UFFICIO DEL RUP
UFFICIO DEL RUP
RDO APERTA SUL MEPA DI CONSIP ID NEGOZIAZIONE 2939263/2022 ad oggetto “Affidamento di servizi di sicurezza informatica “SECURITY AS A SERVICE” per mesi 36, da aggiudicare secondo il criterio del minor prezzo”.
RISCONTRO ALLE FAQ GIUNTE FINO ALLA DATA DEL 26/01/2022 ORE 16:00
FAQ 01
QUESITO
1. Dal momento che Windows Server 2008 r2 è un sistema operativo fuori supporto, ARPACAL ha in piano l’aggiornamento dei server relativi ad una versione più recente? L’aggiornamento dei sistemi operativi ad un livello che includa le ultime patch di sicurezza è una precauzione importante per indirizzare i rischi alla sicurezza derivanti da vulnerabilità di sistema operativo.
RISPOSTA
ARPACAL ha già avviato migrazioni a Windows Server versioni superiori. Attualmente le versioni in uso più datate sono almeno WINDOWS Server 2012 in quanto la versione Windows Server 2008 r2 residua su un numero minimale di Server (1-2) per i quali è stata già pianificata la migrazione a cloud SaaS/IaaS delle applicazioni ivi installate.
QUESITO
2. Pagina 6: nell’infrastruttura di backup viene anche considerato il software per la gestione dei backup? Se sì, vanno considerate anche le implicazioni di costo dovute alle licenze di detto software.
RISPOSTA
Si precisa che l’infrastruttura di backup a cui si riferisce non è un’infrastruttura di cui la Stazione Appaltante intende approvvigionarsi in maniera autonoma e/o esclusiva, ma va intesa sempre come erogata dal Fornitore nell’ambito di servizi “security as a service” con propria scelta tecnica autonoma in termini di tecnologie purché affidabili nei termini minimi di qualità descritti nel capitolato a pag. 6.
QUESITO
3. Pagina 7: per SAN Volume Controller si intende l’omonimo software di virtualizzazione dello storage di IBM? Se sì, le licenze di utilizzo delle stesso sono in corso di validità?
RISPOSTA
Vedasi risposta al quesito precedente.
QUESITO
4. È stata già operata una scelta in termini di piattaforma cloud su cui migrare?
RISPOSTA
L’Amministrazione sta provvedendo, in ottica di migrazione al cloud, ed ha già selezionato, fornitori di soluzioni di servizi informatici applicativi piattaforme SaaS/IaaS certificate sul Marketplace di AGID (quindi con cloud IaaS già verificato da AGID). Per le altre applicazioni in uso e di proprio possesso (perché sviluppate per l’Ente o prese in riuso e rilocalizzate o comunque con licenze d’uso permanente o soggetto a rinnovo), man mano che si raggiunge il fine ciclo di vita utile dei server fisici che le ospitano, si provvederà alla migrazione delle stesse in ambiente IaaS certificato sul Marketplace di AGID. Al momento l’unico fornitore (comunque certificato sul Marketplace di AGID) scelto è ARUBA SPA per i servizi di hosting del portale web xxx.xxxxxxx.xx e per i servizi di posta ordinaria e certificata nonché di firma remota (ARUBA RSS).
QUESITO
5. Confermare che le attività di security as a service vanno fornite sulla nuova infrastruttura Arpacal in cloud e che non ci sono servizi da erogare sull’infrastruttura on-premise.
RISPOSTA
Le attività di “security as a service” vanno erogate nell’ambiente per come descritto in capitolato tecnico. Arpacal al momento non ha una propria infrastruttura cloud IaaS (se questo è il senso del quesito) ma usa servizi applicativi in cloud SaaS/IaaS certificate sul Marketplace di AGID oppure applicazioni (descritte in capitolato tecnico) che “girano” sulla propria infrastruttura sempre descritta in capitolato tecnico.
QUESITO
6. Piattaforma IAM/SSO: confermare che il costo di eventuali licenze software o di servizi cloud, a carico di Arpacal, è incluso nel perimetro di fornitura.
RISPOSTA
Arpacal al momento non ha una propria infrastruttura cloud IaaS (se questo è il senso del quesito) e l’appalto è riferito all’acquisizione di “security as a service” e non di licenze o prodotti specifici.
QUESITO
7. Piattaforma IAM / PAM: confermare che il costo di eventuali licenze software o di servizi cloud, a carico di Arpacal, è incluso nel perimetro di fornitura.
RISPOSTA
Vedasi risposta al quesito precedente.
QUESITO
8. Piattaforma di log management: confermare che il costo di eventuali licenze software o di servizi cloud, a carico di Arpacal, è incluso nel perimetro di fornitura.
RISPOSTA
Vedasi risposta ai due quesiti precedenti.
QUESITO
9. È attualmente presente Microsoft Active Directory come servizio LDAP in Arpacal?
RISPOSTA
Attualmente esistono due server che usano Windows Server Virtualization Hyper-V, ciascuno con sottostanti istanze di Microsoft Windows Server 2016 per la gestione dei DNS e Linux con OpenLDAP per i servizi LDAP.
QUESITO
10. Con riferimento all’appliance hw / sw per scanning di vulnerabilità, confermare che il costo di eventuali licenze software o hardware, a carico di Arpacal, è incluso nel perimetro di fornitura.
RISPOSTA
I servizi richiesti sono “security ad a service” e non sono previste acquisizioni di licenze da parte dell’Ente; vedasi comunque risposte similari a quesiti precedenti.
QUESITO
11. Con riferimento all’appliance hw/sw per collezionamento log amministratori di sistema, confermare che il costo di eventuali licenze software o hardware, a carico di Arpacal, è incluso nel perimetro di fornitura.
RISPOSTA
I servizi richiesti sono “security ad a service” e non sono previste acquisizioni di licenze da parte dell’Ente; vedasi comunque risposte similari a quesiti precedenti.
QUESITO
12. Content filtering: confermare che il costo di eventuali licenze software o di servizi cloud, a carico di Arpacal, è incluso nel perimetro di fornitura.
RISPOSTA
I servizi richiesti sono “security ad a service” e non sono previste acquisizioni di licenze da parte dell’Ente; vedasi comunque risposte per quesiti similari precedenti.
QUESITO
13. È attualmente presente alcuna tecnologia VPN in Arpacal?
RISPOSTA
Si, in particolare FortiClient di Fortinet.
FAQ 02
QUESITO
Xxxxx.le Ente, la scrivente chiede di chiarire il seguente quesito a pagg. 12 si indica: "L’Agenzia ha quindi deciso di determinarsi da un lato mantenendo al carrier del servizio Internet i soli servizi di sicurezza perimetrale unificata (c.d. servizi SPUN) [omissis]:- Firewall;- VPN IPsec Site-to-Site;- Intrusion Detection & Prevention System (IDS/IPS)" A pagg. 18 e 19 nella tabella relativa alle attività ai punti 1-2- 3-4 si menzionano nuovamente tali servizi. Si chiede di esplicitare se dovranno far parte delle attività in outsourcing relative alla RdO in oggetto o se resteranno in capo al carrier del servizio Internet.
RISPOSTA
Si conferma che i servizi di sicurezza perimetrale unificata (c.d. servizi SPUN) sono da intendersi a carico del carrier del servizio Internet. Al momento devono comunque essere sottoscritta ed offerta, per come richiesti dall’Ente, i soli servizi di “Intrusion Detection & Prevention System (IDS/IPS)” ove la loro erogazione non fosse più a carico del carrier ed ove nel frattempo dovessero intervenire nuovi Accordi Quadro o Convenzioni CONSIP che non dovessero più prevederli.
FAQ 03
QUESITO
Xxxxx.le Ente, si chiede di chiarire se il punto n. 3 della tabella riassuntiva dei servizi a pag. 18, ovvero: Consolidamento utenti e client in Dominio AD o equivalente è da interpretare come creazione di un nuovo dominio in cloud, oppure come spostamento e consolidamento di un dominio già esistente. Cordialmente
RISPOSTA
Si conferma che trattandosi di servizi di “security as a service”, è da intendersi “creazione di un nuovo dominio in cloud”. Vedasi comunque, ad ogni buon fine, anche la risposta alla FAQ 01, Quesito 09.
FAQ 04
QUESITO
Spett.le Ente, si richiede di confermare che i punti 5 e 6 presenti nella tabella riassuntiva dei servizi a pag. 18, ovvero:-Installazione appliance hw/sw per scanning vulnerabilità ed azioni di remediation- Installazione appliance hw/sw per collezionamento log amministratori di sistema facciano riferimento ad installazione su cloud esterno. E' corretto? Cordiali saluti.
RISPOSTA
Si conferma.
FAQ 05
QUESITO
Buongiorno con riferimento ai requisiti di idoneità (par. 9.1), siamo a richiedere se vi sono certificazioni da produrre a pena di esclusione e nel dettaglio quale tipo di certificazione deve essere prodotta a dimostrazione delle qualifiche attinenti i servizi richiesti nel capitolato tecnico. In aggiunta chiediamo di confermare che il fatturato specifico debba essere medio, annuo, di circa 40.000 euro per il triennio 18-19-20. Grazie. Cordiali saluti.
RISPOSTA
Non sono richieste certificazioni a pena di esclusione, tuttavia il Fornitore deve documentare le proprie eventuali certificazioni attinenti possedute nella sezione documentazione amministrativa, incluso la presenza nel proprio organico di figure specialistiche certificate sulla sicurezza informatica al fine di dimostrare la propria qualificazione per l'esecuzione del servizio oggetto della RDO. La qualificazione minima e quindi a pena di esclusione si intende assolta con l’iscrizione al MePa per la categoria indicata nella RdO che di fatto abilita un fornitore a presentare la propria offerta. Si ribadisce in tal senso quanto indicato a pag. 12 del Capitolato "... omissis ... e, dall’altro, affidando ad un fornitore qualificato, servizi di sicurezza informatica “security as a service” per i quali il fornitore affidatario assume su di sé, con la sottoscrizione del capitolato tecnico, la responsabilità tecnica per la corretta, configurazione ed erogazione di tali servizi in modalità di “outsourcing completo security as a service ... omissis".
Il fatturato specifico medio annuo è di 41.842,50 euro per il triennio 18-19-20. I fatturati globale e specifico sono indicati al punto 9.2 del Disciplinare mentre i servizi analoghi sono indicati al punto 9.3 del Disciplinare.
FAQ 06
QUESITO
Gentile Amministrazione, la presente comunicazione contiene, di seguito, le richieste di chiarimento relative al documento “Disciplinare” della gara in oggetto. 1) Si chiede se, in merito alla costituzione della garanzia provvisoria, trovi applicazione l’art. 93 c.7 D.Lgs. 50/2016, prevedendo così la riduzione della percentuale del prezzo base d’appalto da garantire; 2) Si chiede conferma del fatto che le micro, piccole e medie imprese non sono tenute al rilascio dell’impegno a costituire una garanzia fideiussoria definitiva in sede di partecipazione alla gara, ex art. 93 c.8 D.Lgs. 50/2016; 3) Si chiede di meglio specificare il tipo di “idonee dichiarazioni” richieste al punto 15 lett. j) “idonee dichiarazioni di almeno due istituti bancari o intermediari autorizzati ai sensi del Decreto Legislativo 1° settembre 1993, n. 385, di data non anteriore alla data di pubblicazione del bando”, che cosa devono attestare tali dichiarazioni? 4) In merito alle modalità di pagamento, si chiede se il SAL annuale sarà “solare” (quindi al 31.12 di ogni anno) oppure corrisponderà ai 356 giorni dalla data di decorrenza del contratto. Ringraziando per la disponibilità, Si porgono distinti saluti omissis (nome O.E.)
RISPOSTA
Sottopunto 1) l'art. 97 c.3 del D.Lgs. 50/2016 trova applicazione ma nella procedura in oggetto la garanzia provvisoria non è richiesta e non dovrà essere prestata dalla Ditta partecipante ai sensi dell’art. 1, comma 4 del Decreto Legge 76/2020, convertito in Legge 120/2020.
Sottopunto 2) Si confermato in quanto previsto dal Codice degli Appalti D.Lgs. 50/2016 s.m.i.
Sottopunto 3) Le idonee dichiarazioni devono attestare la capacità economica e finanziaria (cfr. D.Lgs. 50/2016 - Allegato XVII Mezzi di prova dei criteri di selezione - Parte I: Capacità economica e finanziaria). Sottopunto 4) Il pagamento avverrà mediante due SAL a cadenza annuale a decorrere dall'avvio del servizio e un SAL finale a conclusione dei servizi.
FAQ 07
QUESITO
Spett.le ARPA Calabria,con la presente si richiedono chiarimenti in merito al requisito richiesto come da disciplinare gara al punto 9.1, nello specifico: "documentazione/certificazioni attestanti qualificazioni attinenti ai servizi richiesti nel Capitolato Tecnico". Quello che ci premeva appurare è quale/i certificati e/o qualificazioni sono richiesti nello specifico, in quanto l'unica indicazione fornita è che siano attinenti ai servizi specificati nel capitolato tecnico. In attesa di cortese riscontro porgiamo distinti saluti.
RISPOSTA
Vedasi risposta alla FAQ 05.
IL RESPONSABILE UNICO DEL PROCEDIMENTO
x.xx Xxx. Xxxxxxxx Xxxxxxx
“Firma autografa sostituita a mezzo stampa ai sensi dell’art. 3, comma 2, del D.Lgs. 39/93“
UFFICIO DEL RUP
RDO APERTA SUL MEPA DI CONSIP ID NEGOZIAZIONE 2939263/2022 ad oggetto “Affidamento di servizi di sicurezza informatica “SECURITY AS A SERVICE” per mesi 36, da aggiudicare secondo il criterio del minor prezzo”.
RISCONTRO ALLE FAQ GIUNTE DALLA DATA DEL 27/01/2022 ALLA DATA DEL 31.01.2022
FAQ 08
QUESITO
Gentili Signori,nel bando vengono richieste due lettere di referenza bancaria, lavorando di fatto solo con una banca, sarebbe possibile, ai sensi dell'art.86 comma 4 del DLgs 50/2016, sostituire una delle due con una copia degli ultimi 3 bilanci della società? Grazie.
RISPOSTA
La risposta è affermativa e viene dall’art. 86 c. 4 che riferisce all’Allegato XVII, parte I del Codice dei Contratti che per comodità di lettura si riporta di seguito.
Art. 86. (Mezzi di prova).
4. Di norma, la prova della capacità economica e finanziaria dell'operatore economico può essere fornita mediante uno o più mezzi di prova indicati nell'Allegato XVII, parte I. L'operatore economico, che per fondati motivi non è in grado di presentare le referenze chieste dall'amministrazione aggiudicatrice, può provare la propria capacità economica e finanziaria mediante un qualsiasi altro documento considerato idoneo dalla stazione appaltante.
Allegato XVII Mezzi di prova dei criteri di selezione
Parte I: Capacità economica e finanziaria
Di regola, la capacità economica e finanziaria dell'operatore economico può essere provata mediante una o più delle seguenti referenze:
a) idonee dichiarazioni bancarie o, se del caso, comprovata copertura assicurativa contro i rischi professionali;
b) presentazione dei bilanci o di estratti di bilancio, qualora la pubblicazione del bilancio sia obbligatoria in base alla legislazione del paese di stabilimento dell'operatore economico;
c) una dichiarazione concernente il fatturato globale e, se del caso, il fatturato del settore di attività oggetto dell'appalto, al massimo per gli ultimi tre esercizi disponibili in base alla data di costituzione o all'avvio delle attività dell'operatore economico, nella misura in cui le informazioni su tali fatturati siano disponibili.
FAQ 09
Gentile Amministrazione, a pag. 8 del Disciplinare si legge che la garanzia provvisoria non dovrà essere presentata e che, d'altra parte, è richiesto solo di presentare l'impegno al rilascio della garanzia
fideiussoria definitiva qualora il concorrente risulti aggiudicatario; poiché gli istituti assicurativi di nostra fiducia contattati ci informano che "non è loro consentito emettere dichiarazioni di impegno in assenza di polizza provvisoria per partecipazione alla gara" si chiede: se l'azienda concorrente producesse una garanzia provvisoria - corredata dall'impegno per la costituzione della garanzia definitiva - soddisferebbe il requisito di partecipazione di cui sopra? Diversamente, come potrebbe agire l'azienda per partecipare adeguatamente? Ringraziando per la disponibilità, Distinti saluti (omissis …)
RISPOSTA
La presentazione di una garanzia provvisoria è un onere non richiesto ai sensi della normativa vigente. Si ritiene tuttavia possibile allegare alla documentazione amministrativa una dichiarazione di impegno come da modello esemplificativo allegato (vedasi modello .pdf).
FAQ 10
Gentile Amministrazione, Verrà applicato l'art 97 D.Lgs. 50/2016 in merito all'esclusione delle offerte anomale? Distinti saluti (omissis …)
RISPOSTA
La risposta è affermativa come, tra l’altro, risulta dall’art. 20 del Disciplinare a pag. 15.
IL RESPONSABILE UNICO DEL PROCEDIMENTO
x.xx Xxx. Xxxxxxxx Xxxxxxx
“Firma autografa sostituita a mezzo stampa ai sensi dell’art. 3, comma 2, del D.Lgs. 39/93“