CAPITOLATO TECNICO
Allegato 1
CAPITOLATO TECNICO
SERVIZIO ESTERNALIZZATO DI ASSISTENZA, MANUTENZIONE ED AGGIORNAMENTO DELLA SUITE "S.I.M.E.L. 2" PER UN PERIODO DI ANNI 1 (CIG Z39261789C)
Indice generale
Art. 3 – Budget per l’affidamento 2
Art. 6 – Descrizione del servizio e relativo SLA (Service Level Agreement) 3
Art. 7 - Utenti del servizio 5
Art. 8 - Osservanza della normativa in materia di protezione dei dati personali e di sicurezza informatica 5
Art. 10 – Rischi da interferenze 8
Art. 1 – Premessa
Il presente Capitolato Tecnico disciplina gli aspetti tecnici ed organizzativi dell’affidamento del Servizio di assistenza, manutenzione ed aggiornamento della suite S.I.M.E.L. 2 in riuso (Sistema Informativo Multicanale per gli Enti Locali), la cui scheda descrittiva è reperibile all'indirizzo; xxxxx://xxx.xxxx.xxx.xx/xxxxx/xxxxxxx/xxxxx/xxxxxxxxxx_xxxxx/xxxxxxxx_xxx/xxxxxx_xxxxxxxxxxx_xxxxx 2_2013_11_06_v1_0_pdf.pdf) per il Comune di Pinerolo, e disponibilità di eseguire 30 ore a consumo di assistenza sistemistica sul server applicativo dedicato alla suite ubicato presso il CSI Piemonte in ambiente di “cloud”.
Nel corpo del presente documento e negli altri atti del presente affidamento, laddove si fa riferimento alla normativa in materia di sicurezza nei luoghi di lavoro, si intende riferirsi al D.Lgs. n. 81/2008 e comunque alla normativa in materia in vigore al tempo della esecuzione della fornitura.
Art. 2 – Durata
Il contratto avrà la durata anni 1, per il periodo presunto dal 01/01/2019 al 31/12/2019.
Art. 3 – Budget per l’affidamento
L’importo annuo massimo previsto per il servizio di cui al presente capitolato è di € 29.500 (oltre IVA).
Art. 4 – Definizioni
Nel seguito del presente Capitolato tecnico, con il termine:
- "Stazione Appaltante" si intende il Comune di Pinerolo;
- “Impresa” si intende il soggetto aggiudicatario del Servizio descritto nella presente procedura di affidamento che sottoscriverà il relativo contratto.
Art. 5 – Contesto
Il Comune di Pinerolo, con il presente affidamento, vuole individuare un fornitore per l’erogazione del servizio di assistenza, di manutenzione e di aggiornamento dei moduli software Gestione documentale, Gestione atti amministrativi, Albo Pretorio, Trasparenza, Contratti, Cimiteri, Contabilità, demografici (per un periodo stimato di mesi 9) ed “e-procurement”, secondo quanto successivamente dettagliato.
Tale servizio dovrà essere comprensivo di almeno trenta ore a consumo di assistenza sistemistica sul server applicativo dedicato alla suite gestionale. Detto server si trova attualmente ubicato presso il “datacenter” del CSI Piemonte in ambiente di “cloud”.
L'Impresa deve disporre di analisti specializzati nelle configurazioni avanzate di tutti i moduli applicativi e nella formazione del personale.
Qualora il Comune di Pinerolo provvedesse ad attivare altri moduli della suite SIMEL2 (ad es. Tributi, protocollo ecc..) il relativo contratto potrà essere oggetto di integrazione. Pertanto l’impresa dovrà dimostrare la propria competenza sull’intera suite applicativa.
Qualora, durante il rapporto contrattuale, la suite applicativa di cui al presente capitolato dovesse essere integrata con moduli aggiuntivi, l’impresa dovrà impegnarsi a fornire l’adeguata assistenza a fronte di un’integrazione contrattuale.
Art. 6 – Descrizione del servizio e relativo SLA (Service Level Agreement)
Di seguito vengono descritte più dettagliatamente le prestazioni richieste:
- realizzazione di interventi tecnici (upgrade, downgrade, aggiornamenti, evoluzioni, ecc.) finalizzati a ottimizzare il software, a correggere le falle nella sicurezza, ad interfacciare il software con altri applicativi in uso presso l’Ente e prevenirne futuri malfunzionamenti.
L'Impresa dovrà garantire la manutenzione correttiva, intesa come il processo - condotto anche in via autonoma - di diagnosi e di rimozione di errori latenti rilevati durante l’uso del software.
I malfunzionamenti imputabili a difetti presenti nel codice sorgente - o nelle specifiche di formato o di base dati - non rilevati a suo tempo durante il ciclo di vita o in collaudo, devono essere risolti dal servizio di manutenzione con la correzione del codice sorgente.
L’Ente comunicherà all’Impresa le disfunzioni riscontrate, riportando indicazioni opportune ed eventuale documentazione al fine di permettere una corretta valutazione del problema, nonché assegnando un codice di urgenza per ogni problema rilevato.
L’Impresa assume l’obbligo di iniziare i lavori nei tempi sotto riportati, determinati dal codice di urgenza assegnato:
Priorità | Determinazione dell'urgenza | Tempi di presa in carico richiesti |
1 | Alta criticità. Sistema bloccato | 4 ore |
2 | Critica. Funzionalità bloccata | 4 ore |
3 | Non critica | Entro le 48 ore successive alla segnalazione |
L'impresa si impegna inoltre a garantire l'utilizzo di componenti software di terze parti (es. Java, Tomcat, ecc.) con un adeguato livello di aggiornamento.
L’impresa deve dichiararsi disponibile ad eseguire, a seguito di apposito affidamento, gli interventi necessari per interfacciare la suite oggetto del presente capitolato con altri applicativi in uso presso l’ente che espongono le necessarie funzionalità (es. interfacciamento con l’applicativo denominato Folium per consentire la protocollazione automatica di documenti).
- Aggiornamenti evolutivi periodici ed obbligo di rilascio.
Consiste nell’attività volta ad assicurare la costante aderenza di tutte le procedure e i programmi al cambiamento dei requisiti normativi nonché a migliorare le funzionalità.
Si rammenta che le modifiche prodotte al software (precedenti punti 1 e 2) entrano nel campo di applicazione dell’art. 69 del CAD e devono quindi a loro volta essere rese disponibili in riuso. Pertanto il fornitore dovrà impegnarsi a mantenere il riuso aggiornando e rendendo disponibili gratuitamente i codici sorgenti e la relativa documentazione tecnica
L'Impresa dovrà inoltre dare disponibilità a valutare richieste di modifiche di natura evolutiva, ovvero favorire il processo di miglioramento volto ad aumentare le funzionalità delle applicazioni o ad adeguarle a nuove esigenze interne.
- Assistenza sistemistica
L’impresa dovrà fornire fino a trenta ore a consumo di assistenza sistemistica sul server applicativo dedicato alla suite in questione allo scopo di:
- verificare la compatibilità delle versioni del sistema applicativo e del software a corredo;
- correggere eventuali malfunzionamenti e criticità sistemistiche;
- dimensionare le risorse necessarie in caso di attivazione di ulteriori moduli della suite.
Il software è installato su server applicativo gestito dall’ente con SO GNU/Linux CentOS ubicato presso il datacenter del CSI Piemonte in ambiente di “cloud”ed utilizza un database PostgreSQL in ambiente “SaaS” gestito dallo stesso CSI Piemonte.
Al fornitore sarà eventualmente fornito un accesso per “remote management” con protocolli sicuri con metodologie da concordare;
- Altri obblighi.
In aggiunta alle attività descritte nel presente capitolato, il soggetto contraente è tenuto ad attenersi a quanto indicato all'indirizzo:
xxxxx://xx-xxxxxxxxxxxx-x-xxxxx-xxxxxxxx-xxx-xx-xx.xxxxxxxxxxx.xx/xx/xxxxxx/xxxxxxxxxxx/xxxxxxxx-x-xxxxx- alla-manutenzione-di-software-open-source.html
- servizio di helpdesk multicanale per il supporto agli utenti e la risoluzione dei problemi, oltre alla segnalazione delle anomalie
Tutti gli interventi verranno richiesti telefonicamente, mezzo mail o attraverso un portale web di help-desk che l’impresa deve mettere a disposizione dell’ente.
I tempi di risposta dovranno comunque rispettare quanto definito nella tabella riportata al punto 1.
L’Impresa dovrà garantire la reperibilità, anche telefonica, nei seguenti orari: Lunedì – Venerdì (non festivi) dalle 09.00 alle 17.30
Oltre a quanto sopra, in fase di valutazione tecnica si premieranno in modo particolare le aziende concorrenti che metteranno a disposizione un canale con tempi di risposta “real time” (massimo 15 minuti
di attesa) per rapide consultazioni tecniche o richieste di assistenza veloce (interventi, eventualmente anche effettuati in teleassistenza, della durata non superiore a 15 minuti).
Art. 7 - Utenti del servizio
Sono rappresentati da tutti gli utenti che avranno necessità di accedere alle funzionalità erogate dalle applicazioni software che compongono la suite SIMEL.
Gli utenti sono i dipendenti, collaboratori ed amministratori del Comune.
Art. 8 - Osservanza della normativa in materia di protezione dei dati personali e di sicurezza informatica
L’impresa dovrà impegnarsi ad osservare scrupolosamente la normativa in materia della protezione dei dati personali e della loro libera circolazione di cui al regolamento EU 2016/679 (in seguito denominato GDPR), al D.lgs 196/2003 (di seguito denominato Codice), ai pronunciamenti delle autorità garanti in materia ed alle indicazioni delle agenzie nazionali competenti in materia.
In particolare, al momento della stipula del contratto, il legale rappresentante dell’impresa sarà nominato responsabile esterno del trattamento dei dati ai sensi dell’art. 28 del GDPR e l’impresa dovrà dimostrare di fornire garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti previsti dalle vigenti disposizioni in materia di trattamento dei dati, compreso il profilo relativo alla sicurezza e garantisca la tutela di diritti degli interessati.
Con la suddetta nomina saranno stabiliti per il responsabile i seguenti obblighi e saranno previste le sanzioni di seguito specificate.
Nomina, clausole e sanzioni saranno inserite in documenti che costituiscono parte integrante dello stesso contratto e saranno accettate con la sottoscrizione di quest’ultimo.
Tale nomina è da ritenersi valida per tutta la durata contrattuale e cesserà automaticamente alla scadenza dello stesso.
Il Responsabile del trattamento dovrà attenersi agli obblighi riportati nel suddetto documento di nomina.
Obblighi
Il Responsabile nominato, nei limiti della materia disciplinata, della durata del trattamento, della natura e delle finalità del trattamento, del tipo di dati personali e delle categorie di soggetti interessati individuati deve:
Svolgere le attività oggetto del contratto nel rispetto del Regolamento, del Codice e della normativa in materia di tutela dei dati personali ivi compresi pronunciamenti ed istruzioni ed orientamenti forniti dall’autorità garante nazionale e dal comitato europeo di cui all’art. 68 del Regolamento. In particolare, nel rispetto, dei principi in materia di protezione dei dati sin dalla fase di progettazione e per impostazione predefinita;
Attenersi alle istruzioni fornite da questo ente ed alle prescrizioni della normativa vigente in materia di sicurezza, mettendo in atto le misure tecniche ed organizzative finalizzate a garantire un livello di sicurezza adeguato al rischio di distruzione, modifica o perdita anche accidentale dei dati, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta.
Queste misure devono essere definite ed adottate ex art. 32 del Regolamento tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento indicate nel contratto e, in accordo con il soggetto committente, anche mediante Privacy Level Assessment (PLA), ovvero con atti successivi ed integrativi del presente provvedimento. Di queste misure, nonché dell’analisi dei rischi specifici in materia a seguito della quale sono state identificate le misure tecniche ed organizzative da adottare e il regime operativo di sicurezza adottato, deve esserne data evidenza immediata e ogni qualvolta ciò è richiesto dall’ Ente committente.
Qualora ricorrano i presupposti, redigere il registro delle attività di trattamento nel rispetto dell’art. 30, c.2 del Regolamento.
Non trasferire tutti o alcuni dati personali oggetto del Contratto, convenzione, etc. verso un Paese terzo o un’organizzazione internazionale, senza autorizzazione dell’Ente committente fornendo indicazioni sulla base legale che legittima tale trasferimento.
Attenersi al divieto di comunicazione non espressamente autorizzata e di diffusione a qualsiasi titolo dei dati personali, nonché al divieto di utilizzo autonomo per finalità diverse rispetto a quanto qui specificato;
Richiedere preventivamente una specifica autorizzazione all’Ente committente qualora si intenda utilizzare altro soggetto quale Responsabile per l’esecuzione di specifiche attività che comportano il trattamento dei dati personali, impegnandosi ad imporgli gli stessi obblighi in materia di protezione dei dati contenuti nel contratto e/o negli eventuali atti successivi ed integrativi;
Coadiuvare ed assistere l’Ente committente, nell’ambito dei servizi e attività oggetto del contratto e con le modalità individuate con eventuali specifici atti nel corso della durata del contratto, in tutte le attività finalizzate a garantire il rispetto della normativa vigente ed in particolare a soddisfare gli obblighi:
in materia di esercizio dei diritti degli interessati di cui agli artt. da 12 a 22 del GDPR;
in materia di notifica delle violazioni al Garante per la privacy ed agli altri organi centrali (c.d. data breach), di comunicazione delle violazioni all’Ente committente ed al soggetto interessato, di valutazione d’impatto sulla protezione dei dati e di consultazione preventiva.di attenersi alle procedure adottate dall’ente in materia di violazioni dei dati (data breach);
Fornire, in adempimento del principio di accountability, tutte le informazioni e la documentazione necessaria a dimostrazione del rispetto degli obblighi previsti dal Regolamento Ue 679/2016 e del D.lg. 196/2003 (come modificato dal D.lg. 101/2018), consentendo attività di ispezione, audit o revisione e provvedendo a notificare formalmente eventuali istruzioni che violino le norme in materia di protezione dei dati.
Di informare e coinvolgere tempestivamente ed adeguatamente il Titolare ed il Responsabile per la Protezione dei dati (DPO) incaricato dal Titolare (Xxxxx Xxxx. Xxxxxxx, e-mail: xxxxxxx.xxxxx@xxxxxxxxxxxxxxxxxxxxx.xx) dell’Ente committente in tutte le questione riguardanti la protezione dei dati.
Prestare la collaborazione necessaria a fronte di verifiche da parte dell’Ente committente o di richieste di informazioni, controlli, ispezioni ed accessi da parte del Garante o di altre pubbliche autorità informando contestualmente il committente ed il DPO.
Restituire o cancellare i dati al termine del trattamento in esecuzione del contratto sulla base delle istruzioni fornite dall’Ente committente.
Comunicare preventivamente all’inizio delle operazioni di trattamento al Comune di Pinerolo ed al suo DPO, il nominativo del proprio Responsabile della Protezione dei Dati, se nominato, o del soggetto che sarà di riferimento per mantenere i rapporti con il Committente per tutti gli aspetti relativi al trattamento dei dati ed alla sicurezza informatica.
Provvedere alla formazione periodica degli incaricati che sono a lui direttamente subordinati e posti sotto la propria responsabilità in relazione alle mansioni operate.
Impegnarsi a garantire che le persone autorizzate al trattamento dei dati siano formalmente impegnate a rispettare gli obblighi di segretezza e confidenzialità ed abbiano ricevuto la formazione necessaria e le istruzioni finalizzate a trattare in modo sicuro e riservato i dati loro affidati, custodendoli e controllandoli nel modo più appropriato e sicuro.
Individuare per iscritto, se necessario, oltre agli incaricati, anche gli amministratori di sistema e gli incaricati della manutenzione tecnica ad attrezzature ed apparecchiature elettroniche utilizzate per elaborare i dati.
Impegnarsi a fornire a semplice richiesta dell’ente un elenco contenete gli estremi identificativi e delle funzioni ad essi attribuite delle persone fisiche designate quali incaricati al trattamento dei dati personali e/o amministratori di sistema nell’esecuzione delle attività di gestione e manutenzione degli applicativi e servizi software in virtù dei citati rapporti contrattuali.
Mantenere la totale riservatezza per tutte le informazioni di cui verrete posti a conoscenza nel corso dello svolgimento degli incarichi affidati, anche dopo il termine degli incarichi stessi.
Sanzioni
Fatte salve ulteriori responsabilità ai sensi di legge, in caso di accertata mancata osservanza degli obblighi di cui al precedente punto l’ente potrà applicare nei confronti dell’impresa una sanzione pari ad un massimo del 10 % dell’importo contrattuale, comunque quantificata in proporzione all’inosservanza accertata.
La mancata osservanza di uno o più dei suddetti obblighi potrà inoltre comportare la risoluzione del contratto.
Nel caso in cui il Garante per la protezione dei dati personali o altra autorità di controllo accertino una violazione del GDPR o della normativa nazionale relativi alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, ed infliggano al comune di Pinerolo, nella sua qualità di titolare del trattamento, delle sanzioni amministrative pecuniarie il comune stesso eserciterà l'azione di rivalsa nei confronti dell’impresa così come stabilito all’art. 82 del citato Regolamento.
In ogni caso, qualora l’inosservanza comporti danno per il Comune l’impresa sarà tenuta a risarcire il danno in modo proporzionale alle proprie responsabilità.
Art. 9 – Altre sanzioni
Fatte salve ulteriori responsabilità ai sensi di legge, in caso di mancato rispetto dei livelli di servizio (SLA) di cui al precedente art. n. 6 nei confronti dell’impresa potranno essere elevate sanzioni fino al 10% dell’importo contrattuale calcolate in modo proporzionale alla gravità della mancanza, nel periodo di durata del contratto.
Art. 10 – Rischi da interferenze
In base alla determinazione dell’Autorità di vigilanza sui contratti pubblici n. 3 del 5/3/2008, i costi per la sicurezza derivanti da rischi da interferenze sono da intendersi pari a zero (€. 0,00), in quanto il servizio oggetto del presente affidamento in economia verrà effettuato in ambiente senza interferenze, come definite dal D.Lgs. 81/08.
L'Impresa si impegna al pieno rispetto di tutta la normativa prevista dal D.Lgs. 81/2008, e per tutti gli obblighi di propria competenza, impegnandosi altresì a manlevare la Stazione Appaltante da qualsiasi responsabilità o danni presso terzi derivanti da eventuali inadempimenti degli stessi.