AVVISO
Sourcing & Procurement Services
IlResponsabile
AVVISO
CONSULTAZIONE PRELIMINARE DI MERCATO
Oggetto
Consultazione preliminare di mercato per l’eventuale affidamento di una soluzione di gestione del Calcolo delle Imposte IRES e IRAP per conto di Ferrovie dello Stato Italiane Spa.
I. Premessa
In applicazione dei principi di buona amministrazione, non discriminazione e trasparenza, Ferservizi S.p.A., con sede in Xxxxxx xxxxx Xxxxx Xxxxx 0, 00000 Xxxx – capitale sociale Euro 8.170.000,00 partita IVA, Codice Fiscale e numero di iscrizione al Registro delle Imprese 04207001001, in nome e per conto della struttura Delivery Farm Corporate di FSTechnology S.p.A. (di seguito anche “Ferservizi”), ha l’obiettivo di:
- garantire la massima pubblicità alle iniziative per assicurare la più ampia diffusione delle informazioni ed un celere svolgimento delle eventuali successive procedure di acquisto;
- ottenere la più proficua partecipazione da parte degli Operatori economici interessati a partecipare alla presente consultazione preliminare di mercato (di seguito anche “Consultazione”);
- pubblicizzare al meglio le caratteristiche qualitative e tecniche del servizio oggetto di Consultazione;
- ricevere, da parte dei soggetti interessati, osservazioni e suggerimenti per una più compiuta conoscenza del mercato;
- individuare le migliori soluzioni di mercato, con alto contenuto innovativo e forte impatto in termini di efficacia ed efficienza della soluzione proposta, di vantaggio o riduzione di impatti ambientali o sociali rivolti ai propri dipendenti, ai clienti o alla collettività;
Oggetto della presente Consultazione è acquisire informazioni relative a una soluzione di gestione del Calcolo Imposte IRES e IRAP per conto di Ferrovie dello Stato Italiane Spa, (di seguito “Appalto”), rispetto al quale - previa presa visione dell’informativa sul trattamento dei dati personali pubblicata secondo le modalità di cui al successivo Paragrafo VIII - Vi chiediamo di fornire il Vostro contributo compilando il questionario allegato al presente Avviso (Allegato 1). Il questionario dovrà essere inviato secondo i termini e le modalità indicate al successivo Paragrafo V.
Il Gestore del presente procedimento è Xxxxx Xxxxxxxxx.
La presente procedura ha ad oggetto prestazioni non strumentali allo svolgimento dell’attività di trasporto ferroviario e pertanto il suo eventuale affidamento non è sottoposto alla disciplina pubblicistica in materia di contratti pubblici.
Per la disciplina dell’eventuale affidamento, pertanto, trovano applicazione le disposizioni del Codice Civile; nonché leggi speciali o altre disposizioni di legge vigenti in materia di contratti di diritto privato.
II. Scopo della Consultazione
La presente consultazione preliminare di mercato ha la specifica finalità di raccogliere informazioni utili per la preparazione dell’Appalto ai fini del perfezionamento delle specifiche tecniche propedeutiche all’eventuale indizione di una successiva procedura di selezione da espletarsi in conformità alle disposizioni di legge vigenti in materia di contratti di diritto privato.
Pertanto, la presente Consultazione, è volta a:
- rendere noti i requisiti minimi tecnico – funzionali richiesti per l’eventuale successivo futuro affidamento dell’Appalto di cui si ritiene necessario il possesso da parte degli Operatori economici esperti dello specifico settore di mercato;
- agevolare la preparazione dell'Appalto, mediante la ricezione, da parte degli Operatori economici che manifestino interesse a partecipare alla presente Consultazione, di contributi utili per il perfezionamento delle specifiche tecniche propedeutiche all’eventuale successiva indizione di una procedura di selezione da espletarsi in base alla disciplina di cui sopra;
- avviare un dialogo informale con gli Operatori economici partecipanti alla Consultazione, onde ricevere dai medesimi osservazioni, suggerimenti e informazioni circa ulteriori specifiche tecniche dell’Appalto.
III. Descrizione dell’oggetto dell’iniziativa e Requisiti minimi tecnico – funzionali
Nell’ambito della digitalizzazione dei processi corporate e di Gruppo, con la finalità di assicurare la gestione del rischio fiscale, è stata rilevata l’esigenza di digitalizzare il processo di gestione del calcolo delle imposte IRES e IRAP e di predisposizione dei relativi modelli dichiarativi.
Si rimanda all’Allegato 2 al presente Avviso per la descrizione di dettaglio del servizio oggetto della presente Consultazione e dei relativi requisiti tecnico-funzionali minimi richiesti che l’oggetto dell’Appalto dovrà soddisfare.
In particolare, sarà cura dell’Operatore economico compilare il questionario riportato nel succitato Allegato 1.
IV. Requisiti di Partecipazione
Si precisa che ai fini della successiva eventuale procedura di selezione che potrà essere indetta per l’affidamento del servizio oggetto della presente Consultazione, nonché per la stipula del relativo
eventuale Contratto/Accordo Quadro, il/gli Operatore/i economico/i non dovrà/anno trovarsi nelle seguenti cause ostative alla stipula del rapporto contrattuale. Si rappresenta che costituiscono cause ostative alla stipula del contratto le seguenti condizioni:
i. la condanna definitiva per uno dei seguenti reati:
a) delitti, consumati o tentati, di cui agli articoli 416, 416-bis del codice penale ovvero delitti commessi avvalendosi delle condizioni previste dal predetto articolo 416-bis ovvero al fine di agevolare l’attività delle associazioni previste dallo stesso articolo, nonché per i delitti, consumati o tentati, previsti dall’articolo 74 del testo unico delle leggi in materia di disciplina degli stupefacenti e sostanze psicotrope, prevenzione, cura e riabilitazione dei relativi stati di tossicodipendenza, di cui al decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, dall’articolo 291-quater del testo unico delle disposizioni legislative in materia doganale, di cui al decreto del Presidente della Repubblica 23 gennaio 1973, n. 43 e dall’articolo 452-quaterdieces del codice penale, in quanto riconducibili alla partecipazione a un’organizzazione criminale, quale definita all’articolo 2 della decisione quadro 2008/841/GAI del Consiglio dell’Unione europea, del 24 ottobre 2008;
b) delitti, consumati o tentati, di cui agli articoli 317, 318, 319, 319-ter, 319-quater, 320, 321, 322, 322-bis, 346-bis, 353, 353-bis, 354, 355 e 356 del codice penale nonché all’articolo 2635 del codice civile;
c) false comunicazioni sociali di cui agli articoli 2621 e 2622 del codice civile;
d) frode ai sensi dell’articolo 1 della convenzione relativa alla tutela degli interessi finanziari delle Comunità europee, del 26 luglio 1995;
e) delitti, consumati o tentati, commessi con finalità di terrorismo, anche internazionale, e di eversione dell’ordine costituzionale, reati terroristici o reati connessi alle attività terroristiche;
f) delitti di cui agli articoli 648-bis, 648-ter e 648-ter.1 del codice penale, riciclaggio di proventi di attività criminose o finanziamento del terrorismo, quali definiti all’articolo 1 del decreto legislativo 22 giugno 2007, n. 109;
g) sfruttamento del lavoro minorile e altre forme di tratta di esseri umani definite con il decreto legislativo 4 marzo 2014, n. 24;
h) ogni altro delitto da cui derivi, quale pena accessoria, l’incapacità di contrattare con la pubblica amministrazione;
ii. la sussistenza di una delle cause di decadenza, di sospensione o di divieto previste dall’articolo 67 del d.lgs. n. 159/2011 o di un tentativo di infiltrazione mafiosa di cui all’articolo 84, comma 4, del medesimo decreto. Resta fermo quanto previsto dagli articoli 88, comma 4-bis, e 92, commi 2 e 3, del codice di cui al decreto legislativo 6 settembre 2011, n. 159 del 2011, con riferimento rispettivamente alle comunicazioni antimafia e alle informazioni antimafia. La causa di esclusione di cui all’articolo 84, comma 4, del medesimo codice di cui al decreto legislativo 6 settembre 2011, n. 159 del 2011 non opera se, entro la data dell’assegnazione/affidamento, l’impresa sia stata ammessa al controllo giudiziario ai sensi dell’articolo 34-bis del medesimo decreto legislativo codice. In nessun caso l’assegnazione/affidamento può subire dilazioni in ragione della pendenza del procedimento suindicato;
iii. sottoposizione a liquidazione giudiziale o l’essere in stato di liquidazione coatta o di concordato preventivo o l’esistenza di un procedimento in corso per l’accesso a una di tali procedure, fermo restando quanto previsto dall’articolo 95 del codice della crisi di impresa e dell’insolvenza, di
cui al decreto legislativo 12 gennaio 2019, n. 14, dall’articolo 000-xxx, xxxxx 0, xxx xxxxx xxxxxxx 00 marzo 1942, n. 267 e dall’articolo 124 del Codice. La causa ostativa non opera se, entro la data dell’assegnazione/affidamento, sono stati adottati i provvedimenti di cui all’articolo 186-bis, comma 4, del regio decreto n. 267 del 1942 e all’articolo 95, commi 3 e 4, del codice di cui al decreto legislativo
n. 14 del 2019, a meno che non intervengano ulteriori circostanze escludenti relative alle procedure concorsuali;
iv. sussistenza di violazioni gravi, definitivamente accertate, rispetto agli obblighi relativi al pagamento delle imposte e tasse o dei contributi previdenziali, secondo la legislazione italiana o quella dello Stato in cui sono stabiliti. Tale causa ostativa non sussiste quando l’operatore economico ha ottemperato ai suoi obblighi pagando o impegnandosi in modo vincolante a pagare le imposte o i contributi previdenziali dovuti, compresi eventuali interessi o sanzioni, oppure quando il debito tributario o previdenziale sia comunque integralmente estinto, purché l’estinzione, il pagamento o l’impegno si siano perfezionati anteriormente alla scadenza del termine previsto per la presentazione del preventivo;
v. commissione di gravi infrazioni debitamente accertate con qualunque mezzo adeguato, alle norme in materia di salute e di sicurezza sul lavoro nonché agli obblighi in materia ambientale, sociale e del lavoro stabiliti dalla normativa europea e nazionale, dai contratti collettivi o dalle disposizioni internazionali elencate nell’allegato XIV alla direttiva 2014/25/UE del Parlamento europeo e del Consiglio del 26 febbraio 2014;
vi. sussistenza, rispetto ad un altro partecipante alla medesima procedura di affidamento, di una situazione di controllo di cui all’articolo 2359 del codice civile o in una qualsiasi relazione, anche di fatto, se la situazione di controllo o la relazione comporti che le offerte sono imputabili ad un unico centro decisionale;
vii. la carenza di affidabilità professionale per essersi resi colpevoli di gravi illeciti professionali tali da renderne dubbia l’integrità o l’affidabilità.
I reati di cui al precedente punto i) e la misura interdittiva di cui al precedente punto ii) costituiscono causa ostativa alla partecipazione alla presente procedura di affidamento, alla stipula del relativo eventuale contratto e alla prosecuzione dello stesso, quando riguardano uno dei seguenti soggetti:
a) l’operatore economico ai sensi e nei termini di cui al D. Lgs. n. 231/2001 e s.m.i.;
b) in caso di impresa individuale, il titolare, il direttore tecnico;
c) in caso di società in nome collettivo, i soci amministratori, il direttore tecnico;
d) in caso di società in accomandita semplice, i soci accomandatari, il direttore tecnico;
e) se si tratta di altro tipo di società o di un consorzio, i membri del consiglio di amministrazione a cui sia stata conferita la legale rappresentanza ivi compresi gli institori e i procuratori generali; i componenti degli organi con poteri di direzione o di vigilanza o dei soggetti muniti di poteri di rappresentanza, di direzione o di controllo; il direttore tecnico; il socio unico persona fisica.
V. Modalità di partecipazione alla Consultazione e tipologia di contributi ammessi
L'iniziativa è rivolta a tutti coloro che siano in possesso di informazioni rilevanti per le finalità descritte nel presente Avviso e, pertanto, tutti i soggetti interessati a partecipare alla presente Consultazione potranno fornire contributi di carattere tecnico mediante la compilazione del questionario di cui al succitato Allegato 1.
Per partecipare alla Consultazione gli Operatori economici dovranno compilare il Modulo denominato “Manifestazione di Interesse alla Consultazione” di cui all’Allegato 1, e trasmetterla nelle modalità descritte al presente Paragrafo.
Ciascun Operatore economico interessato dovrà - preventivamente ed obbligatoriamente - richiedere la registrazione al Portale Acquisti di Ferservizi (di seguito, per brevità, “Portale”), ove non già in possesso di apposita utenza di accesso al Portale.
Per ottenere la registrazione al Portale, gli Operatori economici dovranno collegarsi al sito xxx.xxxxxxxxxxxxxxxxxxxxxxxx.xx, accedere al Portale, scaricare il file denominato “MODULO DI ADESIONE AL PORTALE ACQUISTI”, completare la registrazione cliccando su nuova registrazione fornitore e allegare il suddetto file firmato digitalmente dal Legale Rappresentante dell’Operatore economico, unitamente alla scansione di un documento di identità, in corso di validità, del Legale Rappresentante.
Nella sezione istruzioni del Portale è presente una guida dettagliata delle operazioni sopra descritte. Si precisa che i tempi tecnici legati alle attività di registrazione sono stimati in circa 24 ore.
La registrazione al Portale è a titolo gratuito.
I dati di registrazione sul Portale agevolano la corrispondenza con Ferservizi; i riferimenti dell’Operatore economico dovranno contenere obbligatoriamente un indirizzo e-mail di posta certificata che varrà quale strumento di comunicazione con Ferservizi.
In caso di necessità di supporto ai fini della registrazione al Portale, nonché nello svolgimento delle operazioni all’interno del Portale stesso, gli Operatori economici concorrenti hanno facoltà di contattare il Servizio Assistenza al numero dedicato x00 00 00 00 00 00.
Al fine di poter rispondere al presente avviso, gli Operatori economici dovranno essere in possesso della seguente dotazione tecnica minima:
Indirizzo di Posta Elettronica Certificata (PEC);
Certificato di firma digitale, per ciascuno dei soggetti firmatari in corso di validità, rilasciato da un organismo incluso nell’elenco pubblico dei certificatori tenuto da AgID (previsto dall’art. 29, comma 1 del D.Lgs. 82/2005) generato mediante un dispositivo per la creazione di una firma sicura, ai sensi di quanto previsto dall’art. 38, comma 2 del D.P.R. 445/2000 e dall’art. 65 del D.Lgs. 82/2005.
Personal Computer collegato ad Internet con le seguenti caratteristiche: AMBIENTI MS Windows XP, Windows 7 o Vista; COLLEGAMENTO A INTERNET connessione ADSL con una banda minima effettiva di 1MB (ADSL) o superiore o connessione internet aziendale (si raccomanda di consultare il personale IT interno per verificare l’effettiva disponibilità di banda e la possibilità di accesso in base alle configurazioni di proxy/firewall); WEB BROWSER Internet Explorer 7 (Consigliato) o superiore, Mozilla, Firefox o Google Crome; JAVA VIRTUAL MACHINE Plug-in SUN 1.6 o superiore.
All’interno della sezione Requisiti minimi hw e sw del Portale è possibile verificare la corretta configurazione del proprio personal computer.
****
Modalità di presentazione della manifestazione di interesse
Al completamento delle operazioni di registrazione gli Operatori economici interessati per rispondere alla presente Consultazione dovranno:
- accedere al Portale (previa attivazione di apposita user ID, inserita in fase di registrazione, e password, ricevuta tramite comunicazione e-mail di sistema e modificabile in fase di accesso), nella sezione fasi di prequalifica (FDP) e poi cliccare su eventi ad evidenza pubblica;
- accedere all’Avviso telematico de quo;
- selezionare il tasto partecipa;
- (solo al primo accesso) cliccare su mia risposta, posto sulla sinistra della pagina web;
- (solo al primo accesso) cliccare sul link “Rispondi” (posizionato al centro dello schermo) per avviare il processo di risposta.
Ultimate tali operazioni gli Operatori economici potranno scaricare l’ulteriore documentazione relativa al presente avviso, porre chiarimenti, ricevere le risposte e presentare quanto necessario in risposta alla presente Consultazione.
Per redigere le relative dichiarazioni nonché per caricare l’eventuale documentazione a corredo l’Operatore economico dovrà, all’interno della Busta amministrativa digitale, allegare i documenti richiesti, sottoscritti con firma digitale.
Si precisa che tutti i file allegati al Portale (dichiarazioni e/o documenti scansionati) dovranno essere firmati digitalmente e non potranno essere superiori ai 10 Mb, pena il mancato controllo della firma digitale.
Si ricorda che non è consentito firmare digitalmente una cartella compressa (es. zip) contenente documenti privi di firma digitale, ma è possibile allegare una cartella compressa contenente documenti digitalmente firmati.
Al termine dell’inserimento della documentazione richiesta, l’Operatore economico dovrà cliccare su “Salva ed Esci” per salvare quanto inserito e tornare alla propria pagina riepilogativa della fase di prequalifica.
Una volta espletate tali attività l’Operatore economico concorrente dovrà cliccare su Trasmetti risposta. L’Operatore economico potrà visualizzare nella sua cartella personale, alla colonna Stato della risposta, l’avvenuta trasmissione (Stato della risposta: trasmessa).
L’Operatore economico potrà modificare i dati precedentemente trasmessi ovvero ritirare la propria risposta entro e non oltre la data e l’ora di scadenza di cui in seguito.
Documenti da allegare
Gli Operatori economici interessati a partecipare alla presente Consultazione possono manifestare il proprio interesse inviando, sul Portale, entro e non oltre il giorno 26/03/2024 ore 13:00 quanto segue:
a) Modulo denominato “Manifestazione di Interesse alla consultazione”, da rendere compilando il facsimile Allegato 1, firmato dal legale rappresentante dell’Operatore economico che la rende;
b) L’allegato 1.1 RFI Servizio Calcolo Imposte Evaluation Model Questionario;
c) Eventuale altra documentazione integrativa.
X.X. Xxxxx la documentazione deve essere redatta in lingua italiana. In caso contrario, tutta la documentazione deve essere accompagnata da traduzione in lingua italiana certificata “conforme al testo straniero” dalla competente rappresentanza diplomatica o consolare ovvero da un traduttore ufficiale.
Tutti i file allegati al Portale (dichiarazioni e/o documenti scansionati) dovranno essere firmati digitalmente dal rappresentante legale dell’Operatore economico partecipante o procuratore munito di appositi poteri.
N.B. Alla manifestazione di interesse alla Consultazione NON dovrà essere allegata alcuna offerta economica.
L'invio telematico della manifestazione di interesse alla Consultazione è a totale ed esclusivo rischio
del mittente, restando esclusa qualsivoglia responsabilità di Ferservizi, ove, per qualsiasi malfunzionamento alla struttura tecnica, tecnologia o di connessione dell’Operatore economico, la stessa non pervenga entro il termine di scadenza e secondo le modalità previste. Si invitano pertanto gli Operatori economici interessati ad avviare le attività finalizzate alla trasmissione di quanto richiesto con largo anticipo rispetto alla scadenza prevista onde evitare la non completa e quindi mancata trasmissione della risposta decorso tale termine.
N.B.: Qualora sia accertata la mancanza, l’incompletezza o l’irregolarità essenziale della documentazione presentata, si procederà alla richiesta di integrazione o di regolarizzazione di detta documentazione.
VI. Modalità di svolgimento della Consultazione preliminare di mercato
La Consultazione potrà svolgersi in fasi successive. Gli Operatori economici sono invitati a prendere visione della documentazione allegata al presente avviso.
Le manifestazioni di interesse ricevute saranno raccolte e analizzate da Ferservizi, ivi inclusa tutta la documentazione prodotta dagli Operatori Economici in riscontro alla presente Consultazione.
In base alle risultanze delle attività di analisi condotte ed al fine di acquisire tutte le informazioni e documentazioni utili per la migliore preparazione dell'Appalto ai fini della successiva eventuale indizione della relativa procedura di selezione, Ferservizi potrà eventualmente procedere ad invitare gli Operatori economici che hanno presentato manifestazione di interesse ad uno o più incontri di approfondimento tecnico. Tali incontri saranno oggetto di apposita verbalizzazione.
Per ogni fase di svolgimento della Consultazione, gli Operatori economici partecipanti riceveranno apposita comunicazione (a mezzo di pubblicazione di avvisi sul Portale e/o sul profilo committente). Al termine della Consultazione, Ferservizi pubblicherà sul Portale e sul Profilo committente apposito avviso di chiusura della consultazione preliminare di mercato.
VII. Riserve e precisazioni
La partecipazione alla presente Consultazione preliminare di mercato non dà diritto ad alcun compenso e/o rimborso per le spese sostenute, deve pertanto intendersi a titolo completamente gratuito.
Il presente Avviso, in quanto costituente avvio di una mera consultazione preliminare di mercato, non è vincolante e non è finalizzato all'assegnazione e stipula di alcun contratto, pertanto, la presente Consultazione non comporta alcun obbligo per Ferservizi di avviare procedure di selezione del contraente per le prestazioni oggetto dell'iniziativa.
La partecipazione alla consultazione preliminare di mercato:
- è ininfluente (ossia: non assicura e non preclude) rispetto alla partecipazione alla eventuale successiva procedura di selezione per l’affidamento dell’Appalto, non costituendo condizione di accesso, né titolo preferenziale, né impegno alcuno circa il prosieguo della procedura;
- non potrà, in alcun modo, ostacolare altri Operatori economici che non abbiano partecipato alla Consultazione avviata con il presente avviso;
- non determina alcuna aspettativa nei confronti di Ferservizi e gli Operatori economici non possono rivendicare alcun diritto al riguardo.
Tutte le informazioni da Voi fornite in riscontro al presente documento saranno utilizzate ai soli fini dello sviluppo dell’iniziativa in oggetto e non dovranno costituire offerte tecniche o economiche; a tal fine i contributi trasmessi non dovranno fornire anticipazioni in merito alle quotazioni afferenti il servizio oggetto della presente Consultazione, al fine di non alterare il regolare sviluppo competitivo della successiva eventuale fase di selezione.
Pertanto, tutta la documentazione raccolta potrà essere utilizzata per la predisposizione della documentazione dell'eventuale successiva procedura di selezione per l’affidamento dell’Appalto, nei limiti del rispetto dei diritti di privativa e della proprietà intellettuale, di non discriminazione e di trasparenza.
Per tale motivo, al fine di garantire il rispetto del principio dell'effettiva concorrenza, Ferservizi potrà comunicare agli altri candidati e offerenti nell'ambito dell'eventuale successiva procedura di selezione, le informazioni pertinenti, scambiate nel quadro della presente Consultazione.
Ciò premesso, si invita a non inviare informazioni che contengano informazioni e/o dati protetti da diritti di privativa o da diritti di proprietà intellettuale, comunque, rilevatori di segreti aziendali, commerciali, tecnici o industriali, ovvero di inviare motivata e comprovata dichiarazione per la parte delle informazioni e/o documentazioni inviate per le quali si richiede la non divulgazione.
Si precisa, in vista dell’eventuale accesso da parte di altri Operatori economici agli esiti della presente Consultazione, che la divulgazione di quanto contenuto nei Vostri contributi avverrà in forma anonima.
Resta ferma la facoltà di Ferservizi di interrompere, modificare, prorogare, sospendere e revocare la procedura in qualsiasi momento, senza che ciò possa costituire, in alcun modo, diritto o pretesa a qualsivoglia risarcimento o indennizzo.
La consultazione preliminare di mercato si espleta nella piena osservanza del Codice Etico del Gruppo Ferrovie dello Stato Italiane, pubblicato al seguente indirizzo Internet: xxxx://xxx.xxxxxxxxxx.xx nella sezione “Il Gruppo FS” sottosezione “Governance”, sottosezione “Codice etico” e nell’osservanza del Modello di Organizzazione, Gestione e Controllo ex D.lgs. n. 231/2001 e s.m.i. di FS (“Modello 231”), disponibile al seguente indirizzo Internet: xxxx://xxx.xxxxxxxxxx.xx nella sezione “Il Gruppo FS” sottosezione “Etica, compliance e integrità”.
VIII. Trattamento dei dati personali
Le Parti (Ferservizi, Delivery Farm Corporate di FSTechnology S.p.A. e ciascun Operatore economico) si impegnano a trattare i dati personali, acquisiti nell’ambito e per le finalità connesse alla presente Consultazione, nel rispetto dei principi di correttezza, liceità e trasparenza previsti dalla normativa vigente in materia di protezione dei dati personali (Regolamento UE 2016/679 e dal D.Lgs. n. 196/2003 e s.m.i.).
In particolare, le Parti si impegnano a trattare i dati personali nel rispetto del principio di minimizzazione, nonché a garantirne l’integrità e la riservatezza.
È fermo l’obbligo di ciascuna delle Parti, in qualità di Titolari autonomi del trattamento, di fornire l’informativa sul trattamento dei dati personali alle persone fisiche della propria organizzazione e a quelle dell’altra Parte i cui dati siano trattati per le finalità di cui al primo capoverso del presente Paragrafo e garantire l’esercizio dei diritti degli interessati.
L’obbligo di informativa di cui al terzo comma viene assolto da Ferservizi mediante pubblicazione nella sezione “Protezione dati personali” del sito istituzionale xxx.xxxxxxxxxx.xx. L’obbligo di informativa è inoltre assolto dalle Società del Gruppo FS Italiane Titolari del trattamento mediante pubblicazione sui rispettivi siti istituzionali.
Ciascuna Parte risponde delle contestazioni, azioni o pretese avanzate da parte degli interessati e/o di qualsiasi altro soggetto e/o Autorità in merito alla inosservanza alla normativa vigente in materia di protezione dei dati personali (Regolamento UE 2016/679 e dal D.Lgs. 196/2003 e s.m.i.), ad essa ascrivibili.
IX. Pubblicità
Il presente avviso e i relativi allegati sono pubblicati sul Portale Acquisti di Ferservizi raggiungibile al sito xxx.xxxxxxxxxxxxxxxxxxxxxxxx.xx e sul profilo del Committente raggiungibile al sito xxx.xxxxxxxxxx.xx.
Al termine della Consultazione, Ferservizi pubblicherà sul Portale apposito avviso di chiusura della consultazione preliminare di mercato.
Si allegano:
Allegato 1: Manifestazione di Interesse alla Consultazione;
Allegato 1.1: RFI Servizio Calcolo Imposte Evaluation Model Questionario; Allegato 2: Specifiche Tecniche.
Sourcing e Procurement Services
Il ResponsabilFeirmato da Xxxxxxx
Xxxxxxxxx
il 08/03/2024 alle 18:59:34 CET
Allegato 1
Manifestazione di Interesse alla consultazione
(Dichiarazione resa ai sensi e per gli effetti di cui agli artt. 46 e 47 del D.P.R. 445/2000 e s.m.i., ovvero, per gli Operatori economici stabiliti in stati diversi dall’Italia, documentazione equivalente secondo la legislazione dello stato di appartenenza e, comunque, nel rispetto di quanto previsto nell’art. 3, commi 2, 3 e 4 del D.P.R. n.445/2000 e s.m.i., e laddove applicabile, nel rispetto di quanto previsto nell’art, 33 del medesimo decreto.)
NOTE DI COMPILAZIONE: si invita a compilare le caselle in grigio. Il documento dovrà essere sottoscritto digitalmente, pertanto non è necessario apporre timbro e firma autografa.
Oggetto: Avviso Consultazione di mercato per una soluzione di gestione del Calcolo delle Imposte IRES e IRAP per conto di Ferrovie dello Stato Italiane Spa.
Il/la sottoscritto/a | ||||||
Nato/a a | Prov. | ( ) | il | / / | ||
C.F. | ||||||
In qualità di: | ||||||
ovvero | ||||||
Procuratore (in tal caso indicare gli estremi della relativa procura) | ||||||
della Società (indicare Ragione Sociale per esteso): | ||||||
C.F | P.IVA | |||||
con sede legale in: | ||||||
Xxx | xx | |||||
X.X.X. | Xxxxx | Xxxx. | ( ) | |||
Telefono | Fax | |||||
Allegato 1- Manifestazione di Interesse alla consultazione Pag. 1 a 4
MANIFESTA
il proprio interesse relativamente alla consultazione preliminare di mercato in oggetto per le finalità indicate al Paragrafo II dell’Avviso di Consultazione preliminare di mercato.
A tal fine, consapevole, ai sensi e per gli effetti dell’art.76 del d.P.R. 28 dicembre 2000, n. 445 e
s.m.i., delle responsabilità e delle sanzioni previste in caso di dichiarazioni mendaci e/o formazione o uso di atti falsi, nonché in caso di esibizione di atti contenenti dati non più corrispondenti a verità e consapevole che qualora emerga la non veridicità del contenuto della presente dichiarazione decadrà dai benefici per i quali la stessa è rilasciata
Sezione I
AI SENSI DEGLI ARTT. 46 E 47 DEL D.P.R. 445/2000 DICHIARA SOTTO LA PROPRIA RESPONSABILITA’
- di aver preso piena conoscenza e di accettare integralmente il contenuto dell’Avviso di consultazione di mercato e degli eventuali chiarimenti resi;
- che l’Impresa è iscritta nel registro della Camera di Commercio, Industria, Artigianato e Agricoltura (o ad altro organismo equipollente secondo la legislazione dello Stato di appartenenza) per attività inerente all’oggetto delle prestazioni da affidare e che:
- di essere consapevole che, in sede di partecipazione all’eventuale procedura di selezione, all’atto di presentazione dell’offerta, l’Impresa dovrà attestare l’assenza delle cause ostative indicate nell’Avviso in riferimento;
Sezione II – Requisiti minimi tecnico - funzionali
Compilare il questionario specifico riportato nella sezione “Requisiti generali” dell’Allegato 1.1.
Sezione III – Questionario generale/tecnico
Compilare i questionari riportati nelle sezioni specifiche dell’Allegato 1.1 e caricare quanto predisposto per i POC richiesti nelle sezioni specifiche del Portale.
Sezione IV
Inoltre, DICHIARA:
A. di accettare che la presente Consultazione preliminare di mercato non dà diritto ad alcun compenso e/o rimborso per le spese sostenute, e che pertanto, ogni contributo viene reso a titolo completamente gratuito;
B. di accettare integralmente, senza condizione o riserva alcuna, che l’Avviso in riferimento, in quanto costituente avvio di una mera consultazione preliminare di mercato, non è vincolante e non è
finalizzato all'assegnazione e stipula di alcun contratto, pertanto, la Consultazione non comporta alcun obbligo per Ferservizi di avviare procedure di selezione del contraente per le prestazioni oggetto dell'iniziativa. L’operatore economico, pertanto prende atto e accetta che:
1. la partecipazione alla consultazione preliminare di mercato è ininfluente (ossia: non assicura e non preclude) rispetto alla partecipazione alla eventuale successiva procedura di selezione per l’eventuale affidamento dell’Appalto, non costituendo condizione di accesso, né titolo preferenziale, né impegno alcuno circa il prosieguo della procedura;
2. non potrà, in alcun modo, ostacolare altri Operatori economici che non abbiano partecipato alla Consultazione avviata con il presente avviso;
3. non determina alcuna aspettativa nei confronti di Ferservizi e gli Operatori economici non possono rivendicare alcun diritto al riguardo.
C. di accettare integralmente, senza condizione o riserva alcuna, che i contributi dallo stesso forniti potranno essere utilizzati per la predisposizione della documentazione dell'eventuale successiva procedura di selezione per l’affidamento dell’Appalto, nei limiti del rispetto dei diritti di privativa e della proprietà intellettuale1, di non discriminazione e di trasparenza;
D. di accettare integralmente, senza condizione o riserva alcuna, che Ferservizi ha la più ampia facoltà di interrompere, modificare, prorogare, sospendere e revocare la procedura in qualsiasi momento, senza che ciò possa costituire, in alcun modo, diritto o pretesa a qualsivoglia risarcimento o indennizzo;
E. di aver preso visione e di accettare il Codice Etico del Gruppo Ferrovie dello Stato Italiane, pubblicato al seguente indirizzo Internet: xxxx://xxx.xxxxxxxxxx.xx nella sezione “Il Gruppo FS” sottosezione “Governance” – sottosezione “Codice etico”, di cui potrà chiedere in ogni momento copia cartacea, che è parte integrante del Modello di Organizzazione, Gestione e Controllo ex D.lgs. n. 231/2001 e
s.m.i. di FS, di averne ben compreso i principi, i contenuti e le finalità e di obbligarsi al loro pieno ed integrale rispetto;
(a) di aver preso visione del Modello di Organizzazione Gestione e Controllo ex D.lgs. n. 231/2001 e
s.m.i. di FS (“Modello 231”), disponibile al seguente indirizzo Internet: xxxx://xxx.xxxxxxxxxx.xx nella sezione “Il Gruppo FS” sottosezione “Etica, compliance e integrità”, di cui potrà chiedere in ogni momento copia cartacea, di averne ben compreso i principi, i contenuti e le finalità e di obbligarsi al loro pieno ed integrale rispetto.
1 Si invita L’operatore economico a non inviare informazioni che contengano informazioni e/o dati protetti da diritti di privativa o da diritti di proprietà intellettuale comunque rilevatori di segreti aziendali, commerciali, tecnici o industriali, ovvero di inviare, parallelamente alla presente dichiarazione, motivata e comprovata dichiarazione per la parte delle informazioni e/o documentazioni per le quali si richiede la non divulgazione.
Il sottoscritto, in vista dell’eventuale accesso da parte di altri Operatori economici agli esiti della presente Consultazione, accetta espressamente che la divulgazione di quanto contenuto nei contributi forniti avverrà in forma anonima.
Il sottoscritto rende la presente dichiarazione sotto la propria responsabilità, consapevole delle sanzioni previste dalla legge a carico di chi attesta il falso e dichiara di essere informato che i dati personali raccolti saranno trattati in conformità con il Regolamento UE 2016/679, anche con strumenti informatici, esclusivamente nell’ambito del procedimento per il quale la presente dichiarazione viene resa.
A U T O R I Z Z A
Luogo | Data | |||
Letto, confermato e sottoscritto | ||||
* NB: Le dichiarazioni dovranno essere firmate digitalmente dal legale rappresentante o procuratore munito di appositi poteri.
QUESTIONARIO GENERALE |
XXX-XXX |
SERVIZIO DI GESTIONE DEL CALCOLO DELLE IMPOSTE IRES E IRAP |
Modello di valutazione - Prodotti e Critical Capabilities
ISTRUZIONI per compilare la valutazione dei prodotti e delle capabilities |
> Al fornitore è richiesto di compilare la scheda "Riferimenti Fornitore", con tutti i riferimenti della persona responsabile di questa valutazione e rispondendo alle domande relative all'oggetto della presente consultazione di mercato, e la scheda "Valutazione Prodotti" con tutte le informazioni relative ai prodotti proposti. > La scheda "Valutazione Capabilities" contiene un elenco di critical capabilities per l'iniziativa relativa al SERVIZIO DI GESTIONE DEL CALCOLO DELLE IMPOSTE IRES E IRAP in FERROVIE DELLO STATO SpA come riproposto e descritto nel documento relativo alle specifiche tecniche. 1. All'Operatore economico è richiesto di indicare per ciascuna di queste capabilities: a. La percentuale di copertura della capability da parte del prodotto/soluzione offerta; b. I componenti di terze parti suggeriti da prendere in considerazione per coprire in modo ampio/ completo la specifica capability; c. Gli elementi chiave della differenziazione dei prodotti proposti; d. Il peso delle specifiche critical capabilities che il fornitore considera adeguate, per il successo dell'implementazione del SERVIZIO DI GESTIONE DEL CALCOLO DELLE IMPOSTE IRES E IRAP in FERROVIE DELLO STATO SpA 2. L'Operatore economico può aggiungere nuove capabilities non considerate in via preliminare da FERROVIE DELLO STATO SpA. |
RIFERIMENTI OPERATORE ECONOMICO Si prega di fornire il contatto di riferimento del Fornitore che ha definito questa valutazione / da contattare per chiarire qualsiasi informazione fornita. | |
Azienda | |
Sede legale | |
Nome e cognome della persona di riferimento che firma il questionario | |
Ruolo ricoperto in azienda | |
N. telefono | |
Fax | |
Data di compilazione del questionario | |
ID | DOMANDE RELATIVE ALL'OGGETTO DELLA PRESENTE CONSULTAZIONE DI MERCATO | |
REF-01 | Fornire una breve descrizione dell'Operatore Economico (servizi offerti, certificazioni, appaltatori, ecc.) | |
REF-02 | Indicare l'esperienza maturata rispetto all'esigenza rappresentata nella presente consultazione di mercato o per iniziative analoghe | |
REF-03 | Ricavi totali annui (manutenzione e nuove licenze) relativi ai prodotti in oggetto, per ciascuno dei tre Anni Fiscali precedenti, fornire i dettagli per: o Italia o Mondiale (se presente) o Ripartizione nei seguenti settori: Utility/Risorse/Clienti del settore pubblico (per il settore pubblico non si devono includere entità parzialmente possedute dallo Stato (ad es. aziende energetiche, aziende postali, ecc.). | |
REF-04 | Numero totale di installazioni attive (funzionanti in ambienti di produzione) ad oggi. Per ogni installazione fornire i dettagli per l'Italia e/o l'Europa. Eventualmente, fornire una descrizione delle dimensioni/volumi (ad es. numero di utenti). | |
REF-05 | Descrivere eventuali partnership, relazioni o dipendenze con terzi. | |
REF-06 | Fornire l'elenco di tutti i partner certificati ( System Integrator/Consulting) ad oggi, che hanno prodotti certificati professionisti disponibili localmente. | |
REF-07 | Confermare la disponibilità locale di ingegneri di prodotto | |
REF-08 | Fornire informazioni dettagliate sui servizi di assistenza e formazione erogati | |
REF-09 | Si richiede di: •Fornire una struttura chiara delle tariffe per l’utilizzo del servizio; •Offrire strumento di monitoraggio e gestione dei costi. | |
REF-10 | Considerando che la scelta della soluzione implicherà l’avvio di una attività di set up della soluzione per il Gruppo FS, si richiede di fornire una proposition progettuale, partendo dalle seguenti assunzioni: 1)Le Società da integrare nella soluzione sono almeno 5 in fase 1; 2)Le Società in perimetro della fase 1 adottano un modello contabile comune e un piano dei conti armonizzato rispetto al quale eseguire le confluenze. Vale la medesima cosa anche per il trattamento dei dati fiscali (anche in termini di anagrafiche); 3)Le Società gestiscono la contabilità su sistemi basati su tecnologia SAP S/4 Hana e SAP ECC. Al contempo, i dati contabili per esigenze di Bilancio Consolidato vengono acquisiti su base giornaliera sul sistema di consolidamento di gruppo in tecnologia Oracle (quindi i dati potrebbero essere elaborati o sui singoli sistemi societari o sul sistema di Gruppo). Per queste Società bisogna prevedere anche integrazione con i sistemi per l’acquisizione automatica dei dati (da descrivere) 4)Nelle fasi successive di progetto prevedere la possibilità di roll in per Società che adottano modello contabile e modello anagrafico diverso dal Gruppo di Fase 1. In questo caso ci sono dei delta analisi da prevedere; 5)Il numero di utenti è dai 40 ai 100 massimo per tutte le Società. Si richiede pertanto di fornire una proposta di piano di progetto, evidenziando: 1)Propedeuticità di adozione della piattaforma (es. obbligatorietà di altri moduli inclusi nel prodotto); 2) Eventuali propedeuticità derivanti da sottoscrizioni di convenzioni con il Cliente per l’adozione del servizio; 3) Vincoli di adozione della piattaforma, con particolare focus sull’integrazione con i sistemi contabili; 4)Ipotesi di piano di progetto per set up piattaforma e integrazioni con sistemi contabili, considerando avvio progetto in corso anno fiscale 2024 e ipotizzando adozione applicativo certificato per esercizio fiscale 2025; 5)Disponibilità di un team di onboarding e training in grado di consentire la corretta adozione della piattaforma; 6)Matrice RACI. | Link allo Sheet "Risposte REF_10" |
REF-11 | Ai fini della valutazione della proposta formulata, è richiesta la condivisione delle condizioni e vincoli che si manifestano allo scadere del contratto, in particolare con riferimento ai seguenti punti: •Clausola di trasferimento dati, per la gestione dei dati del cliente al termine del contratto, inclusa la possibilità di esportare i dati in un formato accessibile; •Clausola di migrabilità dei dati, per la gestione del processo e le condizioni di trasferimento dei dati dal servizio SAAS a un altro fornitore o sistema; •Clausola di aggiornamenti e miglioramenti, per la gestione degli aggiornamenti o modifiche della piattaforma SAAS e eventuali costi aggiuntivi associati. | Link allo Sheet "Risposte REF_11" |
Case Study - Progettualità |
Considerando che la scelta della soluzione implicherà l’avvio di una attività di set up della soluzione per il Gruppo FS, si richiede di fornire una proposition progettuale, partendo dalle seguenti assunzioni: 1)Le Società da integrare nella soluzione sono almeno 5 in fase 1; 2)Le Società in perimetro della fase 1 adottano un modello contabile comune e un piano dei conti armonizzato rispetto al quale eseguire le confluenze. Vale la medesima cosa anche per il trattamento dei dati fiscali (anche in termini di anagrafiche); 3)Le Società gestiscono la contabilità su sistemi basati su tecnologia SAP S/4 Hana e SAP ECC. Al contempo, i dati contabili per esigenze di Bilancio Consolidato vengono acquisiti su base giornaliera sul sistema di consolidamento di gruppo in tecnologia Oracle (quindi i dati potrebbero essere elaborati o sui singoli sistemi societari o sul sistema di Gruppo). Per queste Società bisogna prevedere anche integrazione con i sistemi per l’acquisizione automatica dei dati (da descrivere) 4)Nelle fasi successive di progetto prevedere la possibilità di roll in per Società che adottano modello contabile e modello anagrafico diverso dal Gruppo di Fase 1. In questo caso ci sono dei delta analisi da prevedere; 5)Il numero di utenti è dai 40 ai 100 massimo per tutte le Società. Si richiede pertanto di fornire una proposta di piano di progetto, evidenziando: 1)Propedeuticità di adozione della piattaforma (es. obbligatorietà di altri moduli inclusi nel prodotto); 2)?Eventuali propedeuticità derivanti da sottoscrizioni di convenzioni con il Cliente per l’adozione del servizio; 3)?Vincoli di adozione della piattaforma, con particolare focus sull’integrazione con i sistemi contabili; 4)Ipotesi di piano di progetto per set up piattaforma e integrazioni con sistemi contabili, considerando avvio progetto in corso anno fiscale 2024 e ipotizzando adozione applicativo certificato per esercizio fiscale 2025; 5)Disponibilità di un team di onboarding e training in grado di consentire la corretta adozione della piattaforma; 6)Matrice RACI. |
Proposta Piano di Lavoro
Vincoli e Propedeuticità
Politica di Way Out |
Ai fini della valutazione della proposta formulata, è richiesta la condivisione delle condizioni e vincoli che si manifestano allo scadere del contratto, in particolare con riferimento ai seguenti punti: •Clausola di trasferimento dati, per la gestione dei dati del cliente al termine del contratto, inclusa la possibilità di esportare i dati in un formato accessibile; •Clausola di migrabilità dei dati, per la gestione del processo e le condizioni di trasferimento dei dati dal servizio SAAS a un altro fornitore o sistema; •Clausola di aggiornamenti e miglioramenti, per la gestione degli aggiornamenti o modifiche della piattaforma SAAS e eventuali costi aggiuntivi associati. |
Proposta
Requisiti minimi obbligatori della soluzione proposta Si prega di fornire i dettagli della soluzione in merito alle richieste fornite sotto | ||
F-01 | Singolo Software Vendor | <inserire commento> |
F-02 | Deployment Scenario | <inserire commento> |
F-03 | Tipologia di Servizio | <inserire commento> |
F-04 | Funzioni di Calcolo | <inserire commento> |
F-05 | Valorizzazione Prospetti Dichiarativi richiesti dalla normativa | <inserire commento> |
F-06 | Manutenzione e aggiornamento regole di calcolo e prospetti | <inserire commento> |
F-07 | Calcolo e predisposizione Modello Dichiarativi del Consolidato Fiscale | <inserire commento> |
F-08 | Modalità di esecuzione dei calcoli | <inserire commento> |
F-09 | Performance Prodotto | <inserire commento> |
F-10 | Esportabilità dei dati calcolati | <inserire commento> |
F-11 | Invio Dichiarazioni verso Enti coinvolti nel processo fiscale (AdE ed eventuali altri) | <inserire commento> |
F-12 | Integrabilità della soluzione con i sistemi contabili di Gruppo (es. tecnologia SAP S/4 ECC, BW/4, Suite EPM ORACLE) e eventuali sistemi documentali terzi | <inserire commento> |
F-13 | Modalità Integration | <inserire commento> |
F-14 | Flessibilità della soluzione | <inserire commento> |
F-15 | Retention Dati Fiscali calcolati | <inserire commento> |
F-16 | Funzionalità di Reporting | <inserire commento> |
F-17 | User Interface | <inserire commento> |
F-18 | Supporto Specialistico | <inserire commento> |
F-19 | Assistenza Specializzata | <inserire commento> |
MODELLO DI VALUTAZIONE DEL SERVIZIO DI GESTIONE DEL CALCOLO DELLE IMPOSTE IRES E IRAP Valutazione delle Capabilities <inserire nome del fornitore> | ||||||
C1 - ID | C2 - Critical Capability | C3 - Grado % di copertura della capability Selezionare valore - 0% Non coperta - 30% Parzialmente coperta - 60% Ampiamente coperta - 100% Completamente coperta | C4 - Caratteristiche chiave/di alto livello di differenziazione e unicità dei prodotti proposti Fornite qui un elenco specifico di capacità, caratteristiche, funzionalità, aspetti tecnici, ecc. che differenziano e/o rendono unica la vostra soluzione rispetto ad altri fornitori di sw sul mercato. - Distinguete quale aspetto è differenziante (cioè più potente o sofisticato) e quale è unico (nessun altro fornitore lo possiede sul mercato); - Elencare eventuali brevetti registrati relativi alla caratteristica evidenziata; | C5 - Componenti di terze parti suggeriti da prendere in considerazione per soddisfare ampiamente/totalmente la critical capability o integrarla oltre i livelli minimi richiesti Si prega di fornire un elenco, se presente, dei prodotti best-of- breed di terze parti con cui la soluzione si integrerà per completare o arricchire al massimo grado le capabilities richieste. L'integrazione con strumenti di terze parti best-of- breed è considerata importante per raggiungere la massima copertura di funzionalità. | C6 - Quanto considera importante questa capability nel contesto del Gruppo Ferrovie dello Stato? Selezionare valore - 0 Non molto critica - 1 Mediamente critica - 2 Critica - 3 Estremamente critica | C7 - Per quali motivazioni si ritiene importante o estremamente importante questa capability nel contesto del Gruppo Ferrovie dello Stato? Si prega di fornire un commento se è stato selezionato 2 o 3 nella colonna C6 |
ID | Critical Capabilities | |||||
T-01 | Gestione dei Sistemi - Adozione Best Practice di Settore | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-02 | Gestione Privacy - Ruoli e Responsabilità definiti formalmente in ambito Data Protection | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-03 | Gestione Privacy - Svolgimento audit di sicurezza periodici e verifica in materia di data protection | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-04 | Gestione Privacy - Monitoraggio periodico delle non conformità delle normative in ambito Data Protection | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-05 | Governo della Sicurezza delle Informazioni - Policy di sicurezza | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-06 | Governo della Sicurezza delle Informazioni - Policy di sicurezza | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-07 | Governo della Sicurezza delle Informazioni - Modello di controlli IT | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-08 | Governo della Sicurezza delle Informazioni - Certificazione del sistema di sicurezza | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-09 | Governo della Sicurezza delle Informazioni - Risk Assessment periodici | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.1 | Controllo Accessi Logici - Policy per la gestione degli accessi ai sistemi informatici | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.2 | Controllo Accessi Logici - Gestione Profilazioni Utenze | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.3 | Controllo Accessi Logici - Review periodica delle utenze | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.4 | Controllo Accessi Logici - Meccanismi di identificazione e autenticazione | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.5 | Controllo Accessi Logici - Autenticazione di accesso | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.6 | Controllo Accessi Logici - Autenticazione di accesso | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.7 | Controllo Accessi Logici - Utilizzo utenze univoche e nominali | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.9 | Controllo Accessi Logici - Meccanismi di autorizzazione | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.10 | Controllo Accessi Logici - Gestione utenze Privilegiate | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.11 | Controllo Accessi Logici - Password policy conforme alle linee guida aziendali | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.12 | Controllo Accessi Logici - Strong Authentication | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-10.13 | Controllo Accessi Logici - Accesso logico terze parti | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-11.1 | Logging - Tracciamenti accessi utenti | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-11.2 | Logging - Tracciamento accessi Amministratori di Sistema | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-11.3 | Logging - Protezione dei log | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-11.4 | Logging - Retention dei log | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-12.1 | Sviluppo Sicuro - Policy per la gestione del ciclo di vita del software | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-12.2 | Sviluppo Sicuro - Formazione sullo sviluppo sicuro | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-12.3 | Sviluppo Sicuro - Segregazione ambienti | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-12.4 | Sviluppo Sicuro - Requisiti di sicurezza software fornitori | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-12.5 | Sviluppo Sicuro - Test su nuovi sistemi | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-12.6 | Sviluppo Sicuro - Analisi SAST | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-13 | Gestione Terze Parti - Clausola contrattuali, SLA e processo di monitoraggio dell'operato delle Terze Parti o "persone correlate" | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-14.1 | Monitoring - Tracciatura degli Incident | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-14.2 | Monitoring - Monitoraggio delle performance | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-14.3 | Monitoring - Gestione e fornitura dei log degli eventi | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-15.1 | Gestione dell'infrastruttura Cloud - Ruoli e responsabilità in ambiente cloud | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-15.2 | Gestione dell'infrastruttura Cloud - Localizzazione dei Data Center | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-15.3 | Gestione dell'infrastruttura Cloud - Notifica data breach da parte del Cloud Provider | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-15.4 | Gestione dell'infrastruttura Cloud - Accordi di non divulgazione (Non Disclosure Agreement, NDA) | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-16 | Protezione Informazioni - Classificazione e censimento delle informazioni | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-17.1 | Change & Patch Management - Processo formale di Change & Patch management | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-17.2 | Change & Patch Management - Patch Management | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-17.3 | Change & Patch Management - Patch Management tramite tool automatici | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-18.1 | Host Security - Cifratura dei canali di trasmissione (HTTPS) | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-18.2 | Host Security - Hardening dei sistemi | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-18.3 | Host Security - Host Intrusion Detection System (HIDS) | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-18.4 | Host Security - Host Intrusion Prevention System (HIPS) | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-19.1 | Latenza - Latenza di Rete | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-19.2 | Latenza - Latenza di Elaborazione | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-20.1 | Anti-virus, anti- malware - Antivirus | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-20.2 | Anti-virus, anti- malware - Anti-malware | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-21.1 | Security Assessment - Vulnerability Assessment | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-21.2 | Security Assessment - Penetration Test | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-22.1 | Backup & Restore - Backup - Definizione policy | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-22.2 | Backup & Restore - Backup - Ubicazione | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-22.3 | Backup & Restore - Back up periodico | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-22.4 | Backup & Restore - Disaster recovery | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-22.5 | Backup & Restore - Piani di continuità operativa | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-22.6 | Backup & Restore - High Availability | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-22.7 | Backup & Restore - Test periodici | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-22.8 | Backup & Restore - Protezione copie di backup | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-23 | Data Retention - Data Retention | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-24.1 | Cifratura e mascheramento dei dati - Tecniche di cifratura | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-24.2 | Cifratura e mascheramento dei dati - Mascheramento dei dati | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-25 | Sicurezza Fisica e Ambientale - Sicurezza Piattaforma SaaS | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-26.1 | Controlli Applicativi - Input validation | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-26.2 | Controlli Applicativi - File Integrity Tool | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-26.3 | Controlli Applicativi - Protezione Avanzata Database | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-27.1 | Protezione Informazioni - Implementazione di soluzioni di gestione dei diritti digitali (DRM) | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-27.2 | Protezione Informazioni - Implementazione di soluzioni di Data Loss Prevention (DLP) | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-28.1 | Cancellazione - Cancellazione base (a livello software) | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-28.2 | Cancellazione - Decommissioning e cancellazione sicura (a livello hardware) | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-29.1 | Network Security - Web Application Firewall (WAF) | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-29.2 | Network Security - Cifratura dei canali di trasmissione (es: VPN) | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-29.3 | Network Security - Protezione Anti DDOS | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-29.4 | Network Security - Firewall | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-29.5 | Network Security - Rilevamento intrusioni sulla rete | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-29.6 | Network Security - Controllo accessi alla rete mediante dispositivi mobili | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-29.7 | Network Security - Hardening dei dispositivi di rete | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-29.8 | Network Security - IP Tracking | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
T-29.9 | Network Security - DNS Protection | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
<Eventuale critical capability aggiuntiva> | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> | |
<Eventuale critical capability aggiuntiva> | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> | |
<Eventuale critical capability aggiuntiva> | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> | |
<Eventuale critical capability aggiuntiva> | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> | |
<Eventuale critical capability aggiuntiva> | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> | |
<Eventuale critical capability aggiuntiva> | 0% | <inserire commento> | <inserire commento> | 0 | <inserire commento> |
MODELLO DI VALUTAZIONE DEL SERVIZIO DI GESTIONE DEL CALCOLO DELLE IMPOSTE IRES E IRAP Valutazione Prodotti <inserire nome del fornitore> | ||||||||
P1 - Nome del prodotto | P2 - QUALITA' DEI DATI Selezionare il valore Questo prodotto copre le critical capabilities per questo componente? | P3 - INTEGRAZIONE DEI DATI Selezionare il valore Questo prodotto copre le critical capabilities per questo componente? | P4 - Commenti sulla copertura da parte dei prodotti delle componenti chiave | P5 - Versione attuale del prodotto | P6 - Scenario di distribuzione (deployment) dell'applicazione supportato Selezionare valore | P7 - Il software è stato sviluppato dalla vostra organizzazione o acquisito da terzi parti? Selezionare valore Si prega di commentare nella colonna P8 se è stato selezionato "NO" | P8 - Commenti Si prega di fornire informazioni sull'origine del software e pianificazione del ciclo di vita del prodotto - Il vostro prodotto è stato acquistato più di 5 anni fa? - Quali sono le funzionalità che intendete implementare nei prossimi 3 anni? | P9 - Modello di licenza Fornire una chiara descrizione di: - Modelli alternativi di licenza/abbonamento offerti - Metriche di licenza (definizioni) - Eventuali moduli/caratteristiche opzionali e relativi modelli di licenza/carico - Disponibilità del prezzo di listino (opzionale) |
<inserire il nome del prodotto> | SI | NO | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
<inserire il nome del prodotto> | <inserire commento> | <inserire commento> | <inserire commento> | <inserire commento> | ||||
LEGENDA
Valore selezionato |
Testo inserito |
Autovalutazione tecnica da parte dei Vendor in risposta alla RFI
ID Requisito | Requisito | Fornitore 1 | Fornitore 2 | Fornitore 3 | Fornitore 4 | Fornitore 5 |
CAPABILITIES ASSESSMENT
- 0% Not covered
- 30% Partially covered
- 60% Largelly covered
- 100% Fully covered
Requisiti Generali (requisiti minimi obbligatori) | F-01 | Singolo Software Vendor | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare |
F-02 | Deployment Scenario | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-03 | Tipologia di Servizio | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-04 | Funzioni di Calcolo | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-05 | Valorizzazione Prospetti Dichiarativi richiesti dalla normativa | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-06 | Manutenzione e aggiornamento regole di calcolo e prospetti | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-07 | Calcolo e predisposizione Modello Dichiarativi del Consolidato Fiscale | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-08 | Modalità di esecuzione dei calcoli | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-09 | Performance Prodotto | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-10 | Esportabilità dei dati calcolati | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-11 | Invio Dichiarazioni verso Enti coinvolti nel processo fiscale (AdE ed eventuali altri) | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-12 | Integrabilità della soluzione con i sistemi contabili di Gruppo (es. tecnologia SAP S/4 ECC, | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-13 | Modalità Integration | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-14 | Flessibilità della soluzione | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-15 | Retention Dati Fiscali calcolati | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-16 | Funzionalità di Reporting | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-17 | User Interface | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-18 | Supporto Specialistico | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | |
F-19 | Assistenza Specializzata | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare | Da valorizzare |
Critical Capabilities (requisiti oggetto di valutazione) | T-01 | Gestione dei Sistemi - Adozione Best Practice di Settore | 0% | 0% | 0% | 0% | 0% |
T-02 | Gestione Privacy - Ruoli e Responsabilità definiti formalmente in ambito Data Protection | 0% | 0% | 0% | 0% | 0% | |
T-03 | Gestione Privacy - Svolgimento audit di sicurezza periodici e verifica in materia di data | 0% | 0% | 0% | 0% | 0% | |
T-04 | Gestione Privacy - Monitoraggio periodico delle non conformità delle normative in ambito | 0% | 0% | 0% | 0% | 0% | |
T-05 | Governo della Sicurezza delle Informazioni - Policy di sicurezza | 0% | 0% | 0% | 0% | 0% | |
T-06 | Governo della Sicurezza delle Informazioni - Monitoraggio policy di sicurezza | 0% | 0% | 0% | 0% | 0% | |
T-07 | Governo della Sicurezza delle Informazioni - Modello di controlli IT | 0% | 0% | 0% | 0% | 0% | |
T-08 | Governo della Sicurezza delle Informazioni - Certificazione del sistema di sicurezza | 0% | 0% | 0% | 0% | 0% | |
T-09 | Governo della Sicurezza delle Informazioni - Risk Assessment periodici | 0% | 0% | 0% | 0% | 0% | |
T-10.1 | Controllo Accessi Logici - Policy per la gestione degli accessi ai sistemi informatici | 0% | 0% | 0% | 0% | 0% | |
T-10.2 | Controllo Accessi Logici - Gestione Profilazioni Utenze | 0% | 0% | 0% | 0% | 0% | |
T-10.3 | Controllo Accessi Logici - Review periodica delle utenze | 0% | 0% | 0% | 0% | 0% | |
T-10.4 | Controllo Accessi Logici - Meccanismi di identificazione e autenticazione | 0% | 0% | 0% | 0% | 0% | |
T-10.5 | Controllo Accessi Logici - Autenticazione di accesso | 0% | 0% | 0% | 0% | 0% | |
T-10.6 | Controllo Accessi Logici - Autenticazione di accesso | 0% | 0% | 0% | 0% | 0% | |
T-10.7 | Controllo Accessi Logici - Utilizzo utenze univoche e nominali | 0% | 0% | 0% | 0% | 0% | |
T-10.9 | Controllo Accessi Logici - Meccanismi di autorizzazione | 0% | 0% | 0% | 0% | 0% | |
T-10.10 | Controllo Accessi Logici - Gestione utenze Privilegiate | 0% | 0% | 0% | 0% | 0% | |
T-10.11 | Controllo Accessi Logici - Password policy conforme alle linee guida aziendali | 0% | 0% | 0% | 0% | 0% | |
T-10.12 | Controllo Accessi Logici - Strong Authentication | 0% | 0% | 0% | 0% | 0% | |
T-10.13 | Controllo Accessi Logici - Accesso logico terze parti | 0% | 0% | 0% | 0% | 0% | |
T-11.1 | Logging - Tracciamenti accessi utenti | 0% | 0% | 0% | 0% | 0% | |
T-11.2 | Logging - Tracciamento accessi Amministratori di Sistema | 0% | 0% | 0% | 0% | 0% | |
T-11.3 | Logging - Protezione dei log | 0% | 0% | 0% | 0% | 0% | |
T-11.4 | Logging - Retention dei log | 0% | 0% | 0% | 0% | 0% | |
T-12.1 | Sviluppo Sicuro - Policy per la gestione del ciclo di vita del software | 0% | 0% | 0% | 0% | 0% | |
T-12.2 | Sviluppo Sicuro - Formazione sullo sviluppo sicuro | 0% | 0% | 0% | 0% | 0% | |
T-12.3 | Sviluppo Sicuro - Segregazione ambienti | 0% | 0% | 0% | 0% | 0% | |
T-12.4 | Sviluppo Sicuro - Requisiti di sicurezza software fornitori | 0% | 0% | 0% | 0% | 0% | |
T-12.5 | Sviluppo Sicuro - Test su nuovi sistemi | 0% | 0% | 0% | 0% | 0% | |
T-12.6 | Sviluppo Sicuro - Analisi SAST | 0% | 0% | 0% | 0% | 0% | |
T-13 | Gestione Terze Parti - Clausola contrattuali, SLA e processo di monitoraggio dell'operato | 0% | 0% | 0% | 0% | 0% | |
T-14.1 | Monitoring - Tracciatura degli Incident | 0% | 0% | 0% | 0% | 0% | |
T-14.2 | Monitoring - Monitoraggio delle performance | 0% | 0% | 0% | 0% | 0% | |
T-14.3 | Monitoring - Gestione e fornitura dei log degli eventi | 0% | 0% | 0% | 0% | 0% | |
T-15.1 | Gestione dell'infrastruttura Cloud - Ruoli e responsabilità in ambiente cloud | 0% | 0% | 0% | 0% | 0% | |
T-15.2 | Gestione dell'infrastruttura Cloud - Localizzazione dei Data Center | 0% | 0% | 0% | 0% | 0% | |
T-15.3 | Gestione dell'infrastruttura Cloud - Notifica data breach da parte del Cloud Provider | 0% | 0% | 0% | 0% | 0% | |
T-15.4 | Gestione dell'infrastruttura Cloud - Accordi di non divulgazione (Non Disclosure | 0% | 0% | 0% | 0% | 0% | |
T-16 | Protezione Informazioni - Classificazione e censimento delle informazioni | 0% | 0% | 0% | 0% | 0% | |
T-17.1 | Change & Patch Management - Processo formale di Change & Patch management | 0% | 0% | 0% | 0% | 0% | |
T-17.2 | Change & Patch Management - Patch Management | 0% | 0% | 0% | 0% | 0% | |
T-17.3 | Change & Patch Management - Patch Management tramite tool automatici | 0% | 0% | 0% | 0% | 0% | |
T-18.1 | Host Security - Cifratura dei canali di trasmissione (HTTPS) | 0% | 0% | 0% | 0% | 0% | |
T-18.2 | Host Security - Hardening dei sistemi | 0% | 0% | 0% | 0% | 0% | |
T-18.3 | Host Security - Host Intrusion Detection System (HIDS) | 0% | 0% | 0% | 0% | 0% | |
T-18.4 | Host Security - Host Intrusion Prevention System (HIPS) | 0% | 0% | 0% | 0% | 0% | |
T-19.1 | Latenza - Latenza di Rete | 0% | 0% | 0% | 0% | 0% | |
T-19.2 | Latenza - Latenza di Elaborazione | 0% | 0% | 0% | 0% | 0% | |
T-20.1 | Anti-virus, anti- malware - Antivirus | 0% | 0% | 0% | 0% | 0% | |
T-20.2 | Anti-virus, anti- malware - Anti-malware | 0% | 0% | 0% | 0% | 0% | |
T-21.1 | Security Assessment - Vulnerability Assessment | 0% | 0% | 0% | 0% | 0% | |
T-21.2 | Security Assessment - Penetration Test | 0% | 0% | 0% | 0% | 0% | |
T-22.1 | Backup & Restore - Backup - Definizione policy | 0% | 0% | 0% | 0% | 0% | |
T-22.2 | Backup & Restore - Backup - Ubicazione | 0% | 0% | 0% | 0% | 0% | |
T-22.3 | Backup & Restore - Back up periodico | 0% | 0% | 0% | 0% | 0% | |
T-22.4 | Backup & Restore - Disaster recovery | 0% | 0% | 0% | 0% | 0% | |
T-22.5 | Backup & Restore - Piani di continuità operativa | 0% | 0% | 0% | 0% | 0% | |
T-22.6 | Backup & Restore - High Availability | 0% | 0% | 0% | 0% | 0% | |
T-22.7 | Backup & Restore - Test periodici | 0% | 0% | 0% | 0% | 0% | |
T-22.8 | Backup & Restore - Protezione copie di backup | 0% | 0% | 0% | 0% | 0% | |
T-23 | Data Retention - Data Retention | 0% | 0% | 0% | 0% | 0% | |
T-24.1 | Cifratura e mascheramento dei dati - Tecniche di cifratura | 0% | 0% | 0% | 0% | 0% | |
T-24.2 | Cifratura e mascheramento dei dati - Mascheramento dei dati | 0% | 0% | 0% | 0% | 0% | |
T-25 | Sicurezza Fisica e Ambientale - Sicurezza Piattaforma SaaS | 0% | 0% | 0% | 0% | 0% | |
T-26.1 | Controlli Applicativi - Input validation | 0% | 0% | 0% | 0% | 0% | |
T-26.2 | Controlli Applicativi - File Integrity Tool | 0% | 0% | 0% | 0% | 0% | |
T-26.3 | Controlli Applicativi - Protezione Avanzata Database | 0% | 0% | 0% | 0% | 0% | |
T-27.1 | Protezione Informazioni - Implementazione di soluzioni di gestione dei diritti digitali (DRM) | 0% | 0% | 0% | 0% | 0% | |
T-27.2 | Protezione Informazioni - Implementazione di soluzioni di Data Loss Prevention (DLP) | 0% | 0% | 0% | 0% | 0% | |
T-28.1 | Cancellazione - Cancellazione base (a livello software) | 0% | 0% | 0% | 0% | 0% | |
T-28.2 | Cancellazione - Decommissioning e cancellazione sicura (a livello hardware) | 0% | 0% | 0% | 0% | 0% | |
T-29.1 | Network Security - Web Application Firewall (WAF) | 0% | 0% | 0% | 0% | 0% | |
T-29.2 | Network Security - Cifratura dei canali di trasmissione (es: VPN) | 0% | 0% | 0% | 0% | 0% | |
T-29.3 | Network Security - Protezione Anti DDOS | 0% | 0% | 0% | 0% | 0% | |
T-29.4 | Network Security - Firewall | 0% | 0% | 0% | 0% | 0% | |
T-29.5 | Network Security - Rilevamento intrusioni sulla rete | 0% | 0% | 0% | 0% | 0% | |
T-29.6 | Network Security - Controllo accessi alla rete mediante dispositivi mobili | 0% | 0% | 0% | 0% | 0% | |
T-29.7 | Network Security - Hardening dei dispositivi di rete | 0% | 0% | 0% | 0% | 0% | |
T-29.8 | Network Security - IP Tracking | 0% | 0% | 0% | 0% | 0% | |
T-29.9 | Network Security - DNS Protection | 0% | 0% | 0% | 0% | 0% | |
Media copertura critical capabilities | 0% | 0% | 0% | 0% | 0% |
GRUPPO FERROVIE DELLO STATO ITALIANE
CONSULTAZIONE DI MERCATO
Specifiche Tecniche
SERVIZIO DI GESTIONE DEL CALCOLO DELLE IMPOSTE IRES E IRAP
1. Premessa
Nell’ambito della digitalizzazione dei processi corporate e di Gruppo, con la finalità di assicurare la gestione del rischio fiscale, è stata rilevata l’esigenza di digitalizzare il processo di gestione del calcolo delle imposte IRES e IRAP e di predisposizione dei relativi modelli dichiarativi.
Nello specifico, per consentire una gestione omogenea e univoca del calcolo delle imposte a livello di Gruppo, in funzione dei requisiti di Business manifestati dalla Struttura Fiscale della Direzione Administration, Finance & Control di Ferrovie dello Stato Italiane, si intende dotare il Gruppo FS di una soluzione di mercato che consenta di gestire il calcolo delle imposte rispettando i requisiti di:
• standardizzazione del processo tra le Società del Gruppo;
• la trasparenza, la congruità e l’omogeneità delle regole fiscali;
• integrazione con i sistemi contabili per la raccolta dei dati contabili di riferimento;
• la storicizzazione dei risultati.
Per questo motivo viene emessa la presente consultazione di mercato, come strumento di indagine tecnica e di raccolta di informazioni a tutti i fornitori in grado di fornire una soluzione di mercato di calcolo delle imposte IRES e IRAP che risulti pienamente rispondente alle critical capabilities richieste nei paragrafi che seguono, al fine di soddisfare le esigenze di raccolta dati contabili, elaborazione prospetti dichiarativi richiesti dalla normativa, consultazione dei dati e relativa storicizzazione.
2. Servizio di gestione del calcolo delle imposte IRES e IRAP
La soluzione di interesse ha l’obiettivo di far evolvere le modalità di gestione del calcolo delle imposte IRES e IRAP (correnti, anticipate e differenti) e relativi prospetti dichiarativi delle Società del Gruppo, mediante una soluzione di mercato che consenta la determinazione automatica delle imposte dirette e indirette, a partire dai dati presenti nei sistemi contabili societari, in base ad algoritmi di calcolo costantemente allineati dal Fornitore alle specifiche normative.
Attualmente, infatti, nel Gruppo si riscontra la seguente situazione:
• La Capogruppo utilizza una soluzione custom, che prevede che l’aggiornamento delle regole al variare della normativa sia in carico al Business;
• Le restanti Società del Gruppo effettuano le elaborazioni manualmente e extra sistema.
Per rispondere alle esigenze del Gruppo è richiesto di attivare una soluzione di mercato che eroghi servizi fiscali alle Società del Gruppo, senza che le stesse siano responsabili della definizione e manutenzione delle funzionalità che rispondano ai requisiti delle normativa fiscale.
La richiesta è di fornitura di uno o più prodotti commerciali, ovvero ricompresi nel catalogo prodotti licenziati e manutenuti dal medesimo Fornitore (Singolo Software Vendor). Non sono ammesse soluzioni che prevedano la copertura delle funzionalità base o dei requisiti richiesti generali e specifici, mediante componenti sviluppati custom/ad hoc e non regolarmente assettizzati (Caratteristiche di prodotto). È richiesto pertanto un prodotto che sia sottoposto a processi standard e regolari di manutenzione e aggiornamento, quindi release upgrade/patching (Deployement Scenario).
La soluzione di interesse dovrà includere le seguenti caratteristiche tecnico/funzionali:
• Disponibilità di algoritmi di calcolo delle imposte IRES e IRAP, per consentire la determinazione automatica dei valori delle imposte dirette, correnti e differite delle Società in perimetro in qualsiasi momento dell’anno, riducendo il lavoro manuale ed il conseguente rischio di errori.
Gli algoritmi di calcolo devono rispondere alle specifiche normative e applicabili ai dati contabili periodici (es. bilancio di verifica) presenti nel sistema di contabilità interna;
• Conformità degli algoritmi di calcolo rispetto alle normative fiscali, per garantire che le regole siano tempestivamente aggiornate dal Fornitore per recepire ed attuare ogni cambiamento della normativa fiscale e/o della modulistica;
• Esportabilità dei dati calcolati di IRES e IRAP in formato xlsx o csv, per consentire di effettuare controlli o altre elaborazioni che dovessero rendersi necessarie per qualsiasi finalità o esigenza degli utenti di Business;
• Disponibilità di funzionalità di compilazione automatica dei modelli dichiarativi IRES e IRAP. A partire dai dati calcolati dalla soluzione, è necessario che vengano alimentati anche i relativi prospetti dichiarativi automatico la compilazione dei modelli dichiarativi;
• Disponibilità di funzionalità di invio dei prospetti dichiarativi verso Agenzia delle Entrate, a partire dalle elaborazioni effettuate in automatico dal sistema;
• Disponibilità di funzionalità di gestione del consolidato fiscale e redazione del relativo modello dichiarativo;
• Storicizzazione dei dati fiscali e della documentazione allegata prodotta, per consentirne la consultazione anche in momenti successivi alla relativa elaborazione;
• Acquisizione dei dati dai sistemi amministrazione contabili delle Società del Gruppo, con relativa conversione dei dati anagrafici, in particolare le eventuali confluenze che dovessero rendersi necessarie tra il Piano dei Conti di Gruppo (nature di costo / ricavo) e i conti presenti sulla soluzione di mercato individuata;
• Integrabilità con i prodotti dedicati alla gestione dei processi amministrativo- contabili (es .tecnologia SAP S/4 e ECC e sistema SAP BW, tecnologia Oracle EPM – Applicazioni Oracle data Integrator e Hyperion Financial Consolidation);
• Flessibilità della soluzione in termini di possibili customizzazioni delle regole per esigenze specifiche del Gruppo FS, che dovessero manifestarsi.
Costituiscono un plus la disponibilità di altre funzionalità/moduli a supporto dei processi fiscali (es. contenzioso tributario, Pillar 2 etc) e IVA delle Società.
In ultimo, rappresenta un elemento fondamentale nella valutazione delle proposte che saranno presentate la disponibilità di assistenza specializzata in ambito fiscale per far fronte a richieste degli utenti.
2.1. Requisiti Funzionali Generali
ID | Area | Ambito | Descrizione |
F-01 | Funzionale | Singolo Software Vendor | Fornitura di uno o più prodotti commerciali, ovvero ricompresi nel catalogo prodotti licenziati e manutenuti dal medesimo Fornitore |
F-02 | Funzionale | Tipologia di Servizio | Soluzione di mercato chiavi in mano, configurata e manutenuta sia da un punto di vista tecnico che funzionale (normativa fiscale) dal Fornitore |
F-03 | Funzionale | Deployement Scenario | Soluzione sottoposta a processi standard e regolari di manutenzione e aggiornamento (release upgrade/ patching) |
F-04 | Funzionale | Funzioni di Calcolo | Algoritmi di calcolo delle imposte IRES e IRAP, per consentire la determinazione automatica dei valori delle imposte dirette, correnti e differite delle Società su richiesta. |
F-05 | Funzionale | Valorizzazione Prospetti Dichiarativi richiesti dalla normativa | Predisposizione dei modelli dichiarativi IRES e IRAP a partire dai dati calcolati dalla soluzione. |
F-06 | Funzionale | Manutenzione e aggiornamento regole di calcolo e prospetti | Conformità degli algoritmi di calcolo rispetto alle normative fiscali, per garantire che le regole siano tempestivamente aggiornate dal Fornitore per recepire ed attuare ogni cambiamento della normativa fiscale e/o della modulistica. |
F-07 | Funzionale | Calcolo e predisposizione Modello Dichiarativi del Consolidato Fiscale | Gestione del consolidato fiscale e redazione del relativo modello dichiarativo. |
F-08 | Funzionale | Modalità di esecuzione dei calcoli | Possibilità di acquisire i dati in qualsiasi momento dell’esercizio fiscale permettendo di effettuare più simulazioni di calcolo per ciascuna delle entità censite |
F-09 | Funzionale | Performance Prodotto | Garanzia delle performance di calcolo del prodotto. |
F-10 | Funzionale | Esportabilità dei dati calcolati | Possibilità di export dei dati calcolati e dei prospetti in formato xlsx e/o csv. |
ID | Area | Ambito | Descrizione |
F-11 | Funzionale | Invio Dichiarazioni verso Enti coinvolti nel processo fiscale (AdE ed eventuali altri) | Invio dei prospetti dichiarativi verso Agenzia delle Entrate, a partire dalle elaborazioni effettuate in automatico dal sistema. |
F-12 | Funzionale | Integrabilità della soluzione con i sistemi contabili di Gruppo (es. tecnologia SAP S/4 ECC, BW/4, Suite EPM ORACLE) e eventuali sistemi documentali terzi | Integrazione con i sistemi contabili per l’acquisizione dei dati contabili, con relativa conversione dei dati anagrafici, in particolare le eventuali confluenze che dovessero rendersi necessarie tra il Piano dei Conti di Gruppo (nature di costo / ricavo. Integrazione anche con eventuali sistemi documentali terzi. |
F-13 | Funzionale | Modalità Integration | Capacità di integrazione dati attraverso meccanismi di interoperabilità con flussi/eventi di dati e API, incluso il provisioning di dati in-stream per consentirne il successivo utilizzo o analisi. In particolare, è richiesta la capacità di alimentare ed elaborare fonti dati per il successivo utilizzo dei dati in tempo reale, necessaria per filtrare e arricchire applicazioni aziendali e/o elaborare aggregazioni su base temporale prima di archiviare i risultati in un database, un file system o qualche altro archivio, come un broker di eventi. |
F-14 | Funzionale | Flessibilità della soluzione | Possibilità di gestione di eventuali customizzazioni delle regole di calcolo per esigenze specifiche del Gruppo FS. |
F-15 | Funzionale | Retention Dati Fiscali calcolati | Disponibilità dei dati fiscali elaborati dalla soluzione per un periodo di tempo pari ai 6 anni (5 + 1) successivi al periodo di imposta, in linea con le linee guida dell’Agenzia delle Entrate rispetto agli accertamenti fiscali. |
F-16 | Funzionale | Funzionalità di Reporting | Possibilità di generare reportistica standard e eventuale custom |
F-17 | Funzionale | User Interface | Disponibilità di una interfaccia utente in italiano, con la possibilità di selezionare (se necessario) la lingua inglese. |
F-18 | Funzionale | Supporto Specialistico | Disponibilità di supporto tecnico specialistico sulla piattaforma |
ID | Area | Ambito | Descrizione |
F-19 | Funzionale | Assistenza Specializzata | Disponibilità di assistenza specializzata in ambito fiscale per far fronte a richieste degli utenti. |
2.2 Requisiti Tecnici
ID | Area | Ambito | Descrizione |
T-01 | Gestione dei Sistemi | Adozione Best Practice di Settore | Disponibilità di certificazioni internazionali riconosciute nel settore (es. ISO 27001). |
T-02 | Gestione Privacy | Ruoli e Responsabilità definiti formalmente in ambito Data Protection | Identificazione dei ruoli e delle responsabilità associate alle persone coinvolte nel trattamento dei dati per il fornitore. |
T-03 | Gestione Privacy | Svolgimento audit di sicurezza periodici e verifica in materia di data protection | Esistenza di un processo periodico relativo all'esecuzione di audit di sicurezza, inclusa la verifica della conformità normativa in ambito Data Protection |
T-04 | Gestione Privacy | Monitoraggio periodico delle non conformità delle normative in ambito Data Protection | Esistenza di un processo periodico di monitoraggio delle non conformità normative rilevate nei precedenti audit |
T-05 | Governo della Sicurezza delle Informazioni | Policy di sicurezza | Esistenza di politiche di sicurezza delle informazioni dell'intera organizzazione. Si richiede che la soluzione risponda agli standard internazionali di Cybersecurity e normativi applicabili. In particolare, è richiesto di indicare se disponibile la certificazione CSA STAR livello 1 o livello 2 o autodichiarazione di rispetto di standard e normative applicabili. |
T-06 | Governo della Sicurezza delle Informazioni | Monitoraggio policy di sicurezza | Esistenza di un sistema di monitoraggio delle policy di sicurezza applicabili per l’organizzazione. Il sistema deve essere soggetto a monitoraggio h24 real time da parte di un centro altamente specializzato |
ID | Area | Ambito | Descrizione |
T-07 | Governo della Sicurezza delle Informazioni | Modello di controlli IT | Definizione di un set di controlli IT da implementare basati sui principali standard |
T-08 | Governo della Sicurezza delle Informazioni | Certificazione del sistema di sicurezza | Verifica di un sistema per l’acquisizione di un certificato che attesti che quel dato sistema soddisfa i requisiti di sicurezza dettati dall’entità certificatrice. Il CSP che ospiterà il servizio SAAS, si richiedono le seguenti certificazioni: Obbligatorie: • ISO/IEC 27001 • CSA STAR • Qualifica ACN (Ex-Agid) Opzionali: • ISO/IEC 27002, 27017, 27018, 27701, 27031 • ISO 22301 • SOC 2 • SOC 3 |
T-09 | Governo della Sicurezza delle Informazioni | Risk Assessment periodici | Esecuzione periodica (preferibilmente su base annuale) di sessioni di analisi, valutazione e trattamento dei rischi in ambito sicurezza informazioni. |
T-10.1 | Controllo Accessi Logici | Policy per la gestione degli accessi ai sistemi informatici | Esistenza di politiche per la gestione degli accessi ai sistemi informatici |
T-10.2 | Controllo Accessi Logici | Gestione Profilazioni Utenze | Gestione degli accessi degli utenti delle Società del Gruppo, con la possibilità di profilare gli accessi secondo le esigenze |
ID | Area | Ambito | Descrizione |
T-10.3 | Controllo Accessi Logici | Review periodica delle utenze | Esistenza di un processo di revisione periodica delle utenze profilate nei sistemi |
T-10.4 | Controllo Accessi Logici | Meccanismi di identificazione e autenticazione | Esistenza di meccanismi di accesso ai sistemi tramite il riconoscimento attraverso un nome utente e l’autenticazione attraverso password. |
T-10.5 | Controllo Accessi Logici | Autenticazione di accesso | Integrazione con le funzionalità di Single Sign On presenti nel gruppo FS |
T-10.6 | Controllo Accessi Logici | Autenticazione di accesso | Possibilità di integrazione con Active Directory con protocollo OAuth2 (solo per utenti interni al Gruppo FS). |
T-10.7 | Controllo Accessi Logici | Utilizzo utenze univoche e nominali | Esistenza di utenze che siano associate in modo univoco a persone fisiche, identificabili con nome e cognome e/o riconducibili univocamente ad un unico soggetto responsabile |
T-10.9 | Controllo Accessi Logici | Meccanismi di autorizzazione | Implementazione di controlli che permettano di definire quali operazioni possa compiere uno specifico utente |
T-10.10 | Controllo Accessi Logici | Gestione utenze Privilegiate | Implementazione di controlli specifici sulle utenze con privilegi ampi per impedire operazioni illecite |
T-10.11 | Controllo Accessi Logici | Password policy conforme alle linee guida aziendali | Insieme di regole che definiscono come dovrebbe essere costituita una password affinché possa essere ritenuta sufficientemente sicura; tale misura è associata alle utenze interne (non clienti). |
ID | Area | Ambito | Descrizione |
T-10.12 | Controllo Accessi Logici | Strong Authentication | Esistenza di un sistema di autenticazione forte o a 2 fattori (es. password + one time password) |
T-10.13 | Controllo Accessi Logici | Accesso logico terze parti | L'accesso logico ai sistemi da parte di terzi (ad esempio clienti, fornitori, consulenti) deve essere soggetto a controlli rigorosi. |
T-11.1 | Logging | Tracciamenti accessi utenti | Registrazione e memorizzazione dei log degli accessi degli utenti (es. login, logout e principali attività utente, ad esempio download di dati, cancellazione di dati, modifiche massive dei dati) |
T-11.2 | Logging | Tracciamento accessi Amministratori di Sistema | Registrazione e memorizzazione dei log degli accessi degli Amministratori di Sistema (es. login, logout e principali attività utente, ad esempio download di dati, cancellazione di dati, modifiche massive dei dati) |
T-11.3 | Logging | Protezione dei log | Esistenza di meccanismi di protezione dei log in maniera da non poter essere cancellati da personale non autorizzato. |
T-11.4 | Logging | Retention dei log | Esistenza di un limite temporale entro il quale possano essere conservati i log. In particolare si richiede per gli Amministratori di Sistema una retention dei log di almeno 6 mesi (come da normativa di riferimento). |
T-12.1 | Sviluppo Sicuro | Policy per la gestione del ciclo di vita del software | Esistenza di una politica che definisce un ciclo di sviluppo sicuro del software secondo gli attuali standard di settore (es. OWASP) |
T-12.2 | Sviluppo Sicuro | Formazione sullo sviluppo sicuro | Assicurare che il personale che sviluppa abbia ricevuto un'adeguata formazione sulla scrittura di codice sicuro nel loro specifico ambiente di sviluppo. |
ID | Area | Ambito | Descrizione |
T-12.3 | Sviluppo Sicuro | Segregazione ambienti | Separazione fisica o virtuale degli ambienti che compongono il sistema (es. sviluppo, test, formazione, produzione) |
T-12.4 | Sviluppo Sicuro | Requisiti di sicurezza software fornitori | I fornitori di software devono garantire un adeguato livello di sicurezza del proprio software. |
T-12.5 | Sviluppo Sicuro | Test su nuovi sistemi | I nuovi sistemi devono essere testati rigorosamente, in accordo con piani di test predefiniti e documentati, e i risultati approvati e firmati, prima dell'installazione in ambiente di esercizio. |
T-12.6 | Sviluppo Sicuro | Analisi SAST | Scan statico del codice sorgente e delle librerie Open Source (SAST-OSS) con frequenza minima trimestrale |
T-13 | Gestione Terze Parti | Clausola contrattuali, SLA e processo di monitoraggio dell'operato delle Terze Parti o "persone correlate" | Definizione degli indicatori di prestazione chiave tra il Responsabile e le "persone correlate" ad esso, al fine di fornire il livello di servizio desiderato e di revisionare periodicamente l'operato delle persone correlate. |
T-14.1 | Monitoring | Tracciatura degli Incident | Registrazione e memorizzazione degli incidenti avvenuti/individuati |
T-14.2 | Monitoring | Monitoraggio delle performance | Attività di monitoraggio costante delle performance di infrastruttura e relative metriche di utilizzo (CPU, RAM, Spazio disco) e la relativa scalabilità |
ID | Area | Ambito | Descrizione |
T-14.3 | Monitoring | Gestione e fornitura dei log degli eventi | Disponibilità dei log occupa sugli eventi e dell'analisi di eventuali anomalie |
T-15.1 | Gestione dell'infrastruttura Cloud | Ruoli e responsabilità in ambiente cloud | Devono essere definiti, registrati e comunicati in modo chiaro i ruoli e le responsabilità (in condivisione o suddivisione) in carico all'organizzazione e al Cloud Provider. |
T-15.2 | Gestione dell'infrastruttura Cloud | Localizzazione dei Data Center | I datacenter e le informazioni/servizi in Cloud devono risiedere su territorio nazionale o all’interno dell’Unione Europea |
T-15.3 | Gestione dell'infrastruttura Cloud | Notifica data breach da parte del Cloud Provider | Il Cloud Provider deve segnalare tempestivamente all'organizzazione eventuali accessi non autorizzati a dati soggetti a regolamento GDPR, che possano causare perdite, divulgazioni o alterazioni dei dati. |
T-15.4 | Gestione dell'infrastruttura Cloud | Accordi di non divulgazione (Non Disclosure Agreement, NDA) | Il personale del Cloud Provider avente accesso a dati riservati deve essere soggetto ad obblighi di riservatezza |
T-16 | Protezione Informazioni | Classificazione e censimento delle informazioni | Il Responsabile deve trattare le informazioni trasmesse dal Titolare in considerazione del livello di classificazione attribuito da quest'ultimo. |
T-17.1 | Change & Patch Management | Processo formale di Change & Patch management | Definizione di un processo formale che documenti la fase di autorizzazione e implementazione delle modifiche e dell'installazione delle patch all'interno di processi, sistemi o strutture aziendali |
ID | Area | Ambito | Descrizione |
T-17.2 | Change & Patch Management | Patch Management | Installazione di patch di sicurezza sui sistemi per risolvere le vulnerabilità rilevate |
T-17.3 | Change & Patch Management | Patch Management tramite tool automatici | Utilizzo di tool automatici per le attività di patch management. |
T-18.1 | Host Security | Cifratura dei canali di trasmissione (HTTPS) | Esistenza di tecniche e protocolli per la protezione dei dati durante le transazioni (es. https) |
T-18.2 | Host Security | Hardening dei sistemi | Implementazione di specifiche configurazioni su sistemi e componenti che permettono di incrementare la sicurezza di un sistema. |
T-18.3 | Host Security | Host Intrusion Detection System (HIDS) | Utilizzo di Host Intrustion Detection System |
T-18.4 | Host Security | Host Intrusion Prevention System (HIPS) | Utilizzo di Host Intrustion Prevention System |
T-19.1 | Latenza | Latenza di Rete | Minimizzazione della latenza di rete tra il servizio e l’utente finale. |
T-19.2 | Latenza | Latenza di Elaborazione | Minimizzazione della latenza durante l’elaborazione di dati. |
ID | Area | Ambito | Descrizione |
T-20.1 | Anti-virus, anti- malware | Antivirus | Adozione e aggiornamento di strumenti di prevenzione e protezione da virus. |
T-20.2 | Anti-virus, anti- malware | Anti-malware | Adozione e aggiornamento di strumenti di prevenzione e protezione da malware. |
T-21.1 | Security Assessment | Vulnerability Assessment | Attività periodiche schedulate ed effettuate da sonde in grado di rilevare vulnerabilità sui sistemi operativi ed applicativi. |
T-21.2 | Security Assessment | Penetration Test | Attività di analisi di sicurezza mirate, con lo scopo di rilevare vulnerabilità e simulare attacchi informatici |
T-22.1 | Backup & Restore | Backup - Definizione policy | Definizione e implementazione una opportuna policy per la gestione del backup che definisca: • Ruoli e responsabilità delle azioni di backup e recovery; • Localizzazione delle copie di backup; • Accessibilità ai backup e relativi dati di contatto; • Periodicità dei backup (giornaliero, orario, ecc...); • Tipologia di backup (completo, incrementale, differenziale); • Hardware e software utilizzato per effettuare il backup • Pianificazione dei test periodici. |
T-22.2 | Backup & Restore | Backup - Ubicazione | Definizione dell’ubicazione dei back up dei dati. |
ID | Area | Ambito | Descrizione |
T-22.3 | Backup & Restore | Back up periodico | Effettuazione pianificata di copie di riserva finalizzata a duplicare, con una periodicità prestabilita, i dati, le configurazioni e le immagini di sistema su appositi supporti di memorizzazione. |
T-22.4 | Backup & Restore | Disaster recovery | Definizione di procedure per garantire la possibilità di mantenere in piedi un servizio/sistema anche in caso di malfunzionamento, sia di natura accidentale che malevola, e di poter ristabilire in tempi definiti l'operatività completa dei sistemi |
T-22.5 | Backup & Restore | Piani di continuità operativa | Definizione di procedure per garantire la possibilità di mantenere in piedi un servizio/sistema anche in caso di malfunzionamento, sia di natura accidentale che malevola, e di poter ristabilire in tempi definiti l'operatività completa dei sistemi |
T-22.6 | Backup & Restore | High Availability | Implementazione di un modello che permette, tramite l'adozione di strumenti tecnologici ridondati, di avere un sistema altamente disponibile ai propri utenti. |
T-22.7 | Backup & Restore | Test periodici | Implementazione periodica dei test di ripristino delle copie di backup. |
T-22.8 | Backup & Restore | Protezione copie di backup | Le copie di backup devono essere protette mediante opportune misure di sicurezza fisica e logica. |
T-23 | Data Retention | Data Retention | Conservazione dei dati per tutta la durata del Contratto. Ai fini dell’erogazione dei servizi di assistenza software, i dati personali forniti dal Cliente sono conservati per il tempo necessario a evadere la richiesta e cancellati in modo sicuro al termine dell’intervento. |
ID | Area | Ambito | Descrizione |
T-24.1 | Cifratura e mascheramento dei dati | Tecniche di cifratura | Esistenza di tecniche di cifratura dei dati memorizzati (es. dati memorizzati nei database o nelle memorie di massa) |
T-24.2 | Cifratura e mascheramento dei dati | Mascheramento dei dati | Esistenza di tecniche di data masking per minimizzare la visualizzazione e lettura di dati personali basati sul principio del "need to know" |
T-25 | Sicurezza Fisica e Ambientale | Sicurezza Piattaforma SaaS | Rispetto degli standard minimi di sicurezza fisica e ambientale come da requisiti specificati dalla certificazione ISO/IEC 27001. |
T-26.1 | Controlli Applicativi | Input validation | Misure di sicurezza che rafforzano l'applicativo impedendo la possibilità di sfruttare vulnerabilità comuni (e.g. validazione degli input). |
T-26.2 | Controlli Applicativi | File Integrity Tool | Devono essere utilizzati opportuni strumenti di verifica dell'integrità dei file per assicurare che i file critici di sistema (compresi eseguibili, librerie e file di configurazione) non siano stati alterati. |
T-26.3 | Controlli Applicativi | Protezione Avanzata Database | Le basi di dati contenenti informazioni e dati rilevanti devono essere protette contro l'accesso e la modifica non autorizzati. |
T-27.1 | Protezione Informazioni | Implementazione di soluzioni di gestione dei diritti digitali (DRM) | Implementare un sistema di gestione dei diritti digitali (DRM) per proteggere le informazioni e i software più critici che vengono utilizzati al di fuori del controllo dell'organizzazione. Il sistema DRM deve proteggere le informazioni utilizzando rigorose misure tecniche (ad esempio cifrando le informazioni e applicando opportune regole di accesso e utilizzo). |
ID | Area | Ambito | Descrizione |
T-27.2 | Protezione Informazioni | Implementazione di soluzioni di Data Loss Prevention (DLP) | Implementare soluzioni di Data Loss Prevention (DLP) per monitorare i flussi di dati all'interno della rete dell'organizzazione ed evidenziare eventuali anomalie. |
T-28.1 | Cancellazione | Cancellazione base (a livello software) | Utilizzo di algoritmi e meccanismi generici per la cancellazione dei dati. |
T-28.2 | Cancellazione | Decommissioning e cancellazione sicura (a livello hardware) | Attività di dismissione sicura delle dispositivi di archiviazione utilizzati dai sistemi dell'organizzazione. |
T-29.1 | Network Security | Web Application Firewall (WAF) | Utilizzo di Web Application Firewall per la protezione dei sistemi. |
T-29.2 | Network Security | Cifratura dei canali di trasmissione (es: VPN) | Esistenza di tecniche e protocolli per la protezione dei dati durante le transazioni (es. VPN). |
T-29.3 | Network Security | Protezione Anti DDOS | Esistenza di sistemi per la protezione da attacchi aventi come obiettivo l’indisponibilità di uno o più servizi. |
T-29.4 | Network Security | Firewall | Il traffico di rete in ingresso e in uscita dalla rete dell'organizzazione deve essere instradato attraverso un firewall opportunamente configurato e gestito, al fine di bloccare, limitare e monitorare in maniera puntuale, il traffico in transito sulla rete. |
T-29.5 | Network Security | Rilevamento intrusioni sulla rete | Soluzioni di rilevamento delle intrusioni devono essere applicate alla rete dell'organizzazione. |
ID | Area | Ambito | Descrizione |
T-29.6 | Network Security | Controllo accessi alla rete mediante dispositivi mobili | L'accesso alla rete dell'organizzazione attraverso dispositivi mobili deve essere ristretto utilizzando tecnologie di Network Access Control (NAC), in grado di verificare la configurazione del dispositivo e gestire opportunamente l'accesso. |
T-29.7 | Network Security | Hardening dei dispositivi di rete | I dispositivi di rete devono essere hardenizzati e configurati in maniera sicura |
T-29.8 | Network Security | IP Tracking | Associazione IP/Host/Hostname per identificazione dei dispostivi in rete (necessario per Data Breach Management). |
T-29.9 | Network Security | DNS Protection | Protezione dei server DNS per garantire la disponibilità della risoluzione dei nomi e quindi la possibilità di raggiungere l'applicazione. |
2.2. Modello di Pricing
Ai fini della valutazione della proposta formulata, è richiesta la condivisione del modello di pricing proposto per la soluzione specifica.
In particolare si richiede di:
• Fornire una struttura chiara delle tariffe per l’utilizzo del servizio;
• Offrire strumento di monitoraggio e gestione dei costi.
2.3. Case Study Progettualità
Considerando che la scelta della soluzione implicherà l’avvio di una attività di set up della soluzione per il Gruppo FS, si richiede di fornire una proposition progettuale, partendo dalle seguenti assunzioni:
1) Le Società da integrare nella soluzione sono almeno 5 in fase 1;
2) Le Società in perimetro della fase 1 adottano un modello contabile comune e un piano dei conti armonizzato rispetto al quale eseguire le confluenze. Vale la medesima cosa anche per il trattamento dei dati fiscali (anche in termini di anagrafiche);
3) Le Società gestiscono la contabilità su sistemi basati su tecnologia SAP S/4 Hana e SAP ECC. Al contempo, i dati contabili per esigenze di Bilancio Consolidato vengono acquisiti su base giornaliera sul sistema di consolidamento di gruppo in tecnologia Oracle (quindi i dati potrebbero essere elaborati o sui singoli sistemi societari o sul sistema di Gruppo). Per queste Società bisogna prevedere anche integrazione con i sistemi per l’acquisizione automatica dei dati (da descrivere);
4) Nelle fasi successive di progetto prevedere la possibilità di roll in per Società che adottano modello contabile e modello anagrafico diverso dal Gruppo di Fase 1. In questo caso ci sono dei delta analisi da prevedere;
5) Il numero di utenti è dai 40 ai 100 massimo per tutte le Società.
Si richiede pertanto di fornire una proposta di piano di progetto, evidenziando:
1) Propedeuticità di adozione della piattaforma (es. obbligatorietà di altri moduli inclusi nel prodotto);
2) Eventuali propedeuticità derivanti da sottoscrizioni di convenzioni con il Cliente per l’adozione del servizio;
3) Vincoli di adozione della piattaforma, con particolare focus sull’integrazione con i sistemi contabili;
4) Ipotesi di piano di progetto per set up piattaforma e integrazioni con sistemi contabili, considerando avvio progetto in corso anno fiscale 2024 e ipotizzando adozione applicativo certificato per esercizio fiscale 2025;
5) Disponibilità di un team di onboarding e training in grado di consentire la corretta adozione della piattaforma;
2.4. Politica di Way Out
Ai fini della valutazione della proposta formulata, è richiesta la condivisione delle condizioni e vincoli che si manifestano allo scadere del contratto, in particolare con riferimento ai seguenti punti:
• Clausola di trasferimento dati, per la gestione dei dati del cliente al termine del contratto, inclusa la possibilità di esportare i dati in un formato accessibile;
• Clausola di migrabilità dei dati, per la gestione del processo e le condizioni di trasferimento dei dati dal servizio SAAS a un altro fornitore o sistema;
• Clausola di aggiornamenti e miglioramenti, per la gestione degli aggiornamenti o modifiche della piattaforma SAAS e eventuali costi aggiuntivi associati.
Vistato da XXXXXXXX XXXXXXX il 25/01/2024 alle 11:32:12 CET
Firmato da Xxxxxxxxx Xxxxxxx
il 15/02/2024 alle
10:08:30 CET