F9-48-30-26-BB-E3-D2-B1-EF-A9-DA-F4-61-51-87-7B-73-C3-50-DA

La presente copia e' conforme all'originale depositato presso gli archivi dell'Azienda ASL Citta' di Torino

X0-00-00-00-XX-X0-X0-X0-XX-X0-XX-X0-00-00-00-0X-00-X0-00-XX

XXxXX 1 di 4 del 13/10/2023 12:31:50

Soggetto: Xxxxx Xxxxx PCCCRL60E17L013P

Validità certificato dal 15/07/2022 13:20:59 al 15/07/2025 02:00:00

Rilasciato da InfoCert Firma Qualificata 2, INFOCERT SPA, IT con S.N. 0174 EC46

CAdES 2 di 4 del 12/10/2023 15:51:49

Soggetto: Xxxxxxxx Xxxxxxxx GHSGLC63C13L833N

Validità certificato dal 15/07/2022 13:40:29 al 15/07/2025 02:00:00

Rilasciato da InfoCert Firma Qualificata 2, INFOCERT SPA, IT con S.N. 0174 EC90

CAdES 3 di 4 del 12/10/2023 15:48:16

Xxxxxxxx: Xxxxxxxxxx Xxxxxxxxxx MZZLSN77A22G702G

Validità certificato dal 03/05/2023 13:54:17 al 03/05/2026 02:00:00

Rilasciato da InfoCert Qualified Electronic Signature CA 3, InfoCert S.p.A., IT con S.N. 010D F350

CAdES 4 di 4 del 06/10/2023 17:23:35

Soggetto: XXXXXXXXX XXXXXXXXXXXX SCRSVT86A01D976L

Validità certificato dal 20/09/2022 10:09:36 al 20/09/2025 10:09:36

Rilasciato da ArubaPEC EU Qualified Certificates CA G1, ArubaPEC S.p.A., IT con S.N. 77DE 32CB EE

La presente copia e' conforme all'originale depositato presso gli archivi dell'Azienda ASL Citta' di Torino

X0-00-X0-0X-00-0X-0X-0X-00-0X-XX-00-0X-XX-00-X0-XX-X0-00-XX

XXxXX 1 di 4 del 13/10/2023 12:31:51

Soggetto: Xxxxx Xxxxx PCCCRL60E17L013P

Validità certificato dal 15/07/2022 13:20:59 al 15/07/2025 02:00:00

Rilasciato da InfoCert Firma Qualificata 2, INFOCERT SPA, IT con S.N. 0174 EC46

CAdES 2 di 4 del 12/10/2023 15:51:49

Soggetto: Xxxxxxxx Xxxxxxxx GHSGLC63C13L833N

Validità certificato dal 15/07/2022 13:40:29 al 15/07/2025 02:00:00

Rilasciato da InfoCert Firma Qualificata 2, INFOCERT SPA, IT con S.N. 0174 EC90

CAdES 3 di 4 del 12/10/2023 15:48:17

Xxxxxxxx: Xxxxxxxxxx Xxxxxxxxxx MZZLSN77A22G702G

Validità certificato dal 03/05/2023 13:54:17 al 03/05/2026 02:00:00

Rilasciato da InfoCert Qualified Electronic Signature CA 3, InfoCert S.p.A., IT con S.N. 010D F350

CAdES 4 di 4 del 04/07/2023 08:09:43

Soggetto: XXXXXXXXX XXXXXXXXXXXX SCRSVT86A01D976L

Validità certificato dal 20/09/2022 10:09:36 al 20/09/2025 10:09:36

Rilasciato da ArubaPEC EU Qualified Certificates CA G1, ArubaPEC S.p.A., IT con S.N. 77DE 32CB EE

A0P Azienda Zero Protocollo n. 2023/0004003 del 02/10/2023 (Allegato) Pagina 1 di 41

Firmato digitalmente da: XXXXXXXX XXXXXXXX

Amministratore Delegato

POLO STRATEGICO NAZIONALE S.P.A.

Firmato il 29/09/2023 11:32 Seriale Certificato: 940

Valido dal 26/10/2022 al 25/10/2025 TI Trust Technologies QTSP CA

Concessione per la realizzazione e la gestione di una nuova infrastruttura informatica al servizio della Pubblica Amministrazione denominata Polo Strategico Nazionale (“PSN”), di cui al comma 1 dell’articolo 33-septies del d.l. n. 179 del 2012

CUP: J51B21005710007 CIG: 9066973ECE

PROGETTO DEL PIANO DEI FABBISOGNI

Azienda Sanitaria Zero

PSN-SDE-CONV22-001- Progetto del Piano dei Fabbisogni

Questo documento contiene informazioni “confidenziali” di proprietà esclusiva della società PSN S.p.A. né il documento né sue parti possono essere

pubblicate, riprodotte, copiate o comunque divulgate senza autorizzazione scritta dell’azienda oltre quanto previsto dalla lista di distribuzione

SOMMARIO

1 PREMESSA 6

2 AMBITO 7

3 DOCUMENTI 8

3.1 DOCUMENTI CONTRATTUALI 8

3.2 DOCUMENTI DI RIFERIMENTO 8

3.3 DOCUMENTI APPLICABILI 9

4 ACRONIMI 10

5 PROGETTO DI ATTUAZIONE DEL SERVIZIO 11

5.1 SERVIZI PROPOSTI 11

5.2 INDUSTRY STANDARD 12

5.2.1 Housing 12

5.2.2 Infrastructure as a Service 13

5.2.3 Platform as a Service 14

5.2.4 Data Protection e Disaster Recovery 16

5.3 CONSOLE UNICA 19

5.3.1 Overview delle caratteristiche funzionali 19

5.3.2 Modalità di accesso 21

5.3.3 Interfaccia applicativa della Console Unica 21

5.4 SERVIZI E PIANO DI MIGRAZIONE 22

5.4.1 Piano di attivazione e Gantt 25

5.4.2 Security Profess. Services 26

5.4.3 IT infrastructure service operations 30

6 FIGURE PROFESSIONALI 34

7 SICUREZZA 36

8 CONFIGURATORE 37

9 RENDICONTAZIONE 39

Indice delle tabelle

Tabella 1: Informazioni Documento 4

Tabella 2: Autore 4

Tabella 3: Revisore 4

Tabella 4: Approvatore 4

Tabella 5: Documenti Contrattuali 8

Tabella 6: Documenti di riferimento 9

Tabella 7: Documenti Applicabili 9

Tabella 8: Acronimi 10

Tabella 9: Servizi Proposti 11

Tabella 10: Riepilogo risorse IaaS richieste dall'Amministrazione 14

Tabella 11: Riepilogo risorse PaaS richieste dall'Amministrazione 16

Tabella 12: Matrice RACI Supporto Sistemistico 32

Tabella 13: Matrice RACI Supporto DBA 33

STATO DEL DOCUMENTO

La tabella seguente riporta la registrazione delle modifiche apportate al documento.

TITOLO DEL DOCUMENTO
Descrizione Modifica	Revisione	Data
Prima Emissione	1	19/09/2023

Tabella 1: Informazioni Documento

Autore:
Team di lavoro PSN	Unità operative Solution Development, Technology Hub e Sicurezza

Tabella 2: Autore

Revisione:
PSN Solution team	n.a.

Tabella 3: Revisore

Approvazione:
PSN Solution team PSN Commercial team	Xxxxx Xxxxxxxx Xxxxxxxx Xxxxx

Tabella 4: Approvatore

LISTA DI DISTRIBUZIONE

INTERNA A:

• Funzione Solution Development

• Funzione Technology Hub

• Funzione Sicurezza

• Referente Servizio

• Direttore Servizio

ESTERNA A:

• Referente Contratto Esecutivo Azienda Sanitaria Zero

o Xxxxxxxxx Xxxxxxxxxxxx

o Email: xxxxxxxxx.xxxxxxxxxxxx@xxxxxxxxxxx.xxxxxxxx.xx

• Referente Tecnico Azienda Sanitaria Zero

o Xxxxxxxxx Xxxxxxxxxxxx

o Email: xxxxxxxxx.xxxxxxxxxxxx@xxxxxxxxxxx.xxxxxxxx.xx

1 PREMESSA

Il presente documento descrive il Progetto dei Fabbisogni del PSN relativamente alla richiesta di fornitura dei servizi cloud nell’ambito della concessione per la realizzazione e gestione di una nuova infrastruttura informatica al servizio della Pubblica Amministrazione denominata Polo Strategico Nazionale (“PSN”), di cui al comma 1 dell’articolo 33-septies del d.l. n. 179 del 2012.

Quanto descritto, è stato redatto in conformità alle richieste dell’Azienda Sanitaria Zero di seguito Amministrazione, sulla base delle esigenze emerse durante gli incontri tecnici per la raccolta dei requisiti e delle informazioni contenute nel Piano dei Fabbisogni (ID 2023-0000012685160017-PdF-P1R1).

2 AMBITO

L’Amministrazione Azienda Sanitaria Zero, di recente costituzione, non dispone attualmente di un’infrastruttura IT on premise o in cloud. L’Amministrazione ha l’esigenza di creare una nuova infrastruttura che ospiti le applicazioni funzionali alla sua attività. Di seguito le esigenze attualmente censite:

• Gestione credenziali (XXXX.XXX): applicativo per governare e monitorare nel tempo l’intero ciclo di vita tecnico-amministrativo delle credenziali utente, dalla richiesta, all’assegnazione, alla scadenza sino alla revoca delle utenze del Sistema Informativo Aziendale

• Ambiente gestito dall’Amministrazione per ospitare un database Oracle di circa 60 Gb utilizzato per ospitare dump RMAN di Oracle on premise

• Scryba Sign: applicazione centralizzata aziendale per gestire il DB dei firmatari e i relativi poteri di firma

• Docsuite: soluzione per la gestione documentale, protocollo e PEC

• Active Directory, inclusa possibilità di sincronizzazione con Azure AD

• VM ad uso cliente per installazione di software vari.

Si richiede un’infrastruttura opportunamente sovradimensionata per ospitare anche esigenze future non

ancora censite su infrastruttura IaaS.

La classificazione dei dati è di tipo ORDINARIO.

Si precisa che si tratta di nuovi servizi, per cui è prevista l’installazione ex novo.

3 DOCUMENTI

3.1 DOCUMENTI CONTRATTUALI

Riferimento	Titolo	Documenti consegnati	Versione	Data versione
#1	Piano dei Fabbisogni di Servizio	PSN_Piano dei Fabbisogni_v1.0	1.0	01.12.2022
#2	Piano di Sicurezza	PSN-SDE-CONV22-001-PianoSicurezza v.1.0 Allegati: PSN - Processo IM v.03 2.C Qualificazione Servizi Cloud 2.B Fornitore Servizio Cloud 2.A Soggetto Infrastruttura Digitale	1.0	22.12.2022
#3	Piano di Qualità	PSN-SDE-CONV22-001-Piano della Qualità	1.0	22.12.2022
#4	Piano di Continuità Operativa	PSN-SDE-CONV22-001-Piano di Continuità Operativa ver.1.0	1.0	22.12.2022

Tabella 5: Documenti Contrattuali

3.2 DOCUMENTI DI RIFERIMENTO

La seguente tabella riporta i documenti che costituiscono il riferimento a quanto esposto nel seguito del presente documento.

Riferimento	Codice	Titolo
Convenzione Presidenza del Consiglio dei Ministri – Dipartimento per la Trasformazione Digitale – del 24.08.2022	CONV-PSN-2022	CONVENZIONE ai sensi degli artt. 164, 165, 179, 180, comma 3 e 183, comma 15 del d.lgs. 18 aprile 2016, n. 50 e successive modificazioni o integrazioni avente ad oggetto l’affidamento in concessione dei servizi infrastrutturali e applicativi in cloud per la gestione di dati sensibili - “Polo Strategico Nazionale”
Convenzione Presidenza del Consiglio dei Ministri – Dipartimento per la Trasformazione Digitale – del 24.08.2022	CONV-PSN-2022 (Allegato A)	Capitolato Tecnico e relativi annessi – Capitolato Servizi
Convenzione Presidenza del Consiglio dei Ministri – Dipartimento per la Trasformazione Digitale – del 24.08.2022	CONV-PSN-2022 (Allegato B)	“Offerta Tecnica” e relativi annessi
Convenzione Presidenza del Consiglio dei Ministri – Dipartimento per la Trasformazione Digitale – del 24.08.2022	CONV-PSN-2022 (Allegato C)	“Offerta economica del Fornitore – Catalogo dei Servizi” e relativi annessi
Convenzione Presidenza del Consiglio dei Ministri – Dipartimento per la Trasformazione Digitale – del 24.08.2022	CONV-PSN-2022 (Allegato D)	Schema di Contratto di Utenza
Convenzione Presidenza del Consiglio dei Ministri – Dipartimento per la Trasformazione Digitale – del 24.08.2022	CONV-PSN-2022 (Allegato H)	Indicatori di Qualità
Convenzione Presidenza del Consiglio dei Ministri – Dipartimento per la Trasformazione Digitale – del 24.08.2022	CONV-PSN-2022 (Allegato I)	Flussi informativi
Convenzione Presidenza del Consiglio dei Ministri – Dipartimento per la Trasformazione Digitale – del 24.08.2022	CONV-PSN-2022 (Allegato L)	Elenco dei Servizi Core, no Core e CSP

Tabella 6: Documenti di riferimento

3.3 DOCUMENTI APPLICABILI

Riferimento

Codice

Titolo

Template Progetto del Piano dei Fabbisogni

PSN- TMPL- PGDF

Progetto del Piano dei Fabbisogni Template

Tabella 7: Documenti Applicabili

4 ACRONIMI

La seguente tabella riporta le descrizioni o i significati degli acronimi e delle abbreviazioni presenti nel documento.

Acronimo	Descrizione
CSP	Cloud Service Provider
DB	DataBase
DBaaS	DataBase as a Service
DR	Disaster Recovery
HA	High Availability
IaaS	Infrastructure as a Service
IAM	Identity and Access Management
IT	Information Technology
ITSM	Information Technology Service Management
PA	Pubblica Amministrazione
PaaS	Platform as a Service
PSN	Polo Strategico Nazionale
VM	Virtual Machine

Tabella 8: Acronimi

5 PROGETTO DI ATTUAZIONE DEL SERVIZIO

Uno degli obiettivi del PSN è la riduzione dei consumi energetici è pertanto necessario, nell’ottica dell’energy control, stabilire i consumi energetici dell’infrastruttura dell’Amministrazione. Questa verrà fatta assumendo come valore di riferimento il consumo (misurato o stimato sulla base dei valori di targa) annuo dell’infrastruttura prima che questa venga migrata. Seguirà una valutazione circa l’utilizzo delle risorse HW e SW impegnate nel PSN con il preciso scopo di contenerne i consumi.

5.1 SERVIZI PROPOSTI

Di seguito si riporta una sintesi delle soluzioni individuate per soddisfare le esigenze dell’Amministrazione.

Servizio

Tipologia

Industry Standard

Housing

Industry Standard

Infrastructure as a Service (IaaS)

Industry Standard

Platform as a Service Database (PaaSDB)

Industry Standard

Data Protection: Backup

Industry Standard

Data Protection: Golden copy protetta

Servizi di Migrazione

Servizi Professionali

Security Professional Services

Servizi Professionali

IT Infrastructure Service Operation

Tabella 9: Servizi Proposti

Di seguito, è mostrata la matrice di responsabilità nell'ambito della gestione dei servizi migrati su PSN:

5.2 INDUSTRY STANDARD

5.2.1 Housing

5.2.1.1 Descrizione del servizio

Il Servizio Industry Standard Housing è un servizio Core e consiste nella messa a disposizione, da parte del PSN, di aree esclusive all’interno dei Data Center del PSN, dotate di tutte le infrastrutture impiantistiche e tecnologiche necessarie a garantire elevati standard qualitativi in termini di affidabilità, disponibilità e sicurezza fisica degli ambienti descritti, atte ad ospitare le infrastrutture IT e TLC di proprietà dell’Amministrazione, nonché di eventuali variazioni in corso d’opera.

5.2.1.2 Personalizzazione del servizio

Sarà fornita all’Amministrazione una classe /29 di indirizzi IP pubblici.

5.2.1.3 Dettaglio del servizio contrattualizzato (ID servizio, quantità costi)

Il dimensionamento del servizio ed i costi della configurazione proposta sono riportati nel paragrafo “8 Configuratore”.

5.2.1.4 Specifiche di collaudo

Per le modalità di svolgimento delle prove di Collaudo e di Test, previste per il servizio in oggetto, finalizzate a verificare la conformità del Servizio standard offerto a catalogo, si rimanda, alla documentazione ufficiale di collaudo dei Servizi PSN effettuato dal Dipartimento della Trasformazione Digitale, disponibile in un’apposita sezione del Portale della Fornitura.

5.2.2 Infrastructure as a Service

5.2.2.1 Descrizione del servizio

I servizi di tipo Infrastructure as a Service (IaaS) sono servizi Core e prevedono l’utilizzo, da parte dell’Amministrazione, di risorse infrastrutturali virtuali erogate in remoto. Infrastructure as a Service (IaaS) è uno dei tre modelli fondamentali di servizio di cloud computing. Come tutti i servizi di questo tipo, fornisce l'accesso a una risorsa informatica appartenente a un ambiente virtualizzato tramite una connessione Internet. La risorsa informatica fornita è specificamente un hardware virtualizzato, in altri termini, un'infrastruttura di elaborazione. La definizione include offerte come lo spazio virtuale su server, connessioni di rete, larghezza di banda, indirizzi IP e bilanciatori di carico.

Il servizio IaaS è suddiviso in:

▪ IaaS Private: consiste nella messa a disposizione, da parte

Figura 1 Infrastructure as a Service

del PSN, di una infrastruttura virtualizzata e dedicata, in grado di ospitare tutte le applicazioni in carico all’Amministrazione all’atto della stipula del Contratto, nonché di eventuali variazioni in corso d’opera, nel rispetto dei requisiti di affidabilità, disponibilità e sicurezza fisica e logica.

Il PSN è responsabile della gestione dell’infrastruttura sottostante e rende disponibile gli strumenti e

le console per la gestione in autonomia degli ambienti fisici e virtuali contrattualizzati.

▪ IaaS Shared: consiste nella messa a disposizione, da parte del PSN, di una infrastruttura virtualizzata e condivisa, in grado di ospitare tutte le applicazioni in carico all’Amministrazione all’atto della stipula del Contratto, nonché di eventuali variazioni in corso d’opera, nel rispetto dei requisiti di affidabilità, disponibilità e sicurezza fisica e logica.

In questo caso, l’Amministrazione acquisisce il pool di risorse (vCPU, vGB di RAM, vGB di Storage) virtuali e il PSN è responsabile della gestione dell’infrastruttura sottostante, comprensiva degli strumenti di automation e orchestration.

5.2.2.2 Personalizzazione del servizio

La tabella seguente riporta il dimensionamento dei nuovi servizi richiesti dall’Amministrazione.

Applicativo

Descrizione

Servizio

vCPU

RAM (GB)

Disco totale (GB)

XXXX.XXX		IaaS	4	16	100	Centos
Scryba Sign		IaaS	4	8	120	Linux Ubuntu 16.04 LTS
Scryba Sign		IaaS	2	4	40	Linux Ubuntu 16.04 LTS
Docsuite	Front-end	IaaS	4	8	208	Windows Server 2019
	Back-end	IaaS	8	16	208	Windows Server 2019
	Stampa conforme	IaaS	2	8	208	Windows Server 2019
	Dgroove Ingestor 1	IaaS	4	8	1000	Linux Ubuntu 22.04 LTS
	Dgroove Ingestor 2	IaaS	4	8	1000	Linux Ubuntu 22.04 LTS
Generico	VM Generica	IaaS	2	8	250	Windows Server 2019
Active Directory	AD	IaaS	2	8	100	Windows Server 2019
Active Directory	AD Connect	IaaS	4	8	250	Windows Server 2019
VPN Collector	Pfsense	IaaS	2	4	50	FreeBSD

	Totale IaaS		42	104	3534

Tabella 10: Riepilogo risorse IaaS richieste dall'Amministrazione

Per rispondere alle esigenze è previsto un servizio IaaS Shared HA costituito da un Pool di Risorse vCPU, RAM e disco dimensionate per gestire una capacità aggiuntiva rispetto a quella prevista, considerata l’esigenza dell’Amministrazione di incrementare in tempi brevi i propri servizi.

La soluzione IaaS Shared HA consente di avere le risorse riallocabili sui due DC della stessa Region in caso di problematiche infrastrutturali su uno dei due DC.

5.2.2.3 Dettaglio del servizio contrattualizzato (ID servizio, quantità costi)

Il dimensionamento del servizio ed i costi della configurazione proposta sono riportati nel paragrafo “8 Configuratore”.

5.2.2.4 Specifiche di collaudo

5.2.3 Platform as a Service

5.2.3.1 Descrizione del servizio

Il Servizio Platform as a Service (PaaS) è un servizio Core e consiste nella messa a disposizione, da parte del PSN, di una piattaforma in grado di erogare elementi applicativi e middleware come servizio, come ad

esempio i Database, astraendo dall’infrastruttura sottostante. Il PSN, in qualità di provider, si fa carico di

gestire l’infrastruttura sottostante, comprensiva degli strumenti di automation e orchestration.

L’offerta dei servizi PaaS prevede un approccio strutturato in cui ogni componente della soluzione PaaS, come il sistema operativo, solution stack ed altri software necessari, è gestito e strettamente controllato in termini di utilizzo e configurazione dal PSN. In questo caso le soluzioni vengono “create” al momento della necessità. Una rappresentazione di questa strutturazione vede quattro livelli di componenti:

● sistema operativo;

● run-time e librerie necessarie;

● soluzione caratterizzante – tipicamente un database, middleware, web server, ecc.;

● un’interfaccia programmatica con cui controllare gli aspetti

operazionali della soluzione.

Il servizio PaaS si compone dei seguenti sottoservizi:

Figura 2 Platform as a Service

● Database as a Service (DBaaS): consente all’ Amministrazione di configurare e gestire il database utilizzando un servizio senza preoccuparsi dell’infrastruttura sottostante. Il PSN è responsabile di tutto lo stack d’infrastruttura comprese le operazioni di riconfigurazione della capacità elaborativa e delle repliche;

● Identity Access Management (IAM): consente di gestire in modo unificato e centralizzato

l’autenticazione e l’autorizzazione per la messa in sicurezza delle applicazioni che migrano nel PSN;

● Big Data: consente la costruzione di Data Lake as a Service, servizi di analisi dati batch, stream e real- time con scalabilità orizzontale;

● Artificial Intelligence (AI): mette a disposizione un set di algoritmi pre-addestrati di Artificial Intelligence per utilizzarli in analisi del testo, audio/video o di anomalie ed una piattaforma per la realizzazione di modelli custom di machine/Deep Learning.

5.2.3.2 Platform as a Service - Database

Il Platform as a Service - Database è un servizio che consente agli utenti di configurare, gestire e ridimensionare database utilizzando un insieme comune di astrazioni secondo un modello unificato, senza dover conoscere o preoccuparsi delle esatte implementazioni per lo specifico database. Viene demandato al provider tutto quanto relativo all’esercizio e alla gestione dell’infrastruttura sottostante, comprese le operazioni di riconfigurazione della capacità elaborativa e delle repliche, mentre gli utenti possono così focalizzarsi sulle funzionalità applicative.

Tramite la console di gestione del servizio vengono messe a disposizione dell’Amministrazione in particolare le funzionalità di:

● creazione (o cancellazione) di un database;

● modifica delle principali caratteristiche infrastrutturali dell’istanza DB e ridimensionamento ove non

automatico;

● configurazione di alcuni parametri del database;

● attivazione di funzionalità aggiuntive, come ad esempio la replica dei dati su istanze passive (ove applicabile);

● attivazione di funzionalità di backup od esportazione dei dati (ove applicabile).

5.2.3.3 Personalizzazione del servizio

La tabella seguente riporta il dimensionamento dei nuovi servizi richiesti dall’Amministrazione.

Applicativo	Descrizione	Servizio	vCPU	RAM (GB)	Disco totale (GB)	Versione
Dump DB Oracle	DB Oracle	PaaS	2	16	60	Oracle Std Ed
Docsuite	DB SQL Server	PaaS	4	16	648	SQL Server 2019 Std Ed
	Totale PaaS		6	32	708

Tabella 11: Riepilogo risorse PaaS richieste dall'Amministrazione

Per rispondere alle esigenze sono previsti due servizi PaaS DB Oracle e SQL Server con i dimensionamenti

secondo specifiche dell’Amministrazione.

5.2.3.4 Dettaglio del servizio contrattualizzato (ID servizio, quantità costi)

Il dimensionamento del servizio ed i costi della configurazione proposta sono riportati nel paragrafo “8 Configuratore”.

5.2.3.5 Specifiche di collaudo

5.2.4 Data Protection e Disaster Recovery

5.2.4.1 Data Protection: Backup

Servizio «self-managed» l’utente ha completa autonomia di gestione nella definizione della policy di backup ed il recupero degli stessi, in caso di perdita dovuta a guasti hardware o malfunzionamenti del software. Il ripristino può avvenire ad una certa data in relazione alle copie di backup effettuate. Il servizio di backup standard prevede di effettuare il backup dello storage base (100GB) previsto per ogni istanza.

Per tutti i backup sarà effettuata una ulteriore copia secondaria al completamento della copia primaria presso il Data Center secondario.

Le principali caratteristiche del servizio che verrà realizzato sono:

• La possibilità di effettuare backup full e incrementali;

• Cifratura dei dati nella catena end to end (dal client alla libreria);

• Possibilità di organizzare i backup ed effettuare ricerche sulla base di differenti filtri (es. date di riferimento) e mantenere più backup in contemporanea;

• Possibilità di poter selezionare cartelle e file da sottoporre a backup e possibilità di escludere tipologie di file per nome, estensione e dimensione per i backup di tipo file system (con installazione di un agent sui server oggetto di backup);

• la conservazione e svecchiamento dei dati del back-up secondo policy di retention standard: 7 giorni, 1 mese, 2 mesi, 3 mesi, 6 mesi, 1 anno, 10 anni;

• possibilità di modificare la policy di retention (tra quelle su indicate) applicate ai backup;

• monitoring dei jobs di backup e restore;

• reportistica all’interno della console;

• un metodo efficiente per trasmissione ed archiviazione applicando tecniche di compattazione e compressione ed identificando ed eliminando i blocchi duplicati di dati durante i backup.

• Il ripristino dei dati scegliendo la versione dei dati da ripristinare in funzione della retention applicata agli stessi.

• il ripristino granulare dei dati (singolo file, mail, tabella, ecc.) in modalità “a caldo e out-ofplace” garantendo quindi la continuità operativa. Tale modalità di ripristino assicura la possibilità di effettuare dei test di restore in qualsiasi momento e con qualsiasi cadenza.

• Repository storage del servizio su apparati di tipo NAS o S3 (AWS-S3 compatibile)

• GDPR Compliant: Supporta utente e ruoli IAM oltre alla cifratura del dato e controllo degli accessi

Il servizio di Backup è fatturato a canone annuale basato sulla quantità di spazio (TB) riservato al Cliente in fase di acquisto del servizio indipendentemente da quanto spazio sia stato occupato.

5.2.4.2 Data Protection: Golden copy protetta

Quale ulteriore elemento di garanzia della protezione dei dati, oltre al backup standard, il PSN mette a disposizione un servizio opzionale aggiuntivo che analizza i backup mensili allo scopo di intercettare eventuali contaminazioni malware silenti che comprometterebbero la validità di un eventuale restore in produzione. Si tratta di una funzionalità completamente gestita ed opzionale, attivabile su richiesta, in aggiunta al servizio di Backup standard: essa effettua la verifica e convalida dell'integrità dei dati durante le attività di backup e di esecuzione della golden copy; in particolare, quando viene eseguito il backup dei dati per la prima volta, vengono calcolati i checksum e CRC per ogni blocco di dati sul sistema sorgente e queste signature vengono utilizzate per convalidare i dati del backup. Una volta validate, tali signature vengono memorizzate con il backup stesso: ciò permette di eseguire automaticamente la verifica della consistenza dei dati salvati nel backup, utilizzando le signature salvate.

Figura 3 Architettura Funzionale Golden Copy

Questa modalità, insieme alle ulteriori procedure di sicurezza per l’accesso ai sistemi e alle applicazioni, garantisce la conservazione dei backup in un formato non cancellabile e inalterabile (WORM: Write Once, Read Many) e assicura che le attività di gestione operativa di routine (es. svecchiamento delle retention scadute, ecc) siano sempre sotto la competenza e il controllo di autorità di supervisione che non possono essere by-passate.

Ulteriori meccanismi di protezione dei dati impediscono la modifica o l'eliminazione dei file per un periodo di conservazione definito dalle policy utente o del sistema di backup (golden copy definita come WORM copy che non permette a nessuno, lato piattaforma di backup di cancellare i dati prima della loro scadenza).

Inoltre, sui sistemi sorgenti, in aggiunta ai tradizionali sistemi di protezione antivirus/antimalware, è possibile attivare meccanismi di identificazione di eventuali attacchi ransomware in maniera proattiva: qualsiasi attività sospetta sul file system dei sistemi da proteggere viene intercettata e segnalata alla console di gestione attraverso l’invio di allarmi che, opportunamente gestiti, consentono di condizionare e inibire la creazione della golden copy.

Le copie di backup potranno essere protette da ulteriori configurazioni, a livello di sottosistema storage, da eventuali attacchi di tipo ransomware non permettendo ad alcun processo esterno di modificare i dati salvati nei backup: Solo per le copie su cui non sarà stata segnalata alcuna anomalia di tipo ransomware, si potrà procedere all’archiviazione della “golden copy” in un ambiente protetto e in sola lettura.

Le principali caratteristiche del servizio sono:

● analisi automatizzata del backup per certificarne l’assenza di vulnerabilità (incluse attività sospette

di ransomware);

● certificazione della Golden Copy da parte del PSN;

● protezione su storage distinto di backup, privo di ogni accesso fisico e logico;

● replica in Region diverse e su canale cifrato.

5.2.4.3 Personalizzazione del servizio

Il dimensionamento del backup è stato fatto sulla base di una policy che prevede l’incrementale giornaliero,

il full settimanale ed una retention pari a due settimane.

La policy adottata, considerando la doppia copia di backup prevista su due DC distinti, porta ad un dimensionamento annuo di c.a 29 TB per il backup e la Golden Copy.

5.2.4.4 Dettaglio del servizio contrattualizzato (ID servizio, quantità costi)

Il dimensionamento del servizio ed i costi della configurazione proposta sono riportati nel paragrafo “8 Configuratore”.

5.2.4.5 Specifiche di collaudo

5.3 CONSOLE UNICA

La Fornitura prevede l’erogazione alle PAC, in maniera continuativa e sistematica, di una serie di servizi

afferenti ad un Catalogo predefinito e gestito attraverso una Console Unica dedicata.

Il PSN metterà a disposizione delle Amministrazioni Contraenti una piattaforma di gestione degli ambienti cloud unica (CU) personalizzata, interoperabile attraverso API programmabili che rappresenterà per la PA l’interfaccia unica di accesso a tutte le risorse acquistate nell’ambito della convenzione. In particolare, la CU garantirà la possibilità alle Amministrazioni di configurare ed istanziare, in autonomia e con tempestività, le risorse contrattualizzate per ciascuna categoria di servizio e, accedendo alle specifiche funzionalità della console potrà gestire, monitorare ed utilizzare i servizi acquisiti.

Infine, attraverso la CU, l’Amministrazione avrà la possibilità di segnalare anomalie sui servizi contrattualizzati tramite l’apertura guidata di un ticket per la cui risoluzione il PSN si avvarrà del supporto di secondo livello di specialisti di prodotto/tecnologia.

5.3.1 Overview delle caratteristiche funzionali

La CU è progettata per interagire col PSN CLOUD ed integrare le funzionalità delle console native di cloud management degli OTT, fornendo un’interfaccia unica in grado di guidare in modo semplice l’utente nella definizione e gestione dei servizi sottoscritti utilizzando anche la tassonomia e le modalità di erogazione dei servizi previsti nella convenzione. Tale piattaforma presenta un’interfaccia applicativa responsive e multidevice ed è utilizzabile, oltre che in modalità desktop, anche mediante dispositivi mobili Android o iOS e abilita i sottoscrittori ad accedere

in maniera semplificata agli strumenti che consentono di:

√gestire in modalità integrata i profili di accesso alla CU tramite le funzionalità di Identity

Management; disegnare l’architettura dei servizi acquistati e gestirne le eventuali variazioni;

√consentire l’interfacciamento

attraverso le API per la gestione Figura 4 Funzionalità CU

delle risorse istanziate ma anche per definire un modello di IaC (Infrastructure as Code); segnalare eventuali

anomalie in modalità “self”.

Le aree di interazione che la piattaforma CU consente di gestire sono:

1. Area Attivazione contrattuale. All’atto dell’adesione alla convenzione da parte dell’Amministrazione, sulla CU: √saranno caricati i dati contrattuali ed anagrafici dell’Amministrazione; √generato il profilo del referente Master (Admin) della PA a cui sarà inviata una “Welcome Letter” con il link della piattaforma, l’utenza e la password (da modificare al primo login) per l’accesso alla CU; √sarà configurato il tenant dedicato alla PA, che rappresenta l’ambiente cloud tramite il quale la PA usufruirà dei servizi acquisiti (IaaS, PaaS, ecc.).

2. Area Access Management e profilazione utenze. L’accesso alla CU è gestito totalmente dal sistema di Identity Access Management (IAM). Gli utenti, previa registrazione, saranno censiti nello IAM, e con le credenziali rilasciate potranno accedere dalla console alle risorse allocate all’interno del proprio tenant. Anche la creazione dei profili delle utenze e la loro associazione con gli account degli utenti sarà gestita tramite le funzionalità di IAM in un’apposita sezione della CU denominata “Gestione Utenze”.

3. Area Design & Delivery. Attraverso tale modulo della CU, l’Amministrazione Contraente potrà configurare in autonomia i servizi acquistati secondo le metriche definite per la convenzione, costruendo, anche mediante l’utilizzo di un tool di visualizzazione, la propria architettura cloud sulla base delle risorse contrattualizzate. Successivamente la CU, interagendo in tempo reale attraverso le API dei servizi cloud verticali, consentirà l’immediata attivazione delle risorse e dei servizi previsti nell’architettura attraverso la creazione di uno o più tenant logici per segregare le risorse computazionali dei clienti (Project). Il processo è gestito mediante un workflow automatizzato di delivery implementato tramite l’uso di Blueprint. La CU esporrà anche delle API affinché la singola Amministrazione Contraente possa interagire attraverso i propri tools di CD/CI, IaC (Terraform, Ansible...) oppure attraverso una propria CU come ulteriore livello di astrazione e indipendenza (qualora ne avesse già a disposizione e quindi creare una CU Master Controller che interagisce con quella del PSN appunto via API).

4. Area Management & Monitoring. La piattaforma consentirà ai referenti delle Amministrazioni Contraenti di accedere alle funzionalità dedicate alla gestione e al monitoraggio delle risorse per ciascun servizio contrattualizzato e attivo all’interno delle specifiche piattaforme Cloud che erogano i servizi verticali. Punto focale della soluzione è la componente di Event Detection, che ha come obiettivo l’analisi dei log e degli eventi generati dalle piattaforme Cloud che erogano i servizi verticali per tutte le attività svolte dall’Amministrazione; tale modulo, in particolare, verificherà la compliance di tutte le richieste effettuate rispetto al perimetro contrattuale e bloccherà eventuali attività che esulino da tale contesto inviando alert, anche tramite e-mail, sia ai referenti della PA abilitati all’utilizzo della CU sia agli operatori delle strutture di Operations preposte alla gestione delle segnalazioni di anomalia sui servizi erogati.

5. Area Self Ticketing. Consente alla PA di segnalare in modalità self le anomalie riscontrate sui servizi cloud contrattualizzati.

5.3.2 Modalità di accesso

L’accesso in modalità sicura alla Console Unica prevede l’utilizzo del sistema di Identity Management, il cui form di login è integrato nell’interfaccia web. Tale sistema gestisce le identità degli utenti registrati e consente sia l’accesso in modalità desktop, sia tramite dispositivi mobili Android o iOS. Gli utenti, autorizzati dal sistema di Identity Access Management, potranno accedere dalla console alle risorse allocate all’interno del proprio tenant, sia per attività di “Design & Delivery” sia per attività di “Management & Monitoring”.

5.3.3 Interfaccia applicativa della Console Unica

La Console Unica espone un’interfaccia profilata per ciascuna Amministrazione Contraente, presentando il set di servizi contrattualizzati e abilitandola ad eseguire le operazioni desiderate in piena autonomia. Di seguito è riportata una breve descrizione delle sezioni della Console Unica che sono rese disponibili. Dall’Home Page è possibile accedere alle sezioni:

● • Dashboard: consente di visualizzare il riepilogo dei dati contrattuali, verificare lo stato dei propri servizi IaaS, PaaS, ecc, il tracking dei ticket aperti e lo storico delle operazioni effettuate. In particolare, come evidenziato in Figura 4, cliccando sul widget di una specifica categoria di servizio (ad esempio Compute), sarà possibile visualizzare direttamente, secondo le metriche della convenzione, il dettaglio delle quantità totali delle risorse acquistate, quelle già utilizzate e le

quantità ancora disponibili. Inoltre, accedendo al menu

Figura 5 Dashboard CU

del profilo presente nell’header dell’interfaccia della Console Unica, il referente dell’Amministrazione avrà la possibilità di impostare gli indirizzi e-mail a cui inviare tutte le notifiche previste nella sezione Messaggi e selezionare altre impostazioni di base (lingua, ecc.).

● Cloud Manager: in questa sezione, per tutti i servizi della convenzione, ciascuna Amministrazione

potrà, nell’ambito della funzione di Design & Delivery:

o costruire l’architettura cloud di ciascun Project all’interno del proprio tenant;

o attivare i servizi in self-provisioning;

o nell’ambito della funzione di Management & Monitoring:

o effettuare operazioni di scale up e scale down sui servizi contrattualizzati;

o gestire e monitorare tali servizi accedendo direttamente all’opportuna sezione della console. Dettagliando ulteriormente la sezione di Design & Delivery, viene offerto ai referenti delle Amministrazioni Contraenti la possibilità di definire e configurare le risorse cloud contrattualizzate in modalità semplificata

ed aderente ai requisiti e alla classificazione dei servizi della Convenzione, garantendo massima autonomia e

tempestività nell’attivazione.

Il referente dell’Amministrazione, accedendo dalla sezione “I tuoi servizi” alla dashboard del Cloud Manager

potrà nella fase di Design & Delivery:

● selezionare, utilizzando l’apposito menu a tendina presente nell’header della pagina, un Project tra

quelli esistenti;

● visualizzare sia le categorie di servizio in cui sono state attivate risorse con il relativo dettaglio (identificativo della risorsa) sia quelle che non hanno risorse istanziate;

● istanziare in modo semplificato, per ciascuna categoria di servizi della Convenzione, attraverso la funzionalità “Configura”, nuove risorse cloud utilizzando una procedura guidata che espone solo le funzionalità base per l’attivazione delle risorse cloud garantendo velocità di esecuzione. Nel caso in cui l’Amministrazione voglia, invece, utilizzare tutte le funzionalità di configurazione del Cloud Manager potrà accedervi direttamente dal tasto “Funzionalità Avanzate” presente in ciascuna finestra di configurazione.

● monitorare, in fase di attivazione delle risorse, lo stato di avanzamento dei consumi per la specifica categoria di servizi nel Project selezionato in modo da avere sempre a disposizione una vista delle quantità disponibili e in uso.

Dettagliando ulteriormente la sezione di Management & Monitoring, dopo aver terminato la fase di attivazione delle risorse cloud all’interno del Project selezionato, viene offerto ai referenti delle Amministrazioni Contraenti la possibilità di:

● gestire la singola risorsa accedendo direttamente alle specifiche funzionalità presenti console tramite

il button “Gestisci”;

● monitorare le performance della risorsa accedendo alle funzionalità di monitoraggio tramite il

relativo button “Monitora”.

In alternativa, il referente dell’Amministrazione ha la possibilità di accedere alle funzionalità avanzate della dashboard tramite il relativo button “presente nell’header della sezione.

5.4 SERVIZI E PIANO DI MIGRAZIONE

I servizi di Migrazione sono servizi Core del PSN quantificati e valutati economicamente sulla base di specifici assessment effettuati in fase di definizione delle esigenze dell’Amministrazione, tenendo conto di eventuali vincoli temporali ed architetturali di dettaglio oltre che di specifiche esigenze di customizzazione.

Per l’intero periodo di migrazione, il PSN mette a disposizione delle PA le seguenti figure professionali:

● Un Project Manager Contratto di Adesione, che coordina le attività e collabora col referente che ogni singola PA dovrà indicare e mettere a disposizione;

● Un Technical Team Leader che segue tutte le fasi più strettamente legate agli aspetti operativi.

Si chiede alla PA la disponibilità di fornire uno o più referenti coi quali il Project Manager Contratto di Adesione e il Technical Team Leader del PSN si possano interfacciare.

Verranno inoltre condivisi:

● la lista dei deliverables di Progetto;

● la Matrice di Responsabilità;

● gli exit criteria di ogni fase di progetto;

● il Modello di comunicazione tra PSN e PA.

Il Piano di Migrazione, che rappresenta un allegato parte integrante del presente documento, è redatto adottando la metodologia basata sul framework EMG2C (Explore, Make, Go to Cloud), articolato in tre distinte fasi:

● Explore, che include le fasi relative all’analisi e alla valutazione dell’ambiente, per aiutare la PA a

definire il proprio percorso di migrazione verso il cloud.

● Make, che comprende tutte le attività di design e di predisposizione dell’ambiente per permettere

la migrazione in condizioni di sicurezza, tra cui anche i test necessari a validare il disegno di progetto.

● Go, che prevede il collaudo, l’attivazione dei servizi sulla nuova infrastruttura ed anche le attività di post go live necessarie al supporto e all’ottimizzazione dei servizi nel nuovo ambiente.

Gli step operativi in cui si articolano le suddette fasi sono:

● Analisi/Discovery

● Setup

● Migrazione

● Collaudo

Figura 6: Servizio di Migrazione - Metodologia EMG2C

Come già specificato, nel caso dell’Amministrazione non sono previste attività di migrazione, in quanto i servizi saranno installati ex novo.

Si riportano di seguito le fasi per il completamento del set up dell’infrastruttura.

1. Set-up

La fase è finalizzata a garantire un’efficace predisposizione dell’ambiente target su cui dovranno essere

installati i servizi/applicazioni dell’Amministrazione e si articola nelle seguenti fasi:

● Progettazione operativa e di dettaglio.

● Predisposizione dell’infrastruttura target presso i DC del PSN.

● Predisposizione del networking e delle policy FW per la comunicazione tra DC e sede Cliente

● Installazione ex novo delle applicazioni

2. Collaudo

Definizione Strategia di Collaudo: tale fase è finalizzata alla predisposizione della strategia ottimale di

collaudo delle applicazioni migrate nell’ambiente target.

Esecuzione Collaudo: tale fase consiste nell’esecuzione dei test definiti in precedente e concordati con la Pubblica Amministrazione, per certificare il Go Live dell’applicazioni sull’ambiente target.

A valle del collaudo, sarà previsto un grace period temporaneo, da concordare con la Pubblica Amministrazione, durante il quale viene fornito un supporto alle operation del cliente per il fine tuning delle applicazioni migrate nell’ambiente target, in termini di prestazioni.

La matrice RACI che segue illustra i ruoli per le attività di set up. Di seguito la descrizione dei 4 Ruoli:

(R) Responsible: Il Responsible svolge concretamente il lavoro. Ogni attività richiede almeno un Responsible.

(A) Accountable: l’Accountable è la persona o stakeholder che detiene l’ownership dell'attività, ovvero deve

dare l’approvazione finale quando tale attività viene completata.

(C) Consulted: sono tutte quelle persone o parti interessate che hanno bisogno di dare un contributo prima che il lavoro possa essere svolto e approvato, ovvero forniscono informazioni e ci si aspetta una comunicazione bidirezionale.

(I) Informed: persone o parti interessate che devono essere tenute al corrente sullo stato di avanzamento dell’attività. Hanno bisogno di aggiornamenti sui progressi o sulle decisioni prese, ma non hanno bisogno di essere consultati formalmente, né contribuiscono direttamente all’attività o alla decisione.

Applicativo	Attività	PSN	Amministrazione
XXXX.XXX	Progettazione	RA	CI
	Predisposizione infrastruttura target	RA	CI
	Predisposizione networking	RA	CI
	Installazione applicazioni	CI	RA
	Collaudo Applicativo	CI	RA
Dump DB Oracle	Progettazione	RA	CI
	Predisposizione infrastruttura target	RA	CI
	Predisposizione networking	RA	CI
	Installazione applicazioni	CI	RA
	Collaudo Applicativo	CI	RA
Scryba Sign	Progettazione	RA	CI
	Predisposizione infrastruttura target	RA	CI
	Predisposizione networking	RA	CI
	Installazione applicazioni	CI	RA
	Collaudo Applicativo	CI	RA

Docsuite	Progettazione	RA	CI
	Predisposizione infrastruttura target	RA	CI
	Predisposizione networking	RA	CI
	Installazione applicazioni	CI	RA
	Collaudo Applicativo	CI	RA
Server Generico	Progettazione	RA	CI
	Predisposizione infrastruttura target	RA	CI
	Predisposizione networking	RA	CI
	Installazione applicazioni	CI	RA
	Collaudo Applicativo	CI	RA
Active Directory	Progettazione	RA	CI
	Predisposizione infrastruttura target	RA	CI
	Predisposizione networking	RA	CI
	Installazione applicazioni	CI	RA
	Collaudo Applicativo	CI	RA
VPN Collector	Progettazione	RA	CI
	Predisposizione infrastruttura target	RA	CI
	Predisposizione networking	RA	CI
	Installazione applicazioni	RA	CI
	Collaudo Applicativo	RA	CI

Tabella 12: Matrice RACI set up e collaudo

5.4.1 Piano di attivazione e Gantt

In questa sezione si riporta un diagramma di Gantt di massima per le attività previste nel progetto.

Month 1

Month 2

Month 3

Month 4

Month 5

…

Month 60

Project Management

Servizi di migrazione

Setup

Assegnazione e configurazione delle risorse in Data Center PSN

Installazione applicazioni

Collaudo

Collaudo e consegna infrastruttura al cliente

Servizi di gestione

IT Infrastructure Service Operations

Servizi di Service Operations

Security Pofessional Services

Servizi di Service Operations

Milestone di consuntivazione

Tabella 13: GANTT

5.4.2 Security Profess. Services

La migrazione su cloud è un processo complesso e un cambiamento rilevante che non va preso alla leggera. Non esiste una procedura di migrazione immediata sul cloud, e anzi spesso i rischi di migrazione stessi non vengono opportunamente valutati con il risultato che un’attività di migrazione che dovrebbe in teoria migliorare il livello complessivo di sicurezza delle applicazioni, di fatto lo diminuisce, esponendo i workload migrati a nuove minacce ed attacchi. È bene specificare che trasferendo le informazioni nel xxxxx non si trasferisce anche la responsabilità della sicurezza di tali informazioni. Il PSN offre molti strumenti nativi, all’interno delle diverse tipologie di cloud scelte, per gestire la sicurezza dei dati, ma questi devono essere in ogni caso previsti ed implementati dalle Amministrazioni. La responsabilità della sicurezza di tutti i dati trasferiti su cloud rimane sempre e comunque del cliente finale. Il fatto che le infrastrutture cloud siano intrinsecamente dotate di un livello di sicurezza elevato, di per sé non offre alcuna efficace garanzia sulla sicurezza delle informazioni ivi trasferite.

I servizi professionali di sicurezza sono quindi necessari, sinergici e parte integrante dei servizi di migrazione, e servono principalmente a valutare lo stato di sicurezza dei workload da migrare, prima e post migrazione, prevedendo in un approccio security-by-design l’analisi del rischio, l’identificazione, l’implementazione e la gestione dei controlli di sicurezza.

I servizi sono necessari per:

● Garantire la conformità ai requisiti normativi e cogenti.

● Valutare e applicare le best practice di cloud security.

● Mitigare il rischio cyber.

● Xxxxxxxx rischi e vulnerabilità prima e dopo il processo di migrazione.

● Prevedere, progettare ed implementare i controlli di sicurezza

● Supportare l’Amministrazione nella gestione della cybersicurezza.

Di seguito vengono illustrati i diversi step delle fasi di gestione della sicurezza implementabili tramite i servizi professionali in oggetto

5.4.2.1 Security Professional Services - Cybersecurity Resilience and Readness

Alla luce delle crescenti minacce informatiche per le organizzazioni, garantire l’adeguato livello di protezione delle reti, dei dati e dei servizi, diventa un fattore di primaria importanza. Questo rappresenta un passaggio molto complesso in cui i rischi della migrazione spesso non vengono opportunamente valutati con l’effetto

di diminuire, invece che migliorare, il livello complessivo di sicurezza delle applicazioni, esponendo i workload migrati a nuove tipologie di minacce ed attacchi.

È bene specificare che trasferendo le informazioni nel xxxxx non si trasferisce anche la responsabilità della sicurezza di tali informazioni. Il PSN offre molti strumenti nativi, all’interno delle diverse tipologie di cloud scelte, per gestire la sicurezza dei dati, ma questi devono essere in ogni caso previsti ed implementati dalle Amministrazioni. La responsabilità della sicurezza di tutti i dati trasferiti su cloud rimane sempre e comunque del cliente finale. Il fatto che le infrastrutture cloud siano intrinsecamente dotate di un livello di sicurezza elevato, di per sé non offre alcuna efficace garanzia sulla sicurezza delle informazioni ivi trasferite.

Pertanto in linea con i principali standard normativi di riferimento nonché delle più efficaci capacità difensive attivabili nel breve/medio periodo da parte dell’Ente, vengono previste una serie di soluzioni di servizi orientati a migliorare la resilienza operativa mantenendo al contempo una visione in tempo reale del panorama delle minacce esistenti predisponendo reattivamente, piuttosto che proattivamente, le opportune risposte a tipologie di minacce specifiche piuttosto che incidenti operativi di sicurezza informatica impattanti l’operatività dell’Ente. Viene quindi predisposto il seguente piano di attivazione servizi cyber security. Di seguito brevemente i servizi previsti e descritti nel dettaglio in opportuni paragrafi:

● Assessment, valutazione dei rischi e delle vulnerabilità legate al processo di migrazione:

• Vulnerability Assessment, Research & Exploitation;

• Web Application Penetration Testing;

• Dynamic Application Security Testing;

● Sicurezza hosts Antivirus (AV) - (EDR)

I servizi professionali saranno erogati a task con la modalità di remunerazione “a corpo” con una tariffa giornaliera fatturata a stato avanzamento lavori (mensile/bimestrale). Saranno definiti di concerto con l’Amministrazione dei task e dei deliverable, dimensionati e valorizzati economicamente, nonché il corretto Team Mix di risorse. La fatturazione avverrà alla consegna dei deliverable concordati, previo benestare sulla base dello stato dell’avanzamento lavori determinato coerentemente con il piano di lavoro.

Per quanto riguarda l’erogazione dei servizi di supporto, si precisa che la modalità di remunerazione di tali servizi è “a corpo” con una tariffa giornaliera fatturata a stato avanzamento lavori.

On top a tutti i servizi previsti viene fornito anche un supporto di Service Assurance finalizzato a supportare

l’Amministrazione nelle seguenti attività:

● Focal point durante la fase di programmazione startup dei servizi cyber;

● Intercettare possibili criticità al fine di identificare le opportune azioni con gli attori coinvolti;

● Focal point per la condivisione delle nuove necessità dell’Amministrazione;

● Supervisionare la conduzione dei servizi previsti da contratto;

● Rappresenta un livello di escalation rispetto alle attività ordinarie

● Partecipare attivamente alle attività di Kick Off Meeting (KOM) con l’Amministrazione;

5.4.2.2 Vulnerability Assessment, Research & Exploitation

Il servizio sarà erogato in modalità one shot da remoto e prevederà una fase preparatoria ed una fase operativa in funzione della soluzione target identificata con l’Amministrazione. Di seguito le attività che saranno erogate dal servizio:

• Fase preparatoria, redazione documentale: si procede alla redazione dei due documenti di Legal Agreement (LA) e di Rules Of Engagement (ROE).

• Fase preparatoria, raccolta di informazioni del perimetro di analisi (infrastruttura di rete, componenti hardware e software dei sistemi);

• Fase Operativa, individuazione delle vulnerabilità: tramite un set opportuno di strumenti automatizzati e correttamente configurati verrà collezionata una lista delle potenziali vulnerabilità note a cui potrebbero essere soggetti i sistemi analizzati;

• Fase Operativa, classificazione delle vulnerabilità: le vulnerabilità individuate saranno classificate in

funzione di livelli di priorità d’intervento secondo lo standard CVSS.

Nel dettaglio le attività oggetto di test saranno eseguite a valle della formalizzazione dei documenti riportati sotto.

• Legal Agreement (Manleva): Un accordo stabilito tra le parti che autorizza il Security Assessment Team a svolgere le attività specifica e che lo scarica da responsabilità per eventuali danni o disservizi creati.

• Regole di Ingaggio: Documento che contiene indicazione di inizio e durata delle singole fasi, le finestre orario in cui verranno erogate le attività, l’elenco dei deliverable, l’assegnazione dei ruoli e delle responsabilità per il fornitore ed Ente e il perimetro oggetto di analisi.

Tali documenti definiscono il perimetro e modalità di esecuzione dei test sottoposti ad accettazione e firma

dal cliente, in mancanza delle quali non sarà possibile procedere all’esecuzione dei test.

A valle dell’accettazione delle opportune manleve e regole di ingaggio partirà la fase operativa, di seguito le attività effettuate:

• esecuzione one shot di un Vulnerability Assessment sul perimetro di indirizzamento IP interno (o privato);

• analisi dei risultati;

• individuazione delle vulnerabilità attraverso l’esecuzione di test ad hoc che consentano di accertare l’impatto sui sistemi in analisi;

• assegnazione delle priorità/severità ai rischi di sicurezza in base al contesto;

• correlazione dei risultati delle fasi precedenti e la definizione del piano di rientro (remediation plan); Al completamento della fase operativa, saranno consegnati i seguenti deliverable:

• VA Results Executive Summary : Il report contiene una overview di tipo executive (ad alto livello) delle vulnerabilità individuate, ordinate per livello di rischio;

• VA Results Technical Report: Il report contiene i dettagli delle vulnerabilità segnalate, ordinate per criticità (utilizzando il sistema CVSS), incluse gli entry-point e le contromisure suggerite.

I deliverable, in base alla complessità del perimetro, possono far parte di un unico documento di report. Il

servizio è limitato all’analisi di massimo qtà (50) IP.

5.4.2.3 Dynamic Application Security Testing

Il servizio sarà erogato in modalità one shot da remoto e consente l'identificazione delle vulnerabilità all'interno delle applicazioni Web e l'analisi dell'esposizione al rischio di attacchi informatici ai Sistemi Informativi mediante l'utilizzo di tecniche di analisi dinamica.

L'attività ha lo scopo di rilevare e gestire le vulnerabilità applicative che insistono sui sistemi informativi in ambiente WEB di produzione/pre-produzione e loro relative classificazione e prioritizzazione.

Le attività oggetto di test saranno eseguite a valle della formalizzazione dei documenti riportati sotto.

Tali documenti costituiscono perimetro e modalità di esecuzione dei test e devono essere sottoposti ad accettazione e firma dal cliente, in mancanza delle quali non sarà possibile procedere all’esecuzione dei test.

Il servizio prevede l’esecuzione dei test dinamici di sicurezza per le applicazioni per la verifica delle vulnerabilità tenendo conto dell’esposizione e dell’ambiente operativo in cui l’applicazione è in esecuzione. L’input è rappresentato dalle informazioni relative ai target da analizzare e le relative modalità attuative che potranno essere concordate con

L'analisi comprenderà almeno i seguenti ambiti:

• Configurazione (es. directory traversing);

• Autenticazione (cifratura degli accessi, password policy, dictionary attack);

• Autorizzazione (Privilege escalation);

• Input Validation.

A seguito delle scansioni effettuate sarà prodotto un report indicante le vulnerabilità individuate e la relativa classificazione.

Il report costituirà il Detailed Software Security Assessment Report contenente i dettagli tecnici del livello di

sicurezza dell’istanza a run-time applicazione:

• Riferimenti ai tipi di attacco e vulnerabilità

• Vulnerabilità/rischi identificati e la gravità di ognuno in termini di potenziale impatto sul sistema

software oggetto dell’analisi

• Notazioni e classificazione dei bugs sulla sicurezza secondo gli standard applicabili

Il servizio è limitato all’analisi di massimo qtà 1 target (di max 30 url).

5.4.2.4 Servizio di Sicurezza hosts Antivirus (AV) - (EDR)

Nel presente paragrafo è descritto il servizio di Sicurezza hosts Antivirus (AV) - (EDR). L’attività è finalizzata alla protezione degli Endpoint identificati dall’Amministrazione secondo quanto di seguito rappresentato:

• Ridurre al minimo le possibili finestre d’esposizione a eventuali attacchi informatici per gli endpoint

in perimetro (con agent installato);

• Mitigazione automatica (ove applicabile) per gli incidenti di sicurezza riconosciuti come “veri positivi” ed ad alta criticità;

• Garanzia della protezione degli Endpoint anche in assenza momentanea di connessione ad internet (in funzione del tipo di soluzione tecnologica prevista dall’Amministrazione);

• Possibilità di isolare dalla rete endpoint compromessi conservandone il controllo dalla piattaforma di management (in funzione del tipo di soluzione tecnologica prevista dall’Amministrazione);

• Protezione in tempo reale da attacchi sconosciuti e che non utilizzano metodologie e/o indicatori noti (limitatamente alle caratteristiche della soluzione tecnologica impiegata);

La gestione centralizzata della soluzione viene fatta attraverso una piattaforma di management che di fatto raccoglie tutte le informazioni di telemetria (metadati) inoltrate dagli agent installati sugli Endpoint dell'Amministrazione tramite opportuno collegamento Internet, subordinata alla visibilità continuativa necessaria fra agent e piattaforma di management (e non oggetto del presente servizio).

Il servizio è erogato as a service su un perimetro definito dall’Amministrazione ed include un monitoraggio continuativo con finestra di servizio H24 per 365 giorni, con notifica degli eventi ritenuti di interesse per l'Amministrazione attraverso un portale dedicato NGS, che garantisce discrezionalità nelle comunicazioni e negli accessi.

5.4.3 IT infrastructure service operations

In seguito all’avvenuta migrazione, il PSN, renderà disponibili servizi di IT infrastructure-service operations per garantire il mantenimento di funzionalità o ottimizzazione degli ambienti su cui insistono le applicazioni, ovvero dell’infrastruttura VM della PA. Pertanto, l’Amministrazione potrà decidere di affidare al PSN la gestione dell’ambiente tenendo per sé solamente la componente relativa al codice applicativo. Per il corretto svolgimento delle attività verrà reso disponibile un Service Manager; un professionista di esperienza che coordina la gestione dei servizi di gestione contrattualizzata, operando a diretto contatto con l’Amministrazione. È responsabile della qualità del servizio offerto, e costituisce un punto di riferimento diretto del cliente per analisi congiunte del servizio, escalation, chiarimenti, personalizzazioni.

Le attività che il PSN potrà prendere in carico, previa valutazione, sono:

● Monitoraggio;

● Workload management;

● Infrastructure optimization;

● Capacity management;

● Operation management;

● Compliance management;

● Vulnerability & Remediation;

● Supporto tramite la Cloud Management Platform al:

o Provisioning, Automazione e Orchestrazione di risorse;

o Inventory, Configuration Management.

Inoltre, potranno essere erogate attività di System Management sui sistemi operativi Microsoft e Linux e sugli ambienti middleware effettuando la gestione ordinaria e straordinaria dei Server e dei Sistemi Operativi:

● creazione/gestione delle utenze, dei privilegi e gli accessi ai sistemi;

● controllare il corretto funzionamento del Sistema Operativo, verificando i processi/servizi tramite agent di monitoring.

● gestione dei log di sistema e verifica delle eventuali irregolarità.

● gestione dei files di configurazione dei sistemi.

● problem management di 2° livello, attivando le procedure e gli strumenti necessari per l’analisi dei

problemi, individuando e rimuovendo le cause degli stessi.

● effettuare il restore in caso di failure di sistema recuperando i dati di backup.

● segnalazione dell’esigenza dell’applicazione di patch/fix per il mantenimento dei sistemi agli standard di sicurezza e qualità previsti dai produttori software (segnalazione periodica o eccezionale a fronte di gravi vulnerabilità).

● applicazione delle patch/fix, sulla base di quanto concordato con il cliente o a seguito di segnalazione dagli enti deputati alla sicurezza dei sistemi e dei Data Center.

Per tali servizi verrà proposto un team mix composto dal mix dei profili professionali elencati in precedenza,

in base all’ambiente dell’Amministrazione ed ai requisiti della stessa.

5.4.3.1 Personalizzazione del servizio

In particolare, sono previste attività di supporto sistemistico per 5 anni a partire dalla data di collaudo, secondo quanto dettagliato nella seguente matrice RACI.

Di seguito la descrizione dei 4 Ruoli:

(R) Responsible: Il Responsible svolge concretamente il lavoro. Ogni attività richiede almeno un Responsible.

(A) Accountable: l’Accountable è la persona o stakeholder che detiene l’ownership dell'attività, ovvero deve

dare l’approvazione finale quando tale attività viene completata.

Nelle seguenti voci vi è la descrizione del campo “Tipologia supporto”:

• Incluso: Attività inclusa nel canone di servizio

• Escluso: Attività non inclusa nel canone di servizio

Supporto Sistemistico

Finestra di copertura 8 x 5

Attività	Tipologia supporto	PSN	Amministrazione
OS Win/Lin - Gestione configurazioni di OS/applicativi	Incluso	RA	CI
OS Win/Lin – Configurazione, modifica, monitoring e troubleshooting backup e restore sistema operativo	Incluso	RA	CI
OS Win/Xxx - Xxxxxxxxx e performance tuning	Incluso	RA	CI
OS Win/Lin - Gestione immagini per remote install/boot	Incluso	RA	CI
OS Win/Lin - IP Address Management	Incluso	RA	CI
OS Win/Lin - Asset inventory server	Incluso	RA	CI
OS Win/Lin - Deploy OS su virtual machines	Incluso	RA	CI
OS Win/Lin – Upgrade Sistema Operativo	Incluso	RA	CI
OS Win/Lin – Installazione Pack e Add-on aggiuntivi	Incluso	RA	CI
OS Win/Lin – Migrazione applicativa	Escluso	CI	RA
OS Win/Lin – gestione applicativa (Middleware)	Escluso	CI	RA
OS Win/Xxx - Troubleshooting (Incident e Change management)	Incluso	RA	CI
OS Win/Lin - Patching OS con cadenza trimestrale (in accordo con i fornitori applicativi)	Incluso	RA	CI
OS Win/Lin - Creazione/gestione delle utenze, i privilegi e gli accessi ai sistemi	Incluso	RA	CI
OS Win/Lin - Gestione dei log di sistema e verifica delle eventuali irregolarità Nota: Eventuali licenze per software di log management sono a carico del cliente.	Incluso	RA	CI
OS Win/Xxx – Gestione e installazione agenti di monitoraggio su OS	Incluso	RA	CI
OS Win/Lin - Monitoraggio dei parametri principali del server (CPU, RAM e spazio disco)	Incluso	RA	CI
OS Win/Lin – Condivisione eventuali parametri di monitoraggio avanzati (Servizi,Applicativi)	Incluso	CI	RA
OS Win/Lin – Scansione delle vulnerabilità con software OpenVAS e condivisione report	Incluso	RA	CI
vCloud – Gestione dell’ambiente IAAS	Incluso	RA	CI
Vcloud – Capacity Management	Incluso	RA	CI
Vcloud – Implementazione policy NSX (supporto a microsegmentazione, implementazione VPN)	Incluso	RA	CI
Vcloud – Gestione Load Balancer	Incluso	RA	CI
Consulenza su progetti evolutivi atti a migliorare la gestione e la sicurezza dell’ambiente del cliente	Incluso	RA	CI

Tabella 14: Matrice RACI Supporto Sistemistico

Si precisa che l’eventuale implementazione di Major change o di nuovi progetti non a perimetro che ridisegnino il design infrastrutturale potrà essere oggetto di successiva quotazione ad hoc.

Supporto DBA

Finestra di copertura 8 x 5

Attività	Tipologia supporto	PSN	Amministrazione
Monitoraggio disponibilità	Incluso	RA	CI
Gestione utenze e profili di database	Incluso	RA	CI
Gestione dei parametri d’istanza e di memoria	Incluso	RA	CI
Controllo periodico allocazione spazi per evitare blocchi applicativi	Incluso	RA	CI
Verifica dei log e tuning dei parametri d’istanza per il miglioramento e il mantenimento delle performance	Incluso	RA	CI
Verifica corretta schedulazione backup Nota: Richiede sottoscrizione Managed Backup Service	Incluso	RA	CI
Ricostruzione oggetti deframmentati (tabelle ed indici)	Incluso	RA	CI
Monitorare la crescita anomala di oggetti di database	Incluso	RA	CI
Segnalazione dell’esigenza dell’applicazione di patch o upgrade di release (da comunicare ai fornitori applicativi)	Incluso	RA	CI
Applicazione delle patch	Incluso	RA	CI
Upgrade di release	Incluso	RA	CI
Interventi di natura applicativa	Escluso	CI	RA

Tabella 15: Matrice RACI Supporto DBA

6 FIGURE PROFESSIONALI

PSN rende disponibili risorse professionali in grado di poter supportare l’Amministrazione nelle diverse fasi del progetto, a partire dalla definizione della metodologia di migrazione (re-architect, re-platform), proseguendo nella fase di riavvio degli applicativi, regression test e terminando nel supporto all’esercizio.

Per ogni progetto viene individuato il mix di figure professionali necessarie, tra quelle messe a disposizione del PSN, che effettuerà le attività richieste. Si rimanda al par. 8 Configuratore per il dettaglio dell'effettivo impegno delle risorse professionali previste per tale progetto. Il team reso disponibile per questo progetto è composto dalle seguenti figure professionali, i cui profili sono di seguito descritti:

● Project Manager: definisce e gestisce i progetti, adottando e promuovendo metodologie agili; è responsabile del raggiungimento dei risultati, conformi agli standard di qualità, sicurezza e sostenibilità, in coerenza con gli obiettivi, le performance, i costi ed i tempi definiti.

● Enterprise Architect: ha elevate conoscenze su differenti aree tecnologiche che gli permettono di progettare architetture enterprise, sviluppando modelli basati su Enterprise Framework; è responsabile di definire la strategia abilitante per l’evoluzione dell’architettura, mettendo in relazione la missione di business, i processi e l’infrastruttura necessaria.

● Cloud Application Architect: ha conoscenze approfondite ed esperienze progettuali nella definizione di architetture complesse e di Ingegneria del Software dei sistemi Cloud ed agisce come team leader degli sviluppatori ed esperti tecnici; è responsabile della progettazione dell’architettura di soluzione applicative di cloud computing, assicurando che le procedure e i modelli di sviluppo siano aggiornati e conformi agli standard e alle linee guida applicabili

● Cloud Application Specialist: ha consolidate conoscenze tecnologiche delle soluzioni cloud e dell’integrazione di soluzioni applicative basate su un approccio cloud computing based; è responsabile della delivery di progetti basate su soluzioni Cloud.

● Database Specialist and Administrator: È responsabile dell'installazione, dell'aggiornamento, della migrazione e della manutenzione del DBMS; si occupa di strutturare e regolamentare l’accesso ai DB, monitorarne l’utilizzo, ottimizzarne le prestazioni e progettare strategie di backup

● System and Network Administrator: ha competenze sui sistemi operativi, framework di containerizzazione, tecnologie di virtualizzazione, orchestratori e sistemi di configuration e versioning; è responsabile della implementazione di sistemi di virtualizzazione, di container utilizzando anche sistemi di orchestrazione e della manutenzione, della configurazione e del funzionamento dei sistemi informatici di base.

● System Architect: ha consolidata esperienza in technical/service management e project management, analizza i sistemi esistenti e definisce come devono essere coerentemente integrate le nuove soluzioni; è responsabile della progettazione della soluzione infrastrutturale e del coordinamento di specifici stream di progetto

● Security Principal: Definisce, implementa e gestisce progetti dal concepimento iniziale alla consegna finale. Responsabile dell’ottenimento di risultati ottimali, conformi agli standard di qualità, sicurezza e sostenibilità nonché coerenti con gli obiettivi, le performance, i costi ed i tempi definiti.

● Senior Information Security Consultant: Presidia l’attuazione della strategia definita all’interno del suo ambito di responsabilità (sia questo un progetto, un processo, una location) coordinando attivamente le eventuali figure operative a lui assegnate per tale scopo, rappresentando il naturale raccordo tra la struttura di governance della cyber security e il resto del personale operativo. Controlla il rispetto alle regole definite e del cogente in materia di sicurezza delle informazioni.

Pianifica ed attua misure di sicurezza per proteggere le reti e i sistemi informatici di un'organizzazione.

● Junior Information Security Consultant: Garantisce l’esecuzione delle misure di sicurezza per proteggere le reti ed i sistemi informatici. Attua le regole definite in materia di sicurezza delle informazioni.

● Senior Security Auditor/Analyst: Garantisce la conformità con le procedure di controllo interno stabilite esaminando i registri, i rapporti, le pratiche operative e la documentazione. Gestisce l’esame periodico della sicurezza di sistemi, reti e applicazioni evidenziando le vulnerabilità tecniche nonché gli eventuali scostamenti rilevati rispetto e regole interne, normative esterne e best practices internazionali in materia. Completa i giornali di audit documentando test e risultati dell'audit.

● Security Solution Architect: Progetta, costruisce, esegue test e implementa i sistemi di sicurezza all'interno della rete IT di un'organizzazione. Ha l’obiettivo di anticipare tutte le potenziali mosse e tattiche che eventuali criminali possono utilizzare per cercare di ottenere l’accesso non autorizzato al sistema informatico tramite la progettazione di un'architettura di rete sicura.

● Data Protection Specialist: Figura professionale dedicata ad affiancare il titolare, gli addetti ed i responsabili del trattamento dei dati affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo.

● Junior Security Analyst: Gestisce l’esame periodico della sicurezza di sistemi, reti e applicazioni evidenziando le vulnerabilità tecniche nonché gli eventuali scostamenti rilevati rispetto e regole interne, normative esterne e best practices internazionali in materia.

● Senior Penetration Tester: Definito anche ethical hacker, tenta di penetrare in un sistema informatico allo scopo di verificarne la relativa sicurezza rispettando opportune regole concordate in fase di ingaggio.

● Junior Penetration Tester: Effettua tentativi di penetrare in un sistema informatico allo scopo di verificarne la relativa sicurezza in accordo con quanto definito le progetto di riferimento.

7 SICUREZZA

All’interno del PSN è presente una Organizzazione di Sicurezza, con elementi caratteristici di autonomia e indipendenza. Tale unità è anche preposta alle attività aziendali rilevanti per la sicurezza nazionale ed è coinvolta nelle attività di governance, in particolare riguardo ai processi decisionali afferenti ad attività strategiche e di interesse nazionale.

Le misure tecniche ed organizzative del PSN sono identificate ed implementate ai sensi delle normative vigenti elaborate a cura dell’Organizzazione di Sicurezza, in particolare con riferimento alla sicurezza e alla conformità dei sistemi informatici e delle infrastrutture delle reti, in totale allineamento e coerenza con i criteri di accreditamento AgID relativi ai PSN.

L'Amministrazione non richiede l'esecuzione delle attività finalizzate ad "identificare il livello di maturità di sicurezza informatica AS-IS" - secondo le tre dimensioni di Governance, Detection e Prevention - così come previsto nell'esecuzione della "fase di assessment della Amministrazione target e definizione della strategia di migrazione" (Cfr. Convenzione - Relazione Tecnica Illustrativa, Par. 22.6.1 - Explore - fase di Analisi/Discovery - Step 1.1 Assessment - Data Collection & Analysis). In assenza di valutazione del livello di maturità di sicurezza, il PSN non potrà "identificare potenziali lacune e impatti su Organizzazione, Processi e Tecnologia al fine di definire le opportune remediation activities".

Con la sottoscrizione del presente Progetto del Piano dei Fabbisogni, l’Amministrazione accetta tutte le policy

di sicurezza di PSN.

Le policy di sicurezza delle informazioni di PSN delimitano e regolano le aree di sicurezza applicabili ai Servizi PSN e all’uso che l’Amministrazione fa di tali Servizi. Il personale di PSN (compresi dipendenti, appaltatori e collaboratori a tempo determinato) è tenuto al rispetto delle prassi di sicurezza dei dati di PSN e di eventuali policy supplementari che regolano tale utilizzo o i servizi che forniscono a PSN.

Per i Servizi che non sono inclusi nella fornitura e per i quali l’Amministrazione autonomamente configura un comportamento di sicurezza, se non diversamente specificato, resta a carico dell’Amministrazione la responsabilità della configurazione, gestione, manutenzione e protezione dei sistemi operativi e di altri software associati a tali Servizi non forniti da PSN.

L’Amministrazione resta responsabile dell’adozione di misure appropriate per la sicurezza, la protezione e il backup dei propri Contenuti. L’Amministrazione, inoltre, è responsabile di:

● Implementare il proprio sistema integrato di procedure, standard e policy di sicurezza e operative in base ai propri requisiti aziendali e di valutazione basati sul rischio

● Gestire i controlli di sicurezza dei dispositivi client in modo che dati o file siano soggetti a verifiche per accertare la presenza di virus o malware prima di importare o caricare i dati nei Servizi PSN

● Mantenere gli account gestiti in base alle proprie policy e best practice in materia di sicurezza

● Assicurare una adeguata configurazione e monitoraggio della sicurezza di rete

assicurare il monitoraggio della sicurezza per ridurre il rischio di minacce in tempo reale e impedire l’accesso non autorizzato ai servizi PSN attivati dalle reti dell'Amministrazione, che deve includere sistemi anti- intrusione, controllo degli accessi, firewall e altri eventuali strumenti di gestione dalla stessa gestiti.

8 CONFIGURATORE

Di seguito, l’export del Configuratore contenente tutti i servizi della soluzione con la relativa sintesi economica in termini di canone annuo e UT. La durata contrattuale (prevista per un massimo di 10 anni) dei servizi contenuti nel presente progetto sarà declinata all’interno del contratto di utenza.

9 RENDICONTAZIONE

Di seguito, viene riportato un prospetto contenente la modalità di distribuzione dei servizi professionali, distinti per tipologia. I canoni dell'infrastruttura saranno attivati una volta resi disponibili i relativi servizi. La consuntivazione avverrà su base SAL mensili in linea all’effettivo effort erogato in termini di giorni/uomo delle relative figure professionali.

Il SAL bimestrale (T0 + 2 mesi = T1) previsto a seguito del collaudo per la consuntivazione dei servizi di IT Infrastructure Service Operations (setup e collaudo) è il seguente:

Figura professionale	Quantità	Tariffa giorno/persona	Totale
Project Manager	4	371,80 €	1.487,20 €
Database Specialist and Administrator	20	249,31 €	4.986,20 €
System and Network Administrator	26	297,44 €	7.733,44 €
Cloud Application Specialist	26	315,35 €	8.199,10 €
Enterprise Architect	6	415,31 €	2.491,86 €
Systems Architect	5	483,74 €	2.418,70 €
Totale			27.316,50 €

Il SAL mensile previsto per la consuntivazione dei servizi di IT Service Operations è il seguente:

Figura professionale	Quantità	Tariffa giorno/persona	Totale
Project Manager	1	371,80 €	371,80 €
Database Specialist and Administrator	5	249,31 €	1.246,55 €
System and Network Administrator	6	297,44 €	1.784,64 €
Totale			3.402,99 €

Tale SAL sarà ripetuto ogni mese per 5 anni dalla data di collaudo, eccezion fatta per il dodicesimo mese di ogni anno (per il primo anno: T1+12 mesi), che sarà rendicontato come segue:

Figura professionale	Quantità	Tariffa giorno/persona	Totale
Project Manager	1	371,80 €	371,80 €
Database Specialist and Administrator	5	249,31 €	1.246,55 €
System and Network Administrator	10	297,44 €	2.974,40 €
Totale			4.592,75 €

I Security Professional Services saranno rendicontati mensilmente come di seguito riportato.

A0P Azienda Zero Protocollo n. 2023/0004003 del 02/10/2023 (Allegato) Pagina 40 di 41

Primo anno

SAL mensile: 1.087,09 €

Anni successivi

SAL mensile: 1.036,02 €

Di seguito un prospetto relativo alla consuntivazione dei servizi professionali per i primi 14 mesi di contratto:

Servizi di Migrazione (Milestone Based) Peso		Importo	Month 1	Month 2	Month 3	Month 4	Month 5	Month 6	Month 7	Month 8	Month 9	Month 10	Month 11	Month 12	Month 13	Month 14
		€ TOT
- Setup	0%	€
- Collaudo	100%	€ 27.317		€ 27.317
Servizi professionali (canone mensile avanzamento/task)		€ TOT
- IT Infrastructure Service Operation		€ 210.128			€ 3.403	€ 3.403	€ 3.403	€ 3.403	€ 3.403	€ 3.403	€ 3.403	€ 3.403	€ 3.403	€ 3.403	€ 3.403	€ 4.593
- Security Professional Services		€ 62.774			€ 1.087	€ 1.087	€ 1.087	€ 1.087	€ 1.087	€ 1.087	€ 1.087	€ 1.087	€ 1.087	€ 1.087	€ 1.036	€ 1.036

A0P Azienda Zero Protocollo n. 2023/0004003 del 02/10/2023 (Allegato) Pagina 41 di 41

La presente copia e' conforme all'originale depositato presso gli archivi dell'Azienda ASL Citta' di Torino

22-0D-BC-48-C1-ED-80-D4-4C-F2-52-5D-49-17-27-99-63-77-F0-E3

PAdES 1 di 2 del 29/09/2023 09:32:38

Soggetto: XXXXXXXX XXXXXXXX TINIT-NNTMNL67S14H501Y

Validità certificato dal 26/10/2022 10:18:31 al 25/10/2025 10:18:31 Rilasciato da Telecom Italia Trust Technologies S.r.l. con S.N. 3AC

TimeStamp 2 di 2 del 29/09/2023 09:32:38

Soggetto: Time Stamp Server - 2

Validità certificato dal 01/01/0001 00:00:00 al 01/01/0001 00:00:00 Rilasciato da Telecom Italia Trust Technologies S.r.l. con S.N. D

La presente copia e' conforme all'originale depositato presso gli archivi dell'Azienda ASL Citta' di Torino

X0-00-00-0X-X0-0X-00-XX-0X-XX-00-0X-0X-X0-00-00-00-0X-0X-00

XXxXX 1 di 4 del 13/10/2023 12:31:52

Soggetto: Xxxxx Xxxxx PCCCRL60E17L013P

Validità certificato dal 15/07/2022 13:20:59 al 15/07/2025 02:00:00

Rilasciato da InfoCert Firma Qualificata 2, INFOCERT SPA, IT con S.N. 0174 EC46

CAdES 2 di 4 del 12/10/2023 15:51:51

Soggetto: Xxxxxxxx Xxxxxxxx GHSGLC63C13L833N

Validità certificato dal 15/07/2022 13:40:29 al 15/07/2025 02:00:00

Rilasciato da InfoCert Firma Qualificata 2, INFOCERT SPA, IT con S.N. 0174 EC90

CAdES 3 di 4 del 12/10/2023 15:48:18

Xxxxxxxx: Xxxxxxxxxx Xxxxxxxxxx MZZLSN77A22G702G

Validità certificato dal 03/05/2023 13:54:17 al 03/05/2026 02:00:00

Rilasciato da InfoCert Qualified Electronic Signature CA 3, InfoCert S.p.A., IT con S.N. 010D F350

CAdES 4 di 4 del 03/10/2023 15:31:49

Soggetto: XXXXXXXXX XXXXXXXXXXXX SCRSVT86A01D976L

Validità certificato dal 20/09/2022 10:09:36 al 20/09/2025 10:09:36

Rilasciato da ArubaPEC EU Qualified Certificates CA G1, ArubaPEC S.p.A., IT con S.N. 77DE 32CB EE

Document Metadata

Table of Contents

F9-48-30-26-BB-E3-D2-B1-EF-A9-DA-F4-61-51-87-7B-73-C3-50-DA

Document Metadata