Procedura aperta
Procedura aperta
AE1617 – Security Operation Center Capitolato Tecnico
InfoCamere- PR 20160201
Indice
1 Introduzione al documento 3
1.1 Scopo e campo di applicazione del documento 3
1.2 Termini e definizioni 3
2 InfoCamere: profilo della società 4
3 Contesto di riferimento 5
3.1 Scenario operativo 5
3.1.1 Architettura di rete 5
3.1.2 La rete geografica “ICRete” 6
3.1.3 La connettività ad Internet 6
3.1.4 Le reti interne di InfoCamere 7
3.1.5 Il data center 7
3.1.6 I sistemi di sicurezza 7
3.1.7 Processo di Change management 7
3.2 Requisiti normativi 8
4 Definizione dell’appalto 9
4.1 Oggetto 9
4.2 Durata dell’appalto 9
4.3 Volumi / Quantità 9
4.4 Luogo di esecuzione 9
5 Descrizione del Servizio / Specifiche Tecniche della fornitura 10
5.1 Requisiti caratterizzanti il servizio 10
5.2 Requisiti delle componenti “SOC” 10
5.2.1 Sistema di raccolta ed elaborazione 10
5.2.2 Servizio di sorveglianza e notifica 12
5.3 Requisiti dei servizi accessori 13
5.3.1 Consulenza specializzata 14
5.3.2 Servizi di Early Warning 14
5.3.3 Servizi di Formazione 14
6 Modalità di esecuzione 16
7 Sicurezza delle informazioni e Privacy 17
7.1 Elementi generali di Xxxxxxxxx e Privacy 17
7.2 Elementi tecnologici di Sicurezza 18
8 Verifica di conformità/collaudo 19
9 Service Level Agreement (SLA) 20
10 Adempimenti al termine del Contratto 21
1 Introduzione al documento
Il presente Capitolato ha l’obiettivo di descrivere le esigenze specifiche e il contesto in cui si colloca la richiesta del servizio denominato “Security Operation Center”.
Per il dettaglio sulle condizioni generali e gli aspetti contrattuali, atti a disciplinare il rapporto con l’Appaltatore, vale quanto specificato nel Disciplinare di gara e nello Schema di contratto.
1.1 Scopo e campo di applicazione del documento
Infocamere intende aumentare le proprie capacità di identificazione e contrasto degli attacchi informatici, acquisendo un servizio di monitoraggio ed alerting che opererà in modo integrato con le risorse interne preposte alle azioni di contenimento e alle contromisure correttive.
Il presente documento ha l’obiettivo di:
• descrivere le specifiche tecniche dei servizi oggetto di appalto, ovvero dei servizi di Security Operation Center di tipo “Real Time” (raccolta ed elaborazione, sorveglianza e notifica) e “Consulenziali” (consulenza specializzata, formazione, Early Warning).
1.2 Termini e definizioni
Termine | Descrizione |
CCIAA | Camera di Commercio, Industria, Artigianato e Agricoltura. |
ICRete | La rete proprietaria che interconnette le sedi InfoCamere, le sedi delle consociate e quelle di tutte le CCIAA italiane; basata su due backbone distinti in tecnologia MPLS. |
IC | InfoCamere |
CWE | Common Weakness Enumeration: database che raccoglie e cataloga le informazioni relative alle debolezze che possono essere introdotte nel software da una non corretta scrittura del codice. |
CVE | Common Vulnerabilities and Exposures: database che raccoglie e cataloga le informazioni relative alle vulnerabilità presenti nei prodotti software , stabilendo uno standard di riferimento internazionale (xxxxx://xxx.xxxxx.xxx/) |
2 InfoCamere: profilo della società
InfoCamere, il braccio tecnologico delle Camere di Commercio italiane, è la struttura di eccellenza per la gestione del patrimonio informativo e dei servizi del sistema camerale.
Progettando e sviluppando le soluzioni informatiche più innovative e aggiornate, collega tra loro quotidianamente le Camere di Commercio, mettendole in rete con tutti gli attori del sistema produttivo italiano: imprese, cittadini, Pubblica Amministrazione, Associazioni di Categoria, Ordini professionali, Operatori dell'informazione economica.
InfoCamere gestisce infatti la rete telematica ad alta velocità ed elevato standard di sicurezza che collega tra loro i nodi nevralgici del sistema camerale, supportandolo, grazie alla completa dematerializzazione di pratiche e documenti, nella gestione delle complesse procedure amministrative legate alla vita delle imprese e mettendo le sue banche dati a disposizione di tutti, in modo rapido e semplice.
Una delle realizzazioni più significative di InfoCamere per le Camere di Commercio è il Registro Imprese telematico, anagrafe economica e strumento di pubblicità legale delle aziende, istituito fin dall'origine, nel 1993, come registro informatico: caratteristica che lo ha reso una novità assoluta in campo europeo.
Ai servizi tradizionalmente offerti dalle Camere di Commercio se ne sono affiancati altri che vedono il Sistema Camerale ed InfoCamere ricoprire il ruolo di snodo per l'erogazione di servizi da e verso la Pubblica Amministrazione e conseguentemente per la gestione di flussi di pagamento correlati ai servizi erogati.
In questo contesto, InfoCamere ha sviluppato i propri servizi di pagamento on-line (IConto) ed ha costituito un proprio Istituto di Pagamento, avendo ottenuto da Banca d'Italia l'iscrizione nell'apposito Albo e la conseguente autorizzazione ad erogare i servizi previsti dalla vigente normativa.
L'attività della società spazia dunque dalla gestione del patrimonio informativo delle Camere (grazie soprattutto al portale xxxxxxxxxxxxxxx.xx che è il vero e proprio motore di ricerca nel settore dell'economia nazionale), all'informatizzazione e semplificazione dei servizi che le stesse Camere mettono a disposizione delle imprese soprattutto nel loro rapporto con la Pubblica Amministrazione (ad esempio tramite il software ComUnica, la gestione del portale xxxxxxxxxxxxxxxxx.xxx.xx e delle pratiche legate al SUAP), al rilascio di certificati digitali delle Carte Tachigrafiche in qualità di Autorità di Certificazione Nazionale, allo sviluppo di servizi informatici necessari alle attività di back office delle Camere di Commercio, alla conservazione di documenti informatici. InfoCamere, dunque, supporta le Camere nella loro missione di curare gli interessi generali delle imprese, promuovendone la competitività.
Certificazioni di Qualità e Sicurezza
InfoCamere progetta, sviluppa ed eroga servizi informatici secondo gli standard ISO 9001, avendo inizialmente conseguito la certificazione nel 1997 (Norma ISO 9001:1994), poi adeguata agli standard Vision 2000 (Norma ISO 9001:2000) ed infine estesa, nel marzo 2009, alla nuova versione ISO 9001:2008.
La società si è dotata di un Sistema di Gestione della Sicurezza delle Informazioni certificato secondo lo standard ISO/IEC 27001, avendo conseguito nel 2012 la prima certificazione di conformità ISO/IEC 27001:2005 e a marzo 2015 la ricertificazione secondo la nuova versione ISO/IEC 27001: 2013.
Ha definito il proprio modello organizzativo sulla responsabilità amministrativa (D.Lgs.231/01) ed il relativo Codice Etico. Si è dotata di un sistema volontario di gestione della salute e sicurezza sul lavoro (secondo le Linee Guida UNI-INAIL) come previsto dall'art.30 del D.Lgs. 81/2008.
Le principali informazioni relative ad InfoCamere sono disponibili sul sito xxx.xxxxxxxxxx.xx.
3 Contesto di riferimento
I paragrafi che seguono forniscono informazioni sull’architettura di rete e dei sistemi di difesa di InfoCamere, per consentire di individuare le caratteristiche tecnologiche del sistema di raccolta dati che l’Appaltatore implementerà e su cui baserà le attività di monitoraggio ed analisi eventi.
Spetta al Fornitore stabilire quali strumenti intende adottare tra:
- uno o più punti di ispezione del traffico di rete
- punti di prelievo delle informazioni raccolte dai sistemi di sicurezza InfoCamere
e su questa base formulare le risposte a quesiti ed elementi migliorativi inseriti nel presente documento e nel Disciplinare di gara.
Pur se nessun punto di raccolta in se è obbligatorio, è evidente che l’erogazione del servizio implica l’attivazione di almeno un punto.
3.1 Scenario operativo
3.1.1 Architettura di rete
L’architettura di rete di InfoCamere mette in comunicazione i suoi datacenter:
- con la rete privata delle Camere di Commercio (ICrete)
- con Internet,
- con le reti interne di InfoCamere (postazioni del personale, sistemi di sviluppo, …).
La figura che segue rappresenta dal punto di vista logico le connessioni tra le diverse parti ed i punti in cui il l’Appaltatore può ipotizzare di ispezionare il traffico di rete per le operazioni di monitoraggio ed analisi oggetto del presente capitolato:
In generale, il traffico presente nei vari punti di ispezione viene estratto e ricondotto ad uno o più device di smistamento; da qui il traffico viene inoltrato verso le sonde di controllo di InfoCamere. I possibili punti di ispezione e di smistamento del traffico sono configurati e gestiti da InfoCamere. Copia del traffico (o di parte di esso) dal device di smistamento può essere inoltrata anche verso i sistemi di elaborazione dell’Appaltatore, che dovranno collegarsi alle porte dei device di smistamento di InfoCamere.
Presso la sede di Padova sono presenti due device di smistamento:
- un primo device, con interfacce a 10Gbit, raccoglie ad oggi il traffico del DataCenter e delle reti InfoCamere;
- un secondo device, con interfacce a 1 Gbit, raccoglie ad oggi il traffico Internet e di ICRete.
Presso la sede di Milano è presente, ad oggi, un device di smistamento a 1 Gbit, che raccoglie il traffico di Internet, e di ICRete. Il traffico verso il DataCenter di Milano (che ospita sia servizi di InfoCamere sia hosting/housing) al momento va direttamente alle sonde Infocamere senza essere ricondotto ad un device di smistamento.
InfoCamere si riserva in qualsiasi momento di modificare l’attuale configurazione, aumentando le caratteristiche del sistema di ispezione e smistamento, sia portando su interfaccia 10 Gbit i flussi attualmente a 1Gbit, sia introducendo a Milano un device a 10Gbit, per giungere ad una situazione speculare a quella di Padova.
Per ciascun device di smistamento cui sceglierà di connettersi, l’Appaltatore dovrà inserire in una porta del device InfoCamere un proprio dispositivo SFP+ (enhanced small form-factor pluggable) per poi collegarlo al proprio sistema di monitoraggio e raccolta.
Il dispositivo SPF+ potrà essere ad 1Gbit o a 10Gbit, in base al device prescelto e all’evoluzione che InfoCamere deciderà di dare ai propri sistemi di sonde.
3.1.2 La rete geografica “ICRete”
La rete interna di InfoCamere (ICRete) è il sistema trasmissivo utilizzato da InfoCamere e dalle CCIAA per dare esecuzione all’articolo 4 del proprio statuto costitutivo (..approntare, organizzare e gestire nell'interesse e per conto delle Camere di Commercio e con criteri di economicità gestionale, un sistema informatico nazionale, anche ai sensi dell’art. 8 della legge 29 dicembre 1993 n. 580 e dell’art. 24 del D.P.R. 7 dicembre 1995, n. 581, in grado di trattare e distribuire in tempo reale, anche a soggetti terzi, atti, documenti e informazioni che la legge dispone siano oggetto di pubblicità legale o di pubblicità notizia o che comunque scaturiscano da registri, albi, ruoli, elenchi e repertori tenuti dalle Camere di commercio …); essa costituisce la Intranet del sistema telematico delle Camere di Commercio.
L’architettura della rete è stata realizzata da InfoCamere per rispondere alla duplice esigenza di archiviazione e ricerca dei dati mediante la costituzione di un archivio centrale, adeguatamente protetto e ridondato, che consenta di effettuare in modo efficiente e tempestivo la consultazione da qualsiasi punto del territorio nazionale.
ICRete contiene oltre 10.000 tra workstation e server, distribuite nelle diverse sedi Camerali centrali e periferiche.
3.1.3 La connettività ad Internet
InfoCamere utilizza il servizio Internet per rendere disponibili alla propria utenza interna (CCIAA ed altri Enti collegati attraverso ICRete) ed esterna (Imprese, PP.AA., Enti e semplici Cittadini) una serie di servizi; in particolare InfoCamere utilizza il servizio Internet per:
• fornire alle Camere di Commercio ed alla stessa InfoCamere l’accesso ad Internet,
• esporre su Internet i servizi erogati da InfoCamere e dalle CCIAA, garantendo un accesso rapido e continuo da parte degli utenti esterni (prevalentemente italiani),
• esporre su Internet i servizi dei clienti InfoCamere ospitati in modalità Hosting ed Housing presso le sedi operative di Padova e Milano, garantendo un accesso rapido e continuo da parte degli utenti esterni (prevalentemente italiani).
Il servizio Internet utilizzato attualmente è erogato da due diversi operatori tramite i collegamenti attestati rispettivamente presso le sedi operative InfoCamere di Padova e di Milano; i servizi forniti attualmente dai due Providers hanno per InfoCamere un valore paritario, vale a dire che non ce n’è uno considerato come “principale” e l’altro considerato come “backup”, ma entrambi concorrono a garantire l’accesso da e verso Internet nel rispetto delle politiche di routing gestite autonomamente tramite il protocollo BGP; dal punto di vista architetturale InfoCamere si configura come un “Multi-homed site” dotato di un proprio Autonomous System number pubblico assegnato dal RIPE. L’architettura di rete realizzata garantisce la massima disponibilità ed affidabilità del collegamento ed un livello di prestazioni molto elevato.
Le caratteristiche fisiche dei collegamenti verso i POP dei due fornitori sono le seguenti:
• collegamento Gigabit Ethernet in fibra ottica tra la sede InfoCamere di Padova ed il POP del fornitore del servizio a Padova,
• collegamento Gigabit Ethernet in fibra ottica tra la sede InfoCamere di Milano ed il POP del fornitore del servizio a Milano.
Gli indirizzi IP pubblici assegnati ad InfoCamere appartengono 16 classi C contigue (80.82.0.0 – 80.82.15.255); gli indirizzi effettivamente in uso sono circa 1000. Il protocollo attuale è IPv4, ma sono già in corso test per IPv6. L’Appaltatore deve prevedere la gestione anche di traffico IPv6.
3.1.4 Le reti interne di InfoCamere
Sono costituite dalle reti contenenti gli ambienti di sviluppo ed i server ad uso dei dipendenti, le workstation dei dipendenti InfoCamere, le reti WiFi con accesso alla rete interna.
L’ordine di grandezza del numero di sistemi (server e workstation fisiche e virtuali) ospitati nelle reti interne di InfoCamere, è di circa un migliaio.
3.1.5 Il data center
Contiene tutti i server che erogano servizi di produzione ai clienti di InfoCamere, interni (ICRete) ed esterni (Internet, Extranet). I sistemi sono organizzati per tipologia (rete front-end, back-end, database, etc.).
Le dimensioni complessive del datacenter ad oggi sono:
Per InfoCamere Padova:
- 220 server fisici, di cui 179 server blade
- 1509 server virtuali
- 544 Virtual Desktop Per InfoCamere Milano:
- 63 server fisici, di cui 54 server blade
- 594 server virtuali.
L’attuale impianto del datacenter è destinato a modificarsi durante tutto il periodo previsto per l’erogazione dei servizi oggetto del presente Capitolato. In fase di avvio dovranno essere attivate le comunicazioni necessarie a condividere le informazioni utili all’Appaltatore per lo svolgimento del servizio stesso.
3.1.6 I sistemi di sicurezza
InfoCamere dispone di sistemi di sicurezza, quali firewall, antivirus, antiSPAM, IPS. La maggior parte delle informazioni di sicurezza (log) prodotte da questi sistemi sono raccolte in un sistema di controllo (SIEM) basato sul prodotto Splunk. Vi afferiscono in particolare i log dei sistemi Checkpoint e dell’IPS TippingPoint.
E’ facoltà del Fornitore valutare il prelievo delle informazioni raccolte dai sistemi di sicurezza InfoCamere interfacciandosi con i prodotti nativi.
Le fonti su cui InfoCamere propone il prelievo sono:
• SIEM su tecnologia Splunk
• Bilanciatore F5, con decodifica/ricodifica del traffico HTTPS
• Firewall Checkpoint, con accesso mediate API proprietarie (OPSEC)
I dati raccolti e trattati dal sistema di Sicurezza InfoCamere dipendono dalle configurazioni e modalità che InfoCamere adotta; non vi sarà alcun vincolo da parte di InfoCamere di mantenere stabile nel tempo tali modalità; InfoCamere valuterà eventuali richieste da parte dell’Appaltatore di adottare configurazioni ritenute più adeguate al monitoraggio, ma non si impegna ad adottarle.
Periodicamente InfoCamere commissiona a terzi analisi di sicurezza infrastrutturale ed applicativa. Tali servizi non sono in alcun modo parte della fornitura qui trattata. L’Appaltatore ne dovrà però tenere conto per non incorrere in falsi positivi, distinguendo, in base alla fonte, le attività di ethical hacking rispetto ad attività effettivamente dolose.
3.1.7 Processo di Change management
L’insieme del datacenter e delle reti (hardware, software, configurazioni, applicazioni e servizi erogati) è sottoposto ad un processo continuo di change.
In fase di avvio del servizio, l’Appaltatore dovrà stabilire quali informazioni relative alle operazioni di change sono necessarie alla corretta erogazione del proprio servizio e vanno quindi trasferire presso il SOC dell’Appaltatore. Spetta all’Appaltatore progettare il sistema di prelievo ed eventualmente implementare quanto servirà ad interfacciarsi con i repository di Configuration e Change management di InfoCamere (CMDB, basato sul prodotto CMDB di HP).
3.2 Requisiti normativi
Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”.
4 Definizione dell’appalto
Gli obiettivi del presente appalto sono: aumentare le capacità di InfoCamere di identificare e rispondere prontamente ad attacchi informatici rivolti alle proprie infrastrutture, dati e servizi istituzionali.
4.1 Oggetto
Oggetto del presente Capitolato è l’acquisizione dei servizi di “Security Operation center” (SOC), nelle sue componenti real-time e consulenziali, descritte in dettaglio nel seguito del presente documento.
Come componenti “real time” del Security Operation Center si intende:
• la realizzazione di un sistema di raccolta informazioni di sicurezza, elaborazione e comunicazione degli eventi significativi al SOC dell’Appaltatore;
• la sorveglianza real-time delle informazioni raccolte, al fine di individuare eventuali minacce, attacchi o anomalie di sicurezza informatica;
• la notifica ad InfoCamere degli eventi rilevanti così individuati, secondo modalità definite;
• la consultazione puntuale e storica delle informazioni notificate, attraverso strumenti di reporting e consultazione on-line.
Come componenti “consulenziali” del Security Operation Center si intende:
• l’erogazione di consulenza “on-demand” a supporto delle corretta interpretazione e gestione degli eventi rilevati;
• l’erogazione di formazione su tecnologie e strumenti, funzionali alla efficace fruizione da parte del personale InfoCamere dei servizi offerti e degli strumenti associati.
Se offerto dall’appaltatore (cfr. par. 5.3.2):
• l’erogazione di servizi di notifica (“Early warning”) per nuove minacce o vulnerabilità;
Non sono oggetto del presente capitolato attività, comunemente associate al termine “NOC”, come configurazione e gestione di sistemi di sicurezza (Firewall, IPS, Antivirus, …) o di rete (switch, router,
…). Queste attività resteranno in carico al personale InfoCamere, come pure le attività di contenimento e contrasto di un incidente, successive alla notifica di eventi anomali da parte dell’Appaltatore.
4.2 Durata dell’appalto
La durata di esercizio del servizio è fissata in 24 mesi, a cui va aggiunta la fase di startup, dedicata alla attivazione ed al collaudo del servizio. La fase di startup durerà al massimo 90 giorni.
La durata del servizio inizierà a decorrere dall’avvenuto collaudo del servizio come meglio definito al par. 8.
4.3 Volumi / Quantità
La definizione di volume o quantità si applica solo all’erogazione della consulenza specializzata di cui al par. 5.3.1, per la quale sono stabilite nel seguito le quantità massime, senza minimo garantito, che InfoCamere potrà richiedere nel periodo di durata dell’appalto.
4.4 Luogo di esecuzione
E’ richiesta la presenza di personale dell’Appaltatore presso la sede InfoCamere di Padova per:
• eventuale installazione iniziale di apparati dell’Appaltatore ed interventi manutentivi da fare in loco;
• impianto iniziale del sistema di raccolta ed elaborazione predisposto dall’Appaltatore;
• formazione iniziale;
• consulenza specializzata “on site”;
E’ richiesta la presenza di personale dell’Appaltatore presso la sede InfoCamere di Milano per:
• eventuale installazione iniziale di apparati dell’Appaltatore ed interventi manutentivi.
Tutte le altre attività di SOC, nelle sue componenti di sorveglianza e notifica eventi e consulenza specializzata “da remoto”, saranno svolte presso i locali dell’Appaltatore.
5 Descrizione del Servizio / Specifiche Tecniche della fornitura
5.1 Requisiti caratterizzanti il servizio
Le pagine successive del presente Capitolato tecnico, esplicitano l'oggetto del servizio richiesto ed un insieme di Requisiti, Elementi Migliorativi e Quesiti (indicati rispettivamente con [R.x], [EM.y] e [Q.z] con x, y e z numeri progressivi).
I “Requisiti” esprimono caratteristiche minime che devono essere obbligatoriamente rispettate dalla soluzione proposta dal concorrente.
Per “Quesiti” si intendono gli aspetti di dettaglio per i quali si richiede di fornire apposite descrizioni che identifichino le caratteristiche dei beni e/o servizi offerti. Quanto descritto concorrerà all’assegnazione del punteggio tecnico.
Per “Elementi Migliorativi” si intendono le caratteristiche addizionali dei beni e/o servizi offerti dal concorrente rispetto ai requisiti minimi richiesti. La presenza e le caratteristiche degli eventuali Elementi Migliorativi offerti dal concorrente saranno oggetto di valutazione e concorreranno all’assegnazione del punteggio tecnico.
Nella formulazione della propria offerta tecnica il concorrente dovrà pertanto:
- dichiarare il rispetto dei requisiti richiesti;
- indicare con chiarezza le proposte migliorative (Elementi Migliorativi e Quesiti) rispetto ai requisiti minimi imposti.
Il concorrente dovrà tener conto, oltre ai requisiti imposti dal presente Capitolato tecnico, anche dei criteri di valutazione delle offerte precisati nel Disciplinare di Gara.
L’offerta tecnica del concorrente dovrà sviluppare tutte le argomentazioni utili a definire compiutamente l’offerta stessa.
I paragrafi seguenti descrivono i servizi oggetto del presente appalto, ed i relativi requisiti tecnici ed organizzativi, suddivisi per:
◦ requisiti per il servizio di raccolta dati, sorveglianza e notifica degli eventi di sicurezza da parte del SOC del Fornitore (par. 5.2);
◦ requisiti dei servizi accessori e di consulenza (par. 5.3).
5.2 Requisiti delle componenti “SOC”
5.2.1 Sistema di raccolta ed elaborazione
Spetta all’Appaltatore predisporre, attivare e mantenere un sistema di raccolta ed elaborazione delle informazioni, su cui basare le proprie attività di monitoraggio ed analisi real-time.
In questo paragrafo si descrivono i requisiti del sistema di raccolta, mentre il successivo fornisce le informazioni relative al sistema di sorveglianza e notifica, che opera necessariamente in base ai dati raccolti.
Nel progettare il sistema di raccolta, l’aggiudicatario tenga presente che InfoCamere, acquisendo i servizi del SOC, ha l’obiettivo principale di accrescere la protezione dei propri servizi e delle workstation dei dipendenti.
Tra i dati raccolti vi saranno informazioni riservate e di tipo personale. In nessun caso InfoCamere autorizza l’Appaltatore a trasferire tali informazioni al di fuori della rete di InfoCamere, se non per i frammenti informativi a corredo degli eventi rilevati.
Il sistema di raccolta può basarsi sull’inoltro di informazioni già raccolte dal sistema di sicurezza di InfoCamere (par. 3.1.6), oppure sull’osservazione del traffico di rete tramite collegamento al sistema di monitoraggio InfoCamere (par. 3.1.1) , o attraverso entrambe le modalità.
Il sistema di raccolta ed elaborazione, i cui dispositivi l’Appaltatore porrà obbligatoriamente presso InfoCamere, dovrà filtrare le informazioni osservate, estraendone gli elementi rilevanti per il monitoraggio, e solo questi ultimi potranno essere trasferiti al di fuori della sede InfoCamere ove vengono raccolti.
Lo schema di principio sopra riportato non vuole vincolare numero e disposizione degli elementi che formeranno il sistema di raccolta ed elaborazione dell’Appaltatore, ma intende evidenziare che eventuali flussi massivi raccolti presso ciascuna sede InfoCamere devono essere elaborati nella stessa sede, sia per motivi di riservatezza, sia per il carico di rete che altrimenti ne deriverebbe.
[R.1] L’Appaltatore dovrà attivare un sistema di raccolta delle informazioni necessarie al monitoraggio della sicurezza. Le tecnologie di raccolta delle informazioni proposte dovranno essere compatibili con la struttura di rete e informazioni presente in InfoCamere, descritta in questo capitolo ed in precedenza nel presente documento (capitoli 2 e 3).
Il sistema di raccolta, che l’Appaltatore implementerà in ottemperanza all’ampiezza pattuita, dovrà adeguarsi alle variazioni che potranno verificarsi nel periodo di erogazione del servizio, ed in particolare:
- trasformazione da 1Gbit a 10Gbit delle interfacce del device di smistamento
- instradamento di ulteriore traffico verso il device di smistamento
- eventuale migrazione ad altro prodotto SIEM
[EM.1] Costituisce Elemento Migliorativo l’implementazione da parte dell’Appaltatore di un sistema di raccolta che utilizzi il più ampio insieme delle seguenti sorgenti informative:
▪ uno o più sistemi di sicurezza InfoCamere a Padova (vedi par. 3.1.6)
▪ uno o più dei seguenti flussi di traffico, prelevabili dal device di smistamento (par. 3.1.1):
• traffico DataCenter a Padova e Milano
• traffico reti IC a Padova
• traffico internet a Padova e Milano
• traffico ICRete a Padova e Milano
[R.2] L’Appaltatore dovrà stabilire quali informazioni sull’infrastruttura e sulle operazioni di change sono necessarie alla corretta erogazione del proprio servizio. Per disporre di tali informazioni, spetta all’Appaltatore progettare ed implementare il sistema di prelievo richiesto, per interfacciarsi con i repository di Configuration e Change management di InfoCamere (come descritto al par. 3.1.7).
Il sistema di raccolta ed elaborazione deve inoltre soddisfare i requisiti di sicurezza riportati al cap. 7. In particolare dovrà essere corredato di tecniche di filtraggio necessarie a impedire il trasferimento massivo di dati riservati presso la sede dell’Appaltatore, e di protezione crittografica dei flussi di comunicazione con l’esterno.
[R.3] Il servizio di Sorveglianza e Notifica, come pure ogni elemento facente parte del servizio richiesto, devono essere erogati dall’Appaltatore senza alcuno onere o vincolo aggiuntivo per InfoCamere, oltre al canone oggetto di offerta. Ogni componente (come hardware, software, licenze d’uso, attività e canoni di manutenzione e/o supporto, …) necessaria all’implementazione del sistema di raccolta dati e all’erogazione dei servizi richiesti a perfetta regola d’arte (secondo i requisiti richiesti), che non sia già presente nell’infrastruttura InfoCamere descritta al cap. 3, sarà a carico e resterà in possesso dell’Appaltatore, come ogni strumento necessario a fornire il servizio.
5.2.2 Servizio di sorveglianza e notifica
Il servizio di Sorveglianza e Notifica è il cuore di quanto l’Appaltatore deve erogare: a partire dalle informazioni raccolte, con strumenti automatici e mediante analisi manuale da parte di personale specializzato presente presso il SOC dell’Appaltatore, attraverso tecniche di catalogazione, filtraggio, confronto e correlazione, il servizio di Sorveglianza e Notifica individua eventi o situazioni corrispondenti ad effettivi accadimenti anomali dal punto di vista della sicurezza, che vanno segnalati ad InfoCamere per le opportune contromisure di contenimento.
Il servizio di Sorveglianza e Notifica deve dare indicazioni per le possibili misure di contenimento, ma si ribadisce che l’appalto in oggetto non comprende la fornitura di strumenti, o esecuzione di attività, finalizzati ad attuare il contenimento stesso o ad aumentare le difese.
Ad esempio, il SOC dell’Appaltatore potrà individuare e segnalare la presenza di malware di tipo APT (Advanced Persistent Threat), ma non è in alcun modo prevista la fornitura di strumenti o soluzioni Anti-APT.
[R.4] l'Appaltatore deve disporre di una infrastruttura di Sorveglianza e Notifica degli eventi di sicurezza informatica, che sulla base dei dati raccolti da infoCamere sia in grado di correlare, filtrare e dare priorità alle informazioni disponibili, al fine di selezionare gli eventi di effettivo o probabile allarme in ambito di sicurezza informatica, e provveda a segnalarli e ad infoCamere.
[R.5] il servizio di Sorveglianza e Notifica deve essere operativo in modo continuo, in modalità 24x7x365.
L’ampiezza del sistema di raccolta, le tecnologie utilizzate nella fase di elaborazione, ed anche le competenze ed organizzazione del personale che svolgerà il servizio, determinano la capacità da parte del servizio di Sorveglianza e Notifica di rilevare ed identificare minacce od attacchi informatici, sia in termini di copertura (ad: es solo attacchi provenienti dall’esterno oppure anche attacchi interni; solo attacchi rivolti al DataCenter, o anche attacchi diretti alle workstation di InfoCamere o delle CCIAA, …) sia in termini di tipologia di evento doloso rilevato (intrusioni su sistemi, violazione di applicazioni, malware, APT, …).
A partire da una base minima, corrispondente al seguente requisito, verrà attribuito un punteggio ai concorrenti che esprimeranno una ulteriore capacità di erogare un servizio con maggiore capacità di identificare le possibili minacce.
[R.6] Il servizio di Sorveglianza e Notifica deve necessariamente vigilare in modo efficace sui seguenti ambiti:
- minacce all’integrità, disponibilità e riservatezza dei servizi erogati dal DataCenter InfoCamere verso Internet, e delle informazioni connesse (Banche Dati), mediante intrusione o violazione di applicazione provenienti da Internet
[Q.1] Si chiede di descrivere quali saranno gli ambiti oggetto di Sorveglianza e Notifica, evidenziando gli aspetti migliorativi rispetto a [R.6], in termini di più ampia tipologia di eventi dolosi rilevati, o per maggiore efficacia grazie all’adozione di metodologie o tecnologie innovative per l’individuazione delle minacce informatiche e degli eventi dolosi.
[R.7] Gli eventi rilevati dalle attività di sorveglianza del SOC in modalità 24x7x365 vanno comunicati ad InfoCamere con criteri diversi, in base al tipo di minaccia ed al possibile impatto. La definizione di dettaglio delle modalità di comunicazione sarà stabilita con l’Appaltatore in fase di avvio del servizio, ma dovrà comprendere le seguenti modalità:
- notifica in tempo reale (al massimo entro 30 minuti dalla rilevazione, in modalità 24x7), mediante chiamata telefonica ai contatti concordati con InfoCamere;
- notifica non in tempo reale (al massimo entro 2 ore di orario lavorativo diurno dalla rilevazione), mediante mail ai destinatari concordati con InfoCamere;
- consultazione on-line, mediante interfaccia applicativa (“console”, vedi requisiti successivi).
Le diverse modalità di notifica dovranno essere utilizzate o meno in base alla criticità degli eventi rilevati:
- evento critico: va notificato in tempo reale, mediante chiamata telefonica, e con mail;
- evento importante: va notificato non in tempo reale, mediante mail
- tutti gli eventi (critici, importanti, normali, informativi devono essere consultabili anche tramite interfaccia applicativa (Console).
InfoCamere, per suo conto, organizzerà i propri punti di contatto attraverso le seguenti modalità:
- 24x7x365: il presidio è erogato dal personale di continuità operativa (“Service Desk”), con presenza presso la sede InfoCamere oppure in tele-intervento, ma comunque sempre raggiungibile telefonicamente;
- orario di ufficio: oltre che dal personale di continuità operativa, il presidio è erogato dal team di SOC interno ad InfoCamere.
[R.8] All’atto della notifica, il SOC dell’Appaltatore deve fornire gli elementi informativi necessari al personale InfoCamere per recepire correttamente il tipo di problema, i possibili impatti, le soluzioni raccomandate. Oltre all’invio degli elementi informativi, InfoCamere deve poter contattare il personale dell’Appaltatore per richiedere chiarimenti.
[R.9] Gli elementi informativi dell’evento comunicati al momento della notifica devono comprendere almeno:
- dettaglio evento: orari, indirizzi IP, caratteristiche e riferimenti a database di settore (CVE, CWE, …);
- descrizione e possibili impatti;
- possibili soluzioni o azioni di contenimento temporaneo.
Analoghe informazioni devono essere consultabili anche in momento successivo, tramite una applicazione WEB messa a disposizione dall’Appaltatore (“console”), consultabile via Internet e fruibile attraverso almeno due browser di ampia diffusione (Internet Explorer, Firefox, Edge, …).
L’accesso alla console deve essere protetto mediante autenticazione.
[R.10] La console deve disporre di funzioni di “export” delle informazioni relative agli eventi su file in formato tabellare (.csv o similare).
[EM.2] Costituisce Elemento Migliorativo la fruibilità della console anche da smartphone, tramite apposita “applicazione” oppure con interfaccia WEB ottimizzata per smartphone.
[EM.3] Costituisce Elemento Migliorativo la presenza nella console di funzioni che consentano di tracciare l’evoluzione dell’evento, secondo passi che possono essere (xx.xx.) segnalazione, presa in carico, contromisure applicate, chiusura.
[EM.4] Costituisce Elemento Migliorativo la presenza nella console di funzioni di riepilogo statistico quali report periodici, andamento nel tempo, contatori sugli eventi occorsi.
Ulteriori requisiti ed elementi migliorativi, relativi alle funzioni di autenticazione ed abilitazione della console, sono riportati al cap. 7.
5.3 Requisiti dei servizi accessori
I paragrafi seguenti descrivono le componenti del servizio che vanno ad aggiungersi al servizio di SOC (raccolta ed elaborazione; sorveglianza e notifica).
5.3.1 Consulenza specializzata
La consulenza specializzata non va confusa con il normale supporto informativo che deve accompagnare le notifiche degli eventi derivanti dal monitoraggio.
Alcuni casi tipici dove può essere richiesta la consulenza specializzata sono la fase di indagine e di raccolta di dati (“Forensic analisys”), a seguito di incidenti informatici che richiedano l’attivazione di procedure legali, oppure la fase di chiusura dell’incidente, quando si rende necessario valutare implementazioni correttive od innovative alle difese esistenti, in grado di ridurre la possibilità che lo stesso tipo di attacco si ripeta.
InfoCamere si riserva di utilizzare anche solo una parte dell’ammontare complessivo indicato, con fatturazione in base all’effettivo consumo.
In fase di offerta, oltre al canone omnicomprensivo offerto per il servizio SOC, andrà indicato anche l’importo unitario (1 gg/u) e complessivo (20 gg/u) per ciascuna delle due tipologie di servizio di consulenza specializzata.
[R.11] Su richiesta di InfoCamere, l’Appaltatore deve erogare una consulenza specializzata in ambito di sicurezza informatica e gestione incidenti di sicurezza informatica, allo scopo di supportare il personale InfoCamere nella gestione di eventi particolarmente complessi.
[R.12] L’Appaltatore deve poter erogare il servizio di consulenza specializzata secondo le seguenti modalità, in funzione dei canali di erogazione chiesti da InfoCamere:
- L’Appaltatore dovrà erogare fino ad un massimo di 20 giornate di consulenza “da remoto”, senza minimo garantito, mediante chiamata telefonica o in videoconferenza. Il servizio di consulenza “da remoto” verrà richiesto da InfoCamere all’Appaltatore con apposita richiesta telefonica o scritta, da inviarsi tramite fax o e-mail, con la specifica indicazione sintetica del motivo per il quale viene richiesta la prestazione del servizio in parola. L’Appaltatore si impegna a mettere a disposizione le proprie risorse per l’effettuazione di tale servizio entro e non oltre il termine di 2 giorni lavorativi a decorrere dalla predetta richiesta.
- L’Appaltatore dovrà fornire fino ad un massimo di 20 giornate di consulenza “on- site”, senza minimo garantito, mediante presenza presso la sede di InfoCamere a Padova, corso Stati Uniti 14. Il servizio di consulenza “on site” verrà richiesto da InfoCamere all’Appaltatore con apposita richiesta scritta, da inviarsi tramite fax o e-mail, con la specifica indicazione sintetica del motivo per il quale viene richiesta la prestazione del servizio in parola. L’Appaltatore si impegna a mettere a disposizione le proprie risorse per l’effettuazione di tale servizio entro e non oltre il termine di 10 giorni lavorativi a decorrere dalla predetta richiesta.
5.3.2 Servizi di Early Warning
[EM.5] E’ considerato elemento migliorativo la fornitura da parte dell'Appaltatore di un servizio di early-warning relativo alle minacce (es: nuova tipologia di malware, disponibilità in internet di tool software che sfruttano vulnerabilità “zero-day” ). Il team di esperti che raccoglie e seleziona le informazioni relative alle minacce, anche in collaborazione con altri enti, deve essere interno all’organizzazione dell’Appaltatore.
[EM.6] E’ considerato elemento migliorativo la fornitura da parte dell'Appaltatore di un servizio di early-warning relativo alle vulnerabilità (es: nuova vulnerabilità su Apache,
…); il servizio deve essere configurabile in modo da filtrare le segnalazioni sulla base delle componenti effettivamente presenti in InfoCamere.
5.3.3 Servizi di Formazione
[R.13] In fase di attivazione del servizio, l’Appaltatore deve erogare un percorso formativo, rivolto al personale InfoCamere che si interfaccerà direttamente con i servizi e strumenti oggetto del presente Capitolato. Scopo del percorso formativo è abilitare
detto personale ad interagire in modo efficace con le persone e gli strumenti dell’Appaltatore. Il percorso formativo dovrà comprendere gli strumenti descritti al cap. 6, quali sistema di raccolta informazioni, metodologia di monitoraggio e notifica, comunicazione degli eventi, console.
L’attività formativa sarà svolta presso la sede InfoCamere di Padova, e dovrà prevedere una giornata formativa, ripetuta almeno due volte per consentire al personale turnista di partecipare.
In fase di avvio del servizio, l’Appaltatore dovrà indicare i prerequisiti formativi che considera indispensabili per il personale InfoCamere con cui dovrà interagire.
6 Modalità di esecuzione
[R.14] La lingua utilizzata per tutte le comunicazioni relative alla procedura di acquisto e per quelle relative alla fornitura di tutti i servizi richiesti è la lingua italiana.
[R.15] Oltre all’italiano, si ammette l’uso della lingua inglese per le informazioni di dettaglio tecnico associate agli elementi informativi (interfaccia utente del prodotto di consultazione, comunicazioni e report tecnici, manuali, documentazione) scambiati in fase di erogazione del servizio.
L’Aggiudicatario deve erogare i servizi di SOC di Sorveglianza e Notifica, descritti al par. 5.2.2, tramite un proprio Security Operation Center, che deve essere adeguato a svolgere il compito di CERT/CSIRT.
[EM.7] Costituisce Elemento Migliorativo il riconoscimento dato all’Aggiudicatario ad usufruire del marchio CERT da parte dell’ente detentore, verificabile mediante presenza nell’elenco “Authorized users of CERT” presso il sito xxx.xxxx.xxx, secondo la denominazione che l’Aggiudicatario specificherà nella documentazione di offerta.
Ai fini dell’attribuzione del punteggio migliorativo, lo stato di presenza nell’elenco del CERT sarà valutato nella data in cui, in base all’iter di gara, saranno attribuiti i punteggi.
In fase di erogazione, vanno gestite le eventuali anomalie di erogazione, dovute x.xx a guasto di apparati. Sono inoltre stabilite delle metriche per valutare l’efficacia del servizio erogato, descritte al cap. 9.
[R.16] E’ richiesta l’erogazione del servizio di presidio tecnico atto a consentire al personale InfoCamere di usufruire di un’interfaccia unica, competente e precisamente identificata per interfacciarsi con il “SOC” dell’Appaltatore ed affrontare e risolvere qualunque problema tecnico relativo al servizio.
[R.17] Il presidio tecnico dovrà essere dotato di un contatto telefonico unico e di uno o più contatti email attraverso cui il personale InfoCamere potrà segnalare problemi o malfunzioni sulle componenti del servizio erogato.
[R.18] L’Appaltatore si impegna a partecipare, con periodicità trimestrale, ad incontri di verifica dell’andamento ed ottimizzazione dei servizi erogati, sulla base dei dati di riepilogo per gli eventi anomali notificati ad InfoCamere, degli indicatori di Service Level Agreement, di eventuali elementi relativi agli adempimenti di Sicurezza e privacy.
7 Sicurezza delle informazioni e Privacy
7.1 Elementi generali di Sicurezza e Privacy
Nello svolgimento dei servizi in oggetto, l’Appaltatore acquisirà necessariamente informazioni riservate relative all’infrastruttura tecnologica, alle sue caratteristiche, agli eventi di sicurezza occorsi. In fase di raccolta delle informazioni necessarie e rilevare anomalie ed intrusioni, è possibile inoltre che l’Appaltatore abbia accesso a informazioni riservate trasmesse in rete. Tutte queste informazioni vanno adeguatamente protette e gestite.
[R.19] Tutte le informazioni relative alle attività condotte sono riservate, in particolare le informazioni comunicate da InfoCamere o raccolte ed individuate dall’Appaltatore durante l’erogazione del servizio, o eventuali credenziali di accesso. L’Appaltatore garantisce la vigilanza affinché il proprio personale tratti come riservata ogni informazione della quale venga a conoscenza durante od in relazione ad ogni attività inerente l'esecuzione del Contratto. E’ in ogni caso esclusa la duplicazione, la riproduzione, l’asportazione di documentazione di InfoCamere, anche qualora contenesse notizie divenute già di pubblico dominio. L’Appaltatore è si impegna a proteggere tali informazioni con tutte le misure organizzative e di sicurezza idonee, e a limitare la conservazione di eventuali dati personali raccolti al minimo indispensabile per la corretta esecuzione delle proprie attività. In particolare, la sede dell’Appaltatore presso cui sarà svolto il servizio di “SOC” deve disporre di protezione fisica e logica adeguate, al fine di evitare possibili intrusioni nel SOC stesso.
Tra le misure di sicurezza idonee vanno inclusi adeguati criteri di patching per i propri sistemi e per le componenti installate presso InfoCamere.
[R.20] L’appaltatore, nella sua attività, dovrà attenersi alle policy aziendali derivate dagli standard ISO/IEC 27001 al fine di garantire il trattamento in sicurezza del dato: disponibilità, integrità e riservatezza.
[R.21] L’Appaltatore si obbliga a rispettare, ed a far rispettare al personale impiegato per l'esecuzione del presente Contratto, le prescrizioni previste dal D. Lgs. n. 196/2003, s.m.i., ed i provvedimenti del Garante emanati in materia; impegnandosi in particolare ad osservare e a far osservare i principi di pertinenza e non eccedenza nel trattamento dei dati. L’Appaltatore si impegna inoltre ad attuare le misure minime di sicurezza stabilite nell'Allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”) del D. Lgs. n. 196/2003 e gli altri eventuali Provvedimenti del Garante applicabili (come ad es. in materia di videosorveglianza).
Tra le attività derivanti dagli adempimenti in [R.21] vi saranno per esempio:
- Garantire che la sede dove saranno svolti i trattamenti di raccolta ed elaborazione di dati personali sia localizzata nell’area geografica entro cui vige la legislazione europea in merito al trattamento dei dati personali;
- selezionare e formare opportunamente dipendenti o collaboratori sugli aspetti di sicurezza e riservatezza;
- individuare i dipendenti o collaboratori dell’Appaltatore che dispongono di accessi privilegiati a strumenti e sistemi e che perciò si configurano come amministratori di sistema;
- far effettuare ai dipendenti così individuati le procedure di nomina ad amministratore di sistema, previa condivisione dei dati anagrafici richiesti;
- accettare ogni Nomina o Incarico, ai sensi delle definizioni di cui al “Codice Privacy” (D.Lgs. 196/03 e s.m.i), indispensabile per il trattamento di dati personali di Titolarità o Responsabilità InfoCamere nel corso della esecuzione del contratto;
- operare la nomina degli incaricati secondo le prescrizioni dell'art. 30 del D.Lgs.196/03.
[R.22] L’Appaltatore si obbliga a fornire gli elenchi che saranno richiesti periodicamente da InfoCamere in merito alle persone coinvolte come incaricati.
Tra gli scenari di attività che il personale dell’Appaltatore potrebbe svolgere c’è anche l’approfondimento dell’indagine, a seguito di un alert del sistema di raccolta ed elaborazione, effettuata accedendo a sistemi
InfoCamere. In questo caso e in ogni altra situazione che implichi accesso ai sistemi InfoCamere da parte di personale dell’Appaltatore, vale quanto segue:
[R.23] Il Fornitore si impegna ad accettare le modalità stabilite da InfoCamere per il controllo degli accessi logici agli ambienti di sviluppo, test e produzione di InfoCamere.
[R.24] L’Appaltatore deve disporre di certificazione ISO/IEC 27001, almeno nelle parti della propria organizzazione coinvolte nell’erogazione dei servizi oggetto di questo capitolato.
InfoCamere sottopone la propria infrastruttura e organizzazione ad analisi periodi sicurezza, da parte di aziende esterne specializzate in Vulnerability e/o risk assessment, allo scopo di verificare puntualmente ogni aspetto relativo alla Qualità dei Processi, alla Sicurezza delle Informazioni ed alla Tutela della Privacy. L’Appaltatore dovrà tenerne conto nella erogazione del proprio servizio, x.xx. trattando come falsi positivi gli allarmi derivanti dal traffico di test, previa comunicazione da parte di InfoCamere dei parametri di esecuzione del VA/PT. Deve inoltre accettare che le parti della propria infrastruttura connesse ad InfoCamere siano sottoposte al test.
[R.25] L’Appaltatore si impegna a collaborare in ogni momento alle attività di Audit (di seconda o terza parte) intraprese da o per conto di InfoCamere, che verifichino puntualmente ogni aspetto relativo alla Qualità dei Processi, alla Sicurezza delle Informazioni ed alla Tutela della Privacy. A tal fine si impegna a mettere a disposizione le proprie risorse e a garantire l'accesso alle proprie sedi e la collaborazione fattiva del proprio personale. L’Appaltatore si impegna a consentire l’effettuazione di analisi di sicurezza, da parte di InfoCamere o Terze Parti fornitrici di servizi di Vulnerability o Risk Assessment, limitatamente alle componenti dell’Appaltatore direttamente interconnesse con InfoCamere (sonde o server presso InfoCamere) o visibili direttamente attraverso il canale cifrato che sarà instaurato per l’erogazione del servizio. Si impegna inoltre, per quanto di sua competenza, a collaborare fattivamente alla esecuzione dei suddetti VA/PT, e a sanare eventuali elementi di vulnerabilità che dovessero emergere.
7.2 Elementi tecnologici di Sicurezza
[R.26] Il canale comunicativo tra la rete InfoCamere e la rete dell’Appaltatore, necessaria allo scambio delle informazioni, deve essere protetto secondo standard di cifratura robusti in base allo “stato dell’arte” della tecnologia. Le comunicazioni telematiche per la notifica eventi (comprese le email) e per l’utilizzo on line della console devono essere adeguatamente protette mediante strumenti di cifratura delle informazioni.
[R.27] I sistemi di raccolta ed elaborazione attivati devono essere dotati di filtri in grado di escludere dalla comunicazione con la rete dell’Appaltatore di ogni informazione soggetta a trattamento di legge particolare; in particolare va esclusa la raccolta da parte dell’Appaltatore di dati soggetti a norme di Traffico Telefonico e Telematico (VOIP, mail, navigazione WEB), fatta eccezione con gli elementi informativi direttamente connessi con eventi anomali oggetto del servizio di sorveglianza.
[R.28] L’accesso alla console deve essere controllato mediante un sistema di autenticazione della persona; gli accessi riusciti ed i tentativi di accesso falliti devono essere registrati.
[EM.8] Costituisce Elemento Migliorativo la possibilità di regolare l’accesso alle funzioni di console mediante profili di accesso diversificati, come per esempio: accesso completo, accesso in sola lettura, accesso ai soli dati di riepilogo statistico.
8 Verifica di conformità/collaudo
All’avvio delle prestazioni l’Appaltatore indicherà un proprio Referente di contratto, comunicando le informazioni necessarie quali nominativo, email, numeri di telefono. Eventuali variazioni a tali informazioni saranno tempestivamente comunicate ad InfoCamere.
Entro i primi 90 giorni dalla stipula del contratto dovranno essere completate tutte le attività di predisposizione necessarie alla erogazione dei servizi oggetto del presente capitolato, quali:
- pianificazione delle attività di start-up;
- installazione delle componenti hardware/software dell’Appaltatore all’interno della rete InfoCamere;
- configurazione dell’ambiente ed attivazione dei flussi informativi tra InfoCamere e l’Appaltatore;
- ogni altra attività necessaria alla completa attivazione di quanto previsto nel presente documento;
- collaudo/verifica di conformità.
Il personale InfoCamere si renderà immediatamente disponibile a fornire tutta la necessaria collaborazione per l’attivazione del servizio.
Il Responsabile del contratto di InfoCamere ovvero ulteriore soggetto terzo appositamente incaricato provvederà, per conto di InfoCamere, alle attività di collaudo, ovvero alla verifica di conformità fra quanto fornito/erogato dall’Appaltatore e quanto richiesto nel presente documento ed a quanto eventualmente offerto dall’Appaltatore nella propria offerta Tecnica.
[R.29] Il collaudo dovrà essere svolto, in accordo con l’Appaltatore, entro 90 giorni dalla sottoscrizione del contratto. Durante tutto il periodo di predisposizione e collaudo, il Fornitore è obbligato ad assicurare ad InfoCamere il supporto necessario. La durata del collaudo è dipendente dalle caratteristiche, dimensioni e criticità dell’intervento e sarà, di norma, non inferiore a 7 giorni solari effettivi.
Durante il periodo di collaudo saranno oggetto di verifica tutti i requisiti obbligatori descritti ai par. 5.2.1 e 5.2.2 (“requisiti delle componenti SOC”) e 7.2 (“Elementi di Sicurezza tecnologica”) nonché quanto eventualmente offerto dall’Appaltatore nella propria offerta Tecnica.
La presenza di anomalie che, a giudizio di InfoCamere, per gravità o numerosità, non consentano lo svolgimento o la prosecuzione delle attività di collaudo, provocherà la sospensione del collaudo stesso. I nuovi termini di inizio e fine collaudo decorreranno dalla disponibilità di un ambiente operativo secondo i requisiti.
Al termine delle attività di collaudo verrà redatto e sottoscritto da InfoCamere, sia in caso di esito positivo che di esito negativo delle stesse, il verbale di collaudo, cui sarà allegato il documento Rapporto di collaudo in cui sono tracciate le attività svolte durante il collaudo stesso.
In caso di esito negativo della predetta verifica, InfoCamere darà comunicazione all’Appaltatore – inviando il rapporto di collaudo mediante posta elettronica certificata all’indirizzo da quest’ultimo indicato - concedendogli un ulteriore termine massimo di 15 giorni per sanare le irregolarità e/o carenze riscontrate.
Decorso detto termine senza che l’Appaltatore abbia adempiuto alle irregolarità e/o carenze riscontrate, l’inadempimento sarà considerato grave e, pertanto, InfoCamere potrà risolvere il Contratto ai sensi e per gli effetti dell’art. 1456 c.c., fatto salvo comunque il diritto di applicare le relative penali e di richiedere il risarcimento del maggior danno perciò subito.
Il Fornitore è tenuto comunque a risolvere tempestivamente ogni anomalia riscontrata nel più breve tempo possibile e comunque entro i tempi definiti dal Responsabile del Contratto InfoCamere che, in ogni caso, dovranno essere contenuti entro 90 giorni dalla sottoscrizione del contratto.
9 Service Level Agreement (SLA)
I tempi di interruzione del servizio o di una delle sue componenti tecnologiche (SOC dell’Appaltatore, console, eventuali dispositivi dell’Appaltatore installati presso InfoCamere) verranno conteggiati come tempo di indisponibilità.
[R.30] L’Appaltatore si impegna comunicare proattivamente gli eventi di interruzione e successivo ripristino per i propri servizi.
Qualora InfoCamere rilevasse interruzione o malfunzione dei servizi, in anticipo rispetto alla comunicazione dell’Appaltatore, utilizzerà i contatti di presidio tecnico stabiliti in [R.16] e [R.17] per inoltrare una segnalazione di guasto nei confronti dell’Appaltatore.
[R.31] Nel caso segnalazione di guasto inoltrata da InfoCamere, l’Appaltatore avrà 4 ore di tempo per inviare comunicazione di effettiva interruzione o per motivare come falso positivo quanto rilevato da InfoCamere.
L’inizio del tempo di indisponibilità sarà misurato a partire dal primo evento occorso in ordine di tempo, tra la comunicazione dell’Appaltatore e la segnalazione effettuata da InfoCamere al presidio tecnico dell’Appaltatore. La fine del tempo di indisponibilità sarà misurata a partire dalla comunicazione di avvenuta risoluzione da parte del presidio tecnico dell’Appaltatore.
[R.32] L’Appaltatore si impegna a garantire un tasso di indisponibilità non superiore al 2%, calcolato su base annua, e ad un tempo di indisponibilità complessivo su base mensile non superiore a 24 ore.
[EM.9] Viene considerato come Elemento Migliorativo l’impegno dell’Appaltatore a mantenere il tasso di indisponibilità sotto il 2% annuo.
La tabella seguente riassume i parametri vincolati da Service Level Agreement
LIVELLO DI SERVIZIO | INTERVALLO DI ATTIVITA’ DEL SERVIZIO | MODALITA’ DI MISURAZIONE DEL SERVIZIO | PENALE |
Realizzazione della piattaforma di erogazione del servizio e conclusione delle attività di collaudo entro 90 giorni dalla sottoscrizione del contratto | 24 ore su 24 e 7 giorni su 7. | Tempo calcolato tra la sottoscrizione del contratto e il superamento positivo delle valutazioni di collaudo. | 500 Euro per ogni giorno o frazione di giorno di ritardo. |
una segnalazione di interruzione inoltrata da InfoCamere deve essere convalidata o respinta entro 4 ore | 24 ore su 24 e 7 giorni su 7. | Tempo in ore calcolato come intervallo tra la segnalazione di InfoCamere e la comunicazione di interruzione (o “non interruzione”) di servizio | 50 Euro per ogni ora o frazione di ora di ritardo. |
La indisponibilità complessiva mensile deve essere inferiore a 24 ore | 24 ore su 24 e 7 giorni su 7. | Somma dei tempi di interruzione nel corso del mese di osservazione | 100 Euro per ogni ora o frazione di ora di interruzione eccedente la soglia |
Il tasso di indisponibilità annuo deve essere inferiore al valore percentuale stabilito in fase di offerta (2% o valore migliorativo offerto) | 24 ore su 24 e 7 giorni su 7. | Somma dei tempi di interruzione, nel corso di un intervallo di 12 mesi consecutivi, a partire dalla data di superamento del collaudo | 100 Euro per ogni ora o frazione di ora di interruzione eccedente la soglia |
10 Adempimenti al termine del Contratto
Al termine del periodo di contratto, InfoCamere stabilirà se confermare o meno l’adozione del servizio in oggetto, nella forma attuale o individuando esigenze diverse. In ogni caso l’assegnazione del servizio allo stesso o ad un nuovo assegnatario sarà effettuata mediante nuovo iter di gara.