CAPITOLATO TECNICO
CAPITOLATO TECNICO
Procedura per l’affidamento dei servizi di assistenza, manutenzione ordinaria ed evolutiva del software di gestione contabile di Fondimpresa
SOMMARIO
1.1 Servizio di Aggiornamento Programmi 2
1.2 Servizio di Assistenza Hot-Line 2
1.4 Servizio di Manutenzione Evolutiva (MEV) 3
1.5 Manutenzione Correttiva (MAC) 7
1.7 Garanzia Sviluppi Software 8
2 Garanzie di continuità dei servizi 8
2.3 Affiancamento a fine contratto 8
3 Documentazione di progetto e d’utente 9
3.2 Piano di test e di collaudo 10
4 Sicurezza delle informazioni 11
5 Protezione dei dati personali 12
8.1 Servizi di Aggiornamento Programmi 14
8.2 Servizio di Assistenza Hot-Line 15
8.4 Servizio di Manutenzione Evolutiva (MEV) 16
8.5 Attività di Xxxxxxxxxxxx Xxxxxxxxxx (MAC) 16
1 OGGETTO DEL CAPITOLATO
Il presente Capitolato Tecnico si articola in varie attività, garanzie e servizi, di seguito descritti, che dovranno essere svolti dall’Affidatario a partire dall’avvio dell’esecuzione del contratto.
Fondimpresa dispone, a supporto della propria attività gestionale ordinaria, di un Sistema Informativo, composto da diverse componenti integrate. La gestione contabile, amministrativa e finanziaria, è basata sulla soluzione applicativa Ad Hoc Enterprise di Zucchetti, on premise. In tale ambito si prevede l’affidamento dei seguenti servizi e attività:
• Servizio Aggiornamento Programmi
• Servizio di Assistenza Hot-Line
• Servizio di Formazione
• Servizio di Manutenzione Evolutiva (MEV)
• Attività di Manutenzione Correttiva (MAC)
1.1 SERVIZIO DI AGGIORNAMENTO PROGRAMMI
Il servizio (a canone mensile) dovrà essere svolto nel rispetto dei livelli di servizio previsti dal presente capitolato (cfr. par. 9) e prevede:
• gli aggiornamenti relativi ad eventuali nuove versioni del software Ad Hoc Enterprise;
• l’eliminazione di eventuali bug, difetti e/o malfunzionamenti riscontrati nel software Ad Hoc Enterprise (non relativi alle personalizzazioni di prodotto);
• gli aggiornamenti di sicurezza;
• l’adeguamento del software a eventuali mutamenti di norme legislativo-fiscali e/o interpretazioni giuridiche (non relativi alle personalizzazioni di prodotto).
I moduli Ad Hoc Enterprise, per i quali dovrà essere previsto il presente servizio, sono:
o contabilità generale e tesoreria,
o remote banking,
o schedulatore di job,
o contabilità analitica,
o budget analitica,
o cespiti ammortizzabili,
o ritenute d'acconto,
o telematico base
Gli utenti totali in rete sono n. 10.
1.2 SERVIZIO DI ASSISTENZA HOT-LINE
Il servizio (a canone mensile) dovrà essere svolto nel rispetto dei livelli di servizio previsti dal presente capitolato (cfr. par. 9) e prevede lo svolgimento delle seguenti attività.
• Supporto, per via telefonica ed e-mail, al personale Fondimpresa, durante gli
orari d’ufficio (09:00-18:00, da lunedì a venerdì), per quanto concerne
l’utilizzo dell’applicativo e delle personalizzazioni. Le richieste di assistenza dovranno essere tracciate e dovranno poter essere consultabili anche da Fondimpresa.
• Supporto tecnico inerente alla gestione delle componenti client e server di Ad Hoc Enterprise.
• Consulenza applicativa, finalizzata alla strutturazione di funzioni gestionali, per mezzo delle funzioni applicative.
• Operazioni di diagnostica per mezzo di collegamento remoto, nel rispetto delle policy di sicurezza di Fondimpresa.
I moduli Ad Hoc Enterprise, per i quali dovrà essere previsto il presente servizio, sono:
o contabilità generale e tesoreria,
o remote banking,
o schedulatore di job,
o contabilità analitica,
o budget analitica,
o cespiti ammortizzabili,
o ritenute d'acconto,
o telematico base.
Gli utenti totali in rete sono n. 10.
1.3 SERVIZIO DI FORMAZIONE
Le attività di formazione del personale, relativamente all’uso delle funzioni applicative, avranno luogo a richiesta, con fatturazione a consumo, per far fronte a specifiche necessità di Fondimpresa o in corrispondenza della messa in produzione di nuove funzioni applicative. A ogni richiesta di Xxxxxxxxxxx, l’affidatario dovrà produrre una progettazione esecutiva nei termini concordati, che conterrà almeno la definizione dei contenuti, delle modalità di erogazione e della durata dell’intervento formativo richiesto (tale documento sarà utilizzato anche come base per il calcolo degli SLA – Cfr. par. 9).
1.4 SERVIZIO DI MANUTENZIONE EVOLUTIVA (MEV)
Il servizio MEV prevede interventi a richiesta, con una metrica giorni uomo, finalizzati alla:
• realizzazione e manutenzione di personalizzazioni applicative dei moduli Ad Hoc Enterprise installati;
• realizzazione e manutenzione di funzioni verticali specifiche in Ad Hoc Enterprise;
• realizzazione e manutenzione di componenti software dedicate all’integrazione di Ad Hoc Enterprise con sistemi complementari esterni, in particolare con FPF di Fondimpresa;
• manutenzione (trasferimento) delle personalizzazioni in uso sulle nuove versioni di Ad Hoc Enterprise (rilasciate da Zucchetti SPA periodicamente in formato standard);
Le MEV devono essere articolate in: analisi, progettazione, implementazione, testing e deployment. Componenti essenziali dello sviluppo sono, inoltre, la formazione del personale e la redazione della documentazione tecnica e della manualistica utente, se richiesto da Fondimpresa.
Per la realizzazione dei servizi, l’Affidatario deve utilizzare un proprio ambiente di sviluppo e di testing. L’Affidatario deve predisporre un processo di sviluppo che deve contemplare tutte le attività previste nel ciclo di vita del software, conformemente a quanto previsto dalla norma ISO/IEC 25010 Information Technology – Software Life Cycle Processes.
Tale processo, pertanto, deve includere le attività descritte nella successiva tabella. Queste possono sovrapporsi, essere applicate in modo iterativo o in modo differente a seconda del software sviluppato, e non devono necessariamente essere eseguite nell'ordine in cui sono presentate. Nella seconda colonna della tabella viene fornita una descrizione di massima degli obiettivi che deve avere la corrispondente attività. Le effettive modalità di realizzazione della stessa possono, ovviamente, essere scelte dall’Affidatario in base al proprio know-how e alle proprie metodologie di lavoro, ai tool di condivisione degli stati di avanzamento e relativi esiti messi a disposizione del Direttore dell’Esecuzione del Contratto (di seguito DEC) o suoi incaricati, purché venga garantita l'esecuzione di tutte le attività di interesse di Fondimpresa e il raggiungimento degli obiettivi indicati.
Attività | Descrizione |
Organizzazione, pianificazione e supervisione del progetto | L’Affidatario deve eseguire attività di pianificazione e supervisione per: • sviluppo software, • test funzionale e di integrazione, • system test, • installazione del software. |
Predisposizione dell’ambiente di sviluppo | L’Affidatario deve mettere a disposizione e predisporre gli ambienti necessari per lo sviluppo e la manutenzione dei prodotti software, garantendone l'adeguatezza, la funzionalità e l'affidabilità necessarie allo scopo riguardo a: • software engineering, • software test, • gestione della configurazione. |
Analisi dei requisiti del sistema | L’Affidatario deve eseguire l'analisi dei requisiti del sistema (impliciti ed espliciti, cfr. UNI EN ISO 9000:2015) in conformità con le procedure e le metodologie del proprio Piano di qualità. Le attività di progettazione ed esecuzione del Testing devono essere svolte da soggetti diversi da quelli che hanno effettuato l’analisi e lo sviluppo del software. Deve essere garantita la tracciabilità dei requisiti e la piena visibilità degli impatti che eventuali modifiche ai requisiti possono comportare allo sviluppo del sistema. In questa fase deve essere prodotto un documento di stima della dimensione in gg/uomo dell’effort e dei tempi di realizzazione formalmente accettati da Fondimpresa (tale documento sarà utilizzato anche come base per il calcolo degli SLA – Cfr. par. 9). |
Progettazione del sistema | L’Affidatario deve eseguire la progettazione del sistema in conformità con le procedure e le metodologie del proprio Piano di qualità. |
Realizzazione e Unit Test del software | L’Affidatario deve eseguire test specifici su ogni unità di software realizzata. In base ai risultati dei test, l’Affidatario deve effettuare tutte le necessarie modifiche al software e rieseguire tutti i test necessari. |
Test funzionali e di integrazione | L’Affidatario deve predisporre opportuni casi di test (in termini di input, risultati attesi e criteri di valutazione), procedure e dati per l'effettuazione di test funzionali e di integrazione. I casi di test devono coprire tutti gli aspetti funzionali e qualitativi considerati nella progettazione del software. L’Affidatario deve eseguire i test funzionali e di integrazione in modo conforme a quanto stabilito dai casi di test e dalle relative procedure. L’Affidatario deve effettuare le modifiche al software e rieseguire tutti i test necessari in base ai risultati del test. L’Affidatario deve registrare e analizzare i risultati dei test e le anomalie eventualmente riscontrate. |
Test di sistema (collaudo) | Per la pianificazione ed esecuzione del collaudo l’Affidatario deve conformarsi a quanto indicato nella Procedura di collaudo (cfr. par. 7 e 8). |
Installazione software | L’Affidatario deve preparare il software eseguibile, inclusi i file batch, di comandi, di dati, e ogni altro oggetto necessario per installare e far funzionare il sistema nell'ambiente operativo previsto. L’Affidatario deve identificare e registrare la versione esatta del software predisposto per ogni ambiente operativo. Deve inoltre predisporre documentazione tecnica, manuali utente e operativi. L’Affidatario deve installare e controllare il software eseguibile sulle macchine destinatarie secondo quanto concordato caso per caso con Xxxxxxxxxxx, interfacciandosi e fornendo supporto ai servizi di gestione operativa sia condotti dall’Affidatario stesso sia da altri Fornitori. |
Gestione della manutenzione software | L’Affidatario deve predisporre e implementare procedure per individuare i livelli di controllo per ciascuna entità in configurazione (ad esempio controllo dell'autore, del capo progetto, del cliente); le persone o i gruppi con l'autorità per autorizzare ed effettuare modifiche a ogni livello; i passi da seguire per richiedere l'autorizzazione per modifiche, elaborare richieste di modifica, tracciare e distribuire le modifiche e mantenere le precedenti versioni del software. Devono essere mantenute registrazioni dello stato della configurazione di tutte le entità poste sotto controllo, per tutta la durata del contratto, e devono contenere, a seconda dei casi, la versione corrente di ogni entità, informazioni su tutte le modifiche che hanno subìto da quando sono state inserite sotto controllo di configurazione e lo stato in cui si trovano. |
Assicurazione sulla qualità del software | L’Affidatario deve effettuare, in modo continuativo, verifiche sulle attività di sviluppo software e sui prodotti risultanti da queste, al fine di: |
• assicurare che ogni attività sia stata eseguita in conformità con il contratto e con le procedure previste nel Piano della qualità; • assicurare che ogni prodotto software sia stato sottoposto a verifiche, test e azioni correttive necessarie. L’Affidatario deve effettuare registrazioni di tutte le attività di assicurazione qualità svolte e deve conservarle per tutta la durata del contratto. | |
Azioni | L’Affidatario deve produrre un rapporto di rilevazione anomalia |
correttive | ogni qualvolta siano rilevati problemi concernenti i prodotti |
software e le loro componenti poste sotto controllo di | |
configurazione, e svolgere le attività richieste da Fondimpresa. | |
Tali rapporti devono descrivere il problema, le azioni correttive | |
richieste e quelle svolte alla data. |
Per la realizzazione del presente servizio l’Affidatario dovrà garantire l’impiego di figure professionali adeguate in termini di competenze e numerosità per la realizzazione delle attività progettuali. Ai fini della valutazione nell’offerta del costo medio per gg/uomo per le attività oggetto della procedura deve essere utilizzato il mix di professionalità indicato nei range indicati nella seguente tabella (il totale deve sempre fare 100):
Figura Professionale | Percentuale |
Capo Progetto | 5-15% |
Consulente/Analista Senior/Sistemista Specialista | 30-45% |
Programmatore/Tester Senior | 35-65% |
Totale | 100% |
L'accettazione dei prodotti da parte di Fondimpresa avverrà al positivo completamento dell'esecuzione delle attività di collaudo per la cui esecuzione l’Affidatario si deve conformare a quanto previsto nella Procedura di collaudo.
Il DEC invierà all’affidatario una e-mail e/o un documento di richiesta di
manutenzione che descriva i requisiti d’utente.
A ogni richiesta di supporto l’Affidatario dovrà produrre un documento descrittivo, anche sotto forma di e-mail previo assenso del DEC, che contenga l'analisi dei requisiti, sia relativamente ai processi sia relativamente alle modalità con cui tali processi risulteranno visibili agli utenti finali, la pianificazione delle attività del lotto funzionale e la stima dell’impegno (in multipli di mezza giornata uomo) e dei tempi di realizzazione. Fondimpresa dovrà esplicitamente accettare tale pianificazione, anche via e-mail, e gli impegni/tempi concordati faranno fede ai fini delle previsioni contrattuali (SLA – cfr. par. 9)
Il livello di completezza richiesto deve essere tale da:
• consentire l'approvazione delle funzionalità da parte del DEC di Fondimpresa e consentire la produzione del Piano di test senza necessità di ulteriori approfondimenti;
• consentire la verifica della stima dell’impegno relativo al software da sviluppare e/o da modificare;
• valutare la compatibilità della programmazione temporale proposta con le esigenze del Fondo.
Dopo aver ricevuto l’autorizzazione a procedere da parte di Xxxxxxxxxxx, l’Affidatario procederà all’eventuale pianificazione di dettaglio e alla realizzazione dell’attività in raccordo con il DEC. In caso di mancata autorizzazione a procedere da parte di Fondimpresa, nulla sarà dovuto all’Affidatario per le attività svolte. Si precisa che nel processo di sviluppo le attività di testing (definizione dei casi di test e verifiche di funzionamento) sono interamente a carico dell’Affidatario.
Dopo il positivo svolgimento delle attività di testing da parte dell’Affidatario, le attività di sviluppo evolutivo e correttivo saranno sottoposte a puntuale collaudo di accettazione coerentemente con le normali procedure di qualità di Fondimpresa e solo successivamente rilasciate in produzione.
Le risorse umane dovranno essere adeguate in termini di competenze ed esperienza e conformi ai mix di professionalità di cui sopra, e le attività saranno rendicontabili in pacchetti di ½ giornata/uomo e suoi multipli.
1.5 MANUTENZIONE CORRETTIVA (MAC)
L’Affidatario è tenuto a garantire, in garanzia di legge, un’attività di Manutenzione Correttiva (MAC) del Sistema di gestione contabile basato sul software Ad Hoc di Zucchetti e in generale di tutti i servizi oggetto dell’appalto, senza pertanto alcun onere per il committente. Tale attività di MAC si applica alle personalizzazioni del software applicativo realizzate o modificate nell’ambito del servizio MEV del presente affidamento (la manutenzione correttiva delle funzioni standard è inclusa nel servizio Aggiornamento Programmi, precedente punto 1.1) senza che ciò comporti alcuna variazione nel corrispettivo economico riconosciuto all’Affidatario, che si considera invariabile e omnicomprensivo. Tale attività di MAC comprende le attività necessarie per la diagnosi e la rimozione delle cause e degli effetti dei difetti delle procedure e dei programmi, realizzati o modificati nell’ambito del servizio MEV del presente affidamento, che impediscono o che potrebbero impedire la normale operatività dei servizi erogati, comprese le attività necessarie per il ripristino dei livelli minimi di operatività, anche attraverso il ricorso a soluzioni temporanee. Per “difetto” si intende un errore presente nel software, latente finché non rilevato, in quanto dà luogo a un malfunzionamento
1.6 SVILUPPO SICURO
Nell’ambito delle metodologie operative di sviluppo sicuro (a livello sia architetturale sia di codice sviluppato), l’affidatario dovrà fare riferimento sia ai principi di privacy by design/by default sia ai principi di security by design/by default e alle norme e alle best practice di riferimento che regolano gli aspetti di sicurezza, in termini di riservatezza, integrità e disponibilità dei dati, in particolare:
1. ISO/IEC 27001,
2. Linee guida OWASP,
3. GDPR,
4. Linee guida AGID,
5. NIST (Secure Software Development Framework).
1.7 GARANZIA SVILUPPI SOFTWARE
Tutto il software oggetto di sviluppi o modifiche nell’ambito del servizio di sviluppo (MEV) deve essere consegnato a Fondimpresa in formato sorgente e si intende di piena proprietà del Fondo, oltre che coperto da garanzia per l’intera durata contrattuale e per almeno i 12 mesi successivi alla fine del contratto, a far data dal collaudo positivo con accettazione da parte del DEC di Fondimpresa. Le attività di MAC, come specificato nel paragrafo 1.5, svolte in periodo di validità della garanzia, sono da intendersi a totale carico dell’Affidatario, compresi gli interventi di aggiornamento e di allineamento della documentazione e delle componenti a corredo impattate dall’intervento.
2 GARANZIE DI CONTINUITÀ DEI SERVIZI
2.1 GESTIONE SORGENTI
L’Affidatario dovrà garantire la disponibilità della gestione sorgenti di Ad Hoc Enterprise (tramite CODEPAINTER) e di eventuali altre tecnologie impiegate, per tutta la durata del contratto. Tutti gli sviluppi software e le personalizzazioni applicative realizzate nell’ambito del contratto sono di proprietà di Fondimpresa. I sorgenti dovranno sempre essere disponibili per Fondimpresa in ogni fase dell’affidamento.
2.2 SUBENTRO
Il subentro consiste nella presa in carico, da parte dell’Affidatario, dei servizi previsti dal presente capitolato. Le attività di subentro devono decorrere dall’avvio della esecuzione del contratto.
Per l’avvio e la presa in carico dei servizi sono previsti tempi di analisi della situazione corrente. Inoltre, nei limiti delle informazioni in possesso, Fondimpresa renderà disponibile il personale interno al fine di agevolare l’Affidatario nell’acquisizione delle informazioni tecniche e operative necessarie per la conduzione dei servizi.
È a carico dell’Affidatario entrante la conduzione della procedura Xxxxxxxxx SPA di cambio partner, necessaria per l’acquisizione del controllo della licenza Ad Hoc Enterprise.
2.3 AFFIANCAMENTO A FINE CONTRATTO
Alla fine del contratto o alla eventuale risoluzione anticipata dello stesso per qualsiasi motivo, l’Affidatario dovrà garantire, per il subentro del nuovo fornitore, un periodo di affiancamento per una durata massima di due mesi.
L’affiancamento per subentro consiste nell’affiancamento al nuovo fornitore per la presa in carico di tutti i servizi di cui del presente capitolato.
L’Affidatario dovrà assicurare, per il periodo di affiancamento a fine contratto, il pieno supporto necessario a garantire il regolare funzionamento dei servizi, affiancando con proprio personale le risorse professionali del nuovo fornitore,
garantendo l’acquisizione delle informazioni tecniche e operative necessarie per
realizzare compiutamente il subentro nella conduzione dei servizi.
Tale periodo di affiancamento sarà organizzato secondo modalità da concordare e potrà prevedere incontri tecnici, sessioni di lavoro congiunto, presentazioni e redazione di documentazione.
3 DOCUMENTAZIONE DI PROGETTO E D’UTENTE
Il servizio MEV deve prevedere una documentazione di progetto che comprenda l’analisi, il progetto, l’implementazione e il deployment. Tale documentazione dovrà essere prodotta utilizzando notazioni standard e dovrà inoltre prevedere, per gli sviluppi evolutivi, il modello E/R della base di dati e il dizionario dei dati.
Dovrà essere fornita copia dei sorgenti relativi alle personalizzazioni e al software applicativo sviluppato.
Parte integrante dell’analisi, relativa agli sviluppi evolutivi, è la definizione della
documentazione da produrre, che dovrà essere costituita da:
✓ codice sorgente;
✓ manuale d’uso, eventualmente specializzato per ruolo o profilo utente/gruppo;
✓ guida all’installazione;
✓ guida alla configurazione;
✓ note di rilascio.
Xxxxxx, inoltre, essere forniti un “Piano dei test” e un “Piano di collaudo”. Tale documentazione deve essere redatta in lingua italiana e fornita anche in formato elettronico.
3.1 CODICE SORGENTE
Per codice sorgente si intende genericamente l'insieme degli oggetti software, realizzati o sottoposti a manutenzione correttiva ed evolutiva, che sono soggetti a esecuzione da parte di un compilatore (o analogo strumento di "program preparation") o di un interprete (es. "job control program", "query manager"), a titolo esemplificativo e non esaustivo quindi:
• programmi,
• tracciati e definizioni dati,
• schermi di input/output,
• pagine web,
• procedure,
• query,
• script (anche gli script relativi ai test automatizzati),
• utility di modifica/aggiornamento dati.
Fanno parte del codice sorgente le procedure di consegna e trasferimento oggetti per gli ambienti di configuration management, nonché le procedure di creazione e popolamento delle tabelle anche attraverso la migrazione dei dati dai database esistenti e i relativi job di caricamento dati (per l’intero DB e/o sue porzioni secondo criteri definiti), anche per gli ambienti di sviluppo, manutenzione, collaudo ed
esercizio. Fa parte del codice sorgente, inoltre, l'eventuale manualistica online nonché l'eventuale codice di test e collaudo. Il codice sorgente di nuova realizzazione (anche nuovo codice all'interno di programmi preesistenti) dovrà essere redatto in conformità agli standard, ove previsti, e comunque sempre secondo le indicazioni presenti nella documentazione ufficiale dei linguaggi utilizzati.
Si precisa che il software sviluppato dovrà contenere un’adeguata documentazione interna, sotto forma di commenti.
• In particolare, in ambito Ad Hoc Enterprise, gli sviluppi potranno riguardare la creazione di nuovi moduli software, la personalizzazione di moduli standard e la variazione della base dati. Nel codice sorgente standard, eventuali personalizzazioni dovranno essere marcate con un pattern fisso di ricerca, che ne consenta una rapida localizzazione.
Il codice sorgente sviluppato è di completa ed esclusiva proprietà di Fondimpresa e alla fine di ogni intervento manutentivo dovrà essere fornita copia aggiornata e completa dello stesso.
3.2 PIANO DI TEST E DI COLLAUDO
Il Piano di test è un documento che accompagna ogni lotto funzionale in tutto il ciclo di vita ed è pertanto un documento che si evolve nel tempo.
Nel Piano di test devono essere necessariamente comprese le verifiche della corretta predisposizione dell'ambiente di collaudo.
Il documento ha lo scopo di definire test specifici (tramite cui saranno sottoposti a verifica i prodotti della realizzazione, con particolare riguardo alla loro validazione rispetto ai requisiti dell'utente), nonché di documentarne la modalità di implementazione ed evidenziare i test relativi agli aspetti di secure coding e accessibilità (cfr. par. 1.6). Il piano di test potrà essere rifiutato da Fondimpresa se la copertura dei casi sarà ritenuta insufficiente e in tal caso prima di poter procedere al collaudo l’affidatario dovrà provvedere a integrare il piano di test ed eseguire i nuovi test richiesti con esito positivo.
Le attività di test dovranno essere svolte utilizzando dati di test attendibili ma non identici a quelli di produzione, qualora possibile.
L’accettazione del piano di test da parte di Xxxxxxxxxxx e il suo svolgimento con esito positivo da parte del fornitore rappresenta condizione necessaria per poter procedere al collaudo del lotto.
Il piano di collaudo, come dettagliato al relativo paragrafo (par. 8) ha lo scopo di definire i test di accettazione e le modalità di svolgimento del collaudo.
3.3 DOCUMENTAZIONE UTENTE
La documentazione utente, rivolta all'utente finale delle applicazioni, è costituita dal manuale utente (rilasciato con il codice sorgente). Il manuale utente deve fornire una descrizione generale dell'applicazione e una guida operativa all'utilizzo delle singole funzionalità utilizzabili, eventualmente personalizzata per tipologia di utente. La descrizione deve contemplare:
• la tipologia di utenza cui è destinata e le funzioni abilitate a ciascuna tipologia;
• gli eventuali flussi di dati scambiati con altri sistemi informativi o con specifiche tipologie di utenza;
• le modalità di attivazione e chiusura della "sessione di lavoro";
• la descrizione delle funzioni e della navigazione tra di esse;
• la spiegazione dettagliata dell'uso delle singole funzioni di interfaccia utente;
• la descrizione degli algoritmi di calcolo utilizzati;
• la descrizione dei contenuti degli output dell’applicazione (es. stampe).
La descrizione delle funzionalità disponibili deve essere completa dell'elenco di tutti i codici d'errore previsti, della messaggistica a essi associata e delle azioni da intraprendere a fronte di ciascuna segnalazione.
Nel caso in cui l'applicazione preveda un utilizzo diretto dei dati da parte dell'utente, dovrà essere inserita anche la descrizione dettagliata della struttura dei dati interessati.
4 SICUREZZA DELLE INFORMAZIONI
Tutte le attività oggetto del presente affidamento devono essere svolte adottando principi, metodologie e accorgimenti volti a garantire la sicurezza delle informazioni in accordo con quanto previsto dalla norma ISO/IEC 27001. Il personale del fornitore è tenuto a rispettare le Policy Fondimpresa in materia di Sicurezza delle informazioni e a predisporre una policy interna, destinata al proprio personale (dipendenti e collaboratori), la quale prescriva i comportamenti da tenere per accedere alle informazioni e ai sistemi di Fondimpresa. Le informazioni fornite da Fondimpresa e trattate, a qualsiasi titolo e su qualsiasi supporto, dal fornitore (per esempio, ambienti di sviluppo dell’affidatario) devono essere almeno logicamente separate da quelle di altri società/clienti e non devono essere accessibili da soggetti diversi dall’affidatario o subappaltatori autorizzati dal Fondo. I dispositivi che contengono informazioni fornite da Fondimpresa devono essere protetti (anche fisicamente) da perdita, distruzione, attacco di codice malevolo e accesso non autorizzato, almeno tramite le seguenti misure di sicurezza: screen saver con password, antivirus aggiornato, custodia in locale chiuso quando non presidiati, e sistemi aggiornati con le più recenti patch di sicurezza disponibili. L'avvenuta violazione di un qualsiasi dispositivo contenente informazioni fornite da Fondimpresa deve essere tempestivamente comunicata, specificando quali informazioni siano state smarrite o distrutte. Al termine dell’affidamento, tutte le informazioni di Fondimpresa trattate devono essere restituite/cancellate, salvo diversa indicazione da parte di Fondimpresa.
Il fornitore deve dotarsi di una procedura di access security a endpoint e sistemi che preveda almeno:
• password policy in linea con le best practice;
• divieto di utilizzo di account anonimi o generici;
• processo autorizzativo per l’accesso ai sistemi e di provisioning delle utenze;
• diritti di accesso differenziati sulla base dei principi di Segregation of Duty e
Need To Know.
Eventuali credenziali di accesso fornite da Fondimpresa sono nominative e non generiche, e devono essere mantenute riservate e mai condivise tra più persone.
Il fornitore dovrà utilizzare obbligatoriamente una rete privata interamente di proprietà per tutti i trasferimenti di dati o, comunque, strumenti di protezione adeguati anche nel caso di utilizzo di altre reti tramite apparati mobili (a titolo esemplificativo ma non esaustivo in caso di smart working).
Il fornitore deve garantire la presenza di accordi contrattuali, con i propri dipendenti e le terze parti eventualmente coinvolte, che stabiliscano le responsabilità per la sicurezza e di effettuare - sul personale e le terze parti interessate - attività di formazione in materia di sicurezza delle informazioni e protezione dei dati personali.
Il fornitore dovrà altresì adottare un processo per garantire la sicurezza delle informazioni anche in caso di cambio mansione, licenziamento o dimissioni del personale coinvolto.
5 PROTEZIONE DEI DATI PERSONALI
Le attività di analisi, progettazione e realizzazione dovranno essere svolte conformemente al Regolamento (UE) 2016/679, alla normativa nazionale applicabile, ai provvedimenti del Garante per la Protezione dei dati personali e dell’European Data Protection Board, nonché a eventuali ulteriori disposizioni nazionali o internazionali che dovessero essere emanate sul tema della protezione dei dati. Dovranno, tra l’altro, rispettare i principi della Privacy by design e Privacy by default di cui all’art. 25 del citato Regolamento.
Pertanto, ogni attività condotta dovrà tenere in considerazione e documentare gli impatti in termini di protezione dei dati personali, nonché le contromisure adottate per garantirne la sicurezza, in applicazione dei principi previsti all’art. 5, all’art. 25 e delle indicazioni in materia di sicurezza di cui all’art. 32.
6 PIANO DELLA QUALITÀ
Come parte integrante dell’offerta tecnica l’Affidatario deve presentare il "Piano della qualità" da esso adottato che comprenda ognuno dei servizi e delle attività oggetto del presente Capitolato, con particolare riferimento all’organizzazione del processo e del lavoro.
Nella redazione del Piano della Qualità Generale l’Affidatario terrà come guida lo
schema di riferimento di seguito descritto.
a) Scopo e campo di applicazione. Si chiede di indicare:
• la finalità del documento;
• il campo di applicazione (comprese le limitazioni, cioè i casi in cui questo piano non verrà applicato);
• l'organizzazione del documento e gli eventuali allegati.
b) Documenti applicabili e di riferimento.
i. Documenti applicabili.
Si chiede di indicare le procedure adottate per l’esecuzione del contratto, da
utilizzare ad esempio per:
• tenuta sotto controllo dei documenti,
• tenuta sotto controllo delle registrazioni della qualità,
• azioni correttive,
• azioni preventive,
• audit.
ii. Documenti di riferimento.
Si chiede di indicare i documenti che costituiscono un riferimento per quanto esposto nel Piano della Qualità.
c) Glossario.
Si chiede di descrivere abbreviazioni, acronimi, definizioni che sono utilizzate all'interno del Piano della Qualità.
d) Organizzazione.
e) Formazione e Addestramento del personale.
f) Infrastruttura.
Si chiede di descrivere l'infrastruttura (hardware, software e strumenti) e gli ambienti di lavoro (per quanto non stabilito nella documentazione contrattuale).
g) Requisiti di qualità:
i. obiettivi e indicatori di qualità,
ii. indicatori di prestazione,
iii. valutazione della qualità,
iv. gestione del rischio.
7 MODALITÀ DI COLLAUDO
Scopo delle operazioni di collaudo è quello di accertare che le implementazioni effettuate siano conformi ai requisiti funzionali forniti da Fondimpresa (collaudo di accettazione). Fondimpresa si riserva comunque, in fase di collaudo, di verificare che i servizi erogati dal sistema, i prodotti forniti e le prestazioni erogate dall’Affidatario risultino conformi alle specifiche tecniche e ai livelli di qualità riportati nel presente Capitolato.
A seguito di ciascun collaudo, conforme a quanto indicato nel piano di collaudo, dovrà essere redatto apposito verbale, congiuntamente sottoscritto dal gruppo di collaudo e dal DEC per Fondimpresa e dal Responsabile di Progetto, per l’Affidatario, nel quale siano almeno indicate le seguenti informazioni:
• l'oggetto del collaudo;
• la tipologia di collaudo (provvisorio o definitivo);
• la data di inizio e di conclusione delle operazioni di collaudo;
• il contesto operativo in cui è stato effettuato il collaudo, con l'indicazione dell'infrastruttura HW, SW di base/di servizio, SW applicativo utilizzata;
• i prodotti, i servizi e le prestazioni esaminate;
• le procedure seguite per l'esecuzione del collaudo;
• i risultati ottenuti;
• l’esito del collaudo.
In caso di mancato collaudo positivo, il fornitore dovrà concordare con Xxxxxxxxxxx un termine inderogabile per la correzione delle anomalie e/o per l’integrazione delle funzionalità mancanti o parziali, senza alcun costo aggiuntivo; si provvederà quindi a un nuovo collaudo.
Fondimpresa potrà disporre l’effettuazione di uno più collaudi per ogni attività di sviluppo svolta, nell’ambito di tutti i servizi erogati nell’ambito dell’appalto.
Il flusso di collaudo del software realizzato è di responsabilità del DEC.
L’Affidatario dovrà garantire almeno le macro-attività elencate di seguito:
• la fornitura e la predisposizione dell'ambiente di collaudo, il supporto alle attività di collaudo con esecuzione del set di test preventivamente concordati con Fondimpresa;
• la rimozione delle anomalie fino al momento dell'accettazione;
• la migrazione dei dati per alimentare/aggiornare le basi dati
realizzate/modificate nell’ambito degli interventi di sviluppo e manutenzione;
• il rilascio, a collaudo positivo avvenuto, dei nuovi sviluppi sulla piattaforma in esercizio;
• il supporto al personale nell’ambito dell’utilizzo delle nuove funzioni.
8 LIVELLI DI SERVIZIO
Di seguito si riportano i livelli di servizio attesi (anche “SLA” – Service Level Agreement) per la valutazione quantitativa e qualitativa dei seguenti servizi e attività:
• Servizio di Aggiornamento Programmi,
• Servizio di Assistenza Hot-Line,
• Servizio di Formazione,
• Servizio di Manutenzione Evolutiva (MEV),
• Attività di Manutenzione Correttiva (MAC).
La rilevazione e la valorizzazione degli indicatori dovrà essere effettuata dall’Affidatario con la supervisione del DEC di Fondimpresa, attraverso una attività di monitoraggio dei livelli quantitativi e qualitativi dei servizi erogati dall’Affidatario.
Il fornitore dovrà realizzare e fornire a Fondimpresa uno SLA Report, relativo agli SLA applicabili e allegarlo alla fattura relativa alle attività richieste.
8.1 SERVIZI DI AGGIORNAMENTO PROGRAMMI
Per il servizio si prende in considerazione per la valutazione dei Livelli di Servizio la seguente composizione di metriche:
• tempo di rilascio aggiornamenti di sicurezza/bug (Security Update),
• tempo di rilascio aggiornamenti ordinari (Feature Update).
La tabella di seguito riassume per ognuno degli indicatori il valore di soglia per
l’accettazione.
Indicatore | Metrica | Soglia |
M_SU: tempo di rilascio aggiornamenti di sicurezza/bug (Security Update) | Giornate intercorrenti tra il rilascio di aggiornamenti di sicurezza e l’effettiva installazione | ≤ 5 giorni lavorativi |
M_FU: tempo di rilascio aggiornamenti ordinari (Feature Update) | Giornate intercorrenti tra il rilascio di aggiornamenti di feature e l’effettiva installazione | ≤ 30 giorni solari |
8.2 Servizio di Assistenza Hot-Line
Per il servizio si prende in considerazione per la valutazione dei Livelli di Servizio la seguente composizione di metriche:
• tempo di presa in carico della richiesta.
La tabella di seguito riassume per ognuno degli indicatori il valore di soglia per
l’accettazione.
Indicatore | Metrica | Soglia |
S_TPC: tempo di presa in carico della richiesta | Tempo medio di intervento dalla ricezione della richiesta di supporto e la sua presa in carico | ≤ 2 ore lavorative |
8.3 SERVIZIO DI FORMAZIONE
Per il servizio di erogazione della formazione si prende in considerazione per la valutazione dei Livelli di Servizio la seguente composizione di metriche:
• tempo di rilascio della progettazione esecutiva,
• rispetto dei tempi concordati per l’erogazione della formazione.
La tabella di seguito riportata riassume per ognuno degli indicatori il valore di soglia
per l’accettazione.
Indicatore | Metrica | Soglia |
F-TRLS: Tempo di rilascio progettazione esecutiva | Giornate intercorrenti tra la data di richiesta dell’attività e consegna della progettazione esecutiva | ≤5 giorni lavorativi dalla richiesta |
F-RTC: Rispetto tempi concordati. | Giornate intercorrenti tra la data erogazione concordata e quella effettiva | ≤3 giorni lavorativi |
8.4 SERVIZIO DI MANUTENZIONE EVOLUTIVA (MEV)
Per il servizio MEV si prende in considerazione per la valutazione dei Livelli di Servizio la seguente composizione di metriche:
• esito del collaudo,
• tempo di rilascio.
La tabella di seguito riassume per ognuno degli indicatori il valore di soglia per
l’accettazione.
Indicatore | Metrica | Soglia |
MEV_COLL: Esito Collaudo | Esito della fase di collaudo | POSITIVO |
MEV_TRLS: Tempo di rilascio | Giornate intercorrenti tra la data di fine realizzazione (o fine collaudo per il sotto- servizio di collaudo) concordata e quella effettiva | <10% del tempo di realizzazione previsto, con un minimo di 1 giorno |
8.5 ATTIVITÀ DI MANUTENZIONE CORRETTIVA (MAC)
Per l’attività di MAC si prende in considerazione per la valutazione dei Livelli di Servizio la seguente composizione di metriche:
• Tempo medio di intervento,
• Tempo medio di risoluzione per problematiche bloccanti,
• Tempo medio di risoluzione per problematiche NON bloccanti.
La tabella di seguito riassume per ognuno degli indicatori il valore di soglia per
l’accettazione.
Indicatore | Metrica | Soglia |
MAC_TMI | Tempo medio di intervento dalla ricezione della chiamata di assistenza, documentata per riscontro da parte della struttura preposta dell’Affidatario | <=4 ore lavorative |
MAC_TMRB | Tempo medio di ripristino dall'inizio dell'intervento, per i "malfunzionamenti/interventi bloccanti" | <=4 ore lavorative |
MAC_TMR | Tempo medio di ripristino dall'inizio dell'intervento, per i "malfunzionamenti/interventi non bloccanti" | <=16 ore lavorative |
Con il termine "malfunzionamenti/interventi bloccanti" si identificano tutte le eventuali anomalie e/o interventi che direttamente o indirettamente comportano il blocco o la non disponibilità di una o più "funzionalità o servizi" rispetto alle esigenze di una qualsiasi delle categorie di utenti.
Con il termine "malfunzionamenti/interventi non bloccanti" si identificano, per esclusione, tutte le eventuali anomalie e/o interventi che non rientrano nella precedente categoria.