendenti e consulenti tutte le necessarie prescrizioni al fine di tutelare la riservatezza delle informazioni acquisite e della relativa documentazione, adottando ogni misura per non consentire l’esportazione di tali dati dai propri server aziendali.
ART. 21
(Condizione risolutiva)
1. Le Parti espressamente convengono che l’efficacia della presente Convenzione è sottoposta alla condizione risolutiva rappresentata dal mancato rilascio, da parte del Dipartimento delle finanze e del Dipartimento del tesoro del Ministero dell’economia e delle finanze, per quanto di competenza, del parere favorevole alla sottoscrizione della Convenzione medesima, a seguito dell’informativa presentata dalla SOGEI con la nota di cui in premessa.
ART. 22
(Modifiche alla presente Convenzione)
13
1. Qualunque modifica alla presente Convenzione dovrà essere concordata e approvata per iscritto tra le Parti.
Letto, approvato e sottoscritto con firma digitale dalle “Parti”.
Per il Dipartimento per la trasformazione Digitale
Il Capo Dipartimento
Per la SOGEI
Società Generale d’Informatica
S.p.A
l’Amministratore Delegato
Per il Ministero della salute Il Direttore Generale
Xxxxx Xxxxxxx
FIRMATO DIGITALMENTE
Firmato digitalmente da XXXXXXX XXXXX C=IT O=PRESIDENZA CONSIGLIO DEI
MINISTRI
Xxxxxx Xxxxxxx
FIRMATO DIGITALMENTE
XXXXXX XXXXXXX SOGEI S.P.A. AMMINISTRATORE DELEGATO 25.05.2021
20:41:11 UTC
Xxxxxxxx Xxxxxxxx
FIRMATO DIGITALMENTE
MDS
DGSISS
Dr. X. Xxxxxxxx
14
Dipartimento per la trasformazione digitale
CONVENZIONE
PER LA GESTIONE DEL SISTEMA NAZIONALE DI CONTACT TRACING DIGITALE “IMMUNI”
Allegato A - Piano operativo 2021 Attività di conduzione ed evoluzione del sistema
Piano operativo 2021 – IMMUNI
ATTIVITÀ DI CONDUZIONE ED EVOLUZIONE DEL SISTEMA PAG. 2 DI 10
INDICE
2. 3
2.1 4
2.2. 5
3. Errore. Il segnalibro non è definito.
4. 7
Matrice di assegnazione delle responsabilità 8
Direzione tecnologica e program manager 9
Piano operativo 2021 – IMMUNI
ATTIVITÀ DI CONDUZIONE ED EVOLUZIONE DEL SISTEMA PAG. 3 DI 10
1. PREMESSA
Il presente documento, denominato “Allegato A – Piano operativo 2021”, costituisce parte integrante e sostanziale della Convenzione tra il Dipartimento per la trasformazione digitale, la società Sogei S.p.A. ed il Ministero della Salute e descrive le attività di conduzione ed evoluzione del sistema Immuni.
Le attività previste si articolano nei servizi per i quali, nei successivi paragrafi, è fornita la descrizione e la relativa stima in termini di quantità e costi con riferimento alla durata della Convenzione.
In particolare Xxxxx erogherà i servizi di seguito riportati:
- Professional:
● Servizio di Coordinamento;
● Servizio Specialistico;
● Servizio Operativo.
- Conduzione Data Center
● Server;
● Storage;
● Piattaforma NOSQL.
L’analisi oggetto del presente documento è stata redatta utilizzando i servizi così come definiti nell’Allegato C alla presente Convenzione, comprensivi dell’indicazione dei relativi corrispettivi e dei livelli di servizio, già oggetto di parere AGID numero 12/220, reso ai sensi dell’Articolo 14bis, comma 2, lettera f) del Decreto Legislativo 7 marzo 2005, n. 82, Codice dell’amministrazione digitale.
Piano operativo 2021 – IMMUNI
ATTIVITÀ DI CONDUZIONE ED EVOLUZIONE DEL SISTEMA PAG. 4 DI 10
2. CONDUZIONE E EVOLUZIONE DEL SISTEMA IMMUNI
In questa sezione sono descritte le attività ed i servizi per la conduzione ed evoluzione del sistema Immuni. Per ciascuna delle voci esposte è anche definita la relativa stima economica.
La stima economica di queste attività deriva per analogia con quanto svolto per altri clienti di SOGEI
2.1 Supporto per conduzione di Immuni
Questo tipo di supporto riguarda tutte le attività necessarie al governo del progetto nel suo insieme e al supporto relativo all’app mobile nelle sue diverse versioni (IOS, Android, Huawei), al supporto relativo al backend, alla piena funzionalità delle funzionalità messe in campo dal punto di vista dell’utente e all’interoperabilità europea.
Sono comprese in questo tipo di supporto anche le attività inerenti il sito web xxxxxx.xxxxxx.xx e la gestione degli opendata e della relativa dashboard. Si prevede infatti l’automazione di alcuni processi, ad oggi ancora semi-manuali, per l’intera gestione della pubblicazione dei dati.
Il supporto riguarda anche la gestione della community open source. In tal senso, le attività saranno concertate con il team del Dipartimento per la trasformazione digitale il quale effettuerà le operazioni di triage di primo livello ed eventuale supporto nelle interazioni con i contributori esterni. Pertanto, saranno in capo a Sogei le attività di triage di secondo livello, la chiusura delle issue, il testing end-to-end simulando l'esperienza dell’utente per verificare usabilità e funzionamento delle modifiche proposte, la valutazione delle contribuzioni esterne (Pull Request) e l’eventuale integrazione con i conseguenti benchmark e penetration test. Infine, saranno a carico di SoGEI le attività di installazione e conduzione del servizio di “CLA Assistant” scelto. Gli eventuali interventi di manutenzione dell’applicativo non saranno a carico della Società.
Vengono inoltre riportati i costi infrastrutturali di erogazione del servizio.
Servizio Professional | gg-p | Corrispettivo Unitario | Importo totale (forfait) |
Piano operativo 2021 – IMMUNI
ATTIVITÀ DI CONDUZIONE ED EVOLUZIONE DEL SISTEMA PAG. 5 DI 10
Servizio di Coordinamento | 60 | € 800 | € 48.000,00 |
Servizio Specialistico | 475 | € 502 | € 238.450,00 |
Servizio Operativo | 500 | € 362 | €181.000,00 |
TOTALE | € 467.450,00 | ||
Servizio | Unità di misura | Volumi | Corrispettivo unitario | Importo | |
Server | vCPU | €/CPU mese | 1.419 | € 98,68 | € 140.026,92 |
vRAM | €/RAM mese | 11.946 | € 15,86 | € 189.463,56 | |
Immagini | €/Immagine mese | 198 | € 558,32 | € 110.547,36 | |
Storage | GB allocati | €/GB mese | 19.690 | € 0,395 | € 7.777,55 |
Piattaforma NOSQL | GB allocati | €/GB mese | 2.750 | € 2,26 | € 6.215,00 |
TOTALE | € 454.030,39 | ||||
2.2. Supporto per le evoluzioni del sistema
Si prevede un’attività di supporto per la progettazione delle evoluzioni del sistema, comprendente
la progettazione, di nuove componenti sia a livello di front-end che a livello di back-end. Di seguito un elenco non esaustivo dei fronti evolutivi fin qui individuati:
● adeguamento dell’app a sistemi operativi IOS < 13.5
● migrazione all’ultima versione delle API del framework GAEN con ciò che ne consegue in termini di opportunità evolutive. Si cita a titolo di esempio la possibilità di revocare le notifiche, espressamente richiesta dal garante;
● evoluzione dei report forniti al Ministero della Salute quotidianamente.
Piano operativo 2021 – IMMUNI
ATTIVITÀ DI CONDUZIONE ED EVOLUZIONE DEL SISTEMA PAG. 6 DI 10
Il budget previsto per questo tipo di attività è da intendersi a consumo, non essendo ad oggi precisamente individuati tutti i fronti evolutivi e non essendo stato ancora valutato precisamente l’effort neanche per i fronti evolutivi già individuati.
Servizio Professional | gg-p | Corrispettivo Unitario | Importo totale (a consumo) |
Servizio Specialistico | 380 | € 502 | € 190.760,00 |
Piano operativo 2021 – IMMUNI
ATTIVITÀ DI CONDUZIONE ED EVOLUZIONE DEL SISTEMA PAG. 7 DI 10
3. IMPEGNO ECONOMICO
Di seguito un riepilogo dei costi previsti per il 2021.
Descrizione Servizio | Descrizione Rilascio/Obiettivo | Servizio | Dettaglio attività | Data Inizio Rilascio | Data Fine Rilascio | Unità di misura | Volumi | Corrispettiv o unitario | Importo senza IVA |
2 0 2 1 | Coordinamento del progetto: Partecipazione Riunioni, Coordinamento, Supporto | Servizio di coordinamento | 01/06/2021 | 31/12/2021 | €/GP | 60 | 800,00 | 48.000,00 | ||
Supporto app mobile: Supporto sull'app IOS e Android | Governance e Supporto | Servizio specialistico | 01/06/2021 | 31/12/2021 | €/GP | 475 | 502,00 | 238.450,00 | ||
Supporto per la conduzione di "Immuni" | Supporto per la gestione del backend e dell'interoperabilità europea | Servizio operativo | 01/06/2021 | 31/12/2021 | €/GP | 500 | 362,00 | 181.000,00 | ||
vCPU | 01/06/2021 | 31/12/2021 | €/vCPU mese | 1.419 | 98,68 | 140.026,92 | ||||
Conduzione Server | Server | vRAM | 01/06/2021 | 31/12/2021 | €/vRAM mese | 11.946 | 15,86 | 189.463,56 | ||
Immagini | 01/06/2021 | 31/12/2021 | €/Immagine mese | 198 | 558,32 | 110.547,36 | ||||
Conduzione Storage | Storage | GB allocati | 01/06/2021 | 31/12/2021 | €/GB mese | 19.690 | 0,395 | 7.777,55 | ||
Piattaforma NOSQL | Piattaforma NOSQL | GB allocati | 01/06/2021 | 31/12/2021 | €/GB mese | 2.750 | 2,26 | 6.215,00 | ||
Evoluzioni del sistema | Supporto per Evoluzioni del sistema | Supporto Innovazione | Supporto Specialistico | 01/06/2021 | 31/12/2021 | €/GP | 380 | 502,00 | 190.760,00 | |
TOTALE PREVISTO PER IL 2021 | 1.112.240,39 | |||||||||
4. RUOLI E RESPONSABILITÀ
Quanto segue specifica in dettaglio gli aspetti esecutivi ed in particolare i ruoli e le responsabilità
Piano operativo 2021 – IMMUNI
ATTIVITÀ DI CONDUZIONE ED EVOLUZIONE DEL SISTEMA PAG. 8 DI 10
individuali. In generale, è necessario che vengano prese decisioni rapide e definitive dai rispettivi responsabili, in modo da avviare gli iter tecnologici implementativi.
STAKEHOLDER
Gli stakeholder del progetto sono:
● Ministero della Salute
● Presidenza del Consiglio dei Ministri
● Presidenza del Consiglio dei Ministri - Dipartimento per la trasformazione digitale
RUOLI
● Program Manager: Dipartimento per la trasformazione digitale
● Team di comunicazione: Ministero della Salute
● Team di sviluppo: SoGEI
● Gestore del servizio: SoGEI
● Titolare del trattamento dei dati e del servizio: Ministero della Salute
● Direzione tecnologica: Dipartimento per la trasformazione digitale
Matrice di assegnazione delle responsabilità
Program Manager 1 | Team di comunicazione | Team di sviluppo | Gestore del servizio | Titolare del trattamento e del servizio | Direzione tecnologica | |
Definizione delle specifiche e dei requisiti | R | - | R | R | R | A |
Scelte strategiche relative allo sviluppo della soluzione tecnologica2 | R | - | R | R2 | C | A2 |
Definizione della Roadmap | R | I | R | R | C | A |
Sviluppo della soluzione | R | - | A | R | C | R |
Manutenzione del sistema di Contact Tracing | R | - | C | A | R | - |
Integrazione con il SSN | R | - | R | R | A | R |
Garantire anonimato dei dati trasmessi | R | - | R | A | R | R |
Piano operativo 2021 – IMMUNI
ATTIVITÀ DI CONDUZIONE ED EVOLUZIONE DEL SISTEMA PAG. 9 DI 10
Svolgimento del processo di contact tracing | C | I | - | I | AR | I |
Responsabile del trattamento dei dati | I | - | - | R | A | - |
Vigilanza sulla sicurezza | R | - | R | A | R | C |
Comunicazione campagna di nudging | R | AR | C | C | R | I |
1Responsible (R): è il soggetto che esegue e assegna l'attività
Accountable (A): è il soggetto che ha la responsabilità sul risultato dell'attività.
Consulted (C): è soggetto che aiuta e collabora con il Responsible per l'esecuzione dell'attività.
Informed (I): è soggetto che deve essere informato al momento dell'esecuzione dell'attività.
2 La direzione tecnologica non è responsabile della scelta tecnologica relative al deployment della soluzione (on premise/cloud), rimessa al Gestore del Servizio (Sogei).
DIREZIONE TECNOLOGICA E PROGRAM MANAGER
La direzione tecnologica è responsabile delle scelte strategiche relative allo sviluppo dell’applicazione e,
in particolare, concorda con il team di sviluppo e il gestore del servizio:
● Il design della soluzione in termini architetturali e funzionali
● La roadmap del prodotto e delle feature
● Le modalità di rilascio del codice sorgente e della documentazione
● La definizione dei test e dei livelli di servizio
Inoltre supporta il Ministero della Salute nella definizione dei requisiti di:
● Integrazione con i sistemi informativi del SSN e dei SSR
● Interoperabilità con le soluzioni degli altri stati membri seguendo le linee guida europee.
La direzione tecnologica non è invece responsabile della scelta tecnologica relative al deployment della soluzione (on premise/cloud), rimessa al Gestore del Servizio (SOGEI).
TEAM DI SUPPORTO ALLO SVILUPPO
Al team di sviluppo afferiscono tutte le risorse coinvolte nel progetto della società SoGEI, del Ministero della Salute e del Dipartimento per la trasformazione digitale.
La board di supporto allo sviluppo è ad oggi costituita da:
Piano operativo 2021 – IMMUNI
ATTIVITÀ DI CONDUZIONE ED EVOLUZIONE DEL SISTEMA PAG. 10 DI 10
● SOGEI: Xxxxxxxx Xx Xxxxxx, Xxxxx Xxxxxxxxxx, Xxxxxxx X’Xxxxxx, Xxxxxxxxx Xxxxxxxxx
● Dipartimento per la trasformazione digitale: Xxxxxx Xxxxx, Xxxxxxxx Xxxxxxx, Xxxxx xx Xxxx
TEAM DI COMUNICAZIONE
Il team di comunicazione si occupa della comunicazione istituzionale del progetto. La board di comunicazione è costituita da un rappresentante:
● Ministero della Salute
ALLEGATO PRIVACY
ATTRIBUZIONE DEL RUOLO E DEGLI OBBLIGHI DI CUI ALL’ART. 28 DEL
REGOLAMENTO UE 2016/679
PAG. 2 DI 21
Allegato Privacy
INDICE
2. ATTRIBUZIONE DEL RUOLO DI RESPONSABILE 6
3.1 ELEMENTI ESSENZIALI DEI TRATTAMENTI CHE IL RESPONSABILE È AUTORIZZATO A SVOLGERE 8
3.2 OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO NEI CONFRONTI DEL TITOLARE 10
3.2.1 Limiti e termini del trattamento dei dati personali 10
3.2.2 Istruzioni del Titolare 10
3.2.3 Fornitura dei dati al Titolare 11
3.2.4 Registro dei trattamenti 12
3.2.5 Autorità di Controllo 12
3.2.6 Comunicazione e diffusione di dati 12
3.2.7 Ricorso a Sub-Responsabili del trattamento 12
3.2.8 Riservatezza e formazione delle persone autorizzate al trattamento
3.2.9 Obblighi del Responsabile nell’ambito dei diritti esercitati dagli
3.2.11 Cancellazione e distruzione dei dati 14
3.2.12 Ispezioni e revisione 14
PAG. 3 DI 21
Allegato Privacy
Flusso di notifica di Data Breach all’Autorità di Controllo 17
PAG. 4 DI 21
Allegato Privacy
Nel presente documento si intende per
- “Amministrazione Cliente”, il Ministero della Salute e cioè l’Amministrazione destinataria dei servizi erogati dalla Sogei S.p.A. che riveste la qualifica di Titolare del Trattamento e per cui Sogei S.p.A. riveste la qualifica di Responsabile del trattamento;
- “Dati Personali” qualsiasi informazione relativa a una persona fisica identificata o identificabile (interessato) - ivi inclusi i dati di cui agli artt. 9 e 10 del Regolamento - trattata dal Responsabile del trattamento per conto del Titolare;
- “Contratto”, si intende la presente Convenzione comprensiva di tutta la documentazione allo stesso afferente, stipulata tra Sogei S.p.A., il Ministero della Salute e il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri;
- “Norme in materia di protezione dei dati personali” il Regolamento, come di seguito definito, il D. Lgs. 196/2003 e s.m.i. e qualsiasi altra normativa o atto, comunitario o nazionale, avente forza normativa in materia di protezione dei dati personali, ivi compresi i provvedimenti del Garante per la protezione dei dati personali e del Comitato Europeo per la Protezione dei Dati;
- “Misure di Sicurezza” le misure di sicurezza tecniche e organizzative atte a garantire un livello di sicurezza adeguato al rischio di cui all’art. 32 del Regolamento;
- “Persone autorizzate al trattamento” persone che in qualità di dipendenti, collaboratori, amministratori di sistema o consulenti del Responsabile del trattamento e/o del Sub-Responsabile del trattamento sono stati da questi autorizzati al trattamento dei dati personali sotto la loro diretta autorità;
- “Registro delle attività di trattamento” o “Registro”, il registro tenuto dal Responsabile del trattamento di tutte le categorie di attività relative al trattamento svolte per conto del Titolare del trattamento, di cui all’art. 30, comma 2, del GDPR;
- “Regolamento” o “GDPR” il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27.04.2016, relativo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);
- “Responsabile del trattamento” o “Responsabile” ai sensi dell’art. 4, n. 8 del Regolamento, la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento, individuato in relazione al Contratto nella società Sogei S.p.A.;
- “Sub-Responsabile del trattamento” o “Sub-Responsabile” il fornitore o i suoi
subappaltatori e subfornitori, individuati con procedura a evidenza pubblica, di
PAG. 5 DI 21
Allegato Privacy
cui Sogei S.p.A. si potrà avvalere per effettuare eventuali trattamenti di dati personali per conto del Titolare;
- “Titolare del trattamento” o “Titolare” ai sensi dell’art. 4, n. 7 del Regolamento, la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, individuato in relazione al Contratto nell’Amministrazione Cliente;
- “Trattamento” qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma messa a disposizione, il raffronto o l’interconnessione, la limitazione, allineamento o combinazione, la cancellazione o la distruzione;
- “Violazione dei dati personali (data breach)” la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
PAG. 6 DI 21
Allegato Privacy
2. ATTRIBUZIONE DEL RUOLO DI RESPONSABILE
Premesso che:
− il Ministero della Salute svolge i compiti ad esso demandati dalla normativa europea ed italiana di riferimento;
− Sogei S.p.A. riveste il ruolo di società in house al Ministero dell’economia e delle finanze, in ragione delle disposizioni di legge e di Statuto che ne regolano l’attività;
− a tale riguardo è stato stipulato il Contratto in relazione al quale è necessario procedere alla sottoscrizione di apposito atto di attribuzione a Sogei S.p.A. del ruolo di Responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento (cd. designazione);
− Sogei S.p.A. presenta garanzie sufficienti in termini di conoscenza specialistica, affidabilità, esperienza e risorse per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del Regolamento, compreso il profilo relativo alla sicurezza del trattamento;
− le premesse formano parte integrante e sostanziale del presente atto,
tutto ciò premesso,
il Ministero della Salute con sede in Roma, viale Xxxxxxx Xxxxxxx, 5, legalmente rappresentato dal xxxx. Xxxxxxxx Xxxxxxxx, nella sua qualità di Direttore Generale della Direzione Generale della Digitalizzazione, del Sistema Informativo Sanitario e della Statistica, in virtù dell’incarico conferito con decreto del Presidente del Consiglio dei Ministri del 26 agosto 2020, registrato dalla Corte dei conti in data 5 ottobre 2020, foglio 1951, limitatamente a quanto previsto dagli articoli 3, comma 3 e articolo 20, comma 1, della presente Convenzione (nel seguito per brevità anche il “Ministero”), ai sensi dell’art. 28 del Regolamento
ATTRIBUISCE A
Sogei S.p.A., con sede legale in Roma, via X. Xxxxxxx n. 99, codice fiscale 02327910580, partita IVA 01043931003, in persona del legale rappresentante xxxx. Xxxxxx Xxxxxxx, domiciliato per la carica presso la sede sociale (di seguito, anche “Sogei”), il ruolo di Responsabile del trattamento dei dati personali effettuato nell’esecuzione del Contratto ai sensi dell’art. 28 del Regolamento.
A tale riguardo, il Responsabile del trattamento, sottoscrivendo il presente atto:
− conferma la sua diretta e approfondita conoscenza degli obblighi che si assume in relazione a quanto disposto dal Regolamento e, più in generale, dalle Norme in materia di protezione dei dati personali;
− si obbliga a procedere al trattamento dei dati – laddove questo sia necessario
all’esecuzione delle prestazioni affidate – attenendosi in materia di sicurezza
PAG. 7 DI 21
Allegato Privacy
dei dati, oltre che al rispetto delle Norme in materia di protezione dei dati personali, anche alle istruzioni di carattere generale nonché a ogni altra istruzione documentata concordate con il Titolare.
Di seguito sono definite le istruzioni di carattere generale che possono essere integrate e modificate nel tempo per iscritto dal Titolare.
PAG. 8 DI 21
Allegato Privacy
3.1 ELEMENTI ESSENZIALI DEI TRATTAMENTI CHE IL RESPONSABILE È AUTORIZZATO A SVOLGERE
Il Responsabile è autorizzato a trattare per conto del Titolare i dati personali necessari per la corretta esecuzione del Contratto.
La durata del trattamento è limitata e coincide con la durata dell’incarico conferito dal Titolare con il Contratto ovvero di sue eventuali proroghe, fatto salvo l’adempimento di specifici obblighi di legge o di documentate istruzioni impartite dal Titolare.
I dati personali trattati, come ampiamente descritto nella DPIA, sono i seguenti:
dati comuni
• indirizzo IP del dispositivo sul quale è installata l’app,
• chiavi temporanee (TEK) degli utenti, ossia codici alfanumerici univoci generati randomicamente dall’app ogni 24 ore,
• identificativi di prossimità (RPI)
• codice OTP generato dall’app per permettere all’operatore sanitario di
convalidare la segnalazione di positività di un utente;
• Codice CUN generato dal sistema TS e trasmesso ai sistemi regionali in cooperazione applicativa associato a un test positivo, al fine di convalidare la segnalazione di positività di un utente;
• Ultime otto cifre della tessera sanitaria trasmesse al backend di Immuni o al call center, a fine di convalidare la segnalazione di positività di un utente;
• provincia di residenza o di domicilio temporaneo;
• Analytics token (solo iOS);
PAG. 9 DI 21
Allegato Privacy
• Device check token (solo iOS)
dati particolari
• data di inizio dei sintomi (per persone positive al tampone)
• data in cui è avvenuta l’ultima esposizione a rischio
• ricezione notifica di esposizione
• Exposure Summary ed Exposure Info (Dati epidemiologici)
dati tecnici
• stato del bluetooth
• permesso per l’utilizzo del sistema Apple/Google che rende possibile il
tracciamento dei contatti
• permesso per le notifiche
• sistema operativo del dispositivo
• clock del device
Le categorie di interessati a cui si riferiscono i dati sono i seguenti:
• Utenti positivi al tampone Covid-19
• Utenti entrati in contatto stretto con un utente positivo
• Utenti generici dell’app
PAG. 10 DI 21
Allegato Privacy
Il Titolare, rende disponibile al Responsabile l’accesso ai propri APP STORE al fine di consentire a quest’ultimo di effettuare in autonomia le attività utili per la pubblicazione dell’APP IMMUNI sugli store Google e Apple del Titolare. Visti i limitati ambiti di riservatezza che tali store rendono disponibili a gruppi diversi di sviluppatori, il Responsabile è tenuto alla riservatezza dei dati riferiti ad altri sistemi ed Applicazioni di cui viene a conoscenza che non rientrano nell’ambito della Convenzione citata in premessa.
Qualora durante l’esecuzione contrattuale il tipo di dati personali trattati e le categorie di interessati dovessero subire modifiche sarà cura del Titolare comunicare formalmente a Sogei le variazioni dell’ambito di trattamento alla stessa affidato.
3.2 Obblighi del Responsabile del trattamento nei confronti del Titolare
3.2.1 LIMITI E TERMINI DEL TRATTAMENTO DEI DATI PERSONALI
Il Responsabile è tenuto a trattare i dati personali solo e nei limiti in cui ciò sia
necessario per l’esecuzione delle prestazioni contrattuali e per le relative finalità.
3.2.2 ISTRUZIONI DEL TITOLARE
Il Responsabile è tenuto a trattare i dati personali soltanto su istruzione documentata del Titolare, anche in caso di trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il Responsabile; in tal caso esso è tenuto ad informare il Titolare circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.
Il Responsabile – così come i suoi eventuali Sub-Responsabili nominati a seguito della stipula del contratto all’esito della procedura ad evidenza pubblica indetta dalla Consip S.p.A. – non può trasferire i dati personali verso un Paese terzo o un’organizzazione internazionale, salvo che non abbia preventivamente ottenuto un’autorizzazione scritta del Titolare. Tale autorizzazione, con la sottoscrizione del presente atto, viene concessa al Responsabile, e quindi ai suoi Sub-Responsabili,
PAG. 11 DI 21
Allegato Privacy
per tutti quei casi in cui questi ultimi ne abbiano necessità per il corretto funzionamento dei servizi e per l’erogazione degli stessi così come definito nell’ambito della documentazione delle procedure ad evidenza pubblica indette dalla Consip S.p.A.
Qualora, per il corretto funzionamento dei servizi e per l’erogazione degli stessi si renda necessario trasferire i dati personali in paesi situati al di fuori dello SEE, il Responsabile si impegna a effettuare il trasferimento, anche tenendo in considerazione quanto previsto nei contratti stipulati da CONSIP, nel rispetto della normativa europea in materia di protezione dei dati personali - ivi incluso il GDPR, qualsiasi altra legge nazionale sulla protezione dei dati di uno degli Stati membri dell'Unione europea applicabile, nonché le linee guida e ordinanze emesse dalle autorità europee e nazionali competenti per la protezione dei dati e le sentenze delle autorità giudiziarie europee e nazionali competenti - e in presenza delle garanzie previste dal GDPR, assicurando un livello di protezione dei dati personali sostanzialmente equivalente a quello previsto dalla normativa privacy europea come suindicata.
A tal fine, il Responsabile si impegna a subordinare qualsiasi trasferimento dei dati personali verso paesi situati al di fuori dello SEE (che non siano stati destinatari di una decisione vincolante di adeguatezza da parte della Commissione europea) alla sottoscrizione delle clausole tipo adottate con decisione della Commissione europea 2010/87/EU ovvero delle diverse clausole tipo che saranno di volta in volta adottate dalla Commissione ai sensi del Regolamento (“Standard Contractual Clauses”), unitamente all’implementazione di ogni ulteriore misure tecnica, organizzativa e/o contrattuale finalizzata a garantire un livello di protezione sostanzialmente equivalente a quello garantito all’interno dello SEE. Il Responsabile riconosce e garantisce che le misure e gli impegni di cui sopra saranno debitamente e tempestivamente attuati e intrapresi anche dai relativi Sub- Responsabili.
Ove il Responsabile rilevi la sua impossibilità a rispettare le istruzioni impartite dal Titolare deve attuare comunque le possibili e ragionevoli misure di salvaguardia e deve avvertire immediatamente il Titolare e concordare eventuali ulteriori misure di protezione.
Qualora il Responsabile ritenga che una delle istruzioni violi il Regolamento o altre disposizioni nazionali o comunitarie deve informare immediatamente il Titolare.
3.2.3 FORNITURA DEI DATI AL TITOLARE
Qualora il Titolare o soggetto/funzione da esso incaricato/a abbia necessità di accedere a dati non disponibili attraverso i servizi applicativi, li richiede per iscritto, esplicitando la tipologia dei dati, la tempistica e la modalità di fornitura, al
PAG. 12 DI 21
Allegato Privacy
Responsabile il quale è tenuto a renderli disponibili ove possibile entro 7 giorni o qualora vi sia urgenza anche in un tempo inferiore concordato con il Titolare.
3.2.4 REGISTRO DEI TRATTAMENTI
Il Responsabile tiene un Registro di tutte le categorie di attività relative al trattamento (o ai trattamenti) svolti per conto del Titolare.
Il Responsabile mette a disposizione dell’Autorità di controllo il Registro, ove
richiesto, dandone al contempo informazione al Titolare.
3.2.5 AUTORITÀ DI CONTROLLO
Il Responsabile è tenuto in ogni caso a cooperare, su richiesta, con l'Autorità di controllo nell'esecuzione dei suoi compiti.
Il Responsabile si obbliga a cooperare con il Titolare al fine di fornire tutte le informazioni, i dati e la documentazione necessaria affinché il Titolare possa adempiere alle richieste dell’Autorità di controllo ovvero qualora si rendessero necessarie informazioni in caso di precontenzioso o contenzioso.
3.2.6 COMUNICAZIONE E DIFFUSIONE DI DATI
Il Responsabile non può comunicare e/o diffondere dati senza l’esplicita autorizzazione del Titolare, fatte salve le particolari esigenze di riservatezza espressamente esplicitate dall’Autorità Giudiziaria.
3.2.7 RICORSO A SUB-RESPONSABILI DEL TRATTAMENTO
Qualora nominati nel rispetto delle disposizioni che seguono, eventuali Sub- Responsabili del trattamento dovranno rispettare gli obblighi in materia di protezione dei dati personali imposti al Responsabile dalla normativa in materia di protezione dei dati personali e dal Titolare con il presente atto e le eventuali ulteriori istruzioni documentate che lo stesso dovesse impartire.
PAG. 13 DI 21
Allegato Privacy
A tal fine, il Responsabile è autorizzato dal Titolare a designare ai sensi dell’art. 28 del Regolamento i fornitori individuati a seguito delle procedure ad evidenza pubblica indette dalla Consip S.p.A., quali Sub-Responsabili.
Detti soggetti tratteranno i dati personali del Titolare in qualità di responsabili del trattamento in virtù di un accordo sul trattamento dei dati concluso con il Titolare medesimo o di un accordo concluso tra detti subfornitori e Sogei, ai sensi dell’art. 28, par. 4, del Regolamento, con il quale tali subfornitori saranno nominati quali ulteriori responsabili per conto del Titolare e saranno vincolati al rispetto degli stessi obblighi in materia di protezione dei dati personali applicabili a Sogei in virtù del presente accordo e, ovviamente, della normativa di volta in volta vigente. In particolare, il subfornitore dovrà fornire sufficienti garanzie circa l’implementazione di adeguate misure di sicurezza tecniche ed organizzative, in modo da rispettare i requisiti imposti dalle Norme in materia di protezione dei dati personali.
Resto inteso tra le Parti che, qualora il subfornitore ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserva nei confronti del Titolare l’intera responsabilità degli obblighi del subfornitore.
Il Responsabile dovrà informare il Titolare di ogni intenzione di modifica che abbia ad oggetto l’aggiunta, la sostituzione o la rimozione degli ulteriori responsabili di cui al paragrafo che precede, dando conseguentemente al Titolare l’opportunità di opporsi a tali modifiche.
3.2.8 RISERVATEZZA E FORMAZIONE DELLE PERSONE AUTORIZZATE AL TRATTAMENTO
Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza e che siano adeguatamente formate in relazione alle Norme in materia di protezione dei dati personali e pienamente edotte rispetto alle istruzioni impartite dal Titolare.
3.2.9 OBBLIGHI DEL RESPONSABILE NELL’AMBITO DEI DIRITTI ESERCITATI DAGLI
Interessati
Il Responsabile, ove richiesto, deve collaborare e supportare nel dare riscontro scritto, anche di mero diniego, alle istanze trasmesse dagli Interessati nell’esercizio dei diritti previsti dagli artt. 15-23 del GDPR, vale a dire alle istanze per l’esercizio del diritto di accesso, di rettifica, di integrazione, di cancellazione e di opposizione, diritto alla limitazione del trattamento, diritto alla portabilità dei dati, diritto a non essere oggetto di un processo decisionale automatizzato, compresa la profilazione.
PAG. 14 DI 21
Allegato Privacy
Qualora gli interessati trasmettano la richiesta per l’esercizio dei loro diritti al Responsabile, quest’ultimo deve inoltrarla tempestivamente al Titolare.
3.2.10 MISURE DI SICUREZZA
Il Responsabile, sulla base delle indicazioni del Titolare, adotta le misure richieste
dall’art. 32 del Regolamento.
Nell’esecuzione del Contratto, il Responsabile supporta il Titolare nel tener conto dei principi della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita.
Fatto salvo quanto previsto al par. 3.2.7, quarto paragrafo, il Responsabile dovrà operare, rendendo disponibile al Titolare ogni utile informazione per il corretto adempimento degli obblighi di cui agli articoli 25, 32 e 35 del Regolamento.
Il Responsabile adotta e rispetta le misure di sicurezza indicate dal Titolare e individua, sottoponendole al Titolare, misure di sicurezza ulteriori a quelle già in uso, che dovesse ritenere necessarie per garantire un adeguato livello di protezione dei dati personali in relazione all’analisi dei rischi e alla valutazione d’impatto.
3.2.11 CANCELLAZIONE E DISTRUZIONE DEI DATI
E’ facoltà del Titolare, terminata la prestazione dei servizi relativi al trattamento, ottenere in qualunque momento la cancellazione o la restituzione di tutti i dati personali e la cancellazione totale di tutte le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati.
3.2.12 XXXXXXXXX E REVISIONE
Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi a suo carico, consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da questi incaricato, anche attraverso periodiche attività di audit, con modalità che saranno, di volta in volta, concordate.
PAG. 15 DI 21
Allegato Privacy
3.2.13 CODICI DI CONDOTTA
Ne caso in cui il Responsabile del trattamento aderisca a un codice di condotta approvato ai sensi dell'articolo 40 del Regolamento o a un meccanismo di certificazione approvato ai sensi dell'articolo 42 del Regolamento, tale adesione può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 dell’art. 28 del Regolamento.
3.2.14 VIOLAZIONI DEI DATI
Il Responsabile del trattamento si dichiara consapevole degli obblighi che incombono sul Titolare del trattamento, ai sensi dell’art. 33 del Regolamento, in caso di violazione dei dati che sia tale da presentare un rischio per i diritti e le libertà fondamentali delle persone.
Il Responsabile si impegna a comunicare al Titolare la violazione dei dati personali “senza ingiustificato ritardo”, ai sensi e nei termini previsti dall’art. 33 del Regolamento. Tale obbligo di cooperazione si impone anche nel caso in cui il Titolare debba comunicare la violazione all’interessato.
Il Responsabile si atterrà al “Flusso di notifica di Data Breach all’Autorità di controllo” allegato alle presenti istruzioni.
3.2.15 VALUTAZIONE DI IMPATTO
Per svolgere la valutazione d’impatto sulla protezione dei dati personali il Titolare può consultarsi con il proprio Responsabile della protezione dei dati, ai sensi dell’art. 35, comma 2, del Regolamento.
Il Responsabile del trattamento si impegna ad assistere il Titolare, a livello tecnico e organizzativo, nello svolgimento della valutazione d’impatto, così come disciplinata dall’art. 35 citato, in tutte le ipotesi in cui il trattamento preveda o necessiti della preliminare valutazione di impatto sulla protezione dei dati personali o del suo aggiornamento, fatto salvo quanto previsto al par. 3.2.7, quarto paragrafo.
Il Responsabile dovrà operare attenendosi alle istruzioni che verranno impartite dal Titolare rendendo disponibile al Titolare ogni utile informazione per il corretto adempimento degli obblighi di cui all’articolo 35 del Regolamento.
PAG. 16 DI 21
Allegato Privacy
Il Responsabile del trattamento si impegna altresì ad assistere il Titolare nell’attività di consultazione preventiva dell’Autorità di controllo prevista dall’articolo 36 del Regolamento.
3.2.16 MODIFICHE NORMATIVE
Nell’eventualità di qualsiasi modifica delle Norme in materia di protezione dei dati personali, il Responsabile del trattamento supporta, nel rispetto dei vincoli del Contratto e nei limiti delle proprie competenze tecniche, organizzative e delle proprie risorse, il Titolare negli adeguamenti necessari.
3.3 RINVIO
Per tutto quanto non espressamente disciplinato nel presente atto, si richiamano gli obblighi previsti a carico del Responsabile del trattamento nel Contratto e dalle Norme in materia di protezione dei dati personali.
ALLEGATI
− Allegato Flusso di notifica di Data Breach all’Autorità di controllo
PAG. 17 DI 21
Allegato Privacy
FLUSSO DI NOTIFICA DI DATA BREACH ALL’AUTORITÀ DI CONTROLLO
Qui di seguito si riporta una descrizione del flusso di notifica delle violazioni dei dati personali che presentino un rischio per i diritti e le libertà delle persone fisiche (Data Breach) in conformità a quanto previsto dal Regolamento.
Ai sensi dell’articolo 4 paragrafo 12 del Regolamento per “violazione dei dati personali” si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Il flusso inizia con l’identificazione di una possibile “violazione dei dati personali” nell’ambito della gestione di un evento di sicurezza e si conclude con l’invio all’Autorità di controllo della notifica di avvenuto Data Breach secondo quanto previsto dal Regolamento (riferimento artt. 33 e 34).
Il flusso prevede l’interazione e lo scambio di informazioni tra Xxxxx, il Responsabile Protezione Dati della stessa (d’ora in avanti RPD), il Titolare e il RPD dello stesso al fine di consentire al Titolare di adempiere alle prescrizioni previste.
DESCRIZIONE DEL FLUSSO
Il flusso di notifica all’Autorità di controllo da parte del Titolare prevede i seguenti passi:
1. Il CERT Sogei, nel corso della gestione di un incidente di sicurezza, rileva una possibile “violazione dei dati personali” (Data Breach). Il CERT Sogei notifica al Titolare (competente struttura di sicurezza informatica o struttura equivalente della stessa) e al RPD dello stesso che è in corso la valutazione di un incidente di sicurezza, fornendo, altresì, una prima sommaria descrizione dell’incidente ed assegnando un identificativo univoco allo stesso. Nel caso in cui sia il Titolare a rilevare un incidente di sicurezza caratterizzato da una possibile “violazione dei dati personali” (Data Breach) che necessita dell’intervento di
PAG. 18 DI 21
Allegato Privacy
Sogei, la competente struttura di sicurezza informatica (o struttura equivalente) dell’Amministrazione Titolare informa il CERT Sogei e il relativo RPD. Il CERT Sogei avvia la verifica fornendo eventualmente informazioni aggiuntive a quelle ricevute ed assegnando un identificativo unico ad esso.
2. Il CERT Sogei verifica la presenza o meno della “violazione di dati personali”.
3. In caso di esito negativo della verifica, il CERT Sogei termina il processo, notificando al Titolare (competente struttura di sicurezza informatica o struttura equivalente della stessa) e al relativo RPD la chiusura dell’incidente caratterizzato dall’identificativo precedentemente comunicato e le motivazioni.
4. In caso di esito positivo della verifica (ossia è stata accertata la “violazione dei dati personali”, è stata svolta la relativa valutazione di impatto e stabilita la gravità del rischio per i diritti e le libertà delle persone fisiche), il CERT Sogei informa immediatamente e senza ritardo la propria competente struttura di vertice (Direttore Security, Safety e Industrial Relations). Quest’ultima, senza ingiustificato ritardo e in modo dettagliato, comunica il Data Breach al Titolare (competente struttura di sicurezza informatica o struttura equivalente) e, contestualmente, al RPD dello stesso e al RPD Sogei, completando le informazioni di propria competenza di cui al successivo paragrafo 2 e trasmettendone la notifica al Titolare.
5. Il Titolare che ha ricevuto la notifica di “Data Breach”, sentito il proprio RPD, valuta il livello di gravità della “violazione dei dati personali” proposto da Sogei avvenuta sui dati personali contenuti nelle banche dati disponibili nella propria titolarità. Nel caso in cui la “violazione dei dati personali” comporta un rischio per i diritti e le libertà delle persone fisiche, provvede a completare la notifica con le informazioni di propria competenza, di cui al successivo paragrafo e ad inviare la stessa all’Autorità di controllo entro 72 ore dalla
PAG. 19 DI 21
Allegato Privacy
conoscenza dell’avvenuta compromissione dei dati personali, dandone contestualmente riscontro alla struttura di vertice Sogei (Direttore Security, Safety e Industrial Relations) e al RPD di quest’ultima. Qualora la notifica all’Autorità di Controllo non sia effettuata entro 72 ore, provvede, altresì, a corredarla con le motivazioni del ritardo.
Eventuali richieste di ulteriori informazioni o modifiche alla notifica all’Autorità di controllo necessarie durante le attività di risoluzione dell’evento saranno concordate tra il Titolare, la struttura di vertice Sogei (Direttore Security, Safety e Industrial Relations) e i rispettivi RPD.
Il CERT Sogei dovrà mantenere un’accurata documentazione di tutte le “violazioni di dati personali” registrate, comprese le circostanze ad esse relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione sarà integrata con le eventuali azioni intraprese dal Titolare e opportunamente comunicate allo stesso.
NOTIFICA ALL’AUTORITA’ DI CONTROLLO
Le informazioni previste dal Regolamento saranno raccolte e riportate nella notifica di avvenuto Data Breach secondo lo schema seguente.
Il CERT Sogei inserirà nella notifica le seguenti informazioni, che saranno comunicate al
Titolare:
1. tipologia di incidente;
2. descrizione del servizio impattato e/o della banca/banche dati oggetto di violazione di dati personali;
3. intervallo temporale dell’incidente;
4. luogo dell’incidente;
5. misure tecniche di sicurezza applicate ai dati violati;
PAG. 20 DI 21
Allegato Privacy
6. misure attivate per il contenimento e la prevenzione;
7. descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
8. descrizione della probabile conseguenza della violazione dei dati personali;
9. descrizione delle misure di sicurezza adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione di dati personali e anche, se del caso, per attenuarne i possibili effetti negativi;
10. proposta di comunicazione di violazione di dati personali all’/agli interessato/i in base ad un’analisi dei dati oggetto di violazione (qualora la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche) e non ricorrendo alcuna delle condizioni di cui all’articolo 34, comma 3, del RGPD, che escludono la necessità di comunicazione della violazione all’interessato.
Le seguenti informazioni necessarie saranno inserite a cura del Titolare nella
comunicazione all’Autorità di Controllo:
1. il nome e i dati di contatto del RPD o di altro punto di contatto presso cui ottenere più informazioni;
2. validazione ed eventuale integrazione della descrizione del CERT Sogei di una probabile conseguenza della violazione dei dati personali;
3. eventuale ulteriore integrazione delle misure di sicurezza indicate del CERT Sogei adottate o di cui si propone l’adozione da parte del Titolare per porre rimedio alla violazione di dati personali e anche, se del caso, per attenuarne i possibili effetti negativi;
PAG. 21 DI 21
Allegato Privacy
4. i dati organizzativi di riferimento e i relativi recapiti del Titolare;
5. il livello di gravità della violazione;
6. l’eventuale comunicazione agli interessati e le relative modalità;
7. qualora la notifica all’Autorità di controllo non sia effettuata entro 72 ore, le
motivazioni del ritardo.
Dipartimento per la trasformazione digitale
CONVENZIONE
PER LA GESTIONE DEL SISTEMA NAZIONALE DI
CONTACT TRACING DIGITALE “IMMUNI”
Allegato C
DESCRIZIONE DEI SERVIZI, LIVELLI DI SERVIZIO E CORRISPETTIVI
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 2 di 148
INDICE
6
SERVIZI PROFESSIONAL E ACCESSORI
10
11
15
17
4. PROGETTAZIONE E SVILUPPO SERVIZI ICT
18
4.1 Sviluppo e manutenzione evolutiva del software ad hoc
4.2 Personalizzazione del software di mercato 24
28
5. SERVIZI DI BASE DI GESTIONE, CONDUZIONE E MANUTENZIONE
29
5.1 GESTIONE E CONDUZIONE SERVIZI ICT 29
5.1.1 Manutenzione servizi ICT 29
5.1.1.1 Livelli di Servizio 30
5.1.2 Servizio di customer care 31
5.1.2.1 Customer Management 32
5.1.2.2 Servizio di collaborazione specialistica 37
5.1.2.3 Erogazione del servizio con operatore in lingua 38
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 3 di 148
5.1.2.4 Esercizio del servizio in modalità automatica tramite IVR 38
5.1.2.5 Erogazione del servizio in modalità automatica tramite chatbot .39
5.1.2.6 Canali aggiuntivi per l’accesso al Customer Care 40
5.1.2.7 Gestione campagne di outbound 42
5.1.2.9 Supporto per assistenza specifica 44
5.2 Gestione e conduzione infrastruttura 45
5.2.1.1 Livelli di Servizio 50
5.2.2.1 Livelli di Servizio 52
5.2.3.1 Livelli di Servizio 57
5.2.4 Piattaforma Big Data 58
5.2.4.1 Livelli di Servizio 60
5.2.5 Piattaforma NOSQL 60
5.2.5.1 Livelli di Servizio 62
5.3 Servizi di Collaboration e Communication 63
5.3.1 Servizi navigation Internet 63
5.3.1.1 Livelli di Servizio 64
5.3.2 Centro servizi multimediali 64
5.3.2.1 Livelli di Servizio 66
5.3.3 Virtual Private Network utente 66
5.3.3.1 Livelli di Servizio 67
5.3.4 Virtual Private Network site to site (VPN L2l) 67
5.3.4.1 Livelli di Servizio 68
5.3.5 Servizio VOIP 69
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 4 di 148
5.3.5.1 Livelli di Servizio 70
5.3.6 Servizi Reti Periferiche 70
5.3.6.1 Livelli di Servizio 73
5.3.7 Servizi Reti Geografiche 73
5.3.7.1 Livelli di Servizio 74
5.3.8 Conferencing 74
5.3.8.1 Livelli di Servizio 77
5.3.9 Posta elettronica 77
5.3.9.1 Livelli di Servizio 79
5.3.10 Posta elettronica certificata 79
5.3.10.1 Livelli di Servizio 82
5.3.11 Servizi di Digital WorkSpace 82
5.3.11.1 Livelli di Servizio 85
5.3.12 Storage utente 86
5.3.12.1 Livelli di Servizio 87
5.3.13 Gestione delle postazioni di lavoro periferiche 87
5.3.13.1 Livelli di Servizio 88
5.3.14 Sicurezza delle postazioni di lavoro periferiche 88
5.3.14.1 Livelli di Servizio 90
5.4 Servizi di tipologia cloud 90
5.4.1 Piattaforma IaaS 90
5.4.1.1 Livelli di Servizio 97
SERVIZI DI BASE DIVERSI DA QUELLI DI CONDUZIONE 98
6. PIATTAFORME ASP 99
6.1 Piattaforme di dematerializzazione 99
6.1.1 Sistema documentale e protocollo informatico 99
6.1.1.1 Livelli di Servizio 110
6.1.2 Protocollo informatico 110
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 5 di 148
6.1.2.1 Livelli di Servizio 114
6.1.3 Servizi web di protocollazione 114
6.1.3.1 Livelli di Servizio 117
6.1.4 Conservazione digitale 117
6.1.4.1 Livelli di Servizio 120
6.2 Piattaforma formazione e-learning 121
6.2.1 Servizio di tutoring 123
6.2.2 Servizio di predisposizione del materiale didattico 124
6.2.3 Servizio di gestione applicativa 125
6.2.4 Servizio di hosting della piattaforma 127
6.2.4.1 Livelli di Servizio 128
6.3 Servizi di sicurezza 128
6.3.1 Piattaforme di sicurezza IAM (Identity Access Management) 128
6.3.1.1 Livelli di Servizio 129
6.3.2 Piattaforme di sicurezza SOC (Security Operation Center) 129
6.3.2.1 Livelli di Servizio 132
7. SERVIZIO SITO/PORTALE WEB E COMPONENTI ACCESSORI 132
7.1 Livelli di Servizio 136
ASPETTI GESTIONALI 138
8. CORRISPETTIVI 139
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 6 di 148
1. PREMESSA
Nel presente allegato, parte integrante e sostanziale della presente Convenzione stipulata tra Sogei, Dipartimento e Ministero, vengono definiti i Servizi erogati, i relativi corrispettivi ed i Livelli di servizio da garantire.
Il rapporto contrattuale prevede da parte di Sogei l'erogazione di servizi corredati di facility che ne consentano la piena fruibilità in termini di sicurezza, monitoraggio e integrazione. In tale contesto Sogei si pone come responsabile di tutti gli aspetti applicativi, tecnologici, architetturali, di qualità e di sicurezza dell'intero Sistema Informativo, operando le scelte più opportune in base alle esigenze dell’Amministrazione. L’Amministrazione si configura come fruitore dei servizi di cui ha fatto richiesta monitorando la loro erogazione.
Per Servizio ICT si intende “l’insieme di applicazioni informatiche omogenee e della relativa infrastruttura tecnologica, in grado di supportare lo svolgimento di un processo/sottoprocesso amministrativo e per le quali sia comunque opportuno esercitare il controllo/monitoraggio a livello di unica entità. Nei casi previsti dalla normativa (GDPR) può essere collegato ad uno o più “trattamento” dei dati”
Per gli indicatori relativi ai Servizi vengono realizzati sistemi di rilevazione specifici normalmente disponibili dal secondo quadrimestre di erogazione del servizio stesso; a riguardo si specifica che:
– la rilevazione è per tutti su base quadrimestrale a meno che diversamente specificato;
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 7 di 148
– la rilevazione di alcuni LDS potrebbe richiedere un periodo di osservazione e/o di sviluppo della modalità di rilevazione stessa;
– nei casi in cui si verifichi un fermo di Servizio concordato con l’Amministrazione, la fascia temporale corrispondente verrà esclusa ai fini del calcolo dei Livelli di servizio stessi.
Termini/Definizioni dei Livelli di servizio
Si riportano nel seguito i termini e le definizioni di riferimento utilizzati nelle descrizioni dei Livelli di servizio relativi ai prodotti/servizi forniti.
– Arrotondamenti
• ai fini del calcolo dello scostamento tra le percentuali effettive e quelle contrattuali le prime devono essere arrotondate:
• nel caso di aumenti o riduzione dello 0,1%, si arrotonda allo 0% per scostamenti compresi tra lo 0,000% e lo 0,049% ed allo 0,1% per scostamenti superiori;
• nel caso di aumenti o riduzioni dell’1%, si arrotonda allo 0% per scostamenti compresi tra lo 0,00% e lo 0,49% ed all’1% per scostamenti superiori.
• ai fini del calcolo delle ore di ritardo, le frazioni sono così arrotondate:
• da 1 a 29 minuti: zero ore;
• da 30 a 59 minuti: 1 ora.
– Errore software - si considera un errore software ogni
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 8 di 148 intervento correttivo sul software innescato da uno o più problemi. Verranno considerati tutti i problemi segnalati, sullo strumento utilizzato per tracciatura
del servizio di assistenza alla data di completa distribuzione della versione corretta del software. Resta inteso che più segnalazioni relative allo stesso problema software vengono considerate una sola volta ai fini del conteggio nel livello di servizio.
La modalità di rilevazione degli errori sarà definita dalla “Procedura di rilevazione dell’errore” che sarà fornita all’Amministrazione.
– Finestra Temporale di erogazione del servizio - arco di tempo in cui il servizio deve essere erogato; i livelli di servizio sono calcolati sugli orari di erogazione dei servizi oggetto del presente documento, salvo diversa esplicita indicazione.
– Giorni - giorni lavorativi, salvo ove espressamente indicato.
– Ore - ore lavorative ovvero ore ricadenti nella finestra temporale di erogazione, salvo diversa esplicita indicazione (festivi esclusi a meno del riferimento ad H24).
– Periodo di osservazione contrattuale - arco di tempo a cui è relativa la misurazione dei livelli di servizio. Viene fissata su base quadrimestrale.
In caso di violazione di Xxxxxxx di servizio che riguardino obiettivi per i quali siano previsti valori di soglia incrementali, verrà applicata esclusivamente la penale che si
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 9 di 148
riferisce al valore più alto riscontrato.
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 10 di 148
SERVIZI PROFESSIONAL E ACCESSORI
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 11 di 148
2. SERVIZI PROFESSIONAL
Il Servizio comprende l’insieme di attività professionali di Supporto ai clienti su tematiche di natura organizzativa, istituzionale, di innovazione e operativa nonché nell’ambito dell’iter di acquisizione.
I Servizi di Supporto e Governance, indipendentemente dal contesto in cui sono erogati, prevedono il ricorso a risorse con diverse professionalità che possono essere identificate nelle seguenti figure professionali:
− Operativa: personale con competenze e professionalità
“tecniche” e padronanza sulla materia di competenza su
cui viene coinvolto.
− Specialistica: personale con competenze di alto livello su specifiche filiere “tecniche” e che esprime piena padronanza sulle conoscenze tecnico-professionali di ruolo, agendo anche come punto di riferimento operativo per gli specialisti impegnati nei processi di interesse.
− Di coordinamento: personale il cui profilo è finalizzato ad assicurare il raggiungimento di importanti risultati tecnici, economici e qualitativi attraverso il coordinamento di risorse e progetti complessi. Governano programmi e progetti, relazioni organizzative interne ed esterne articolate, e rapporti fiduciari e negoziali con i clienti.
Nell’ambito dei Servizi Professional viene offerto il mix di competenze e professionalità più opportuno sulla base del tipo di supporto richiesto dall’Amministrazione, condiviso con la stessa; l’impegno economico che ne deriva sarà
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 12 di 148
calcolato sulla base della tipologia di professionalità richiesta.
2.1 SUPPORTO
Il Servizio di supporto offerto può essere erogato nei contesti di seguito descritti:
− Contesto organizzativo
• nelle attività di certificazione di qualità dei processi operativi dei clienti e per le indagini di customer satisfaction;
• nelle metodologie di progettazione e conduzione di un sistema di ascolto del utente;
• nella partecipazione a commissioni, gruppi di lavoro e seminari;
• nell’assistenza anche telefonica non informatica.
− Contesto istituzionale
• nello svolgimento dei compiti istituzionali di competenza dei clienti attraverso il trattamento ottimale delle informazioni presenti nel Sistema informativo;
• nella individuazione di soluzioni finalizzate all’attuazione della normativa di riferimento dell’Amministrazione;
• nelle attività per lo scambio di informazioni fra i Clienti e tra queste ed i cittadini;
• nella gestione degli aspetti amministrativi e gestionali di specifici programmi e/o progetti finanziati con fondi europei;
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 13 di 148
− Contesto di innovazione
• nella produzione di documentazione tecnica e prototipi di soluzioni innovative;
• nella progettazione, implementazione e attuazione delle misure di sicurezza dei sistemi informativi di responsabilità nonché di quelle relative alla qualità del sistema informativo;
• nella progettazione e implementazione di architetture e applicazioni particolarmente innovative.
− Contesto Operativo
• nella formazione e tutoraggio, nonché
addestramento all’uso dei servizi informatici;
• nell’attivazione tecnica delle apparecchiature acquisite nonché nell’attivazione funzionale delle soluzioni realizzate, presso le sedi dei clienti;
• nelle attività operative specifiche di settore dei singoli clienti;
• nell’assistenza tecnica periferica;
• nei servizi accessori di assistenza.
2.2 GOVERNANCE
Il Servizio di Governance può essere erogato nei contesti di seguito descritti:
− Governance degli approvvigionamenti – comprende le attività necessarie per l’acquisizione, attraverso il ricorso al mercato, di beni e servizi a rimborso tesi al soddisfacimento dei bisogni dell’Amministrazione
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 14 di 148
relativi allo sviluppo, alla evoluzione ed alla conduzione del Sistema Informativo;
− Governance dei Contratti - comprende le attività necessarie a supportare l’Amministrazione nell’attuazione delle varie fasi dei processi di pianificazione pluriennale, di programmazione annuale, di controllo e di monitoraggio per garantire il governo dei processi di gestione del Convenzione.
2.3 LIVELLI DI SERVIZIO
Servizio | Professional | ||
Livelli di Servizio | Soglia | Penale | |
€ 250,00 per ogni | |||
giorno di ritardo | |||
successivo al decimo | |||
e sino al trentesimo | |||
giorno | |||
Mantenimento data di | 10 giorni dalla data di | € 500,00 per ogni | |
consegna dell’output | consegna dell’output | giorno di ritardo | |
condivisa con | condivisa con | successivo al | |
l’Amministrazione | l’Amministrazione | trentesimo e sino al | |
sessantesimo giorno | |||
€ 750,00 per ogni | |||
giorno di ritardo | |||
successivo al | |||
sessantesimo | |||
Il Livello di servizio è applicabile solo nel caso in cui il servizio di supporto abbia natura progettuale e quindi preveda output precisamente identificabili e previsti nel Piano
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 15 di 148
operativo condiviso tra le Parti.
La data di consegna dell’output di riferimento per il LdS è definita nel Piano operativo condiviso tra le Parti ed eventualmente modificata mediante scambio di comunicazione.
3. SERVIZI ACCESSORI
Si tratta di servizi accessori funzionali allo sviluppo, evoluzione e conduzione del Sistema Informativo.
In particolare comprende:
− le trasferte da effettuare su richiesta dell’Amministrazione presso i propri uffici periferici o comunque presso sedi fuori il comune di appartenenza delle sedi della Sogei utilizzando i seguenti mezzi di trasporto:
• aereo;
• treno;
• altri mezzi pubblici urbani ed extra-urbani: (pullman, autobus, ecc.);
• taxi: limitato ai soli spostamenti iniziali e terminali del viaggio di trasferimento o quando costituisca l’unico mezzo disponibile o particolari motivi di disagio o di urgenza lo richiedano;
• autovetture a noleggio in casi eccezionali previa esplicita autorizzazione del dirigente responsabile;
• autovettura personale in casi eccezionali previa esplicita autorizzazione del dirigente responsabile.
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 16 di 148
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 17 di 148
SERVIZI DI SVILUPPO
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 18 di 148
4. PROGETTAZIONE E SVILUPPO SERVIZI ICT
Include i servizi finalizzati allo sviluppo, modifica, evoluzione e personalizzazione di soluzioni innovative rispondenti alle esigenze dei clienti.
Per l’erogazione del Servizio la Sogei adotta un Processo di produzione proprietario standardizzato, certificato secondo le norme ISO 9001:2015 e conforme con la normativa ISO 27001:2013, e ISO 25012:2014 in materia di controlli sulla sicurezza e qualità dei dati nonché alle regole introdotte dal GDPR.
Tale processo è basato sui modelli metodologici di sviluppo Evolutivo/Incrementale, RUP – Rational Unified Process e Agile applicati in funzione dei contesti di sviluppo per ottimizzare i fattori produttivi e gestionali.
La Sogei opera nell’ambito dell’Application Lifecycle Management (ALM) che identifica un approccio strategico alla gestione delle informazioni, dei processi e delle risorse a supporto del ciclo di vita delle applicazioni software.
La Manutenzione migliorativa sarà considerata parte integrante dell’effort di sviluppo e manutenzione evolutiva in quanto attività essenziale per il raggiungimento della qualità attesa nel software prodotto.
4.1 SVILUPPO E MANUTENZIONE EVOLUTIVA DEL SOFTWARE AD HOC
Sogei ha la responsabilità di governare gli obiettivi di sviluppo e manutenzione evolutiva attraverso le seguenti attività:
− analisi dei requisiti;
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 19 di 148
− attuazione intervento;
− avviamento;
− verifica di conformità;
− supporto sistemistico per lo sviluppo e la manutenzione evolutiva;
− estensione.
La verifica di conformità viene eseguita in un ambiente, predisposto da Sogei, equivalente a quello di esercizio.
Per un periodo di 365 (trecentosessantacinque) giorni solari decorrenti dalla data di inizio estensione delle applicazioni software realizzate, la Sogei è impegnata a prestare, a propria cura e spese, la manutenzione correttiva delle applicazioni software.
L’effort dello sviluppo di applicazioni viene misurato mediante nuove metodologie che tengono conto delle moderne modalità di sviluppo Agile e DevOps e su architetture maggiormente complesse. Il modello dei requisiti è composto da:
− Requisiti funzionali;
− Requisiti non funzionali;
− Requisiti di progetto/ambito.
Per ciascuna di queste componenti viene stimato l’effort che essa genera utilizzando, ove possibile, unità di misura standard.
− Requisiti funzionali
Misura Funzionale = metrica compatibili con lo standard ISO/IEC 14143-1:2007 (di seguito FSM) in generale non
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 20 di 148
necessariamente function point IFPUG oppure Simple Function Point oppure COSMIC etc..
Ad oggi si utilizza come metrica funzionale di riferimento IFPUG FP versione 4.3.
− Requisiti non funzionali
Misura Impatto Non Funzionale = % di impatto sulla produttività derivante da una misura non funzionale compatibile con la ISO/IEC 25010, tenendo conto delle sottocategorie definite dalla metrica stessa (in questa fase si prende a riferimento SNAP IFPUG v2.4).
− Logiche di Operazione sui dati
• Logiche di Validazione dei dati in ingresso,
• Livello di Complessità delle Operazioni Logico e Matematiche,
• Formattazione Dati (o livello) di Movimentazione dei dati interni all'Applicazione,
• Livello di configurabilità dell’applicazione che aggiunge valore all'utente senza necessità di interventi software,
− Disegno dell’interfaccia
• Complessità delle Interfacce utente,
• Disponibilità di Guide e Manuali
dell’applicazione,
• Metodi di inserimento dati tramite modalità aggiuntive,
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 21 di 148
• Metodi di presentazione dati tramite modalità aggiuntive,
− Ambiente Tecnologico
• Grado di utilizzo Piattaforme multiple aggiuntive,
• Operazione ed interventi sul database,
• Processi batch,
− Architetture software
• Grado di utilizzo di Componenti Software nell'applicazione,
• Grado di estensione delle interfacce software per motivi tecnici.
In funzione delle sottocategorie interessate, ad oggi sulla base della esperienza, viene fissato un numero di giornate la cui soglia massima è pari al 10% del numero di FP.
A seguire, a fronte della disponibilità di una banca dati delle misure, si potrà introdurre una metrica di valutazione più puntuale.
− Requisiti di progetto/ambito
Misura dell’impatto dell’ambito = % di impatto sulla produttività derivante dalla complessità/instabilità dell’ambito in termini di:
• complessità della normativa di riferimento con conseguente difficoltà interpretative o alta probabilità di cambiamento,
• forte instabilità dei requisiti,
• alta numerosità degli stakeholder,
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 22 di 148
• nuovo dominio,
• dipendenze da altri progetti esterni al di fuori del controllo diretto,
• dipendenze da altri progetti interni al di fuori del controllo diretto.
Sogei, per tutti gli sviluppi che si debbano integrare con un prodotto di mercato, garantisce il pieno e corretto funzionamento della soluzione nella sua interezza. Ove, in fase di realizzazione, emergano evidenze dell’impossibilità di garantire ciò, Sogei ne darà visibilità all’Amministrazione per condividere se e come proseguire.
4.1.1 Livelli di Servizio
Servizio | Sviluppo e manutenzione evolutiva del software ad hoc | ||
Livelli di Servizio | Soglia | Penale | |
0 errori (rispetto ai casi | |||
Difettosità alla prima | € 300,00 per ogni | ||
di test previsti nel piano | |||
verifica di conformità | errore riscontrato | ||
di test) | |||
Indice di difettosità per il | Indice di difettosità <= 4 | € 3.500,00 per ogni | |
software fuori garanzia | per 1000 FP in esercizio a | scostamento unitario | |
(calcolato secondo la | fine periodo di | rispetto al valore di | |
formula indicata) | rilevazione | soglia | |
Indice di difettosità per | Indice di difettosità <= | € 1.700,00 per ogni | |
software in garanzia | 40 per 1000 FP in | scostamento unitario | |
(calcolato secondo la | esercizio a fine periodo | rispetto al valore di | |
formula indicata) | di rilevazione | soglia | |
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 23 di 148
Servizio | Sviluppo e manutenzione evolutiva del software ad hoc | ||
Livelli di Servizio | Soglia | Penale | |
€ 250,00 per ogni | |||
giorno di ritardo | |||
successivo al | |||
decimo e sino al | |||
trentesimo giorno | |||
Mantenimento data di | € 500,00 per ogni | ||
10 giorni dalla data di | |||
“Disponibilità alla | giorno di ritardo | ||
consegna del software | |||
Verifica di conformità” | successivo al | ||
condivisa con | |||
condivisa con | xxxxxxxxxx e sino al | ||
l’Amministrazione | |||
l’Amministrazione | sessantesimo | ||
giorno | |||
€ 750,00 per ogni | |||
giorno di ritardo | |||
successivo al | |||
sessantesimo | |||
Premesso che per Applicazione si intende una “Collezione integrata di procedure automatizzate e dati che forniscono supporto ad un obiettivo applicativo; essa è formata da uno o più componenti, moduli, o sottosistemi”, il calcolo dell'indice di difettosità del software avviene applicando per ciascuna delle fasce di garanzia previste per il software in esercizio la seguente formula:
in cui al numeratore troviamo la sommatoria dei difetti
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 24 di 148 segnalati nel periodo di osservazione per ciascuna Applicazione (K) nella fascia (f) e al denominatore la sommatoria di tutti i FP delle Applicazioni (k) nella fascia di
garanzia (f).
Il software si considera in esercizio dall'inizio della fase di estensione; il software si considera in garanzia nei primi dodici mesi di esercizio.
Le date di “Disponibilità alla Verifica di Conformità” di riferimento per il LdS vengono definite inizialmente nel Piano operativo condiviso e approvato tra le Parti e successivamente possono essere modificate mediante scambio di comunicazione.
4.2 PERSONALIZZAZIONE DEL SOFTWARE DI MERCATO
Il Servizio è finalizzato alla realizzazione di soluzioni basate su parametrizzazione e personalizzazione di pacchetti software acquistati sul mercato.
La Sogei applica tale servizio in caso di:
− personalizzazione/parametrizzazione di prodotti software di mercato (con particolare riferimento ai sistemi ERP - Enterprise Resource Planning);
− realizzazione di interventi di Data Warehouse (DW) e business intelligence (B.I.).
In particolare, il servizio di personalizzazione del software di mercato consiste in:
− sviluppo residuale di funzioni fortemente integrate con il
prodotto nell’ambito del quale la personalizzazione viene effettuata che comporta la conoscenza del prodotto e dell’eventuale linguaggio proprietario;
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 25 di 148
− interventi effettuati su prodotti con tecnologie/linguaggi non dimensionabile correttamente attraverso l’uso del FP (ad esempio BI).
Gli sviluppi esterni al prodotto che ne consentono l’estensione in termini di funzionalità, sono invece considerati sviluppi ad hoc e come tali dimensionati e remunerati.
Tale servizio viene erogato attraverso un processo di produzione che:
− parte da un’analisi comparativa, tra il prodotto base ed i
requisiti dell’utente (gap-analisys), volta ad evidenziare quali requisiti non sia possibile soddisfare mediante l’attività di parametrizzazione e per i quali di conseguenza occorrerebbero degli interventi di personalizzazione;
− si sviluppa in attività progressive di affinamento di un modello iniziale standard;
− condivide con l’Amministrazione ogni attività di affinamento;
− utilizza estensivamente un approccio prototipale.
Per quanto riguarda gli interventi di Datawarehouse e BI il servizio prevede l’utilizzo di specifiche tecnologie quali i tool di modellazione dei dati, gli strumenti di gestione dei metadati (Repository), i tool di ETL, gli strumenti di visualizzazione oltre che la realizzazione di software dedicato.
Indipendentemente dalle tecnologie adottate, il processo presenta caratteristiche omogenee relativamente all’articolazione in fasi (analisi dei requisiti, attuazione,
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 26 di 148 avviamento, verifica di confromità) e alla documentazione prodotta a supporto.
Sogei garantisce che le personalizzazioni si integrino
correttamente con il prodotto di base e segnalerà anticipatamente all’Amministrazione se, l’intervento richiesto, in fase di realizzazione facesse emergere problematiche in tal senso.
4.2.1 Livelli di Servizio
Servizio | Personalizzazione del software di mercato | ||
Livelli di Servizio | Soglia | Penale | |
Difettosità alla prima verifica di conformità | 0 errori rispetto ai casi di test previsti nel piano di test | € 300,00 per ogni errore riscontrato | |
Mantenimento data di “Disponibilità alla Verifica di conformità” condivisa con l’Amministrazione | 10 giorni dalla data di consegna del software condivisa con l’Amministrazione | € 250,00 per ogni giorno di ritardo successivo al decimo e sino al trentesimo giorno | |
€ 500,00 per ogni giorno di ritardo successivo al trentesimo e sino al sessantesimo giorno | |||
€ 750,00 per ogni giorno di ritardo successivo al sessantesimo | |||
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 27 di 148
Le date di “Disponibilità alla Verifica di Conformità” di riferimento per il LdS vengono definite inizialmente nel Piano operativo condiviso e approvato tra le Parti e successivamente possono essere modificate mediante scambio di comunicazione.
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 28 di 148
SERVIZI DI BASE DI CONDUZIONE
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 29 di 148
5. SERVIZI DI BASE DI GESTIONE, CONDUZIONE E MANUTENZIONE
In tale ambito rientrano i servizi di gestione e conduzione infrastrutturale, i servizi di manutenzione adeguativa e correttiva delle applicazioni rilasciate e il servizio di Customer Care.
5.1 GESTIONE E CONDUZIONE SERVIZI ICT
5.1.1 Manutenzione servizi ICT
Il servizio comprende le attività necessarie per garantire il corretto funzionamento del Sistema Informativo tramite la manutenzione del software in esercizio.
Il servizio si applica sia alle applicazioni realizzate attraverso il servizio di “Sviluppo e Manutenzione Evolutiva di software ad hoc” sia a quanto realizzato attraverso il servizio di “Personalizzazione di prodotti di mercato”. Per queste ultime, il servizio riguarda solamente la componente software realizzata da Sogei come personalizzazione.
Il servizio di manutenzione del software in esercizio, nel seguito denominato MAC (Manutenzione Adeguativa e Correttiva), comprende le seguenti tipologie di interventi:
− Manutenzione correttiva: modifica reattiva di un prodotto software consegnato per correggere i problemi rilevati. La modifica sarà misurata sulla base di interventi software volti a rimuovere i malfunzionamenti (incident) segnalati dagli utenti o rilevati proattivamente da Sogei stessa; la remunerazione della manutenzione correttiva decorre dalla data di termine del periodo di garanzia del software;
− Manutenzione adeguativa: comprende le modifiche necessarie ad allineare il software ai cambiamenti dell’ambiente tecnologico. In particolare la manutenzione
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 30 di 148
sarà calcolata sulla base di interventi sul software che adeguano ai mutamenti intervenuti nell’ambiente tecnologico di riferimento (sistema operativo, database, etc.). La remunerazione della manutenzione adeguativa decorre dalla data di avvenuta estensione del software.
Orario di servizio: lunedì-venerdì dalle 8:00 alle 18:00
Servizio | Manutenzione servizi ICT | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
Tempo massimo di intervento | entro 12 h lavorative nel 96% dei casi | € 1.000,00 per ogni evento di violazione occorsa | 8.00 - 18.00 lun – ven |
e comunque entro 18 h lavorative nel 100% dei casi | € 1.800,00 per ogni evento di violazione occorsa | ||
Tempo massimo di ripristino | entro 24 h lavorative nel 96% dei casi | € 1.200,00 per ogni evento di violazione occorsa | |
e comunque entro 36 h lavorative nel 100% dei casi | € 2.000,00 per ogni evento di violazione occorsa | ||
Di seguito alcune precisazioni.
Tempo di intervento: tempo intercorrente tra la segnalazione del disservizio e la notifica all’utente della diagnosi di massima e del tempo di ripristino previsto.
Tempo di ripristino: tempo intercorrente tra la notifica
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 31 di 148 all’utente del tempo di ripristino previsto e l’effettivo ripristino (previa correzione) delle funzionalità oggetto dell’intervento.
Le segnalazioni pervengono attraverso il sistema di tracciatura dell'assistenza applicativa; verranno conteggiati anche gli interventi eseguiti a seguito di una rilevazione effettuata direttamente da Sogei in modalità proattiva (il ticket risolto non sarà oggetto di consuntivazione).
5.1.2 Servizio di customer care
Il servizio di Customer Care è finalizzato ad offrire supporto agli utenti per:
− risposta ad esigenze informative;
− soluzione di problematiche tecniche, anche collegate alle postazioni di lavoro del personale dell’Amministrazione;
− soluzione di problematiche inerenti ai Servizi ICT erogati;
− anticipare le esigenze dei clienti e prevenire le richieste di servizio;
− fornire una Customer Service proattiva e completa ai fini di un servizio di assistenza più efficiente ed efficace, realizzando, laddove è possibile, sistemi autonomatici di risposta o invio di informazioni verso caselle di posta o numeri telefonici.
Il Servizio di Customer Care è costituito da un insieme di servizi modulari sia di tipo infrastrutturale che organizzativo utilizzabili anche singolarmente.
È possibile, per soddisfare esigenze strategiche di utenti definiti VIP e/o a fronte di Servizi ICT di particolare rilevanza, prevedere modalità di assistenza specifiche.
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 32 di 148
Il Servizio comprende l’assistenza agli utenti interni ed esterni all’Amministrazione per la soluzione di problemi che l’utente stesso può incontrare nell’interazione con il Sistema Informativo.
L'assistenza è erogata tramite una struttura di Customer Support con escalation alle strutture specialistiche Sogei dei diversi domini ICT, tecnici e applicativi dando origine ad interventi di Supporto Specialistico.
Il sistema è stato strutturato per offrire una soluzione completa di “Customer Relationship Management” (CRM), ovvero un sistema per organizzare le informazioni di contatto, gestire le relazioni, tracciare le interazioni con i clienti al fine di efficientare la produttività. Il servizio è stato integrato con tecnologie di tipo “cognitivo”, basate sull’analisi e sulla comprensione del linguaggio naturale, in grado di auto apprendere dalla continua analisi dei dati e dall’interazione con altri sistemi o con il personale.
Le richieste possono essere di diversa tipologia: Informative, Incidents (hardware, software, ecc.), Service Request e possono essere effettuate tramite:
− canale telefonico;
− canale web, con l’utilizzo dello strumento email o ticket
di assistenza, con soluzioni self-service a partire dalle Faq;
− canali social dedicati per fornire risposte rapide e permettere ai clienti di entrare direttamente in contatto con il servizio di assistenza;
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 33 di 148
− “live caring” ovvero l’assistenza via chat per fornire
risposte in tempi rapidi etc..
Dal punto di vista dell’offerta alcuni dei servizi descritti possono essere attivati a richiesta.
Il servizio comprende la formazione del personale in risposta al Customer Support, il controllo e il reporting del servizio. L’erogazione del Customer Support può avvenire secondo diverse classi di servizio:
− Base: lun-ven 8,00-18,00 e sab 8,00-14,00;
− Ampliato: per “ora” aggiuntiva in funzione delle esigenze dell’Amministrazione fino ad una copertura h24 7 giorni su 7.
La remunerazione è in termini di canone per la disponibilità del servizio e di corrispettivi unitari per le richieste di assistenza risolte dal Customer Support e dal Supporto Specialistico.
Per l’ampliamento dell’orario del Customer Support è prevista una remunerazione in termini di giornate secondo quanto previsto nell’ambito dei servizi Professional dimensionati in accordo con l’Amministrazione.
Si precisa che non verrà corrisposto nessun importo per le seguenti tipologie di richieste:
− solleciti;
− chiamate su problemi precedentemente chiusi, ma la cui soluzione non è risultata soddisfacente;
− cadute linea;
− chiamate dirette ad altro Call Center;
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 34 di 148
− chiamate “improprie”;
− richieste "chiuse d'ufficio", comprese quelle di tipo specialistico gestite dalle strutture competenti Sogei (una richiesta si intende "chiusa d'ufficio" se è non risolta, non sospesa, pervenuta almeno 60 gg solari prima della rilevazione e senza solleciti nei 30 gg precedenti la rilevazione).
5.1.2.1.1 Livelli di Servizio
Servizio | Customer Management | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
Disponibilità del servizio | Indisponibilità del servizio nel quadrimestre < 1 h nell'orario della classe di appartenenza | € 455,00 per ogni ora di mancata disponibilità del servizio (in caso di più Amministrazioni aderenti alla medesima piattaforma, la penale si intende relativa ad ogni Amministrazione ) | lun-ven 8,00- 18,00 e sab 8,00-14,00 classe di |
Tempo di attesa prima della risposta | entro 40 sec nel 95% dei casi nell'orario della classe di appartenenza | € 200,00 a superamento della soglia nel periodo (in caso di più Amministrazioni aderenti alla | |
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 35 di 148
Servizio | Customer Management | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
medesima piattaforma, la penale si intende relativa ad ogni Amministrazione ) | servizio ampliata fino ad un massimo di H24 | ||
entro 120 sec (target massimo) nel 100% dei casi nell'orario della classe di appartenenza | € 300,00 a superamento della soglia nel periodo (in caso di più Amministrazioni aderenti alla medesima piattaforma, la penale si intende relativa ad ogni Amministrazione ) | ||
Chiamate dissuase | <=5% chiamate dissuase su totale chiamate pervenute nell'orario della classe di appartenenza | € 0,10 per ogni evento che non rispetta il LdS (in caso di più Amministrazioni aderenti alla medesima piattaforma, la penale si intende | |
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 36 di 148
Servizio | Customer Management | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
relativa ad ogni Amministrazione ) | |||
Tempo soluzione di richieste al Customer Support | entro 20 min nel 60% dei casi nell'orario della classe di appartenenza | € 0,2 per ogni richiesta che non rispetta il LdS | |
entro 4 ore nel 100% dei casi nell'orario della classe di appartenenza | € 0,6 per ogni richiesta che non rispetta il LdS | ||
Tempo soluzione di richieste al Supporto Specialistico (di tipo applicativo) | entro 12 ore per il 70% dei casi | € 0,7 per ogni richiesta che non rispetta il LdS | 8.00 - 18.00 lun - ven |
entro 24 ore per l'85% dei casi | € 1,4 per ogni richiesta che non rispetta il LdS | ||
entro 3 giorni per il 100% dei casi | € 2 per ogni richiesta che non rispetta il LdS | ||
Tempo soluzione di richieste al Supporto Specialistico (di tipo tecnico per l’Amministrazione e per utenti esterni) | entro 1 giorno per il 70% dei casi | € 0,7 per ogni richiesta che non rispetta il LdS | |
entro 5 Giorni per il 97% dei casi | € 1,4 per ogni richiesta che non rispetta il LdS | ||
entro 20 Giorni per il 100% dei casi | € 2 per ogni richiesta che non rispetta il LdS | ||
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 37 di 148
Di seguito alcune precisazioni.
Per tutti gli indicatori suddetti, ad eccezione della “Disponibilità del servizio”, ai fini del calcolo delle penali verranno escluse le violazioni indotte da un numero di chiamate pervenute superiori al volume massimo che dovrà essere definito sulla base del quale verrà organizzato il servizio.
Si procederà alla “chiusura di ufficio” su rilevazione mensile di tutte le richieste di assistenza non risolte e non sospese per le quali si verificano entrambe le seguenti condizioni:
− la richiesta è pervenuta almeno 60 giorni solari prima del
giorno di rilevazione;
− la richiesta non ha avuto solleciti nei 30 giorni solari precedenti il giorno di rilevazione.
Per ciascuna di tali richieste non verrà riconosciuto a Sogei alcun corrispettivo.
Per chiamate dissuase si intendono le chiamate alla quale si risponde automaticamente con un messaggio di invito a richiamare successivamente. Tale messaggio viene proposto quando gli addetti sono tutti occupati e non ci sono più posizioni di coda disponibili.
5.1.2.2 Servizio di collaborazione specialistica
Nel caso in cui si abbia la necessità di gestire un picco di richieste di assistenza che coinvolgano il Supporto Specialistico Sogei, si può configurare un servizio di collaborazione che prenda in carico aspetti di classificazione delle richieste, razionalizzazione ed efficientamento dell’intervento del Supporto Specialistico Sogei e metta in
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 38 di 148 campo competenze necessarie per la risoluzione di richieste di assistenza che non possano essere risolte dal Customer Support (ad esempio per impossibilità di accesso ad
applicazioni o basi dati). Nel servizio è inclusa la formazione del personale coinvolto.
Il Servizio assume l’orario dell’equivalente Servizio di
Customer Management del Customer Support richiesto.
I problemi risolti in tale contesto non sono oggetto di remunerazione nell’ambito del Servizio di assistenza del Supporto Specialistico e sono remunerati in termini di giornate, secondo quanto previsto nell’ambito del servizio di Professional.
5.1.2.3 Erogazione del servizio con operatore in lingua
Tale servizio è finalizzato ad estendere il Servizio di Customer Support erogato in lingua italiana anche alle lingue inglese, tedesco e francese.
Verranno fornite report che diano evidenza della modalità di erogazione del servizio stesso.
Il Servizio assume l’orario dell’equivalente Servizio di
assistenza richiesto.
I problemi risolti in tale contesto sono remunerati in termini di giornate nell’ambito del servizio Professional e non secondo la remunerazione del Servizio di Customer Support.
5.1.2.4 Esercizio del servizio in modalità automatica tramite IVR
Tale servizio si basa sull’utilizzo di applicazioni vocali accessibili tramite canale telefonico grazie alle quali erogare contenuti informativi di carattere generale (FAQ, news etc).
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 39 di 148 Dopo l’interazione con tale strumento è possibile prevedere o meno il passaggio ad un operatore di Customer Support.
La predisposizione delle applicazioni vocali è remunerata in
termini di giornate secondo quanto previsto nell’ambito del
servizio Professional.
5.1.2.5 Erogazione del servizio in modalità automatica tramite chatbot
Il servizio consente di gestire un’interazione automatica via chat tra l’utente ed un sistema di AI opportunamente addestrato sugli argomenti inerenti il dominio di interesse.
La “formazione” dello strumento per la gestione delle risposte può essere effettuata utilizzando FAQ o documentazione di riferimento. Nella fase di addestramento del prodotto è necessaria la disponibilità di personale dell’Amministrazione con esperienza sul contesto trattato.
La progettazione del dialogo utente-sistema sulla base delle esigenze di comunicazione dell’Amministrazione consente di realizzare una soluzione ad hoc per le specifiche esigenze.
La finestra di dialogo via web può essere resa disponibile su siti dell’Amministrazione ed opportunamente personalizzata in termini di grafica e di elementi di comunicazione.
Successivamente alla messa in linea dello strumento è possibile prevedere opzionalmente la disponibilità di un servizio di supporto e monitoraggio per l’analisi del servizio erogato in termini quantitativi e qualitativi, ai fini di un efficientamento del servizio.
Il servizio prevede distinte voci di remunerazione:
− sistema di chatbot in termini di volume di conversazioni tra utente e sistema;
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 40 di 148
− finestra di dialogo via web in termini di giornate di sviluppo, nell’ambito del servizio “Personalizzazione del software di mercato”, in funzione delle esigenze dell’Amministrazione;
− formazione dello strumento, supporto e monitoraggio in termini di giornate nell’ambito del servizio Professional.
Orario del Servizio: H24
5.1.2.5.1 Livelli di Servizio
Servizio | Erogazione del servizio in modalità automatica tramite chatbot | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
Disponibilità del servizio | 98% | € 0,25 per ogni punto percentuale di diminuzione rispetto al valore prefissato (in caso di più Amministrazioni aderenti alla medesima piattaforma, la penale si intende relativa ad ogni Amministrazione) | H24 |
5.1.2.6 Canali aggiuntivi per l’accesso al Customer Care
Il servizio consente di ampliare la modalità di contatto tra utente ed erogatore del servizio in modo da facilitare l’utente nella scelta della modalità di interazione che preferisce.
I canali di contatto aggiuntivi a quello telefonico e via web mail, già ricompresi nel servizio base, sono i seguenti:
− Chat con operatore;
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 41 di 148
− Social (Facebook, Twitter etc);
− SMS;
− E-mail.
Il servizio è remunerato in termini di importo iniziale di sottoscrizione/attivazione dei canali e canone per la disponibilità all’utilizzo. Remunerazione specifica, è prevista per l’invio di messaggi in funzione dei volumi. Per la remunerazione delle richieste di assistenza risolte e pervenute da questi canali, si fa riferimento a quanto riportato nel servizio di Customer Management.
Orario del Servizio: lunedì-venerdì 8:00-18:00 e sabato 8:00- 14:00
Ore aggiuntive per il Customer Support fino ad un massimo di H24
5.1.2.6.1 Livelli di Servizio
Servizio | Canali aggiuntivi per l’accesso al Customer Care | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
€ 0,25 per ogni punto | |||
percentuale di | |||
diminuzione rispetto al | nell'orario della | ||
valore prefissato (in | classe di | ||
Disponibilità del | |||
98% | caso di più | appartenenza | |
servizio | |||
Amministrazioni | rilevazione | ||
aderenti alla medesima | quadrimestrale | ||
piattaforma, la penale | |||
si intende relativa ad | |||
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 42 di 148
Servizio | Canali aggiuntivi per l’accesso al Customer Care | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
ogni Amministrazione) | |||
Dall’applicazione dei Livelli di servizio sono escluse le disponibilità degli strumenti Social come Facebook e Twitter in quanto dovute a problematiche non direttamente dipendenti da Sogei.
5.1.2.7 Gestione campagne di outbound
Il servizio comprende il supporto e gli strumenti necessari per la gestione di campagne di outbound per la realizzazione di campagne comunicative o per la rilevazione della customer satisfaction sui servizi erogati.
Sulla base delle specifiche esigenze la comunicazione con l’utente può avvenire tramite uno o più canali di contatto anche in modalità integrata.
Il servizio è remunerato in termini di importo iniziale di sottoscrizione/attivazione e canone per la disponibilità all’utilizzo.
Una remunerazione specifica aggiuntiva è prevista nel caso di campagne di outbound che utilizzano canali con invio di messaggi e si basa sul volume dei messaggi inviati.
Nell’ambito del Knowledge Management il servizio comprende il supporto e gli strumenti necessari per la predisposizione di strumenti di assistenza su web per permettere all’utente di gestire in autonomia le sue necessità
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 43 di 148
di supporto.
Il sistema è orientato alla rappresentazione granulare delle informazioni, come best practice, procedure e soluzioni, più direttamente rilevanti per uno specifico adempimento amministrativo e/o per lo svolgimento di una determinata attività lavorativa.
Le unità di "conoscenza" possono essere organizzate in base alla gerarchia degli argomenti, o "albero della conoscenza". Un'altra possibilità è data dall'utilizzo di reti di nodi interconnessi tramite relazioni logiche. Reti e alberi di conoscenza possono essere modellati e alimentati in modo diverso dalle diverse comunità di utenti, raggruppati secondo il loro profilo e il loro schema concettuale, attraverso forum di discussione o sezioni personalizzabili in cui è possibile creare unità informative strutturate.
Le KB, a fronte di specifiche esigenze dell’Amministrazione, possono essere rese disponibili con la componente aggiuntiva di community tramite la quale è possibile rendere disponibili servizi e funzionalità quali:
− accesso autenticato per l’utente con organizzazione dei
contenuti informativi profilati;
− area personale per l’apertura, la tracciatura dello stato di
lavorazione, lo storico dei propri “case”;
− creazione automatica di contenuti informativi da poter pubblicare, anche tramite workflow approvativo, attingendo informazioni tramite strumenti di intelligenza artificiale da diverse fonti quali canali social e “case” relativi alla pluralità dei canali di contatto utilizzati per il
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 44 di 148
servizio di assistenza. Il contenuto informativo gestito con tale strumento ha la peculiarità di non scaturire unicamente da una produzione redazionale di tipo classico, bensì dalle necessità effettive degli utenti espresse sia tramite richieste di supporto ed assistenza alle strutture preposte, sia in modo spontaneo tramite i canali social.
Questi sistemi hanno generalmente diversi tipi di utenti per i quali è previsto un ruolo supportato dalla soluzione tecnologica adottata: il lettore, o consumatore della "conoscenza", il redattore, o produttore della "conoscenza" (che in alcuni casi può contribuire alla creazione della "conoscenza", in altri dà anche la propria opinione al riguardo), il coordinatore, il cui ruolo è quello di sovrintendere ai contributi, e infine l'esperto.
È prevista una remunerazione in termini di giornate nell’ambito del servizio Professional, per la predisposizione di strumenti di assistenza web e dei loro contenuti informativi; mentre una specifica remunerazione, è prevista per le utenze di redazione eventualmente richieste dall’Amministrazione e per la componente di community.
5.1.2.9 Supporto per assistenza specifica
Il servizio prevede la disponibilità di personale Sogei per svolgere attività di assistenza su particolari processi o servizi non previste negli altri Servizi di assistenza agli utenti. In questo caso l’effort sarà valutato e remunerato nell’ambito del servizio Professional.
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 45 di 148
Il servizio prevede per gli utenti dell’Amministrazione la disponibilità di dashboard per il monitoraggio e l’analisi dei dati relativi ai servizi di customer management e servizio di collaborazione specialistica, chatbot, KB.
La dashboard, messa a disposizione dell’utente per la consultazione, utilizza anche strumenti di intelligenza artificiale per il discovery delle informazioni di riferimento. Per la predisposizione della dashboard è prevista una remunerazione in termini di giornate nell’ambito del servizio di Professional di cui al paragrafo 2; inoltre per l’utilizzo della dashboard predisposta è prevista una specifica remunerazione, sia in relazione al numero di utenze richiesta dall’Amministrazione che per l’attivazione del servizio stesso.
5.2 GESTIONE E CONDUZIONE INFRASTRUTTURA
La gestione dei sistemi include le attività necessarie per condurre, mantenere funzionante ed aggiornata l’infrastruttura hardware e software utilizzata per l’erogazione di più servizi informatici. Questo insieme di Servizi si identifica come la gestione dell’esercizio dei sistemi la cui criticità necessita di essere garantita h24x365 e con reperibilità, interventi festivi e notturni, per mantenere la piena efficienza anche a fronte di problematiche.
Riguarda questa classe di servizi l’insieme degli investimenti, costi, risorse, infrastrutture che concorrono a garantire la conduzione, lo sviluppo tecnologico e l’erogazione dei servizi ICT ospitati nel Data Center Sogei o che usufruiscono anche
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 46 di 148
di piattaforme esterne (cloud) comunque gestite e selezionate da Sogei.
Si precisa che il buon funzionamento di Server, Storage, Appliance e Piattaforma bigdata è misurato attraverso livelli di servizio i cui i indicatori (tempi di ripristino in caso di disastro e tempi di disponibilità) si intendono riferiti ai Servizi ICT erogati su tali piattaforme:
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
Tempo di ripristino in caso di disastro | 24 ore solari | € 70,00 rispetto ad ogni ora di ritardo per Servizio ICT successiva alla soglia fissata | |
Disponibilità del Servizio ICT erogato attraverso l'infrastruttura sottostante | 99,0% | € 1.250,00 per ogni decimo di punto percentuale di diminuzione rispetto al valore prefissato | H24 |
5.2.1 Server
La Conduzione centrale – Server comprende la conduzione tecnico operativa e sistemistica del componente Server dei sistemi open centrali, incluse le attività relative alla sicurezza e alla rete in ambiente Open centrale.
La struttura dei servizi, inclusi nel driver SERVER, si può suddividere in:
− Infrastrutture IT,
− Piattaforme & DATI,
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 47 di 148
− Applicazioni. Infrastrutture IT
Comprende la gestione dei sistemi sino al sistema operativo e le relative componenti di base in termini di configurazione e tuning, redazione di procedure di controllo, allestimento e gestione di ambiti virtuali, produzione di report analitici sull’operatività degli ambienti, ecc.).
Rientrano nel servizio le piattaforme hardware a supporto, nonché le attività di predisposizione delle infrastrutture server fino all’hypervisor, ove presente, per tutte le tipologie di sistemi e le relative componenti software di base al di fuori di quelle che rientrano nell’ambito del servizio IAM e Appliance.
Sono incluse inoltre tutte le licenze software di base, del sistema operativo, dell’hypervisor, dei gestori di volumi, delle componenti di alta affidabilità, dei software di automazione e di tutte le componenti necessarie al provisioning e configurazione dei sistemi, nonché le attività ad essi correlate di configurazione, mantenimento ed evoluzione.
Si aggiungono a queste tutte le componenti legate alla parte di connettività e di sicurezza. Sono incluse in questo ambito anche tutte le componenti ed i servizi relativi a strumenti di automazione, software defined, orchestrazione etc, che concorrono all’erogazione dei servizi di infrastruttura (di tipo IaaS) secondo modelli di tipo ‘cloud’.
Sono inoltre incluse tutte le componenti tecnologiche hw e sw ed i relativi servizi associati, per il controllo ed il monitoraggio delle componenti infrastrutturali.
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 48 di 148
Tale monitoraggio è organizzato e strutturato, secondo il paradigma ITIL, in una Service Control Room che contempla tutti i tre livelli in cui l’ambito server è qui ‘descritto’.
Piattaforme & Dati
Comprende la gestione del middleware applicativo ovvero tutta la parte costituita da Application Server o analoghi in cui fisicamente venga collocato il codice applicativo, nonché i vari prodotti a supporto. Sono incluse in questo ambito anche tutte le componenti ed i servizi relativi a strumenti di automazione, software defined, orchestrazione etc, che concorrono all’erogazione dei servizi di piattaforma secondo modelli di tipo ‘cloud’.
Alla gestione di questi ambiti va aggiunto quanto necessario per quelli che concorrono all’erogazione complessiva dei servizi al di fuori dei classici tier della pila WEB: in particolare trattasi di sistemi di elaborazione destinati al trattamento dei dati ricevuti, soprattutto attraverso canali telematici.
Anche questo livello comprende l’area destinata al
monitoraggio. Applicazioni
Si tratta del livello più elevato della pila infrastrutturale a supporto delle applicazioni. Comprende i servizi di deploy strutturato delle applicazioni e tutte le attività ad esse correlate.
Anche questo livello comprende l’area destinata al monitoraggio: in particolare, rientrano qui le attività di analisi delle problematiche e delle ottimizzazioni.
Continuità Operativa – Disaster recovery Servizi ICT
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 49 di 148
Per Continuità Operativa ICT si intende l’insieme delle misure tecnico-organizzative volte a garantire che le prestazioni rese dai processi ICT asserviti al business dell’Organizzazione siano sempre disponibili.
Nell’ambito della Conduzione centrale SERVER si inquadra il servizio Disaster Recovery della componente di business che ha come fine quello di permettere agli utenti la ripresa delle attività produttive, sui servizi che ritiene critici, in caso di disastro che colpisca il sito primario che si trova a Roma. Con tale servizio viene messa a disposizione la capacità elaborativa necessaria alla ripresa delle attività e la relativa connettività presso una sede remota appositamente strutturata. Il Servizio comprende le attività necessarie per la realizzazione di una soluzione tecnologica in linea con le esigenze dell’Amministrazione e comprendente la predisposizione e l’attrezzaggio di un sito alternativo (o di DR) che consenta la ripartenza dei servizi ICT in caso di indisponibilità del sito primario. Include anche le attività di conduzione del sito di DR e l’esecuzione di test periodici per verificare l’adeguatezza della soluzione realizzata.
Per la connettività si attestano sul sito di recovery i link usati per il back-up. Il servizio ha come presupposto la disponibilità della copia dei dati effettuata con il servizio di Disaster Recovery delle banche dati (storage), che se non specificamente rifiutato da parte dell’Amministrazione, è attivato di norma, a garanzia della costante disponibilità del dato. La verifica della correttezza delle azioni di predisposizione viene effettuata ogni 6 mesi con la ripartenza sul sito di recovery delle applicazioni di backup. Con cadenza
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 50 di 148
annuale viene effettuata una prova di ripartenza con la partecipazione di un selezionato numero di utenti finali.
L’orario del servizio è H24.
In caso in cui venga richiesto un orario H24 senza possibilità di prevedere fermi concordati, ne verrà valutata la fattibilità e attivato un apposito servizio PLATINUM remunerato sulla base delle risorse aggiuntive necessarie.
Servizio | Server | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
Disponibilità del | |||
Servizio ICT erogato | |||
attraverso | vedi tabella par. 5.2 “Gestione e conduzione | ||
l'infrastruttura | infrastruttura” | ||
sottostante (cpu, ram | |||
immagine) | |||
Tempo di ripristino | |||
vedi tabella par.5.2 “Gestione e conduzione | |||
del Servizio ICT in | H24 | ||
infrastruttura” | |||
caso di disastro | |||
I Servizi ICT oggetto di | |||
analisi e la relativa | € 100,00 per ogni | ||
soglia, verranno | decimo di punto | ||
Tempi di risposta | definiti fra le Parti nel | percentuale di | |
corso di definizione | diminuzione rispetto | ||
del Piano Operativo | al valore prefissato | ||
annuale e | |||
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 51 di 148
Servizio | Server | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
corrispondono ai requisiti espressi in fase di sviluppo/MEV. | |||
Esito positivo, per Servizio ICT, della prova di verifica periodica in data concordata (nel rispetto del calendario concordato) | 10 giorni di ritardo rispetto alla data concordata | € 50,00 per ogni giorno di ritardo dall’undicesimo al trentesimo; € 100,00 per ogni giorno di ritardo dal trentunesimo al sessantesimo; € 150,00 per ogni giorno di ritardo successivo al sessantesimo | |
Il calendario delle prove di DR è unico per le varie infrastrutture, quindi la penale verrà applicata una sola volta.
5.2.2 Storage
La Conduzione centrale – Storage riguarda la conduzione tecnico operativa e sistemistica del componente DISK STORAGE (inclusi Backup-Restore dei dati ed archiviazioni a medio lungo termine) per gli ambienti OPEN, garantendo la massima disponibilità, anche mediante tecnologia RAID.
Nella gestione delle banche dati vengono utilizzate tecnologie, architetture e modalità operative per assicurare la
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 52 di 148
costante disponibilità dei dati e del servizio, anche in caso di possibili eventi disastrosi.
Accanto alla copia on-line su disco viene resa disponibile anche una copia su nastro o su disco specializzato - Backup. Il servizio mette a disposizione sia l’infrastruttura che l’esercizio e la conduzione della stessa.
Il servizio Disaster Recovery Storage mette a disposizione una copia dei dati considerati vitali presso un sito alternativo a quello primario. Questa copia in caso di disastro è la base per poter ripristinare nel sito alternativo le attività dell’Amministrazione. Per disporre di questa copia sempre aggiornata, la copia stessa viene effettuata on-line in modalità asincrona con quella esistente nel sito primario. La verifica della correttezza della copia effettuata avviene ogni 6 mesi con l’esecuzione di specifiche procedure di ripartenza delle applicazioni su basi dati scelte a campione; per l’esecuzione di queste prove senza interrompere l’attività di copia on-line, si usa una seconda copia di dati eseguita “Point in Time”. Lo Storage Disaster Recovery riguarda la parte dati e banche dati memorizzata su disco in SAN e se non specificamente rifiutato da parte dell’Amministrazione, è attivato di norma, a garanzia della costante disponibilità del dato.
L’orario del servizio è H24.
Servizio | Storage | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
Disponibilità del | vedi tabella 5.2 “Gestione e conduzione | H24 | |
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi– pag. 53 di 148
Servizio | Storage | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
servizio erogato dall'infrastruttura sottostante (GB) | infrastruttura” | ||
Disponibilità del servizio di DR | 98% | € 50,00 per ogni decimo di punto percentuale di diminuzione rispetto al valore prefissato (in caso di più Amministrazioni aderenti alla medesima piattaforma, la penale si intende relativa ad ogni Amministrazione ) | |
Esito positivo della prova di verifica periodica in data concordata (nel rispetto del calendario concordato) | 10 giorni di ritardo rispetto alla data concordata | € 250,00 per ogni giorno di ritardo dall’undicesimo al trentesimo; € 500,00 per ogni giorno di ritardo dal trentunesimo al sessantesimo; € 750,00 per ogni | |
Allegato C
Descrizione dei Servizi, Livelli di servizio e Corrispettivi – pag. 54 di 148
Servizio | Storage | ||
Livelli di Servizio | Soglia | Penale | Orario di osservazione |
giorno di ritardo successivo al sessantesimo | |||
5.2.3 Appliance
La Conduzione centrale – Appliance riguarda la conduzione tecnico operativa e sistemistica del componente Appliance e Sistemi Integrati a supporto del Sistema informativo.
Gli apparati che garantiscano migliori prestazioni e semplicità gestionale sono:
− Apparati specializzati - Apparecchiature ingegnerizzate per particolari soluzioni applicative al fine di rendere maggiormente efficienti le elaborazioni rispetto alle piattaforme tradizionali.
− Converged infrastructure o Sistemi Integrati - che integrano diverse componenti quali server, storage e connettività ad alta banda per migliorarne le prestazioni.
Nel Data Center Sogei sono utilizzate in tre ambiti specifici:
1. Apparati DB transazionali (Appliance T) - Appliance di categoria Enterprise con funzionalità di gestione delle basi dati transazionali in ambito open.
2. Apparati DB Analytics (Appliance-A) - Appliance di categoria Enterprise con funzionalità di gestione delle basi dati di back-end per datawarehouse ed Advanced Analytics in ambito open.