CUP E98G06000810002

Riordino della Rete Ospedaliera Triestina

- Comprensorio di Cattinara -

Ristrutturazione e ampliamento dell’Ospedale di Cattinara Realizzazione della nuova sede dell’I.R.C.C.S. Burlo Xxxxxxxx

CUP E98G06000810002

VINCOLI E SPECIFICHE IT

Responsabile del procedimento: ing. Xxxxx Xxxx Xxxxx

Tecnici interni AOUTS: xxx. Xxxxxx Xxxxxx ing. Xxxxxx Xxxxxx xxx. Xxxxx Xxxxxxxx

1. Stato attuale 3

2. Vincoli durante i lavori 5

3. Caratteristiche delle nuove realizzazioni 6

3.1. Rete dati e fonia 6

3.2. Altre forniture IT 10

1. STATO ATTUALE

Il presidio ospedaliero di Cattinara si configura, dal punto di vista IT, come un campus costituito da più edifici. Ciascun edificio a sua volta è suddiviso in più piani o aree.

Per quanto riguarda la connettività di rete LAN (Local Area Network), ciascuna area è servita da un distributore di piano che afferisce al distributore di campus tramite il distributore di edifico oppure direttamente al distributore di campus, formando di fatto una topologia a stella su tre livelli completamente ridondata, in quando ad ogni distributore di piano e di edificio afferiscono due cavi ottici (contrassegnati con le denominazioni “dorsale rossa” e “dorsale verde”) che raggiungono il distributore di campus tramite vie di posa interamente distinte. In particolare, al fine della massima distinzione dei percorsi, esistono due distributori di campus: uno a cui afferiscono le dorsali rosse ed uno a cui afferiscono le dorsali verdi. I cablaggi orizzontali sono realizzati con cavi UTP tali da garantire una connettività di 1 Gbps al desktop, mentre i cablaggi verticali sono realizzati con cavi ottici tali da garantire una banda di 10 Gbps. Per ciascun distributore, gli apparati attivi di rete sono contenuti in uno o due armadi rack (a seconda del numero di punti telematici serviti), in cui sono alloggiati anche i pannelli di attestazione dei cablaggi orizzontali e verticali. I distributori di piano e di edificio sono collocati in ambienti differenti a seconda dei casi: all’interno di vani tecnici ad uso esclusivo del personale IT, all’interno di vani tecnici condivisi con altri operatori tecnici, al di fuori di vani tecnici. I distributori di piano sono complessivamente 29, mentre i distributori di edificio sono 3: uno a servizio delle palazzine Polo Cardiologico e Biblioteca-Aule; uno a servizio delle palazzine Anatomia Patologia, Xxxxx Xxxx ed Eliporto; uno a servizio di Poliambulatorio, Direzione, Officine, Centrale Termica.

Per quanto riguarda la connettività di rete WAN (Wide Area Network), il campus è servito tramite due cavi ottici ridondati e distinti afferenti alla rete regionale RUPAR gestita da Insiel, nell’ambito del progetto Ermes. E’ inoltre presente un terzo cavo ottico che connette il campus alla rete LightNet gestita dall’Università degli studi di Trieste, che segue lo stesso percorso di uno dei due cavi ottici Ermes.

Per quanto riguarda la connettività telefonica, il campus di Cattinara è collegato alla rete pubblica per mezzo di un cavo ottico non ridondato, tramite il quale vengono veicolati i flussi alla centrale telefonica AOUTS che fornisce alle utenze interne connettività telefonica tradizionale (analogica e digitale) e VoIP. Il traffico VoIP viaggia tramite la rete dati LAN aziendale, mentre la telefonia tradizionale viene distribuita in periferia per mezzo di cavi multicoppia intestati nei distributori di piano, da cui si distribuiscono alle utenze per mezzo del cablaggio strutturato. Tutti i distributori di piano sono serviti da un cavo 50 coppie ad eccezione delle torri di degenza (dal livello 6 al 15 compresi), chirurgica e medica, in cui i cavi multicoppia sono intestati ancora su box telefonici esterni e indipendenti dai distributori di piano e dal cablaggio strutturato. Le linee urbane esterne afferiscono al presidio tramite cavi multicoppia Telecom e vengono distribuite all’utenza per mezzo dei cavi multicoppia interni e del cablaggio strutturato o dei box telefonici.

Tutti i sevizi e le risorse IT di campus sono concentrati presso il datacenter sito al livello 3 della piastra servizi. In particolare nel datacenter sono presenti: le terminazioni dei cavi ottici LAN, sia del percorso rosso che di quello verde ed i relativi distributori di campus, provenienti direttamente dai distributori di piano o dai distributori di edificio, nonché gli apparati attivi core LAN di campus; le terminazioni dei tre cavi ottici WAN, nonché i relativi apparati attivi (router); il cavo ottico ed i cavi multicoppia della rete telefonica pubblica, nonché la centrale telefonica interna; tutti i server fisici e virtuali aziendali, nonché le apparecchiature per l’archiviazione dei dati, l’implementazione delle politiche di sicurezza, il backup, il disaster recovery e la continuità operativa; gli apparati attivi del sistema cercapersone aziendale. Il datacenter, in linea con le best practice di settore internazionali, è caratterizzato da specifiche dotazioni impiantistiche: impianto forza motrice ridondato (continuità e preferenziale), impianto di terra funzionale, impianto di illuminazione preferenziale e di emergenza, condizionamento ridondato, sistema di estinzione incendi a gas inerti, impianto di rilevamento incendi, impianto TVCC, impianto controllo accessi, ecc; nonché peculiari specifiche edili-strutturali: pavimento flottante, vasche e scarichi antiallagamento, cavedi e vie di accesso dei cavi dati e fonia (sono presenti quattro punti di accesso: due per le dorsali ottiche LAN rossa e verde, nonché per i cavi ottici WAN e telefonico pubblico; due per i cavi telefonici multicoppia interni), cage per la suddivisione delle aree di competenza, ecc.

Per quanto riguarda l’infrastruttura IT, l’AOUTS è dotata di un dominio Active Directory (AD) 2008 R2 (xxxxx.xx), che presto verrà migrato alla versione 2012. In ciascuno dei due principali siti AD (Ospedale di Cattinara e Ospedale Maggiore) è presente almeno un domain controller global catalog ed un file server. Ogni account del directory service aziendale è

Riordino del comprensorio di Cattinara Vincoli e specifiche IT

associato ad almeno un gruppo di dominio (gruppi locali al dominio, domain local) corrispondente alla struttura amministrativa AOUTS di appartenenza.

La default domain policy impone l’utilizzo di password complesse di almeno 12 caratteri, con password history a 24 e cambio password obbligatorio ogni 90 giorni. Gli aggiornamenti di sistema per i client e per i server vengono distribuiti tramite il servizio Microsoft WSUS, su base mensile e appena rilasciati da Microsoft.

Le postazioni di lavoro AOUTS (PC) sono inserite nel dominio xxxxx.xx. Esse sono dotate di sistema operativo Microsoft Windows XP Professional Italiano SP3 o Microsoft Windows 7 Professional Italiano e di browser Microsoft Internet Explorer 8 (nel seguito anche IE8); l’hardware di tali postazioni è eterogeneo e varia, nelle prestazioni e caratteristiche di base,

da

-CPU Intel Pentium 4 2,4 GHz o equivalente

-memoria DDR-SDRAM 512 MB

-hard disk da 40 GB

a

-CPU Dual Core Intel Pentium G630 2,7 GHz o equivalente

-memoria DDR3 4 GB (in configurazione dual channel)

-hard disk da 500 GB

Tutte le postazioni di lavoro AOUTS sono dotate di connettività di rete Fast Ethernet o Gigabit Ethernet (secondo quanto definito dagli standard IEEE 802.3). Tutti gli operatori aziendali accedono, nell’operatività quotidiana, alle postazioni di lavoro (PC) tramite account e relative credenziali personali con bassi privilegi; su tutte le postazioni è attivo il servizio Microsoft DEP (Data Execution Prevention).

Il protocollo di rete utilizzato è IPv4. La risoluzione dei nomi è basata esclusivamente sul servizio DNS (Domain Name Service), integrato in AD, che accetta solo registrazioni sicure. I server Microsoft aziendali appartengono a due subnet IP dedicate – una per ciascun sito AD – e sono virtualizzati tramite due sistemi VMware vSphere v5.x, uno installato presso l’Ospedale di Cattinara ed uno presso l’Ospedale Maggiore. L’architettura di rete AOUTS è realizzata in modo che tutti i servizi sono raggruppati nel datacenter AOUTS del sito di pertinenza; in particolare i server virtualizzati appartengono ad una VLAN dedicata.

In generale la LAN AOUTS è una rete layer 2-3 (pila ISO/OSI) a due livelli (core e periferia): per ciascun presidio, gli apparati di periferia sono collegati in layer 2 agli apparati di core; il datacenter è collegato direttamente agli apparati di core in layer 3. Il traffico è suddiviso in VLAN separate, a cui corrispondono specifiche sottoreti IP, sulla base della tipologia di host e del traffico dati che effettuano, ovvero nell’intento di isolare il traffico dati stesso sulla base dei servizi e dei domini di competenza degli amministratori degli host. Il traffico dati tra gli apparati di periferia non è in generale consentito, in quanto i flussi funzionali sono sempre dal datacenter AOUTS alla periferia e viceversa.

È attivo sulla LAN AOUTS un servizio DHCP (Dynamic Host Configuration Protocol) che in generale rilascia gli indirizzi IP a tutti gli host in rete ad esclusione dei server (per i quali sono previste specifiche configurazioni).

E’ attivo sulla LAN AOUTS un sistema di autenticazione degli host di rete basato su protocollo IEEE 802.1x. L’autenticazione sarà basata, a seconda delle caratteristiche dell’host, su uno dei seguenti criteri (ordinati per livello di sicurezza e quindi per preferenza di implementazione):

-account macchina Microsoft Active Directory, se l’host è dotato di client AD;

-nome utente e password, se l’host non è dotato di client AD ma è dotato di client IEEE 802.1x;

-MAC address, solo se l’host non è dotato di client IEEE 802.1x.

E’ inoltre attivo un sistema NAC (Network Access Control) di accesso alla rete, che consente l’accesso alla rete solo agli host che rispetteranno un set di criteri minimi di sicurezza (a titolo di esempio non esaustivo, presenza del software antivirus, stato di aggiornamento del software antivirus, stato di aggiornamento delle patch di sistema, ecc.).

La struttura di backup AOUTS è basata su due tape library: una Sun Storage Tek SL500 posta nel datacenter dell’Ospedale di Cattinara ed una Sun Storage Tek SL48 posta nel datacenter dell’Ospedale Maggiore. Tramite il software Symantec Backup Exec 10d, le tape library effettuano – con periodicità variabile a seconda dei casi – le copie di sicurezza: dei sistemi operativi di tutti i server AOUTS, della configurazione dei DB AOUTS, dei dati (presenti sui NAS e sui file server), delle macchine virtuali, dei registri di log dei sistemi.

In ciascuno dei due presidi ospedalieri (Cattinara e Maggiore) è presente un server Microsoft SQL 2008 R2 64 bit; tutti i database delle applicazioni aziendali basati su tale tecnologia vengono ivi istanziati. Tali server supportano solo l’autenticazione nativa (Native Mode o Windows Integrated) e l’istanza di default non viene utilizzata.

L’applicativo antivirus (AV) aziendale è l’ESET NOD32 v4.x distribuito su tutti i client e aggiornato automaticamente ogni tre ore.

Su tutti i client aziendali è presente l’agente Unicenter Remote Control v11.x, che consente l’accesso interattivo alle sessioni utente per fini di assistenza tecnica. E’ inoltre installato su tutti i client l’agente Altiris Asset Managentent v6.x per

Riordino del comprensorio di Cattinara Vincoli e specifiche IT

la gestione dell’inventario e per l’interfacciamento con il software di gestione del servizio di help desk (cosiddetta “gestione dei ticket”).

È in uso presso l’AOUTS una soluzione di single sign-on (SSO) per l’autenticazione (authentication) ed il conseguente accesso alle risorse informatiche. Il SSO AOUTS permette al singolo account di autenticarsi una sola volta e di essere successivamente autenticato automaticamente – ovvero in maniera trasparente e senza dover reinserire le proprie credenziali – ogni volta che tenta di accedere ad una risorsa di rete di rete a cui è abilitato. Gli account possono essere associati sia a credenziali personali (ad uso esclusivo di una persona fisica, ovvero di un operatore) che impersonali (ad uso non esclusivo di una sola persona fisica, ovvero di un operatore), nonché account digitali (a titolo di esempio non esaustivo, un’applicazione che deve autenticarsi verso un’altra applicazione, un servizio, ecc.). Per risorsa di rete si intende un qualsiasi servizio erogato su qualsiasi sistema operativo (a titolo di esempio non esaustivo, l’accesso: ad un applicativo web o client/server, interattivo telnet/ssh, a file, a stampanti, ecc.).

La soluzione SSO AOUTS prevede un repository centrale realizzato attraverso il protocollo Lightweight Directory Access Protocol (LDAP), che contiene gli account e la configurazione delle macchine e dei servizi correlati; tale repository è il directory service aziendale Microsoft AD 2008 R2 (xxxxx.xx) e non accetta bind anonimi. Per quanto riguarda l'autenticazione degli account, questa si basa sul protocollo kerberos versione 5 (in seguito anche v.5) e viene effettuata dal dominio xxxxx.xx. Il SSO AOUTS ricalca quanto trova nome in letteratura come “Windows Integrated Single Sign-On” o “Windows Integrated Authentication”. Le credenziali utilizzate sono ad oggi “nome utente” e “password”, e seguono le politiche descritte precedentemente; in futuro verranno adottati sistemi basati su certificati digitali.

2. VINCOLI DURANTE I LAVORI

Durante tutto il corso dei lavori dovrà essere garantito l’accesso da parte dell’utenza alle risorse ed ai sistemi IT da tutte le aree operative, ovvero non oggetto di intervento, con gli stessi livelli di continuità operativa e di rischio attualmente in essere, specialmente per il sistema telefonico.

L’attuale datacenter, comprensivo delle sue dotazioni impiantistiche e strutturali, nonché i locali circostanti a supporto (locale UPS e CDZ 7), sono da considerarsi un vincolo. Durante le lavorazioni dovrà essere sempre garantito l’accesso fruibile, sicuro ed immediato agli operatori AOUTS e a terzi da AOUTS incaricati in tali ambienti. Dovranno essere inoltre minimizzati i rischi di danni agli stessi ambienti, in particolare non dovranno in alcun caso essere prodotte polveri o spandimenti che possano infiltrarsi all’interno, sia direttamente che indirettamente. Il locale datacenter non dovrà essere oggetto di ristrutturazione, se non per le componenti esterne al locale stesso; i locali UPS e CDZ 7 dovranno essere oggetto di ristrutturazione anche per le componenti interne, pur garantendo quanto sopra specificato. Andranno inoltre preservati tutti i cavi afferenti al datacenter, nonché le relative vie di accesso, nel caso in cui questi siano a servizio di aree operative.

Analogamente a quanto riportato per il locale datacenter, sono da considerarsi vincoli tutti i vani tecnici esistenti ad uso esclusivo del personale IT. Tali vani potranno essere assegnati in progetto ad altra destinazione d’uso solo nel caso in cui, durante i lavori, non venga arrecato alcun tipo di disservizio all’utenza e senza che vi sia un aumento di tale rischio; in tal caso al termine dei lavori dovrà essere stato realizzato un nuovo vano tecnico ad uso esclusivo del personale IT ed i relativi distributore e cablaggio, secondo le specifiche riportate di seguito per quanto di nuova realizzazione. Nel caso in cui tali vani non fossero smantellati, dovranno essere comunque oggetto di ristrutturazione anche per le componenti interne i distributori ed il cablaggio, pur garantendo quanto sopra specificato, in modo da garantire a fine lavori le specifiche riportate di seguito per quanto di nuova realizzazione, con particolare riferimento alle dotazioni impiantistico-strutturali del vano tecnici IT. I vani tecnici ad uso esclusivo del personale IT sono collocati (per le aree di interesse): nella Piastra Servizi (uno al livello 1; tre al livello 2; due al livello 4; uno al livello 5) e nel Poliambulatorio (uno al livello 2; uno al livello 3).

Relativamente ai distributori di piano e di edificio collocati in vani tecnici non ad uso esclusivo del personale IT o collocati al di fuori di vani tecnici, nel caso in cui tali aree fossero oggetto di interventi, durante i lavori non dovrà essere arrecato alcun tipo di disservizio all’utenza né dovrà esservi un aumento di tale rischio; a termine dei lavori dovrà essere stato realizzato un nuovo vano tecnico ad uso esclusivo del personale IT ed i relativi distributore e cablaggio, secondo le specifiche riportate di seguito per quanto di nuova realizzazione. I distributori di questa tipologia sono collocati: nella Piastra Servizi (tre al livello 3; uno al livello 4), nella Torre Chirurgica (uno al livello 8, uno al livello 13), nella Torre Medica (uno al livello 8, uno al livello 13), nella palazzina Direzione (uno al livello 3), nella palazzina Officine (uno al livello 3).

Nell’ottica di quanto su esposto, i cavi IT afferenti ai distributori collocati in vani tecnici oggetto di cambio di destinazione d’uso dovranno essere sfilati, previa autorizzazione da parte di AOUTS, lungo tutta la loro lunghezza e andranno inoltre demolite le relative vie di posa. I cavi IT che non saranno oggetto di demolizione, ma che attraverseranno aree oggetto di intervento, vanno intesi come vincolo, ovvero dovranno essere preservati in modo che non venga arrecato

Riordino del comprensorio di Cattinara Vincoli e specifiche IT

alcun tipo di disservizio all’utenza e senza che vi sia un aumento di tale rischio; al termine dei lavori dovranno essere riposizionati in nuove ed opportune canalizzazioni da realizzare ad hoc, secondo le specifiche riportate di seguito per gli analoghi cavidotti di nuova realizzazione.

Sono da considerarsi vincoli anche le antenne (ed i relativi cavi) situate sulle coperture delle torri di degenza ad uso del sistema cercapersone aziendale e dei ponti radio WAN verso altre sedi AOUTS e UNITS. Tali sistemi potranno essere oggetto di intervento solo nel caso in cui, durante i lavori, non venga arrecato alcun tipo di disservizio all’utenza e senza che vi sia un aumento di tale rischio.

3. CARATTERISTICHE DELLE NUOVE REALIZZAZIONI

Relativamente ai sistemi IT di nuova realizzazione e fornitura, le logiche di progettazione dovranno essere tali da garantire servizi rispondenti al quadro legislativo e normativo di riferimento per gli ambienti – sanitari e non – oggetto di intervento, nonché alle best practice internazionali di settore. Tra gli altri dovranno essere rispettati:

- CEI EN 50173-1

- CEI EN 50173-2

- CEI EN 50173-3

- CEI EN 50173-4

- CEI EN 50173-5

- CEI EN 50174-1

- CEI EN 50174-2

- CEI EN 50174-3

- CEI EN 50310

- CEI EN 50346

- CEI EN 50450

- CEI 306-2

- CEI 306-10

- CEI 306-11

- CEI 103-1 tutte le Parti

- TIA-1179

- BICSI-004

- CEI EN 60601-1 tutte le parti

- IEC 80001 tutte le parti

- DECRETO LEGISLATIVO 26 ottobre 2010, n. 198

- DECRETO MINISTERIALE (Ministero dello Sviluppo Economico) 22 gennaio 2008, n. 37

3.1. RETE DATI E FONIA

In particolare, la rete dati e fonia dovrà essere progettata in modo che, per mezzo di un'unica infrastruttura fisica e logica, possano essere soddisfatte tutte le necessità di connettività, sia wired che wireless, in condizioni di sicurezza e secondo le logiche dell’alta affidabilità (HA, high availability), all’interno ed all’esterno degli edifici in tutto il campus, con particolare riferimento alle seguenti classi di servizi ed apparecchiature: PC, dispositivi mobili ad uso individuale (portatili, tablet, smartphone, ecc), dispositivi medici (tra cui apparecchi elettromedicali, sistemi PACS, sistemi di gestione integrati di sala operatoria), sistemi telefonici tradizionali (analogici e digitali) e VoIP, impianto di rilevazione fumi ed incendio, impianto di diffusione sonora, impianto orologi elettrici, impianto di chiamata infermieri, impianto di videosorveglianza, impianto videocitofonico, impianto di controllo centralizzato e supervisione, qualunque altro dispositivo dotato di connettività ethernet/TCP-IP, sia oggetto di fornitura che non.

L’architettura della rete dati e fonia dovrà essere progettata in ampliamento con quanto già in essere, soprattutto in relazione a numerosità e dislocazione dei distributori di piano e di edificio ed ai relativi collegamenti tra loro e con i distributori di campus. Il progetto proposto dovrà perciò seguire la filosofia architetturale della rete attuale, rispettarne le logiche implementative ed i livelli di servizio, in un ottica migliorativa ed evolutiva, ed in ogni caso dovrà essere discusso ed approvato dall’AOUTS.

Riordino del comprensorio di Cattinara Vincoli e specifiche IT

Per la rete dati e fonia, sono oggetto di fornitura: i distributori di piano e di edificio, le componenti passive verticali ed orizzontali ovvero il cablaggio strutturato, nonché i vani tecnici IT (comprese le relative dotazioni impiantistico-strutturali) in cui verranno collocati i distributori e le vie di posa ad uso delle componenti passive orizzontali e verticali.

Relativamente ai distributori di piano, questi dovranno essere connessi per la rete dati tramite dorsali ottiche al distributore di campus o di edificio, mentre per la rete fonia dovranno essere sempre connesse tramite dorsali multicoppia al permutatore presente in locale datacenter. I distributori di piano dovranno servire solo utenze appartenenti allo stesso piano del distributore stesso; saranno ammesse specifiche e giustificate eccezioni solo nel caso di aree ad accesso e/o utenze ridotti (come sottotetti, sotterranei, cavedii, piani tecnici, intercapedini, ecc) che andranno approvate da AOUTS. Xxxxx stesso piano di un edificio potranno essere presenti quindi più distributori, il cui numero e dislocazione dovrà essere determinato in fase di progetto sulla base di due fattori: area massima servibile e numero di punti rete. Il primo fattore è legato alla distanza massima del punto rete dal rispettivo distributore, ovvero agli standard internazionali del cablaggio orizzontale (che definiscono per ciascuna categoria di cavo la massima lunghezza consentita della parte fissa del channel di trasmissione dati) e allo specifico percorso delle vie di posa orizzontali. Il secondo fattore è legato allo schema unificato AOUTS per i distributori di piano, che dovrà essere adottato in fase di allestimento dei distributori e che prevede un solo armadio rack per ciascun distributore di piano e un numero massimo di 264 punti rete attestati. Distributori di piano costituiti da due armadi rack saranno ammessi solo in casi specifici ed andranno opportunamente giustificati ed approvati dall’AOUTS; in tal caso: i due armadi rack andranno disposti affiancati in modo che le portelle anteriori siano complanari e che l’apertura di entrambe sia al centro; le dorsali ottiche dovranno attestarsi ciascuna su un armadio; le dorsali telefoniche dovranno essere due cavi multicoppia da 50 cp ciascuna e attestarsi ciascuna su un armadio; le barre di alimentazione dovranno essere due per ciascun armadio; il numero massimo di punti rete attestati dovrà essere 528. La progettazione dovrà inoltre tener conto del fatto che in ogni caso al termine dei lavori l’occupazione massima di punti rete attestati non dovrà superare il 70% (184 nel caso di distributori singoli, 368 nel caso di distributori doppi). La dislocazione sul piano dei distributori dovrà inoltre essere realizzata: in modo che essi si trovino in colonna tra piani sovrapposti; seguendo criteri di razionalità e tali da garantire una facile identificazione delle arre servite da distributori diversi; in modo che essi si trovino in posizione baricentrica rispetto all’area servita; in posizione ottimizzata rispetto ai cavedii ed alle vie di posa per le dorsali di edificio e di campus. I punti rete afferenti ad aree esterne agli edifici dovranno afferire al distributore di piano più vicino.

Relativamente ai distributori di edificio, ciascuna Torre di degenza dovrà essere dotata di un distributore di edificio, come pure la nuova palazzina dell’IRCCS Burlo Xxxxxxxx e la nuova palazzina Servizi. I distributori di edificio dovranno essere collocati in uno dei vani tecnici dov’è presente un distributore di piano della relativa zona e dovranno essere costituiti da un solo armadio rack allestito secondo gli schemi unificati AOUTS per i distributori di edificio; in ogni caso il distributore di edifico non dovrà essere contiguo con il distributore di piano ed entrambi dovranno essere accessibili comodamente su tutti i lati. La scelta del vano tecnico in cui collocare il distributore all’interno dell’edificio dovrà avvenire seguendo criteri di razionalità e in modo tale che abbia una posizione ottimizzata rispetto ai cavedii ed alle vie di posa per le dorsali di campus.

I distributori dovranno essere realizzati per mezzo di armadi rack standard da 19’’ comprensivi della specifica accessoristica, con materiali monomarca e di primaria fascia commerciale (Fiore, Rittal, APC, Xxxxxxx) ed in ogni caso adeguati alla specifica destinazione d’uso, con particolare riferimento alle caratteristiche di resistenza meccanica. Gli armadi oggetto di fornitura dovranno essere tutti uguali e con misure: altezza 42 rack unit, larghezza 80cm, profondità 80cm; nonché dotati di specifico kit per l’equipotenzializzazione di tutte le parti metalliche che li costituiscono, ovvero di barra in rame per l’attestazione dei cavi di terra funzionale (dall’impianto e delle apparecchiature attive) e di cavi con spinotto ad attacco e distacco rapido (tipo faston) per i pannelli asportabili e le ante. L’allestimento interno degli armadi rack dovrà seguire lo schema unificato XXXXX, che verrà fornito di volta in volta all’aggiudicatario. Sono in tal senso da considerarsi oggetto di fornitura tutti i materiali e gli accessori necessari, per la corretta gestione dei dispositivi a fissaggio standard 19’’ e per la ordinata gestione dei cavi, tra cui per ciascun rack: 20 passacavi orizzontali ad anelli metallici da una rack unit (che dovranno essere adeguati a contenere fino a 25 bretelle UTP), 2 barre di alimentazione (dotate di 6 prese universali schuko- italiana ciascuna e dotate di interruttore generale), 16 anelli passacavi verticali metallici (che dovranno essere adeguati a contenere fino a 150 bretelle UTP), 1 gruppo di ventole di estrazione aria installato sul tetto del rack (almeno due ventole, azionate tramite termostato). La collocazione degli armadi all’interno dei vani tecnici dovrà essere centrale e comunque tale da consentire agli operatori di accedervi su tutti i lati; è inclusa la sistemazione a bolla degli armadi.

Relativamente al cablaggio strutturato, questo dovrà essere realizzato con materiali monomarca e di primaria fascia commerciale (Systimas, AMP, Brandrex).

Il cablaggio verticale della rete dati, sia di campus che di edificio, dovrà essere realizzato in doppia via (dorsale rossa e verde), tramite vie di posa interamente distinte e su percorsi completamente differenziati, con cavi ottici da 12 fibre ciascuno (6 link) tali da garantire per ciascun link una banda: di 100Gbps, sulle distanze percorse tra i due apparati attivi, nelle tratte tra i distributori di campus ed i distributori di edificio, sia sulla dorsale rossa che sulla dorsale verde; di 40Gbps,

Riordino del comprensorio di Cattinara Vincoli e specifiche IT

sulle distanze percorse tra i due apparati attivi, nelle tratte tra i distributori di campus/edificio ed i distributori di piano, sia sulla dorsale rossa che sulla dorsale verde. Tutti i cavi ottici di dorsale utilizzati dovranno: avere le caratteristiche di zero alogeni e bassa emissione di fumi in caso di incendio (LSZH); essere dotati di guaina che rispetta le norme IEC relative alle prestazioni contro la fiamma e l’incendio; essere dotati di protezione antiroditore e protezione contro l’umidità. Tutte le fibre ottiche dovranno essere intestate su cassetti/pannelli ottici da una rack unit e tali da poter ospitare 24 link complessivi (ovvero 4 cavi ottici da 6 link ciascuno), su connettori tipo LC; lato datacenter/permutatore di campus, dovranno essere utilizzati materiali coerenti con quanto già in uso.

Il cablaggio verticale della rete fonia dovrà essere realizzato, in singola via e senza interruzioni o riattestazioni intermedie, con un cavo multicoppia da 50 coppie, intestato da un lato sul permutatore tipo 110 presente in locale datacenter a dall’altro su ciascun distributore di piano, in cui l’intestazione dovrà avvenire su pannello 50 posizioni RJ45 cat. 3 da una rack unit. I cavi multicoppia dovranno seguire un percorso ottimizzato e per quanto possibile corrispondente ad una delle due vie di posa (rossa e verde), di edificio e di campus, ma in ogni caso non dovranno transitare all’interno di altri distributori (di piano o di edificio). Il distributore di piano a servizio dell’area in cui verrà collocato il centralino AOUTS dovrà essere servito da un secondo cavo multicoppia di analoga tipologia, in doppia via ridondata rispetto al primo. Tutti i cavi telefonici di dorsale utilizzati dovranno: avere le caratteristiche di zero alogeni e bassa emissione di fumi in caso di incendio (LSZH); essere dotati di guaina che rispetta le norme IEC relative alle prestazioni contro la fiamma e l’incendio; essere dotati di protezione antiroditore e protezione contro l’umidità.

Il cablaggio orizzontale dovrà essere realizzato con componenti tali da garantire una banda di 10Gbps, secondo lo standard maggiormente diffuso al momento dell’avvio dei lavori. I cavi utilizzati dovranno essere di tipo schermato o non schermato a seconda delle possibili interferenze di cui il progettista terrà conto sulla base degli altri impianti e dispositivi presenti nelle diverse aree oggetto di intervento. I pannelli di attestazione in distributore di piano dovranno essere del tipo da una rack unit equipaggiati con 24 porte RJ45; in caso di utilizzo di cavi schermati, i relativi pannelli di attestazione dovranno essere di tipologia coerente e le schermature dovranno essere connesse con l’impianto di terra funzionale. Lato utenza, i cavi dovranno essere intestati su frutti RJ45 fissati su scatole della stessa serie civile e tipologia di quelle utilizzate per l’impianto elettrico e gli altri impianti speciali. I complessi frutto-scatola così ottenuti, detti punti rete, dovranno essere posizionati all’interno degli ambienti secondo una precisa analisi della destinazione d’uso dei locali, ovvero in maniera razionale e tenendo conto di numero e posizione degli utilizzatori, in modo da minimizzare la lunghezza delle bretelle di collegamento terminali. Nel caso di ambienti di tipologia ufficio, i punti rete destinati alle postazioni di lavoro dovranno essere tutti almeno doppi e con numero e disposizione sulle pareti tali da garantire la connettività in tutte le possibili disposizioni delle postazioni di lavoro. Considerazioni analoghe su numerosità e disposizione dei punti rete dovranno essere eseguite per tutti gli ambienti oggetto di intervento. Dovranno perciò essere realizzati tutti i punti rete necessari a garantire la connettività sia dei dispositivi oggetto di fornitura che di altri. Dovranno essere inoltre realizzati tutti i punti rete necessari per la copertura WLAN (Wireless Local Area Network) del campus di Cattinara; a tal fine dovrà essere realizzato un progetto che, sulla base dell’analisi della copertura delle aree interessate, determini la migliore posizione dei wireless access point secondo gli standard wi-fi in uso al momento dell’avvio dei lavori; in ogni caso la progettazione dovrà tenere conto dello specifico ambiente ospedaliero e dovrà essere mirata alla minimizzazione dei fenomeni EMI (electromagnetic interference) con impianti, dispositivi medici e apparecchi elettromedicali. Nel caso di utenze esterne, il punto rete dovrà essere racchiuso all’interno di apposite scatole con adeguato livello di protezione IP e dotate di apposita uscita per le bretelle di collegamento terminale. Tutti i punti rete realizzati per dispositivi fissi e collocati in aree accessibili al pubblico (come wireless access point, telecamere IP, ecc), dovranno essere realizzati in modo che siano inaccessibili all’utenza: sopra il livello del controsoffitto, ove applicabile, oppure all’interno di apposite scatole apribili solo tramite l’utilizzo di utensili. Tutti i punti rete realizzati all’interno di “locali ad uso medico” di Gruppo 1 e Gruppo 2 secondo la classificazione della norma CEI 64-8, dovranno essere equipaggiati con appositi dispositivi di separazione (separation device) rispondenti alla norma CEI EN 60601-1; i dispositivi dovranno essere del tipo predisposto per l’installazione su scatola tipo 503/504. Tutti i cablaggi orizzontali forniti dovranno avere le caratteristiche di zero alogeni e bassa emissione di fumi in caso di incendio (LSZH) ed essere dotati di guaina che rispetta le norme IEC relative alle prestazioni contro la fiamma e l’incendio.

Relativamente ai vani tecnici IT, questi dovranno essere progettati e realizzati in modo da consentire nel tempo la migliore conduzione, manutenzione ed evoluzione dell’impianto rete dati e fonia di AOUTS. Dovranno ospitare al loro interno i distributori di piano e di edificio e dovranno essere pensati per l’uso esclusivo da parte del personale IT, ovvero dovranno essere ambienti dotati di specifiche caratteristiche impiantistiche e strutturali in cui non siano ospitati impianti e sistemi diversi da quelli afferenti o a servizio della rete dati e fonia o del vano IT stesso. I vani tecnici dovranno essere delle stanze chiuse da superfici continue su tutti i lati e dotate delle opportune caratteristiche antincendio, di superficie minima pari a 9 metri quadri con lato minimo di 2,5 metri, nel caso di un solo armadio rack contenuto; per ogni armadio rack in più andranno aggiunti 9 metri quadri di superficie. L’accesso a tali ambienti dovrà avvenire tramite una sola porta collocata su un’area di passaggio o ad accesso comune (atrio, disimpegno, corridoio) e comunque in alcun caso accessibile

Riordino del comprensorio di Cattinara Vincoli e specifiche IT

esclusivamente tramite altre stanze. Il varco di porta dovrà avere misure minime tali da consentire l’entrata in posizione normale dell’armadio rack senza che questo venga smontato; inoltre la porta dovrà avere adeguate caratteristiche antincendio e antisfondamento e dovrà essere allestita con: serratura di sicurezza unificata AOUTS per i vani tecnici IT, ovvero dotata di specifico cilindro europeo con livello di sicurezza 5 secondo la norma UNI EN 1303:05; elettroserratura connessa al sistema di controllo accessi aziendale che consente l’accesso agli operatori autorizzati tramite tessera e pin numerico, in tal senso il lettore di tessere con tastierino numerico va inteso come oggetto di fornitura; sistema di rilevamento intrusione. L’ambiente del vano tecnico dovrà essere opportunamente condizionato e raffrescato con due sistemi ridondanti, in modo tale che la temperatura non superi mai i 22 gradi centigradi. I vani tecnici dovranno essere dotati di un quadro elettrico dedicato collocato al loro interno e suddiviso in: una sezione di forza motrice in continuità preferenziale, una sezione di forza motrice in continuità assoluta, una sezione di luce ordinaria in continuità preferenziale, una sezione di luce di emergenza. Ciascun armadio rack dovrà essere alimentato tramite due linee di forza motrice dedicate, una in continuità preferenziale ed una in continuità assoluta, terminate due prese universali schuko-italiane (di colore verde e rosso rispettivamente) collocate sul fondo dell’armadio rack, ed a cui verranno collegate le barre di alimentazione da rack. Ogni armadio rack dovrà inoltre essere collegato all’impianto di terra funzionale, tramite la barra in rame per l’attestazione dei cavi di terra funzionale in dotazione; in tal senso i nuovi edifici dovranno essere dotati di impianto di terra funzionale e progettati e costruiti secondo le norme relative alle terre funzionali, ovvero in modo da minimizzare le correnti parassite su tali circuiti. All’interno di ciascun vano tecnico IT dovranno essere collocati i rilevatori di fumo antincendio ed una telecamera del sistema TVCC aziendale. Il sistema di controllo e supervisione aziendale dovrà essere configurato e dotato dei sensori e degli attuatori necessari per: rilevare una intrusione; rilevare il guasto di uno dei due condizionatori; rilevare che uno degli interruttori in quadro afferenti ad una delle linee di alimentazione degli armadi rack si è disarmata; rilevare che un sensore antincendio è in allarme; abilitare l’acceso tramite il sistema di controllo vachi a specifici gruppi di utenti, a valle di tali eventi, per le opportune verifiche di settore ed abilitare la registrazione della telecamera.

Relativamente alle vie di posa, sia dedicate ai cablaggi verticali che orizzontali, queste dovranno essere progettate e realizzate, nei percorsi, nella tipologia e nelle dimensioni, in modo razionale e tale da: minimizzare i percorsi; garantire il corretto alloggiamento dei cavi, anche in relazione agli altri impianti; consentire nel tempo la migliore conduzione, manutenzione ed evoluzione dell’impianto rete dati e fonia di AOUTS. Al temine dei lavori l’occupazione delle vie di posa non dovrà essere in alcun caso superiore al 50% dello spazio utile. In ogni caso i cavi dati e fonia dovranno viaggiare su vie esclusive e dedicate e mai in promiscuità o incrociandosi con cavi di altra tipologia e destinazione d’uso; inoltre le vie di posa dovranno essere tali che i raggi di curvatura dei cavi non superino i limiti previsti per ciascuna tipologia e non causino eccessivo stress meccanico sui cavi stessi. I cavi di dorsale verticale, di cablaggio orizzontale ed elettrici, dovranno afferire agli armadi dal tetto degli stessi tramite passerelle a filo elettrosaldate, opportunamente compartimentate per mezzo di setti di separazione, in modo da suddividere nettamente le tre tipologie di cavi; tali passerelle dovranno essere disposte e fissate orizzontalmente, in quota superiore rispetto all’altezza dell’armadio, fino al raggiungimento da un lato del perimetro del vano tecnico (e al conseguente raccordo con le specifiche vie di posa delle tre tipologie di cavi) e dall’altro del tetto dell’armadio (nel caso in cui la quota della passerella fosse superiore all’altezza dell’armadio, dovrà essere predisposta anche una tratta finale di raccordo verticale fino al tetto).

Le vie di posa per i cablaggi di dorsale (verticali) dovranno essere realizzate per mezzo di passerelle a filo elettrosaldate dedicate; la loro accessibilità dovrà essere garantita in ogni punto del percorso in maniera agevole e non in condizioni di “lavoro in quota”, con distanze massime di inaccessibilità pari a 2 metri, sia nel caso siano collocate in controsoffitto lungo corridoi, sia in cavedii verticali. Saranno ammessi cavidotti o tubazioni solo in casi specifici e giustificati che andranno approvati da AOUTS; in tal caso le tratte inaccessibili dovranno essere di massimo 10 metri, intervallate da pozzetti o scatole rompitratta opportunamente raccordati e facilmente accessibili. In caso di cavidotti esterni la realizzazione dovrà essere tale da impedire l’ingresso nelle tubazioni e nei pozzetti di acqua, fango, detriti e roditori.

Le vie di posa per i cablaggi orizzontali dovranno essere realizzate per mezzo di passerelle a filo elettrosaldate e tubazioni plastiche dedicate. In particolare, dal distributore di piano fino all’esterno della stanza o dell’ambiente da raggiungere, le vie di posa dovranno essere realizzate con passerelle a filo alloggiate nei controsoffitti o in altri appositi spazi che dovranno seguire il percorsi dei corridoi; la loro accessibilità dovrà essere garantita in ogni punto del percorso in maniera agevole e non in condizioni di “lavoro in quota”, con distanze massime di inaccessibilità pari a 2 metri. In particolare, dall’esterno della stanza o dell’ambiente da raggiungere fino alla presa di rete, le vie di posa dovranno essere realizzate con tubazioni plastiche rigide o flessibili alloggiate all’interno delle pareti e dei soffitti, e fissate con cadenza massima di 3 metri per i tubi rigidi e di 1 metro per quelli flessibili; in tal caso le tratte inaccessibili dovranno essere di massimo 10 metri, intervallate da scatole rompitratta opportunamente raccordate, fissate e facilmente accessibili. L’interconnessione tra passerella a filo e tubo e tra tubo e scatola di attestazione del punto rete dovrà essere realizzata tramite specifici sistemi di raccordo, mirati a rendere solidali le interconnessioni. Le vie di posa orizzontali dovranno essere

Riordino del comprensorio di Cattinara Vincoli e specifiche IT

progettate e realizzate nel rispetto della normativa vigente, con particolare riferimento alle distanze minime previste tra i cavi UTP ed i cavi elettrici di bassa e media tensione, al fine di evitare le interferenze EM; nel caso in cui ciò non fosse possibile, solo in casi specifici e giustificati che andranno approvati da AOUTS, dovrà essere previsto l’uso di cavi schermati. Oltre alle vie di posa per i cavi orizzontali oggetto di fornitura e posa in opera, dovranno essere installati per ogni ambiente oggetto specifiche predisposizioni per ampliamenti futuri; in particolare, dovranno essere posti in opera tubi rigidi e flessibili che risulteranno liberi a fine lavori e scatole di attestazione a parete dei punti rete, in numero pari a quelli che risulteranno utilizzati, e con caratteristiche equivalenti in termini di dimensioni e specifiche su descritte. Le scatole di predisposizione dovranno essere dislocate all’interno degli ambienti in posizione equidistante dalle prese di rete realizzate e dovranno essere chiuse con tappi ciechi della stessa serie civile utilizzata per gli scopi di cui sopra. In caso di punti rete esterni, la realizzazione dell’ultimo tratto delle vie di posa dovrà essere realizzata tramite specifiche tubazioni tali da garantire adeguati livelli di protezione IP.

Tutti i cavi oggetto di fornitura o di intervento dovranno essere numerati ed etichettati lato utenza, lato distributore di piano, di edificio e di campus, secondo le indicazioni e gli standard AOUTS, come pure i distributori.

Tutti i cavi oggetto di fornitura o di intervento dovranno essere testati e certificati secondo gli standard di riferimento.

Tutto quanto realizzato dovrà essere opportunamente documentato, in particolare dovranno essere prodotti ai fini del collaudo: una relazione di progetto dettagliata e riportante, tra l’altro, tutte le situazioni particolari su cui l’AOUTS avrà dato un parere specifico (sulla base di quanto sopra dettagliato); il progetto della rete WLAN; gli elaborati grafici in formato dwg in cui siano evidenziati in maniera chiara le vie di posa con passerelle a filo dei cablaggi verticali e orizzontali, i percorsi esatti di tutti i cavi di dorsale (dati e fonia) e la posizione di tutti i punti rete, con l’indicazione esatta della numerazione secondo lo standard AOUTS (sia per le dorsali che per i punti rete); i rapporti di certifica di tutti i cavi in formato elettronico, con l’indicazione esatta della numerazione secondo lo standard AOUTS anche nel nome del file.

3.2. ALTRE FORNITURE IT

Qualunque altro sistema o dispositivo oggetto di fornitura, dotato di una qualunque forma di connettività dati ovvero di una componente informatica, dovrà essere integrato con l’infrastruttura IT AOUTS, così come descritta nel presente documento. In considerazione dell’evoluzione tecnologica nel settore IT, l’infrastruttura AOUTS all’atto dell’installazione dei sistemi forniti non sarà esattamente quella descritta; in ogni caso l’integrazione dovrà essere garantita anche con i sistemi AOUTS a venire, sempre in linea con le politiche IT dell’AOUTS.

Per i sistemi o dispositivi forniti, della tipologia descritta sopra, di cui l’AOUTS si trovasse ad avere al momento della loro installazione sistemi in grado di svolgere le stese o analoghe funzioni, le forniture dovranno intendersi in ampliamento con quanto già in essere. Dovranno perciò seguirne la filosofia architetturale, rispettarne le logiche implementative ed i livelli di servizio, in un ottica migliorativa ed evolutiva. In alternativa l’aggiudicatario potrà fornire sistemi differenti nelle aree oggetto di interventi, a condizione che vengano forniti ed installati nelle aree non oggetto di intervento tutti i componenti necessari per la completa sostituzione dei sistemi già in essere, in modo ciò che l’AOUTS a fine lavori si trovi nel suo complesso ad avere un sistema unico aziendale, centralizzato ed uniforme, per il soddisfacimento di quella specifica classe di necessità. Tutto ciò senza alcun onere o spesa a carico dell’AOUTS, nonché in modo che non venga arrecato alcun tipo di disservizio all’utenza e senza che vi sia un aumento di tale rischio.

I server forniti dovranno essere virtualizzati nel sistema AOUTS VMware vSphere v5.x del sito che verrà indicato dall’AOUTS (Cattinara o Maggiore) e seguirne le politiche di gestione, comprese quelle di indirizzamento IP, di aggiornamento, di backup e di disaster recovery. Potranno essere create una o più macchine virtuali a seconda delle necessità e dell’architettura proposte dall’aggiudicatario, ma in ogni caso tali macchine dovranno essere compatibili almeno con il sistema operativo Windows Server 2008 R2 Standard/Enterprise/Datacenter Edition ENG e inserite nel dominio xxxxx.xx e conseguentemente nel sistema WSUS AOUTS.

Tutte le licenze Windows Server necessarie al funzionamento dei sistemi forniti, sono da intendersi a carico del fornitore e non saranno in alcun caso di tipo OEM, bensì licenze Retail intestate all’AOUTS e comunque in ogni caso compatibili con l’ambiente di virtualizzazione dell’AOUTS descritto precedentemente.

Allo scopo di uniformare i sistemi forniti agli standard AOUTS, compresi quelli di sicurezza e autorizzazione (authorization), tali macchine server verranno inserite in una Organizational Unit (OU) generica dedicata ai server AOUTS oppure in una OU dedicata al fine di definire ed applicare su di esse specifiche Group Policy concordate con l’AOUTS; la default domain policy verrà applicata in ogni caso su tutte le OU.

Ai server verrà in ogni caso assegnata una opportuna classe di indirizzi IP fissi.

Riordino del comprensorio di Cattinara Vincoli e specifiche IT

I dati acquisiti e generati dai sistemi forniti e/o i loro riferimenti, nonché tutti quelli direttamente o indirettamente necessari al funzionamento degli applicativi forniti, dovranno essere organizzati in uno o più RDBMS, che potranno essere istanziati sui server Microsoft SQL AOUTS a discrezione dell’aggiudicatario; in tal caso dovranno seguirne le politiche di gestione, comprese quelle di backup e disaster recovery. In particolare potranno essere dedicati ai sistemi forniti una o più istanze oppure uno o più database in accordo con l’AOUTS.

In base alla specifiche scelte progettuali e di infrastruttura, l’aggiudicatario dovrà usufruire della struttura di backup AOUTS per i sistemi operativi di tutti i server e per la configurazione dei database. Dovrà essere fornito all’AOUTS supporto per il loro inserimento nel sistema di backup dell’AOUTS, nonché per la redazione delle procedure di backup e disaster recovery.

Lato utente, ovvero lato postazione AOUTS (PC client), gli applicativi forniti potranno essere basati su tecnologia client/server o web.

Gli eventuali applicativi client forniti, necessari all’espletamento di una o più funzionalità dei sistemi forniti, verranno installati sulle postazioni AOUTS – senza limitazioni in termini di numero di postazioni – e dovranno essere adeguati alle caratteristiche software e hardware delle postazioni stesse, in particolare alle policy del dominio xxxxx.xx e conseguentemente a quelle del sistema WSUS AOUTS. La distribuzione sulle postazioni di lavoro AOUTS di tali applicativi, nonché degli aggiornamenti, verrà eseguita per mezzo del sistema di software distribution di Microsoft AD, cioè tramite pacchetti MSI (Microsoft Installer).

Gli eventuali applicativi web forniti dovranno essere compatibili con il browser web IE8, attualmente installato sulle postazioni AOUTS.

Tutte le funzionalità dei sistemi forniti dovranno essere garantite con il sistema di indirizzamento IP dinamico (DHCP) attivo sulle postazioni AOUTS.

Tutte le funzionalità dei sistemi forniti dovranno essere garantite con il client antivirus aziendale ESET NOD32 v4.x di cui ogni postazione AOUTS è dotata, in considerazione del fatto che verranno applicate le politiche di aggiornamento/scansione standard dell’AOUTS, a meno di eccezioni concordate con l’AOUTS.

Tutte le funzionalità dei sistemi forniti dovranno essere garantite con l’agente Unicenter Remote Control v11.x e con l’agente Altiris Asset Managentent v6.x di cui ogni postazione AOUTS è dotata.

Qualunque altro host oggetto di fornitura non dotato di client AD e collegato alla rete dati AOUTS verrà connesso alla stessa con una specifica classe di indirizzi IP statici concordati con l’AOUTS. Tali dispositivi verranno inseriti in una VLAN dedicata dalla quale potranno solo effettuare traffico specifico da e verso gli applicativi server forniti e installati nella virtualizzazione AOUTS e traffico relativo all’assistenza remota da parte del fornitore. La disciplina del traffico verrà garantita tramite opportune configurazioni sui firewall aziendali, stilate per IP e per porta, sulla base delle sole effettive necessità di traffico. In ogni caso, gli host non dotati di client AD non avranno visibilità di rete sugli applicativi client/web installati sulle postazioni AOUTS. Il fornitore dovrà garantire piena collaborazione nella redazione di tali regole sui firewall.

In generale, sia lato server che lato client, se non diversamente comunicato dall’aggiudicatario, verranno installate tutte le patch rilasciate da Microsoft. Potranno essere segnalate all’AOUTS patch contrassegnate come “non applicabili”, solo se di natura non critica; per tali patch “non applicabili” verranno generate dall’AOUTS delle eccezioni in WSUS, che avranno una durata limitata di 6 mesi entro cui l’aggiudicatario dovrà provvedere alla risoluzione del problema di compatibilità.

Tutti gli elementi forniti non dovranno essere in alcun caso fuori supporto tecnico del fabbricante o a fine ciclo di vita (end-of-life) e comunque non dovranno trovarsi in tale stato ad un anno dal collaudo definitivo dei sistemi forniti.

Per le attività di assistenza remota effettuate dal personale tecnico dell’aggiudicatario, sia sui server che sui client, gli unici strumenti consentiti saranno Unicenter Remote Control v11.x ed il programma integrato nei sistemi operativi Microsoft Windows (RDP). Per gli host non dotati di client AD, potranno essere utilizzati altri applicativi o sistemi di assistenza remota, purché approvati dall’AOUTS.

In ogni caso, la connettività alle macchine oggetto di assistenza remota sarà garantita solo per mezzo dei sistemi VPN aziendali AOUTS, a cui sarà dato accesso solo a seguito di domanda scritta rivolta all’AOUTS.

Il sistemi forniti dovranno essere coerenti ed integrati con la soluzione di SSO AOUTS. Le modalità operative di accesso agli applicativi ed ai sistemi forniti da parte degli operatori dovranno essere personali, avverranno cioè per mezzo di credenziali informatiche personali; a queste potranno inoltre essere associati uno o più ruoli.

Come suddetto, l’unico repository di account AOUTS (personali e impersonali) è il directory service Active Directory e a ciascun account di dominio sono associate le rispettive credenziali informatiche. In tal senso tutte le credenziali personali, previste negli applicativi e nei sistemi forniti, dovranno essere quelle del dominio xxxxx.xx; gli account associati a credenziali

Riordino del comprensorio di Cattinara Vincoli e specifiche IT

personali si autenticheranno in maniera automatica (e trasparente agli operatori) a tali applicativi/servizi, in base al proprio livello di autorizzazione (definito in base al ruolo) e a seguito dell’accesso alla sessione di lavoro. Tutte le credenziali impersonali, eventualmente presenti negli applicativi e nei sistemi forniti, dovranno essere opportunamente create e configurate nel dominio xxxxx.xx; gli account AD associati a credenziali impersonali si autenticheranno in maniera automatica (e trasparente agli operatori) a tali applicativi/servizi in base al proprio livello di autorizzazione minimo necessario e a seguito di auto log-on (in ogni caso senza l’immissione delle credenziali impersonali da parte degli operatori). In ogni caso l’autenticazione degli account personali e impersonali dovrà avvenire tramite protocollo kerberos v.5. Ciò significa in particolare che, nell’architettura kerberos, i domain controller del dominio xxxxx.xx svolgeranno il ruolo di KDC (Key Distribution Center), mentre gli applicativi/sistemi forniti assolveranno i ruoli di Client e SS (Service Server); a titolo di esempio non esaustivo, i Service Server forniti dovranno essere in grado di interpretare e validare correttamente i Service Ticket inviati dai Client, nonché instaurare successivamente le Client/Server Session (sia in caso di architetture fornite tipo

client/server che web).

L’autorizzazione (authorization) è intesa in questo contesto come profilatura dell’account e gestione dei ruoli e delle abilitazioni ad esso associati. In particolare gli applicativi/servizi forniti dovranno importare gli account da abilitare dal repository LDAP AOUTS (dominio xxxxx.xx), sulla base di un Gruppo AD specifico che verrà realizzato ad hoc, e circoscrivere la profilatura e l’attribuzione dei ruoli all’interno degli applicativi/servizi stessi solo per gli account appartenenti a quello specifico gruppo. In via propedeutica al collaudo del sistema fornito, l’aggiudicatario dovrà installare la consolle amministrativa su un client AOUTS afferente alla SC Informatica e Telecomunicazioni e dovrà formare una risorsa AOUTS alla profilatura degli account nei sistemi forniti, in modo da rendere l’AOUTS autonoma nelle procedure di abilitazione e successiva reinstallazione della consolle amministrativa.

Non dovrà essere possibile creare, configurare e profilare altri account non appartenenti ad AD, ad eccezione di specifiche situazioni opportunamente motivate ed in ogni caso concordate con l’AOUTS. La profilatura e l’attribuzione dei ruoli degli applicativi/servizi forniti dovrà essere tale da garantire il massimo livello di dettaglio di configurazione, ed in ogni caso dovrà garantire tutto quanto descritto nel presente documento.

Altre soluzioni di SSO, autenticazione e account/identity management non saranno consentiti.

Di seguito vengono definite le specifiche che i sistemi forniti dovranno rispettare relativamente alla sicurezza informatica (security).

Vale in ogni caso il principio generale per cui la sicurezza informatica è un fattore intrinseco dell’architettura dei sistemi oggetto di fornitura e delle caratteristiche tecniche degli elementi che lo compongono; perciò l’aggiudicatario dovrà garantire che, sia l’architettura che gli elementi, siano progettati, implementati e manutenuti nel tempo in modo da minimizzare il rischio informatico residuo (sia di “attacchi al sistema” che di “attacchi dal sistema”).

In generale, tutti i software forniti dovranno essere:

-intuitivi e di facile utilizzo, ad ogni livello di accesso ed in ogni configurazione, per tutti gli operatori (a prescindere dal ruolo);

-dotati di labeling (GUI) in Italiano e tali che le impostazioni internazionali di Microsoft Windows (se presente) siano sempre IT standard (non sarà consentita alcuna modifica alle impostazioni di default IT sulle postazioni AOUTS), comprese le tastiere;

-stabili, in particolare che siano in grado di gestire le eccezioni;

-sicuri, sia dal punto di vista della sicurezza informatica che della qualità delle funzioni svolte;

-ottimizzati, in termini di rapporto tra uso delle risorse e prestazioni;

-sviluppati tenendo conto dei principi del “ciclo di vita del software” e dell’“analisi del rischio”, secondo le norme tecniche (o principi e metodologie almeno equivalenti) e le best practice internazionali; in ogni caso non dovranno utilizzare librerie deprecate e/o obsolete, né dovranno essere scritti e sviluppati con versioni del linguaggio di programmazione fuori supporto tecnico del fabbricante o a fine ciclo di vita (end-of-life) e comunque non dovranno trovarsi in tale stato ad un anno dal collaudo definitivo del sistema;

-pensati, progettati e realizzati nel rispetto del quadro legislativo vigente, nonché in modo da non mettere in alcun caso gli operatori in condizione di violare il quadro legislativo stesso nell’espletamento del normale utilizzo del sistema;

-installati e configurati per essere utilizzati, in condizioni di massima sicurezza e funzionalità, nello specifico contesto dell’AOUTS, così come descritto nel presente documento;

-manutenuti e gestiti in modo da conservare e mantenere stabili nel tempo tutte le caratteristiche possedute al momento del collaudo definitivo.

In particolare, tutti i software forniti che verranno installati su dispositivi collegati alla LAN AOUTS, dovranno essere eseguiti sempre:

-in un contesto user space per i client,

Riordino del comprensorio di Cattinara Vincoli e specifiche IT

-come servizio per tutti i server,

-come servizio per i client se non è richiesta interazione con l’operatore,

ed in ogni caso non dovranno essere modificati in alcun modo i permessi di default del file system e del registro di sistema Microsoft (ove presente).

In particolare, tutti i software forniti che verranno installati sulle postazioni di lavoro AOUTS, dovranno essere protetti da copia o distribuzione per mezzo di sistemi diversi da dispositivi hardware (a titolo di esempio non esaustivo, chiavi hardware USB).

In particolare, tutti i software forniti che verranno installati su sistema operativo Microsoft Windows Server 2008 R2 o Microsoft Windows 7, dovranno essere compatibili con il sistema UAC (User Access Control).

In particolare, per quanto concerne le configurazioni:

-quelle degli applicativi server dovranno risiedere in database e comunque mai sui dischi locali dei PC client;

-quelle globali degli applicativi client (ovvero non riferite alle personalizzazioni dei singoli account) dovranno risiedere in un file nella cartella di installazione dell’applicativo (a cui quindi avranno accesso solo gli utenti con ruolo Amministratore) oppure nel registro di sistema (ove presente) nella sottochiave appositamente creata in fase di installazione in HKEY_LOCAL_MACHINE\SOFTWARE, ed in ogni caso informazioni critiche in termini di sicurezza e funzionalità (a titolo di esempio non esaustivo: le stringhe di connessione ai database, le credenziali necessarie per instaurare eventuali altre connessioni client/server, ecc.) dovranno essere cifrate almeno con algoritmo AES256;

-quelle personali degli applicativi client (ovvero riferite alle personalizzazioni dei singoli account) dovranno risiedere nel profilo dell’account a cui si riferiscono (ove presente).

Ovvero, in ogni caso non dovranno risiedere configurazioni globali degli applicativi client nei profili degli account, né altresì configurazioni personali degli applicativi client fuori dai profili degli account.

In particolare, in tutti i software forniti che si configurano come “strumenti elettronici” che effettuano trattamento di dati personali, così come definito nel D.Lgs. 196/03 “Codice in materia di trattamento dei dati personali” e s.m.i., dovranno essere adottate:

-le “misure minime di sicurezza” previste dal suddetto codice e dal relativo disciplinare tecnico (Allegato B, X.Xxx.

196/03);

-le “idonee e preventive misure di sicurezza” previste dal medesimo codice all’art. 31 nell’ambito degli obblighi di sicurezza.

Dovranno essere rispettati tali obblighi in particolare in termini di:

-adozione di un “sistema di autenticazione informatica”, comunque nel rispetto di quanto riportato nel presente documento relativamente alle modalità di autenticazione (authentication) degli operatori per mezzo di account

– e relative credenziali – personali;

-adozione di un “sistema di autorizzazione”, comunque nel rispetto di quanto riportato nel presente documento relativamente alle modalità di autorizzazione (authorization) degli account personali;

-“protezione degli strumenti elettronici e dei dati”, comunque nel rispetto di quanto riportato nel presente documento relativamente alla sicurezza informatica;

-“copie di sicurezza” e di “ripristino della disponibilità dei dati e dei sistemi”, comunque nel rispetto di quanto riportato nel presente documento relativamente alle politiche di backup e di disaster recovery.

L’aggiudicatario dovrà individuare, all’interno della sua organizzazione, un “Responsabile per la privacy”. Questi verrà in tal senso nominato dal titolare del trattamento dei dati personali AOUTS e dovrà inviare, nel rispetto delle procedure AOUTS, le richieste di abilitazione degli incaricati e degli amministratori afferenti all’aggiudicatario (anche quelle necessarie per lo svolgimento delle attività di assistenza remota). I relativi account e le relative autorizzazioni verranno sempre erogate dall’AOUTS e a livello personale, secondo le proprie procedure ed in ogni caso con i privilegi necessari e sufficienti allo svolgimento delle mansioni di competenza.

Per quanto concerne gli “account amministrativi” (ovvero ogni account a cui è associato un ruolo Amministratore o che è dotato di privilegi amministrativi o che consenta di svolgere funzioni di amministratore su qualunque macchina, sistema o applicativo fornito), questi:

-potranno, nel caso di account amministrativi locali di default (a titolo di esempio non esaustivo: “admin”, “administrator”, “root”, ecc.), essere impersonali e dovranno essere tutti comunicati all’AOUTS, che potrà modificarne le password e che li conserverà secondo le proprie procedure standard di sicurezza; in ogni caso non dovranno essere configurati account amministrativi locali ulteriori rispetto a quelli di default;

-dovranno, nel caso di account amministrativi non locali che consentano l’accesso interattivo a macchine/sistemi/applicativi collegati alla LAN AOUTS, essere sempre personali e rispettare quanto riportato nel presente documento relativamente alle modalità di autenticazione (authentication) degli operatori per mezzo di account – e relative credenziali – personali;

Riordino del comprensorio di Cattinara Vincoli e specifiche IT

-potranno, nel caso di account amministrativi di macchine/sistemi/applicativi non collegati alla LAN AOUTS, essere impersonali e dovranno essere tutti comunicati all’AOUTS, che potrà modificarne le password e che li conserverà secondo le proprie procedure standard di sicurezza; in ogni caso non dovranno essere configurati account amministrativi in numero maggiore dello stretto necessario;

-potranno, nel caso di account digitali amministrativi, essere configurati dall’aggiudicatario solo in accordo con l’AOUTS e dovranno essere impersonali, dovranno essere tutti comunicati all’AOUTS, che potrà modificarne le password e che li conserverà secondo le proprie procedure standard di sicurezza;

-non dovranno, nel caso di account amministrativi impersonali, essere in alcun caso presenti.

Per quanto concerne gli account impersonali, consentiti solo secondo quanto riportato nel presente documento, questi non dovranno in alcun caso permettere:

-di modificare le configurazioni, impostazioni e settaggi di macchine/sistemi/applicativi;

-di visualizzare, modificare o cancellare dati personali diversi da quelli eventualmente trattati contestualmente all’uso dell’account stesso.

Eventuali dati personali salvati in ulteriori archivi, diversi da quelli descritti nel presente documento, saranno ammessi solo con funzioni di “archivi provvisori”, ovvero di passaggio intermedio dei dati prima dell’invio agli archivi definitivi. I dati personali devono permanere negli archivi provvisori il minor tempo possibile, ovvero per un tempo massimo che sia configurabile e che in ogni caso non superi le 24 ore naturali, con l’implementazione di opportune procedure di cancellazione automatica che non consentano il recupero locale dei dati.

In ogni caso l’accesso agli archivi di dati personali (anche provvisori) dovrà avvenire solo da parte degli account personali e degli account digitali autorizzati, sulla base di opportuni permessi settati in modo che il livello dei privilegi di accesso sia il più basso possibile e preferibilmente che l’accesso ai dati avvenga sempre per tramite dell’applicativo e non direttamente da parte dell’account.

Non è consentita l’archiviazione, anche temporanea ed anche in forma anonima, dei dati su macchine situate esternamente rispetto alla rete dati dell’AOUTS.

Eccezioni rispetto a quanto riportato nel presente documento saranno ammesse solo in casi specifici ed andranno comunque opportunamente giustificate ed approvate dall’AOUTS.