CAPITOLATO TECNICO
InfoCamere S.c.p.A.
Procedura di gara aperta, ai sensi dell’art. 55, comma 5, del D. Lgs. n. 163 del 12 aprile 2006 e s.m.i., per l’affidamento del “servizio di Certification Authority e dei servizi connessi, in favore di InfoCamere e delle Camere di Commercio, Industria, Artigianato e Agricoltura”
*** *** ***
CAPITOLATO TECNICO
*** *** ***
Indice
1 INTRODUZIONE AL DOCUMENTO 4
1.1 Scopo e campo di applicazione del documento 4
1.2 Riferimenti 4
1.3 Termini e definizioni 5
2 CONTESTO DI RIFERIMENTO E MODELLO ORGANIZZATIVO 7
2.1 Il ruolo del Sistema Camerale 7
2.2 Contesto e requisiti normativi 8
2.3 Attori e ruoli 10
3 DURATA DELLA FORNITURA E VOLUMI PREVISTI 12
3.1 Durata 12
3.2 Volumi 12
4 OGGETTO DELL’APPALTO 13
4.1 Descrizione dei processi 13
4.1.1 Avviamento del servizio 13
4.1.2 Attivazione di una Camera di Commercio 16
4.1.2.1 Formazione degli addetti e/o incaricati 17
4.1.2.2 Attivazione stazioni di lavoro addetti e/o incaricati 18
4.1.2.3 Rifornimento di dispositivi e altri materiali alle Camere e al Centro Servizi 19
4.1.3 Accorpamenti delle Camere di Commercio 20
4.1.4 Rifornimento dei materiali 20
4.1.5 Reso del materiale 21
4.1.6 Rilascio di un nuovo dispositivo 21
4.1.6.1 Modalità “decentrata” 22
4.1.6.2 Modalità “centralizzata” 22
4.1.6.3 Modalità “remota” 23
4.1.6.4 Centro Servizi 24
4.1.6.5 Prenotazione dispositivi 25
4.1.7 Rinnovo dei certificati 25
4.1.8 Altre operazioni sui certificati 26
4.1.9 Archiviazione e trasmissione dati e documenti 26
4.1.10 Assistenza 27
4.1.11 Aggiornamenti 28
4.1.12 Manutenzione software 29
4.1.13 Adempimenti al termine della fornitura 29
4.2 Specifiche tecniche del servizio 30
4.2.1 Dispositivi e software per i titolari 30
4.2.1.1 Dispositivi e loro accessori 30
4.2.1.2 Smart Card 31
4.2.1.3 Token USB 31
4.2.1.4 Materiale di accompagnamento dei dispositivi 31
4.2.1.5 Librerie e componenti 32
4.2.1.6 Software di firma e verifica 32
4.2.2 Servizio di firma remota 33
4.2.2.1 Rilascio e gestione dei certificati 33
4.2.2.2 Firma del documento informatico 34
4.2.3 Servizi per il rilascio e la gestione dei certificati 34
4.2.3.1 Sistema di verifica validità dei certificati 35
4.2.3.2 Funzionalità di servizio per gli operatori 35
4.2.3.2.1 Registrazione della richiesta e stampa del modulo 37
4.2.3.2.2 Interazione con la firma grafometrica 38
4.2.3.2.3 Interazione con il Registro delle Imprese 39
4.2.3.2.4 Interazione con il Diritto Annuale 39
4.2.3.2.5 Produzione dei certificati e assegnazione dei dispositivi 39
4.2.3.2.6 Sospensione certificati 41
4.2.3.2.7 Rinnovo certificati 41
4.2.3.2.8 Modifica indirizzo email del titolare 41
4.2.3.2.9 Revoca certificati 41
4.2.3.2.10 Gestione delle scorte dei materiali 41
4.2.3.2.11 Altre funzioni di supporto 42
4.2.3.2.12 Abilitazioni operatori 43
4.2.3.3 Fornitura, su richiesta di InfoCamere, di un sistema di Card Management 43
4.2.4 Sito web 44
4.2.4.1 Rilascio con modalità remota 45
4.2.4.2 Rinnovo on line 46
5 LIVELLI DI SERVIZIO 47
5.1 Orari e livelli di servizio 47
5.1.1 Attivazione di una Camera di Commercio 47
5.1.2 Rifornimento dei materiali 47
5.1.3 Reso del materiale 47
5.1.4 Livelli di servizio della piattaforma tecnologica 47
5.1.4.1 Disponibilità dei servizi 47
5.1.4.2 Tempi di risposta delle funzionalità di servizio 48
5.1.4.3 Tempestività di esecuzione 48
5.1.4.4 Rottura dei dispositivi 49
5.1.4.5 Firma Remota 49
5.1.5 Aggiornamenti interfacce con servizi InfoCamere 49
5.1.6 Assistenza 49
5.1.7 Manutenzione del software 50
5.1.7.1 Manutenzione correttiva 50
5.1.7.2 Manutenzione adeguativa 50
5.2 Monitoraggio del servizio 50
5.2.1 Audit di seconda parte 51
6 MODALITA’ DI REMUNERAZIONE 53
7 TABELLE DI RIEPILOGO 55
7.1 Documenti principali 55
7.2 Periodicità delle attività ricorrenti 56
8 SICUREZZA E PRIVACY 57
1 INTRODUZIONE AL DOCUMENTO
1.1 Scopo e campo di applicazione del documento
Il documento ha l'obiettivo di descrivere i requisiti tecnici della gara avente ad oggetto l’affidamento del servizio di Certification Authority, della fornitura di dispositivi sicuri di autenticazione CNS e sottoscrizione e dei servizi connessi, in favore delle Camere di Commercio, Industria, Artigianato e Agricoltura
Il presente documento stabilisce, ove non indicato diversamente, le specifiche, i requisiti tecnici obbligatori e gli obiettivi minimi del servizio oggetto dell’appalto.
1.2 Riferimenti
A seguire l’elenco degli allegati che definiscono le specifiche tecniche per l’integrazione con i servizi gestiti dalla Stazione Appaltante.
[1] Allegato 1 – Specifiche tecniche interrogazione RI Specifiche per l'integrazione con il Registro delle Imprese
Questo documento fa riferimento ad un insieme di altri documenti di cui uno viene allegato (Allegato 1.1 – Specifiche Cliente ASCA) e gli altri verranno consegnati successivamente all’Appaltatore
[2] Allegato 2 – Specifiche tecniche certificazione Diritto Annuale Specifiche per l'integrazione con il Diritto Annuale
[3] Allegato 3 – Specifiche tecniche di rete.
Specifiche per la predisposizione dei collegamenti di rete necessari per le integrazioni e le attività previste.
[4] Allegato 4 - Specifiche tecniche integrazione pagamenti elettronici
Specifiche per l’integrazione con il pagamento elettronico InfoCamere (IC) e con il pagamento via carta di credito.
[5] Allegato 5 - Specifiche tecniche gestione documenti incassi
Specifiche per l’integrazione con i servizi che preparano eventuali documenti necessari (es. ricevute).
[6] Allegato 6 – Specifiche tecniche integrazione con servizio di Firma Grafometrica.
[7] Allegato 7 – Specifiche tecniche ambiente InfoCamere. Caratteristiche dell’ambiente tecnologico di InfoCamere.
1.3 Termini e definizioni
In questa sezione si riportano termini e definizioni particolari e specifici del documento.
Termine | Descrizione |
Camera o Camera di Commercio o CCIAA | Camera di Commercio, Industria, Artigianato e Agricoltura |
CNS | Carta Nazionale dei Servizi, così come definita dal Decreto Legislativo 7 Marzo 2005 n. 82 (pubblicato su G.U.R.I. n. 112 del 16 maggio 2005) e successive modifiche e integrazioni (c.d. Codice dell’Amministrazione Digitale). |
CRL | Certificate revocation list: lista dei certificati revocati o sospesi |
Dispositivo | Smart card o token usb che, oltre alle caratteristiche di base e personalizzazione tipica di ciascuna Camera (es. grafica/logo), è completo di: - due certificati o certificato di autenticazione CNS o certificato qualificato di sottoscrizione per la firma digitale, - stampa dei dati personali previsti sulla plastica della Smart card. Gli strumenti resi disponibili dall’Appaltatore dovranno trattare congiuntamente i due certificati. |
Dispositivo vergine | Smart card o token usb con caratteristiche di base e personalizzazione tipica di ciascuna Camera (es. grafica/logo) non provvisto di certificati né stampa dei dati personali. |
Firma digitale | Metodo di identificazione informatica definito dal Decreto Legislativo 7 Marzo 2005 n. 82 (pubblicato su G.U.R.I. n. 112 del 16 maggio 2005) e successive modifiche e integrazioni (c.d. Codice dell'Amministrazione Digitale). |
Appaltatore | Il soggetto offerente che risulterà aggiudicatario della gara d’appalto |
SLA | Service Level Agreement (accordo sul livello di servizio) |
Firma Remota | Servizio previsto nel DPCM 22 febbraio 2013, articolo 1, comma 1, punto q): “la particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse” |
OCSP | Online Certificate Status Protocol: protocollo per la verifica online della validità di un certificato |
PKCS#11 | PKCS #11 è uno degli standard tra i “Public-Key Cryptography Standards”, specifica le modalità di comunicazione (API) tra software e dispositivo crittografico |
CSP | CSP (Cryptographic Service Provider) è una libreria software che implementa le Microsoft CryptoAPI (CAPI) |
ADDETTO / RAO | Il soggetto addetto all’emissione dei certificati CNS e firma digitale, opera in funzione di RAO (Registration Authority Officer) |
INCARICATO | Il soggetto incaricato del riconoscimento diretto del richiedente del certificato CNS e firma digitale |
Termine | Descrizione |
OID | Object Identifier, rappresenta il codice univoco che identifica l’ambito di utilizzo dei certificati di CA e di CNS ai fini della gara. |
OTP | One Time Password, identifica una password che può essere utilizzata in una sola sessione di login o per un’unica transazione. |
2 CONTESTO DI RIFERIMENTO E MODELLO ORGANIZZATIVO
2.1 Il ruolo del Sistema Camerale
Da anni in Italia l’ordinamento giuridico e le prassi amministrative tendono a promuovere lo spostamento sui canali telematici dei rapporti tra Pubblica Amministrazione e imprese, nella convinzione che questo possa essere motivo di semplificazione e di efficienza.
In particolare, dal 2011 tutti gli adempimenti connessi alla nascita dell’impresa e alle sue successive modificazioni si svolgono in modo esclusivamente digitale. Da quella data è stato avviato lo stesso percorso per altre importanti tipologie di adempimenti, come quelli connessi all’avvio e all’esercizio delle attività economiche, alle dichiarazioni fiscali e alle pratiche edilizie, fino alle più recenti disposizioni in materia di fatturazione elettronica.
Le Camere di Commercio svolgono un ruolo decisivo per l’attuazione dei processi di digitalizzazione: non solo gestiscono le applicazioni necessarie per l’invio delle pratiche online e per la successiva gestione di back office, ma si occupano anche del rilascio alle imprese del territorio degli strumenti abilitanti per la digitalizzazione degli adempimenti, quali i certificati di CNS e di Firma digitale e i relativi dispositivi.
Ai sensi della normativa italiana, la CNS (Carta Nazionale dei Servizi) è lo strumento per l'accesso ai servizi erogati in rete dalle Pubbliche Amministrazioni, mentre il certificato di Firma digitale consente la sottoscrizione dei documenti e delle pratiche, sostituendo la firma olografa per tutti gli effetti di legge.
Nel corso degli anni, dal 2004 ad oggi, la CNS e la firma digitale hanno permesso alle imprese la produzione e la trasmissione di documenti informatici al Registro Imprese nonché l’adesione ai servizi più innovativi quali il SUAP, l’accesso via web ai fascicoli giudiziari di competenza, i pagamenti online e la Fatturazione Elettronica.
A livello territoriale la diffusione degli strumenti di CNS e Firma è stata facilitata dai percorsi di formazione per le imprese o i loro intermediari che le Camere attuano in modo costante nel tempo.
Sul tema dell’identità digitale sono in corso trasformazioni importanti indotte da due esigenze fondamentali:
- superare l’eccessiva frammentazione e molteplicità dei sistemi di identificazione e accesso ai servizi che si è sviluppata nel corso degli anni per iniziativa di soggetti diversi (dal mondo bancario alle Pubbliche Amministrazioni);
- seguire l’evoluzione delle tecnologie di accesso ai servizi internet che, a livello globale, sta convergendo verso standard basati sul mondo mobile e smartphone, anche in ragione della loro diffusione sempre più capillare presso tutte le fasce di utenza o nei territori interessati dal digital divide.
Come reazione a queste “spinte”, l’Agenda digitale italiana ha introdotto la realizzazione dello SPID (Sistema Pubblico – e unico - per l’Identità Digitale) che dovrà essere adottato da tutte le Pubbliche Amministrazioni entro 24 mesi dalla sua prossima attivazione.
Il presente capitolato di gara si colloca dunque in una fase di transizione durante la quale le imprese ed i professionisti dovranno continuare ad operare senza interruzioni e le Camere di Commercio dovranno essere in grado di rispondere alla domanda, che è sempre crescente, di strumenti abilitanti allo svolgimento telematico degli adempimenti di legge.
Sulla base di quanto sin qui esposto, la procedura di acquisto interessa il servizio di Certification Authority ed erogazione di CNS e firma digitale (sia su dispositivo smart card sia su dispositivo
Token USB), con l’introduzione della possibilità di utilizzo della firma digitale anche in modalità “remota” quale indispensabile elemento di innovazione e miglioramento della fruibilità dello strumento.
2.2 Contesto e requisiti normativi
Tutti i servizi e prodotti oggetto della fornitura devono essere conformi alle vigenti normative italiane ed europee, nonché compatibili con altri prodotti/servizi che attengono all'autenticazione e/o identificazione di cittadini ed esercenti attività, il tutto regolamentato dalla normativa vigente in Italia. Tale conformità deve essere mantenuta per tutta la durata del contratto e per il periodo successivo in cui l’Appaltatore è tenuto ad erogare i servizi previsti.
L’elenco sotto riportato costituisce un quadro non esaustivo della normativa di settore:
• Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;
• Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche;
• Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”;
• Decreto del Presidente della Repubblica 7 aprile 2003, n. 137;
• Xxxxxxx xxx Xxxxxxxxxx xxxxx Xxxxxxxxxx 0 marzo 2004, n. 117 “Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dell'articolo 27, comma 8, lettera b), della L. 16 gennaio 2003, n. 3”;
• D.M. in data 9 dicembre 2004 del Ministro dell'interno, del Ministro per l'innovazione e le tecnologie e del Ministro dell'economia e delle finanze, recante: «Regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della Carta nazionale dei servizi”, come modificato dal D.M. 4 luglio 2009;
• Decreto Legislativo 7 Marzo 2005, n. 82 (G.U. n.112 del 16 maggio 2005) "Codice dell’amministrazione digitale" e successive modifiche e integrazioni (CAD);
• D.P.C.M. 22/2/2013 "Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”
• Regolamento europeo “eIDAS” (electronic IDentification Authentication and Signature) n. 910/2014 in vigore dal 17 settembre 2014;
• D.P.C.M. 24/10/2014, (G. U. n. 285 del 9 dicembre 2014) “Definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità' di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese”
• CNIPA - Deliberazione n.45 del 21 maggio 2009, "Regole per il riconoscimento e la verifica del documento informatico";
• Determinazione Commissariale n.69 del 28 luglio 2010 di DigitPA che modifica la Deliberazione CNIPA n. 45/2009;
• D.M. Ministero sviluppo economico 17/7/2012, pubblicato su G.U. n° 177 del 31/7/2012 "Aggiornamento ed istituzione dei diritti di segreteria delle Camere di Commercio e relativa approvazione delle tabelle A e B".
Di seguito vengono riportate le tipologie di certificati previsti dalla normativa di settore e relative al presente capitolato:
• certificato qualificato di sottoscrizione per la firma digitale: viene emesso da un certificatore (CA) nei termini ed alle condizioni previste dal CAD;
• certificato qualificato di sottoscrizione con ruolo:
• in esso sono riportate informazioni aggiuntive relative al Ruolo del Titolare alle
condizioni specificate nel CAD
• può essere richiesto in alternativa al certificato qualificato di sottoscrizione;
• nel seguito del documento viene considerato come una possibile forma del certificato qualificato di sottoscrizione e, quindi, di norma, non viene citato come oggetto distinto;
• certificato di Autenticazione CNS: specifica una classe di certificati di autenticazione, con indicazione dell’apposita normativa, destinata agli utenti per accedere in maniera sicura ai siti delle Pubbliche Amministrazioni, secondo quanto previsto dal CAD.
I dati personali dei soggetti interessati dovranno essere raccolti e trattati dal certificatore o da terzi da questi delegati, nel rispetto della vigente normativa in materia di protezione dei dati personali (CAD, nonché del D.P.C.M. 22/2/2013).
In ogni caso, ai sensi dell’articolo 32, comma 5, del CAD, il certificatore dovrà raccogliere i dati personali solo direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato, fornendo l'informativa prevista dall'articolo 13 del D.Lgs. 30 giugno 2003, n. 196. I dati non possono essere raccolti o elaborati per fini diversi.
2.3 Attori e ruoli
Richiedente - Titolare
Delegato
Camera di Commercio
InfoCamere
Appaltatore
Attore | Ruolo |
Appaltatore | Fornisce al sistema Camerale dispositivi CNS/firma digitale e servizi di CA, nonché altri software e servizi correlati. Fornisce alcuni servizi al titolare (es. funzioni online). Deve essere presente nell'elenco pubblico dei Certificatori Accreditati (CA), tenuto da Agenzia per l’Italia digitale ai sensi del CAD e della normativa tecnica di riferimento. |
Camera di Commercio | Cura, in proprio o tramite Delegato, i rapporti con i richiedenti finalizzati al rilascio dei dispositivi e ad altre attività (es. revoca). |
Delegato (dalla Camera) | Soggetto delegato dalla Camera di Commercio (es. professionista, associazione) a gestire, in toto o in parte, il rapporto con il richiedente, in particolare il riconoscimento necessario per il rilascio dei dispositivi. |
InfoCamere | Società in-house delle Camere di Commercio. Gestisce, in particolare: - la gara e l'avviamento delle attività che dovranno essere svolte dall’Appaltatore; - il rapporto tra le Camere e l’Appaltatore, ad eccezione di alcuni casi particolari, tra cui l'invio di materiali e documenti; - il Centro Servizi InfoCamere per la produzione centralizzata dei dispositivi. |
Richiedente/Titolare | La persona fisica, maggiorenne in possesso di codice fiscale italiano, che richiede (Richiedente) e poi riceve (Titolare) un dispositivo CNS/firma digitale. Può essere anche un dipendente della Camera di Commercio. |
Operatori
Nell’ambito della Camera di Commercio si distinguono due figure di operatori:
− l'addetto, interno o esterno delegato dalla Camera di Commercio, e abilitato dall’Appaltatore dopo aver ricevuto una specifica formazione e mandato che può effettuare tutte le operazioni di rilascio, revoca, etc.
− l'incaricato al riconoscimento (IR) che, previo mandato da parte della Camera di Commercio, può effettuare solo alcune operazioni tra cui riconoscere il richiedente.
Nell’ambito InfoCamere si distingue:
- l’operatore di Centro Servizi: grazie ad opportune profilature può operare in qualità di addetto per più Camere di Commercio.
- l’operatore di Help Desk: grazie ad opportune profilature, fornisce supporto ad addetti, incaricati ed utenti, nello svolgimento delle proprie attività.
3 DURATA DELLA FORNITURA E VOLUMI PREVISTI
3.1 Durata
La fornitura avrà una durata pari a 5 (cinque) anni, con decorrenza dalla data di avvenuto collaudo, secondo quanto previsto dal paragrafo 4.1.1 e prevederà che:
• il 1° e 2° anno siano dedicati alle emissioni;
• il 4° e 5° anno ai rinnovi dei certificati emessi (ad esclusione di quelli in forma remota per i quali il rinnovo non è previsto).
Per quanto la firma remota, le emissioni saranno possibili per tutti i 5 anni di durata contrattuale. Per tutta la durata della fornitura bisognerà adempiere a tutte le altre attività oggetto del contratto e del presente documento.
Al termine del contratto, l’Appaltatore sarà infine tenuto agli ulteriori adempimenti successivi alla scadenza del contratto, come meglio indicati al paragrafo 4.1.13.
3.2 Volumi
Non sono previsti volumi minimi garantiti. I volumi richiesti all'Appaltatore saranno esclusivamente quelli risultanti dalle richieste degli utenti delle Camere aderenti al servizio.
Le quantità indicate nel Disciplinare di gara si intendono e sono da considerare quali stime quantitative del fabbisogno nell’ambito dell’intera durata del contratto, effettuate al meglio delle possibilità e conoscenze attuali sui presunti profili di uso dei servizi da parte delle Camere di Commercio; tali quantità sono determinate ai soli fini della valutazione delle offerte e non sono vincolanti ai fini contrattuali, atteso che in caso di aggiudicazione l’Appaltatore si impegna a prestare ogni fornitura e/o servizio richiesto sino a concorrenza dell’importo massimo contrattuale stabilito.
4 OGGETTO DELL’APPALTO
L’appalto in oggetto si compone dei seguenti macro servizi:
- servizio di emissione della Carta Nazionale dei Servizi (su dispositivi token usb e smart card) con certificato di autenticazione CNS e certificato digitale di sottoscrizione e successivo eventuale rinnovo;
- servizio di firma remota;
- servizi correlati e connessi ai precedenti punti, in favore di InfoCamere e delle Camere di Commercio, Industria, Artigianato e Agricoltura;
- fornitura di un sito web;
- adempimenti al termine della fornitura.
Nei paragrafi seguenti verranno illustrate le caratteristiche dei servizi oggetto di appalto e le relative specifiche tecniche.
4.1 Descrizione dei processi
A seguire vengono descritti i processi in ambito all’appalto.
4.1.1 Avviamento del servizio
Informazioni generali
InfoCamere e l'Appaltatore devono scambiarsi i riferimenti delle persone che fungono da punto di contatto reciproco e le caselle di posta elettronica certificata (PEC) che fungeranno da canale primario di comunicazione da utilizzare in tutti i casi in cui non sia espressamente indicata un'altra modalità di comunicazione.
Non è richiesta una CA dedicata al Sistema Camerale.
Al fine di consentire l'utilizzo dei certificati CNS dell’Appaltatore per l'autenticazione dei servizi del sistema delle Camere di Commercio, l’Appaltatore dovrà fornire ad InfoCamere entro 10 giorni lavorativi dalla stipula del contratto le seguenti informazioni sui propri certificati CNS:
− OID (OID Certificato CA e OID Certificati CNS);
− il certificato di CA emittente, certificati di autenticazione CNS e la lunghezza della catena di certificazione necessaria per la corretta validazione dei certificati stessi (eventuale presenza di CA intermedie).
Per supportare il collaudo ed i test di integrazione dei dispositivi nelle applicazioni in uso presso le Camere di Commercio l’Appaltatore dovrà fornire entro 10 giorni lavorativi dalla stipula del contratto:
− un numero adeguato di campioni di Smart card e token usb completi di certificati il cui quantitativo andrà dimensionato in funzione del collaudo e dei successivi test necessari in occasione di ogni cambio di release dei sistemi;
− le relative librerie PKCS #11 (indicando la versione) e CSP, corredate dalla documentazione tecnica e di utilizzo con descrizione delle gestioni proprietarie delle credenziali, del PIN e del PUK.
Modalità di avviamento del servizio
L’Appaltatore dovrà presentare, in sede di Offerta Tecnica, la pianificazione complessiva (piano di avviamento del servizio) relativa alla fase di avviamento oggetto del presente paragrafo; all’interno di tale pianificazione dovrà anche essere ricompreso un piano di attivazione iniziale di tutte le Camere di Commercio contenente le modalità ed i tempi di attivazione.
L’avviamento del servizio è articolato in due fasi, distinguendo funzionalità vincolanti ai fini dell’attivazione delle Camere rispetto ad altre non vincolanti.
La prima fase deve completarsi entro 70 gg solari dalla stipula del contratto; in particolare entro 60 giorni solari si deve completare la realizzazione da parte dell’Appaltatore delle attività descritte a seguire, i rimanenti 10 giorni solari saranno dedicati al collaudo da parte di InfoCamere.
InfoCamere mette a disposizione dell’Appaltatore la possibilità di effettuare test, prima del collaudo finale, sulle interazioni con i servizi InfoCamere (Registro delle Imprese, Diritto Annuale, pagamenti elettronici InfoCamere, firma grafometrica e documenti degli incassi). A tal fine, InfoCamere comunicherà all’Appaltatore, entro 20 giorni dalla firma del contratto, il calendario dei test dei servizi, i quali potranno durare massimo 20 giorni, durante i quali InfoCamere verificherà il corretto funzionamento delle chiamate ai servizi. Il test dovrà essere effettuato dalle ore 9:00 alle ore 18:00 nelle giornate lavorative.
All’interno della prima fase sono incluse le seguenti attività:
− predisposizione di tutte le funzionalità software come illustrate più avanti nel Capitolato e realizzazione delle interfacce di interazione con gli altri sistemi informatici della stazione appaltante, secondo le specifiche indicate dagli allegati al presente documento, ad eccezione delle funzionalità sotto descritte nella seconda fase;
− attivazione della connettività, anche ai fini dell'integrazione tra le procedure dell’Appaltatore e le procedure gestite da InfoCamere, in particolare il Registro delle Imprese, Diritto Annuale, gestione pagamenti elettronici e documenti incassi, tramite una VPN o extranet con InfoCamere le cui caratteristiche sono descritte nel documento [3] Allegato 3 – Specifiche tecniche di rete;
− predisposizione dell'ambiente di collaudo tecnico conformemente ai più recenti standard di qualità necessari per garantire un passaggio in produzione sicuro; tale ambiente di collaudo deve essere mantenuto per tutta la durata del contratto e deve essere allineato a quello di produzione e distinto dall’ambiente in cui si effettuano i test delle nuove versioni;
− definizione congiunta e rilascio dei testi da utilizzare nelle comunicazioni previste dalle attività oggetto di servizio secondo quanto descritto nel paragrafo 4.1.2;
− definizione, in collaborazione con InfoCamere, e rilascio dei moduli tipo (emissione, sospensione, revoca) da far firmare all'utente, ove la CA è responsabile per il certificato di firma mentre la Camera per il certificato CNS, delle condizioni generali di contratto da consegnare al richiedente e dell'informativa sulla privacy con consenso per trattamenti facoltativi;
− definizione, in collaborazione con InfoCamere, delle modalità di personalizzazione della documentazione di cui al punto precedente per ciascuna Camera;
− definizione, in collaborazione con InfoCamere, dei manuali operativi e dei piani della sicurezza che ciascuna Camera di Commercio dovrà redigere nella sua qualità di responsabile dell'emissione di CNS; a tal fine, l'Appaltatore dovrà fornire una bozza di siffatta documentazione;
− presentazione del piano di gestione formalizzando:
− definizione delle interfacce tecnico / organizzative nei confronti delle Camere e nei confronti di InfoCamere;
− assistenza e relativi processi di richiesta, classificazione interventi, presa in carico e gestione indicatori;
− manutenzione software e relativi processi di classificazione interventi, presa in carico e gestione indicatori;
− monitoraggio del servizio e reportistica (es. archivio giornaliero, report mensile).
− rifornimento materiali;
− formazione aggiuntiva e supporto tecnico on site;
− conservazione sostitutiva documenti;
− disponibilità comunicazioni INA;
− attivazione / disattivazione di una Camera di Commercio;
− livelli di servizio;
− fatturazione e documenti di trasporto (es. a nome di InfoCamere e con i seriali dei dispositivi);
− modulistiche di riferimento (per richieste / risposte) e schemi reportistiche documentazione di cui al punto precedente per ciascuna Camera.
Il piano di collaudo sarà proposto dall’Appaltatore, dovrà comprendere la verifica di tutte le funzionalità implementate per la fase 1 e dovrà essere approvato da InfoCamere la quale avrà a disposizione 10 giorni per completare tale attività; eventuali segnalazioni bloccanti per l’avvio del servizio dovranno essere sistemate entro i successivi 5 giorni.
Detto collaudo, in caso di esito positivo, conclude la prima fase di avviamento del servizio e consente di attivare le Camere.
Si sottolinea che l’Appaltatore, in questa fase, deve fornire anche tutta la documentazione necessaria, inclusa quella prevista per legge, ovvero:
− manuale operativo (certificati per la firma digitale);
− certificate policy (certificati CNS).
I documenti devono essere rilasciati e pubblicati secondo le normative vigenti, coerenti con i modelli organizzativi, le procedure e gli altri dettagli indicati nel presente capitolato.
Nell'ambito della prima fase, l’Appaltatore è tenuto a realizzare un piano di formazione del personale dell'help-desk di primo livello gestito da InfoCamere sulle tematiche descritte al successivo paragrafo 4.1.10.
L’Appaltatore dovrà:
- fornire all'help-desk di primo livello tutti i materiali e gli strumenti necessari affinché questo possa interagire efficacemente con il secondo livello;
- illustrare le relative modalità operative di gestione dell’help desk di secondo livello;
- fornire la programmazione per i successivi momenti di formazione periodici.
Con riferimento alla seconda fase dell’avviamento, l’Appaltatore deve, entro 30 giorni solari dall’esito positivo del primo collaudo, realizzare le seguenti ulteriori funzionalità:
- rinnovo dei certificati emessi (riferimento paragrafi: 4.1.7, 4.2.3.2.7 e 4.2.4.2)
- rilascio in modalità “remota”;
- servizio di conservazione a norma in formato elettronico dei documenti.
Anche in questo caso il piano di collaudo sarà proposto dall’Appaltatore e verrà approvato da InfoCamere la quale avrà a disposizione 10 giorni per completare tale attività; eventuali modifiche segnalate da InfoCamere in corso di collaudo dovranno essere sistemate nel rispetto di un piano condiviso con InfoCamere.
Riepilogando, il primo collaudo consente alle Camere di Commercio di rilasciare i dispositivi oggetto del presente capitolato; il secondo collaudo prevede il completamento del servizio con funzionalità aggiuntive ma non indispensabili per il corretto avviamento delle Camere di Commercio.
Per quanto concerne l’integrazione con la firma grafometrica, il rilascio in ambiente di collaudo è previsto entro 6 mesi dall’avvio della fornitura.
4.1.2 Attivazione di una Camera di Commercio
Le Camere di Commercio possono, a loro discrezione, aderire / non aderire / chiudere l’adesione al servizio.
La fase di attivazione del servizio per una Camera di Commercio dovrà essere svolta nel seguente modo:
- InfoCamere informa l’Appaltatore in merito all'intenzione di una Camera di Commercio di usufruire del servizio e fornisce le informazioni necessarie:
- indirizzo e riferimento della Camera di Commercio;
− data prevista di attivazione;
− modalità di rilascio dei dispositivi prescelta: potranno essere scelte anche più modalità (decentrata, centralizzata e remota vedi paragrafi: 4.1.6.1, 4.1.6.2 e 4.1.6.3);
− logo della Camera e layout grafico dispositivi;
− date disponibili per la formazione di addetti ed incaricati al riconoscimento e per l'installazione / configurazione delle stazioni di lavoro;
− numero addetti e di incaricati al riconoscimento da avviare;
− informazioni sul dimensionamento della Camera utili per stimare l’impegno necessario;
− richiesta iniziale di dispositivi/materiali;
− indirizzo e riferimento a cui inviare i dispositivi e gli altri materiali (è possibile che una parte debba essere inviata in Camera ed una parte al Centro Servizi InfoCamere);
− testo e layout della lettera di accompagnamento dei dispositivi, da personalizzare con i dati del titolare, nel caso in cui la Camera abbia scelto, anche in forma parziale, la modalità centralizzata.
- L’Appaltatore fornisce ad InfoCamere il piano delle attività previste e quanto serve per l'attivazione della Camera, tra cui la proposta di layout grafico da far approvare.
- InfoCamere comunica all'Appaltatore l'approvazione o le motivazioni per cui non approva quanto fornito dall’Appaltatore in modo da consentire i necessari interventi che l’Appaltatore dovrà eseguire al fine dell’approvazione. Con riferimento al layout grafico, potranno essere richieste delle variazioni in corso di contratto.
- L’Appaltatore, prima dell’attivazione della Camera ed eventualmente dopo (per aggiornamenti), riceve da InfoCamere e deve caricare nei propri archivi i dati delle emissioni effettuate dalla stessa Camera con altri fornitori. Tali caricamenti vengono effettuati per singola Camera di Commercio e non globalmente. I dati caricati devono essere utilizzati, in particolare, per garantire la continuità dei controlli sulle emissioni, (vedi paragrafo 4.2.3.2.1) con particolare riferimento ai controlli sull'esistenza di precedenti emissioni per la stessa impresa per determinare la tariffa da applicare (DM 17/7/2012 Tabella A punti 7-8); devono anche essere utilizzati per evitare la loro ridigitazione da parte degli operatori. Il formato dei file da caricare verrà reso noto all’Appaltatore in fase di avviamento così come i momenti in cui effettuare il caricamento (a titolo di esempio potrebbe essere effettuato un caricamento in anticipo rispetto all’attivazione della Camera ed
un altro nel momento preciso dell’attivazione).
- l’Appaltatore, concordati tempi e disponibilità con la Camera di Commercio interessata ed InfoCamere, deve provvedere:
- allo svolgimento delle attività necessarie all’avvio dal punto di vista tecnico, organizzativo e documentale dell’operatività della Camera di Commercio stessa e dei soggetti terzi coinvolti (incaricati esterni). A tal fine, l’Appaltatore provvederà alla formazione di addetti ed incaricati al riconoscimento e all’installazione delle stazioni di lavoro;
- a regolare i flussi informativi relativi agli incarichi/mandati, in funzione di quanto previsto nel manuale operativo dell’Appaltatore e dei processi di dettaglio concordati con InfoCamere
- a rendere disponibili i suoi prodotti, secondo le personalizzazioni richieste per ciascuna Camera nell’ambito dei flussi informativi previsti al presente paragrafo, e i servizi secondo i parametri previsti al capitolo 5 e relativi paragrafi;
In caso di variazione delle informazioni relative alla Camera di Commercio, si procede con modalità simili ai punti procedenti, limitatamente agli oggetti che devono variare (ad esempio: logo della Camera, testo della lettere di accompagnamento etc.).
In caso di disattivazione di una Camera di Commercio, InfoCamere fornisce all’Appaltatore le informazioni di riferimento tra cui:
− Camera di Commercio: indirizzo e riferimento;
− data di prevista chiusura del servizio.
L’Appaltatore fornisce ad InfoCamere il piano delle attività.
InfoCamere comunica all’Appaltatore l'approvazione o le motivazioni per cui non approva quanto fornito da quest’ultimo.
Di seguito sono maggiormente dettagliate le attività connesse alla formazione degli addetti e/o incaricati e alla attivazione delle stazioni di lavoro.
4.1.2.1 Formazione degli addetti e/o incaricati
Per ogni Camera di Commercio da avviare, l’Appaltatore sarà tenuto a svolgere:
− una sessione di formazione per gli addetti;
− una sessione di formazione per gli incaricati al riconoscimento.
Le suddette sessioni di formazione dovranno svolgersi nel seguente modo:
− possono parteciparvi tutte le persone indicate dalla Camera di Commercio;
− si devono tenere presso una sede indicata dalla Camera di Commercio (il costo della sede e la predisposizione dei locali sono a cura della Camera di Commercio);
− sono tenute dal personale dell’Appaltatore, il quale avrà altresì cura di mettere a disposizione tutto il materiale necessario a dar luogo alla sessione di formazione/addestramento (lettori, proiettore, dispositivi, documenti cartacei, etc.)
− il concorrente potrà proporre soluzioni aggiuntive ed innovative rispetto a quanto sopra riportato, specificandone le modalità di erogazione
L'addestramento di cui al presente paragrafo dovrà avere come obiettivo quello di aggiornare addetti ed incaricati rispetto alle novità relative alle nuove condizioni contrattuali introdotte dalla nuova fornitura; in aggiunta verranno anche trattate tutte le tematiche atte a rendere autonomi ed edotti i corsisti rispetto a tutte le attività necessarie alla gestione dei certificati digitali, con
particolare attenzione alle responsabilità dei diversi ruoli previsti.
A tal fine, nell’ambito delle attività di formazione deve anche essere fornito un adeguato quadro conoscitivo della firma digitale e della CNS.
Alla fine di ciascun corso formativo l’Appaltatore, con l'eventuale collaborazione della Camera di Commercio, dovrà verificare che i corsisti abbiano acquisito le conoscenze necessarie allo svolgimento delle attività previste, rilasciandone attestazione scritta.
Al superamento della verifica la Camera di Commercio abiliterà l’operatore ad utilizzare le funzionalità software di cui al paragrafo 4.2.3.2 conferendogli specifico mandato o incarico.
La formazione deve essere erogata da personale qualificato con esperienza in questa attività.
In fase di attivazione della Camera, viene considerata positivamente la disponibilità dell’appaltatore a fornire, a titolo gratuito, un numero di giornate aggiuntive rispetto a quelle sopra riportate (una per addetti e una per incaricati alla registrazione).
Successivamente all’attivazione della Camera, l’appaltatore dovrà altresì rendersi disponibile, dietro pagamento di un corrispettivo aggiuntivo secondo il modello di remunerazione previsto, a realizzare ulteriori sessioni di formazione/addestramento, a richiesta di InfoCamere, presso le sedi delle Camere di Commercio e/o di InfoCamere medesima di volta in volta indicate.
In tali casi, InfoCamere invia all’Appaltatore la richiesta di formazione o di supporto indicando in particolare:
− la Camera di Commercio richiedente;
− il tipo di intervento richiesto (formazione addetti e/o incaricati al riconoscimento, supporto tecnico);
− le quantità previste: persone da formare, stazioni di lavoro da installare/configurare, numero di giornate previste;
− una proposta di schedulazione temporale.
L’Appaltatore invia ad InfoCamere una proposta di piano di intervento. Possono esserci ulteriori iterazioni per giungere alla definizione di una proposta condivisa, tuttavia devono essere rispettati i tempi e i livelli di servizio previsti.
L'erogazione del servizio deve essere accompagnata dalla compilazione e firma di un modulo di chiusura attività:
− da parte della Camera di Commercio che fruisce del servizio;
− da parte dell’Appaltatore, il quale deve inviare copia di questo modulo ad InfoCamere.
4.1.2.2 Attivazione stazioni di lavoro addetti e/o incaricati
L’Appaltatore, per ogni Camera di Commercio da avviare, dovrà fornire ad un referente (tecnico) della Camera di Commercio le informazioni principali, con la relativa documentazione, in merito all'attivazione, sulle stazioni di lavoro degli addetti / incaricati, delle funzionalità di servizio di cui al paragrafo 4.2.3.2 e relativi sotto paragrafi.
Tali informazioni devono consentire a ciascuna Camera di Commercio:
- se questa lo richiede, di svolgere autonomamente le attività di attivazione delle stazioni di lavoro;
- di supportare gli incaricati nella attivazione delle funzionalità di servizio per essi previste dall’Appaltatore come specificato al paragrafo 4.2.3.2 e relativi sotto paragrafi.
L’Appaltatore deve, comunque, rendersi disponibile a supportare presso le sedi della Camera l'attivazione delle stazioni di lavoro fino ad un massimo di 10 unità.
Le attività devono essere erogate da personale qualificato con esperienza in queste attività.
Fermo restando quanto sopra, l’Appaltatore dovrà altresì rendersi disponibile, dietro pagamento di un corrispettivo aggiuntivo secondo il modello di remunerazione previsto, a gestire l'attivazione di ulteriori stazioni di lavoro, a richiesta di InfoCamere.
I servizi descritti nel capitolato dovranno essere utilizzabili su stazioni di lavoro con caratteristiche hardware, browser e sistemi operativi diffusi tra gli utenti e di riferimento nel mercato odierno; in aggiunta si segnalano alcune importanti caratteristiche proprie delle stazioni degli addetti nella rete camerale:
− sono presenti sia postazioni fisiche che postazioni Virtual Desktop
− il sistema operativo è aggiornato con tutte le patch di sicurezza;
− le postazioni mantengono un antivirus costantemente aggiornato;
− le postazioni comunicano con l'esterno via http/https uscente; non sono ammesse comunicazioni dall'esterno verso le stazioni.
Queste caratteristiche (sistema operativo, antivirus, …) sono gestite e garantite a cura del sistema delle Camere e non a cura dell’Appaltatore.
In merito agli aspetti di rete si veda l'apposito [3] Allegato 3 – Specifiche tecniche di rete.
Si deve tenere conto che gli utenti delle stazioni di lavoro Camerali (es. addetti al rilascio) non hanno diritti di amministratore sulla propria stazione; quindi le operazioni che comportassero l’intervento di un amministratore, sulle stazioni di lavoro impattate, dovranno essere escluse o limitate al minimo.
L’Appaltatore, con periodicità da definire in fase di avviamento, fornisce ad InfoCamere un rendiconto sulle sessioni di formazione / supporto tecnico erogate nel periodo precedente, corredate da informazioni utili per la comprensione del servizio erogato, tra cui: giorni di calendario, Camera, numero di persone formate / stazioni lavoro, etc. secondo un layout da definire in fase di avviamento. Devono inoltre essere distinti i servizi standard, compresi nell'attivazione di una Camera, da quelli a richiesta, pagati a parte secondo quanto definito nel capitolo 6.
4.1.2.3 Rifornimento di dispositivi e altri materiali alle Camere e al Centro Servizi
L’Appaltatore, per ogni Camera di Commercio attivata, dovrà avviare la gestione di un flusso di rifornimento materiali atto a garantire l'erogazione del servizio di rilascio di nuovi dispositivi come descritto al seguente paragrafo 4.1.4. Il flusso di rifornimento materiale dovrà garantire alle Camere, nelle diverse modalità di rilascio, i seguenti prodotti :
− modalità decentrata: dispositivi (Smart card, token usb) vergini e materiale di accompagnamento come descritti nel paragrafo 4.2.1 e sotto paragrafi;
− modalità centralizzata: materiale di accompagnamento come descritto nel paragrafo 4.2.1 e sotto paragrafi.
Nell'ambito della modalità decentrata, i dispositivi devono pervenire alla Camera di Commercio già personalizzati con la grafica stampata approvata per ciascuna Camera di Commercio.
Le modalità e i livelli di servizio previsti per il rifornimento dei materiali sono riportati ai paragrafi: 4.1.4 e 5.1.2.
4.1.3 Accorpamenti delle Camere di Commercio
Nell’ambito della riforma del Sistema Camerale è prevista la razionalizzazione del numero di Enti sul territorio, attraverso operazioni di accorpamento tra Camere diverse.
In questi casi, l’Appaltatore dovrà permettere ad addetti ed incaricati di operare su più Camere per tutte le funzioni previste dal presente Capitolato.
InfoCamere fornirà all’Appaltatore le informazioni necessarie a gestire la fusione, tra cui:
− Camere di Commercio coinvolte: indirizzi e riferimenti;
− data prevista per l’accorpamento;
L’Appaltatore fornirà ad InfoCamere il piano delle attività, assicurandone la coerenza con le date di accorpamento.
4.1.4 Rifornimento dei materiali
InfoCamere, sulla base delle richieste delle Camere di Commercio, ordina all’Appaltatore i dispositivi ed i materiali necessari; in particolare nell’ordine vengono riportati:
− il numero di dispositivi vergini per ciascun tipo, per ogni Camera coinvolta nella fornitura;
− il numero, per ogni Camera coinvolta nella fornitura, di kit di accompagnamento.
Il quantitativo minimo che InfoCamere può richiedere per ciascun dispositivo/materiale per ciascuna Camera è composto da 100 unità per le Smart card, 50 unità per i token usb e 100 unità per i kit.
L’Appaltatore deve inviare i materiali richiesti direttamente a ciascuna Camera di Commercio, nei tempi previsti dai livelli di servizio; i documenti di trasporto devono indicare tutti i dettagli dei materiali e devono indicare che il trasporto viene effettuato per InfoCamere anche se l’invio è diretto dall’Appaltatore alla Camera. In particolare l’Appaltatore:
- allega alla fornitura, verso la Camera, le informazioni in merito a quantità e tipologia di oggetti (dispositivi, materiale di accompagnamento, etc.);
- invia elettronicamente ad InfoCamere, contemporaneamente ad ogni invio verso una Camera di Commercio, un riepilogo aggiornato con tutti i dati della fornitura (quantità, tipologie, Camere, date di invio, etc.);
- con cadenza giornaliera, l’Appaltatore deve inoltre inviare elettronicamente ad InfoCamere un report di aggiornamento contenente i dati di tutte le consegne effettuate;
- garantisce ad InfoCamere la piena e puntuale visibilità, attraverso specifico sistema informatico, dello stato di avanzamento dell’ordine trasmesso, sia rispetto al processo di preparazione ed affidamento al trasportatore del materiale, sia rispetto al processo di trasporto e consegna al destinatario. A seguito di richiesta di InfoCamere, l’Appaltatore deve esibire, nel rispetto dello SLA dettagliato al paragrafo 5.1.2, il documento attestante l’avvenuta consegna firmato dal destinatario.
L’Appaltatore deve inoltre garantire un analogo flusso di rifornimento diretto al Centro Servizi InfoCamere, per i rilasci in modalità centralizzata (paragrafo 4.1.6.2) . Le modalità di richiesta sono simili ai rifornimenti per le Camere di Commercio. Le differenze principali riguardano:
- la destinazione dei materiali che sarà indicata da InfoCamere;
- la presenza di materiali personalizzati per diverse Camere di Commercio;
- alcune informazioni contenute del documento di trasporto.
Nel caso l’Appaltatore non disponga temporaneamente del materiale necessario all’evasione integrale dell’ordine, potrà richiedere ad InfoCamere specifica autorizzazione formale a procedere con un’evasione parziale; in caso di autorizzazione, l’Appaltatore procederà a spedire il materiale disponibile, rimandando a una fase successiva l’evasione del residuo.
Una volta consegnato il materiale, InfoCamere avrà a disposizione 30 giorni solari per segnalare eventuali incongruenze nei quantitativi consegnati rispetto a quelli indicati nel documento di trasporto e eventuali difettosità del materiale; in tali casi l’Appaltatore dovrà reintegrare il materiale mancante o difettoso secondo le modalità indicate nel paragrafo successivo.
4.1.5 Reso del materiale
Tale processo ricomprende i casi in cui il materiale fornito non sia utilizzabile perché:
- Riscontrato difettoso in sede di consegna
- Danneggiato durante la procedura di emissione/rinnovo per ragioni imputabili al software fornito dall’Appaltatore.
In tali casi l’Appaltatore dovrà reintegrare il materiale, a titolo non oneroso per InfoCamere, sulla base del seguente processo:
- La Camera o InfoCamere raccoglie i dispositivi non utilizzabili compilando una distinta con i dettagli relativi a: causale, seriali dei dispositivi e tipologia (es: token USB, smart card); procede inoltre a richiedere all’Appaltatore il prelievo del materiale specificando l’indirizzo di presa;
- L’Appaltatore provvede al ritiro della merce ed al suo reintegro secondo lo stesso processo di rifornimento indicato al paragrafo 4.1.3
Il reintegro della merce avverrà anche nei casi in cui vengono riscontrate delle mancanze rispetto a quanto dichiarato nel documento di trasporto.
4.1.6 Rilascio di un nuovo dispositivo
Per ciascuna Camera di Commercio attivata e per il Centro Servizi InfoCamere, l’Appaltatore garantisce l'operatività del servizio di rilascio di un nuovo dispositivo secondo le modalità di seguito descritte e con il supporto delle funzionalità software rese disponibili in fase di avviamento del servizio ed attivazione della Camera.
A prescindere dalle modalità, il certificatore è responsabile dell'identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi, anche ai sensi dell’art. 32, comma 4, del CAD, nonché del D.P.C.M. 22/2/2013.
Con riferimento alla firma dei moduli previsti per il richiedente nelle diverse modalità di seguito descritte, si precisa che questa potrà avvenire, in base a quanto previsto per ciascuna Camera, con firma autografa su modulo cartaceo e/o mediante firma grafometrica; per le Camere dove verrà attivato il servizio di firma grafometrica, va comunque mantenuta la possibilità di operare anche in modalità firma autografa.
Nell’ambito del processo di rilascio, al richiedente viene anche data la possibilità di aderire ad un servizio di Firma Remota (paragrafo 4.2.2 e relativi sotto paragrafi) i cui certificati digitali hanno durata di 2 anni e non sono rinnovabili; in tali casi, la richiesta dovrà essere gestita in piena integrazione con le procedure informatiche previste per il rilascio di dispositivi fisici (paragrafo
4.2.3 e relativi sotto paragrafi). In alternativa, il titolare potrà anche aderire al servizio di Firma Remota, in un secondo momento, via web attraverso il sito xxxx.xxxxxxxxxx.xx (paragrafo 4.2.4), utilizzando procedure di riconoscimento remoto che garantiscano livelli di sicurezza adeguati e conformi alla normativa di riferimento (ad esempio: autenticazione con CNS).
A seguire vengono descritte le diverse modalità di rilascio richieste.
4.1.6.1 Modalità “decentrata”
Questa modalità prevede che la Camera di Commercio sia autonoma nel rilasciare dispositivi (Smart card o token usb) completi di:
− certificati CNS e sottoscrizione (per firma digitale);
− stampa dati sulla plastica della Smart card.
Questa modalità, a sua volta, si può realizzare in due forme diverse:
− modalità “decentrata immediata”: l’addetto della Camera di Commercio effettua in un'unica sessione tutte le operazioni necessarie per la registrazione della richiesta ed il rilascio dei dispositivi completi;
− modalità “decentrata differita”: la Camera di Commercio si avvale di soggetti diversi per due fasi distinte:
1. il riconoscimento del richiedente operato da un incaricato, con inserimento dei suoi dati tramite data entry online, firma del richiedente e consegna del materiale di accompagnamento, come descritto più dettagliatamente in seguito (paragrafo 4.2.3.2.1);
2. il completamento delle attività e la produzione dei dispositivi completi operati da un addetto.
In questo caso la consegna del dispositivo al titolare usualmente viene effettuata dal soggetto che ha effettuato il riconoscimento e che il titolare conosce.
Comunque non è esclusa la possibilità che tutte le fasi siano svolte dallo stesso soggetto ma in tempi diversi.
La Camera di Commercio trasmetterà le richieste (originale cartaceo), sottoscritte dai richiedenti, all’Appaltatore che ne curerà la conservazione a norma in formato elettronico e le renderà disponibili in forma telematica ad InfoCamere e alle Camere di Commercio per i documenti di rispettiva competenza.
Nel caso di richiesta firmata con tecnologia grafometrica vale comunque quanto indicato sopra a meno della trasmissione del cartaceo.
Le funzionalità software rese disponibili dall’Appaltatore e descritte al paragrafo 4.2.3 e relativi sotto paragrafi, dovranno supportare addetti e incaricati, ciascuno per i propri compiti, in tutta l’attività di rilascio.
Per l'espletamento dell'attività addetti e incaricati fruiranno delle scorte, di dispositivi vergini e materiali di accompagnamento, alimentate dal flusso di rifornimento gestito dall’Appaltatore.
4.1.6.2 Modalità “centralizzata”
Questa modalità, che ciascuna Camera può decidere di utilizzare su base opzionale, prevede che il rilascio dei dispositivi completi sia gestito da un Centro Servizi, a cura di InfoCamere. In questo caso la Camera si occupa, in proprio o tramite delegati, di riconoscere il richiedente, fargli firmare la richiesta e rilasciargli i codici segreti; quindi la richiesta viene trasferita al Centro Servizi InfoCamere in cui opera personale con mandato e abilitazione ad operare per le Camere interessate. Questi operatori ricevono le richieste dalle diverse Camere, effettuano i controlli necessari ed emettono i certificati previsti sui dispositivi personalizzati delle rispettive Camere; al termine inviano i dispositivi secondo le modalità indicate dalle Camere o dai loro delegati.
In dettaglio:
− l’addetto o l’incaricato (interno alla Camera o delegato):
− effettua il riconoscimento del richiedente;
− raccoglie i suoi dati in modalità online (con una funzione analoga a quella prevista per la fase 1 della modalità “decentrata differita” e descritta al paragrafo 4.2.3.2.1);
− raccoglie la firma del Titolare sulla richiesta;
− consegna al Titolare il materiale di accompagnamento (si veda paragrafo 4.2.1.4);
− invia la richiesta al Centro Servizi;
− il Centro Servizi InfoCamere:
− riceve la richiesta
− produce il dispositivo completo (con certificati e stampa su Smart Card dei dati personali)
− invia il dispositivo al titolare o alla Camera o all’incaricato, a seconda delle indicazioni ricevute, accompagnandolo da una lettera avente testo e layout definiti in fase di attivazione della Camera;
I requisiti di dettaglio delle funzionalità software richieste sono descritte al paragrafo 4.2.3 e relativi sotto paragrafi.
L’Appaltatore dovrà consentire alla Camera di configurare il servizio per adeguarlo alle specifiche esigenze operative, in particolare:
− scegliendo se sia necessaria o superflua l’approvazione da parte di un addetto della Camera per inoltrare la richiesta dall’incaricato al Centro Servizi;
− individuando a priori quali richieste devono essere inviate al Centro Servizi InfoCamere (es. quelle di specifici incaricati e non di altri);
− indicando, in linea generale o caso per caso, se i dispositivi devono essere inviati dal Centro Servizi InfoCamere al Titolare o alla Camera stessa o all’incaricato.
Per l'espletamento dell'attività gli addetti e gli incaricati fruiranno dello stock di materiale di accompagnamento disponibile presso la Camera, mentre gli addetti del Centro Servizi InfoCamere utilizzeranno lo stock di dispositivi che avranno avuto come destinazione del rifornimento il Centro Servizi.
La Camera di Commercio trasmetterà le richieste (originale cartaceo), sottoscritte dai richiedenti, all’Appaltatore che ne curerà la conservazione a norma in formato elettronico e le renderà disponibili in forma telematica ad InfoCamere e alle Camere di Commercio. Nel caso di richiesta firmata con tecnologia grafometrica vale comunque quanto indicato sopra a meno della trasmissione del cartaceo.
4.1.6.3 Modalità “remota”
La finalità di questo servizio è quella di facilitare all’utente l’acquisizione di un nuovo dispositivo, senza doversi recare presso una Camera di Commercio o presso un incaricato al riconoscimento.
A titolo di esempio, ciò può accadere per titolari già in possesso di dispositivi contenenti certificati validi, per i quali l’autenticazione avverrà utilizzando gli stessi certificati validi.
In tale ambito, verranno considerate positivamente le proposte, da parte dei concorrenti, di soluzioni innovative di riconoscimento corredate di strumenti di sottoscrizione una tantum necessari al rilascio del dispositivo, tali da non prevedere in nessun caso (quindi anche nei casi in cui il richiedente non sia in possesso di alcun dispositivo con certificati validi) il passaggio in Camera del richiedente; il concorrente dovrà descrivere, con i necessari dettagli, le soluzioni proposte e
l’impatto sull’intero processo relativo al presente paragrafo.
L’Appaltatore dovrà rendere disponibili, per le sole Camere che lo richiedono, tramite il sito internet di cui al successivo paragrafo 4.2.4.1, un apposito servizio on line per acquisire la richiesta dall’utente senza riconoscimento de visu e renderla disponibile al Centro Servizi InfoCamere per l’emissione centralizzata del dispositivo.
L’Appaltatore dovrà consentire, tramite le diverse funzionalità:
- al titolare di
- identificarsi
- inserire/modificare i dati necessari per la registrazione
- firmare digitalmente la nuova richiesta
- pagare online con le stesse modalità previste nel paragrafo 4.2.4.2
- agli operatori del Centro Servizi di emettere il nuovo dispositivo secondo le modalità indicate nel paragrafo 4.1.6.2
L’invio al Titolare di tutto il materiale di accompagnamento e del dispositivo prodotto sarà a cura del Centro Servizi InfoCamere.
L’Appaltatore curerà la conservazione a norma delle richieste pervenute e le renderà disponibili in forma telematica ad InfoCamere e alle Camere di Commercio.
4.1.6.4 Centro Servizi
Il Centro Servizi è una struttura predisposta da InfoCamere al fine di supportare l’emissione e la distribuzione dei dispositivi, sollevando le Camere da una parte delle attività previste.
La struttura è sostanzialmente costituita da un gruppo di operatori, aventi:
- mandato ed abilitazione ad operare per conto delle Camere interessate
- strumentazione necessaria per l’emissione dei dispositivi (stazione di lavoro, “stampante” per smart card, etc)
- magazzino “sicuro” per la tenuta dei dispositivi vergini, personalizzati con i loghi delle diverse Camere interessate.
L’Appaltatore non è coinvolto nell’organizzazione di tale Centro Servizi, ma deve organizzare le procedure (es. invio materiali) e realizzare i servizi previsti nella fornitura, gestendo anche le esigenze del Centro Servizi.
L’Appaltatore deve fornire le funzioni di supporto per il Centro Servizi InfoCamere che rilascerà i dispositivi completi nella modalità “centralizzata” e “remota”; in particolare, i servizi di cui al paragrafo 4.2.3.2 devono garantire agli operatori del Centro Servizi InfoCamere la possibilità di:
− gestire le scorte e gli ordinativi all’Appaltatore dei dispositivi vergini e dei kit di accompagnamento personalizzati per le diverse Camere aderenti al servizio in modalità centralizzata;
− ricevere le richieste dei richiedenti con tutte le informazioni necessarie (es. tipo di dispositivo, estremi della consegna dei codici segreti, dati del richiedente e dell'addetto/incaricato al riconoscimento, etc.);
− inserire sui dispositivi (Smart card o token usb) i certificati previsti (CNS e sottoscrizione
per firma digitale);
− stampare l'apposita lettera con il testo previsto in fase di avviamento;
− gestire l’invio al Titolare o alla Camera o all’incaricato; secondo gli orari ed i livelli di servizio più avanti illustrati.
L’invio dei dispositivi alle Camere, agli IR o ai Titolari è a carico del Centro Servizi InfoCamere.
Al fine di avviare il Centro Servizi sarà necessario:
− formare gli operatori secondo quanto indicato al paragrafo 4.1.2.1.
− autorizzare il Centro Servizi InfoCamere, a cura delle Camere di Commercio che aderiscono al servizio, come addetto esterno
− abilitare gli operatori del Centro Servizi InfoCamere ad operare su più Camere di Commercio nell’ambito delle funzionalità previste al paragrafo 4.2.3.2
− garantire un flusso logistico multi-Camere.
4.1.6.5 Prenotazione dispositivi
L’Appaltatore deve rendere disponibile, per le sole Camere che lo richiedono, tramite il sito internet paragrafo 4.2.4, il servizio di prenotazione dei dispositivi.
Il servizio deve consentire agli utenti di completare una specifica scheda di richiesta, mediante la quale l’operatore o l’incaricato possa programmare nel modo più efficiente la fase di riconoscimento e ridurre la quantità di dati da inserire manualmente.
4.1.7 Rinnovo dei certificati
Si intende per rinnovo la sostituzione di certificati non scaduti con nuovi certificati sullo stesso dispositivo. I rinnovi devono essere effettuati tenendo conto che non si possono oltrepassare i limiti di durata previsti per i dispositivi CNS (6 anni).
L’Appaltatore deve rendere disponibile, per il rinnovo dei certificati, almeno due modalità:
- tramite sito internet, a disposizione diretta del titolare;
- tramite le funzionalità dedicate a disposizione degli addetti Camerali o delegati, di cui al paragrafo 4.2.3.2.7, a cui i titolari possono rivolgersi sul territorio
Il servizio comprende l'invio di uno/più avvisi di scadenza ai titolari di certificati che stanno per scadere (per la Camera di Commercio di Bolzano il testo deve essere in due lingue, ovvero italiano e tedesco); tali avvisi verranno inviati secondo tempistiche che verranno condivise in fase di avviamento.
Ai fini del pagamento dei certificati oggetto di rinnovo, il Titolare potrà utilizzare i pagamenti elettronici InfoCamere o il pagamento via carta di credito (allegato [4]).
L’Appaltatore dovrà garantire la tempestiva sostituzione, a proprio carico, dei dispositivi danneggiati dal sistema di rinnovo messo a disposizione del Titolare, con nuovi dispositivi almeno di equivalenti caratteristiche.
4.1.8 Altre operazioni sui certificati
L’Appaltatore deve garantire i servizi connessi alla sospensione, revoca dei certificati e sblocco del pin secondo diverse modalità:
− direttamente da parte del Titolare tramite l'utilizzo delle funzionalità software disponibili all'utente di cui al paragrafo 4.2.4
− tramite contatto con il servizio di assistenza descritto al paragrafo 4.1.10;
− da parte di un addetto Camerale che cura il rilascio dei dispositivi, per il tramite delle funzionalità di servizio di cui ai paragrafi: 4.2.3.2.6 e 4.2.3.2.9.
Il richiedente (es. di una revoca) può essere il titolare o un terzo dal quale derivano i poteri del titolare (es. terzo interessato).
4.1.9 Archiviazione e trasmissione dati e documenti
Archivio di riferimento delle CNS emesse
InfoCamere gestisce un archivio di riferimento di tutte le CNS emesse dalle Camere di Commercio che aderiscono al servizio.
In questo archivio sono raccolti i dati sui certificati CNS e relativi cicli di vita, dispositivi e titolari.
InfoCamere e le Camere di Commercio devono inoltre mantenere un archivio dei documenti ufficiali (che devono essere conservati) relativi al ciclo di vita dei dispositivi/certificati CNS ed, in particolare, delle richieste di emissione/revoca firmate dai richiedenti/titolari e ciò sia per i documenti raccolti dalle Camere di Commercio (es. prima emissione tramite operatore), sia per quelli raccolti direttamente dall’Appaltatore (es. rilascio “self service”).
L’Appaltatore deve raccogliere tutti questi documenti ufficiali, conservarli a norma in formato digitale e metterli a disposizione ad InfoCamere e alle Camere di Commercio in forma digitalizzata, con un formato di indicizzazione concordato con InfoCamere.
E' onere del sistema camerale (Camere di Commercio, InfoCamere) o dei soggetti incaricati:
− la raccolta della documentazione cartacea sottoscritta dai richiedenti / titolari e la conservazione fino all'invio, a proprie spese, all' appaltatore,
− la conservazione dei dispositivi e dei materiali forniti dall' appaltatore.
Dati
InfoCamere fornisce all’Appaltatore alcuni dati, finalizzati ad agevolare controlli e inserimento dati, tramite integrazioni tra applicazioni software dei due soggetti, descritte negli appositi capitoli.
L’Appaltatore è tenuto a fornire ad InfoCamere:
− l’archivio certificati, ed in particolare:
− dati completi dei dispositivi e dei certificati di sottoscrizione ed autenticazione CNS rilasciati, compresi i rinnovi, e dei relativi Titolari;
− il tracciato dei dati richiesti verrà fornito all’Appaltatore; i dati principali comunque sono: codici fiscali, chiavi pubbliche / identificativi certificati, anagrafiche, indirizzi, assegnazioni dispositivi, email, chiavi imprese, addetti / incaricati coinvolti, date / ore, etc.; deve essere anche indicato il tipo di operazione (es. rinnovo, emissione) e la
modalità (es. decentrata, centralizzata standard / self service);
− le liste dei certificati sospesi e revocati, con la chiave pubblica / identificativo di ogni certificato;
− l'invio deve essere effettuato, con periodicità indicata nell'apposito paragrafo 7.2, tramite modalità da definire in fase di avviamento;
− report certificati:
− report inviato in forma elettronica contenente, per il periodo precedente:
− riepilogo dei dispositivi (per tipo), dei certificati (per tipo) rilasciati ai titolari nel periodo, distinguendo i rinnovi e le diverse modalità;
− riepilogo dei certificati (per tipo) sospesi, revocati;
− la situazione delle quantità (massime teoriche) di materiali a magazzino presso le Camere, sottraendo quelle utilizzate da quelle inviate: dispositivi (per tipo), materiali di accompagnamento.
L’Appaltatore deve inoltre inviare ad InfoCamere una reportistica di controllo per monitorare i livelli di consumo rispetto al massimale di gara.
Ove la normativa e le regole vigenti lo consentano o lo richiedano, l’Appaltatore è tenuto a comunicare periodicamente all'INA (Indice Nazionale delle Anagrafi) i dati delle CNS emesse con modalità e periodicità conformi a dette normative e regole.
In ogni caso, i dati personali devono essere raccolti e trattati nel rispetto della normativa vigente in materia, anche ai sensi dell’art. 32, comma 5, del CAD, nonché del D.P.C.M. 22/2/2013
Documenti
Le Camere di Commercio ed il Centro Servizi forniscono all’appaltatore i moduli firmati dai richiedenti.
L’Appaltatore fornisce ad InfoCamere e alle Camere, per quanto di propria competenza, l’accesso ai documenti digitalizzati.
Le periodicità di queste operazioni sono definite nell'apposito paragrafo 7.2.
4.1.10 Assistenza
Il processo di assistenza dovrà garantire la risoluzione di qualsiasi richiesta di supporto, pervenuta da Titolari, addetti ed incaricati, inerente l’uso dei servizi e delle procedure rese disponibili e sarà strutturato in:
- help desk di primo livello attivato dalle richieste di assistenza degli utenti;
- help desk di secondo livello attivato dal primo livello, per la soluzione delle problematiche più specialistiche e/o che non hanno trovato soluzione al primo livello; al riguardo, si consideri che le risorse impiegate al I livello hanno maturato un’esperienza ed una competenza consolidate nei servizi oggetto del presente capitolato e sono in grado di garantire una one call solution a regime pari a circa il 97%, con un conseguente volume di ticket passati all’help desk di II livello pari a circa 300 ticket mese.
L'help desk di primo livello sarà gestito da InfoCamere che pertanto si farà carico delle necessarie risorse (non comprese nella fornitura) di:
- personale,
- infrastruttura telefonica,
- sistemi di supporto e di tracciamento delle richieste (ticket management).
L’Appaltatore deve garantire il servizio di help desk di secondo livello; tale servizio dovrà essere erogato:
- in lingua italiana;
- con operatori muniti di significativa esperienza nel settore e di competenze adeguate al presidio di II livello, tenuto conto di quanto sopra riportato riferito alle esperienze e competenze del I livello;
- gestendo la comunicazione con la massima trasparenza e fornendo all’interlocutore di primo livello il nominativo personale (si precisa che non è ammesso l’uso di codici);
- con il supporto di un sistema di ticket management attraverso il quale verranno gestite le interazioni tra I e II livello (es. assegnazione e risoluzione dei ticket)
- fornendo alla Stazione Appaltante il modello organizzativo dell’help desk di II livello e l’elenco delle figure di coordinamento con le quali interagire attraverso canali dedicati per la gestione dei casi di escalation
- definendo le procedure più sensibili, tra cui sospensione dei certificati (che deve essere sempre disponibile), smarrimento della password, etc., di cui andranno condivise le competenze tra I e II livello in fase di avviamento
- tenendo traccia delle informazioni necessarie per la gestione del processo e degli SLA (es. richieste, risposte, tempi).
Verrà considerato aspetto qualificante la disponibilità dell’Appaltatore ad integrare il proprio sistema di ticket management con quello della Stazione Appaltante (Sugar CRM Professional Edition, versione attuale 6.5.16), specificando le modalità e il processo con cui propone di realizzare l’integrazione.
Il processo di gestione dei ticket assegnati al II livello si basa sui seguenti step:
- l’help desk di I livello trasmette all’help desk di II livello i ticket che non è riuscito a risolvere, indicando un livello di severity
- l’help desk di II livello, nel rispetto degli SLA relativi ai livelli di severity (paragrafo 5.1.6), dovrà:
- comunicare all'help desk di primo livello la presa in carico della richiesta
- procedere all'evasione della richiesta,
- comunicare all'help desk di primo livello la soluzione identificata ai fini della comunicazione all’utente finale
Il servizio di help desk di secondo livello dovrà essere operativo su tematiche specialistiche, a titolo di esempio, riguardanti i seguenti ambiti.
- non corretto funzionamento degli oggetti consegnati ai titolari (ad esempio: dispositivi, certificati, software, servizi);
- risoluzione di dubbi e problemi incontrati dai richiedenti / titolari di certificati, dagli addetti, dagli incaricati al riconoscimento e dal personale camerale a qualunque titolo coinvolto nell’espletamento dei servizi erogati.
4.1.11 Aggiornamenti
L’Appaltatore è tenuto ad informare tempestivamente InfoCamere di qualsiasi variazione che dovesse rendersi necessaria alle informazioni precedentemente comunicate e agli oggetti del
servizio.
Tali variazioni possono riferirsi, a titolo di esempio, a modifiche alle normative, correzione di malfunzioni, evoluzioni negli oggetti del servizio, in particolare:
− le informazioni richieste per consentire l'utilizzo dei certificati CNS dell'Appaltatore (per l'autenticazione a servizi) dovranno essere tempestivamente aggiornate in caso di modifiche o di aggiunte di nuove tipologie di certificati o dispositivi
− nel caso vi fossero evoluzioni nei dispositivi o nelle librerie o nelle modalità di gestione correlate, l'Appaltatore si impegna a fornire tempestivamente informazioni e oggetti modificati, con modalità e condizioni analoghe a quanto già indicato, al fine di consentire l'utilizzo dei dispositivi dell'Appaltatore per l'apposizione di firme digitali all'interno di applicazioni.
4.1.12 Manutenzione software
Manutenzione correttiva
L’Appaltatore dovrà garantire un servizio di manutenzione correttiva del software; a tal fine, per supportare i processi di diagnosi delle problematiche, dovrà prevedere dei meccanismi di logging estesi anche alla parte client.
A fronte della segnalazione di una malfunzione riconducibile al software, rilevata autonomamente o pervenuta da InfoCamere, l’Appaltatore dovrà garantire, nel rispetto degli SLA (paragrafo 5.1.7), di:
− comunicare ad InfoCamere la presa in carico della malfunzione,
− comunicare ad InfoCamere la data prevista di soluzione della malfunzione,
− procedere alla realizzazione della soluzione,
− comunicare ad InfoCamere l'avvenuto rilascio della soluzione.
Manutenzione adeguativa
L’Appaltatore dovrà garantire il continuo e completo adeguamento a variazioni di ambienti tecnologici e/o a sopravvenute variazioni normative dei servizi e dei prodotti in ambito al presente Capitolato.
Al fine di rispettare quanto sopra, l’Appaltatore dovrà mettere a disposizione del personale di InfoCamere un ambiente di collaudo (paragrafi 4.1.1 e 5.1.7.2) nel quale verranno rilasciate le diverse release di sistema al fine di eseguire gli opportuni test e procedere quindi ad autorizzare il rilascio in produzione, a cura di InfoCamere, attraverso i canali ufficiali previsti dalla gara.
L’Appaltatore dovrà garantire di:
− comunicare ad InfoCamere la necessità di adeguamento;
− comunicare ad InfoCamere il piano di adeguamento;
− procedere alla realizzazione necessaria;
− rilasciare la nuova release di sistema in ambiente di collaudo
− rilasciare in ambiente di produzione la nuova release di sistema, una volta ricevuta l’autorizzazione da parte dei referenti InfoCamere
− comunicare ad InfoCamere l'avvenuto rilascio della soluzione.
Il Concorrente descriverà le procedure e l’organizzazione adottata al fine di procedere all’adeguamento dei servizi nel caso di eventuali sopravvenute normative ovvero di eventuali modifiche tecnologiche.
4.1.13 Adempimenti al termine della fornitura
L’Appaltatore è tenuto a fornire i servizi di CA previsti dalla normativa anche dopo il termine di scadenza del contratto, fino alla scadenza della validità dei certificati emessi/rinnovati ed in particolare:
− le funzioni per la verifica della validità dei certificati (CRL e OCSP),
− le funzioni di sospensione, riattivazione (se prevista) e revoca secondo le modalità previste dal capitolato;
− la manutenzione dei software forniti agli utenti;
− l’assistenza secondo quanto previsto dal presente Capitolato.
Nel rispetto delle disposizioni dettate dal quadro normativo di cui al precedente paragrafo 2.2, la dismissione del servizio dovrà comprendere il trasferimento ad InfoCamere, ove non sia già avvenuto, e la distruzione dei dati e dei documenti (es. moduli firmati dagli utenti, in formato originale e/o digitalizzato) presenti negli archivi relativi al servizio (con produzione del verbale di distruzione), in merito ai certificati CNS che non devono essere mantenuti in base a normative o regole vigenti. Inoltre deve essere effettuata la distruzione di tutti i dispositivi già personalizzati, per le singole Camere di Commercio, eventualmente tenuti dall’Appaltatore.
4.2 Specifiche tecniche del servizio
4.2.1 Dispositivi e software per i titolari
Il paragrafo descrive i dispositivi fisici per la tenuta dei certificati di sottoscrizione ed autenticazione CNS, il software e gli altri elementi a corredo per il rilascio e utilizzo dei dispositivi da parte dei titolari.
Il Concorrente nell’Offerta Tecnica dovrà illustrare la proposta sia in relazione agli elementi indicati nel seguito, sia in ogni elemento diverso e migliorativo che l’offerente riterrà qualifichi al meglio il proprio servizio.
I certificati devono essere conformi alle normative rispettivamente applicabili. Dettagli in merito ai contenuti dei certificati, in particolare alle informazioni opzionali, devono essere specificati nell'offerta (ad esempio per organizzazione, limite di valore d'uso, pseudonimi, data scadenza anticipata, …).
L’Appaltatore deve garantire il tempestivo aggiornamento dei prodotti rispetto alle evoluzioni della normativa vigente.
I dispositivi e i software di seguito descritti dovranno essere utilizzabili su stazioni di lavoro, opzionalmente smartphone e tablet, con caratteristiche e sistemi operativi di ampia diffusione sul mercato odierno (almeno Microsoft, Apple e Linux). I dispositivi dovranno essere utilizzabili con gli applicativi di firma digitale più diffusi tra gli utenti (a titolo esemplificativo: Dike, File Protector, ecc).
4.2.1.1 Dispositivi e loro accessori
La fornitura deve includere i dispositivi fisici per la generazione, conservazione e utilizzo dei dati per le operazioni di sottoscrizione e autenticazione. I dispositivi fisici da fornire sono di due tipi:
− Token USB, dispositivo intelligente ed autonomo che ospita le chiavi private e i certificati
del titolare, con interfaccia di comunicazione USB e/o altre interfacce “contactless” (quali a titolo esemplificativo RFID e Bluetooth) per collegare tra loro apparati elettronici;
− Smart Card, carta elettronica a contatto, che fornisce funzionalità di elaborazione e memorizzazione dati ad alta sicurezza e consente di dialogare attraverso uno specifico terminale collegato solitamente ad un computer dotato di apposito lettore;
nel caso specifico devono essere conformi alla normativa vigente in termini di firma digitale e autenticazione CNS.
Entrambi i dispositivi devono avere prestampata una grafica in quadricromia secondo i layout che verranno forniti, specifici per ogni Camera e per ogni tipo di dispositivo e che possono essere variati nel tempo.
4.2.1.2 Smart Card
Le Smart Card devono essere conformi, aderenti e certificate secondo la vigente normativa di riferimento e si richiede comunque che presentino almeno le seguenti caratteristiche minime:
− memoria EEPROM: 64KB
− vita utile di 500.000 cicli lettura/scrittura EEPROM;
− Sistema operativo certificato secondo ISO/IEC 15408 conformemente al Protection Profile CWA 14169,
− blocco dell’accesso dopo 3 tentativi con PIN errato;
− lunghezza di 8 cifre per PIN e PUK;
− supporto degli algoritmi crittografici XXX-000, XXX, 0XXX e RSA;
− supporto degli algoritmi di hashing SHA-1 e SHA-256;
− supporto chiavi RSA di lunghezza 1024 e 2048 bits;
− tempo massimo di 4 secondi per firma con chiavi da 2048 bits.
La grafica prestampata in quadricromia dovrà essere realizzata con stampa offset.
4.2.1.3 Token USB
I Token USB devono presentare le medesime specifiche funzionali e prestazionali delle Smart Card di cui al precedente punto; inoltre devono soddisfare i seguenti requisiti minimi:
− avere una memoria flash di almeno 1 GB;
− essere dotati di software preinstallato per la firma digitale e la verifica dei certificati;
− essere graficamente personalizzati in quadricromia con stampa in tampografia;
− disporre di uno spazio di almeno 100 MB riservato a future applicazioni che InfoCamere potrà fornire e l'Appaltatore dovrà distribuire sui Token USB;
− disporre di un sistema di distribuzione degli aggiornamenti del software presente sul Token.
4.2.1.4 Materiale di accompagnamento dei dispositivi
L’Appaltatore dovrà predisporre, insieme ad InfoCamere, adeguata documentazione in lingua italiana e, per la Camera di Bolzano, anche in lingua tedesca, da fornire al Titolare affinché egli possa prontamente mettere in esercizio ed adoperare il proprio dispositivo.
Ai titolari devono essere consegnati oltre ai dispositivi:
− i codici riservati, con modalità che garantiscano sicurezza e riservatezza (per la richiesta di sospensione ed eventuale riattivazione, per lo sblocco del dispositivo stesso), in particolare
sono richiesti pin, puk, codice di emergenza;
− modulo di richiesta (da compilare e firmare in formato cartaceo o PDF come specifica nell’apposito paragrafo);
− condizioni generali (con informativa privacy) dei contratti di titolarità, ricevuti in forma cartacea insieme alla cartellina (v. sotto) ed eventualmente stampabili in base alla necessità;
− altre istruzioni e documenti con riferimenti al sito web informativo di cui al paragrafo specifico del presente capitolato;
− cartellina di raccolta documenti che sia semplice da predisporre e che consenta la tenuta anche di Smart card / codici segreti, limitando i rischi di perdita di questi oggetti.
Quindi il kit fornito dall' Appaltatore per ogni titolare comprende: codici segreti, cartellina, condizioni (in italiano e/o tedesco) ed istruzioni/documenti (in italiano e/o tedesco).
Nel caso di modalità centralizzata è prevista anche la possibilità di stampa di una lettera di accompagnamento come illustrato nel paragrafo dedicato al servizio di rilascio nuovo dispositivo.
4.2.1.5 Librerie e componenti
I dispositivi di firma forniti devono essere corredati di librerie e componenti software di interfaccia per applicazioni compatibili almeno con gli standard PKCS#11 e CSP, con licenza d’uso perpetua per i titolari, per InfoCamere e per gli utenti di InfoCamere e del sistema camerale.
Le librerie di interfaccia devono consentire almeno le seguente operazioni:
− Firma Digitale;
− Autenticazione secondo protocollo SSLv3 attraverso i browser più comuni;
− cifratura/decifratura e firma dei messaggi di posta elettronica attraverso l'utilizzo dei client di posta che supportano tale standard;
− cifratura/decifratura di files con algoritmi crittografici;
− Smart Card Logon in ambiente Microsoft;
− autenticazione client in ambienti wireless.
L’Appaltatore dovrà dare supporto ai soggetti del sistema camerale che intendono utilizzare il servizio smart logon.
4.2.1.6 Software di firma e verifica
L’Appaltatore deve mettere a disposizione uno o più prodotti software da fornire, con licenza d’uso perpetua per i titolari, per InfoCamere e per gli utenti di InfoCamere e del sistema camerale, con le seguenti caratteristiche minime:
− permette di firmare digitalmente con i certificati emessi dall’Appaltatore nel formato CAdES e PAdES;
− permette di verificare la firma apposta su documenti firmati digitalmente conformemente ai formati definiti dalle regole tecniche correnti sull'interoperabilità, garantendo la compatibilità con i certificati di altri certificatori;
− permette di estrarre i documenti originali salvandoli senza la cosiddetta “busta” di firma,
− espone le informazioni dei certificati presenti nel dispositivo e gestisce il dispositivo (sblocco PIN, cambio PIN, , etc.);
− permette l’apposizione di marcatura temporale, fermo restando che le marche temporali non sono oggetto di questo capitolato;
− è di semplice utilizzo (non obbliga l’utente a conoscere nomi / sigle / caratteristiche tecniche
/ produttori di lettori, chip, dispositivi) e dispone di guide dettagliate e sempre aggiornate;
− nel caso di Token USB il software è incluso nel Token stesso ed è in forma “portable”;
può contenere / integrare altre funzionalità correlate, ad esempio alcune funzionalità di servizio descritte nell'apposito paragrafo (es. rinnovo) o altre funzionalità correlate non richieste nel presente capitolato.
4.2.2 Servizio di firma remota
Il presente paragrafo descrive il servizio di “firma digitale remota” (firma remota) richiesto all’offerente, con particolare riferimento alla predisposizione dell’Offerta Tecnica da parte dei concorrenti.
Il servizio di firma remota è previsto nel DPCM 22 febbraio 2013, articolo 1, comma 1, punto q): “la particolare procedura di firma elettronica qualificata o di firma digitale, generata su HSM, che consente di garantire il controllo esclusivo delle chiavi private da parte dei titolari delle stesse”.
Questa soluzione permette all’utente di non utilizzare fisicamente un dispositivo di firma, ma attivare un sistema remoto, denominato HSM (Hardware Security Module), su cui sono presenti le chiavi crittografiche necessarie per la generazione della firma digitale. L’accesso al dispositivo è protetto da adeguati fattori quali ad esempio PIN, generatori di password usa e getta, credenziali attivate dal proprio telefono cellulare.
Il Concorrente nell’Offerta Tecnica dovrà illustrare la proposta sia in relazione agli elementi illustrati nel seguito, sia in ogni elemento diverso e migliorativo che l’offerente riterrà qualifichi al meglio il proprio servizio.
La Firma remota è un servizio che comprende:
- il rilascio e la gestione di chiavi e certificati digitali in appositi dispositivi (HSM);
- l’apposizione di firma digitale di documenti informatici in modalità remota.
Il servizio dovrà essere reso agli utenti che ne faranno richiesta a InfoCamere e/o alle Camere di Commercio. Gli utenti sono tutti coloro (imprenditori, cittadini, dipendenti) che si rivolgono alle Camere di Commercio per dotarsi di strumenti di identità (ad esempio CNS) e firma digitale come previsto dalla normativa vigente.
Il servizio dovrà essere svolto nel rispetto della normativa di settore attualmente applicabile e di tutte le norme sopravvenute nel corso di esecuzione del contratto.
4.2.2.1 Rilascio e gestione dei certificati
Il servizio di firma remota prevede il rilascio e la gestione dei certificati di firma da parte dei titolari.
I certificati digitali per la firma remota hanno durata di 2 anni e NON sono rinnovabili.
Il rilascio di certificati per la firma remota dovrà essere disponibile almeno secondo le seguenti modalità:
- Richiesta via Web attraverso il sito xxxx.xxxxxxxxxx.xx, utilizzando procedure di riconoscimento remoto che garantiscano livelli di sicurezza adeguati (ad esempio, autenticazione con CNS) e corredate di strumenti di sottoscrizione una tantum necessari al rilascio del dispositivo;
- Richiesta contestuale al rilascio di CNS, da gestire in piena integrazione con le procedure informatiche (CMS) già previste nel presente Capitolato per il rilascio di dispositivi fisici.
Al momento del rilascio sarà consegnata o inviata al titolare l’opportuna documentazione sulle condizioni del servizio.
Il sistema deve fornire il servizio di gestione dei certificati digitali di firma con funzioni di:
- Revoca e sospensione;
- Informazioni sull’utilizzo.
4.2.2.2 Firma del documento informatico
Le firme dovranno essere apposte almeno nei formati CAdES e PAdES secondo quanto previsto dalla normativa vigente.
I servizi di firma remota dovranno essere disponibili almeno:
- tramite un’applicazione Web disponibile sul sito xxxx.xxxxxxxxxx.xx;
- come funzionalità aggiuntiva nelle applicazioni “client” di firma offerte dal concorrente per i dispositivi fisici (Smart card e Token USB);
- tramite interfaccia applicativa (Web Service) per l’integrazione con i servizi di InfoCamere e delle Camere di Commercio.
L’attivazione della firma remota su uno o più documenti dovrà avvenire tramite procedure che garantiscono il riconoscimento dell’utente con più di un fattore di identificazione combinando elementi quali, a titolo esemplificativo: PIN, OTP, firma grafometrica.
4.2.3 Servizi per il rilascio e la gestione dei certificati
Il capitolo descrive le specifiche per i servizi di rilascio e gestione dei certificati di sottoscrizione ed autenticazione CNS.
Il Concorrente nell’Offerta Tecnica dovrà illustrare la proposta sia in relazione agli elementi indicati nel seguito, sia in ogni elemento diverso e migliorativo che l’offerente riterrà qualifichi al meglio il proprio servizio.
I servizi di seguito descritti dovranno essere utilizzabili su stazioni di lavoro, opzionalmente su smartphone e tablet, con caratteristiche hardware e sistemi operativi diffusi tra gli utenti e di riferimento nel mercato odierno.
4.2.3.1 Sistema di verifica validità dei certificati
In coerenza con quanto previsto dalla normativa, l’Appaltatore deve garantire la disponibilità dei seguenti servizi:
− servizi on- line di pubblicazione della lista dei certificati revocati o sospesi (CRL);
− servizi on-line per la verifica della validità del certificati (OCSP) e librerie software necessarie per l'accesso ai servizi.
4.2.3.2 Funzionalità di servizio per gli operatori
L’Appaltatore deve fornire un software applicativo di Card Management System (CMS) con tutte le funzionalità necessarie allo svolgimento delle attività previste per operatori e incaricati (in particolare la gestione delle fasi del ciclo di vita dei certificati e dei dispositivi), secondo i modelli organizzativi indicati nei paragrafi precedenti.
Nell’Offerta Tecnica l’Appaltatore presenterà una proposta per la realizzazione dell’applicativo CMS e la sua gestione nel corso della fornitura, garantendo almeno i seguenti requisiti:
- il CMS sarà erogato dall’infrastruttura elaborativa propria dell’Appaltatore via web browser per tutta la durata del contratto;
- una copia del CMS dovrà essere installata e collaudata presso il data center di InfoCamere comprensiva di tutti i dati e archivi entro 12 mesi dall’avvio della fornitura; l’Appaltatore dovrà presentare, in sede di Offerta Tecnica, la pianificazione delle attività necessarie. Tale installazione costituirà un sito di erogazione secondario rispetto al sito primario della infrastruttura dell’Appaltatore e potrà essere attivato/disattivato come sistema primario a cura dell’Appaltatore e sotto la supervisione di InfoCamere e su decisione di InfoCamere stessa;
- la copia presso InfoCamere dovrà essere integrata con:
a. una procedura automatica per allineare i dati del sito di backup almeno giornalmente;
b. aggiornamenti del software del sito di backup tempestivi e comprensivi di una fase di test a carico dell’Appaltatore e collaudo a carico di InfoCamere;
c. supporto tecnico per la durata dell’appalto;
d. documentazione tecnica completa e formazione al personale InfoCamere;
- il CMS sarà compatibile con le caratteristiche tecniche dei sistemi InfoCamere e non dovrà comprendere l’acquisto di licenze o prodotti a pagamento, se non eventualmente quelli già presenti nel data center (vedi Allegato 7 – Specifiche tecniche ambiente InfoCamere);
- il CMS dovrà garantire adeguata continuità di servizio, anche basandosi sulla disponibilità di più Certification Authority su cui poter bilanciare l’erogazione.
Aspetti funzionali
Le funzioni principali del CMS sono: registrazione della richiesta e produzione cartacea o PDF dei relativi moduli, produzione di certificati e rilascio dei dispositivi, verifica della validità dei certificati, sospensione ed eventuale riattivazione dei certificati, revoche dei certificati, rinnovi dei certificati.
Devono inoltre essere disponibili le funzioni di supporto che possono risultare utili ai fini di una corretta gestione del servizio: ricerche / liste / dettagli di dispositivi e certificati emessi, ribaltamento dati di certificati già emessi per il rilascio di nuovi certificati. I dati estratti devono essere disponibili sia a video sia su stampa e devono essere esportabili in formato .csv.
L’Appaltatore deve fornire adeguata documentazione, in merito a procedure / funzionalità / normative di riferimento, specificamente rivolta a ciascuna figura di operatore (Incaricato, Addetto, Operatore Centro Servizi ed Operatore Help Desk).
La soluzione deve essere protetta in modo da riconoscere gli operatori tramite un sistema di autenticazione con dispositivo CNS (Smart card / Token USB). Ogni Camera di Commercio (o altro soggetto equiparato) deve poter vedere ed agire solo sui dati di propria competenza, anche in considerazione di quanto riportato al paragrafo 4.1.3.
Ogni Camera di Commercio (o altro soggetto equiparato) deve poter configurare la soluzione perché rispecchi la propria struttura logistico-organizzativa (sedi/uffici/operatori e relativi mandati, utilizzo della modalità centralizzata/remota con invio al titolare / alla Camera / all’incaricato). La struttura logistico-organizzativa di ogni Camera di Commercio o altro soggetto equiparato è la seguente:
• l’Ente può avere più sedi;
• ogni sede può avere più uffici;
• in ogni ufficio possono operare più soggetti, anche con ruoli diversi;
• ad ogni soggetto viene assegnato uno specifico mandato, con durata e profilo propri, ovvero specifiche abilitazioni.
Ogni Ente è totalmente autonomo nel definire il numero di operatori addetti al servizio, che può variare dalle poche unità alle decine (e centinaia in riferimento agli Incaricati alla Registrazione).
Di seguito una descrizione dei ruoli coinvolti nei diversi processi:
− Gli incaricati al riconoscimento devono essere abilitati solo alle funzioni di data entry dei dati dei richiedenti, stampa/produzione pdf dei moduli e consegna dei dispositivi, ma non alle funzioni di emissione /rinnovo dei certificati e dei dispositivi. Deve inoltre essere possibile profilare ciascun mandato a ciascun incaricato in modo che sia possibile gestire sia la durata dell’incarico che come questi operi, ovvero se telematicamente o meno, sia in relazione alle funzioni di data entry, che di pagamento.
− Gli addetti devono poter intervenire sulle proprie registrazioni e lavorare sulle registrazioni effettuate da qualsiasi incaricato al riconoscimento della propria Camera. Deve essere possibile distinguere diverse abilitazioni da assegnare agli addetti in modo che non tutti siano abilitati a tutte le operazioni (es. gestione certificati di ruolo o casi particolari). Oltre alle funzioni degli incaricati al riconoscimento, essi devono essere in grado di emettere certificati e dispositivi e, sulla base del proprio profilo, di svolgere tutte le funzioni necessarie alla corretta gestione del servizio.
− Gli Operatori di Centro Servizi InfoCamere devono poter svolgere, in funzione del profilo loro assegnato, qualsiasi attività degli addetti, per tutte le Camere di Commercio che ne richiedano l’intervento: inoltre devono poter stampare le lettere di accompagnamento per l’invio dei dispositivi ai titolari.
− Gli Operatori di Help Desk devono poter operare analogamente agli Addetti in un ambiente loro riservato, analogo a quello di produzione, mentre nell’ambiente di produzione devono poter agire come Addetti ma solo in modalità di visualizzazione, escludendo qualsiasi forma di registrazione che non attenga il supporto diretto all’utente finale.
Tutti i campi di input dovranno avere adeguati help che spieghino come devono essere valorizzati. Tutte le funzioni devono essere gestite con adeguati criteri di sicurezza e tenere traccia delle
principali informazioni utili per un'adeguata registrazione di ogni evento, in particolare:
− estremi e dati principali dell'addetto/incaricato che effettua l'operazione;
− tipologia di operazione;
− data e ora dell'operazione;
− gli estremi dei dispostivi coinvolti nell'operazione (certificati, dispositivi, etc.)
Tutte le funzioni devono essere fornite con documentazione di facile utilizzo, completa e sempre aggiornata.
4.2.3.2.1 Registrazione della richiesta e stampa del modulo
La registrazione, sia nell'ambito della modalità decentrata sia nell'ambito della modalità centralizzata, deve poter avvenire come segue:
− inserendo online i dati scritti in un modulo compilato precedentemente in forma cartacea;
− inserendo online i dati per poi stampare il modulo di richiesta con i dati;
− inserendo online i dati e producendo un modulo in formato PDF di richiesta con i dati, destinato alla firma grafometrica.
La funzione deve consentire l'inserimento di almeno questi dati:
− i principali dati anagrafici del richiedente, tra cui codice fiscale, nome, cognome, data e luogo di nascita, indirizzo di residenza, estremi documento riconoscimento,…
− la chiave (CCIAA + numero rea) e altri dati dell'impresa per cui viene richiesto il rilascio del dispositivo:
− la funzione deve verificare, nel Registro delle Imprese, se il richiedente è legale rappresentante dell'impresa tenendo conto della facoltà di ciascuna Camera di Commercio di identificare le cariche da includere anche ai fini della determinazione del “primo rilascio all’impresa”;
- la funzione deve verificare nel Diritto Annuale se l'impresa ha pagato il diritto previsto alla Camera di Commercio e segnalarlo all'addetto / incaricato, tenendone conto per la determinazione del “primo rilascio all’impresa” secondo quanto indicato dalla Camera; la funzione deve verificare, controllando l’archivio dei rilasci precedenti (anche di diversi fornitori), se sia il “primo rilascio per l'impresa” (in assoluto o per tipologia di dispositivo CNS, a seconda delle indicazioni della Camera) e segnalarlo all'addetto / incaricato; infatti per il primo rilascio sono previste, per i richiedenti, tariffe particolari praticate dalla Camera (fermi restando i corrispettivi all’Appaltatore).
− Se la Camera lo richiede, il sistema deve imporre, per uno i più uffici, la determinazione del “primo rilascio all’impresa” o del rilascio normale sulla base degli elementi indicati nei punti precedenti.
In caso di richiedente presente nel Registro delle Imprese la funzione deve riportare automaticamente i dati ufficiali (anagrafica e residenza) ricavati dal Registro delle Imprese, evitando la necessità di effettuare un data entry manuale di tutti i dati. Nel caso la persona non sia presente nel Registro delle Imprese ma abbia effettuato una richiesta di prenotazione tramite funzionalità online, la funzione acquisisce i dati anagrafici inseriti con la richiesta prenotazione. Nel caso in cui il richiedente sia già titolare di altri certificati la funzione deve consentire di acquisire le informazioni relative all’ultimo precedente certificato.
Le informazioni acquisite dalle varie fonti devono comunque essere modificabili, nella nuova richiesta.
La funzione deve, inoltre, consentire l'inserimento di un indirizzo email del richiedente per cui il
certificato di autenticazione CNS deve poter firmare / cifrare / decifrare i messaggi, secondo gli standard previsti per la posta elettronica.
L'indirizzo email del richiedente per comunicazioni, invece, deve essere previsto come dato obbligatorio al fine di agevolare l'invio degli avvisi di scadenza dei certificati. Tale indirizzo dovrà essere modificabile in qualsiasi momento anche direttamente dal titolare e potrà essere diverso da quello contenuto nel certificato.
La funzione deve tenere traccia di tutti gli altri dati necessari per una completa registrazione, a mero titolo di esempio si citano:
− i riferimenti della consegna del kit con i codici personali segreti (pin/puk) e la modulistica cartacea;
− gli estremi del documento di riconoscimento del richiedente;
− il consenso al trattamento dei dati ai fini della normativa sulla privacy, per la parte facoltativa (che consente, ad esempio, l'invio dell'avviso di scadenza).
La funzione deve consentire la produzione dei moduli da far firmare al richiedente, sia in forma cartacea, sia in forma digitale. Per la Camera di Bolzano tale funzionalità deve anche consentire la produzione del modulo nella versione in tedesco.
Il servizio deve fornire agli operatori apposite funzionalità per visualizzare e gestire le richieste di prenotazione inserite dagli utenti tramite il sito internet, indirizzate alla propria Camera di Commercio, al fine di agevolare la sessione di riconoscimento.
Il passaggio delle richieste al Centro Servizi deve avvenire secondo le regole richieste dalla Camera di Commercio, in particolare:
− la Camera deve approvare le richieste solo se la Camera stessa ha richiesto questo passo come necessario;
− la Camera deve poter individuare, a priori (configurazione), quali richieste devono essere inviate al Centro servizi (es. quelle di specifici incaricati / uffici e non di altri);
− la Camera deve poter indicare, in linea generale (default) e puntualmente (caso per caso) se i dispositivi devono essere inviati dal Centro Servizi InfoCamere al Titolare o alla Camera stessa o all’IR.
4.2.3.2.2 Interazione con la firma grafometrica
Il servizio deve prevedere l’integrazione con i sistemi di firma grafometrica di InfoCamere che saranno adottati dalle Camere di Commercio nel corso del prossimo futuro.
I dispositivi per permettere la firma grafometrica presso le stazioni di rilascio sono a carico del sistema camerale.
Nel caso la Camera di Commercio abbia adottato la procedura di firma grafometrica questa deve essere proposta prioritariamente all’utente, ma in casi eccezionali il CMS deve prevedere la possibilità di utilizzo del modulo cartaceo.
Il CMS deve prevedere la gestione automatica del modulo PDF con firma grafometrica con processo di archiviazione presso i sistemi documentali InfoCamere e inoltro alla competente Certification Authority.
L’integrazione della firma grafometrica dovrà essere disponibile al collaudo entro 6 mesi dall’avvio
della fornitura e si prevede, indicativamente, una diffusione nei successivi 12 mesi a circa il 60% delle emissioni, in base alle adesioni delle Camere.
Le specifiche del servizio InfoCamere di firma grafometrica e archiviazione e le relative modalità d’integrazione sono descritte nell’allegato “A6 – Specifiche tecniche integrazione con servizio di Firma Grafometrica”.
4.2.3.2.3 Interazione con il Registro delle Imprese
Il documento [1] “Allegato 1 – Specifiche tecniche interrogazione RI” fornisce le istruzioni tecniche per l'integrazione della procedura di emissione con il Registro delle Imprese al fine di estrarre la lista delle imprese per cui il richiedente ha cariche (per verificare se si tratta del primo rilascio all'impresa, al fine di definire se ha diritto al rilascio gratuito o scontato) e per acquisire i dati del titolare e dell'impresa, evitando inutili digitazioni all'operatore.
A tal fine, la soluzione dovrà effettuare delle ricerche con codice fiscale della persona, estrarre una lista di imprese in cui ha cariche (fornendo alcune informazioni tra cui la denominazione e la natura giuridica dell'impresa, la carica del richiedente nell'impresa, la data di fine attività dell'impresa e l'eventuale stato di aggiornamento dei dati dell'impresa) e, in base alla scelta dell'operatore, estrarre i dati della specifica impresa con quelli della persona di interesse per la definizione della richiesta di certificati (nome e cognome, xxxxxxxxx, etc.).
L’Appaltatore è tenuto ad utilizzare questo accesso agli archivi gestiti da InfoCamere solo ai fini previsti dalle attività assegnate. InfoCamere potrà effettuare delle verifiche su questo aspetto. E' da tener presente che le specifiche del servizio di InfoCamere vengono modificate ad ogni rilascio, per cui questa documentazione potrebbe subire variazioni prima dell'avviamento dell’appalto.
4.2.3.2.4 Interazione con il Diritto Annuale
Il documento [2] “Allegato 2 – Specifiche tecniche certificazione diritto annuale” descrive le modalità con cui si deve procedere per inserire, nella procedura di emissione, una verifica sul pagamento del diritto annuale dell'impresa indicata dal richiedente.
L’Appaltatore è tenuto ad utilizzare questo accesso agli archivi gestiti da InfoCamere solo ai fini previsti dalle attività assegnate. InfoCamere potrà effettuare delle verifiche su questo aspetto.
4.2.3.2.5 Produzione dei certificati e assegnazione dei dispositivi
La funzione deve presentare all'addetto, oltre alle proprie e su scelta dell’addetto stesso, anche le registrazioni online effettuate dagli operatori afferenti alla propria Camera di Commercio, attraverso opportune ricerche basate almeno su nominativo dell’operatore, ufficio e periodo di registrazione (e qualsiasi combinazione di questi).
La funzione deve consentire
− la verifica, la modifica (nel rispetto della vigente normativa), l’approvazione o l'annullamento della registrazione effettuata,
− l'emissione dei certificati previsti (certificato di autenticazione CNS e certificato qualificato di sottoscrizione per firma digitale) sulla tipologia di dispositivo prescelta: Smart card o Token USB,
− la stampa dei dati previsti (cognome e nome, più eventuali dati da definire) sulla plastica della Smart card, con acquisizione dei dati direttamente dal certificato presente nella Smart card,
− la registrazione delle operazioni con tutti i dati necessari, ad esempio l'assegnazione del dispositivo,
− la stampa del modulo previsto in fase di registrazione con l’eventuale aggiunta di informazioni relative al rilascio,
− la stampa di una ricevuta di consegna da far firmare al titolare nel momento della consegna. Nel caso l’emissione si svolga subito dopo la registrazione, la funzione deve presentare all’operatore le due attività come passi successivi automaticamente correlati in un’unica procedura, evitando la frapposizione di inutili attività intermedie.
La soluzione deve garantire la più ampia compatibilità con i modelli dei dispositivi hardware per la stampa sulle Smart card (le stampanti termiche non sono oggetto di fornitura). Si fa presente che in passato nelle Camere di Commercio sono stati distribuiti principalmente questi modelli:
− Matica Chica Basic,
− Matica M2100.
− HiTi CS-200e
Il servizio deve, in particolare:
− controllare che la tipologia di dispositivo inserito corrisponda a quello previsto nella richiesta;
− operare a livello di dispositivo, ovvero trattare contemporaneamente ed in modo equivalente i certificati in esso contenuti;
− fornire chiara evidenza dell’esito della produzione di un dispositivo, indicando nel dettaglio i dati significativi del dispositivo stesso e dei certificati in esso presenti;
− in caso di errore: consentire agli addetti di resettare il dispositivo e ripetere la fase di produzione sullo stesso dispositivo;
− consentire la stampa della lettera di accompagnamento del dispositivo che il Centro Servizi invia al titolare.
Il servizio deve gestire l’interazione facoltativa, se consentita dalle abilitazioni assegnate dalla Camera a ciascun operatore, con uno o più dei seguenti sistemi
- pagamenti elettronici InfoCamere o con carta di credito,
- gestione documenti degli incassi.
Nel primo caso si dovrà addebitare la tariffa prevista con il pagamento elettronico o con la carta di credito, con modalità simili a quelle descritte per i rinnovi e secondo le specifiche indicate nell’allegato [4].
Gli importi da indicare nelle operazioni di pagamento devono essere configurabili a livello nazionale con la possibilità di personalizzazione a livello di singola Camera di Commercio.
Nel secondo caso si dovrà richiamare, secondo le specifiche indicate nell’allegato [5], una pagina web di gestione della documentazione degli incassi, passando alcune informazioni in merito all’emissione (tra cui alcuni codici prodotto), al fine evitare la ridigitazione dei dati da parte degli addetti su altri sistemi.
Con riferimento al rilascio con modalità remota gli operatori del Centro Servizi dovranno poter:
- abbinare il kit di accompagnamento comprensivo di codici segreti per inviarlo al titolare;
- emettere i nuovi certificati sul nuovo dispositivo, avente personalizzazione grafica della
Camera di Commercio scelta;
- personalizzare il dispositivo con i dati del titolare nel caso di Smart Card;
- stampare la lettera di accompagnamento per l’invio del dispositivo.
4.2.3.2.6 Sospensione certificati
La funzione deve consentire all'addetto, non all’operatore di Centro Servizi (salvo esplicita autorizzazione) né all'incaricato al riconoscimento, e all’operatore di Help Desk di sospendere i certificati (CNS e firma digitale), su dispositivi (Smart card o Token USB) rilasciati dalla Camera di Commercio (o dal Centro Servizi per conto della Camera di Commercio).
4.2.3.2.7 Rinnovo certificati
La funzione deve consentire all'addetto, non all’operatore di Centro Servizi InfoCamere (salvo esplicita autorizzazione) né all'incaricato al riconoscimento, né all’operatore di Help Desk di rinnovare i certificati (CNS e firma digitale), su dispositivi (Smart card o Token USB) rilasciati dalla Camera di Commercio (o dal Centro Servizi InfoCamere per conto della Camera di Commercio).
4.2.3.2.8 Modifica indirizzo email del titolare
L’addetto e l’operatore di help desk devono avere a disposizione una funzione per modificare, su richiesta del titolare, l’indirizzo email per comunicazioni.
4.2.3.2.9 Revoca certificati
La funzione deve consentire all'addetto, non all'incaricato al riconoscimento, non all’operatore di Centro Servizi (salvo esplicita autorizzazione), né all’Help Desk, di revocare i certificati (CNS o firma digitale), su dispositivi (Smart card o Token USB) rilasciati dalla Camera di Commercio (o dal Centro Servizi per conto della Camera di Commercio)
4.2.3.2.10 Gestione delle scorte dei materiali
L’Appaltatore fornisce apposita applicazione via web browser per le Camere di Commercio e per InfoCamere per la gestione delle scorte dei dispositivi e materiali a corredo, in modo da consentirne il più appropriato monitoraggio da parte di operatori abilitati. L’applicazione dovrà essere presente in un menu del CMS, ma rappresenta un applicativo autonomo e non dovrà prevedere registrazioni a cura della Camera di Commercio e del Centro Servizi.
Per ciascuna Camera di Commercio o Centro servizi:
• dovrà esser tracciata in dettaglio ciascuna consegna/reso, almeno per i seguenti dati:
- codice materiale
- descrizione materiale
- numero e data del relativo ordine di acquisto
- quantità e data di consegna
- riferimenti del documento di trasporto
• dovrà essere disponibile una maschera di sintesi che fornisca, in tempo reale, la giacenza
corrente, con almeno le seguenti informazioni:
- codice materiale
- descrizione materiale
- quantità disponibile (teorica)
- mesi di vita del magazzino (risultanti da un algoritmo che confronterà la giacenza con i consumi medi storici, secondo regole fornite da InfoCamere)
• dovrà essere disponibile una specifica reportistica che permetta, su base periodica, la visualizzazione, la stampa in formato .pdf e l’esportazione in formato .csv del dettaglio degli approvvigionamenti, dei consumi e dei resi che fornisca chiara evidenza dei relativi totali e, per differenza, della relativa scorta (teorica).
L’Appaltatore dovrà infine garantire, su richiesta di InfoCamere e nei termini stabiliti, documentazione di dettaglio dell’intero iter di fornitura, dalla ricezione dell’ordine fino al riscontro di avvenuta consegna da parte del corriere.
Le funzionalità per il Centro Servizi InfoCamere dovranno consentire la lettura delle precedenti informazioni suddivise per singola Camera di Commercio aderente al servizio centralizzato.
4.2.3.2.11 Altre funzioni di supporto
Richiesta prenotazione
La funzione deve consentire all'addetto ed all’incaricato al riconoscimento di visualizzare le informazioni dei soggetti che hanno richiesto un contatto alla sua Camera di Commercio.
Consultazione elenchi rilasci, dati
La funzione deve consentire all'addetto e all'incaricato al riconoscimento, di
− effettuare ricerche ottenendo liste di risultati,
− consultare dati di dettaglio,
− consultare dati statistici,
in merito a titolari, certificati, dispositivi, operatori, sedi ed uffici di rispettiva competenza.
Ogni addetto deve poter vedere tutti i dati di tutte le operazioni relative alla propria Camera, compreso quanto viene effettuato dal centro servizi, sulla base della profilatura assegnatagli con il proprio mandato.
Nel caso di modalità centralizzata/remota, la funzione deve consentire alla Camera di Commercio e relativi delegati di sapere quali / quanti dispositivi di propria competenza sono in carico, in fase di produzione e già spediti dal Centro Servizi.
Deve inoltre essere possibile:
− acquisire i dati di un certificato già emesso per evitare di doverli riscrivere ai fini dell'emissione di un nuovo certificato
− riprodurre un modulo, per la Camera di Bolzano la funzionalità di ristampa deve anche consentire la riproduzione del modulo nella versione in tedesco
Avvisi e comunicazioni
Il sistema deve prevedere una funzionalità per avvisare gli addetti ed incaricati in merito a eventuali novità e documentazione aggiornata riguardante la loro attività.
Le comunicazioni posso essere:
- di tipo interno, ovvero contestuali ad una singola Camera di Commercio, filtrabile per una qualsiasi combinazione di ruolo (addetto/incaricato/operatore di centro servizi),
- di tipo esterno, ovvero destinate a tutte le Camere di Commercio (per esempio nel caso di aggiornamenti di strumenti e servizi).
Il profilo di ciascun operatore dovrà prevedere l’opzione per l’abilitazione a ricevere ed inviare ciascuna delle tipologie di comunicazione.
4.2.3.2.12 Abilitazioni operatori
La funzione deve consentire la gestione degli operatori con tracciatura di tutte le operazioni eseguite su ciascun singolo profilo.
La Camera di Commercio, limitatamente a quanto di propria competenza, e InfoCamere devono poter consultare la lista degli operatori.
Devono inoltre essere forniti strumenti
- per il caricamento massivo di operatori con impostazioni di default scelte dalla Camera,
- per lo scaricamento massivo e parametrico di operatori su files in formato .csv
4.2.3.3 Fornitura, su richiesta di InfoCamere, di un sistema di Card Management
L’Appaltatore è tenuto a mettere a disposizione, su richiesta di InfoCamere da formalizzare entro 6 mesi dall’avviamento della fornitura, un sistema di Card Management; in caso di richiesta da parte di InfoCamere, tale sistema dovrà essere realizzato e messo a disposizione entro 12 mesi dall’avvio della fornitura, mediante consegna dei codici sorgenti ed installazione presso il data center di InfoCamere che acquisisce il diritto di apportare modifiche e utilizzare l’applicativo in qualsiasi modalità, nell’ambito del sistema camerale e dei suoi utenti, anche successivamente al termine del contratto. Congiuntamente alla predetta cessione, l’Appaltatore dovrà anche eseguire la necessaria formazione e consegnare la relativa documentazione di dettaglio.
Ai fini della fornitura oggetto di questo paragrafo, l’Appaltatore potrà decidere se cedere ad InfoCamere una copia del sistema utilizzato per erogare il servizio (v. paragrafo 4.2.3.2), previa opportuna predisposizione secondo le specifiche descritte nella propria Offerta Tecnica, o se realizzarne uno ad hoc; in ogni caso, sarà necessario che il sistema oggetto di cessione:
- rispecchi le caratteristiche funzionali indicate nel paragrafo 4.2.3.2 e relativi sottoparagrafi;
- garantisca che il colloquio con i servizi di Certification Authority (richiesta di certificato, installazione sul dispositivo, sospensione, rinnovo, ecc) sia adeguatamente separato e indipendente e che si svolga tramite web services, così come analiticamente dettagliato in uno specifico paragrafo dell’Offerta Tecnica nel quale verranno anche riportate le funzionalità specifiche del sistema di card management, distinguendole in modo chiaro ed inequivocabile da quelle relative al colloquio con la CA;
- assicuri la necessaria compatibilità con le caratteristiche tecniche dei sistemi InfoCamere (vedi Allegato 7 – Specifiche tecniche ambiente InfoCamere) e non comprenda l’acquisto di licenze o prodotti a pagamento, se non eventualmente quelli già presenti nel data center.
Al termine dell’installazione del sistema oggetto di cessione, InfoCamere verificherà le caratteristiche e le funzionalità rispetto alle prescrizioni di cui sopra ed all’Offerta Tecnica presentata. L’esito di tali verifiche verrà formalizzato in apposito verbale di collaudo redatto in contraddittorio tra InfoCamere e l’Appaltatore.
4.2.4 Sito web
L’Appaltatore deve fornire un sito web informativo, dedicato al solo appalto oggetto di gara, in lingua italiana, contenente i documenti, i software e le altre informazioni correlati ai certificati e ai dispositivi, ad esempio: l’installazione, l’utilizzo, le procedure, tutte le normative di riferimento, tutti i manuali e la documentazione di riferimento, la modulistica etc.
Il sito dovrà rispettare almeno i seguenti requisiti:
- il sito sarà consegnato per il collaudo nell’ambito della fase 1 prevista all’apposito paragrafo e insieme alla relativa documentazione di dettaglio dovrà essere ceduto ad InfoCamere, con possibilità di apportare modifiche e utilizzarlo in qualsiasi modalità nell’ambito del sistema camerale e dei suoi utenti, anche successivamente al termine del contratto. La consegna dovrà essere accompagnata da adeguata formazione.
- sarà erogato dall’infrastruttura di InfoCamere che ne curerà anche la manutenzione e gestione per tutta la durata del contratto, l’Appaltatore presterà adeguato supporto tecnico per la durata dell’appalto, prevedendo documentazione tecnica completa e formazione al personale InfoCamere;
- rimane in carico all’Appaltatore l’attività di redazione dei documenti e delle altre informazioni correlate ai certificati sotto riportate che InfoCamere provvederà a pubblicare sul sito;
- sarà realizzato con tecnologie compatibili con le caratteristiche tecniche dei sistemi InfoCamere (vedi Allegato 7 – Specifiche tecniche ambiente InfoCamere) e non dovrà comprendere l’acquisto di licenze o prodotti a pagamento, se non eventualmente quelli già presenti nel data center;
- all’interno del sito, il colloquio con i sistemi di Certification Authority (cambio email, sospensione, rinnovo, ecc) sarà adeguatamente separato e indipendente e si svolgerà tramite webservices; in tale ambito, l’Appaltatore dovrà descrivere nel dettaglio le funzionalità specifiche del sito distinguendole in modo inequivocabile da quelle relative al colloquio con la CA.
Aspetti funzionali
Il sito web deve fornire informazioni anche in merito alla marcatura temporale (normativa, utilizzo, etc.) anche se questo servizio non è oggetto della fornitura.
Il sito dovrà rendere disponibili inoltre tutte le funzioni operative direttamente destinate a richiedenti e titolari, che si identificano mediante il proprio certificato di autenticazione, come, a mero titolo di esempio:
- funzione di rinnovo, sospensione ed eventuale riattivazione diretta dei propri certificati,
- funzione di modifica del proprio indirizzo di posta elettronica per le comunicazioni,
- funzione di rilascio in modalità remota (vedi seguente paragrafo 4.2.4.1)
Alcune di queste funzioni sono descritte più approfonditamente di seguito.
Fermo quanto sopra, alcune funzioni possono essere disponibili anche all'interno del Token USB e nel software di verifica / firma.
Il sito deve consentire all’utente, tramite richiesta e verifica delle informazioni necessarie (es. codici segreti), di sospendere, ed eventualmente riattivare (se previsto), i propri certificati con una funzione che effettua automaticamente tale operazione senza la necessità di intervento umano. Il sito deve avvisare l’utente del tempo massimo che intercorre tra la richiesta e l’effettiva efficacia della sospensione.
Il sito deve contenere anche la funzione di prenotazione, “linkabile” dai siti delle Camere di Commercio interessate. La funzione deve consentire
- la scelta della Camera di Commercio (tra quelle aderenti) da parte dell’utente,
- il data entry, da parte dell’utente, del maggior numero di informazioni rilevanti per il contatto e ai fini della registrazione per l’emissione dei certificati e del dispositivo, con relativi controlli online formali dei dati inseriti;
- il passaggio di queste informazioni al sistema utilizzato dagli incaricati e dagli addetti per le operazioni di registrazione ed emissione.
Il sito deve contenere una funzione con cui l’utente, identificandosi con il suo certificato CNS, può modificare il proprio indirizzo email per comunicazioni (da parte della Camera, della CA, del Centro Servizi, dell’help desk, …).
Tutte le funzioni devono essere di facile ed immediato utilizzo e dotate di documentazione semplice, completa e sempre aggiornata.
4.2.4.1 Rilascio con modalità remota
Nel sito web di cui al paragrafo precedente devono essere disponibili le funzionalità connesse al rilascio di dispositivi in modalità “remota”, da parte del Centro Servizi InfoCamere.
L’Appaltatore tra l’altro dovrà consentire, tramite le funzionalità online, al titolare:
- di scegliere la Camera di Commercio, tra quelle aderenti, a cui richiede il nuovo dispositivo e la tipologia del dispositivo;
- di identificarsi mediante il proprio dispositivo, in corso di validità, ovvero tramite altra procedura che garantisca il riconoscimento del richiedente e corredata di strumenti di sottoscrizione una tantum necessari al rilascio;
- di inserire le informazioni previste o di modificarle se il sistema le può acquisire da precedenti emissioni o dal Registro delle Imprese;
- di firmare digitalmente la richiesta di nuovi certificati nel nuovo dispositivo;
- di pagare online il dispositivo tramite i medesimi sistemi di pagamento elettronico previsti per i rinnovi;
- di acquisire tutta la contrattualistica e la documentazione prevista.
Il servizio deve fornire al richiedente la possibilità di verificare in qualsiasi momento lo stato avanzamento della sua richiesta.
L’Appaltatore deve fornire una soluzione tecnico / organizzativa in grado di garantire che il
dispositivo e i relativi codici segreti siano utilizzabili solo dal titolare senza obbligare lo stesso a recarsi presso lo sportello camerale / Centro Servizi.
Di seguito si indica una possibile soluzione:
- nel momento dell’acquisizione della richiesta del nuovo dispositivo il sistema rilascia al richiedente un “codice segreto di sostituzione” oppure chiede all’utente il numero di telefono cellulare per inviarglielo successivamente;
- la produzione dei certificati di questi dispositivi prevede l’immediata sospensione degli stessi;
- la riattivazione di questi certificati è subordinata alla presentazione del “codice segreto di sostituzione”.
Tutte le funzioni devono essere di facile ed immediato utilizzo e dotate di documentazione semplice, completa e sempre aggiornata.
4.2.4.2 Rinnovo on line
La funzionalità deve consentire, in modo semplice per l'utente, il rinnovo dei certificati (in scadenza) presenti nel proprio dispositivo. Questa procedura si deve poter svolgere senza l'intervento di personale della Camera e dell’Appaltatore, a meno di richiesta di assistenza da parte dell'utente.
L'utente:
− deve essere informato della data di scadenza dei certificati, via email da parte dell’Appaltatore, con un congruo anticipo,
− deve poter vedere le informazioni presenti nei certificati in scadenza,
− deve essere informato dell'esito delle operazioni,
− deve poter vedere le informazioni presenti nei nuovi certificati, compresa la data di scadenza.
Verranno valutate positivamente soluzioni atte a garantire un processo svolto pienamente in self service da parte del Titolare e che assicurino la salvaguardia dei dispositivi, in caso di fallimento del rinnovo e del pagamento.
Il documento [4] “Allegato 4 - Specifiche tecniche integrazione pagamenti elettronici” descrive le modalità con cui si deve procedere relativamente all’integrazione con i pagamenti elettronici InfoCamere e con il pagamento via carta di credito.
L’Appaltatore è tenuto a gestire tutte le informazioni con la massima sicurezza e ad utilizzare questa interazione con le applicazioni gestite da InfoCamere solo ai fini previsti dalle attività assegnate. InfoCamere potrà effettuare delle verifiche su questo aspetto.
5 LIVELLI DI SERVIZIO
L’obiettivo di questo capitolo è quello di definire i livelli di servizio previsti e le modalità di monitoraggio.
5.1 Orari e livelli di servizio
Questo paragrafo definisce i livelli di servizio minimi che l’Appaltatore è tenuto a rispettare; verranno valutate positivamente proposte migliorative.
5.1.1 Attivazione di una Camera di Commercio
L'attivazione o la disattivazione di una Camera di Commercio deve completarsi entro un mese dalla richiesta inviata da InfoCamere all’Appaltatore, completa delle informazioni necessarie. Per le prime Camere la richiesta potrà avvenire anche prima del primo collaudo.
5.1.2 Rifornimento dei materiali
Si definisce “tempo consegna materiali” l'intervallo temporale, espresso in giorni lavorativi, che intercorre tra il giorno in cui InfoCamere invia l’ordine all’Appaltatore ed il giorno in cui i materiali sono consegnati alla Camera di Commercio destinataria o al Centro Servizi.
Il “tempo consegna materiali” garantito dall’Appaltatore deve essere inferiore o uguale a 20 giorni lavorativi, almeno nel 98% delle consegne su base mensile.
Nel caso di ordini pervenuti da InfoCamere segnalati come urgenti (stimabili in un 5% degli ordini mensili), l’Appaltatore deve garantire un “tempo consegna materiali” pari a 10gg lavorativi almeno nel 98% delle consegne urgenti su base mensile.
In caso di richiesta di documento attestante l’avvenuta consegna firmato dal destinatario pervenuta da InfoCamere, l’Appaltatore deve fornire tale documento entro 5 gg lavorativi.
5.1.3 Reso del materiale
Al fine di gestire la resa ed il reintegro di materiale (v. paragrafo 4.1.5), l’Appaltatore dovrà garantire un passaggio mensile in Camera/Centro Servizi per la presa/riconsegna del materiale da sostituire/sostitutivo. Tale passaggio mensile deve assicurare che l’intero processo di prelievo/riconsegna abbia un tempo massimo di un mese.
5.1.4 Livelli di servizio della piattaforma tecnologica
Di seguito si elencano i livelli di servizio relativi ai diversi ambiti tecnologici previsti dal Capitolato; al riguardo, l’Appaltatore potrà illustrare eventuali soluzioni che garantiscano elevati livelli di continuità operativa ed improntate quindi a principi di alta affidabilità e basso impatto sull’operatività di InfoCamere e del sistema camerale.
5.1.4.1 Disponibilità dei servizi
• La soluzione relativa agli addetti ed incaricati ed il servizio di rinnovo on line dovranno essere disponibili nei seguenti orari:
o giorni feriali: dalle ore 08.00 alle ore 21:00
o sabato: dalle ore 08.00 alle ore 14.00
con l'esclusione della domenica e dei giorni festivi nazionali.
Quando non disponibile, dovrà essere esposta una chiara segnalazione dei tempi di disponibilità.
Si definisce I_mens = “indisponibilità mensile” la durata totale delle interruzioni del servizio relative al mese di riferimento; questa misura verrà calcolata sommando le durate di tutte le interruzioni relative al mese.
Saranno considerate interruzioni di servizio anche gli eventi caratterizzati da un funzionamento irregolare o rallentato del sistema tale che, pur non trattandosi di indisponibilità del servizio, risulta comunque pesantemente condizionata l’attività degli addetti ed incaricati.
Ogni interruzione di servizio programmata da parte dell’Appaltatore deve eseguita fuori dall’orario di disponibilità e deve essere preventivamente comunicata ad InfoCamere.
Si definisce T_mens = la somma degli intervalli giornalieri, calcolata sul mese di riferimento, durante i quali il Sistema deve essere disponibile.
Si definisce “disponibilità delle funzionalità di servizio per addetti e incaricati” l'indicatore così calcolato: disponibilità = (T_mens – I_ mens) / T_ mens
L’Appaltatore deve garantire una “disponibilità delle funzionalità di servizio per addetti e incaricati” maggiore o uguale al valore soglia di:
- 99,7% nei giorni feriali dalle 9:00 alle 17:00
- 99,0% nei restanti giorni/orari di servizio
• Il servizio di sospensione e revoca dei certificati deve essere disponibile in modalità “24h365g" (tutti i giorni dell'anno dalle ore 0:00 alle 24:00).
• gli strumenti che consentono la verifica della validità dei certificati, sia via CRL sia via OCSP, devono essere disponibili in modalità “24h365g" (tutti i giorni dell'anno dalle ore 0:00 alle 24:00).
5.1.4.2 Tempi di risposta delle funzionalità di servizio
Le diverse funzionalità della soluzione (es. registrazione, sospensione, revoca, rinnovo) devono avere tempi medi (su base mensile) di risposta, al netto dei tempi di rete, inferiori o uguali a 5 secondi.
5.1.4.3 Tempestività di esecuzione
• L’Appaltatore deve garantire che nel 99,5% dei casi, rilevati durante un periodo di osservazione mensile, l’emissione di un singolo certificato avvenga entro i 10 secondi, misurati al netto dei tempi di rete.
• si definisce “tempo di evasione della sospensione / revoca” l'intervallo temporale che intercorre tra l'istante in cui la relativa richiesta viene ricevuta dall’Appaltatore e l'istante in cui la relativa CRL viene pubblicata con le informazioni aggiornate. L’Appaltatore deve garantire che il “tempo di evasione della sospensione/revoca” sia per ogni richiesta inferiore a 2 ore
• L’Appaltatore deve garantire che la pubblicazione delle CRL relative sia ai certificati di sottoscrizione sia a quelli di autenticazione CNS sia aggiornata almeno ogni 2 ore.
5.1.4.4 Rottura dei dispositivi
Si definisce rottura dei dispositivi la condizione in cui incorrono i dispositivi che, successivamente al fallimento della procedura di emissione/rinnovo, vengono compromessi tanto da non essere più riutilizzabili.
Si definisce R_gior = “rotture giornaliere” la % di dispositivi rotti rispetto ai tentativi di emissione e rinnovo giornalieri.
L’Appaltatore deve garantire un valore del parametro R_gior < o = all’1%.
I dati utilizzati per la misurazione dovranno provenire dai log dei sistemi informatici dell’Appaltatore.
5.1.4.5 Firma Remota
I servizi dovranno essere erogati 24 ore al giorno, per 7 giorni settimanali.
I volumi di carico e i livelli di Servizio che il servizio deve almeno soddisfare sono i seguenti:
- 200.000 utenti complessivamente al giorno nel caso di xxxxxxx xxxxx;
- 600.000 firme remote complessivamente al giorno nei casi di xxxxxxx xxxxx;
- 50.000 firme remote complessivamente all’ora nei casi di xxxxxxx xxxxx;
- tempo di apposizione di firma inferiore o uguale 5 secondi nel 99% dei casi su base mensile, al netto dei tempi di rete.
5.1.5 Aggiornamenti interfacce con servizi InfoCamere
Negli allegati tecnici sono descritte le interazioni richieste tra i prodotti/servizi dell’Appaltatore e quelli di InfoCamere.
Queste interazioni comportano il passaggio di informazioni e documenti tra gli archivi gestiti da InfoCamere e le applicazioni dell’Appaltatore.
InfoCamere potrà modificare la struttura e le modalità di uso dei propri servizi, in particolare quelli che consentono l'integrazione con il Registro delle Imprese, il Diritto Annuale, i pagamenti elettronici e i documenti degli incassi. L’Appaltatore dovrà attuare le modifiche necessarie entro 30 giorni dalla comunicazione da parte di InfoCamere.
5.1.6 Assistenza
L’Appaltatore deve garantire il servizio di assistenza di secondo livello dal Lunedì al Venerdì, dalle ore 8.30 alle ore 18.30, con l'esclusione del sabato, della domenica e dei giorni festivi nazionali.
Si definisce “tempo help desk di risoluzione” l'intervallo temporale, espresso in ore lavorative, intercorso tra l’istante in cui l'help desk di primo livello assegna il ticket al secondo livello ed l’istante in cui l'help desk di secondo livello comunica al primo la risoluzione del ticket.
L’Appaltatore deve garantire un “tempo help desk di risoluzione” come di seguito indicato:
• Ticket standard: entro 24 ore lavorative
• Ticket urgenti: entro 8 ore lavorative
I dati utilizzati per la misurazione dovranno provenire dai log dei sistemi informatici utilizzati da InfoCamere e dall’Appaltatore per la gestione dei ticket.
5.1.7 Manutenzione del software
5.1.7.1 Manutenzione correttiva
Si definisce “tempo di risoluzione della malfunzione” l'intervallo temporale, espresso in ore lavorative, intercorso tra l'istante in cui una segnalazione di malfunzionamento perviene all’Appaltatore e l'istante in cui viene comunicata alla Stazione Appaltante l'avvenuta risoluzione.
I malfunzionamenti dovranno essere classificati per tipologia e in base ad almeno i tre livelli di gravità “alta”, “media” e “bassa”.
L’Appaltatore dovrà garantire che:
- il “tempo di risoluzione della malfunzione” sia inferiore ai valori indicati nella seguente tabella:
gravità del malfunzionamento | tempo di risoluzione |
alta | 4 ore |
media | 24 ore |
bassa | 20 giorni lavorativi |
I dati utilizzati per la misurazione dovranno provenire da un sistema informatico di supporto all'attività di manutenzione utilizzato dall’Appaltatore.
5.1.7.2 Manutenzione adeguativa
Le tempistiche delle attività di manutenzione adeguativa dovranno essere concordate tra InfoCamere e l’Appaltatore; il rilascio della soluzione dovrà comunque avvenire entro i termini prescritti dalla normativa.
5.2 Monitoraggio del servizio
L’Appaltatore deve erogare quanto previsto dal capitolato secondo le modalità e i livelli di servizio previsti.
Al fine di tenere sotto controllo l'erogazione del servizio, l’Appaltatore dovrà garantire di:
− registrare in formato elettronico le informazioni relative, a titolo di esempio, a:
− dispositivi e certificati,
− misure delle prestazioni,
− misure, indicatori e SLA dei processi di gestione,
− rendere disponibile, periodicamente e su richiesta (v. anche periodicità indicata nell'apposito paragrafo 7.2), via posta elettronica, ad InfoCamere una reportistica esaustiva relativa al consuntivo dell’attività, dei livelli di servizio e dei consumi rispetto ai massimali di gara; a titolo esemplificativo, tale reportistica riguarderà:
− assistenza (es. tempi di risoluzione dei ticket assegnati al secondo livello);
− volumi giornalieri di certificati e firme emesse
− relativi tempi elaborazione (es. media giornaliera, tempi minimi e xxxxxxx, confronto con parametri storici)
− numero richieste non elaborate correttamente o in errore
− rifornimenti
− eventuali disservizi, con esaurienti spiegazioni;
− gestione di eventuali problemi e manutenzioni correttive.
− andamento degli interventi adeguativi, release rilasciate ed in corso.
I dati utilizzati per la misurazione dovranno provenire dal log dei sistemi dell’Appaltatore che InfoCamere avrà la facoltà di riscontrare.
L’Appaltatore dovrà, inoltre, rendere disponibile una console di test che permetta di verificare le funzionalità del servizio offerto. L’Appaltatore dovrà fornire la documentazione necessaria alla fruizione dei servizi richiesti con modalità tali da garantire massima completezza e approfondimento, anche a fronte delle differenti versioni dei sistemi forniti.
L’Appaltatore dovrà inoltre:
- essere disponibile all’applicazione, da parte di InfoCamere, di sonde ai sistemi di navigazione
- mettere a disposizione di InfoCamere console per l’accesso real time alle prestazioni del sistema (a titolo di esempio: % fallimenti, % dispositivi rotti, numero emissioni)
- prevedere un sistema di notifiche automatiche in caso di fallimento
InfoCamere si riserva di procedere, durante l’orario di erogazione dei servizi in ambiente di produzione, alla verifica periodica dei livelli di servizio erogati, nonché delle modalità adottate per lo svolgimento dei servizi (ad es. verifica delle risorse, dei processi e dei sistemi tecnologici utilizzati dall’Appaltatore per l’espletamento dei servizi).
L’Appaltatore dovrà consentire tutte le suddette verifiche, nonché svolgere tutte le attività necessarie affinché tali verifiche possano essere compiute. Nel corso delle verifiche InfoCamere potrà, altresì, procedere alla verifica del Sistema di Gestione della Qualità e/o della corretta applicazione del Piano della Sicurezza dell’Appaltatore.
L’Appaltatore dovrà garantire, inoltre:
− la disponibilità a discutere periodicamente con InfoCamere l’andamento del servizio, individuando aree di miglioramento ed azioni correttive e di evoluzione, da condividere con i referenti InfoCamere, sia nel contenuto, sia nella pianificazione
− la propria partecipazione a incontri “straordinari” con InfoCamere nel caso di riscontro di problemi significativi.
5.2.1 Audit di seconda parte
L’Appaltatore dovrà consentire ad InfoCamere l'effettuazione di interventi di audit sui sistemi tecnologici e sui processi messi in campo per l'erogazione del servizio.
Nel corso di tali audit, l’Appaltatore dovrà mettere a disposizione le necessarie risorse (tecnologiche
e di competenze professionali) per compiere eventuali approfondimenti sulle informazioni di dettaglio, inerenti gli SLA, registrate nei propri sistemi (log).
Tali audit potranno anche riguardare aspetti del Sistema di Gestione della Qualità e del Sistema di Gestione della Sicurezza delle Informazioni dell’Appaltatore.
Le modalità di effettuazione di tali audit dovranno essere concordate tra le parti.
6 MODALITA’ DI REMUNERAZIONE
L’Appaltatore viene remunerato secondo i seguenti criteri:
Titolo | Dettaglio / note | Parametri per la remunerazione | Periodicità maturazione |
Fornitura kit di accompagnamento | Cartellina con condizioni generali, informativa privacy, istruzioni, codici riservati | N° kit consegnati alla Camera o al Centro Servizi | Mensile |
Fornitura Smart card | Dispositivi vergini | N° di dispositivi consegnati alla Camera o al Centro Servizi | Mensile |
Fornitura token usb | Dispositivi vergini | N° di dispositivi consegnati alla Camera o al Centro Servizi | Mensile |
Emissione di certificati CNS su dispositivo | Emissione dei certificati di autenticazione CNS | N° certificati CNS emessi su dispositivi | Mensile |
Emissione di certificati per firma su dispositivo | Emissione dei certificati di sottoscrizione | N° certificati di sottoscrizione emessi su dispositivi | Mensile |
Emissione di certificati di firma remota | Emissione di certificati di sottoscrizione | N° certificati di sottoscrizione emessi | Mensile |
Rinnovo certificato CNS | Rinnovo di certificati di autenticazione CNS | N° certificati rinnovati | Mensile |
Rinnovo certificato per la firma | Rinnovo di certificati di sottoscrizione | N° certificati rinnovati | Mensile |
Formazione aggiuntiva | Giornate uomo presso la sede richiesta | N° di giornate erogate | Mensile |
Installazione / configurazione stazioni di lavoro aggiuntive | Giornate uomo presso la sede richiesta | N° di giornate erogate | Mensile |
Avviamento del servizio | Corrispettivo una tantum | A corpo | Verbali collaudo prima e seconda fase avvio del servizio |
Fornitura Sito web | Sito web | A corpo | Verbale collaudo prima fase avvio del servizio |
Fornitura del sistema di Card Management (su richiesta espressa di InfoCamere) | Sistema di Card Management | A corpo | Verbale collaudo con esito positivo |
Gli oneri relativi alla fornitura di ogni prodotto, materiale o funzionalità software e di tutti i servizi previsti dal capitolato devono ritenersi remunerati nell'ambito del sistema di maturazione dei corrispettivi sopra riportato.
L’appaltatore dovrà garantire che il flusso di fatturazione vs InfoCamere delle diverse componenti sopra riportate venga generato sulla base di un sistema automatizzato che assicuri la completa coincidenza con quanto oggetto di fornitura nello stesso periodo.
7 TABELLE DI RIEPILOGO
7.1 Documenti principali
Documento | Note | ||
Piano di avviamento del servizio | Proposto dall’Offerente in Offerta Tecnica | ||
Piano di attivazione iniziale | Proposto dall’Offerente in Offerta Tecnica | ||
Piano installazione e collaudo CMS in InfoCamere | Proposto dall’Offerente in Offerta Tecnica | ||
Piano di gestione del servizio | Proposto dall’Appaltatore, InfoCamere | approvato | da |
Piano di attivazione di una Camera | Proposto dall’Appaltatore, InfoCamere | approvato | da |
Piano di disattivazione di una Camera | Proposto dall’Appaltatore, InfoCamere | approvato | da |
Piano di accorpamento | Proposto dall’Appaltatore, InfoCamere | approvato | da |
Documentazione di prodotti / servizi, utente | manuali | Oggetto del servizio. Da rendere disponibile agli utenti. | |
Manuale operativo firma e policy certificati CNS | Documenti da pubblicare secondo normativa vigente | ||
Manuali operativi Camerali e piani della sicurezza | Proposti dall’Appaltatore, da concordare con InfoCamere e le singole Camere di Commercio | ||
Documenti di utilizzo continuo | |||
Moduli da far firmare ai titolari per emissioni e revoche. | Proposti dall’Appaltatore, da concordare con InfoCamere e le Camere di Commercio | ||
Elenco documenti ufficiali digitalizzati | Concordato tra InfoCamere e l’Appaltatore | ||
Mandati / incarichi / convenzioni ... | Proposti dall’Appaltatore, da concordare con InfoCamere e le Camere | ||
Richiesta rifornimento dispositivi / materiali | Concordato tra InfoCamere e l’Appaltatore | ||
Distinta Resi | Concordato tra InfoCamere e l’Appaltatore | ||
Avviso di scadenza certificato | Concordato tra InfoCamere e l’Appaltatore | ||
Lettera di accompagnamento dispositivi | Concordato tra InfoCamere e l’Appaltatore | ||
Allegato alla fornitura di dispositivi e materiali verso una Camera | Concordato tra InfoCamere e l’Appaltatore | ||
Richiesta formazione / supporto | Concordato tra InfoCamere e l’Appaltatore | ||
Piano formazione / supporto | Concordato tra InfoCamere e l’Appaltatore | ||
Modulo di chiusura attività formazione / supporto | Concordato tra InfoCamere e l’Appaltatore | ||
Report consuntivo attività e livelli di servizio | Concordato tra InfoCamere e l’Appaltatore | ||
Report andamento su massimale gara | Concordato tra InfoCamere e l’Appaltatore |
L’Appaltatore può presentare le proprie proposte in merito ai documenti indicati come “concordati”.
7.2 Periodicità delle attività ricorrenti
Le principali attività ricorrenti si effettuano con queste cadenze.
Attività | Periodicità | Note | |||
Invio archivio certificati dall’Appaltatore ad InfoCamere | Quotidianamente | Con i dati del giorno precedente | |||
Invio richieste materiali InfoCamere all’Appaltatore. | da | A richiesta | Ciascuna può comprendere più Camere (e/o Centro Servizi) e più tipologie di dispositivi e materiali | ||
Invio moduli richieste dispositivi firmate dai richiedenti da Camere/Centro Servizi ad Appaltatore. | Mensile | Con i documenti precedente. | relativi | al | mese |
L’Appaltatore rende disponibili e fornisce l’accesso ai documenti ufficiali (moduli, etc.) digitalizzati | Mensile | I documenti digitalizzati, relativi al mese precedente, devono essere disponibili entro l’ultimo giorno del mese successivo calcolato dalla data di ricezione del cartaceo. | |||
Invia della reportistica sul consuntivo attività, livelli di servizio e controllo consumi ad InfoCamere | Mensile richiesta | e | su | Contiene i dati relativi al periodo precedente. Se mensile, deve essere resa disponibile entro il decimo giorno lavorativo successivo alla fine del periodo di riferimento. | |
Comunicazione all'INA da parte dell’Appaltatore | Conforme normativa | alla | Con i dati relativi al periodo precedente | ||
Incontri periodici ordinari InfoCamere e l’Appaltatore | tra | Periodico mensile) | (es. | ||
Formazione periodica help primo livello. | desk | Almeno due volte l’anno | |||
Da questa lista esulano le attività non periodiche come, ad esempio, l'avviamento di una Camera.
8 SICUREZZA E PRIVACY
In termini di Sicurezza e Privacy, l’Appaltatore dovrà rispettare i seguenti requisiti:
- Riservatezza delle informazioni L’Appaltatore si impegna a non divulgare nessuna delle informazioni di cui può venire a conoscenza nell’ambito delle attività svolte per /presso InfoCamere e le Camere di Commercio e comunque nell’ambito del rapporto contrattuale.
- Politiche di sviluppo sicuro Nel caso di sviluppo di Software l’Appaltatore si impegna a rispettare le politiche di sviluppo sicuro delle applicazioni previste da InfoCamere per garantire che il Software risulti non vulnerabile ad attacchi informatici e prodotto ed utilizzabile nel rispetto delle vigenti normative di legge applicabili.
- Misure di sicurezza L’Appaltatore si impegna:
- ad accettare ogni Nomina o Incarico, ai sensi delle definizioni di cui al “Codice Privacy” (D. Lgs. 196/03 e s.m.i.), indispensabile per il trattamento di dati personali di Titolarità o Responsabilità InfoCamere nel corso della esecuzione del contratto.
- a rispettare e far rispettare al personale da esso incaricato o delegato le disposizioni previste dalle c.d. Misure Minime di sicurezza di cui all’Allegato B del “Codice Privacy”, con particolare attenzione alla gestione delle credenziali di autenticazione, per quanto applicabile all’ambito di svolgimento delle attività contrattuali e nel limite delle proprie responsabilità;
- a rispettare le disposizioni dei Provvedimenti del Garante della Protezione dei Dati Personali applicabili al contesto di esecuzione delle attività contrattuali, con particolare ma non esclusivo riferimento a quelli inerenti i c.d. “Amministratori di Sistema”;
- ad accettare il monitoraggio da parte di InfoCamere (mediante log e report finalizzati al controllo della sicurezza delle informazioni) qualora acceda a server o dispositivi di elaborazione, memorizzazione e trasmissione dati di proprietà InfoCamere;
- a comunicare prontamente ogni eventuale incidente di sicurezza verificatosi durante l’attività.