Capitolato Tecnico
Capitolato Tecnico
Servizio di assistenza, manutenzione ed erogazione in cloud dell’applicativo software Banca Dati Strutture Sociali di ATS Città Metropolitana di Milano
INDICE
1 DEFINIZIONI, ABBREVIAZIONI E SIGLE
4
7
2.3 Contesto normativo, tecnologico e operativo 7
2.5 Proprietà intellettuale 10
11
4 NUOVE FUNZIONALITÀ RICHIESTE
14
15
5.1 Requisiti organizzativi 15
5.3 Requisiti e vincoli tecnologici e infrastrutturali 16
5.5 Requisiti di migrazione 19
20
22
23
8.1 Governance e monitoraggio in produzione 24
9 SERVIZI DI ASSISTENZA E MANUTENZIONE
25
9.1 Manutenzione correttiva ed assistenza 25
10 DURATA DEL CONTRATTO E MODALITÀ DI CONCLUSIONE
28
11 SLA RICHIESTI E CRITERI DI MISURA
29
12 RIFERIMENTI DOCUMENTALI E NORMATIVI
30
1 Definizioni, abbreviazioni e sigle
ATS | Il Cliente, Ente appaltante di questo Contratto è ATS Città Metropolitana di Milano. |
PA | Con il termine “PA” o “P.A.” va intesa la Pubblica Amministrazione. |
Aggiudicatario | Il Concorrente che sarà scelto per erogare le forniture ed i servizi coperti dal Contratto. |
Concorrente | Qualsiasi partecipante alla procedura acquisitiva relativa alla fornitura descritta nel presente Capitolato Tecnico. |
SPOC | Single Point Of Contact. Il referente unico di contatto dell’Aggiudicatario per tutta la durata del contratto. |
ANAC | Autorità Nazionale Anticorruzione. |
PNA | Piano Nazionale Anticorruzione. |
GDPR | General Data Protection Regulation (UE) 2016/679 |
Software di base | Per software di base si intende l’insieme dei programmi che consentono ad un utente di eseguire operazioni base come costruire e mandare in esecuzione un programma o gestire una base dati. Tipici esempi di software di base sono il sistema operativo, gli editor, i compilatori ed i sistemi di gestione di basi di dati. |
Software d’ambiente | Il software d’ambiente rappresenta l’insieme di programmi specializzati che facilitano la scrittura/gestione di applicazioni. Tipici esempi di software d’ambiente sono gli Application Server. |
Software di rete | Il software di rete è inteso come l’insieme di programmi specialistici per la gestione delle comunicazioni. Tipici esempi di software di rete sono i gestori di posta ed i prodotti di gestione e condivisione di risorse distribuite. |
Software applicativo | Programma che utilizza il software di base, d’ambiente e di rete per realizzare una funzione specifica legata agli scopi dell’organizzazione che lo utilizza. |
Software proprietario | Software privato, non libero di cui è possibile al beneficiario l’utilizzo sotto particolari condizioni (in relazione alla licenza) ma non ne è permessa la modifica, la condivisione, lo studio, la ridistribuzione o il reverse engineering. |
Software open source | Altrimenti detto software "libero", "aperto" o "rilasciato sotto licenza aperta”. Un software open source è reso tale per mezzo di una licenza attraverso cui i detentori dei diritti favoriscono la modifica, lo studio, l'utilizzo e la redistribuzione del codice sorgente |
Software verticale | Applicazioni software con funzionalità specifiche di un determinato settore commerciale. |
Sistema di gestione dei ticket e Ticket | Un ticket contiene una richiesta di assistenza o di manutenzione attraverso una delle modalità di accesso al servizio e ne traccia la storia. Il sistema di gestione dei ticket è un tool software che permette |
di gestire la base dati dei ticket, il flusso di ogni ticket e l'estrazione di misure per la verifica degli SLA. | |
Service Level Agreement (SLA) | Definizione ed associato criterio di misura per la valutazione della qualità dei servizi che saranno erogati dall’Aggiudicatario. |
Malfunzionamento bloccante | Una o più funzioni essenziali del sistema (PdL o server/apparato connesso o apparato di rete) sono compromesse. Per una PdL significa l’impossibilità di essere utilizzata per fornire uno o più dei servizi per i quali è prevista. Per un server, un apparato connesso al server o un apparato di rete significa l’impossibilità di fornire uno o più servizi per i quali è stato previsto. Per un'applicazione software significa che una o più funzionalità critiche (funzionalità che hanno impatto sull'operatività corrente dell'utente in modo tale da impedire il buon fine di un'operazione necessaria al completamento dell'attività dell'utente) dell’applicazione sono indisponibili a uno o più utenti. |
Malfunzionamento non bloccante | Il sistema presenta malfunzionamenti, ma il funzionamento sostanziale del sistema non è compromesso; i servizi per i quali il sistema è utilizzato possono comunque essere garantiti. Per un'applicazione software significa che una o più funzionalità non critiche (funzionalità di corredo che non hanno impatto sull'operatività corrente dell'utente e non impediscono il buon fine di un'operazione necessaria al completamento dell'attività dell'utente) dell’applicazione sono indisponibili a uno o più utenti. |
Manutenzione software correttiva | Rimozione di eventuali malfunzionamenti delle procedure applicative segnalati dal Cliente o dall’Aggiudicatario stesso e verificatisi nell’ambito del corretto utilizzo dei programmi. Per malfunzionamento si intende una non conformità con quanto specificato nei manuali operativi o nelle specifiche/funzionali consegnate al Cliente. |
Manutenzione software normativa | Comprende attività da svolgere per l’adeguamento del software applicativo al fine di adempiere obblighi di legge o a fronte di requisiti tecnici, informativi, funzionali e organizzativi che siano definiti da organismi normativi esterni alla struttura del Cliente (Stato, Ministeri, Regioni...). |
Manutenzione software evolutiva | Comprende le richieste di modifica di funzionalità esistenti o relative all'introduzione di nuove funzionalità, anche attraverso la parametrizzazione del software applicativo, previste dal Cliente sulla base di specifici nuovi requisiti e/o per garantire future evoluzioni del proprio sistema informativo. |
Manutenzione preventiva programmata | Comprende interventi periodici e/o programmati dell’Aggiudicatario per garantire il mantenimento del buon funzionamento del sistema informativo, attraverso il costante aggiornamento del software applicativo e di base. |
Universal Resource Locator (URL) | Sequenza di caratteri che identifica univocamente l'indirizzo di una risorsa web. |
Cloud computing | Si indica un modello di erogazione di servizi offerti on demand da un fornitore ad un cliente finale attraverso la rete Internet. |
Software as a Service (SaaS) | Si indica un paradigma di servizio cloud attraverso il quale il fornitore del software applicativo sviluppa e gestisce un’applicazione web che mette a disposizione dei propri clienti via internet. |
FP | Function Point è un'unità di misura utilizzata per esprimere la dimensione delle funzionalità fornite da un prodotto software (secondo la metodologia IFPUG 4.3 ed eventuali versioni successive). |
UDO | Unità di Offerta |
2 Premessa
ATS Città Metropolitana di Milano (d’ora in avanti, ATS) ha l’esigenza di individuare, tramite apposita Gara di Appalto, un operatore economico al quale affidare le attività di assistenza e manutenzione (correttiva ed evolutiva) legate all’erogazione dell’applicazione software Banca Dati Strutture Sociali in uso presso il Dipartimento PAAPSS, UOC Vigilanza e Controllo Strutture Sociali.
Si tratta di un sistema software web-based che si occupa della attività di controllo e vigilanza ed è collegato alla banca dati AFAM Sociale di Regione Lombardia.
La richiesta di fornitura riguarda i servizi di assistenza e manutenzione (ordinaria e straordinaria) ed hosting dell’applicazione web in cloud.
ATS ha l’esigenza di individuare, tramite apposita procedura acquisitiva, il Fornitore al quale affidare l’attività di assistenza e manutenzione (correttiva ed evolutiva) legate all’erogazione del servizio Banca Dati Strutture Sociali.
La soluzione è attualmente ospitata presso il data center di ATS, sulla piattaforma Microsoft Azure con modello di servizio cloud IaaS. Si vuole migrare l’applicativo verso un modello di servizio cloud SaaS.
La fornitura deve prevedere quanto segue:
• copertura di tutti i requisiti funzionali, non funzionali e tecnologici espressi nel presente Capitolato;
• attività di formazione all’utilizzo di nuove funzionalità del sistema orientata agli utenti key- user individuati da ATS;
• attività di assistenza e manutenzione, ordinaria (correttiva) e straordinaria (evolutiva, normativa), per garantire la continuità operativa del servizio a tutti gli utilizzatori del sistema, a partire dal rilascio in produzione fino alla scadenza prevista dal contratto;
• a partire dalla data di sottoscrizione del contratto e per tutta la durata contrattuale, produzione di tutti i certificati digitali necessari per la gestione del sistema per tutti gli ambienti operativi che dovranno essere messi a disposizione di ATS; tali certificati digitali X.509 dovranno essere intestati ad ATS ed emessi da una Certification Authority (CA) italiana pubblicamente riconosciuta;
• a partire dalla data di sottoscrizione del contratto e per tutta la durata contrattuale, servizio di hosting di una infrastruttura in cloud in linea con la normativa vigente che garantisca almeno due ambienti operativi indipendenti (collaudo, produzione) in alta disponibilità;
• attività di importazione iniziale e, quando richiesto da ATS, esportazione di tutti i dati contenuti nel data base del gestionale ed in ambito al progetto. La messa a disposizione di tali dati ad ATS deve essere garantita in un formato aperto e supportato da adeguati metadati e documentazione. Tale attività dovrà essere garantita su richiesta di ATS in ogni momento e senza ulteriori oneri per ATS.
• necessario supporto a Enti esterni e fornitori terzi di ATS per la messa a punto di eventuali integrazioni applicative richieste.
2.3 Contesto normativo, tecnologico e operativo
Il sistema informativo richiesto da ATS prevede che tutte le componenti applicative e dati siano erogate in ambiente cloud, conformemente alla normativa vigente ed alle Linee Guida di AgID per la
PA. Si fa presente che per quanto non espressamente richiamato nel presente documento, si rimanda alla normativa vigente relativa alla qualificazione dei servizi cloud per la PA.
La soluzione applicativa dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). Si precisa che a partire dalla data di sottoscrizione del contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente ovverosia, in considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico dell’Aggiudicatario. L’Aggiudicatario dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata.
Con riferimento alle due circolari AgID n. 2 e n. 3 del 9 aprile 2018, l’acquisizione dei servizi in hosting dovrà soddisfare quanto indicato: “A decorrere dal 1° aprile 2019, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace”.
A questo proposito ATS richiede che il servizio SaaS erogato dall’Aggiudicatario venga “qualificato” da XxXX e pubblicato nel proprio Cloud Marketplace. Tale attività potrà essere svolta anche successivamente all’aggiudicazione della Gara. Come indicato al link seguente:
xxxxx://xxxxx-xxxxxx.xxxxxxxxxxx.xx/xxxxxxxx/xxxxx-xxxxxx- circolari/it/latest/circolari/SaaS/allegato_a_qualificazione_SaaS_v6.html
“Requisiti per la qualificazione di servizi SaaS per il Cloud della PA”, la procedura di qualificazione AgID prevede che l’Aggiudicatario dichiari esplicitamente la rispondenza del servizio erogato a tutti i requisiti indicati nella circolare sulla qualificazione dei servizi SaaS. La compilazione della auto- dichiarazione (self-assessment) dovrà essere effettuata sul portale dedicato di XxXX. Alternativamente è richiesto che l’Aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che l’Aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. L’Aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati.
L’Aggiudicatario dovrà dare evidenza ad ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. In particolare, il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dall’Aggiudicatario dovrà essere “qualificato” secondo quanto previsto da XxXX. Il CSP dovrà garantire la tutela dei dati personali trattati e la loro conservazione su data center collocati esclusivamente nel territorio italiano.
Considerando i dati in ambito alla presente fornitura come ordinari, il CSP scelto dall’Aggiudicatario dovrà essere aderente ai requisiti espressi dal Regolamento per i servizi cloud, pubblicato da AgID a dicembre 2021 con determinazione 628/2021. Tale Regolamento definisce i requisiti minimi per le infrastrutture digitali, le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud in relazione alla classificazione dei dati trattati.
I criteri per la qualificazione dei servizi cloud delle PA previsti da AgID devono essere integrati da quelli ulteriori previsti dall’Agenzia per la Cybersicurezza Nazionale (ACN) nell’Allegato 1 della determina 307 del 18/01/2022, con particolare riferimento all’allegato C “Requisiti per la qualificazione dei servizi Cloud per la Pubblica Amministrazione”.
È compito di ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dall’Aggiudicatario, che ne risponde penalmente. In caso di servizi non conformi a quanto dichiarato
dall’Aggiudicatario, ATS è tenuta a segnalare la circostanza ad AgID che, in caso di esito confermativo dell’apposita verifica, procederà alla revoca della qualificazione.
La responsabilità risarcitoria a fronte di eventuali danni, economici e/o di immagine, causati da violazioni agli obiettivi di sicurezza previsti da ATS è disciplinata all’interno nel documento “Capitolato Speciale di Appalto”. Occorre fare riferimento a tale documento per la descrizione esaustiva delle clausole, delle responsabilità e delle azioni contrattuali previste a carico dell’Aggiudicatario in relazione alla eventuale perdita, all’illecita diffusione dei dati trattati e gestiti nel cloud ed all’interruzione del servizio erogato. Si ricorda che nella nomina dell’Aggiudicatario a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali previsti da ATS.
Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo 5 “Progettazione, realizzazione e delivery”.
Al fine di permettere ad ATS di valutare l’efficacia del servizio SaaS erogato, l’Aggiudicatario dovrà rendere disponibile ad ATS strumenti idonei di monitoraggio, di Quality Assurance (QA), di Release Management e di accesso alle basi dati dell’applicativo, oltre che consentire di effettuare verifiche periodiche di conformità alla normativa in materia di privacy, sicurezza e accessibilità.
Il Fornitore dovrà inoltre rendere disponibile ad ATS una soluzione integrata con gli strumenti Microsoft Azure DevOps per la gestione del software realizzato, con metodologia Agile, specificatamente per ATS (si veda il requisito non funzionale TEC8).
Si sottolinea che ogni passaggio in produzione di software sviluppato dall’Aggiudicatario e di ogni personalizzazione dedicata ad ATS, dovrà essere necessariamente condiviso e concordato con i referenti di progetto di ATS.
L’utilizzo delle funzionalità del sistema informativo dovrà essere possibile attraverso i più diffusi browser Internet, l’accesso ai dati ed alle funzionalità applicative sarà possibile solo agli utenti abilitati in funzione dei previsti livelli e profili di accesso.
Ai fini della corretta determinazione dell’offerta tecnico-economica di fornitura, si segnala che il codice sorgente è eventualmente consultabile e visionabile in ATS.
Il Concorrente avrà la facoltà di concordare con ATS la visione del sistema nella sua completezza, per una valutazione tecnico/funzionale più accurata.
Ai fini del corretto dimensionamento del sistema e del servizio cloud in ambito al presente Capitolato Tecnico, di seguito sono forniti alcuni dati relativi agli utilizzatori e al contesto tecnologico dell’attuale soluzione software.
È consentita ed auspicabile una reingegnerizzazione dell’intero sistema, di seguito descritto nell’attuale soluzione, per garantire la conformità a tutti i parametri e requisiti tecnologici, normativi, funzionali ed operativi menzionati nel presente capitolato, purché nei limiti delle risorse economiche definite nel contratto e senza alcun onere aggiuntivo a carico di ATS. Naturalmente, le funzionalità già presenti dovranno permanere.
Lato Server:
DBMS | MariaDB 5.5.68 |
Application | Apache 2.4.6 (CentOS); PHP 5.6.40 |
CMS | Joomla! 3.8.3 |
Lato Client:
Non ci sono vincoli nell’utilizzo dell’applicazione, ma solo la necessità di disporre di un client web (Microsoft EDGE o Google Chrome) e la connessione ad Internet o alla rete locale di ATS.
L’utilizzo delle funzionalità del sistema informativo dovrà essere possibile attraverso i più diffusi browser Internet, l’accesso ai dati sarà possibile solo agli utenti abilitati in funzione dei previsti livelli e profili di accesso.
Ai fini del corretto dimensionamento del sistema, di seguito sono forniti alcuni dati relativi agli utilizzatori ed ai processi coinvolti:
• Numero utenti utilizzatori interni ad ATS: circa 20 utenti.
• Volumi documentali previsti: non è possibile fornire una quantificazione a priori.
In numeri indicati sono puramente indicativi e deve essere prevista la possibilità di incremento.
La gestione del back-office sarà in carico al fornitore, in particolare deve essere previsto l’aggiornamento mensile dei dati dalla banca dati dedicata di RL e la gestione degli utenti utilizzatori (abilitazione/ disabilitazione e assegnazione ruolo).
Le performance del sistema erogato dovranno essere in ogni caso adeguate all’effettivo numero di accessi concorrenti che si avranno a regime ed all’eventuale aumento dei dati trattati. L’applicazione web dovrà prevedere l’espandibilità del numero di utenti e garantire la scalabilità delle risorse cloud per gestire efficacemente anche potenziali condizioni di picco delle attività, degli accessi e del trattamento dei dati.
In ogni caso l’accesso e la fruibilità del sistema non dovrà essere numericamente limitato e la variazione in aumento della quantità di utenti non dovrà prevedere oneri aggiuntivi per ATS.
Al fine di consentire un'efficace quotazione della fornitura richiesta, si evidenzia che la durata nominale del contratto previsto dalla presente fornitura è di 12 mesi con l’opzione di ulteriori 12 mesi. Tutte le attività previste dalla fornitura decorrono dalla data di sottoscrizione del contratto.
Tutto il software relativo alla presente fornitura, unitamente a tutte le successive modifiche (correttive e/o evolutive e/o migliorative) che verranno introdotte dall’Aggiudicatario, unitamente a tutta la documentazione tecnica e di esercizio prodotta, sono da intendersi di proprietà intellettuale di ATS.
Con il supporto dell’Aggiudicatario, ATS avrà la possibilità di cedere in riuso il software stesso e le eventuali evoluzioni ad altri Enti Pubblici che lo dovessero richiedere. Tale software e le relative evoluzioni potranno essere segnalate ad AgID per essere rese disponibili in modalità open source sul repository Developers Italia.
3 Attuali Funzionalità
Le attuali funzionalità descritte nel seguito del capitolo sono da considerarsi obbligatorie e, devono, quindi necessariamente permanere.
Come già indicato, è concesso all’Aggiudicatario apportare alla soluzione esistente eventuali migliorie, aggiornamenti, necessari adeguamenti nel caso di evoluzioni o allineamenti di versioni precedenti o nuovi sviluppi ed implementazioni software in ambito tecnologico, operativo e normativo dell’intero sistema, senza richiedere oneri aggiuntivi per ATS.
FUN1 | Console di amministrazione |
Il sistema prevede una console di gestione dedicata agli amministratori per svolgere le necessarie attività di configurazione lato back-end, in particolare: • configurazione e profilazione delle diverse tipologie di utenza; • configurazione di tutte le proprietà degli oggetti gestiti dall’applicazione; • configurazione schede e template reportistica; • configurazione alert di notifica intesa come e-mail da inviare agli ispettori a seguito di presa numero verbale progressivo; • consultazione dei log applicativi. Il software deve effettuare il tracciamento di tutti gli accessi e il registro di tutte le attività svolte dagli utenti sulla piattaforma. |
FUN2 | Gestione Utenti e Ruoli |
Il sistema consente l’identificazione e l’autenticazione (I&A) delle diverse tipologie di utenti previste e la relativa profilazione con ruoli in base alle aree o servizi di appartenenza (gestendo diversi livelli e modalità di accesso al sistema). Gli utenti che possono accedere al sistema possono essere solo interni ad ATS. L’applicativo permette la definizione personalizzata dei ruoli utente ai quali è possibile associare diversi profili personalizzabili di accesso ai dati e alle funzioni dell’applicativo. |
.
FUN3 | Import file di dati estratti da piattaforma AFAM Regionale |
Il sistema consente l’import di dati estratti dalla piattaforma AFAM regionale (per esempio, dati relativi all’anagrafica dei gestori, UDO). |
FUN4 | Geolocalizzazione delle UDO sociali. |
Il sistema consente la geolocalizzazione delle UDO sociali. |
FUN5 | Storicizzazione dei contenuti importati |
Il sistema consente la storicizzazione dei contenuti importati. |
FUN6 | Consultazione dei dati importati relativi alle UDO sociali |
Il sistema consente la consultazione dei dati importati relativi alle UDO sociali in esercizio e con cessata attività. Tale dato è variabile in quanto il debito informativo è di competenza dei Comuni/Uffici di Piano. I dati inseriti in AFAM Sociale e quindi traslati nel Sistema di Banca Dati Strutture Sociali non sono modificabili ed esiste solo la possibilità di aggiungere delle note. |
FUN7 | Consultazione UDO |
Il sistema consente: • la consultazione di una UDO specifica; • la consultazione dei controlli degli ispettori; • la possibilità di aggiungere/integrare/modificare controlli alla UDO; • la consultazione dello storico; |
FUN8 | Registrazione dei Controlli da parte degli Ispettori |
Per ogni tipologia di controllo (in loco, documentale, per possesso requisiti, per mantenimento requisiti, per segnalazione) è possibile associare ad ogni verbale un numero progressivo. Il registro così generato ha valenza annuale. |
FUN9 | Gestione Anagrafica Ispettori ATS |
Il sistema consente la gestione dell’anagrafica degli ispettori ATS. |
FUN10 | Export dei Controlli effettuati dagli Ispettori |
Il sistema consente l’export dei controlli effettuati dagli ispettori con il dettaglio di tutte le attività svolte. Il sistema consente l’esportazione di dati riferiti ad ogni area territoriale e Distretti di ATS e riferita a Ispettori controlli, Strutture Controlli, Strutture Note, Mantenimento Univoche e controlli Annullati filtrati per anno. Congruenza dati AFAM rispetto allo storico presente in nell’attuale Sistema di Banca Dati Strutture Sociali. |
FUN11 | Gestione Agenda attività Ispettori |
Il sistema consente la gestione dell’agenda delle attività degli ispettori. |
FUN12 | Reportistica delle attività svolte dagli ispettori |
Il sistema consente la gestione della reportistica sia testuale che in forma grafica delle attività svolte dagli ispettori. |
FUN13 | Export dei Dati dell’anagrafica Regionale |
Il sistema permette l’export dei dati acquisiti da AFAM Regionale. |
FUN14 | Integrazioni Applicative |
Non ci sono e non sono previste integrazioni applicative. |
FUN15 | Promemoria |
Il sistema consente in fase di avvio lo stato di fatto delle attività associate ad ogni ispettore. |
4 Nuove Funzionalità Richieste
NEW1 | Integrazione con Azure Active Directory – Requisito necessario |
L’autenticazione degli utenti deve basarsi sulla piattaforma Microsoft Azure Active Directory messa a disposizione da ATS. Gli utenti che possono accedere al sistema possono essere solo interni ad ATS. Deve essere prevista la funzionalità di Single Sign On (SSO) per gli utenti interni che appartengono all’Active Directory di ATS e che accedono al sistema attraverso una postazione di lavoro in dominio ATS con le relative credenziali di dominio. |
5 Requisiti non funzionali
Si elencano di seguito i requisiti non funzionali, tecnici e tecnologici richiesti all’applicazione software oggetto del presente Capitolato Tecnico.
ORG1 | SPOC (Single Point of Contact) |
Al fine di rendere più efficaci le comunicazioni tra ATS e Aggiudicatario, quest’ultimo dovrà individuare e comunicare ad ATS, fin dalle prime fasi di analisi e durante tutte le fasi operative, un referente unico di contatto (SPOC) per tutta la durata del servizio. |
ORG2 | Assistenza tecnica qualificata |
A seconda della tipologia di intervento richiesto, l’Aggiudicatario metterà a disposizione di ATS un proprio servizio di assistenza tecnica specialistica in grado di intervenire efficacemente, eventualmente anche attraverso work-around temporanei, nonché tempestivamente in funzione del livello di gravità del malfunzionamento. |
SEC1 | Sicurezza logica, fisica e organizzativa |
Dato il grado di confidenzialità delle informazioni gestite dal sistema, l’Aggiudicatario dovrà garantire tutte le misure di sicurezza logica (riservatezza, integrità, disponibilità dei dati) e organizzativa per garantire il rispetto della normativa vigente, tenendo conto delle best practices di sicurezza informatica. |
SEC2 | Privacy |
Fare riferimento alla normativa sulla privacy secondo quanto riportato al capitolo “Riferimenti documentali e normativi” del presente documento. L’Aggiudicatario sarà designato come Responsabile Esterno al trattamento dei dati. |
SEC3 | GDPR (General Data Protection Regulation) – Regolamento UE 2016/679 |
Le prestazioni oggetto della presente fornitura dovranno essere conformi al Regolamento Generale sulla Protezione dei Dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679) e all’adeguamento della normativa italiana alle disposizioni del Regolamento UE 2016/679 (D.Lgs. n. 101/2018). |
SEC4 | Protocollo HTTPS |
Il software applicativo, oggetto della fornitura, dovrà essere fruibile dai client esclusivamente mediante protocollo HTTPS. |
L’Aggiudicatario dovrà provvedere alla fornitura ed al rinnovo dei certificati necessari per il corretto funzionamento del sistema. Ogni certificato fornito dovrà essere emesso da una Certification Authority pubblicamente riconosciuta ed intestato ad ATS. |
SEC5 | Accordi di Non Divulgazione (NDA) e di Trattamento dei Dati (DPA) |
L’Aggiudicatario dovrà garantire la non divulgazione delle informazioni sensibili trattate dal sistema a cui avrà accesso nel corso delle fasi di progettazione, sviluppo, avviamento e manutenzione del sistema. Tali accordi (Non Disclosure Agreement, NDA) dovranno valere anche dopo la conclusione della presente fornitura. L’Aggiudicatario dovrà garantire il rispetto di accordi specifici sul trattamento e la protezione dei dati (Data Protection Agreement, DPA), personali e sensibili secondo la normativa vigente, con cui verrà in contatto nel corso delle attività. |
SEC6 | Audit e Monitoraggio |
ATS si riserva la facoltà di sottoporre ad audit e monitoraggio tutte le attività del servizio erogato e in particolare relative al trattamento delle informazioni confidenziali e sensibili effettuate dall’Aggiudicatario e dal personale di cui esso intende avvalersi, per tutta la durata contrattuale della fornitura. Le attività di audit e monitoraggio potranno riguardare i seguenti processi: • qualità e prestazioni dei servizi erogati dal sistema; • conformità dei servizi erogati dal sistema alle policy di ATS, riferite nel presente documento; • vulnerability assessment e relativi penetration test (VAPT) del sistema. ATS informerà lo SPOC dell’Aggiudicatario, con preavviso di almeno 30 giorni, della pianificazione, dei tempi e delle modalità delle sessioni di audit previste. |
5.3 Requisiti e vincoli tecnologici e infrastrutturali
TEC1 | Accesso web |
Le funzionalità messe a disposizione dal sistema dovranno essere raggiungibili dagli utenti, sia interni che esterni ad ATS, attraverso l’accesso alla rete Internet, col solo utilizzo di un browser, senza limitazioni di accessi concorrenti. L’accesso web deve essere possibile senza dover installare componenti esterni (plug-in). Lato client, il sistema deve essere conforme alle normative nazionali in tema di accessibilità dei sistemi informatici. Come requisito facoltativo, si desidera che l’applicazione possa essere utilizzata anche in mobilità, attraverso tablet e smartphone. Si desidera disporre di proposte di soluzioni che si avvalgano di template che siano correttamente visualizzati da mobile ovvero web responsive e che non compromettano i parametri di qualità ed efficienza relativi alle funzionalità previste dall'applicativo sia in termini funzionali, operativi, normativi (in particolare sulla sicurezza, accessibilità e |
usabilità). La soluzione presentata non dovrà comportare oneri aggiuntivi da parte di ATS. |
TEC2 | Interfaccia web |
Le funzionalità messe a disposizione dal sistema dovranno poter essere fruibili dagli utenti con i browser di seguito menzionati e presenti sul mercato, garantendo la corretta rappresentazione dei contenuti da parte dei motori di rendering utilizzati. Più nel dettaglio, a seconda del dispositivo, il sistema dovrà garantire la protezione dei dati memorizzati e gestiti attraverso opportuni meccanismi di backup in sinergia con la infrastruttura cloud utilizzata. Inoltre, a seconda del dispositivo operativo utilizzato dall’utente, dovrà essere garantita la compatibilità con i seguenti sistemi operativi e browser: • piattaforma desktop: Windows, OS X, Linux; • piattaforma mobile: IOS e Android; • Microsoft Edge e Chrome; nelle versioni che i rispettivi vendor garantiranno dal punto di vista del supporto per tutto il periodo della validità contrattuale del presente capitolato. Per una rapida visualizzazione delle pagine web, il sistema dovrà garantire un peso pagina web ottimizzato dal punto di vista della dimensione. La presentazione delle pagine web dovrà essere realizzata in HTML5. |
TEC3 | Infrastruttura applicativa |
L’Aggiudicatario dovrà garantire, nel corso del contratto di manutenzione, l’adeguamento di tutte le componenti applicative e delle relative strutture dati a fronte di eventuali aggiornamenti che si rendano necessari per adeguamenti normativi, di sicurezza o tecnologici. Il sistema dovrà essere scalabile nella quantità di dati inseriti mantenendo prestazioni inalterate. |
TEC4 | Evoluzioni tecnologiche |
L’Aggiudicatario dovrà garantire l’adeguamento del sistema informativo oggetto del presente capitolato anche rispetto a nuove versioni ed aggiornamenti del software open source utilizzato, di browser, sistemi operativi, software di base, middleware che i vari vendor dovessero rilasciare per tutto il periodo di validità contrattuale. |
TEC5 | Identificazione & Autenticazione degli utenti |
Il sistema dovrà essere integrato con Microsoft Azure Active Directory per gli utenti interni ad ATS e per gli utenti amministratori (sia essi interni ad ATS che dell’Aggiudicatario). L’accesso dovrà essere possibile in SSO (Single Sign On). |
TEC6 | Caricamento dei documenti |
Il sistema deve permettere il caricamento di documenti nei formati più diffusi, comprendendo anche file firmati digitalmente e cartelle compresse. Tutti i file di produzione “esterna” del software (ad esempio: report, tabelle, fogli di calcolo, …) dovranno essere compatibili con i software open source più in uso (ad esempio Open Office) nella versione più aggiornata disponibile. |
TEC7 | Hosting dei servizi cloud |
Con riferimento alle due circolari AgID n. 2 e n. 3 del 9 aprile 2018, l’acquisizione dei servizi in hosting dovrà soddisfare quanto indicato: “A decorrere dal 1 aprile 2019, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace” (xxxxx://xxxxx.xxxxxx.xx/xxxxxxxxxxx/). |
TEC8 | Azure DevOps |
Il sistema applicativo richiederà, per tutto il suo ciclo di vita, l'esecuzione di attività sistemistiche da parte dell'Aggiudicatario connesso all'ambiente cloud SaaS gestito in hosting e alle relative risorse. Nell’ambito del servizio di hosting oggetto di fornitura, per quanto concerne le attività di predisposizione degli ambienti e di deployment del software negli ambienti operativi previsti (collaudo, produzione), ATS considera in via preferenziale la gestione dell’infrastruttura di hosting dedicata al sistema e delle specifiche tecniche attraverso modelli standard (ad esempio: template JSON) che dovranno essere documentati e messi a disposizione di ATS nel proprio repository del codice sorgente su Microsoft Azure DevOps. Il progetto dovrà essere condotto secondo metodologia DevOps (Agile), attraverso strumenti e tecniche di Continuous Integration/Continuous Delivery. L’Aggiudicatario dovrà adottare gli strumenti messi a disposizione da Azure DevOps, in particolare: • Azure DevOps Project, ambiente dedicato alla gestione del progetto; • Azure Repos, repository del codice sorgente dell’applicazione e dei file (template JSON) utilizzati dall’infrastruttura SaaS dedicata al sistema; • Azure Boards, strumenti per la pianificazione, governance e condivisione degli avanzamenti del progetto. L’utilizzo da parte dell’Aggiudicatario degli strumenti Microsoft Azure DevOps permette di assicurare ad ATS la supervisione sulla governance del progettoper tutta la durata contrattuale. |
TEC9 | Backup |
Il sistema dovrà permettere il ripristino totale o parziale dei dati dalle copie di backup in sinergia con la infrastruttura cloud utilizzata. A questo proposito dovrà essere possibile il ripristino dei contenuti relativamente agli ultimi 14 giorni lavorativi. |
L’Aggiudicatario dovrà sottoporre alla validazione ed accettazione di ATS le policy e le procedure di backup adottate, prevedendo una retention minima di 14 giorni, al fine di garantire il backup dei dati gestionali e di sistema. L’Aggiudicatario dovrà eseguire le attività di backup in accordo con le policy e le procedure di backup e dovrà notificare ad ATS, entro otto ore lavorative successive, ogni evento che abbia causato la mancata esecuzione di una attività di backup. ATS potrà richiedere, per finalità di monitoraggio del servizio, l’esecuzione di procedure di test sulla funzionalità di backup / restore per assicurarsi attraverso verifiche ispettive la corretta operatività del servizio. |
USA1 | Facilità d’Uso |
Il sistema dovrà essere progettato e implementato in modo da agevolare ogni categoria di utenza prevista durante le relative fasi operative. L’interfaccia grafica dovrà essere implementata in italiano. |
USA2 | Interfacce Help-On-Line |
Il sistema dovrà disporre di una guida in linea delle funzionalità, ad integrazione della documentazione utente e operativa. La guida in linea dovrà essere implementata in italiano. |
USA3 | Inserimento dati |
Il sistema dovrà disporre di opportuni controlli per evitare l’inserimento di informazioni errate e/o incomplete, garantendo controlli di congruenza dei dati inseriti dall’utente. |
MIG1 | Migrazione dati storici |
La Fornitura dovrà prevedere la predisposizione dei database interni del sistema (import: anagrafiche, …) e garantire il porting dei dati dall’attuale Sistema di Banca Dati Strutture Sociali. erogato sulla sottoscrizione Azure di ATS verso la sottoscrizione cloud dell’Aggiudicatario, secondo le tempistiche stabilite da ATS. Tali attività saranno propedeutiche al collaudo ed all’avviamento del sistema in produzione. |
6 Gestione del progetto
L’Aggiudicatario è responsabile di tutte le attività connesse alla messa in esercizio ed alla manutenzione, correttiva ed evolutiva, del sistema informativo oggetto del presente Capitolato Tecnico. La gestione del progetto comprende anche la progettazione, realizzazione e messa in esercizio di tutte le nuove funzionalità descritte nel presente Capitolato Tecnico e di tutte quelle evolutive che saranno previste nel corso del contratto. Sono inoltre comprese nella fornitura tutte le attività relative alla predisposizione del repository del codice sorgente sulla sottoscrizione Microsoft Azure DevOps di ATS, mentre il deployment del software deve essere previsto negli ambienti operativi (collaudo, produzione) in cloud in modalità SaaS gestito in hosting dall’Aggiudicatario. A questo proposito fare riferimento a quanto indicato nel requisito tecnologico “TEC8 - Azure DevOps”.
Il progetto esecutivo dell’Aggiudicatario deve dare evidenza dell’applicazione delle best practices sulla conduzione del progetto, dalla pianificazione, alle scelte organizzative, alle metodologie adottate volte ad assicurare il controllo e la riduzione dei rischi di progetto per tutta la durata della fornitura.
ATS intende cooperare con l’Aggiudicatario per garantire il corretto andamento e la governance delle attività descritte nel presente Capitolato Tecnico.
Nel suo ruolo di responsabilità del contratto e di gestione del rapporto di fornitura, si richiede all’Aggiudicatario la massima trasparenza e tracciabilità delle attività svolte in tutte le fasi del progetto, nel rispetto degli obiettivi e dei vincoli contrattuali previsti. A questo proposito il progetto esecutivo dell’Aggiudicatario deve definire le modalità, le fasi e le date (milestone) di condivisione con ATS dei previsti deliverable di progetto nel corso del periodo contrattuale.
Per assicurare ad ATS la supervisione e la governance del progetto, l’Aggiudicatario è tenuto ad adottare gli strumenti Microsoft Azure DevOps utilizzati da ATS ed applicare la relativa metodologia Agile ed un approccio operativo di Continuous Integration/Continuous Delivery. La gestione del progetto da parte dell’Aggiudicatario deve consentire ad ATS di disporre nel proprio repository Azure DevOps, oltre al codice sorgente, consistente ed allineato con il codice rilasciato in produzione, di tutta la documentazione di progetto comprendente la documentazione di collaudo, la strategia di recupero e migrazione dei dati storici, la manualistica operativa da utilizzare anche nel corso delle attività di formazione dell’utenza di ATS. Si sottolinea che ATS dovrà disporre su Microsoft Azure DevOps di tutto lo storico delle versioni rilasciate in produzione.
Nello specifico:
• il piano di progetto di nuove funzionalità deve essere condiviso e manutenuto tra l’Aggiudicatario ed ATS attraverso Microsoft Azure DevOps (per esempio attraverso gli strumenti: Backlog per la gestione dei requisiti; Sprint e Delivery Plans per la pianificazione) sulla sottoscrizione di ATS;
• nel proprio piano di qualità l’Aggiudicatario deve garantire l’adozione di strumenti di qualità del software (ad esempio, SonarQube, WhiteSource, …) che consentano all’Aggiudicatario, preventivamente al rilascio in produzione e dandone evidenza ad ATS, di effettuare l’analisi statica del codice ed il monitoraggio secondo le metriche indicate:
o complessità (cognitiva e ciclomatica);
o duplicazioni del codice;
o vulnerabilità critiche;
o bug;
o violazioni d’uso delle licenze su librerie di terze parti.
ATS si riserva di valutare preventivamente ogni rilascio software dell’Aggiudicatario e di rigettare quelli che non rispettino i seguenti standard di qualità (quality gate):
o assenza di bug;
o assenza di vulnerabilità critiche;
o assenza di violazioni d’uso delle licenze su librerie di terze parti.
ATS metterà a disposizione dell’Aggiudicatario uno specifico manuale (“A101-MS003 - Istruzioni DevOps per Fornitori”) con indicazioni specifiche riguardanti tutte le attività di integrazione con la piattaforma Microsoft Azure DevOps di ATS. L’Aggiudicatario sarà tenuto ad attenersi a quanto indicato nel suindicato manuale.
7 Formazione
Il servizio deve comprendere la formazione all’utilizzo del sistema dedicato agli utilizzatori interni ad ATS con particolare riferimento alle nuove funzionalità previste nel capitolato ed alle future evolutive.
La formazione dovrà consistere in almeno 5 (cinque) giornate da erogarsi nell’arco di tutto il periodo contrattuale su richiesta di ATS. La formazione potrà essere fruita anche tramite mezze giornate. L’attività d’aula sarà effettuata presso la sede che verrà indicata da ATS. Tale sede si troverà sul territorio di competenza di ATS. Se concordato con ATS, alcune fasi dell’attività di formazione potranno essere effettuate in teleconferenza.
L’attività formativa dovrà essere pianificata in accordo con ATS in modo da non intralciare, rallentare o impedire la normale operatività degli utenti coinvolti.
L’Aggiudicatario dovrà mettere a disposizione di ATS un'attività di assistenza continuativa nelle fasi di avvio del sistema per tutti gli operatori impegnati sul campo.
A supporto degli utenti del sistema, l’Aggiudicatario deve prevedere la produzione, la consegna, il mantenimento di un’adeguata documentazione tecnica ed operativa, in generale di tutto quanto, anche successivamente, si rendesse necessario produrre per documentare modifiche e/o adeguamenti al sistema in esercizio. In particolare, devono essere resi messi a disposizione di ATS i seguenti manuali:
• Manuale d’Uso dell’Utente, eventualmente suddiviso in più moduli dedicati alle diverse tipologie di utenti, contenente le informazioni di riferimento necessarie per il corretto uso del sistema in tutti gli scenari di utilizzo previsti.
• Manuale di Amministrazione di Sistema, contenente la descrizione esaustiva di tutte le funzioni specifiche dell’Amministratore di Sistema.
• Documento Tecnico di Dettaglio per le Nuove Funzionalità, contenente tutte le informazioni tecniche di dettaglio relative al sistema, alla propria base dati ed alle relative interfacce (grafiche e di comunicazione.
La documentazione tecnica, utente e operativa deve essere messa a disposizione anche attraverso un help-on-line (come specificato nel requisito tecnico “USA2 - Interfacce Help-On-Line”), con specifici rimandi dalle varie sezioni.
8 Collaudo e Avviamento
Il sistema oggetto del presente Capitolato Tecnico è vincolato al superamento di una opportuna procedura di collaudo, condivisa con ATS, prima dell’effettiva accettazione del sistema e quindi dell’effettivo rilascio in produzione in modo da assicurare la non regressione delle funzionalità erogate rispetto all’attuale sistema erogato da ATS.
Il collaudo deve essere effettuato in un ambiente di test dedicato, messo a disposizione in hosting dall’Aggiudicatario, il più vicino possibile, in termini di risorse cloud, a quello di produzione. In collaudo verranno utilizzate postazioni client coerenti con quanto previsto dal contratto di Fornitura.
Si sottolinea che ogni futura modifica, correttiva o evolutiva o migliorativa, da apportare al sistema dovrà essere anch’essa soggetta a collaudo preventivo prima dell’effettivo rilascio in produzione.
Anche nel contesto di erogazione del servizio SaaS, ATS richiede che ogni eventuale modifica all’ambiente di utilizzo (software d’ambiente, patch, …) sia soggetta anch’essa a specifiche procedure di verifica onde garantire la non regressione delle funzionalità applicative, dandone evidenza ad ATS.
Prima di eventuali sessioni di precollaudo e delle effettive sessioni di collaudo, l’Aggiudicatario è tenuto a presentare un’opportuna documentazione (check list di collaudo) soggetta ad eventuali integrazioni ed alla accettazione finale da parte di ATS.
In caso di inadempimenti dell’Aggiudicatario legati al rilascio in produzione di funzionalità o modifiche non condivise o che non abbiano positivamente superato le procedure di collaudo, ATS si riserva la facoltà di valutare l’applicazione di penali ed eventualmente la risoluzione del contratto di Fornitura.
Ad integrazione di quanto indicato, l’Aggiudicatario è tenuto a consegnare ad ATS, preventivamente alle procedure di collaudo, una specifica documentazione (test list e test report funzionali) che dia evidenza dell’adeguata copertura delle funzionalità e del buon esito delle verifiche funzionali effettuate internamente durante le fasi di presa in carico del sistema. Dalle verifiche funzionali previste verranno selezionati gli scenari di collaudo.
Durante il collaudo e/o gli eventuali precollaudi saranno verificate punto per punto tutte le funzionalità indicate nelle procedure stesse (check list collaudo) condivise con ATS. Al termine delle fasi di collaudo sarà redatto un verbale corredato da un opportuno documento (test report di collaudo) attestante l'esito delle verifiche effettuate.
Nel caso in cui una o più specifiche funzionali, non funzionali e tecniche o altri aspetti rilevanti della Fornitura inclusi nel presente Capitolato e/o eventualmente forniti come requisiti migliorativi dall’Aggiudicatario non superino il collaudo (requisito non implementato o con gravi mancanze), il collaudo terminerà con esito negativo.
Nel caso il collaudo sia superato solo parzialmente, a causa di problemi minori risolvibili in un tempo stimato limitato, il collaudo terminerà con esito di superamento parziale. L’Aggiudicatario rilascerà l’elenco dei problemi da risolvere con un piano temporale di risoluzione concordato con ATS. La verifica della risoluzione dei problemi sarà oggetto di un ulteriore collaudo da parte di ATS.
Al superamento del collaudo, l’effettivo rilascio in produzione avverrà secondo un piano di avviamento che assicuri, al momento dell’apertura del servizio in produzione, la corretta operatività a tutti gli utenti del sistema. La messa in esercizio del sistema è quindi vincolata al completamento delle seguenti attività:
• predisposizione dei database interni del sistema (per esempio, import di anagrafiche, …) e importazione dei dati documentali preesistenti;
• eventuali sessioni di formazione per le diverse tipologie di utenti, secondo un piano condiviso con ATS.
Una volta rilasciato il sistema in esercizio, ATS si riserva la facoltà di monitorare il corretto funzionamento del sistema in produzione per un per periodo di due mesi (fase di avvio) per valutare l’affidabilità dell’erogazione del servizio.
ATS chiede che la soluzione venga rilasciata in produzione completa di tutte le parti specificate nel presente Capitolato Tecnico entro un massimo di 60 giorni solari dalla data di sottoscrizione del contratto.
8.1 Governance e monitoraggio in produzione
In caso di non conformità dell’infrastruttura di erogazione del servizio a carico dell’Aggiudicatario, rilevate nel corso delle sessioni di audit periodiche da parte di una commissione ATS, l’Agenzia si riserva la facoltà di valutare l’applicazione di penali secondo quanto previsto dal contratto di Fornitura.
Fare riferimento a quanto indicato nel requisito SEC6 – “Audit e Monitoraggio”.
9 Servizi di assistenza e manutenzione
L’Aggiudicatario è tenuto a garantire, per tutta la durata del periodo contrattuale, la manutenzione (correttiva, evolutiva, normativa) e l’assistenza del sistema informativo in esercizio tale da assicurare la continuità operativa del servizio.
9.1 Manutenzione correttiva ed assistenza
Il servizio di manutenzione correttiva includerà:
• la correzione di difetti del prodotto software emersi a seguito di malfunzionamenti rilevati durante l'esercizio o individuati anche autonomamente dall’Aggiudicatario;
• il rilascio di nuove release del prodotto.
L’individuazione e la correzione di eventuali anomalie devono essere estese a tutto il software preesistente ed alle sue modifiche correttive ed evolutive, escludendo potenziali regressioni, funzionali e no, che possano impattare le funzionalità e le performance dell’applicativo in produzione.
Tutte le attività relative ad aggiornamenti, modifiche, rilascio di nuove release dovranno essere preventivamente condivise con ATS ed opportunamente pianificate e gestite in modo coordinato, al fine di minimizzare i disagi alle attività operative e i blocchi temporanei.
Il servizio di assistenza includerà:
• un servizio di help desk di secondo livello attivabile direttamente dall’Ufficio preposto dell’ATS o attraverso i servizi di help desk di primo livello della ATS. Il servizio potrà essere richiesto sia a seguito di malfunzionamenti e/o disservizi sia per richiesta di attività di supporto all'operatività. Tutte le attività di help desk di secondo livello hanno carattere esclusivamente informatico.
• Il servizio di help-desk dovrà essere garantito nei giorni feriali da lunedì a venerdì, dalle ore 08:00 alle 17:00 secondo quanto specificato nel capitolo “SLA richiesti e criteri di misura”.
La fornitura di manutenzione correttiva e assistenza dovrà comprendere:
• la mano d’opera (illimitata);
• l'assistenza telefonica (illimitata);
• la teleassistenza (illimitata);
• eventuali costi di trasferta del personale dell’Aggiudicatario o di suo consulente di cui vorrà avvalersi.
L’Aggiudicatario dovrà fornire ad ATS idonee e chiare istruzioni operative per l'attivazione del servizio.
Gli interventi dovranno potersi effettuare sia in loco che a distanza, anche in teleassistenza. L’Aggiudicatario dovrà impegnarsi, nel caso di attivazione del servizio di secondo livello, a dare riscontro ad ATS di tutte le fasi di gestione della richiesta di assistenza (presa in carico, risoluzione, chiusura), attraverso un sistema di gestione dei ticket. Tutti gli interventi di tipo sistemistico conseguenti alle attività sopra indicate dovranno essere preventivamente pianificati e concordati con ATS.
La manutenzione correttiva dell'applicazione software e assistenza si applica negli stessi termini anche alle integrazioni realizzate con altri sistemi.
L’Aggiudicatario è tenuto a dare evidenza ad ATS, attraverso il buon esito delle procedure di collaudo, di ogni modifica correttiva apportata all’applicazione. Le procedure di collaudo dovranno essere sempre preventivamente condivise e approvate da ATS.
L’Aggiudicatario si impegna a fornire, nel periodo contrattuale e senza oneri aggiuntivi per ATS, gli adeguamenti del software applicativo alle intervenute disposizioni legislative, regolamentari, dispositive provenienti a vario titolo dalle Pubbliche Amministrazioni competenti nelle materie riguardanti le informazioni gestite dal sistema oggetto dell’appalto.
Le attività di adeguamento dell’applicazione software ricomprese nel presente articolo riguardano le modifiche e/o gli aggiornamenti e/o evoluzioni di funzionalità presenti, anche solo parzialmente, e gestite nella soluzione applicativa in uso. Le eventuali attività necessarie all’adeguamento normativo che richiedessero la realizzazione di funzionalità totalmente assenti, dunque funzionalità completamente nuove saranno considerate manutenzione evolutive e regolate secondo quanto indicato nel successivo paragrafo “Manutenzione evolutiva”.
Tutte le attività relative ad aggiornamenti, modifiche, rilascio di nuove release dell'applicazione software dovranno essere opportunamente pianificate con ATS e l’avvio in produzione dovrà essere preventivamente autorizzato mediante apposito collaudo funzionale al fine di minimizzare i disagi alle attività operative e/o blocchi temporanei alle procedure.
Le tempistiche di intervento saranno di volta in volta concordate con l’Aggiudicatario e comunque non oltre il limite di cinque giorni lavorativi dalla richiesta o entro il limite di applicazione fissato dalla disposizione legislativa, regolamentare, dispositiva intervenuta.
A seguito del rilascio in produzione, una modifica o nuova funzionalità relativa alla manutenzione normativa diventa parte integrante dell'applicazione software e ad essa si applica quanto definito nelle restanti parti del capitolato (ovvero, manutenzione correttiva).
La manutenzione normativa dell'applicazione software si applica negli stessi termini anche alle integrazioni realizzate con altri sistemi.
Non essendo identificabili a priori gli interventi evolutivi determinati da necessità non comprese nelle specifiche iniziali del presente documento, la realizzazione di tali attività presuppone la preventiva analisi dei bisogni, la quotazione delle attività, la pianificazione degli interventi, la realizzazione ed il relativo collaudo. Tutte le fasi del processo sopra descritto sono da concordarsi con ATS.
Per lo svolgimento di tali attività, ATS richiede all’Aggiudicatario di quotare all’interno della presente fornitura, un “pacchetto” di giornate-uomo, da utilizzarsi “a consumo” ovvero l’utilizzo di giornate o anche mezze giornate di attività per lo sviluppo di tali interventi evolutivi.
Il pacchetto di giornate-uomo richiesto è stimato fino ad un massimo di 10 giornate/uomo all’anno o anche in 20 mezze giornate/uomo all’anno da erogarsi a consumo per tutta la durata contrattuale. Il pacchetto di giornate-uomo all’anno, può essere rinnovato per l’ulteriore anno di contratto.
Tali giornate potranno anche essere utilizzate solo in parte da ATS; in tal caso ATS corrisponderà all’Aggiudicatario solo il costo delle giornate/mezze giornate effettivamente erogate e preventivamente concordate con ATS sulla base di un documento tecnico, redatto dall’Aggiudicatario, che dia evidenza delle attività effettivamente previste.
Il prezzo del “pacchetto” deve comprendere:
• le attività di analisi e sviluppo degli adeguamenti richiesti con la fornitura delle professionalità necessarie;
• l’integrazione della documentazione già rilasciata dall’Aggiudicatario;
• gli eventuali costi di trasferta del personale dell’Aggiudicatario da garantire in caso di esplicita richiesta da parte di ATS.
Lo sviluppo delle modifiche dovrà essere validato sulla base di specifiche di collaudo concordate con ATS. Si ribadisce che ogni intervento evolutivo deve essere sempre preventivamente approvato da ATS sulla base di un documento tecnico di dettaglio dell’Aggiudicatario, comprendente l’analisi dell’intervento richiesto e la determinazione dell’effort tecnico secondo la metrica dei Function Point adottata da ATS. In base alla documentazione prodotta, ATS effettuerà una valutazione indipendente dell’impegno richiesto per valutare l’adeguatezza dell’impegno economico.
A seguito del rilascio in produzione, una modifica o nuova funzionalità diventa parte integrante dell'applicazione software e ad essa si applica quanto definito nelle restanti parti del contratto.
10 Durata del contratto e modalità di conclusione
La durata nominale del contratto previsto dalla presente fornitura è di 12 mesi a partire dalla data di sottoscrizione del contratto, più ulteriori 12 mesi opzionali. In particolare:
• il servizio di manutenzione (ordinaria ed evolutiva) e il servizio di formazione decorrono dalla data di collaudo positivo della soluzione;
• l’erogazione dei servizi cloud SaaS decorre dalla data di sottoscrizione del contratto.
L’Aggiudicatario è tenuto a garantire la messa in esercizio della soluzione in tutte le parti specificate nel presente Capitolato Tecnico ed a superare positivamente il collaudo, entro un massimo di 60 giorni solari dalla data di sottoscrizione del contratto. La non osservanza di tale tempistica può determinare l’applicazione di penali e/o l’eventuale risoluzione del contratto.
Dalla data di sottoscrizione del contratto, l’Aggiudicatario dovrà provvedere alla fornitura di tutti i certificati digitali necessari per la messa in esercizio del sistema informativo ed erogare i relativi servizi di cloud hosting garantendo almeno due ambienti operativi indipendenti (ambiente di collaudo e di produzione).
È prevista la possibilità di prorogare mensilmente la manutenzione correttiva e l’assistenza, senza variazioni di canone, per un massimo di 12 mesi. ATS corrisponderà i relativi compensi calcolati sulla base del valore del canone del presente servizio.
L’Aggiudicatario è tenuto a garantire ad ATS un adeguato passaggio di consegne alla conclusione naturale del contratto. Le stesse modalità dovranno essere assicurate dall’Aggiudicatario in caso di eventuale conclusione anticipata del servizio.
In particolare, l’Aggiudicatario è tenuto a garantire, in ogni momento e senza oneri per ATS, l’export dell’intera base dati, in un formato standard, aperto e documentato.
In linea con la normativa vigente, in particolare con le circolari AgID n.2 e n.3 del 9 aprile 2018 e relativi allegati (fare riferimento al capitolo “Riferimenti documentali e normativi” del presente documento), l’Aggiudicatario deve consentire la migrazione del servizio verso un altro Fornitore SaaS, con conseguente eliminazione permanente dei propri dati al termine del contratto.
11 SLA richiesti e criteri di misura
La gestione della Fornitura, dei servizi di manutenzione e di assistenza, è disciplinata dal documento “Capitolato Speciale di Appalto” in cui vengono illustrati gli indicatori di qualità e gli SLA della Fornitura come parte integrante del presente Capitolato Tecnico: fare quindi riferimento a tale documento per la descrizione esaustiva degli obiettivi e delle azioni contrattuali previsti.
Dato il rilevante impatto che tale progetto ha sull’immagine di ATS, un importante elemento di valutazione è la qualità del servizio offerto agli utenti del sistema, in tutti gli scenari di riferimento, misurata attraverso la rispondenza a specifici indicatori di qualità e relativi SLA riguardanti anche i tempi di risoluzione di eventuali problematiche o anomalie o difetti che dovessero verificarsi in esercizio.
L’Aggiudicatario è tenuto a garantire il servizio di manutenzione ed assistenza secondo la seguente copertura oraria:
Giorno | Copertura |
Lunedì | dalle 8.00 alle 17:00 |
Martedì | dalle 8.00 alle 17:00 |
Mercoledì | dalle 8.00 alle 17:00 |
Giovedì | dalle 8.00 alle 17:00 |
Venerdì | dalle 8.00 alle 17:00 |
Negli stessi orari dovranno essere garantiti i seguenti servizi:
• help desk;
• raccolta, registrazione e instradamento delle richieste di intervento in caso di xxxxxx;
• verifica dell’esecuzione dell’intervento riparatore e registrazione della conclusione.
Il sistema di tracciatura utilizzato dall’Aggiudicatario dovrà permettere ad ATS la ricezione di notifiche o comunicazioni relative ad ogni cambio di stato delle segnalazioni effettuate fino alla chiusura dei ticket da parte dei gruppi tecnici preposti.
12 Riferimenti documentali e normativi
Privacy e Security | GDPR (General Data Protection Regulation), Regolamento UE 2016/679. D.Lgs 101/2018 (“Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati”). D.Lgs. 196/2003 (“Codice in materia di protezione dei dati personali”). Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche - 2 luglio 2015. Linee guida AgID in merito alle misure minime di sicurezza ICT per la PA (Circolare n. 1 del 17/3/2017 pubblicata in GU del 4/4/2017). Misure Minime di Sicurezza AgID (circolare n. 2 del 18/4/2017). |
Data Center e cloud | Indicazioni di AgID: Circolare n. 2 del 24/06/2016, “Piano triennale per l’informatica nella pubblica amministrazione” previsto dalle disposizioni della legge n. 208 del 28/12/2015 - Legge di stabilità 2016. Circolare n.5 del 30 Novembre 2017 relativa agli obiettivi e alle linee guida per la PA rispetto al risparmio di spesa ICT e al consolidamento dei data center. Circolare AgID n. 2 del 9 aprile 2018, “Criteri per la qualificazione dei Cloud Service Provider per la PA”. Circolare AgID n. 3 del 9 aprile 2018, “Criteri per la qualificazione di servizi SaaS per il Cloud della PA”. Hosting dei servizi cloud: Con riferimento alle due circolari AgID n. 2 e n. 3 del 9 aprile 2018, l’acquisizione dei servizi in hosting dovrà soddisfare quanto indicato: “A decorrere dal 1° aprile 2019, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace” (xxxxx://xxxxx.xxxxxx.xx/xxxxxxxxxxx/). |
Linee Guida AgID | Linee Guida su acquisizione e riuso di software per le Pubbliche Amministrazioni. Release Finale, 9 maggio 2019, e s.m.i. Allegato A delle suddette Linee Guida: Guida alla pubblicazione di software come open source. |
Proprietà intellettuale | L. 633/41 (“Protezione del diritto d'autore e di altri diritti connessi al suo esercizio”). |