CONDIZIONI DI FORNITURA

Il presente documento è parte integrante della documentazione di gara e definisce le caratteristiche e i requisiti per l’affidamento dei Servizi di conduzione, gestione, manutenzione, evoluzione e assistenza del Sistema Informativo del Dipartimento per i Trasporti e la Navigazione (SIDT) del Ministero delle Infrastrutture e della Mobilità Sostenibili (MIMS).

A marzo 2020 il Dipartimento per i Trasporti e la Navigazione del Ministero delle Infrastrutture e della Mobilità Sostenibili (nel seguito Dipartimento o Committente o Amministrazione) e Consip S.p.A. hanno sottoscritto un “Disciplinare per lo svolgimento di attività di supporto in tema di acquisizione di beni e servizi” con lo scopo di agevolare il processo di razionalizzazione della spesa e garantire gli obiettivi di risparmio previsti dalla legislazione vigente. In tale ambito, il Dipartimento ha affidato a Xxxxxx S.p.A. l’iniziativa in oggetto nel perimetro del Disciplinare succitato e del Piano Annuale per il 2020 (Procedura 2020-3 Iniziativa A), approvato dal Dipartimento in data 12 maggio 2020, così come modificata nel Piano Annuale per il 2021 in corso di approvazione.

Le prescrizioni contenute nel presente documento, ivi incluse le appendici sotto richiamate, rappresentano requisiti minimi della fornitura.

Ciò comporta che:

- il non rispetto in fase di offerta determinerà l’esclusione dalla procedura di gara;

- il non rispetto in fase di esecuzione è inadempimento contrattuale che comporterà l’applicazione delle sanzioni contrattualmente previste o comunque un rilievo sulla fornitura in assenza di azioni specifiche.

Sono parti integranti del presente Condizioni di Fornitura le seguenti appendici: Appendice 1 - Indicatori di qualità

Appendice 2 - Cicli e prodotti

Appendice 3 - Profili professionali Appendice 4 - Contesto del SIDT Appendice 5 - Infrastruttura centrale

Appendice 6 - Componenti di rete periferici Appendice 7 - Postazioni e aule esami Appendice 8 - Inventario del parco applicativo

2. CONTESTO DELLA FORNITURA

2.1. SISTEMA INFORMATIVO DEL DIPARTIMENTO PER I TRASPORTI E LA NAVIGAZIONE (SIDT)

Il SIDT supporta l’erogazione dei servizi relativi alle Aree di processo afferenti alla Direzione Generale per la Motorizzazione, per i servizi ai cittadini ed alle imprese in materia di trasporti e navigazione (DGMOT), alla Direzione Generale per la Sicurezza Stradale (nel cui ambito opera la Centrale Operativa del CCISS – Centro Coordinamento per le informazioni sulla Sicurezza Stradale), alla Direzione Generale per il trasporto pubblico locale, la mobilità pubblica sostenibile e gli interventi nel settore del trasporto ferroviario regionale, alla Direzione Generale per l'autotrasporto di persone e cose, per la logistica e l'intermodalità, al Comitato Centrale per l’Albo Nazionale dell’Autotrasporto, alla Direzione Generale per la vigilanza sulle Autorità di sistema portuale, il trasporto marittimo e per vie d'acqua interne oltre ai cosiddetti servizi trasversali (es. DWH, cooperazione applicativa, ecc.).

In tali ambiti sono erogati diversi macro servizi, quali ad esempio il Portale dell’Automobilista, il Portale del Trasporto, Il Portale dell’Albo dell’Autotrasporto, lo Sportello Telematico dell’Automobilista, lo Sportello Telematico del Diportista (STED), l’Archivio nazionale Taxi e NCC, il Portale del CCISS, nonché l’Archivio Nazionale dei Veicoli e l’Anagrafe Nazionale degli Abilitati alla guida.

Gli archivi contengono i dati di oltre 50 milioni di veicoli circolanti, di circa 100.000 natanti da diporto e di circa 38 milioni di patenti attive; le banche dati sono aggiornate in tempo reale da oltre 25.000 operatori pubblici distribuiti sul territorio nazionale (uffici periferici, amministrazioni provinciali, prefetture, ecc.) e privati (studi di consulenza automobilistica, autoscuole, medici abilitati al rinnovo della patente, officine autorizzate, importatori di veicoli, case costruttrici, ecc.) per il rilascio delle targhe di tutti i veicoli, dei documenti unici di circolazione (DUC), dei certificati di circolazioni dei ciclomotori, dei tagliandi della revisione nonché per la stampa e l’emissione delle patenti e di altri documenti di abilitazione alla guida (Carte di Qualificazione dei Conducenti (CQC), ADR, licenze comunitarie per l’autotrasporto, ecc.).

Inoltre per i veicoli, oltre alla cronologia dei proprietari e dei titoli autorizzativi, sono memorizzati i controlli tecnici effettuati su ogni singolo veicolo (revisioni, collaudi ecc.) e le caratteristiche tecniche dello stesso.

Analogamente sono disponibili nell’Anagrafe nazionale degli abilitati alla guida tutte le informazioni relative alla vita del titolare di patente (xxxxxxxx xxxxxx xxxx, xxxxx, rinnovi, decurtazioni punti, eventuali sospensioni, revoche, ecc.).

I suddetti archivi sono inoltre aggiornati dalle forze di polizia (circa 40.000 utenti), con l’inserimento delle violazioni al codice della strada e le eventuali decurtazioni di punteggio.

Tutte le informazioni sono disponibili alle forze di polizia h 24, 7 gg su 7.

I servizi del SIDT sono erogati tramite una piattaforma tecnologica che si compone di:

- una infrastruttura centralizzata sita presso il Campus di Via Caraci a Roma con circa 600 immagini server applicative e infrastrutturali;

- componenti applicative stimabili in termini dimensionali in ca. 150.000 Punti Funzione e realizzate con diverse tecnologie che vanno da architetture legacy ad architetture basate su container;

- un sito di Disaster Recovery (DR), presso un sito dell’attuale Fornitore, in replica asincrona periodica dello storage, ma non connesso a SPC;

- un’architettura di rete e sicurezza (switch, router, firewall, acceleratori applicativi, sonde, ecc.) con ca. 1.500 componenti;

- alcune infrastrutture distribuite definite critiche tra cui: circa 3.200 postazioni d’esame quiz patente per i candidati e esaminatori e circa 1.250 componenti di rete e sicurezza dislocati nelle sedi periferiche.

Vista la complessità e la quantità dei servizi erogati per tramite della piattaforma, a completamento sono previsti

degli appositi servizi di service desk, sia per il personale interno dell’Amministrazione sia per quello esterno che ha accesso agli applicativi.

Il Data Center attualmente è chiamato a gestire:

- circa 10 milioni di transazioni/giorno, da quando è stata attivata a regime la dematerializzazione del contrassegno assicurativo (con picchi giornalieri anche di 12 milioni di transazioni);

- oltre 2 milioni di visure/anno effettuate sugli archivi dagli operatori dei paesi europei collegati;

- oltre 30.000 utenti collegati in media al giorno;

- oltre 6 milioni di cittadini iscritti al portale dell’automobilista.

Per una descrizione completa del contesto della fornitura si rimanda alle appendici: Appendice 4 - Contesto del SIDT

Appendice 5 - Infrastruttura centrale

Appendice 6 - Componenti di rete periferici Appendice 7 - Postazioni e aule esami Appendice 8 - Inventario del parco applicativo

2.2. PERIMETRO DEI SERVIZI DA ACQUISIRE

Nell’ambito dei servizi e delle forniture complessivamente necessarie per gestione del SIDT, considerato che il Dipartimento ha indirizzato e/o sta indirizzando con appositi strumenti e iniziative separate aspetti quali ad esempio quello della gestione degli impianti, della stampa e dell’imbustamento, della gestione delle postazioni di lavoro dei dipendenti, ecc., l’iniziativa per l’affidamento dei Servizi di conduzione, gestione, manutenzione, evoluzione e assistenza per il SIDT dovrà prevedere tutti quei servizi strettamente connessi con le componenti prettamente informatiche, in dettaglio:

- i servizi applicativi: sviluppo e MEV, manutenzione correttiva, adeguativa e migliorativa e di gestione applicativa (comprensivi di conduzione applicativa, data entry e servizi di assistenza di secondo livello verso gli operatori e i front-end cittadini e CCISS);

- i servizi infrastrutturali: conduzione operativa del CED, dei servizi infrastrutturali in cloud (IaaS, PaaS, CaaS, ecc.) e del Disaster Recovery in cloud; gestione operativa delle postazioni d’esame e il monitoraggio dell’ambiente distribuito che è strettamente connesso all’erogazione dei servizi del SIDT per l’erogazione degli esami per le patenti;

- i servizi trasversali: SPOC e i servizi di supporto tecnico (applicativo, infrastrutturale, alla progettazione, ai servizi cloud).

2.3. SCENARIO DI EVOLUZIONE

2.3.1. OBIETTIVI

L’iniziativa per l’affidamento dei Servizi di conduzione, gestione, manutenzione, evoluzione e assistenza del Sistema Informativo del Dipartimento per i Trasporti e la Navigazione, si colloca in un percorso di forte evoluzione e profondo cambiamento intrapreso dal Dipartimento principalmente alla luce di una serie di fattori:

- il Piano Triennale per l’informatica nella Pubblica Amministrazione 2020-2022 che, focalizzandosi sul

presupposto abilitante del cloud first, è incentrato sul favorire, attraverso l’innovazione, la digitalizzazione e la standardizzazione, lo sviluppo di una società digitale, dove i servizi mettono al centro i cittadini e le imprese e che indica nella digitalizzazione, resa possibile dai servizi cloud della PA, motore di sviluppo del Paese, il fattore chiave per il successo;

- la necessità di potenziamento della governance di un Sistema Informativo cresciuto nel tempo e oggi estremamente complesso e integrato con servizi di altre PA, nonché la necessità di garantire la continuità di alcuni servizi che sono critici in termini di sicurezza dei cittadini che impongono di muoversi velocemente verso nuovi modelli di erogazione dei servizi in un’ottica di semplificazione e efficientamento, con un governo unitario per il controllo della qualità della fornitura;

- l’esigenza di una sempre maggiore flessibilità e velocità di adattamento dei servizi ai cambiamenti che richiede da una parte la trasformazione digitale dei processi e dall’altra un significativo rinnovamento applicativo e infrastrutturale verso modelli di design e erogazione dei servizi innovativi (human centered design, metodologie agile, architettura cloud, ecc.)

In coerenza con quanto evidenziato, con il futuro contratto il Dipartimento si pone i seguenti obiettivi strategici:

- effettuare la reingegnerizzazione e l’aggiornamento tecnologico del parco applicativo per garantire la portabilità sul cloud e una migliore modularità, scalabilità e integrazione dei sistemi, riscrivendo completamente il proprio parco applicativo in logica container (es. Docker);

- dismettere i sistemi legacy e tutte le relative componenti;

- mantenere a regime nel Data Center primario (Classe A nel censimento Agid) i servizi e sistemi critici (ad es. anagrafica patenti, anagrafica veicoli, servizi alle forze dell’ordine, ecc.) e quelli necessari per il pieno governo dei servizi, in modo da garantire il controllo diretto del MIMS per tali componenti;

- migrare gradualmente, a partire dalle componenti meno critiche, il proprio Sistema Informativo in cloud, eventualmente anche attraverso architetture ibride.

L’esigenza del Dipartimento, quindi, è quella di stipulare un contratto che lo supporti nell’attuazione di un percorso organico e coerente con la necessità di garantire la continuità dei servizi per migrare dalla situazione attuale a quella a regime, nel pieno rispetto di quanto descritto in precedenza.

1° anno 🡪 effettiva «presa in carico» del SIDT da parte dell’aggiudicatario, assessment dei servizi, progettazione, identificazione delle componenti da migrare, definizione del Piano di migrazione e inizio della migrazione al cloud;

2° e 3° anno 🡪 migrazione al cloud, configurazione delle componenti infrastrutturali, porting delle componenti applicative attraverso la containerizzazione, dismissione legacy, ecc. ;

4° anno 🡪 completamento del Piano di migrazione al cloud, gestione a regime, piccole evoluzioni e passaggio di consegne.

Al termine del processo di migrazione si stima che l’80% dei servizi applicativi saranno erogati attraverso un’architettura di tipo cloud.

2.3.2. STRATEGIA DI MIGRAZIONE DEL SIDT

In coerenza con le indicazioni del Piano, il Dipartimento prevede di migrare integralmente il proprio Sistema Informativo in cloud nell’arco dei prossimi 4-5 anni, attuando un approccio graduale, in coerenza con quanto previsto dal “Programma di abilitazione al cloud” elaborato dal Team per la Trasformazione Digitale in collaborazione con XxXX, e in particolare dalla “Roadmap di una migrazione” descritta nel relativo kit.

Considerato che la migrazione dell’intero parco applicativo del Dipartimento al cloud è un’operazione estremamente complessa, che riguarda non solo aspetti tecnologici, ma anche di processo, organizzativi, normativi e culturali, per garantire il successo dell’operazione e limitare al contempo i rischi occorre procedere in modo iterativo e incrementale, utilizzando la nuova architettura gradualmente già durante il percorso e non solo al

termine dell’intera transizione, e migrando per primi gli applicativi che traggono un beneficio significativo dall’adozione del paradigma cloud e che al contempo rappresentano un rischio ridotto per la continua erogazione dei servizi supportati e risultano relativamente semplici da migrare.

Prima di avviare il percorso di migrazione, sarà condotto un assessment dei servizi e dell’infrastruttura, aggiornando le relative mappe e i dati di ciascun applicativo, i vincoli e gli aspetti tecnologici, i dati nonché le esigenze degli utenti e l’offerta del mercato, per poi effettuare un’analisi costi benefici, che tenga conto dei costi di riscrittura delle applicazione, infrastrutturali di migrazione e post migrazione, al fine di individuare le applicazioni target e avviare specifici progetti pilota.

In particolare, il Dipartimento intende procedere alla graduale riscrittura del proprio parco applicativo utilizzando le tecnologie dei container (es. Docker) e prevede, nell’arco dei 4 anni di contratto, la dismissione dei sistemi legacy e delle relative componenti Cobol.

Tra i percorsi di migrazione al cloud già avviati si segnalano quelli relativi alle applicazioni per la gestione del Documento Unico di Circolazione e di Proprietà del Veicolo (DU) e dei servizi di pagamento.

2.3.3. EVOLUZIONE CRM E ASSISTENTE DIGITALE

Tra le aree maggiormente coinvolte nel processo di trasformazione e evoluzione descritte in precedenza è di cruciale importanza la gestione dell’esperienza degli utenti, intesa come:

- comprensione delle esigenze, attraverso l’analisi dei dati e delle interazioni;

- crescita dei canali di interazione, attraverso la definizione di processi dedicati, ma anche sistemi di marketing predittivo;

- costruzione di punti di contatto con gli utenti, in modo che siano di tipologia varia per poter essere adeguati alle diverse esigenze e caratteristiche, dal self-service alla definizione di servizi di supporto.

La trasformazione digitale ha imposto una revisione complessiva dei modelli organizzativi, favorendo la transizione a una logica Customer-Centric sempre più spinta.

Le nuove tecnologie ICT hanno inoltre generato diverse modalità di empowerment degli utenti, con impatti sulle organizzazioni, sulla comunicazione e sull’interazione tra amministrazioni pubbliche e utenti, mutandone l’approccio e ridefinendone gli equilibri: “customer” sempre più concepiti come partner all’interno di un network collaborativo.

Pertanto l’Amministrazione ha già da tempo intrapreso un percorso evolutivo con l’obiettivo di realizzare un nuovo servizio di Assistenza all’utenza che preveda l’adozione di processi e strumenti evoluti nell’ottica della Customer Experience, con interventi mirati nei seguenti ambiti:

- il disegno di nuovi processi, prevedendo la necessaria sinergia tra i diversi servizi di supporto all'utenza già in essere nel Dipartimento (“Contact Center UCO” rivolto ai cittadini, “Service Desk” rivolto agli operatori professionali e agli utenti interni al Dipartimento, Contact Center per i servizi di Pagamento dei Diritti di Motorizzazione);

- l’individuazione degli strumenti a supporto, qualificando al meglio le potenzialità della multicanalità, del Knowledge Management e di quant’altro la tecnologia è in grado oggi di esprimere in ambito Customer Care;

- la ricerca delle modalità di misurazione del livello di soddisfazione dell’utenza.

Sviluppare un nuovo servizio di Assistenza secondo i principi della Customer Experience significa realizzare un servizio che considera le esigenze del Cliente al centro della progettazione (Customer Experience Design) e il suo livello di soddisfazione come principale obiettivo del servizio attraverso un ciclo virtuoso di continuo miglioramento che si realizza attraverso un’analisi critica del livello di servizio offerto che determina continue

iniziative di miglioramento (Customer Experience Management).

L’attuale configurazione del servizio di Assistenza all’utenza del SIDT, che rappresenta una fase intermedia del processo evolutivo, è descritto nell’Appendice 4 - Contesto del SIDT.

Il bacino di utenza del Dipartimento è eterogeneo e comprende:

- l’utenza interna: rappresentata dal personale del Dipartimento che opera sia nella sede centrale del MIMS che presso gli Uffici periferici del Dipartimento, quali gli Uffici della Motorizzazione Civile (UMC), i Centri Prove Autoveicoli (CPA) e gli Uffici Speciali Trasporti ad Impianti Fissi (USTIF);

- l’utenza esterna:

che si qualifica in macro-tipologie distinte:

o i cittadini, dai 14 anni;

o gli Operatori Professionali, intesi quali Agenzie di intermediazione di pratiche auto, Autoscuole, Officine Revisioni, Allestitori veicoli, Medici Certificatori, Forze dell’Ordine, ecc;

o i Poli telematici che sono degli Enti che offrono agli Operatori Professionali servizi di intermediazione tecnologica verso il Sistema Informativo del Dipartimento per i Trasporti (SIDT).

Nel percorso evolutivo il Dipartimento ha intenzione di utilizzare di volta in volta i canali e le modalità di comunicazione adeguati alla numerosità, alle specificità dell’utenza, al tipo e al grado di complessità dei servizi offerti.

Per l’utenza interna e per gli operatori professionali, mettendo a fattor comune gli asset già adottati dal Dipartimento per altri servizi di Assistenza già avviati, come il Documento Unico, o in fase di avvio, come il Centro Servizi per gli UMC per la gestione delle prenotazioni delle pratiche, la soluzione adottata si avvale della piattaforma CRM (Oracle Service Cloud), scalabile, facilmente integrabile e erogabile secondo il modello SaaS (Software-as-a-Service), e del prodotto Oracle Digital Assistant.

Entrambi i prodotti, sono perfettamente coerenti con le linee guida indicate da AgID nel Piano Triennale 2020/2022 che prevede il paradigma “cloud first”.

Tali asset, in corso di utilizzo in un primo progetto pilota in ambito SIDT, realizzano scenari di supporto alle richieste dell’utenza con interazione multi-canale (self-ticketing, telefono, e-mail) e permettono di assistere l’utenza in modalità self-service, anche con l’uso di assistente virtuale, introducendo quei canali alternativi al canale telefonico, che risulta predominante nell’attuale servizio e costituisce un elemento limitato e inadeguato per realizzare la piena soddisfazione dell’utenza.

La fase successiva del percorso di trasformazione intrapreso dal Dipartimento rappresenta da un lato la naturale prosecuzione delle azioni di consolidamento e/o integrazione del modello organizzativo e delle piattaforme a supporto, dall’altro prevede l’introduzione di best-practices innovative volte all’implementazione della strategia di Customer Engagement.

Partendo dalla situazione as-is dei servizi di assistenza all’utenza del SIDT descritta nell’Appendice 4 - Contesto del SIDT, la figura seguente mostra una visione del modello target progettato dall’Amministrazione per completare il percorso di trasformazione.

Il modello prevede interventi volti a creare le dovute sinergie e le necessarie semplificazioni:

- dal punto di vista dei canali si prevede un importante spostamento delle interazioni verso i canali più innovativi del Customer Portal del CRM e dell’Assistente Digitale, a scapito dei più tradizionali Telefono e Email. Potranno essere esplorati anche nuovi canali di interazione come, ad esempio, la Chat (sincrona) e il Co-browse;

- le 2 strutture di front-office distinte per tipologia di utenza, il “Service Desk” e il “Contact Center UCO”, saranno unificate a formare lo SPOC, la struttura unica di front-office per gestire l’interazione con tutti gli utenti del Dipartimento;

- per il Contact Center dei Pagamenti, data la criticità e la complessità del servizio di Pagamento dei Diritti del Dipartimento che vede circa 50 milioni di pagamenti annui, al termine del periodo di vigenza del contratto di Concessione (luglio 2021) occorrerà verificare se sarà più efficace e efficiente mantenere tale servizio di assistenza distinto rispetto allo SPOC;

- il Centro Servizi poiché svolge una funzione complementare al servizio di Assistenza rimarrà distinto rispetto allo SPOC;

- le strutture di 2° e di 3° livello saranno “logicamente” anch’esse unificate pur mantenendo la forte specializzazione sulle specifiche aree di competenza.

In aggiunta ai precedenti interventi, il modello del servizi di assistenza sarà arricchito con le componenti necessarie a misurare e valutare il livello di soddisfazione dell’utenza. Quindi è auspicata l’implementazione di:

- un modulo per le Campagne Inbound, finalizzate alla raccolta e all’analisi dei feedback in merito a modalità, tipologia e risolutezza dei servizi erogati agli utenti. In particolare, sono previste rilevazioni “a caldo” tramite una raccolta di feedback degli utenti in concomitanza o appena dopo l’erogazione del servizio (ad es. a chiusura di una telefonata, della chat o direttamente nel corpo della mail di risposta) e rilevazioni “a freddo” in cui gli utenti possono esprimere il proprio feedback in un secondo momento rispetto a quando hanno usufruito del servizio (campagne mirate di raccolta Customer Satisfaction come questionari on-line, survey, ecc.);

- un modulo per le Campagne Outbound, finalizzate ad informare/diffondere informazioni necessarie agli utenti in logica “broadcasting”.

Dal punto di vista delle piattaforme, assume un ruolo centrale il CRM con il quale dovranno essere gestite le principali modalità di interazione con l’utenza e tutto il ciclo di vita delle richieste di assistenza.

Si assume come elemento centrale la componente di Knowledge Management del CRM che sarà utilizzata e costantemente arricchita secondo un processo di continuous improvement basato sul consolidamento della Customer Experience e finalizzato a supportare gli operatori nel gestire in maniera guidata le diverse richieste; ciò consentirà di raggiungere un alto livello di produttività, un’omogeneità del servizio e, di conseguenza, snellire il processo di evasione della richiesta, nella continua ricerca del miglior livello di soddisfazione possibile dell’utenza (Customer Experience Management).

La piattaforma CRM è arricchita dell’integrazione con il prodotto Oracle Digital Assistant per gestire l’interazione con gli utenti mediante Assistente Digitale che consente l’utilizzo di chatbot che traggono vantaggio da un'interfaccia utente di conversazione naturale, tramite testo o discorso utilizzando l'intelligenza artificiale (AI) e l'apprendimento automatico. Questa integrazione consente di configurare Oracle Digital Assistant per spostare la conversazione verso un operatore reale del servizio di assistenza che opera tramite CRM; quando si verifica il trasferimento, l'operatore può visualizzare la cronologia della conversazione in modo che l’utente non debba ripetere le risposte fornite durante la sessione di chatbot. Tale sistema sarà esteso a tutte le tipologie di utenze, in particolare al Cittadino, sia attraverso i canali web (Portale dell’automobilista) che sui canali mobile (app iPatente).

L’uso integrato di CRM e Assistente Digitale inoltre consentirà l’arricchimento del bagaglio informativo per consentire all’utenza di orientarsi tra i servizi messi a disposizione dal Dipartimento, con un processo di miglioramento continuo volto ad innalzare la qualità del servizio erogato.

3. OGGETTO

L’oggetto della fornitura, come di seguito meglio specificato, è costituito da:

a) Servizi Applicativi di:

✓ Sviluppo e Mev di Software

✓ Manutenzione SW, più in particolare:

• Manutenzione Correttiva (incluse piccole MAD/MAM/MEV)

• Manutenzione Adeguativa e Migliorativa (interventi maggiori)

✓ Gestione applicativa, più in particolare:

• Conduzione applicativa

• Servizi di secondo livello

• Data entry pratiche amministrative

b) Servizi Sistemistici di:

✓ Conduzione operativa dell'Infrastruttura, più in particolare:

• Conduzione Operativa CED

• Conduzione Operativa Servizi Cloud Esterni

• Supporto sistemistico Cloud (CaaS, SaaS, ecc.)

• Conduzione operativa apparati di rete e sicurezza CED

• Conduzione operativa componenti di rete periferici

✓ Gestione Postazioni Esami

c) Servizi Trasversali di:

✓ Single Point of Contact (SPOC)

✓ Servizi di supporto tecnico, più in particolare:

• Supporto Applicativo

• Supporto operativo su soluzioni cloud

• Supporto Infrastrutturale

• Supporto per la Progettazione della Migrazione

Le attività di Subentro e passaggio di consegne (par. par. 9.2) sono da considerarsi incluse nella fornitura e non comporteranno alcun onere addizionale per la Committente.

I requisiti tecnici, funzionali e organizzativi relativi ai prodotti e ai servizi su elencati e oggetto della fornitura sono descritti nel prosieguo del presente documento nonché nel seguito del presente par. 3.

3.1. DURATA

La durata dei servizi oggetto della presente fornitura sarà pari a 48 (quarantotto) mesi, a decorrere dalla “Data di Attivazione dei Servizi” secondo quanto contrattualmente previsto, a cui si aggiungeranno ulteriori 12 mesi per la sola manutenzione correttiva in garanzia sul software rilasciato e collaudato nel corso degli ultimi dodici mesi di erogazione dei servizi.

Le attività relative al Subentro, si svolgeranno secondo la tempistica specificata dal Fornitore in sede di offerta tecnica, e dovranno prevedere l’esito positivo della Verifica di conformità (Data di Attivazione dei Servizi) entro 3 mesi solari dalla “Data di stipula del Contratto” (salve eventuali proposte migliorative).

Il periodo di passaggio di consegne a fine fornitura avrà una durata massima di 3 mesi solari, a partire dal momento della comunicazione di attivazione da parte della Committente. Si fa presente che il passaggio di consegne potrà essere richiesto anche nel corso della fornitura a fronte di specifiche necessità dell’Amministrazione.

Ove necessario, troverà applicazione l’art. 106, co. 11, del D. Lgs. n. 50/2016, per cui la durata del contratto potrà essere prorogata per il tempo strettamente necessario alla conclusione delle procedure utili all'individuazione di un nuovo contraente, ivi incluso il tempo indispensabile per la stipula del contratto. In tal caso il Fornitore è tenuto all'esecuzione delle prestazioni previste nel contratto agli stessi prezzi, patti e condizioni o più favorevoli per il Dipartimento.

3.2. REQUISITI ORGANIZZATIVI E RUOLI DI COORDINAMENTO

In linea generale è richiesto al Fornitore che le risorse impiegate nella fornitura abbiamo elevate capacità tecniche e professionali: prontezza, precisione, affidabilità, competenza e perfetta conoscenza della documentazione contrattuale.

È essenziale, inoltre, da parte del Fornitore, un elevato grado di flessibilità nel rendere disponibili le risorse, nonché nel garantire le necessarie competenze.

Il Fornitore è tenuto ad impiegare i referenti di seguito indicati, quali ruoli minimi di coordinamento delle attività contrattuali previste. In caso di inadeguatezza, impreparazione e/o incompetenza, il referente dovrà immediatamente essere sostituito con una figura rispondente ai requisiti minimi richiesti e l’Amministrazione potrà procedere con l’eventuale applicazione di rilievi e/o penali, secondo quanto previsto nel Contratto. Nel caso di indisponibilità dei referenti, ad esempio per ferie, malattia, il Fornitore deve garantire un’adeguata sostituzione al fine di assicurare il servizio richiesto dalla Committente.

I referenti dovranno dare piena visibilità alla Committente su tutte le attività di propria competenza.

Per tutti i referenti richiesti e/o offerti, il Fornitore dovrà fornire un numero di telefono cellulare, un indirizzo di posta elettronica e/o ufficio di segreteria attivo durante l’orario di servizio richiesto per la fornitura e garantire la risposta ai quesiti posti entro 8 ore lavorative dall’inoltro o dal contatto telefonico, e, qualora necessaria la presenza presso la sede del MIMS, entro 2 giorni lavorativi. Tali presenze non dovranno comportare alcun onere aggiuntivo per la Committente e, pertanto, tutti i referenti richiesti e/o offerti non dovranno far parte di alcuno dei gruppi di lavoro relativi ai servizi oggetto della fornitura.

Si richiede che il Fornitore, nell’ambito dei diversi servizi, provveda alla verbalizzazione degli incontri con la Committente, al fine di condividere in tempi rapidi quanto deciso nel corso degli incontri.

Si sottolinea infine che, a prescindere dall’organizzazione che il Fornitore adotterà per l’erogazione dei servizi, è richiesto un alto grado di sinergia tra tutte le risorse impiegate nella fornitura, al fine di garantire un costante e adeguato grado di conoscenza e di attenzione evitando discontinuità. Il Fornitore dovrà curare l’aggiornamento professionale delle proprie risorse, per garantire il pieno svolgimento delle attività di supporto per l’evoluzione tecnologica e di migrazione del SIDT.

Eventuali sostituzioni o inserimenti di personale (sia tra i referenti che tra il personale impiegato per l’esecuzione delle attività contrattuali) dovranno essere preventivamente concordate con la Committente che si riserva la facoltà di esaminare le risorse messe a disposizione dall’Impresa, per verificarne i livelli di conoscenza e la generale idoneità allo svolgimento delle attività richieste. Le nuove risorse professionali indicate, inoltre, dovranno avere attestati e esperienze, in tipologia e durata, non inferiori a quelle in possesso delle risorse da sostituire.

La sostituzione o l’inserimento del personale dovrà avvenire conformemente a quanto specificato nel par. 9.7.1. Qualora la sostituzione o l’inserimento vengano effettuati in ritardo o la nuova risorsa risulti ancora inadeguata con necessità di un’ulteriore sostituzione, si applicheranno le sanzioni contrattuali secondo quanto previsto dall’Appendice 1 - Indicatori di qualità.

II personale utilizzato per le attività contrattuali, pur dovendo svolgere l’incarico in oggetto in sistematico contatto con la Committente, opererà senza alcun vincolo di subordinazione e in totale autonomia organizzativa e operativa. Tale personale svolgerà le prestazioni nel rispetto delle norme d’accesso vigenti presso la sede nella quale dovrà operare.

Si precisa che, a meno dei ruoli di “Gestore della configurazione”, “Responsabile tecnico per i servizi di Gestione Applicativa”, “Responsabile tecnico per i servizi di Conduzione operativa dell'Infrastruttura” e “Responsabile tecnico per il Single Point of Contact (SPOC)”, i ruoli di cui ai seguenti paragrafi non dovranno comportare alcun onere aggiuntivo per la Committente e non faranno parte di alcuno dei gruppi di lavoro relativi ai servizi oggetto della fornitura.

3.2.1. RESPONSABILE UNICO DELLE ATTIVITÀ CONTRATTUALI

Entro 5 (cinque) giorni lavorativi dalla Data di stipula del Contratto, il Fornitore dovrà indicare un Responsabile unico delle attività contrattuali (di seguito per brevità anche RUAC) indicandone il nominativo e i riferimenti alla Committente. In particolare, tale responsabile sarà, per tutti gli aspetti amministrativi, contrattuali e tecnici, l’interlocutore unico della Committente. Sarà cura del Responsabile unico delle attività contrattuali verificare il rispetto di tutti gli adempimenti contrattuali.

Il RUAC dovrà riferire al Dipartimento su tutte le tematiche contrattuali inerenti la fornitura, quali ad esempio:

- correttezza nell’esecuzione dei servizi (ad esempio, la stima, la pianificazione e la consuntivazione degli Obiettivi, gli adempimenti legati alla qualità, il controllo dell’avanzamento lavori, la verbalizzazione degli incontri con l’utenza, le attività di valutazione e contenimento dei rischi, l’efficacia e l’efficienza dell’attività di test, ecc.);

- pieno adempimento degli impegni assunti in offerta tecnica: disponibilità delle banche dati, knowledge management, soluzioni, ecc.. come dettagliatamente indicato tra gli elementi migliorativi dell’offerta tecnica;

- correttezza e tempestività dell’utilizzo del Portale della fornitura e degli strumenti in uso presso il Dipartimento e/o proposti in offerta tecnica;

- predisposizioni e variazioni dei Piani di lavoro della fornitura;

- predisposizione e garanzia del rispetto del Piano della Qualità e delle specificità dei servizi richiesti;

- verifica dei livelli di servizio sulle attività oggetto della fornitura e individuazione delle eventuali azioni correttive a fronte del mancato rispetto delle soglie previste e/o a fronte di rilievi;

- verifica dei risultati sugli indicatori di qualità;

- problematiche relative a scostamenti sui mix effettivi dei singoli servizi e problematiche relative ad eventuale mancata aderenza delle risorse impiegate ai profili professionali richiesti con particolare riferimento, ad esempio, alle certificazioni richieste o a competenze di tematica;

- eventuali azioni da intraprendere per migliorare l’erogazione dei servizi e valutarne i risultati ottenuti;

- pianificazione e impiego di risorse quantitativamente e qualitativamente adeguate;

- gestione delle criticità e dei rischi complessivi di progetto risolvendo tutti i potenziali conflitti e/o eventuali disservizi;

- coordinamento fra i gruppi e i referenti per garantirne il massimo grado di sinergia e omogeneità d’azione,

ottimizzando in particolare la distribuzione delle risorse fra i gruppi a fronte di picchi d’attività e/o di esigenze e urgenze specifiche;

- garanzia di unitarietà, integrazione, omogeneità e sinergia nelle singole erogazioni dei servizi;

- adozione di idonei strumenti per facilitare la comunicazione e lo scambio di informazioni tra i vari attori coinvolti nella Fornitura;

- assicurazione di un alto grado di sinergia tra le risorse impiegate nei servizi realizzativi e quelle impiegate negli altri servizi quali la gestione per la fase di avviamento in esercizio delle applicazioni/obiettivi, al fine di garantire un costante e adeguato grado di conoscenza e di attenzione evitando discontinuità;

- eventuali azioni correttive proposte a fronte di situazioni critiche e/o di risultati di iniziative di Customer Satisfaction;

- rendicontazione settimanale, durante il periodo di subentro, dello stato di avanzamento e partecipazione a tutti i momenti di “check” con il Dipartimento.

Il profilo professionale minimo per tale figura dovrà essere almeno equiparabile a quello di Capo Progetto e la risorsa dovrà possedere spiccate e comprovate capacità manageriali e avere una qualifica dirigenziale, con appositi poteri di firma tali da impegnare in maniera esecutiva l’impresa/RTI/Consorzio nei confronti del Dipartimento.

3.2.2. RESPONSABILI TECNICI PER L’EROGAZIONE DEI SERVIZI

I responsabili tecnici sono i referenti operativi del Fornitore per l’ erogazione dei servizi. Il Fornitore dovrà rendere disponibile almeno:

- un Responsabile tecnico per i servizi di Sviluppo e Mev di Software, Manutenzione Adeguativa e Manutenzione Migliorativa;

- un Responsabile tecnico per il servizio di Xxxxxxxxxxxx Xxxxxxxxxx (MAC);

- un Responsabile tecnico per i servizi di Gestione Applicativa;

- un Responsabile tecnico per i servizi di Conduzione operativa dell'Infrastruttura;

- un Responsabile tecnico per i servizi di Gestione Postazioni Esami;

- un Responsabile tecnico per il Single Point of Contact (SPOC);

- un Responsabile tecnico per i servizi di Supporto tecnico.

I suddetti responsabili dovranno garantire il corretto svolgimento delle attività e dei servizi e il relativo livello di qualità di erogazione, nel pieno rispetto degli indicatori previsti all’Appendice 1 - Indicatori di qualità.

A titolo esemplificativo si riportano le attività principali in carico ai responsabili tecnici:

- predisposizione dei Piani di Lavoro e dei Piani di Qualità di obiettivo per le attività e i progetti;

- coordinamento delle risorse impiegate nel servizio negli ambiti assegnati;

- verifica che tutte le risorse coinvolte nei servizi eroghino le attività, conformemente ai requisiti minimi e migliorativi di qualità della fornitura;

- preparazione e consegna all’Amministrazione dei report contrattuali sui livelli di servizio, secondo modalità da concordare specificamente;

- coordinamento e gestione dei rapporti operativi con Terze Parti finalizzati alla corretta erogazione dei servizi. Il profilo professionale minimo per tali figure deve essere almeno equivalente a quello di Capo Progetto.

I Responsabili tecnici dovranno inoltre partecipare alle riunioni di avanzamento su richiesta del Dipartimento, nonché essere sempre reperibili telefonicamente e tramite posta elettronica.

Il Fornitore dovrà infine prevedere una presenza continuativa e operativa presso il Dipartimento del Responsabile tecnico per i servizi di Gestione Applicativa, del Responsabile tecnico per i servizi di Conduzione operativa dell'Infrastruttura e del Responsabile tecnico per il Single Point of Contact (SPOC).

3.2.3. RESPONSABILE DELLA QUALITÀ DEL SOFTWARE E DELLE ATTIVITÀ DI TESTING

Il Responsabile della Qualità del software dovrà garantire che tutti i capi progetto del Fornitore disegnino e progettino software conformi ai requisiti minimi di qualità della fornitura definiti con riferimento alle caratteristiche della ISO 25010.

Il referente dovrà avere un profilo pari almeno ad un Capo Progetto con specifiche competenze in ambito qualità del software e in possesso di un’elevata conoscenza delle principali metodologie di testing e delle best practices per il settore.

Le sue responsabilità coprono:

- la definizione e l’implementazione delle pratiche e delle procedure finalizzate a garantire la necessaria qualità del software;

- la definizione del sistema di autovalutazione del servizio attraverso l’implementazione, misurazione dei KPI offerti oltre agli indicatori previsti contrattualmente;

- la verifica delle attività di analisi qualitativa del prodotto finale, con focus sull’individuazione delle potenziali problematiche sui singoli componenti sviluppati;

- la pianificazione, il coordinamento e la corretta esecuzione del processo di testing e la gestione del relativo team, oltre a fornire periodicamente tutte le indicazioni necessarie al miglioramento dei processi di sviluppo;

- la definizione della strategia di test da adottare per ogni specifico obiettivo e la sua validazione con il Dipartimento;

- l’identificazione e la progettazione degli scenari di test funzionali e non funzionali;

- la stima dell’effort in termini di risorse del team di testing e verifica della qualità del software e l’individuazione dei team di risorse necessari;

- la disponibilità delle informazioni necessarie a garantire la predisposizione, la configurazione e il tuning degli ambienti di collaudo;

- l’identificazione dei casi di test che possono essere automatizzati, nel rispetto delle eventuali soglie minime stabilite per il singolo obiettivo di sviluppo;

- la redazione di report sintetici periodici sull’attività di testing nel suo complesso, sull’andamento complessivo della qualità del software sviluppato e delle potenziali aree di miglioramento;

- la produzione e la verifica dei documenti relativi alle differenti fasi di test.

3.2.4. REFERENTE SULL’UTILIZZO DEI PUNTI FUNZIONE E DELLE METRICHE

Il referente sull’utilizzo dei punti funzione e delle metriche deve disporre di comprovata esperienza per quanto riguarda la stima e la misurazione di progetti IT, sia con ciclo di sviluppo tradizionale sia agile.

Deve possedere certificazione CFPS sulla versione IFPUG 4.3 o successive e essere esperto in tutti gli ambienti applicativi richiesti dalla fornitura.

Il referente deve assicurare la correttezza e accuratezza delle stime iniziali effettuate in fase di preventivo dell’intervento progettuale, nonché l’affidabilità del conteggio in fase di analisi e disegno e tutte le successive misurazioni in linea con quanto disciplinato dal presente documento e con riferimento alle regole di conteggio

emanate dall’IFPUG.

Tale Referente dovrà inoltre fungere da centro di competenza e di assicurazione della correttezza, completezza e accuratezza di tutti i conteggi e dovrà essere sempre disponibile su richiesta della Committente con un preavviso massimo di 2 giorni lavorativi.

Data la rilevanza dell’accuratezza dei conteggi, il Referente sui Punti Funzione dovrà approvare formalmente tutti i report di conteggio dell’effort e sottoscrivere che tale conteggio include solo attività effettivamente realizzate, senza sopravalutazioni né duplicazioni né applicazioni di metodi tali da innalzare artatamente il numero e il tipo di Punti Funzioni a vantaggio del Fornitore.

Il profilo professionale minimo per tale figura deve essere almeno equiparabile a quello di Analista Funzionale, secondo le caratteristiche descritte in Appendice 3 - Profili Professionali, con competenze approfondite e consolidate nel settore IT.

3.2.5. TRANSITION MANAGER

Il Transition Manager (TM) deve avere consolidate esperienze e competenze nella presa in carico di progetti complessi, ad alta criticità mediatica e forte impatto tecnologico.

Il Transition Manager affianca il RUAC già a partire dalle attività di subentro, in particolare nella redazione del Piano di Subentro, nella verifica quotidiana dell’avanzamento e della corretta esecuzione nonché nell’implementazione di azioni correttive. Successivamente il TM avrà, per tutta la durata del contratto, il ruolo di Responsabile delle attività di migrazione del SIDT verso le nuove piattaforme evolute.

In particolare il TM avrà la responsabilità:

- della presa in carico delle componenti rilasciate in esercizio e della completa acquisizione del know-how per l’autonoma gestione applicativa (assistenza e conduzione);

- del rilascio completo e efficace delle componenti oggetto di migrazione in cloud.

Il profilo professionale minimo per tale figura deve essere almeno equiparabile a quello di Capo Progetto, secondo le caratteristiche descritte in Appendice 3 - Profili Professionali, con competenze approfondite e consolidate nel settore IT.

3.2.6. RESPONSABILE DELLA SICUREZZA

Il Responsabile per la Sicurezza, ricopre il ruolo di responsabile unico all’interno dell’organizzazione del Fornitore e nei confronti della Committente per gli aspetti di sicurezza, con particolare riferimento a criticità e decisioni nell’ambito della gestione di incidenti. A titolo esemplificativo e non esaustivo rientrano tra i suoi compiti:

- la responsabilità della definizione del Piano della Sicurezza e le sue eventuali modifiche per l’approvazione del Dipartimento nonché la sua attuazione;

- il coordinamento delle attività inerenti la sicurezza all’interno di ogni team;

- il controllo della corretta adozione delle misure di sicurezza e la verifica della loro efficacia e/o della necessità di azioni correttive;

- il coordinamento e/o validazione delle attività di progettazione e evoluzione collegate ai servizi di sicurezza logica e delle attività di vulnerability assessment.

3.2.7. GESTORE DELLA CONFIGURAZIONE

Il Gestore della Configurazione costituirà l’interfaccia di riferimento tra i vari servizi per la gestione della configurazione, al fine di garantire l’ottimizzazione del “versioning” e la gestione della concorrenza del software nei vari ambienti della catena di strumenti DevSecOps.

Il Gestore della Configurazione deve essere identificato da parte del Fornitore, nell’ambito delle risorse impegnate nella “Conduzione applicativa”, e deve essere in possesso, almeno, delle esperienze e conoscenze previste per la figura professionale di Analista funzionale, oltre ad avere maturato un’esperienza significativa, utilizzando strumenti operativi, nella gestione della configurazione di progetti complessi.

Il Gestore della Configurazione è responsabile delle seguenti attività:

- redazione del Piano di Gestione della Configurazione, di cui all’Appendice 2 - Cicli e prodotti;

- identificazione delle entità da mettere sotto controllo di configurazione, assegnando a ciascuna un identificatore univoco e definendone per ciascuna i livelli di controllo e registrazione;

- verifica del Software consegnato con le relative verifiche di qualità;

- gestione delle attività concorrenti;

- convalida della consegna del software;

- gestione della baseline del software dell’amministrazione.

3.3. REQUISITI DI QUALITÀ

Il Fornitore dovrà mettere in campo un insieme di attività sistematiche e pianificate per dare evidenza al Dipartimento che i servizi e i prodotti contrattualmente forniti siano conformi ai requisiti e agli impegni assunti in offerta tecnica.

Le attività di assicurazione della qualità sono implementate attraverso verifiche, ispezioni e consuntivi, svolte principalmente sui prodotti delle principali attività atte a introdurre qualità nella fornitura, quali:

- la pianificazione della qualità (piano della qualità generale e di obiettivo) e la pianificazione delle attività (piani per servizi/progetti/attività);

- il controllo della qualità (verifiche, validazioni, riesami, ispezioni e collaudi);

- il controllo e monitoraggio dei livelli di servizio (indicatori di qualità e di servizio);

- l’adozione dei processi e metodi (ITIL, Agile e DevSecOps compliance) utilizzati presso l’Amministrazione adeguandosi alla versione in vigore all’avvio della fornitura e ai suoi eventuali innalzamenti di versione (stato).

Nella produzione del software devono essere assicurate le caratteristiche previste dal Piano di Qualità in termini di funzionalità, usabilità, manutenibilità, portabilità, affidabilità, sicurezza e efficienza.

Durante l’erogazione dei servizi, tutti i dati rilevati sull’andamento dei servizi e sui livelli di servizio saranno archiviati, a cura del Fornitore, e resi disponibili ai Responsabili della Committente, con funzioni di interrogazione e reportistica.

In quest’ottica, il Piano della Qualità Generale dovrà essere approvato dal Dipartimento e il Fornitore dovrà recepirne le eventuali osservazioni. Le successive versioni o revisioni del Piano della Qualità Generale saranno consegnate in funzione delle variazioni intervenute.

Il Piano della Qualità Generale e il Piano della Qualità di obiettivo dovranno essere redatti dal Fornitore sulla base dello schema esposto nell’Appendice 2 - Cicli e prodotti e costituiranno il riferimento per le attività di verifica e validazione svolte dal Fornitore all’interno dei propri gruppi di lavoro e all’esterno.

Il Piano della Qualità Generale e i Piani della Qualità di obiettivo dovranno essere aggiornati a seguito di significativi cambiamenti di contesto in corso d’opera o, comunque, su richiesta del Dipartimento ogni qualvolta lo reputi opportuno. Essi devono essere riconsegnati aggiornati a livello di intero documento, e non per le sole parti variate, e dovrà essere possibile individuare le modifiche effettuate.

Durante l’erogazione, tutti i dati rilevati e tutti quelli oggetto dei report periodici o per evento saranno archiviati a cura del Fornitore che ne dovrà garantire l’accesso al Dipartimento per tutta la durata contrattuale.

3.4. POLITICA PER LA SICUREZZA DELLE INFORMAZIONI E LA PROTEZIONE DEI DATI PERSONALI

La Gestione e evoluzione del SIDT dovrà rispettare la normativa cogente in materia di Sicurezza delle Informazioni. In tal senso il fornitore dovrà adeguarsi alla Politica dell'Amministrazione su tali temi, basata su direttive, norme attuali e sulle loro evoluzioni. Di seguito sono elencati i principali riferimenti normativi dell'Amministrazione:

- REGOLAMENTO (UE) DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016, n. 679 relativo alla

protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;

- DECRETO LEGISLATIVO 10 agosto 2018, n. 101 - Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;

- DECRETO LEGISLATIVO 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;

- AGENZIA PER L’ITALIA DIGITALE CIRCOLARE 18 aprile 2017 , n. 2/2017 - Sostituzione della circolare n. 1/2017 del 17 marzo 2017, recante: «Misure minime di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei ministri 1° agosto 2015)»;

- Standard e le linee guida di sicurezza indicati da AGID (Agenzia per l'Italia Digitale) per le Pubbliche Amministrazioni.

In particolare il fornitore è obbligato a:

- operare in coerenza al Regolamento 2016/679/UE nella salvaguardia dei dati trattati dall'Amministrazione e gestiti nell'ambito del SIDT, di cui il fornitore stesso è responsabile della sua gestione e evoluzione;

- collaborare con l'Amministrazione per l'aggiornamento dei Registri delle attività di trattamento e sulla notifica di tutte le tipologie di violazione dei dati personali;

- sviluppare i progetti e le soluzioni allineandosi ai suddetti standard, innalzando i livelli di sicurezza e la privacy dei servizi digitali dell'Amministrazione;

- definire e aggiornare l'inventario dei dispositivi e dei Software autorizzati e non autorizzati;

- proteggere le configurazioni di hardware e software sui dispositivi mobili, Laptop, Workstation e Server;

- valutare e effettuare azioni correttive della vulnerabilità del SIDT;

- usare in maniera appropriata i privilegi di Amministratore;

- utilizzare strumenti e prodotti a difesa dei malware;

- definire criteri per generare le Copie di Sicurezza;

- impiegare metodi per la protezione dei dati.

Nel seguito del paragrafo vengono indicate le misure di sicurezza che il Fornitore si impegna a implementare nell'ambito della propria area di responsabilità di cui ai servizi oggetto del Contratto e nel rispetto della normativa vigente in materia di protezione dei dati personali.

Gruppo	Descrizione delle misure di sicurezza
Gestione documentale	Creare e aggiornare i documenti sulla sicurezza dei dati e sulla privacy nei tempi stabiliti e revisionarli su base periodica
	Adottare documenti sulla sicurezza in cui vengono descritte le misure di protezione adottate e le pertinenti procedure e responsabilità del proprio personale che accede ai Dati per il Supporto Tecnico e la Consulenza
	Memorizzare e archiviare la documentazione di progetto in un repository protetto e sicuro
	Stipulare accordi scritti con tutti i Terzi Autorizzati per imporre loro obblighi analoghi a quelli stabiliti nelle “Istruzioni per il trattamento dei dati personali” fornite dal Responsabile Iniziale, in particolare per garantire l’adozione di misure tecniche e organizzative adeguate
	Monitorare e documentare la conformità alle misure tecniche e organizzative nel presente documento
Formazione	Formare adeguatamente il personale sui rischi del trattamento e sulle possibili conseguenze dell’essere inadempiente alle regole e alle procedure di sicurezza
Formazione	Eseguire formazione periodica specifica per il contratto relativa alla sicurezza dei dati e la privacy per promuovere la consapevolezza dei dipendenti
Gestione dei Rischi e degli Incidenti	Analizzare periodicamente i rischi di progetto relativi al trattamento dei dati personali
	Adottare e implementare un processo di gestione dei rischi
	Documentare e gestire i rischi di progetto e di trattamento dei dati in accordo con il processo di gestione dei rischi
	Adottare e implementare un processo di gestione degli incidenti di sicurezza per assicurare un’immediata comunicazione, analisi d'impatto e efficaci azioni correttive (e preventive)
	Adottare e implementare procedure per la prevenzione delle minacce per ridurre al minimo il rischio di violazioni della sicurezza
	Assicurare che i Dati Personali siano trattati esclusivamente in accordo con quanto stabilito nelle “Istruzioni per il trattamento dei dati personali” fornite dal Responsabile Iniziale

	Assicurare la disponibilità di adeguate competenze relative alla sicurezza dei dati e alla privacy
	Gestire la sicurezza dei dati e la privacy in accordo con le normative e le istruzioni operative rese dal Dipartimento
	Definire ruoli e responsabilità relative alla sicurezza dei dati e alla privacy
	Nominare uno o più funzionari addetti alla sicurezza, responsabili del coordinamento e del monitoraggio delle regole e delle procedure di sicurezza. Gestire gli strumenti messi a disposizione dalla Committente per la cifratura dei dati personali
Inventario e Mappatura dei Dati	Creare e gestire un inventario dei Dati Personali del Dipartimento e dei relativi elementi di sicurezza
Inventario e Mappatura dei Dati	Creare e mantenere una lista delle procedure operative di sicurezza
Gestione degli accessi logici	Definire delle regole di gestione delle password
Gestione degli accessi logici	Gestire l'accesso degli utenti all'ambiente tecnico di progetto su autorizzazione del Dipartimento
Postazioni d’esame	Implementare postazioni di esame sicure
Gestione dei supporti	Implementare controlli di sicurezza per le workstation che trattano Dati Personali
Gestione dei supporti	Configurare i blocca schermo per limitare l'accesso a workstation della Committente gestite dal Fornitore, non presidiate, in cui viene eseguito il trattamento dei dati personali
Sicurezza fisica e ambientale	Limitare l’accesso alle strutture in cui sono situati i sistemi informativi che elaborano i Dati per il Supporto Tecnico e la Consulenza a individui identificati e autorizzati
Sicurezza fisica e ambientale	Gestire un registro dei supporti di memorizzazione in entrata e in uscita contenenti i Dati per il Supporto Tecnico e la Consulenza, che include informazioni sul tipo di supporto, il mittente/destinatario autorizzato, la data e l’ora, il numero di supporti e i tipi di Dati per il Supporto Tecnico e la Consulenza contenuti
Test del Backup	Convalidare l'integrità del processo di backup periodicamente eseguendo il test di ripristino dei dati
Risposta agli Incidenti	Mantenere una capacità di investigazione e reazione agli incidenti relativi alla sicurezza sufficiente per la conformità con le leggi applicabili, incluse quelle che riguardano la notifica delle violazioni dei dati

Sistemi e Software di Inventario

Mantenere un inventario accurato dei sistemi della Committente collegati alla rete

Mantenere un inventario accurato del software, inclusa la versione e il sistema operativo sottostante

Blocco IP dannosi

Implementare i controlli progettati per bloccare le comunicazioni di rete verso e da sistemi gestiti dal Fornitore, in cui viene eseguito il trattamento di dati personali, con indirizzi IP dannosi (black list) o che consentono l'accesso solo con siti affidabili

(whitelist)

Integrità dei Dispositivi di Rete

Riconvalidare le regole del firewall almeno annualmente per i dispositivi che proteggono i sistemi centrali della Committente. Controllare almeno una volta all'anno la configurazione degli altri dispositivi di filtraggio della rete. Documentare e approvare

qualsiasi modifica di tali configurazioni tramite il processo di change.

Test del Software

Verificare che tutte le versioni del software utilizzato su sistemi del Dipartimento siano attualmente supportate dal fornitore pertinente

Testare i nuovi software (inclusi patch, service pack e altri aggiornamenti) in un

ambiente di non produzione prima di passarlo alla produzione su sistemi del Dipartimento

Patch

Applicare le patch al middleware gestito dal Fornitore e alle applicazioni sui sistemi del Dipartimento gestiti dal Fornitore su cui viene eseguito il trattamento di dati personali.

Applicare le patch al middleware gestito e alle applicazioni sui sistemi della Committente sui quali viene eseguito il trattamento di dati personali

Applicare le patch di sicurezza ai dispositivi di rete gestiti dal Fornitore che ospitano o proteggono i sistemi su cui viene eseguito il trattamento dei dati personali

Applicare le patch di sicurezza ai sistemi del Dipartimento gestiti in cui viene eseguito il trattamento dei dati personali durante le finestre di manutenzione pianificate. Le finestre di manutenzione devono essere fornite secondo la seguente pianificazione: sistemi esposti ad Internet: almeno una volta ogni 14 giorni. Sistemi non esposti ad

Internet: almeno una volta ogni 30 giorni

Accessi, log e monitoraggio

Monitorare i sistemi del Dipartimento su cui viene eseguito il trattamento di dati personali, per la creazione di ID Utente amministratore non autorizzati o l'assegnazione non autorizzata di privilegi a un ID Utente esistente

Copiare i log di sistema e degli eventi dai sistemi del Dipartimento su cui viene eseguito il trattamento dei Dati Personali, ad un sistema al di fuori del controllo

dell'amministratore di sistema o dell'operatore le cui attività vengono registrate

Utilizzare gli strumenti di monitoraggio dei log al fine di rilevare comportamenti dannosi e inviare avvisi, se tali comportamenti vengono rilevati

Conservare i log dei sistemi per il periodo richiesto dalla normativa vigente

Disconnessione automatica del Sistema Operativo

Disconnettere automaticamente gli utenti del Sistema Operativo dai sistemi del Dipartimento gestiti dal Fornitore in cui viene eseguito il trattamento dei Dati Personali dopo un periodo definito di inattività

Limitazione Accessi

Limitare l'accesso ai dati personali nei file system, nelle condivisioni di rete, applicazioni e database, utilizzando "access control lists" nei sistemi del Dipartimento solo a persone

con esigenze valide

Tracciatura delle azioni individuali (Accountability)

Report

Implementare controlli appropriati per garantire l'accertamento individuale delle operazioni eseguite degli account nei sistemi del Dipartimento su cui viene eseguito il

trattamento dei Dati Personali

Tracciare ogni intervento/accesso (da remoto e non) da parte del fornitore attraverso modalità sicure (es. access log, username e password) e facilmente verificabili (in termini di riferimenti temporali e descrizione dell´evento che ha generato la necessità

dell’intervento) da parte del Dipartimento

Dichiarare, all’interno dei report sugli interventi manutentivi in loco e da remoto, se l’intervento di manutenzione ha comportato l’accesso a dati personali indicando quali siano le tipologie di dati personali trattati e le ragioni che hanno reso necessario trattare tali informazioni al fine di assicurare e/o ripristinare il funzionamento del

Sistema/apparecchiatura

Rimozione Client ID

Revocare l'accesso agli ID utente del Dipartimento con accesso ai dati personali sui sistemi del Dipartimento nel più breve tempo possibile non appena cessano le esigenze

Disconnessione automatica dell'applicazione

Disconnettere automaticamente gli utenti dalle applicazioni in esecuzione sui sistemi

del Dipartimento su cui viene eseguito il trattamento di dati personali, dopo un periodo definito di inattività

Cifratura dei dati personali

Gestire gli strumenti eventualmente messi a disposizione dal Dipartimento per la cifratura dei dati personali

Riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali

Gestire gli strumenti messi a disposizione dal Dipartimento per la riservatezza,

l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi che trattano i dati personali

Registrare le operazioni di ripristino dei dati, includendo il nominativo della persona responsabile, la descrizione dei dati ripristinati e, a seconda dei casi, il nominativo della persona responsabile e gli eventuali dati per i quali è stato necessario l’inserimento

manuale nel processo di ripristino

4. SERVIZI APPLICATIVI

4.1. SVILUPPO E MANUTENZIONE EVOLUTIVA DI SOFTWARE

Il servizio si riferisce alla realizzazione, all’evoluzione, alla modifica di un prodotto/sistema/applicazione software ad hoc volto a soddisfare le esigenze espresse dall’Amministrazione.

Nella fattispecie, i sotto servizi inclusi in questo servizio sono:

- Sviluppo e manutenzione evolutiva di software ad hoc, che comprende gli sviluppi di interi nuovi sistemi informativi o applicazioni, o parti autonome degli stessi, il rifacimento mediante reingegnerizzazione parziale o totale di sistemi informativi o applicazioni, gli interventi volti ad arricchire le applicazioni esistenti di nuove funzionalità, o comunque a modificare e/o integrare le funzionalità già esistenti.

- Personalizzazione e parametrizzazione di soluzioni commerciali, software open source o in riuso, che comprende attività volte alla configurazione, riuso, adeguamento, customizzazione e integrazione di software già disponibile in base agli obiettivi, funzionali e non.

- Sviluppo e manutenzione di App, che comprende l’implementazione e la manutenzione di sistemi integrati con funzionalità rivolte ad uso degli utenti esterni (es. cittadini) usabili su dispositivi mobili (tablet, smartphone e altri) e che possono richiedere principalmente la progettazione e la realizzazione di interfacce grafiche di tipo touch screen garantendo la portabilità su diversi browser e/o l’integrazione con sistemi di georeferenziazione, ecc.

- Sviluppo e manutenzione evolutiva di siti web e portali, che riguarda lo sviluppo di template e componenti per le diverse tipologie di siti/portali (es. siti internet e portali istituzionali, siti temporanei per iniziative e/o esigenze specifiche, siti intranet, ecc.) in chiave digitale e omnicanale, garantendo la versatilità, la sicurezza e l’usabilità di accesso a cittadini e operatori professionali.

Il servizio prevede le attività di analisi, disegno, realizzazione, installazione e dispiegamento di tutte le componenti della nuova applicazione o del software oggetto di manutenzione.

Gli interventi sono suddivisi in obiettivi, ognuno dei quali può essere assimilato, dal punto di vista del Fornitore, a un “progetto”, la cui esecuzione è suddivisa in fasi, secondo un ciclo di sviluppo dipendente dalle dimensioni, dalla criticità e dalla tipologia di soluzione da implementare, come descritto nell’Appendice 2 - Cicli e prodotti.

In particolare i “progetti” possono essere affidati per l’interezza del ciclo di vita – dalla raccolta dei requisiti dall’utenza di riferimento all’installazione/deploy/rilascio in esercizio, oppure l’Amministrazione può affidare parzialmente le macro attività del ciclo di sviluppo. In ogni caso l’Amministrazione controllerà e verificherà la qualità e la tempestività delle attività realizzative secondo i modelli previsti dalla soprarichiamata appendice.

L’Amministrazione gestisce le priorità delle attività e può definire cicli ad hoc, anche con il supporto di risorse specifiche del fornitore di project management e service design quali ad esempio persone con competenze specifiche in metodologie agili (es. Scrum Master e/o Agile Project Manager) e DevOps e su metodologie volte a incentivare l’innovazione e la risoluzione di problemi complessi (es. Design Thinking).

Qualsiasi sia il ciclo e l’ambito applicativo, il Fornitore garantisce con la partecipazione alla presente iniziativa che ciascun rilascio di software sarà pienamente rispondente ai requisiti/funzioni richieste dall’Amministrazione, performante nell’ambiente di esercizio richiesto, accessibile, usabile, affidabile, sicuro e manutenibile.

A tal fine, il fornitore dovrà autonomamente disporre di idonei strumenti, risorse e organizzazione per prevenire, misurare, testare, correggere il software e le funzionalità affidategli.

Il Fornitore è tenuto a rielaborare, senza oneri aggiuntivi per l’Amministrazione, gli output prodotti che fossero giudicati, da parte dell’Amministrazione, non adeguati, non completi, non conformi a quanto previsto.

Il sw realizzato o modificato deve essere pienamente testato in ciascuna fase di sviluppo e per tutte le tipologie di test necessarie (dallo unit test ai test di sistema, ai test di performance, di sicurezza, ecc..) nonché rispondente alle linee guida, standard e best practice di tecnologia, dimostrando l’assenza di “non conformità tecniche”.

Costituisce parte integrante delle attività realizzative la garanzia sulla fornitura, per tutte le componenti realizzate, per tutta la durata contrattuale. Durante il periodo di garanzia dovrà comunque essere aggiornata la baseline del parco applicativo.

4.1.1. SVILUPPO E MANUTENZIONE EVOLUTIVA DI SOFTWARE AD HOC

Lo sviluppo e la manutenzione evolutiva del software applicativo hanno lo scopo di garantire che il Sistema Informativo e i suoi sottosistemi abbiano le caratteristiche funzionali e qualitative richieste dall'Amministrazione, siano adeguati agli scopi e mantenuti costantemente allineati alle esigenze dell’Amministrazione.

Per sviluppo (SVI) si intende la realizzazione di prodotti software e servizi volti a soddisfare le esigenze degli utenti, che sono definite tramite obiettivi da raggiungere, ognuno dei quali può essere assimilato, dal punto di vista del Fornitore, ad un “progetto”.

Per manutenzione evolutiva (MEV) si intende l’evoluzione delle procedure e dei programmi del sistema informativo, in relazione a mutate esigenze dell’Amministrazione, in genere in un quadro di invarianza degli obiettivi primari delle applicazioni.

Le manutenzioni evolutive sono di norma organizzate in specifici interventi richiesti dall’Amministrazione. Gli obiettivi più operativi tipici della manutenzione evolutiva sono i seguenti:

- dotare l’Amministrazione in tempi rapidi di una soluzione efficiente;

- aggiungere nuove funzionalità rispetto quelle già in uso;

- far evolvere una soluzione preesistente, integrandola con altre soluzioni già in uso presso l’Amministrazione o con soluzioni commerciali di cui l’Amministrazione dovesse approvvigionarsi nel corso del contratto;

- garantire all’Amministrazione la fruibilità di una soluzione già in uso presso altra Amministrazione arricchendo tale soluzione con ulteriori funzionalità;

- migliorare il ritorno dell’investimento su una soluzione realizzata, tramite un miglioramento delle funzionalità volte a facilitare e aumentare l’utilizzo da parte dell’utente.

4.1.2. PERSONALIZZAZIONE E PARAMETRIZZAZIONE DI SOLUZIONI COMMERCIALI, SOFTWARE OPEN SOURCE O IN RIUSO

Le attività riguardano principalmente la personalizzazione e parametrizzazione di software commerciale, open source o in riuso.

Per "riuso di programmi informatici o parti di essi" si intende la possibilità per una Pubblica Amministrazione di riutilizzare gratuitamente programmi informatici o parti di essi quando:

- il software è di proprietà di una Pubblica Amministrazione ovvero sviluppato per conto e a spese di un’altra Amministrazione;

- appartengono alla categoria del software libero o a Codice sorgente aperto.

Nel dettaglio nel presente ambito:

- per parametrizzazione si intende l’utilizzo di funzionalità native, accessibili tramite menù decodificati, in cui è possibile impostare determinati parametri o configurare il funzionamento del programma senza necessità di sviluppo e conoscenza di codice o linguaggi informatici. In questo caso, il fornitore dovrà

disporre di competenze approfondite relative allo specifico pacchetto software richiesto;

- la personalizzazione è finalizzata a coprire ulteriori esigenze funzionali non originariamente offerte dalla soluzione con una limitata attività di sviluppo software, come per esempio la predisposizione di interfacce con altri sistemi, la realizzazione di funzionalità non presenti nel pacchetto/sw esistente, nuovi rapporti di stampa, o altro. In questo caso valgono, dunque, i requisiti generali espressi per gli interventi realizzativi di sw ad hoc e laddove necessario integrati dalla conoscenza del pacchetto/sw open source od in riuso al cui contorno devono essere sviluppate le personalizzazioni.

Rientrano nel perimetro da un punto di vista generale tutte le attività che richiedono intervento sui software commerciali (ad esempio ERP, CRM, CMS, Business Intelligence…), package specifici dei vari comparti (contabilità, personale, ecc..), nonché sui sw open source. Le attività possono riguardare sia soluzioni on premise sia cloud.

La realizzazione prevede lo svolgimento di tutte le attività necessarie alla configurazione del sistema e all’implementazione di tutte le funzionalità richieste per soddisfare i requisiti utente tra cui, a titolo esemplificativo: ⯈configurazione e parametrizzazione della soluzione ⯈sviluppo di interfacce custom

⯈personalizzazione report e stampe ⯈implementazione dei Profili Utente ⯈progettazione dei test e predisposizione degli ambienti di test/collaudo per la loro esecuzione.

La realizzazione comprende quindi tutte le attività tecniche che portano all’avvio in produzione del nuovo sistema realizzato mediante componente di terze parti.

Il Fornitore dovrà farsi carico dell’analisi, progettazione funzionale e tecnica dei moduli delle soluzioni sw nel rispetto dell’architettura complessiva del SIDT, nella quale dovranno essere analizzati e rappresentati sia i processi amministrativi a tendere sia le funzionalità applicative da realizzare a copertura dei processi stessi e dei requisiti espressi dall’Amministrazione. Dovrà inoltre essere sviluppata all’interno del servizio la progettazione delle interfacce con i sistemi esterni, che dovranno dialogare con il SIDT, nonché la strategia e le specifiche relative alla trasmissione dei dati.

4.1.3. SVILUPPO E MANUTENZIONE DI APP

Sono da considerarsi in tale ambito sia le applicazioni sviluppate in maniera nativa per device mobili (app cross- platform) sia gli adeguamenti e le ottimizzazioni di siti e portali al fine di garantire l’omnicanalità delle informazioni e dei servizi.

Sono comprese nel perimetro le attività di analisi, disegno, realizzazione, installazione e dispiegamento di tutte le componenti (front-end/back-end) della nuova app, comprese l’eventuale supporto alla pubblicazione sugli store che saranno indicati dall’Amministrazione.

4.1.4. SVILUPPO E MANUTENZIONE EVOLUTIVA DI SITI WEB E PORTALI

Lo sviluppo web riguarda la possibilità di creare diverse tipologie di siti/portali, per i quali alcuni requisiti sono imprescindibili, come ad esempio:

- siti internet istituzionali: canale di comunicazione sia per veicolare l’immagine dell’Amministrazione sia per fornire informazioni al pubblico; la correttezza, la tempestività e la tracciabilità delle informazioni pubblicate sul sito sono i requisiti fondamentali;

- siti temporanei per iniziative e/o esigenze specifiche: la velocità e il costo di creazione del sito sono i principali requisiti;

- siti transazionali: consentono al pubblico di effettuare operazioni via Internet in modalità “self service”, evitando spostamenti e file agli sportelli; i requisiti principali sono la facilità d’uso e l’affidabilità del servizio;

- siti Intranet: facilitano il rapido accesso alle informazioni, la collaborazione e la condivisione di conoscenze da parte del personale interno.

- siti extranet per l’accesso a servizi operativi, di collaborazione, condivisione di dati e materiale informativo da parte di utenze abilitate all’accesso, esterne alla rete locale dell’Amministrazione; aspetti preponderanti sono: la sicurezza di accesso al sistema e alle sorgenti informatiche, il controllo e il monitoraggio delle attività effettuate nell’utilizzo delle funzionalità presenti.

- template generici, di norma caratterizzati e composti da “blocchi funzionali”, ovvero da un insieme di componenti necessari per la visualizzazione delle immagini e dei contenuti informativi presenti all’interno di un blocco logico (es. header, corpo, footer, ecc).

Caratteristiche basilari per l’Amministrazione digitale sono la sicurezza applicativa, la multicanalità, la versatilità, l’usabilità al fine di facilitare l’accesso dei servizi ai cittadini.

La migrazione di un sito web su nuove tecnologie è da considerarsi sotto tutti i punti di vista come lo sviluppo di un nuovo sito. Alle attività previste andranno comunque decurtate quelle che non necessitano di una riscrittura del codice oggetto di migrazione, come ad esempio eventuali procedure funzionali (form di ricerca, assistenza e modulistica online, job di allineanti del database, ecc.), layout e/o bozzetti grafici.

4.2. MANUTENZIONE SOFTWARE

Nell’ambito dei servizi di manutenzione software sono ricompresi, in senso lato, tutti gli interventi di adeguamento e correzione delle applicazioni che impattano sui programmi, sulle procedure operative e sulla documentazione ad essi associata.

Nei successivi sotto paragrafi sono definiti nel dettaglio i servizi richiesti nella presente fornitura.

4.2.1. MANUTENZIONE CORRETTIVA

Il servizio riguarda la diagnosi e la rimozione delle cause e degli effetti, sulle funzionalità, sulle interfacce utente e sulle basi dati, dei malfunzionamenti delle procedure e dei programmi in esercizio e in genere di tutti i componenti, anche documentali, del sistema presi in carico ad inizio fornitura e non coperti da altre garanzie. Pertanto, il presente servizio può essere attivato esclusivamente sul software che non è coperto da alcuna forma di garanzia (compresa la garanzia del fornitore uscente o gestita da soggetti terzi).

L’intervento di correttiva può riguardare anche il sw per il testing automatico, il sw di servizio (procedure di caricamento, migrazioni, per preventive, ecc..), anomalie della documentazione (sia tecnica sia utente) e comporta la rimozione degli effetti sulle interfacce utenti, sulle basi dati, sugli Open data prodotti, sui sistemi alimentati, ecc.

Nel servizio di manutenzione correttiva sono ricompresi i cd. “piccoli interventi” ossia interventi di sviluppo e manutenzione caratterizzati da una breve durata e da un limitato impatto realizzativo, all’interno dei limiti indicati al par. 8.1.2. Tali interventi, che possono essere di natura migliorativa, adeguativa e evolutiva, sono tipicamente finalizzati ad aumentare la fruibilità dell’applicazione e possono comportare una variazione molto limitata della consistenza della baseline.

Il servizio di manutenzione correttiva viene innescato da una segnalazione in cui verranno fornite le informazioni necessarie alla riproduzione del malfunzionamento o dei danni causati alla base dati nonché la categoria del malfunzionamento. In caso di indisponibilità del sistema di segnalazione, i referenti dell’Amministrazione segnaleranno il malfunzionamento secondo le modalità di comunicazione stabilite.

I malfunzionamenti, le cui cause non sono imputabili a difetti presenti nel software applicativo, ma ad errori tecnici, operativi o d’integrazione con altri sistemi (ad esempio interruzione del collegamento TP, uso improprio delle

funzioni, ecc.), oppure relativi al software in garanzia (del Fornitore uscente), comportano, da parte del servizio di manutenzione correttiva, il solo supporto all’attività diagnostica sulla causa del malfunzionamento, a fronte della segnalazione pervenuta, ma sono poi risolti da altre strutture di competenza. Analogamente per il software realizzato/modificato nel corso della presente fornitura i malfunzionamenti dovranno essere risolti nell’ambito dei servizi realizzativi.

Sono parte integrante del servizio di Manutenzione Correttiva le seguenti attività:

- rimozione degli errori e dei relativi effetti che gli errori hanno provocato, ivi comprese tutte le attività di ripristino della base dati;

- contributi di competenza sistemistica e specialistica di prodotto necessari alla corretta soluzione del malfunzionamento;

- test positivo in ambiente assimilabile all’ambiente di esercizio della soluzione realizzata;

- allineamento della documentazione;

- allineamento degli eventuali script automatici;

- supporto all’installazione in ambiente di esercizio, che deve essere effettuato dal servizio di Gestione Applicativa;

- attivazione del gruppo di sviluppo per allineare il software in corso di sviluppo/modifica/collaudo alle correttive effettuate.

Nel caso di gestione di un pacchetto e/o di software personalizzato o integrato, il servizio di manutenzione correttiva comporta:

a) in caso di malfunzionamenti su una o più componenti del pacchetto è chiesto al servizio di manutenzione correttiva di diagnosticare la natura del malfunzionamento distinguendo se questo è all’interno del codice sorgente del pacchetto o all’interno del software parametrizzato/personalizzato:

I. nel primo caso il servizio è tenuto alla tempestiva apertura della segnalazione sul contratto di manutenzione del pacchetto e alla successiva verifica dell’esito dell’intervento effettuato; le risorse deputate al servizio dovranno dimostrare un’approfondita conoscenza del pacchetto tale da azzerare i rischi di apertura di segnalazioni di malfunzionamento errate ovvero segnalazioni che si risolvono con parametrizzazione del pacchetto;

II. nel secondo caso vale quanto già indicato per le malfunzioni sul software ad hoc;

b) validazione tecnica e controllo dei risultati del contenuto dei flussi informativi da/verso il pacchetto;

c) verifica e aggiornamento della eventuale documentazione del pacchetto consegnata a fronte della correttiva.

La segnalazione costituisce di fatto una richiesta di Manutenzione Correttiva e viene registrata sullo strumento di gestione del servizio MAC, e ove previsto anche sugli strumenti utilizzati nell’ambito dei servizi di assistenza, che sarà utilizzato per tracciare ogni aggiornamento relativo alla richiesta, fino alla sua chiusura (circa gli strumenti cfr. par. 10.2).

Tali informazioni saranno utilizzate ai fini del calcolo degli indicatori di cui all’Appendice 1 - Indicatori di qualità in cui sono indicati:

- i livelli di classificazione dei malfunzionamenti a seconda dell’ambiente di riferimento (collaudo/esercizio) e della gravità (da 1 a 3, in cui 1 rappresenta il livello di malfunzionamento più critico);

- i tempi di risoluzione e ripristino delle applicazioni per ogni livello.

4.2.2. MANUTENZIONE ADEGUATIVA E MIGLIORATIVA

Il servizio è articolato in due sotto ambiti così definiti:

- Manutenzione Adeguativa: che comprende l’attività volta ad assicurare la costante aderenza delle procedure e dei programmi all’evoluzione dell’ambiente tecnologico del sistema informativo. Comprende tutti gli interventi sul software che non rientrano nella correttiva e nella evolutiva, conseguenti a cambiamento dei requisiti (organizzativi, normativi, d’ambiente, di prodotto-tecnologia-ambienti- piattaforma) che non richiedano una variazione dei requisiti utente e della logica funzionale applicativa.

- Manutenzione Migliorativa: che comprende le attività tese a perfezionare le funzionalità esistenti migliorandone e ottimizzandone le prestazioni (ad esempio per variazioni del numero utenti, per aumento delle dimensioni delle basi dati), l’usabilità, l’affidabilità e la manutenibilità future, intendendo con quest’ultimo termine la facilità con cui il software può essere compreso, corretto, adattato e/o migliorato. È inclusa in questa tipologia di manutenzione l’esecuzione di modifiche, anche massive, non a carattere funzionale, alle applicazioni (ad esempio cambiamento di titoli sulle maschere e/o aspetto grafico dei layout delle maschere/pagine web).

Il servizio viene, tipicamente, innescato dall’esigenza di:

- adeguamenti dovuti a cambiamenti di condizioni al contorno (ad esempio per variazioni al numero utenti, per migliorie di performance, di scalabilità, di manutenibilità, aumento delle dimensioni delle basi dati, ecc.);

- adeguamenti necessari a seguito di innalzamento di versioni dei container, del software base e middleware (es. framework, application server, enterprise service bus, API manager, business process engine ecc.);

- adeguamenti intesi all’introduzione di nuovi prodotti o modalità di gestione del sistema (es. integrazione con sistemi DMS, CMS, GIS ecc.);

- modifiche, anche massive, non a carattere funzionale, alle applicazioni (es. cambiamento di titoli sulle maschere, layout di stampa, ecc.);

- adeguamenti finalizzati a migliorare l’interoperabilità, l’integrazione e lo scambio dei dati (es. conversione servizi SOAP in REST, esposizione dati in formato JSON, ecc.);

- miglioramento dell’accessibilità e usabilità delle applicazioni (es. aderenza linee guida W3C, compatibilità cross-browser/cross-design, responsività ecc.).

Il fornitore deve ottimizzare tali interventi disponendo del know how specifico richiesto dal tipo di esigenza e proponendo la tecnica di adeguamento meno invasiva e deve garantire in particolare la non regressione funzionale e tecnica oltre a tutti i test statici e dinamici atti a garantire pienamente il rispetto di tutti gli standard internazionali, di tecnologia, di prodotto, le linee guida e le best practices.

4.3. GESTIONE APPLICATIVA

Il servizio è orientato all’esercizio delle applicazioni e all’assistenza degli utenti relativamente alle problematiche di tipo strettamente applicativo, alla gestione delle basi di dati e al loro aggiornamento.

I servizi descritti nel seguito, unitamente a tutti i servizi della fornitura e con particolare riferimento allo SPOC (cfr. par. 6.1), devono essere erogati e organizzati in conformità ai principi del Regolamento (UE) 2016/679 (in particolare cfr. par. 7.1 e par. 3.4), garantendo il rispetto della normativa vigente in materia di protezione e sicurezza dei dati e attuando tutte le misure previste dal richiamato regolamento, tra le quali:

- misure tecniche, informatiche, procedurali, fisiche e organizzative idonee ad assicurare e dimostrare la conformità al Regolamento delle attività di trattamento svolte;

- garantire l’osservanza dei criteri di protezione dei dati fin dalla progettazione e per impostazione predefinita;

- garantire la sicurezza, l’integrità e la riservatezza delle informazioni oggetto di trattamento, così da prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso, in modo accidentale o illegale, a dati personali trattati;

- prevedere la pseudonimizzazione e, se del caso, la cifratura dei dati personali, al fine di garantire la sicurezza dei trattamenti e impedire l’accesso diretto a personale non autorizzato nonché la riconducibilità a specifici interessati.

Ne consegue che, nell’ambito delle attività, il Fornitore dovrà necessariamente definire gli opportuni meccanismi di gestione dei dati tra cui si citano a titolo di esempio non esaustivo:

- la fornitura dell’informativa all’utente, la raccolta del consenso prima del trattamento dei dati, la redazione e l’aggiornamento del registro dei trattamenti;

- la definizione di processi per la gestione dell’accesso, rettifica, cancellazione, limitazione, opposizione e revoca del consenso;

- la formazione continua, con verifica di apprendimento, degli operatori impiegati nel servizio con l’obbligo di riservatezza;

- la definizione dell’ambito di accesso ai dati degli utenti da parte degli operatori in funzione delle finalità e dell’erogazione del servizi, con il tempestivo aggiornamento/revoca delle credenziali in corrispondenza della sostituzione;

- la cancellazione (per le attività di outbound) dei dati di contatto ricevuti, limitandosi a mantenere copia delle informazioni necessarie agli adempimenti obbligatori per legge;

- la limitazione all’accesso ad eventuali archivi, digitali e non, a un sottoinsieme di operatori individuati a svolgere tali compiti.

Nei successivi sotto paragrafi sono definiti nel dettaglio i servizi richiesti nella presente fornitura.

4.3.1. CONDUZIONE APPLICATIVA

Il sotto servizio di conduzione applicativa comprende l’insieme di attività, risorse e strumenti di supporto per la gestione delle applicazioni di natura prevalentemente gestionale, con particolare riferimento alla basi dati e data services operando interventi di data management e monitoraggio applicativo.

Le attività tipiche del servizio riguardano:

- Gestione basi dati: estrazione di dati, validazione tecnica e controllo dei risultati delle elaborazioni, al fine di assicurare l’integrità e la correttezza dei dati presenti sulla base informativa, del contenuto dei flussi informativi provenienti o destinati ad organismi esterni e dei dati esposti negli elaborati del sistema.

- Monitoraggio applicativo e produzione di report/cruscotti, il cui scopo è quello di offrire una visione d’insieme e al tempo stesso sintetica dell’andamento dei moduli/servizi che all’interno della piattaforma scambiano dati e informazioni con sistemi terzi, e per i quali vi è l’esigenza di un controllo puntuale.

- Gestione della configurazione software il cui obiettivo è di garantire il controllo di configurazione del software applicativo gestendo, in modo integrato rispetto alla configurazione dei sistemi che viene tracciata e documentata tramite il CMDB dalla conduzione operativa (cfr. par. 5.1.2 e par. 10.2) , gli item che vengono movimentati a seguito di interventi di sviluppo e manutenzione.

- Gestione e monitoraggio della sicurezza applicativa, attraverso la gestione delle funzionalità di sicurezza legate alle applicazioni, il monitoraggio delle funzionalità di autenticazione (ivi comprese le modalità di gestione delle policy, degli utenti e dei loro privilegi), la raccolta delle informazioni provenienti dagli altri servizi e la segnalazione tempestiva di eventuali problemi, nonché l’individuazione ai vari livelli delle minacce e vulnerabilità sia applicative che infrastrutturali (in ambito applicativo);

Il servizio talora può includere il contatto diretto con gli utenti delle applicazioni (prevalentemente utenti “addetti ai lavori” come ad esempio dipendenti del Dipartimento, operatori professionali, utenti operativi di altre amministrazioni) indirizzati tramite lo SPOC (cfr. par. 6.1).

Laddove previsto il colloquio con l’utenza, oltre alla tempestività e efficacia dell’assistenza fornita, acquista particolare rilevanza la professionalità nella gestione della relazione con l’utenza.

Devono essere applicati strumenti e procedure per la condivisione della conoscenza per garantire continuità tra le risorse assegnate al servizio.

Per la gestione della sicurezza il servizio opera in sinergia con il servizio di Conduzione Operativa (si veda 5.1), assicurando il monitoraggio e l’esecuzione a livello applicativo delle attività prodromiche all’aggiornamento periodico della documentazione richiesta. In particolare il Fornitore dovrà impegnarsi a produrre periodicamente i report delle vulnerabilità presenti nelle applicazioni, nell’infrastruttura di rete e nei sistemi (per quanto di competenza in ambito applicativo), almeno mensilmente o su richiesta da parte del Dipartimento.

Nell’ambito del servizio rivestono importanza particolare le richieste di attività inerenti la gestione dei dati, definite “Trattamento Dati” e “Gestione del Patrimonio Informativo” descritte nel seguito.

4.3.1.1. TRATTAMENTO DATI

L’obiettivo dell’attività è quello di procedere all’estrazione di dati dagli archivi delle applicazioni in formati specifici richiesti dall’Amministrazione, per l’aggiornamento di specifiche posizioni d’archivio, con produzione di documentazione di supporto attestante l’avvenuto aggiornamento, per la realizzazione di semplici procedure applicative estemporanee non facenti parte del parco applicativo.

Le richieste possono essere sia relative a interventi pianificabili nel tempo sia di natura reattiva, che devono essere svolti con la massima tempestività per evitare disservizi all’utenza. Questa tipologia di interventi, indicati anche come interventi di “elaborazioni localizzate”, hanno origine dalla necessità di evitare disfunzioni delle applicazioni del sistema, causate da potenziali incongruenze di dati negli archivi per motivi di varia natura o genere, e anche e soprattutto per rispondere ad esigenze estemporanee dell’Amministrazione che non possono essere soddisfatte tramite le funzioni del SIDT.

Gli interventi di trattamento dati vengono classificati sia in funzione della priorità di soddisfacimento della richiesta, che dipende a sua volta dalla valutazione dell’impatto che l’intervento stesso ha sulle funzioni delle applicazioni del sistema, sia in funzione della loro complessità e della numerosità dei contenuti informativi impattati.

4.3.1.2. GESTIONE DEL PATRIMONIO INFORMATIVO

L’obiettivo dell’attività è quello di assicurare la coerenza, la sicurezza e la fruibilità delle informazioni contenute nei database e nei data-warehouse dell’Amministrazione.

La corretta gestione del patrimonio informativo è alla base dell’erogazione dei servizi resi dall’Amministrazione ai cittadini, imprese e altre amministrazioni pubbliche, nonché della comunicazione istituzionale di informazioni statistiche. L’obiettivo di questa attività è di assicurare la coerenza, la sicurezza e la fruibilità delle informazioni gestite all’interno dei database e dei data warehouse dell’Amministrazione, sia durante la normale conduzione dei sistemi e delle applicazioni, sia durante il ciclo di vita dei progetti che effettuano aggiunte o modifiche al patrimonio

informativo.

L’attività consiste principalmente nella modellazione dei dati che costituiscono il patrimonio informativo, con l’obiettivo di mantenere un disegno unitario e coerente delle informazioni gestite. A questo scopo il personale dedicato a questa attività dovrà applicare le regole di modellazione e di nomenclatura da utilizzare uniformemente nell’esecuzione dei servizi oggetto dell’affidamento e supervisionarne l’applicazione durante l’esecuzione degli stessi.

Il Fornitore dovrà dedicare a questa attività risorse con le adeguate competenze e dovrà organizzarne l’esecuzione in modo integrato tra i diversi servizi che impattano sul patrimonio informativo.

Su richiesta dell’Amministrazione il Fornitore sarà chiamato ad erogare consulenza sul patrimonio informativo finalizzata al supporto delle decisioni e alla operatività del settore statistico dell’Amministrazione.

4.3.2. SERVIZI DI SECONDO LIVELLO

Il sotto servizio di secondo livello comprende l’insieme di attività, risorse e strumenti di supporto per la gestione delle applicazioni e della loro operatività, fornendo assistenza specializzata a tutta l’utenza del sistema SIDT che ne utilizza le applicazioni, siano essi utenti interni dell’Amministrazione o utenti esterni, appartenenti alla categoria degli “utenti professionali” o semplici cittadini e imprese.

A titolo indicativo e non esaustivo, di seguito è riportato un elenco delle principali attività oggetto del servizio:

- Gestione delle funzionalità in esercizio: servizio di help desk di II livello, risoluzione delle richieste di intervento aperte dall’utente, gestione delle segnalazioni mediante intercettazione e registrazione dei problemi, classificazione, eventuale riproduzione dell’errore e, se necessario, conseguente attivazione del servizio di garanzia software e/o di Manutenzione Correttiva, laddove previsto, e verifica dell’esito dell’intervento effettuato.

- Assistenza specializzata e tecnica per l’uso appropriato delle funzioni e lo svolgimento delle attività secondo le modalità operative previste:

o assistenza tecnico/funzionale alle diverse tipologie di utenti;

o preparazione di documentazione aggiuntiva rispetto a quella a corredo dei sistemi in esercizio (es. documenti di sintesi, demo, presentazioni, ecc.);

o predisposizione dell’ambiente dimostrativo (es. base dati, utenze specifiche, ecc).

- Realizzazione di prodotti informatici o erogazione di servizi “ad hoc”, per soddisfare particolari e puntuali esigenze dell’utente, non risolvibili con le funzionalità disponibili nel Sistema Informativo, e che di norma non entrano a far parte stabile del parco applicativo. Tipico esempio può essere un intervento puntuale sulla banca dati, o la realizzazione di un prospetto informativo “usa e getta” o l’elaborazione di specifiche query sulle anagrafiche.

- Valutazione degli impatti sul software gestito a fronte di aggiornamenti delle configurazioni dei sistemi (nuove versioni/release di software di base e middleware).

- Presa in carico delle funzioni applicative sviluppate e da rilasciare in esercizio, collaborazione alla schedulazione, ai collaudi e alle attività necessarie ad acquisire il know how necessario al corretto svolgimento del servizio.

- Verifica e aggiornamento di documentazione specifica della gestione applicativa contenente FAQ, modi d’uso, modalità di esecuzione di particolari attività del servizio (es. manutenzione preventiva, ecc.);

- Affiancamento per il trasferimento di know how: l’attività consiste in una fase di “training on the job” a terzi individuati dall’Amministrazione, finalizzata a trasmettere il know how funzionale applicativo e tecnico-sistemistico necessario alla gestione del software in esercizio.

Il servizio include il contatto diretto con gli utenti delle applicazioni (cittadini/imprese/utenti amministrativi operativi o ruoli manageriali, altre amministrazione, in genere nazionali) e dovrà essere organizzato per fornire assistenza specializzata in base alla tipologia di utenza del SIDT, come descritto nell’Appendice 4 – Contesto del SIDT e al par. 2.3.3.

Nell’interlocuzione con l’utenza, oltre alla tempestività e efficacia dell’assistenza fornita, acquista particolare rilevanza la professionalità nella gestione della relazione con l’utenza. Infatti, come descritto nel par. 2.3.3, il servizio di assistenza deve essere organizzato secondo i principi della Customer Experience, offrendo un servizio che considera le esigenze del Cliente al centro della progettazione (Customer Experience Design) e il suo livello di soddisfazione come principale obiettivo del servizio attraverso un ciclo virtuoso di continuo miglioramento che si realizza attraverso un’analisi critica del livello di servizio offerto che determina continue iniziative di miglioramento (Customer Experience Management).

Per la gestione delle richieste di assistenza allo stato si utilizzano diversi strumenti e piattaforme (vedi Appendice 4 – Contesto del SIDT) ma, in ottemperanze delle indicazioni del Piano Triennale 2020/2022 di adozione del principio “cloud first”, è in corso un processo di migrazione in favore della soluzione CRM SaaS di Oracle Service Cloud.

Tale processo potrebbe essere completato già all’inizio del contratto o essere ultimato in corso d’opera.

All’interno della piattaforma CRM è cruciale l’utilizzo da parte del servizio della componente di Knowledge Management, che dovrà essere costantemente arricchita secondo un processo di continuous improvement basato sul consolidamento della Customer Experience e finalizzato a supportare gli operatori nel gestire in maniera guidata le diverse richieste; ciò consentirà di raggiungere un alto livello di produttività, un’omogeneità del servizio e, di conseguenza, snellire il processo di evasione della richiesta, nella continua ricerca del miglior livello di soddisfazione possibile dell’utenza (Customer Experience Management).

I Servizi di secondo livello, dal punto di vista organizzativo, saranno suddivisi in due ambiti in funzione della tipologia di utenti:

- Assistenza Operatori: assistenza di secondo livello all’utenza interna, operatori professionali e poli telematici (cfr. par. 2.3.3).

- Assistenza Front End: assistenza di secondo livello verso cittadini e imprese.

Le risorse del Fornitore preposte al servizio dovranno acquisire e mantenere un’ottima preparazione sia funzionale sia tecnica sui sistemi, sulle applicazioni e in genere sul patrimonio applicativo dell’Amministrazione.

Tali risorse dovranno lavorare in sinergia con il team dei servizi realizzativi e con i restanti team sugli altri servizi al fine di rispondere prontamente e efficacemente alle diverse attività contenute nel servizio stesso.

4.3.3. DATA ENTRY PRATICHE AMMINISTRATIVE

Il sotto servizio di data entry è finalizzato all’alimentazione iniziale, al recupero e/o aggiornamento di dati/documenti, all’attività di supporto alle migrazioni e/o all’archiviazione digitale dei documenti.

Le attività di data entry, da svolgere presso i locali dell’Amministrazione, consistono in particolare nel fornire supporto operativo all’Amministrazione per le operazioni relative alla lavorazione di pratiche che, in base alla complessità di lavorazione e il relativo effort necessario, sono raggruppate in fasce come descritto di seguito.

Fascia A: complessità alta

- digitazione patenti convertite (DPC): per cambiamento di stato delle patenti convertite all’estero. Si prevedono attività che vanno dalla fase preparatoria dei documenti da acquisire, i cui dati sono disponibili su supporto cartaceo, fino al completamento del relativo data entry sul sistema informatico, comprese

eventuali rilavorazioni per pratiche anomale. In questo caso la fase preparatoria è più complessa rispetto al caso precedente poiché i documenti da acquisire non sono tutti omogenei;

- rettifica dati anagrafici (RDA): per rilascio duplicato di rinnovo patente, la cui eventuale difformità viene segnalata dal cittadino per il tramite del Contact Center (CC). Si prevedono attività che vanno dalla fase preparatoria di verifica delle richieste di rettifica ricevute via mail tramite il CC e dei relativi documenti, fino al completamento del relativo data entry per l’aggiornamento degli archivi come da richiesta sul sistema informatico. In particolare, nel caso in cui il cittadino, recandosi presso il medico certificatore / autoscuola / ASL / commissione medica locale, non riuscisse ad effettuare la pratica di rinnovo per difformità dei dati riportati sul documento rispetto a quanto esistente negli archivi dell’Amministrazione, lo stesso cittadino segnala la difformità rilevata attraverso il CC, che provvede ad aprire il relativo ticket e ad inoltrare la richiesta di rettifica dei dati anagrafici.

Fascia B: complessità standard

- digitazione carte di circolazione (DCC): per variazione di residenza (attività residuale in attesa del completamento della modalità telematica ANPR) o per emissione di duplicato in caso di smarrimento o furto dell’originale. I dati vengono ricevuti per la loro successiva elaborazione secondo le modalità di seguito indicate: 1) per variazioni di residenza: via mail, su supporto cartaceo o su supporto ottico; 2) per rilascio di duplicati in caso di smarrimento, furto o distruzione dell’originale: via mail o su supporto cartaceo;

- digitazione patente per duplicati (DPD): in caso di sottrazione, smarrimento o furto dell’originale; si prevedono attività che vanno dalla fase preparatoria dei documenti da acquisire, i cui dati pervengono su supporto cartaceo, fino al completamento del relativo data entry sul sistema informatico, comprese eventuali rilavorazioni per pratiche anomale;

A prescindere dalla fascia, le successive operazioni di rilascio vero e proprio dei documenti esulano dal perimetro del servizio di cui trattasi e sono in capo all’Amministrazione che vi provvede o tramite altro servizio o autonomamente o con separati affidamenti. Ricade invece nel presente servizio tutto il supporto operativo necessario per l’aggiornamento degli archivi e la produzione informatica dei documenti da rilasciare.

I servizi di data entry dovranno essere erogati dal personale preposto del Fornitore aggiudicatario dal lunedì al venerdì, dalle 8.30 alle 17.30, esclusi sabati, domeniche e festività nazionali.

Il Fornitore nell’esecuzione delle attività dovrà garantire, presso i locali attrezzati e con le apparecchiature messe a disposizione dall’Amministrazione, l’effettuazione di:

- circa 300 (trecento) operazioni giornaliere di data entry delle carte di circolazione per smarrimento, furto o distruzione;

- circa 2300 (duemilatrecento) operazioni giornaliere di data entry delle patenti per smarrimento, furto o distruzione;

- circa 200 (duecento) operazioni giornaliere di data entry per cambio di residenza;

- circa 250 (duecentocinquanta) operazioni giornaliere di data entry delle patenti convertite all’estero;

- circa 300 (trecento) operazioni giornaliere di data entry per l’aggiornamento anagrafiche difformi.

nonché rendere disponibile e aggiornare tempestivamente l’elenco del proprio personale addetto al servizio e far rispettare i provvedimenti dell’Amministrazione per assicurare il controllo degli accessi e la sicurezza.

5. SERVIZI SISTEMISTICI

5.1. CONDUZIONE OPERATIVA DELL'INFRASTRUTTURA

Il servizio è costituito dalle attività volte alla supervisione, al monitoraggio, alla manutenzione e alla conduzione operativa del SIDT con riferimento alla sua componente centrale, comunemente nota come Centro Elaborazione Dati (CED), e periferica (Componenti di rete periferici), delle componenti in servizio presso Cloud esterni e dei servizi di Disaster Recovery.

Il servizio comprende la gestione di asset applicativi, infrastrutturali, trasmissivi e tecnologici indipendentemente che essi siano di proprietà del Fornitore, dell’Amministrazione o di ulteriori soggetti terzi. È oggetto del servizio anche il supporto al Dipartimento per il coordinamento complessivo di tutti i Soggetti coinvolti (anche altri fornitori e eventuali terze parti all’Amministrazione) nelle varie attività dell’ICT.

5.1.1. SITI E AMBIENTI DI EROGAZIONE

Il Centro di Elaborazione Dati è dislocato a Roma presso il Campus di Xxx Xxxxxx x. 00, e è articolato come segue:

- il Data Center che contiene i server hardware;

- il Network Center che contiene gli apparati di network e sicurezza e le attestazioni delle reti dati del Campus e delle reti geografiche per il collegamento del CED a:

o gli uffici periferici dell’Amministrazione e le altre Amministrazioni;

o il sito di Disaster Recovery;

o la rete pubblica internet.

Il sito secondario è attualmente dislocato presso un sito del Fornitore tuttavia il Dipartimento provvederà a dismettere tale sito e a migrare i servizi di DR su Cloud nell’ambito del piano più generale di migrazione verso soluzioni Cloud e con il supporto dei servizi erogati nell’ambito della presente iniziativa di gara.

Il sito di Data Bank è localizzato presso un ufficio dell’Amministrazione in Roma; presso tale sito sono conservate le copie dei dispositivi magnetici che contengono i backup delle applicazioni, delle banche dati e, in generale, del sistema informatico dell’Amministrazione.

L’infrastruttura centrale è attualmente composta da macchine fisiche e virtuali.

Dal punto di vista fisico l’architettura prevede l’utilizzo di enclosure modello C7000 e di server Blade di varia tipologia mentre dal punto di vista virtuale prevede l’utilizzo di più Virtual Farm, ognuna composta da più macchine virtuali, su tecnologia Vmware. Per quanto riguarda i server Database, il Dipartimento si è dotato di un’infrastruttura Oracle Exadata Machine quale unico sistema ingegnerizzato sul quale istanziare i database Oracle. La Storage Area Network (SAN) è realizzata con tecnologia HP, oltre a storage Centera EMC e componenti Oracle Exadata Machine. L’infrastruttura di back-up è basata prevalentemente su tecnologia HP.

La piattaforma utilizzata per il Disaster Recovery (DR), ubicata presso locali dell’attuale Fornitore, si basa su architetture e tecnologie omologhe a quelle presenti in produzione in replica asincrona periodica dello storage e garantisce, al netto della connettività geografica di rete, la possibilità di erogazione dei servizi applicativi in ambito Motorizzazione in caso di disastro del sito primario (CED presso il Campus di Via Caraci).

Il DR attuale non è direttamente connesso alla rete SPC e, pertanto, non consente di erogare servizi senza il nodo principale come centro stella di rete. Il nuovo DR si configurerà come un servizio in cloud il cui approvvigionamento, a cura del Dipartimento, non fa parte della presente fornitura.

Sono, invece, da considerarsi ricompresi nel servizio la gestione delle attività di Disaster Recovery, delle procedure applicative e delle infrastrutture CED e cloud, inclusa la gestione delle risorse, nonché la progettazione e esecuzione delle prove di corretto funzionamento del Disaster Recovery.

L’architettura di rete e sicurezza è composta da un insieme di componenti hardware (switch, router, firewall, acceleratori applicativi, sonde, ecc.) che consentono l’accesso controllato, e quindi la fruibilità, ai servizi offerti dal Dipartimento.

Gli asset Infrastrutturali e le componenti Cloud esterne attualmente esistenti, sui quali si istanzia il servizio di conduzione operativa dell’infrastruttura, sono dettagliatamente descritti nelle seguenti appendici al presente documento alle quali si rimanda per uno scenario più completo:

- Appendice 4 - Contesto del SIDT

- Appendice 5 - Infrastruttura centrale

- Appendice 6 – Componenti di rete periferici

Il Fornitore dovrà farsi carico di tutte le attività di allestimento, realizzazione, gestione e manutenzione degli ambienti di:

- sviluppo e collaudo, dislocati presso una sede del Fornitore;

- pre-esercizio, dislocato presso il CED, in cloud o presso una sede del Fornitore, utilizzabile su richiesta dell’Amministrazione per la certificazione degli aspetti non funzionali di progetti e sviluppi particolarmente critici, rilevanti o che richiedano il supporto di piattaforme cloud esterne;

- produzione (o esercizio), dislocato presso il CED e su soluzioni Cloud rese disponibili dal Dipartimento;

- infrastrutture elaborative e/o servizi cloud destinate a funzioni di Disaster Recovery in contesti di elevata criticità, ovvero inserite in soluzioni di livello 5 o 6 (aggiornamento sincrono) secondo la classificazione prevista nelle linee guida AGID per il Disaster Recovery delle Pubbliche Amministrazioni.

In particolare la disponibilità degli ambienti di sviluppo sarà a carico del Fornitore anche per quanto concerne prodotti hardware e software e i servizi di connettività necessari a realizzarli. La disponibilità degli ambienti di collaudo e pre-esercizio sarà a carico del Fornitore, anche per quanto concerne i servizi di connettività necessari a realizzarli ove installati c/o il Fornitore, ma fatti salvi i prodotti hardware e software e i servizi accessori di manutenzione che saranno resi disponibili dall’Amministrazione. La connettività tra il Centro di Gestione e Controllo (cfr. par. 5.1.2.17), il datacenter del Fornitore e il CED dell’Amministrazione è a carico del Fornitore.

Si evidenzia che si intendono ricompresi nel servizio di Conduzione operativa dell’infrastruttura tutti i servizi di conduzione operativa relativi agli ambienti cloud esistenti, alla Data di Attivazione dei Servizi, e a quelli in cui saranno migrati i servizi nel corso della durata del contratto coerentemente con quanto previsto dal Piano di Migrazione (cfr. par. 5.1.3 e par. 5.1.4).

Nel corso della migrazione, il Fornitore dovrà continuare a garantire la gestione e manutenzione presso una propria sede degli ambienti di sviluppo, collaudo e, eventualmente, pre-esercizio, nonché l’allineamento degli stessi alle evoluzioni tecnologiche che saranno implementate negli ambienti di produzione delle soluzioni cloud scelte dal Dipartimento.

5.1.2. CONDUZIONE OPERATIVA

Il servizio di Conduzione operativa è costituito dall’insieme dei servizi e delle attività relative alla conduzione e alla manutenzione degli ambienti di sviluppo, collaudo, pre-esercizio e produzione delle applicazioni in esercizio.

Obiettivo del servizio è assicurare il corretto funzionamento dell’ambiente di produzione per garantire agli utenti disponibilità e prestazioni adeguate dei servizi, l’integrità dei dati nel rispetto dei livelli di servizio e delle politiche di sicurezza (logica e fisica) dell’Amministrazione, nonché assicurare il costante allineamento degli ambienti di sviluppo, collaudo e pre-esercizio all’ambiente di produzione.

Il servizio è relativo a server fisici e virtuali, server in cloud di tipo IaaS, PaaS e/o soluzioni di tipo CaaS, appliance, HSM, storage, infrastrutture di backup/restore, infrastrutture di virtualizzazione hardware e software, apparati di

rete e di sicurezza del CED e componenti di rete periferici, dns/dhcp/print/file server, e comunque tutte le apparecchiature hardware e i prodotti software necessari al corretto funzionamento dei servizi erogati negli ambienti.

Infine si segnala che rientrano nel perimetro dei servizi di Conduzione operativa, con modalità analoghe a quanto previsto per le postazioni d’esame (si veda il par. 5.2), anche le ca. 60 postazioni CED indicate in Appendice 5 – Infrastruttura centrale presenti negli uffici del Ced (impiegati del Ministero). Per la descrizione dei servizi relativi a tali postazioni si rimanda al par. 5.2 del presente documento e per gli indicatori di qualità relativi a tali servizi all’Appendice 1 – indicatori di qualità.

I sotto-servizi compresi nel presente servizio sono descritti nei paragrafi che seguono.

5.1.2.1. MONITORING

Il Monitoraggio è relativo a tutte le attività di monitoraggio dei sistemi applicativi, infrastrutturali e di rete nell’ottica di garantire costantemente il corretto funzionamento dei servizi erogati agli utenti tramite il sistema informativo e individuare sin dal loro insorgere tutti i potenziali eventi critici che possono determinare incidenti e problemi che possono comprometterne la qualità del servizio.

Il sotto-servizio viene attuato su tutti i sistemi, ivi inclusi quelli messi a disposizione e/o gestiti da fornitori esterni e terze Parti e indipendentemente dalla proprietà, al fine di garantire la presa in carico degli allarmi pervenuti attraverso gli strumenti automatici al Centro di Gestione e Controllo del Fornitore. Di seguito, a titolo esemplificativo e non esaustivo, sono riportate le principali attività incluse nel sotto-servizio:

- monitoraggio delle componenti hardware per le quali il costruttore ha definito apposite funzioni di verifica automatiche (es. allarmi provenienti da storage box);

- controllo sulle componenti di rete, a partire dai router di accesso alla WAN fino alle componenti distribuite;

- monitoraggio dei sistemi operativi, almeno sui seguenti parametri:

o CPU Utilization

o Memory Utilization

o Log

o Disk

o File System

o Print Queue

o Networking Interface

- monitoraggio sul funzionamento dei Database, controllando almeno i seguenti parametri:

o Overall database status

o Transaction rate

o Cache hit ratio

o Tablespace

o Session used

o Enqueue ratio

- monitoraggio delle applicazioni;

- innesco delle procedure di incident e problem management in caso di rilevazione di qualche problema;

- verifica sull’utilizzo dei sistemi e rilevamento delle prestazioni per ciò che riguarda: dischi, CPU, dimensione dei file di Log, memoria, volumi, processi e relativa produzione di report dell’uso delle risorse di sistema.

Si precisa che le attività di monitoraggio relative alla verifica della disponibilità delle apparecchiature di rete e alle linee IP/VoiP, finalizzata alla gestione tempestiva di problemi rilevati e all’eventuale innesco degli eventuali interventi dei fornitori dei servizi di rete (per quanto concerne l’infrastruttura di rete distribuita), si estendono dai sistemi centrali a quelli periferici, fino agli apparati di rete e sicurezza delle sedi dislocate sul territorio. Poiché in tali sedi sono presenti le Aule Informatizzate Quiz Patenti e le Postazioni d’Esame in questo senso l’attività si dovrà interfacciare strettamente con il servizio di Gestione delle Postazioni d’Esame.

I componenti applicativi e tecnologici oggetto del monitoraggio sono descritti nei documenti di seguito richiamati:

- Appendice 4 - Contesto del SIDT

- Appendice 5 - Infrastruttura centrale

- Appendice 6 - Componenti di rete periferici

Obiettivo delle attività del Fornitore è la rilevazione di qualsiasi condizione di malfunzionamento dei sistemi gestiti sia in ottica correttiva che preventiva. Il Monitoraggio consente al Fornitore di individuare ambiti di miglioramento delle prestazioni e della configurazione del sistema avviando attività di ottimizzazione ricomprese nella conduzione del sistema quali:

- Tuning del sistema operativo e dei prodotti software

- Tuning applicazioni

- Riorganizzazione della basi dati

- Analisi e tuning del I/O

- Analisi e tuning dei flussi di rete

- Analisi e tuning del carico di lavoro online

- Analisi e tuning del carico di lavoro batch.

5.1.2.2. ONLINE OPERATIONS

Questo sotto-servizio prevede tutte le attività volte ad assicurare la disponibilità e operatività delle applicazioni/servizi online e delle loro componenti.

Di seguito, a titolo esemplificativo e non esaustivo, sono riportate le principali attività incluse nel sotto-servizio:

- messa a disposizione dell’ambiente applicativo;

- supervisione del corretto funzionamento operativo delle componenti di base e degli strumenti;

- gestione delle estensioni temporanee degli orari standard di servizio;

- innesco delle procedure di back-up e recovery, per garantire la continuità del Servizio agli utenti;

- controllo dell’esecuzione e delle sequenze delle elaborazioni (includendo le repliche dei database), intervenendo con le azioni correttive opportune;

- garanzia della disponibilità delle unità periferiche;

- verifica dell’elaborazione e della distribuzione dei risultati dell’elaborazione sui supporti di memorizzazione previsti;

- gestione delle modifiche temporanee alle schedulazioni elaborative, seguendo le indicazioni comunicate di volta in volta dall’Amministrazione.

5.1.2.3. BATCH OPERATIONS

Questo sotto-servizio prevede la gestione dell’elaborazione batch, ovvero l’esecuzione e il controllo del buon esito dei job batch nel rispetto della pianificazione effettuata sulla base delle esigenze dall’Amministrazione.

Di seguito, a titolo esemplificativo e non esaustivo, sono riportate le principali attività incluse nel sotto-servizio:

- pianificazione operativa dei job batch;

- gestione di eventuali cambi di priorità;

- congelamento e rilascio di procedure nei limiti di quanto definito nella fase di amministrazione o attraverso apposita procedura di escalation;

- controllo dell’esecuzione delle elaborazioni batch;

- effettuazione di restart di job in seguito a correzione di anomalie;

- gestione degli interventi di terze parti.

5.1.2.4. SYSTEM MANAGEMENT

In questo sotto-servizio sono incluse le attività di gestione ordinaria dei sistemi, dei database, dei prodotti software e delle applicazioni.

Di seguito, a titolo esemplificativo e non esaustivo, sono riportate le principali attività incluse nel sotto-servizio:

- amministrazione dei sistemi e delle relative configurazioni;

- amministrazione dei File System;

- gestione degli spazi disco;

- gestione dei supporti magnetici;

- gestione del calendario delle schedulazioni;

- definizione e manutenzione delle procedure di recovery del sistema;

- controllo del corretto svolgimento delle attività pianificate per la manutenzione del sistema;

- presidio delle operazioni di manutenzione hardware e di rete;

- gestione degli interventi di terze parti.

Per quanto riguarda i database, le attività previste includono, a titolo esemplificativo e non esaustivo:

- installazione e upgrade dei prodotti;

- configurazione e amministrazione dei database (creazione tabelle, caricamento dati, ripristino degli indici, tuning del DBMS, ecc.);

- operazioni di riorganizzazione, pulizia e parametrizzazione. Queste operazioni sono effettuate ad intervalli regolari, a richiesta o in caso di livelli degradati di performance;

- manutenzione preventiva, evolutiva, adeguativa e correttiva;

- soluzione delle anomalie, installazione delle fix correttive e di sicurezza;

- configurazione dei DB per effettuazione del backup online e predisposizione script gestionali;

- gestione e manutenzione dei dati storici;

- monitoraggio e analisi delle prestazioni delle singole sessioni applicative e individuazione di possibili ottimizzazioni del codice.

- installazione dei client di connessione;

- reporting sulle frammentazioni dei database.

Per quanto riguarda i prodotti software e le applicazioni, le attività previste includono, a titolo esemplificativo e non esaustivo:

- installazione, configurazione, evoluzione e manutenzione dei prodotti software di base;

- messa in produzione delle applicazioni o degli oggetti applicativi (report, siti, ecc..);

- configurazione delle utenze e dei privilegi;

- mantenere i rapporti con i centri di assistenza dei fornitori del Software di base per l’analisi e la soluzione dei problemi;

- manutenzione periodica e correzione delle anomalie per l’allineamento del livello di patch necessario alla rimozione dei bug e delle vulnerabilità dei prodotti;

- predisposizione di script (a carattere gestionale) per l’avviamento e l’arresto delle singole applicazioni o di specifici processi/componenti applicative o gestionali;

- definizione e parametrizzazione dei sistemi e dei sottosistemi;

- amministrazione dei diritti di accesso al sistema operativo;

- installazione e configurazione dei tool di monitoring;

- configurazione dei Server Applicativi e dei server dati.

Gestione Software

Le attività di gestione SW sono relative all’esecuzione degli interventi di installazione e configurazione del SW dei sistemi dell’Amministrazione svolte durante la fase di rilascio in esercizio, nonché alla supervisione e supporto all’esecuzione degli interventi da parte di eventuali fornitori esterni o terze Parti.

Le attività di installazione comprendono sia quelle di SW distribution che di installazione e configurazione delle componenti applicative.

Il Fornitore deve registrare tutte le richieste di change in esercizio quali:

- passaggio in esercizio di una nuova applicazione (package applicativo - PA);

- realizzazione in esercizio di una nuova banca dati;

- passaggio in esercizio di una nuova versione di una applicazione (PA) già in esercizio (per esigenze di MAC o MEV);

- passaggio in esercizio di una nuova versione della struttura di una banca dati già in esercizio.

Il Fornitore deve aggiornare il CMDB, e di conseguenza i “Rapporti degli Asset”, a fronte della esecuzione delle attività di change in esercizio.

L’effettivo rilascio in esercizio di una nuova applicazione critica è condizionato dalla esecuzione anche di una verifica di prestazione della specifica applicazione (Stress Test applicativo). Per i casi in cui, pur non avendo completato l’adeguamento applicativo, il passaggio in esercizio sia da considerarsi urgente e improcrastinabile, il Fornitore dovrà richiedere all’Amministrazione una esplicita e specifica autorizzazione al passaggio in esercizio.

Il Fornitore dovrà predisporre, formalizzare e applicare adeguate procedure operative per la gestione dei rilasci in esercizio delle applicazioni, delle banche dati e delle relative modifiche, ponendo la massima attenzione agli impatti sulla continuità operativa del servizio che le attività di passaggio in esercizio possono determinare.

Le principali attività sono:

- pianificazione interventi di gestione SW;

- attivazione interventi di gestione SW (sia preventivi che correttivi). Tale attività si applica anche agli

interventi di responsabilità di fornitori esterni o terze Parti;

- monitoraggio, supervisione e affiancamento (anche mediante supporto on-site) degli interventi di gestione SW (sia preventiva che correttiva). Tale monitoraggio e supervisione si applica sia agli interventi realizzati da personale proprio che a quelli realizzati da terze Parti su sistemi di proprietà o meno dell’Amministrazione;

- esecuzione intervento;

- rilevazione segnalazioni di malfunzionamento;

- registrazione e chiusura intervento (sia tecnica che amministrativa per gli interventi di propria competenza, solo amministrativa per gli interventi svolti da terze Parti);

- reporting periodico;

- aggiornamento del CMDB con le informazioni dei rilasci applicativi attivati.

Amministrazione Database

Le attività di amministrazione dei Database riguardano lo svolgimento di attività di gestione e di amministrazione delle basi dati del SIDT e comprendono:

- Installazione e upgrade dei prodotti software che implementano database;

- Configurazione e amministrazione di database;

- Riorganizzazioni e parametrizzazioni di dati;

- Analisi di occupazione spazio e interventi di tuning;

- Configurazione dei parametri relativi alle repliche;

- Manutenzione preventiva e correttiva.

Il Fornitore è responsabile delle attività di:

- Pianificazione delle attività inerenti upgrade e installazione/modifiche sulle componenti software;

- Valutazione delle modifiche sull’organizzazione dei dati;

- Esecuzione delle modifiche nei tempi concordati e nel rispetto del piano;

- Aggiornamento del CMDB con le informazioni relative alle modifiche delle Basi Dati attivate.

Servizio di Dominio

I servizi di dominio riguardano la gestione del sistema di Active Directory basato su server Microsoft Windows presente presso la sede Centrale del Campus di Via Caraci e utilizzato per la gestione delle PdL del Campus e per la gestione delle utenze VPN per l’accesso al SIDT.

Il Fornitore deve provvedere alla gestione di utenti e risorse dell’intero SIDT, sedi periferiche comprese, e garantire il supporto per applicazioni abilitate all'uso di directory.

Il sistema deve prevedere un database distribuito che consenta di archiviare e gestire informazioni sulle risorse di rete e dati specifici provenienti da applicazioni abilitate all'uso di directory. Gli amministratori devono poter utilizzare i Servizi di dominio per organizzare gli elementi della rete, come gli utenti, computer e altri dispositivi, in una struttura di contenimento di tipo gerarchico. Tale struttura deve poter:

- fungere da confine di sicurezza per l'organizzazione e definire l'ambito di autorità degli amministratori e degli utenti;

- creare domini aggiuntivi per implementare il partizionamento dei dati di Servizi di dominio, in modo da consentire la replica di dati solo dove è necessario;

- supportare funzionalità correlate all'Amministrazione, tra cui identità utente, autenticazione e relazioni di trust a livello di rete;

- semplificare la delega dell'autorità tramite unità organizzative, per agevolare la gestione di un numero elevato di oggetti. Mediante la delega, i proprietari potranno trasferire un'autorità completa o limitata sugli oggetti ad altri utenti o gruppi;

- gli utenti di rete autorizzati dovranno poter accedere a risorse che si trovano in qualsiasi punto della rete tramite una singola autenticazione cd. Single Sign On (SSO);

- permettere l’accesso al database di gestione delle risorse del dominio tramite protocollo LDAP;

- prevedere l’integrazione con i servizi di LDAP dei servizi proxy di navigazione, VoIP.

I servizi di dominio devono integrare la sicurezza logica mediante l'autenticazione di accesso e il controllo dell'accesso alle risorse presenti nella directory.

Di seguito sono elencate alcune caratteristiche di cui devono essere dotati i Servizi di dominio:

- Un insieme di regole che definisca le classi degli oggetti e degli attributi contenuti nella directory, i vincoli e le limitazioni poste sulle istanze di tali oggetti e il formato dei relativi nomi.

- Un catalogo globale contenente informazioni su tutti gli oggetti della directory. Utenti e amministratori devono poter utilizzare il catalogo globale per reperire informazioni di directory, indipendentemente dal dominio della directory che contiene effettivamente i dati.

- Un meccanismo di query e indicizzazione, mediante il quale utenti della rete o applicazioni possano pubblicare e reperire gli oggetti e le relative proprietà.

- Un servizio di replica che distribuisca i dati di directory in rete. Tutti i controller di dominio scrivibili di un dominio partecipano alla replica e contengono una copia completa di tutte le informazioni di directory per il rispettivo dominio. Qualunque modifica ai dati di directory viene replicata a tutti i controller di dominio del dominio.

- Crittografare tutto il traffico LDAP. L'utilizzo delle firme per il traffico LDAP deve garantire che i pacchetti di dati provenienti da un'origine conosciuta non siano stati alterati.

Gestione Storage

Il servizio di Gestione dello Storage consiste nella completa gestione (pianificazione, conduzione, controllo e ottimizzazione) delle infrastrutture storage e dello spazio disco utilizzato al fine di garantire la disponibilità dei dati utilizzati dalle applicazioni per l’erogazione dei servizi dell’Amministrazione.

Le principali attività che dovranno essere svolte, a titolo esemplificativo e non esaustivo, sono:

- pianificazione, gestione e controllo dello spazio su disco;

- formalizzazione del piano delle capacità dei dischi e delle previsioni di occupazione. I dati di tale piano dovranno essere formalizzati nel “Capacity Plan”, di cui al par. 5.3.4. L’occupazione e l’uso effettivo dei dischi dovranno essere misurati e confrontati con i valori di riferimento concordati con l’Amministrazione; dovranno anche essere riportate le eventuali situazioni critiche e le azioni eseguite o pianificate per risolverle;

- pianificazione, gestione e controllo delle librerie robotizzate.

Schedulazione Elaborazioni Batch

Gli obiettivi delle attività sono:

- progettare/adeguare la schedulazione delle elaborazioni batch in modo che sia sempre coerente con le esigenze dell’Amministrazione in termini di elaborazione dei dati e produzione degli output;

- adeguare la schedulazione in funzione delle esigenze di riesame legate a:

o passaggio in esercizio/dismissione di applicazioni, cambiamenti di priorità dei batch;

o evidenze dal monitoraggio delle elaborazioni;

o attività di creazione, variazione o eliminazione di procedure tecniche di gestione;

o gestione del ciclo di vita delle procedure tecniche di gestione (backup, gestione log, ecc...).

Il Fornitore dovrà predisporre e tenere costantemente aggiornato, in base alle Specifiche Procedurali fornite direttamente dall’Amministrazione o da parte dello stesso Fornitore in caso di interventi applicativi a seguito di MAC/MEV, un piano di schedulazione delle elaborazioni. Le specifiche procedurali sono i vincoli che il piano deve rispettare, quali, ad esempio:

- Vincoli Temporali (definendo per esempio giorni e orari di elaborazione)

- Sequenza di Esecuzione (definendo la propedeuticità tra le procedure);

- Interventi Manuali (necessità, in particolari situazione, di bloccare/sbloccare procedure.

Le specifiche di implementazione del piano devono tenere in considerazione le condizioni di esecuzione dei batch, il carico elaborativo/performance, i controlli da svolgere per garantire la corretta esecuzione e l’analisi/monitoraggio degli output da produrre.

Verifica e Certificazione delle Elaborazioni

Le attività consistono nella verifica e nella certificazione dei risultati delle elaborazioni effettuate dalle procedure del sistema - rispetto a quanto previsto dalle specifiche tecniche e funzionali delle applicazioni - nonché, in caso di errori, nell’attivazione di tutti gli interventi di manutenzione SW, restore, ecc. volti ad assicurare la correttezza delle elaborazioni stesse.

In particolare nel presente sotto servizio è prevista l’attività di validazione applicativa degli esiti delle applicazioni batch. Essa ha l’obiettivo di effettuare la validazione applicativa degli esiti delle elaborazioni svolte dalle applicazioni di tipo batch.

Giornalmente, e soprattutto nel corso della finestra di schedulazione batch notturna dalle 21:00 alle 08:00 del mattino seguente, il personale tecnico di presidio provvede alla verifica dei risultati attesi per ogni procedura di elaborazione eseguita.

In caso di difformità, se in possesso di istruzioni per il ripristino, detto personale tecnico di presidio riavvia la procedura fallita riprendendo l’esecuzione da un predeterminato step della relativa catena di esecuzione oppure effettua l’escalation alla Struttura competente attivando, se necessario, un intervento in reperibilità telefonica.

5.1.2.5. GESTIONE E MONITORAGGIO DELLA SICUREZZA

Il Fornitore dovrà impostare il modello di gestione della sicurezza e dovrà implementare un processo ciclico e integrato per assicurare e mantenere nel tempo il livello di sicurezza definito nel corso dell’analisi, attraverso una serie di misure di sicurezza (cfr. par. 3.4), verifiche, monitoraggi, allarmi e processi autorizzativi che permettano al gruppo di lavoro che gestisce la sicurezza di accertarne l’effettivo stato di realizzazione.

Il Fornitore dovrà definire e avvalersi di indicatori e strumenti che permettano di misurare il livello di sicurezza dei vari componenti e processi per capire l’esito delle azioni eseguite e i legami con la governance del progetto, in modo da evidenziare e identificare gli eventi che possano compromettere l’erogazione dei servizi. In particolare il Fornitore dovrà provvedere alla erogazione delle attività di Event e Log Management necessarie a raccogliere gli accessi ai sistemi informativi e tutti gli eventi significativi di sicurezza, nel rispetto dei requisiti previsti dalla vigente normativa, indicizzando tali informazioni per permettere un controllo efficace in tempo reale nonché a seguito di incidenti o anomalie.

Il Fornitore a partire dalla fase di subentro sarà quindi responsabile della produzione della documentazione e dei report periodici di sicurezza, con i dati collegati alle attività di gestione anche della sicurezza applicativa (si veda 4.3.1), provvedendo dal subentro a fornire e aggiornare periodicamente, o su richiesta del Dipartimento, i seguenti documenti:

- Security e Vulnerability Assessment;

- Piano Operativo di Sicurezza (si veda l’Appendice 2 - Cicli e Prodotti);

- Report di Sicurezza.

Inoltre, il Fornitore deve provvedere a definire i processi relativi alla individuazione degli incidenti rilevanti ai fini della sicurezza, al contenimento dell’effetto immediato e a limitare la perdita dei dati impattati, alla rimozione delle cause che hanno portato l’incidente ad avere successo, alla conservazione delle evidenze legate all’incidente e produrre un’efficace reportistica.

Nell’ambito della gestione della Sicurezza rientrano a titolo esemplificativo e non esaustivo i seguenti servizi/attività che sono strettamente correlati con gli altri servizi richiesti dall’Amministrazione al fine di completarli sotto il profilo della sicurezza:

- Hardening: per minimizzare le installazioni iniziali dei sistemi operativi e dei database alle sole componenti necessarie limitando la “superficie di attacco”;

- Early warning e Patch Management: per analizzare prontamente gli aggiornamenti di sicurezza rilasciati dai vendor, installarli ove applicabili e monitorare lo stato di aggiornamento degli host gestiti;

- Antivirus Management: per controllare centralmente che gli host gestiti siano dotati di un motore antivirus aggiornato e che eventuali infezioni virali, malware o altre minacce siano efficacemente rimosse;

- Policy Compliance: per misurare costantemente nel tempo il livello di sicurezza delle piattaforme installate valutandone il grado di conformità alle politiche di sicurezza definite;

- registrazione e manutenzione delle regole di sicurezza implementate sui dispositivi di sicurezza gestiti (firewall, IPS e IDS, router, sistemi di elaborazione); le regole di sicurezza vanno gestite nel sistema della configurazione CMDB e nei rapporti dell’asset (cfr. par. 10.2).

Si segnala che, comunque, l’Amministrazione sta consolidando gli aspetti di cybersecurity nell’ambito del Lotto 2 SPC e che, pertanto, gli interventi richiesti andranno integrati con le attività già previste.

5.1.2.6. GESTIONE DELLA SICUREZZA LOGICA

Le attività riguardano la realizzazione e gestione delle contromisure di tipo tecnologico volte alla difesa perimetrale e di contenuto del sistema informativo. Il servizio dovrà provvedere a:

- implementare un efficace sistema di controllo per la verifica dell’attuazione dei controlli di sicurezza e della loro efficacia;

- reagire prontamente e efficacemente agli eventi di sicurezza segnalati dai canali stabiliti (monitoraggio, help desk, canale esterno);

- attivare tempestivamente i processi di escalation per il supporto decisionale;

- fornire le statistiche sugli eventi registrati al fine di identificare carenze di sicurezza e definire le azioni necessarie alla riduzione del rischio;

- controllare e analizzare, in modalità centralizzata, i dati (ad esempio i log dei sistemi) e gli allarmi di tipo automatico.

La gestione delle credenziali degli utenti finali e degli utenti amministrativi è di competenza dell’Amministrazione.

5.1.2.7. GESTIONE DEGLI ACCESSI FISICI ALLE SALE DEL CED

L’autorizzazione all’accesso al CED è competenza dell’Amministrazione.

Il Fornitore dovrà fornire e aggiornare le liste del personale di sua pertinenza che l’Amministrazione dovrà autorizzare all’accesso al CED.

Il Fornitore deve monitorare il sistema di controllo accessi del CED segnalando i casi di accesso non autorizzato ai responsabili dell’Amministrazione.

5.1.2.8. PERFORMANCE MANAGEMENT

Le attività di gestione delle performance hanno come obiettivo la verifica del grado di utilizzo e la rilevazione delle prestazioni dei sistemi, nonché lo sviluppo e l’implementazione delle procedure di controllo delle prestazioni dei sistemi operativi, del middleware, dei database e delle applicazioni/servizi erogati all’utenza.

I dati raccolti permettono di individuare criticità nell’utilizzo delle risorse e il superamento di livelli soglia definiti; opportune azioni correttive vengono intraprese al fine di prevenire mancanze di risorse o degrado delle prestazioni.

I risultati conducono a definire:

- azioni di adeguamento dei vari parametri di sistema;

- le evoluzioni hardware e software necessarie (capacity planning).

Relativamente alle applicazioni, l’obiettivo è di mettere a disposizione una infrastruttura che possa garantire un tempo di risposta conforme alle esigenze del servizio.

Il Fornitore dovrà impiegare un sistema di gestione delle performance dei sistemi applicativi (SGP).

5.1.2.9. SAN/NAS MANAGEMENT

Il sotto-servizio consiste nella gestione delle infrastrutture SAN (Storage Area Network) e NAS (Network Attached Storage) e dello spazio disco al fine di garantire la disponibilità dei dati utilizzati dalle applicazioni.

Le attività previste includono, a titolo esemplificativo e non esaustivo:

- controllo, gestione e ottimizzazione dei dischi, dei supporti magnetici/ottici;

- refresh “periodico” dei supporti magnetici/ottici, a garanzia della disponibilità dei dati nel tempo e/o recupero di eventuali supporti danneggiati;

- definizione delle politiche di gestione delle SAN/NAS, in accordo con l’Amministrazione;

- analisi conoscitiva dell’utilizzo dello storage e produzione costante di reportistica;

- collegamento e configurazione degli switch per le necessità di nuovi collegamenti delle SAN/NAS;

- gestione e monitoraggio degli apparati di infrastruttura SAN/NAS;

- controllo dell’utilizzo dei dischi per assicurare la disponibilità di spazio;

- gestione delle performance dei dischi;

- pianificazione e gestione delle installazioni di SAN e NAS;

- preparazione dei dischi per l’attivazione nell’ambiente.

Sulla base della configurazione corrente e dei diversi tipi di dati, sarà responsabilità del Fornitore, in accordo con l’Amministrazione:

- l’attuazione delle politiche di accesso (Access Control List);

- il mantenimento e controllo degli standard di nomenclatura e delle regole di allocazione degli spazi disco

nei diversi ambienti elaborativi;

- la schedulazione delle procedure di ottimizzazione degli spazi;

- la gestione delle partizioni SAN e NAS;

- il monitoraggio dell’uso, delle prestazioni e della disponibilità dello spazio disco, segnalando eventuali superamenti delle soglie concordate.

5.1.2.10. BACKUP E RESTORE

Il sotto-servizio prevede la gestione delle procedure definite per la realizzazione di tutte le attività di salvataggio necessarie al sistema e alle relative basi dati e dei processi per la gestione del recupero dei dati anche a seguito di richieste degli utenti finali.

Al fine di garantire la continuità dei servizi o il recupero dei dati, sia di sistema che applicativi, è responsabilità del Fornitore, in accordo con l’Amministrazione:

- garantire l’integrità dei dati e la realizzazione dei piani di salvataggio dei dati, delle applicazioni e dei sistemi di base e verifica con test di ripristino della validità e della completezza dei salvataggi eseguiti;

- mettere in opera e mantenere aggiornate le politiche di salvataggio, di archiviazione e di ripristino dei dati;

- gestire gli spazi adibiti a contenere i supporti magnetici/ottici in conformità alle esigenze di sicurezza e integrità dei dati trattati;

- definire i criteri di movimentazione dei supporti magnetici.

Il Fornitore eseguirà i backup delle immagini di sistema, delle applicazioni e dei dati in conformità alle modalità definite nel Piano di Backup che sarà concordato con l’Amministrazione. Fornitore e Amministrazione revisioneranno tale piano ogni volta si renda necessario.

Il Fornitore è tenuto alla conservazione dei supporti di backup per almeno dodici mesi dall’effettuazione degli stessi. L’effettuazione dei restore dovrà avvenire nel rispetto dei livelli di servizio previsti.

Le attività includono:

- individuazione del supporto con ultimo salvataggio completo;

- eventuale individuazione del supporto con l’ultimo salvataggio incrementale;

- individuazione dei supporti con i salvataggi dei file di log successivi al salvataggio completo o a quello incrementale e comunque immediatamente precedente alla situazione che ha causato la richiesta di ripristino;

- esecuzione del ripristino;

- verifica del buon esito della esecuzione di ripristino.

5.1.2.11. GESTIONE DEGLI AMBIENTI DI RETE

Il sotto-servizio di gestione delle infrastrutture e dei servizi generali di connettività è rivolta ai sistemi di rete CED e di rete periferica (di cui all’Appendice 5 – Infrastruttura centrale ed all’Appendice 6 - Componenti di rete periferici):

- di rete, instradamento (router, switch, ecc.) e sicurezza (Firewall, Intrusion Detection System o IDS, ecc.);

- per il bilanciamento del carico e del traffico;

- di gestione dei flussi dei dati.

Le attività previste includono, a titolo esemplificativo e non esaustivo:

- gestione delle configurazioni;

- installazione e gestione di apparati/software di rete aggiuntivi, nonché eventuale sostituzione, in caso di malfunzionamenti, di componenti degli apparati;

- pianificazione, dimensionamento, controllo e ottimizzazione delle prestazioni degli apparati e dei carichi della rete. Definizione e formalizzazione del piano della capacità (previsioni di carico e prestazioni, dell’intera rete e di tutti i suoi componenti) nell’ambito del documento di Capacity Plan;

- attività di backup/restore specifici per gli apparti di rete;

- gestione, verifica, analisi e archiviazione dei log;

- pianificazione, attivazione e controllo delle attività di manutenzione preventiva e correttiva;

- pianificazione, attivazione e controllo degli aggiornamenti del software;

- gestione della sicurezza della rete;

- monitoraggio costante delle prestazioni;

- inizializzazione, attivazione e disattivazione delle sottoreti del sistema e delle unità collegate;

- gestione di soluzioni di web security e content filtering;

- gestione di sistemi di back-up delle configurazioni;

- asset management e gestione del CMDB di tutte le componenti della rete;

- a fronte dell’evoluzione dei sistemi e/o dei servizi, analisi d’impatto e messa a disposizione di tutti gli elementi necessari per il capacity planning.

In aggiunta alle attività di conduzione illustrate, si richiede la disponibilità on-line di mappe di rete aggiornate in grado di rendere visibile in ogni istante la situazione infrastrutturale, sia dei sistemi/servizi di rete centrali di cui all’Appendice 5 – Infrastruttura centrale, sia di quelli periferici di cui all’Appendice 6 – Componenti di rete periferici.

A seguito di problemi nella fruizione dei servizi informatici da parte dell’utente finale, il Fornitore avrà il compito dell’esecuzione della Problem Determination generale. Nel caso in cui i problemi riguardino il/i Fornitore/i dei servizi di connettività geografica e/o componenti e servizi di rete periferici, il Fornitore dovrà inoltrare tempestivamente le segnalazioni dei problemi, garantire il supporto eventualmente necessario per l’individuazione della soluzione e informare gli utenti circa lo stato del problema fino alla sua definitiva rimozione.

Sono altresì ricomprese le attività di supporto all’Amministrazione per la gestione dei servizi erogati in ambito SPC quali:

- Supportare l’Amministrazione nella conduzione dei servizi di trasmissione dati previsti nel contratto SPC;

- Supportare l’Amministrazione nella predisposizione di proposte documentate di modifica dei fabbisogni di connettività in ragione delle evoluzioni dei sistemi informativi gestiti.

5.1.2.12. MOVIMENTAZIONE, AGGIUNTA E CAMBIAMENTO DI SERVER - MACS

Il sotto-servizio consiste nella Movimentazione, Aggiunta e Cambiamento di Server e componenti infrastrutturali e è riferito sia a componenti fisiche che virtualizzate.

Il servizio viene erogato sulla base di un piano concordato fra Fornitore e Amministrazione. Sulla base delle indicazioni dell’Amministrazione, il Fornitore produrrà almeno dieci giorni prima della fine di ogni trimestre un Piano MACS che dovrà contenere tutte le attività di movimentazione, aggiunta e cambiamento che dovranno essere svolte dal Fornitore stesso nel corso del trimestre successivo fermo restando che il Xxxxx, xxx xxxxx xxx xxxxxxxxx di riferimento, potrà essere integrato e/o modificato in funzione delle esigenze. Tale piano dovrà contenere almeno le seguenti informazioni: tipologia di attività, apparati coinvolti, descrizione degli interventi,

inizio e fine di ogni intervento, effort stimato (ore).

Tali attività vengono pianificate dal lunedì al venerdì in orari tali da non creare o minimizzare i disservizi (cfr. par. 9.1).

Le attività previste includono, a titolo esemplificativo e non esaustivo:

- spostare server e componenti infrastrutturali;

- aggiungere, modificare o eliminare componenti hardware a server e componenti infrastrutturali esistenti secondo le configurazioni concordate;

- aggiungere o eliminare server virtualizzati;

- installare i prodotti e effettuare attività di test del software di sistema;

- verificare il corretto funzionamento dei sistemi nuovi, spostati o modificati;

- dismettere apparati obsoleti mediante la cancellazione sicura dei dati presenti

Nell’ambito del sotto-servizio il Fornitore deve provvede anche ad eseguire la corretta installazione e aggiornamento di tutto il software di sistema secondo adeguata analisi degli impatti e pianificazione. Nell’ambito dell’installazione e upgrade di prodotti software sono previste le attività di:

- costante analisi dei rilasci software resi disponibili per verificarne la necessità e/o convenienza;

- comprensione dei benefici/vincoli derivanti dall’adozione di nuove versioni software richiesti dai capacity planning eseguiti, oltre che da richieste specifiche dell’utenza;

- verifica delle compatibilità di versione;

- verifica dei moduli da aggiornare per l’attivazione di nuovo software o per la risoluzione di un’anomalia.

5.1.2.13. ASSISTENZA TECNICA HARDWARE

L’Assistenza Tecnica Hardware si applica a tutti gli apparati hardware del CED dell’Amministrazione, della periferia e a tutti gli apparati messi a disposizione dal Fornitore operativi in ogni ambiente (Esercizio, Disaster Recovery, Collaudo, ecc..). Gli oneri sono ad esclusivo carico del Fornitore.

Sarà cura e onere dell’Amministrazione dotare le apparecchiature per tutta la durata contrattuale di servizi di manutenzione in garanzia appropriati; il Fornitore non risponde dei livelli di servizio sulla manutenzione dell’hardware ma è tenuto a gestire tutti i rapporti operativi con il fornitore prestatore del servizio di manutenzione in garanzia per conto dell’Amministrazione, e a segnalare all’Amministrazione tutte le eventuali criticità. Ove si rendesse necessario, il Fornitore è tenuto a coordinare l’intervento congiunto del proprio personale, anche on site, al personale del fornitore della manutenzione in garanzia.

Le attività previste includono, a titolo esemplificativo e non esaustivo:

- effettuare assistenza a server e componenti infrastrutturali. Per le apparecchiature in garanzia, il Fornitore si conformerà alle istruzioni del programma di garanzia del costruttore durante il periodo di copertura della garanzia. Sono incluse le attività di assistenza a seguito di guasti dovuti a caduta o urti anche accidentali delle apparecchiature, a calamità naturali (fulmini, incendi,...), a problemi di alimentazione elettrica (sbalzi di tensione, ecc.) e ad errato uso delle apparecchiature o manomissioni in genere. Nel caso in cui i danni siano causati dal personale dell’Amministrazione, tali attività di assistenza non saranno ricomprese nel servizio di Conduzione operativa e il corrispettivo sarà determinato sulla base dei giorni di effort relativi alle figure professionali impiegate, per i valori unitari previsti;

- effettuare la gestione logistica delle parti di ricambio e gestione della garanzia. Le parti di ricambio saranno quelle originali delle case costruttrici ad eccezione di quelle fuori produzione;

- riparare o sostituire parti hardware difettose;

- eseguire manutenzione preventiva periodica;

- fare l’upgrade dell’ hardware secondo quanto indicato dal costruttore;

- provvedere alla manutenzione dei sistemi per la normale manutenzione e/o soluzione dei problemi;

- effettuare assistenza SW con l’eventuale necessaria reinstallazione dei prodotti SW di base e di ambiente essendo compito del Fornitore anche il ripristino della configurazione e di eventuali dati.

5.1.2.14. MANUTENZIONE TECNOLOGIE SOFTWARE

È compito del Fornitore gestire e governare tutte le attività operative connesse con la manutenzione e l’assistenza delle tecnologie software (Sistemi operativi, prodotti software di base, prodotti middleware) sia che si tratti delle tecnologie attualmente attive sui sistemi (on premise o Cloud) sia che si tratti delle nuove tecnologie software che l’Amministrazione deciderà di adottare durante il periodo di vigenza contrattuale.

È onere e cura dell’Amministrazione la messa a disposizione del Fornitore dei servizi di manutenzione e assistenza erogati dal produttore. Il Fornitore è tenuto ad effettuare le seguenti attività:

- analisi delle patch rilasciate dal produttore per la risoluzione di bug e/o per prevenire malfunzionamenti in specifiche condizioni di uso del prodotto e/o per superare vulnerabilità accertate;

- gestione e inoltro al produttore delle richieste di assistenza nella eventualità di errori o malfunzionamenti rilevati;

- analisi delle comunicazioni del produttore in relazione al ciclo di vita della specifica tecnologia software (end of life, end of support, rilascio nuove versioni e release di prodotto, bollettini di sicurezza);

- realizzazione di un appropriato “Piano di Adeguamento” per la applicazione delle patch in aderenza alle specifiche previste e indicate nel presente sotto servizio (change pianificabili);

- segnalazione all’Amministrazione della presenza di patch la cui applicazione è, secondo la valutazione del Fornitore, urgente e improcrastinabile (change non pianificabili) con la comunicazione della stima dell’impatto; esecuzione dell’intervento di applicazione della patch.

5.1.2.15. GESTIONE DEL DISASTER RECOVERY

Il sotto servizio di Gestione del Disaster Recovery (DR) comprende un insieme di attività volte a minimizzare gli effetti distruttivi di un evento che colpisca l’Amministrazione o parte di essa con l'obiettivo di garantire la continuità delle attività.

Generalità

Le risorse hw, sw, di connettività e i servizi infrastrutturali / cloud per la realizzazione del servizio di DR (server hardware, apparati di rete e sicurezza, licenze e prodotti software, dispositivi di storage, ecc.) sono messe a disposizione dal Dipartimento. Al Fornitore è richiesta l’esecuzione di tutte le attività relative a:

- pianificazione, progettazione e esecuzione delle prove di corretto funzionamento del Disaster Recovery;

- gestione delle attività di Disaster Recovery, delle procedure applicative e dei servizi infrastrutturali e cloud, inclusa la gestione delle risorse;

- supporto all’Amministrazione nella Pianificazione del Disaster Recovery e gestione della documentazione;

- esecuzione e gestione dei test di Disaster Recovery;

- trasporto di una seconda copia dei backup dal sito primario al sito di Data Bank che è deputato a conservare in modo sicuro la seconda copia dei supporti del backup del sito primario.

In particolare le attività di pianificazione riguardano:

- pianificazione di risorse necessarie a garantire l’operatività dei sistemi in caso di disastro e che tale operatività venga costantemente mantenuta allineata all’evoluzione dell’architettura e dei servizi; tale pianificazione dovrà essere effettuata sulla base delle indicazioni rese disponibili dal Dipartimento circa i servizi da proteggere e in conformità alle direttive e linee guida;

- pianificazione delle attività da svolgersi in caso di disastro da parte di tutti gli attori coinvolti (Fornitore, Amministrazione, Fornitore dei servizi infrastrutturali/cloud di DR, e altre terze parti coinvolte). Tale attività include la realizzazione e la manutenzione delle procedure operative da utilizzare in caso di disastro da parte di tutti gli attori coinvolti.

Le attività di esecuzione e gestione dei test di Disaster Recovery sono relative a:

- progettazione dei casi di test in relazione alla progettazione del sistema e alle procedure operative definite;

- esecuzione delle prove (unitamente agli altri attori coinvolti). Coordinamento e supervisione di tutti gli attori coinvolti nelle prove;

- produzione del Report della Sessione di Disaster Recovery Test.

Formano inoltre parte integrante del contratto le prestazioni di implementazione del piano di Disaster Recovery in caso di disastro (stesse attività di esecuzione del test ma in contesto reale) e l’esecuzione delle prove periodiche di DR allo scopo di assicurare che il piano raggiunga effettivamente gli obiettivi previsti e che venga costantemente mantenuto allineato all’evoluzione dell’architettura e dei servizi.

Il Piano di Disaster Recovery dovrà considerare l’intero contesto operativo dell’Amministrazione, in termini di infrastruttura, funzionalità specifiche (acquisite o sviluppate successivamente) e ambienti elaborativi definiti critici per l’attività della Amministrazione. Il Piano dovrà individuare le modalità per ripristino del servizio al termine della situazione di emergenza.

La scelta del servizio di Disaster Recovery, così come la scelta del sito di DataBank, è di competenza del Dipartimento.

Nell’ambito del sotto servizio DR il Fornitore dovrà:

- supportare l’Amministrazione nel definire ruoli, competenze e responsabilità di tutto il personale che sarà coinvolto nell’implementazione della soluzione DR (Fornitore e Amministrazione);

- monitorare l’aggiornamento tecnologico, l’adeguatezza delle risorse, delle componenti, degli accorgimenti e delle procedure messe a disposizione per assicurare il ripristino dell’operatività in occasione delle verifiche e dei test periodici.

Business Impact Analysis

Il Fornitore dovrà supportare il Dipartimento nella predisposizione del documento di BIA anche aggiornando, per tutta la durata del contratto, le informazioni ivi contenute a fronte dell’introduzione di nuovi sistemi/applicazioni o di mutate esigenze, ovvero su richiesta del Dipartimento.

La BIA ha lo scopo di determinare le conseguenze derivanti dal verificarsi di un evento critico e di valutare l’impatto di tale evento sull’operatività dell’Amministrazione.

Lo svolgimento di una BIA prevede i passi descritti nel seguito:

- individuazione delle procedure amministrative e dei servizi critici;

- identificazione dell’insieme delle risorse informatiche e del personale coinvolto nelle procedure e servizi critici;

- analisi dell’impatto dell’indisponibilità prolungata (e relativa individuazione degli obiettivi di ripristino);

- determinazione delle strategie di ripristino opportune. Gli obiettivi di ripristino sono individuati dai seguenti parametri:

- Recovery Time Objective (RTO): indica per quanto tempo l'amministrazione può sopportare l'interruzione o il degrado prestazionale della procedura o servizio resosi indisponibile a fronte di un evento;

- Recovery Point Objective (RPO): indica in quale misura l'amministrazione può sopportare la perdita di dati associati alla procedura o servizio in esame.

La BIA contiene quindi le seguenti informazioni minime:

- identificazione delle esigenze generali di continuità operativa;

- approccio adottato;

- caratterizzazione delle procedure e servizi dell'amministrazione;

- caratterizzazione dei sistemi informatici;

- identificazione delle esigenze di continuità operativa dei sistemi informatici (obiettivi RTO, RPO);

- priorità di intervento.

Piano di Disaster Recovery

La responsabilità di aggiornare il DRP corrente è affidata al Fornitore del servizio con la supervisione della struttura preposta dall’Amministrazione.

Il DRP dovrà essere approvato dall’Amministrazione. L’Amministrazione potrà richiedere modifiche e integrazioni a tale piano a seguito di verifiche circa la completezza e l’adeguatezza dello stesso alle necessità operative dell’Amministrazione; il Fornitore dovrà predisporre o pianificare tali modifiche entro quindici giorni lavorativi dalla richiesta da parte dell’Amministrazione.

Nel DRP dovrà essere indicato quali informazioni devono essere salvate e duplicate sul sito di DR, il loro volume e la tempificazione del loro ripristino in relazione alle necessità operative dell’Amministrazione. Devono inoltre essere indicati i processi per la gestione delle attività di Recovery che comprendano, senza limitarsi a questo, l’attivazione del sito di Disaster Recovery, le modalità di ripristino dei dati, ivi comprese le modalità di movimentazione e archiviazione di eventuali nastri magnetici, le modalità di ripristino della piena capacità elaborativa dal sito di Disaster Recovery e le modalità di ripristino dei dati eventualmente persi nel periodo di tempo dall’ultima azione di data recovery al momento del disastro.

Nel DRP saranno formalizzate le procedure di emergenza, saranno definiti ruoli e responsabilità dell’implementazione del Piano e si descriveranno le interazioni tra le strutture dei Fornitori e dell’Amministrazione preposte alla gestione delle crisi.

Il Fornitore presenterà all’Amministrazione, secondo modalità e tempi da concordare, tutta la documentazione necessaria alla descrizione dettagliata della soluzione tecnica scelta.

Oltre la descrizione delle attività da svolgere e le procedure da seguire in caso di disastro, il DRP dovrà contenere anche l’analisi dei disastri possibili e le contromisure adottate dal Fornitore in relazione a ciascun tipo di disastro per ogni sito, sistema e funzione in uso agli utenti. Il DRP dovrà contenere l’indicazione esplicita delle condizioni e delle aree di non recovery per ciascun tipo o localizzazione di disastro. Il documento dovrà inoltre evidenziare come sarà gestita la sicurezza nell’ambito del Disaster Recovery, in conformità alle politiche e alle specifiche tecniche definite dall’Amministrazione.

Il piano dovrà contenere, a titolo esemplificativo e non esaustivo:

- la pianificazione della gestione della crisi e delle attività da assicurare in condizioni di emergenza;

- l’assegnazione di ruoli e responsabilità, con particolare riferimento alla gestione straordinaria da attuare in caso di disastro o indisponibilità prolungata dei siti primari;

- la definizione delle modalità e dei termini di attivazione del personale e degli utenti dei sistemi informativi;

- il coordinamento del piano di test di Disaster Recovery;

- la documentazione tecnica di ripristino, descrittiva delle strutture organizzative, delle procedure e della sequenza di attività da effettuare per la ripartenza e il ripristino dell’operatività del sistema;

- la descrizione delle modalità previste per assicurare l’assistenza al personale dell’Amministrazione;

- le modalità e i termini di rientro dalla situazione di emergenza.

Gestione del Piano di Disaster Recovery

Il Fornitore implementerà il DRP con l’obbligo di coordinarsi con la struttura preposta dall’Amministrazione, in relazione alle responsabilità individuate da quest’ultima al suo interno, e con tutti i Fornitori degli altri servizi previsti per la gestione del SIDT e del DR.

Ai fini della gestione del DRP le attività richieste al Fornitore sono:

- analisi delle necessità;

- pianificazione della gestione della crisi;

- pianificazione della gestione delle attività in emergenza;

- pianificazione del ripristino dei dati in situazione di emergenza;

- coordinamento del piano di test di DR;

- manutenzione del piano organizzativo e della documentazione tecnica di ripristino;

- training e assistenza nell’utilizzo di tool specifici per la progettazione del piano;

- esecuzione del piano di DR in caso di disastro;

- ripristino del sistema di produzione entro i termini previsti.

Prove di Disaster Recovery

Durante l’esecuzione del contratto il Fornitore è tenuto, in coordinamento con la struttura preposta dall’Amministrazione e con tutti i Fornitori degli altri servizi previsti per la gestione del SIDT e del DR, ad effettuare almeno due prove di disaster recovery ogni anno allo scopo di assicurare che il DRP raggiunga effettivamente gli obiettivi previsti e che venga costantemente mantenuto allineato all’evoluzione dell’architettura e dei servizi.

Le prove consisteranno nella simulazione di crisi e nella verifica della adeguatezza delle procedure di recovery per garantire gli obiettivi di continuità operativa definiti.

Per ogni prova di Disaster Recovery effettuata dovrà essere prodotto, a carico del Fornitore, idoneo “Rapporto di Prova di Disaster Recovery” con l’indicazione, almeno, delle seguenti informazioni:

- data e ora inizio della sessione di Test (data e ora di simulazione della dichiarazione di disastro);

- data/ora di esecuzione di ogni azione di ripristino;

- data e ora di inizio delle verifiche applicative;

- descrizione e esito di ogni verifica effettuata;

- problemi riscontrati;

- azioni intraprese;

- valore misurato del RTO;

- valore misurato del RPO;

- suggerimenti per l’Amministrazione;

- Piano di adeguamento del DR (in caso di valori di RTO e/o di RPO superiori a quelli stabiliti).

Le modalità di misura del RTO e del RPO devono essere formalizzate dal Fornitore prima dell’avvio della sessione di DR Xxxx e accettate dall’Amministrazione.

Il DRP dovrà indicare le date previste delle prove annuali di disaster recovery, tutti i test da eseguire, le modalità di esecuzione dei test, e le condizioni di superamento del test.

È facoltà dell’Amministrazione richiedere una nuova esecuzione completa della prova di disaster recovery in caso di mancato superamento di uno qualsiasi dei test previsti: la data di esecuzione di tale ripetizione della prova di DR sarà indicata dall’Amministrazione.

5.1.2.16. GESTIONE DELLE UTENZE

L’attività di gestione delle utenze consiste nella creazione/cessazione di nuove utenze e nella manutenzione di quelle esistenti, nell’assegnazione delle autorizzazioni/ruolo e del profilo di accesso alle applicazioni/sistemi, di ripristino delle password, di sblocco sessioni secondo le modalità e le procedure in essere.

Il servizio provvede ad evadere tutte le richieste di creazione/modifica/cancellazione delle utenze e delle relative abilitazioni, di reset delle password, di sblocco sessioni comunicate dall’Amministrazione secondo le modalità e le procedure concordate.

Il Fornitore, per le attività relative alle utenze e ruoli di accesso agli apparati, in quanto gestore degli stessi, sarà responsabile dell’attuazione delle politiche di sicurezza definite dall’Amministrazione.

In particolare, si evidenzia che gli utenti amministratori dovranno accedere ai sistemi sempre con la loro utenza personale nominativa e, a fronte della necessità di compiere operazioni straordinarie, per le quali la loro utenza non è abilitata, dovranno rivolgersi ad un amministratore con privilegi più elevati.

Sarà compito del Fornitore eseguire e mantenere aggiornato un censimento delle utenze amministrative e non, e del personale dell’Amministrazione abilitato a detenerne e utilizzarne le credenziali.

Il Fornitore dovrà utilizzare le proprie utenze, amministrative e non, secondo i principi della separazione delle funzioni e della riservatezza delle informazioni.

Per tutte le utenze di Amministrazione si dovrà provvedere alla modifica delle password secondo le politiche in essere, ovvero secondo indicazioni formali da parte del personale dell’Amministrazione.

Entro un mese dal termine del periodo di subentro, il Fornitore dovrà provvedere alla sospensione/cancellazione di tutte le utenze riconducibili al Fornitore uscente dando evidenza dell’operazione all’Amministrazione tramite elenchi ordinati per server.

5.1.2.17. CENTRO DI GESTIONE E CONTROLLO

Il Fornitore dovrà implementare e gestire un servizio centralizzato per il monitoraggio e l’assistenza remota degli apparati e dei sistemi sotto la sua gestione: Centro di Gestione e Controllo - CGC. Il CGC dovrà avere un Sistema di Gestione della Sicurezza certificato secondo lo standard ISO IEC 27001.

Il CGC dovrà anche effettuare il monitoraggio dello stato di funzionamento dei collegamenti geografici e del traffico generato dagli utenti interni e esterni all’Amministrazione; in particolare il dettaglio delle informazioni registrate dovrà consentire di effettuare la cause-analysis di qualsiasi problema rilevato dagli utenti, sia per quanto riguarda la fruizione dei servizi applicativi che la qualità degli stessi (dovrà pertanto essere possibile identificare tutti gli accessi dei singoli utenti ai servizi applicativi – compresi i tentativi falliti di accesso – nonché monitorare le transazioni effettuate dalle CPU dei sistemi centrali fino al client utente). A tal fine il Fornitore dovrà interfacciare

i Fornitori dei servizi di connettività geografica e periferica attraverso i rispettivi centri di gestione in conformità a quanto definito dalla documentazione contrattuale e tecnica degli stessi. Tutti gli oneri di approntamento e gestione di tale CGC sono a carico del Fornitore e pertanto non sarà corrisposto alcun compenso ulteriore in relazione alle attività di realizzazione e gestione del CGC stesso.

Il Fornitore dovrà consentire all’Amministrazione, o al personale da essa designato, l’accesso a tale sistema anche da remoto e in modalità on-line per consentire un monitoraggio passivo ma in tempo reale della situazione, e permettere l’estrazione delle registrazioni del CGC: le modalità tecniche saranno concordate tra Dipartimento e Fornitore.

Le attività di conduzione operativa saranno organizzate dal Fornitore prevedendo un collegamento telematico tra il CED dell’Amministrazione e il Centro di Gestione e Controllo del Fornitore, attraverso il quale effettuare tutte le attività di gestione remotizzabili. Dovrà comunque essere previsto anche un presidio presso il CED per tutte le attività non effettuabili da remoto. È responsabilità del Fornitore organizzare e coordinare le strutture di presidio remoto e on site per garantire i livelli di servizio previsti.

La connettività tra il Centro di Gestione e Controllo e il CED dell’Amministrazione è a carico del Fornitore.

5.1.2.18. PRESA IN CARICO DI NUOVE COMPONENTI DELL’INFRASTRUTTURA

Il sotto servizio riguarda le attività di installazione, setup, integrazione in ambiente di esercizio e supporto al collaudo di nuove tecnologie, acquisite dall’Amministrazione in sostituzione e/o in aggiunta di quelle già operanti nel SIDT, nell’ambito della realizzazione di nuovi interventi e/o progetti di evoluzione del sistema informatico.

Le richieste o i piani di attività saranno resi disponibili dall’Amministrazione; variazioni al piano possono essere proposte dal Fornitore e devono essere approvate dall’Amministrazione.

Le nuove componenti, a titolo indicativo e non esaustivo, potranno essere: server hardware, dispositivi di storage, apparati di sicurezza, prodotti di backup, prodotti middleware, nuove tecnologie Hardware, prodotti di sicurezza, controllo, monitoraggio, ecc. L’esigenza di inserire nuovi componenti può nascere, ad esempio, anche dalla necessità di effettuare adeguamenti di risorse elaborative per superare situazioni di degrado e/o di saturazione delle risorse oppure di sostituire tecnologie hardware e software obsolete e/o non più manutenute dal produttore. Si evidenzia inoltre che il servizio potrà riguardare anche componenti infrastrutturali in servizio/cloud (ad esempio nuovi server IaaS, o container CaaS, ecc.) nell’ambito di quanto anche previsto al par. 5.1.3.

Nell’eventualità di interventi che richiedano risorse professionali ad alta specializzazione con profili differenti da quelli previsti nel presente contratto, l’Amministrazione provvederà ad approvvigionarsene in autonomia. Gli interventi compresi nel sotto servizio potranno riguardare ad esempio:

- attività di installazione e setup della nuova componente architetturale;

- predisposizione della documentazione per il collaudo della nuova componente architetturale;

- supporto tecnico a specialisti dei prodotti incaricati dal Dipartimento:

o nell’ambito delle attività di configurazione dell’ambiente di esercizio per l’integrazione in esercizio della nuova componente architetturale;

o nell’ambito delle attività di collaudo della nuova componente;

o nell’ambito delle attività di predisposizione della documentazione;

- supporto tecnico del Fornitore alla terza parte per le attività di installazione del nuovo componente;

- esecuzione di attività di configurazione dell’ambiente di esercizio per l’integrazione e attivazione della nuova componente con l’eventuale supporto di terze parti o specialisti incaricati dal Dipartimento;

- collaudo in esercizio della nuova componente;

- aggiornamento del CMDB, dei rapporti degli asset e di tutta la documentazione operativa dell’esercizio.

5.1.3. CONDUZIONE OPERATIVA SERVIZI CLOUD ESTERNI

Le applicazioni e i sistemi, che al momento della Data di Attivazione dei Servizi risiedono su piattaforme Cloud esterne (ad. es. SPC Cloud) e quelli che saranno migrati su piattaforme Cloud nel corso del contratto, con soluzioni di tipo IaaS o PaaS, saranno gestite nell’ambito del servizio di Conduzione operativa delle Infrastrutture con modalità analoghe a quelle previste dal par. 5.1.2.

5.1.4. SUPPORTO SISTEMISTICO CLOUD (CAAS, SAAS, ECC.)

Per la gestione delle immagini di tipo Container as a Service (CaaS), è previsto uno specifico servizio di supporto sistemistico da parte di personale specializzato su soluzioni di tipo Cloud (Sistemista Cloud) in grado di effettuare le attività di gestione di tali soluzioni.

Si precisa che soluzioni di tipo CaaS potranno essere implementate sia in cloud esterni ma anche su sistemi collocati nel CED del MIMS (on premise). Nel caso di servizi cloud esterni la gestione dei nodi base sarà a cura del Fornitore del servizio esterno mentre nel secondo caso, per le soluzioni on premise, la gestione dei nodi base (ad es. sul Docker Engine) si considera inclusa nel canone di base del servizio di Conduzione Operativa delle Infrastrutture.

In entrambi i casi rimangono a cura del Fornitore, nell’ambito del servizio di Supporto Sistemistico Cloud, tutte le attività di creazione, configurazione e gestione relative alle immagini “derivate” partendo da quella base.

Il servizio può essere attivato nel corso del contratto anche per altre esigenze relative alla Conduzione Operativa di sistemi Cloud, in particolare ad esempio per la gestione dei soluzioni di tipo SaaS.

5.2. GESTIONE POSTAZIONI ESAMI

5.2.1. OBIETTIVI E CONTESTO

Il servizio di Gestione Postazioni Esami è costituito dalle attività volte alla supervisione, al monitoraggio, alla manutenzione e alla conduzione operativa degli asset del Sistema Informatico dell’Amministrazione attivi presso le aule d’esame (“Aule Informatizzate Quiz Patenti”) indipendentemente dal fatto che essi siano di proprietà del Fornitore, dell’Amministrazione o di ulteriori soggetti terzi. È oggetto del servizio anche il supporto all’Amministrazione per il coordinamento complessivo di tutti i Soggetti coinvolti (anche altri fornitori e eventuali terze parti all’Amministrazione) nelle varie attività del servizio.

Sono, inoltre, da considerarsi ricompresi nel servizio anche i sistemi e le applicazioni degli ambienti di supporto denominato “Model Office”.

Le aule d’esame (e la connessione SPC, i router, i firewall e tutti i componenti della rete distribuita che abilitano il collegamento al centro stella del Data Center di via Caraci) rappresentano una infrastruttura distribuita critica, da considerarsi quale naturale estensione del Data Center.

L’obiettivo primario del servizio è assicurare costantemente il corretto funzionamento e il corretto dimensionamento di tutti gli apparati del SIDT distribuiti nelle aule d’esame e comunque finalizzati a garantire la corretta e piena operatività delle postazioni d’esame, nel rispetto dei livelli di servizio nonché delle politiche di sicurezza e di gestione stabilite dall’Amministrazione.

Il servizio di Gestione Postazioni Esami va effettuato in sinergia con il Servizio di Conduzione operativa dell’infrastruttura per l’esecuzione e il controllo delle operazioni di gestione, modifica e controllo sui sistemi di esercizio e monitoraggio delle componenti e servizi di rete periferici, per i quali lo stesso servizio di Conduzione operativa è l’unico responsabile.

I servizi richiesti sono principalmente di tipo On-Site e includono le attività, le attrezzature, le trasferte dei tecnici, le eventuali spedizioni, e quanto altro necessario.

Il servizio si propone i seguenti obiettivi:

- mantenere funzionanti e in piena efficienza le apparecchiature oggetto del servizio;

- ridurre i tempi di fermo delle apparecchiature e dei sistemi , a fronte di malfunzionamenti o errori, entro i termini stabiliti;

- verificare e mantenere i requisiti di sicurezza, associati agli apparati e ai sistemi oggetto del servizio;

- fornire tutte le informazioni necessarie all’utenza professionale per il corretto uso dei prodotti/sistemi;

- gestire le richieste, in modo efficace, per tutto l’iter operativo, fino alla soluzione del problema segnalato;

- facilitare la comunicazione con gli utenti per il supporto alla soluzione di tutti quei problemi che non richiedono l’intervento diretto presso i sistemi;

- provvedere alla riparazione di sistemi/componenti difettosi nel rispetto degli IQ contrattuali;

- assicurare l’effettuazione degli interventi periodici programmati per garantire il buon funzionamento dei sistemi minimizzando i tempi di fermo manutentivo.

La tecnologia con cui viene erogato il servizio di svolgimento degli esami di teoria è il servizio di Virtual Desktop implementato, nello specifico, in ambiente Citrix (XenDesktop), e reso disponibile per ciascuno dei Thin Client situati all’interno delle aule d’esame degli UMC, preposte per lo svolgimento degli esami informatizzati relativi al conseguimento o alla revisione della patente di guida dei candidati.

Le postazioni delle aule d’esame per il servizio Quiz Patenti, collocate nelle aule d’esame situate nelle sedi degli UMC, sono di due tipologie:

- Postazione esaminatore;

- Postazione candidato.

Le marche, i modelli e le caratteristiche tecniche delle attuali postazioni esaminatore e candidato sono riportate in Appendice 4 – Contesto SIDT e Appendice 7 – Postazioni e aule esami. Si fa presente che nel tempo possono essere soggette a cambiamento/variazione.

Il Fornitore, entro il termine della fase di subentro, dovrà:

- effettuare una completa ricognizione degli asset periferici e centrali dell’Amministrazione;

- predisporre, nell’ambito del Piano di Lavoro generale, un piano di presa in carico e di gestione di tali asset;

- realizzare la presa in carico di tali asset con l’inserimento delle informazioni relative all’interno del CMDB.

Nell’ottica di una migliore gestione degli asset, il Fornitore è tenuto a realizzare un ambiente di model office basato sull’estensione dell’attuale ambiente di model office delle Aule Informatizzate Quiz Patenti al fine di garantire una maggior efficienza nella gestione delle postazioni.

Per motivi di sicurezza e evitare qualsiasi tipo di rischio, non è possibile intervenire da remoto sulle postazioni d’esame. Le postazioni delle aule d’esame vengono ricertificate in media ogni 60 giorni solari, tramite intervento in loco dell’operatore e seguendo una specifica procedura riservata.

Ogni aula ha almeno una postazione thin client di riserva attivo. In caso di disservizio di una postazione d’esame, l’esaminatore è autonomo nell’attivare la postazione di riserva già attiva. Per attivare invece una postazione “fredda”, occorre riconoscere la postazione e ripetere il processo di certificazione, e ciò richiede l’intervento del tecnico specializzato.

5.2.2. I SOTTO SERVIZI PREVISTI NELL’AMBITO DELLA GESTIONE POSTAZIONI ESAMI

Il servizio di Gestione Postazioni Esami prevede le attività di seguito descritte.

5.2.2.1. IMAC

L’attività consiste nell’insieme di interventi effettuati da parte del Fornitore relativamente all’Installazione, Movimentazione, Aggiunta e Cambiamento dei dispositivi HW e SW in gestione presso le aule d’esame (postazioni di lavoro, stampanti locali e di rete, altre periferiche e apparati di rete e sicurezza.

Il servizio viene erogato sulla base del Piano IMAC concordato fra il Fornitore e l’Amministrazione e approvato dall’Amministrazione.

Funzioni incluse nella attività sono:

- l’installazione, la certificazione e l’attivazione, nelle reti locali delle aule d’esame, di nuove postazioni d’esame e il supporto per l’utilizzo;

- lo spostamento delle apparecchiature all’interno di ogni sede d’esame;

- l’aggiunta di componenti hardware e software alle postazioni esistenti secondo le configurazioni concordate;

- l’aggiornamento di configurazioni dei dispositivi HW e SW in gestione secondo le configurazioni concordate;

- la verifica mediante test del corretto funzionamento dei sistemi nuovi, spostati o modificati;

- l’aggiornamento del CMDB relativamente agli oggetti interessati dall’intervento.

5.2.2.2. ASSISTENZA TECNICA HARDWARE E SOFTWARE

L’Assistenza Tecnica consiste nell’effettuazione degli interventi di riparazione a seguito di guasti HW o malfunzionamenti SW. Gli interventi, da effettuarsi presso tutte aule d’esame, sono di tipo on - site.

Il Fornitore si impegna, per ciascuna delle apparecchiature in ambito a svolgere le seguenti attività:

- interventi di assistenza, in numero illimitato, per individuare, correggere e eliminare ogni anomalia di funzionamento;

- la certificazione e l’attivazione di postazioni d’esame cosiddette “fredde” cioè non riconosciute dal sistema centrale di Quiz Patenti;

- sostituzione di tutte le parti difettose con pezzi di ricambio (le parti sostituite saranno ritirate ed eventualmente smaltite dal Fornitore a propria cura e spese) e installazione di upgrade di release o fix per le risorse SW;

- verifica della configurazione in gestione: il software non autorizzato, rilevato durante la verifica on-site, dovrà essere indicato e eventualmente rimosso;

- ripristino dell'operatività delle apparecchiature e, in particolare per le postazioni, eventuale reinstallazione e configurazione dei Sistemi operativi, degli applicativi e degli altri software preesistenti. I tempi di ripristino devono in ogni caso consentire il rispetto dei livelli di servizio previsti;

- trattamento di tutti i dispositivi di I/O con sistemi diagnostici atti a rilevare vizi occulti che possono pregiudicare il funzionamento del sistema.

In particolare il Fornitore si impegna a:

- effettuare assistenza HW anche a seguito di guasti dovuti a caduta o urti anche accidentali delle apparecchiature, a calamità naturali (fulmini, incendi,...), furti e ad errato uso delle apparecchiature o

manomissioni in genere;

- effettuare assistenza SW con l’eventuale necessaria reinstallazione dei prodotti SW di base e di ambiente; è compito del Fornitore anche il ripristino della configurazione e di eventuali dati;

- riparare o sostituire le componenti hardware difettose;

- farsi carico di tutte le procedure e sistemi necessari ad assicurare la salvaguardia e la sicurezza dei dati durante il processo di manutenzione.

Qualora, a causa della sostituzione di componenti hardware si rendesse necessaria l'installazione di componenti software di base di ambiente e/o di produttività, questa è intesa inclusa nel servizio.

Sarà cura e onere dell’Amministrazione dotare le apparecchiature per tutta la durata contrattuale di servizi di manutenzione in garanzia appropriati; il Fornitore non risponde dei livelli di servizio sulla manutenzione dell’hardware ma è tenuto a gestire tutti i rapporti operativi con il fornitore prestatore del servizio di manutenzione in garanzia per conto dell’Amministrazione e a segnalare all’Amministrazione tutte le eventuali criticità. Ove si rendesse necessario, il Fornitore è tenuto a coordinare l’intervento congiunto del proprio personale, anche on site, al personale del fornitore della manutenzione in garanzia.

Il Fornitore dovrà prevedere una modalità di attivazione degli interventi in manutenzione integrata con il processo definito per il servizio di SPOC.

Il Fornitore, allo scopo di contenere i tempi di intervento, previo accordo con l’Amministrazione, può allocare presso gli stabili dell’Amministrazione e presso proprie strutture territoriali opportune scorte di parti di ricambio messe a disposizione dall’Amministrazione.

Il servizio prevede, tra l’altro, e senza alcun onere aggiuntivo, il ritiro, l’impacchettamento e lo smaltimento, delle apparecchiature HW obsolete e soggette a dismissione, previo assenso/richiesta dell’Amministrazione.

Il Fornitore sarà responsabile di gestire le attività di segnalazione guasti e di verifica/controllo dei malfunzionamenti e degli interventi, avendo l’obbligo di:

- documentare e registrare adeguatamente i guasti e gli inconvenienti verificatisi;

- nel caso di guasto relativo alla connettività, attivare il fornitore della rete che subisce il guasto e/o l’anomalia segnalati per garantire la qualità globale del servizio di rete; verificare i tempi osservati da detto fornitore per il ripristino del collegamento e la risoluzione del guasto e avvertire l’Amministrazione dell’avvenuta risoluzione dell’anomalia;

- nel caso di apparati in ambito al servizio ma manutenuti da altri Fornitori dell’Amministrazione o da terze parti, attivare l’altro fornitore o la terza parte segnalando il guasto o l’anomalia per garantire la qualità globale del servizio; gestire i rapporti e verificare i tempi osservati da detto fornitore per il ripristino del guasto e avvertire l’Amministrazione dell’avvenuta risoluzione dell’anomalia;

- rendicontare i vari eventi che si sono verificati nel mese nei report previsti.

Ogni intervento è registrato con un verbale di intervento e successivamente il Fornitore provvederà ad aggiornare le informazioni riportate sul CMDB.

5.2.2.3. MANUTENZIONE PROGRAMMATA

L’attività ha l’obiettivo di prevenire l'insorgere di inconvenienti legati all'usura e all'utilizzo delle apparecchiature presenti presso le aule d’esame.

Tale attività dovrà essere effettuata secondo il Piano di Manutenzione Programmata approvato dall’Amministrazione e tale da garantire almeno 1 intervento ogni 2 mesi in ognuna delle sedi d’esame.

Nel corso di tali interventi on site dovrà essere effettuata una verifica delle componenti HW e SW e, in caso di

necessità, il loro ripristino ad uno stato di ottimale funzionalità e/o l'eventuale segnalazione degli interventi di assistenza che si dovessero rendere necessari.

Ciascun Intervento di manutenzione programmata deve prevedere l’emissione del “Rapporto di Manutenzione Programmata” dell’aula del periodo che contiene i risultati delle verifiche, gli interventi svolti, le criticità rilevate e lo stato di tutti i materiali di consumo.

Nell’ambito delle verifiche il Fornitore dovrà riesaminare l’asset effettivamente operativo presso l’ufficio e riportare i risultati di tale verifica nel Rapporto di Manutenzione Programmata.

Si evidenzia inoltre che nella sessione di manutenzione programmata deve essere svolta la verifica della correttezza della configurazione e delle funzionalità attraverso uno specifico “Processo di Verifica e Certificazione della dotazione d’Aula” prevedendo la possibilità di svolgimento di test e collaudi delle funzioni applicative. Tali attività saranno effettuate congiuntamente dal personale operante sul territorio e da personale sistemistico operante presso la Farm Virtuale del sistema Quiz Patenti permettendo, tramite collegamento all’infrastruttura virtualizzata dei server dedicati agli UMC, la simulazione operativa dello svolgimento di sessioni d’esame sull’ambiente di esercizio grazie ad un server dedicato ad un UMC fittizio.

Il Fornitore deve provvedere ad aggiornare il CMDB relativamente agli oggetti interessati dagli interventi eseguiti.

5.2.2.4. MODEL OFFICE

L’ambiente di Model Office costituisce il punto di riferimento, verifica e attestazione della corretta configurazione delle diverse tipologie di apparecchiature presenti sia nelle Aule Informatizzate Quiz Patenti, sia presso la sede Centrale e le sedi periferiche dell’Amministrazione.

Il Fornitore dovrà gestire l’attuale model office delle aule d’esame per garantire la corretta funzionalità e omogeneità delle installazioni di tutte le componenti delle Aule Informatizzate Quiz Patenti presenti sul territorio.

Il Model Office delle aule d’esame costituisce un ambiente di riferimento per la simulazione del funzionamento di una qualsiasi aula informatizzata dell’Amministrazione. In tal senso è necessario che il Model Office disponga di un numero adeguato di postazioni candidato e che possa disporre dell’infrastruttura network che lo interconnetta all’ambiente di Collaudo e se necessario di Esercizio.

Per quanto l’Amministrazione persegua il mantenimento di una piattaforma di erogazione omogenea, a causa della rapida evoluzione del mercato potranno essere presenti sul territorio diverse tipologie di apparecchiature: tutte queste tipologie devono essere presenti nel Model Office e il Fornitore deve garantirne la correttezza della configurazione e compatibilità applicativa.

Si riporta di seguito un elenco, esemplificativo e non esaustivo, delle principali attività in carico al Model Office:

- verifica dell’integrità e della stabilità delle postazioni a fronte di cambiamenti di configurazione;

- verifica dell’integrità, della stabilità e dell’aderenza agli standard e della compatibilità con le architetture di riferimento dei sistemi applicativi;

- sperimentazione, test e verifica di nuove versioni di software, sistemi operativi, prodotti programma e/o patch e produzione dei relativi verbali di certificazione;

- coordinamento delle attività al fine di ricreare in ambiente di laboratorio le problematiche di esercizio nonché di supporto specialistico (problem management);

- supporto alla risoluzione di problematiche relative all’installazione di postazioni e/o periferiche hardware, controllo della compatibilità/incompatibilità dei prodotti installati con il sistema operativo;

- predisposizione e gestione dell'ambiente di test che replichi funzionalmente le postazioni d’esame di esercizio, al fine di effettuare le verifiche funzionali delle applicazioni in produzione;

- creazione del clone della postazione attraverso l’installazione e la configurazione dei pacchetti certificati;

- definizione delle check list di test e supporto alla stesura del Piano di test per le attività a carattere realizzativo, sia infrastrutturali che applicative;

- supporto alle attività di test sia in relazione alla metodologia che agli strumenti di Test Management utilizzati.

Il Model Office deve essere quindi considerato, per tutta la durata del progetto, come un ambiente dinamico, atto a recepire tutte le nuove e mutate esigenze dei servizi d’esame e deve essere realizzato e gestito presso specifici locali indicati dall’Amministrazione.

5.2.2.5. DISMISSIONE APPARECCHIATURE HW OBSOLETE

Il Fornitore dovrà provvedere, entro il termine di 60 giorni dal ricevimento della richiesta, al ritiro di apparecchiature HW soggette a dismissione.

Il successivo smaltimento dovrà avvenire in conformità alla vigente normativa, trattandosi per lo più di rifiuti di apparecchiature elettriche e elettroniche (RAEE). Il Fornitore, il mese successivo alla data dell’avvenuto ritiro del materiale, dovrà allegare, al Rapporto mensile sulle attività, la documentazione comprovante l’avvenuto smaltimento secondo norma.

Il Fornitore deve provvedere ad aggiornare il CMDB relativamente agli oggetti interessati dagli interventi eseguiti.

5.2.2.6. ASSISTENZA E SUPERVISIONE TERZE PARTI

Formano parte integrante delle prestazioni del presente servizio, senza oneri aggiuntivi per l’Amministrazione, tutte le attività di assistenza e supervisione svolte dal Fornitore a supporto dell’Amministrazione o di terze parti coinvolte nella gestione delle aule d’esame.

Tale assistenza e supervisione dovrà realizzarsi sia mediante fornitura di informazioni e dati sia mediante supporto nello svolgimento delle attività che comportino un qualsiasi cambiamento.

Il Fornitore è comunque tenuto ad aggiornare il sistema CMDB e la documentazione di sistema a fronte di qualsiasi modifica effettuata dal medesimo o da terze Parti, nonché a registrare sul sistema di Trouble Ticketing la chiusura degli interventi indipendentemente dall’attore dell’intervento.

5.3. SERVICE MANAGEMENT

Il Service Management è un servizio trasversale da considerarsi incluso nei precedenti servizi sistemistici.

Tutti i servizi sistemistici, sia quelli relativi alla infrastruttura centralizzata sia quelli relativi alla gestione delle postazioni d’esame, dovranno in generale essere organizzati e strutturati secondo un approccio process-driven, in cui la complessa struttura organizzativa/operativa dei servizi sia scomposta in una serie di processi integrati e correlati tra loro in accordo con le best practices ITIL, con l’obiettivo di migliorare la qualità dei servizi IT, ridurre i costi di erogazione dei servizi e allineare i servizi IT con i bisogni correnti e futuri dell’Amministrazione.

In particolare, nel seguito vengono specificati alcuni requisiti di dettaglio per i processi di:

- incident e problem management;

- change management;

- asset management;

- capacity management;

- information security management.

5.3.1. INCIDENT E PROBLEM MANAGEMENT

Le attività di incident e problem management riguardano le procedure di gestione di problemi che impattano sull’erogazione dei servizi previsti.

Le attività possono essere attivate da:

- SPOC/Service Desk

- su richiesta del Dipartimento;

- struttura interna del Fornitore (monitoraggio). In funzione della segnalazione ricevuta si provvede a:

- minimizzare le ripercussioni del problema sull’Amministrazione, anche attraverso la realizzazione di soluzioni di bypass;

- attivare le competenze specifiche per la risoluzione al fine di non degradare il livello di servizio;

- individuare le cause all’origine del problema, al fine di migliorare le conoscenze che consentano di prevenire l’insorgere di situazioni analoghe;

- diffondere le esperienze realizzate mediante l’aggiornamento costante di un Database di anomalie gestite e se necessario della documentazione di gestione operativa.

5.3.2. CHANGE MANAGEMENT

Le attività di gestione delle modifiche riguardano:

- Componenti hardware

- Software di base

- Strumenti di utilità

- Applicazioni specifiche

In generale tutte le attività di gestione delle modifiche sono realizzate in linea con le esigenze operative del Amministrazione.

Il Fornitore in relazione alle sue responsabilità e esigenze operative nell’ambito dell’erogazione del presente servizio, dovrà garantire le attività di model office e di packaging finalizzate alla verifica di compatibilità di un nuovo prodotto software o di un suo upgrade/nuova release, alla sua installazione e all’eventuale inserimento nella configurazione software dell’asset. Tutte le attività di predisposizione e gestione dell’ambiente di model office sono incluse nel servizio, e richiedono un’interazione con i gruppi che effettuano le attività di sviluppo e manutenzione del software applicativo.

Sono identificabili i seguenti tipi di modifiche:

Change standard

In questo gruppo di attività ricadono operazioni relative a cambiamenti il cui impatto è limitato e non comporta interventi progettuali. In questa categoria possono ricadere, a titolo esemplificativo e non esaustivo, operazioni di cambiamento del tipo:

- gestione di utenze e password;

- deploy di oggetti applicativi;

- inserimento di un programma che risolve anomalie in precedenza riscontrate;

- aggiornamento di programmi di utilità che non comportano variazioni di release/versione dei tool stessi;

- modifica di una pianificazione batch;

- modifica di una tabella o di un indice della base dati;

- estensione di una tablespace della base dati.

Per questi tipi di cambiamenti viene stabilita una procedura di gestione integrata con i processi previsti nell’assistenza.

Change Straordinario

Tra i change di tipo straordinario sono da annoverare, a titolo esemplificativo e non esaustivo:

- interventi sull’architettura hardware e software a fronte di richiesta di cambiamenti nei livelli di servizio definiti;

- progettazione di una nuova architettura hardware e software;

- installazione e configurazione di un nuovo server.

5.3.3. ASSET MANAGEMENT

Le attività di Asset Management riguardano la gestione delle informazioni di configurazione relative ai componenti hardware (server, apparecchiature client e apparati rete) e software installati sull’infrastruttura dedicata all’erogazione dei servizi verso l’Amministrazione, indipendentemente dalla proprietà, assicurando la coerenza delle informazioni relative sia ad aspetti di tipo legale-amministrativo che tecnici per il supporto.

Le attività previste includono, a titolo esemplificativo e non esaustivo:

- gestire l’inventario relativo all’installato hardware e software, in particolare rilevare e registrare tutte le informazioni relative allo stato di aggiornamento dei prodotti e al loro licensing;

- definire il processo necessario a garantire il costante aggiornamento delle informazioni relative all’installato;

- gestire le garanzie relative ai componenti hardware standard allocati fisicamente presso l’Amministrazione.

Allo scopo il Fornitore dovrà utilizzare il tool di asset e configuration management reso disponibile dal Dipartimento e indicato al par. 10.2 (CMDB) per la gestione di tutte le informazioni sull’asset, compresa l’indicazione del livello di complessità e della eventuale criticità. Il Fornitore dovrà aggiornare il CMDB entro 3 giorni lavorativi da ogni modifica dell’infrastruttura tecnologica.

5.3.4. CAPACITY MANAGEMENT

Al Fornitore è richiesta l’esecuzione di attività di Capacity Management allo scopo di:

- raccogliere costantemente informazioni sull’uso dei sistemi, sulla qualità dei servizi percepita dagli utenti finali, sui trend di evoluzione delle principali grandezze, sulle necessità di cambiamento indotte da nuove esigenze o da nuovi sistemi, sui problemi riscontrati;

- analizzare le informazioni per determinare l’adeguatezza della capacità elaborativa esistente;

- pianificare future esigenze di adeguamento dell’infrastruttura;

- sottoporre tempestivamente e il più possibile in anticipo i piani di adeguamento all’approvazione dell’Amministrazione.

Il riferimento che deve essere adottato per la conduzione di quest’attività in conformità alle esigenze del cliente è lo standard ITIL v. 3. L’Amministrazione, direttamente o tramite esperti di propria fiducia, valuterà in corso d’opera l’adeguatezza dei processi posti in essere dal Fornitore e degli output prodotti rispetto a detto standard cui si

rimanda per i dettagli del caso.

Nel presente paragrafo si intende richiamare l’attenzione su alcuni principi di particolare interesse per l’Amministrazione e su alcuni vincoli posti.

Il processo generale di Capacity Management è composto a sua volta di tre sotto-processi fondamentali. Al livello più alto si trova il sotto-processo di Business Management, che ha il compito di assicurare che i requisiti presenti e futuri per i servizi IT siano considerati, pianificati e implementati tempestivamente affinché l'insieme delle risorse del servizio consenta di rispettare i livelli di servizio stabiliti. Al livello successivo si trova il sotto-processo di Service Capacity Management che ha il compito di identificare i sistemi informatici per l'erogazione dei servizi, il loro uso di risorse, anche in termini di andamenti nel tempo (throughput, picchi..) e assicurare che ci sia il rispetto dei livelli di servizio attesi. Infine al livello più basso si trova il sotto-processo di Resource Capacity Management che ha l'obiettivo fondamentale di identificare la capacità e il grado di utilizzazione di ogni componente dell'infrastruttura IT: questo assicura che le risorse siano utilizzate in modo ottimale (efficienza) e che non ci siano problemi legati al degrado delle prestazioni in funzione di sopravvenuti limiti della capacità del sistema.

Per quanto concerne il presente servizio, particolare attenzione va posta al sotto-processo di Resource Capacity Management. È importante stabilire infatti la correlazione del servizio erogato con ognuna delle risorse del sistema: solo in questo modo si possono mettere in relazione le previsioni sui futuri consumi con l'adeguamento delle risorse. Devono inoltre essere stimati gli impatti sull'impiego del servizio in funzione dei change (si possono implementare adeguamenti di hardware e software, oppure bilanciare i carichi dei servizi sulle risorse del sistema).

A questo scopo il Fornitore è tenuto ad eseguire regolarmente le attività di:

- monitoring: verifica i dati a livello di singole risorse componenti. I dati possono essere relativi alla capacità del sistema (utilizzazione di CPU, utilizzazione della memoria, numero di logon, numero di network node in uso...) e relativi alle prestazioni del sistema (I/O rates, lunghezza code,..). Devono essere definite soglie e andamenti di confronto per i limiti di impiego (max % di CPU, max % occupazione rete, ...);

- analysis: confronta l’uso effettivo delle risorse con i limiti di capacità. Le analisi sono svolte su periodi a breve, medio e lungo termine al fine di capire, tra le altre cose, quali sono le risorse del sistema che determinano un peggioramento delle prestazioni;

- tuning: identifica aree della configurazione del sistema che possono essere regolate per migliorare l'impiego delle risorse;

- implementation: introduce i cambiamenti necessari per il miglioramento identificati attraverso il ciclo monitoring, analysis e tuning. Agisce in stretta collaborazione con il processo di Change Management;

- storicizzazione dei dati di Capacity Management in un opportuno strumento che contenga almeno le seguenti informazioni:

o Business Data: numero di account, numero di call, numero di siti, numero di utenti registrati, numero di PC, previsioni di variazioni del carico di lavoro, andamento temporale del carico di lavoro, numero di transazioni, ecc.;

o Service Data: transaction response time (rilevanti per la percezione della qualità del servizio da parte degli utenti), durata dei batch, ecc., in generale tutti i parametri che possono essere direttamente collegati ai livelli di servizio;

o Technical Data: dati tecnici su tutti i componenti che formano il sistema (CPU, LAN, dischi….);

o Utilization Data: grado di utilizzo delle risorse su base temporale adeguata;

- modellizzazione: ha come obiettivo la costruzione di correlazioni tra prestazioni delle risorse e andamento del loro uso.

Il Fornitore è tenuto inoltre a predisporre e consegnare trimestralmente a partire dal secondo, e in corrispondenza di ogni fase di studio preliminare di un nuovo sistema o di adeguamenti significativi ai sistemi applicativi esistenti, un documento di Capacity Plan con la seguente struttura minima.

Sezione	Descrizione
Introduzione	Questa sezione spiega brevemente l’ambito nel quale viene prodotto il documento. Per esempio: - il livello attuale di capacità dell’organizzazione; - i problemi riscontrati o quelli prevedibili a causa di inadeguatezza della Capacità; - il grado di soddisfacimento dei livelli di servizio; - le modifiche intercorse rispetto alla precedente versione del piano.
Scopo del piano	Il piano dovrebbe riguardare tutte le risorse IT. In questa sezione dovrebbero essere indicati esplicitamente gli elementi inclusi.
Metodi utilizzati	Il Capacity Plan usa informazioni raccolte nei vari sotto processi che lo costituiscono. Questa sezione quindi deve spiegare in modo dettagliato come e quando queste informazioni sono state ottenute, ad esempio da modelli di previsione dei carichi di lavoro e dei livelli di servizio future, richieste di nuovi sistemi o di nuove categorie di utenti.
Assunzioni	È importante che venga evidenziata qualsiasi ipotesi fatta nella redazione del piano, dal momento che potrebbe influenzare significativamente i risultati raggiunti.
Sintesi per la Direzione	Questa sezione deve in particolar modo evidenziare gli aspetti di maggior rilievo, le opzioni eventualmente disponibili, le raccomandazione e i costi.
Scenari di Business	Questa sezione ha lo scopo di evidenziare in termini strettamente collegati ai processi di business gli scenari futuri di evoluzione che possono influenzare la necessità di capacità dell’infrastruttura.
Sintesi per servizio applicativo	È composta dalle sezioni seguenti.
Stato del servizio	Per ogni servizio applicativo definisce il profilo di erogazione che dovrebbe includere throughput rates e utilizzo delle risorse (memoria, storage, transfer rates, processor usage, network usage) inclusi i trend di breve, medio e lungo periodo.
Previsioni riguardanti il servizio	La sezione dovrebbe descrivere in dettaglio i nuovi servizi pianificati o la crescita/riduzione dell’uso dei servizi applicativi esistenti e la quantificazione degli impatti previsti su di essi.
Sintesi per le risorse	È composta dalle sezioni seguenti.
Stato delle risorse	Questa sotto sezione analizza l’utilizzo delle risorse da parte dei servizi anche in questo caso presentando informazioni sui trend di breve, medio e lungo periodo.

Sezione

Descrizione

Previsioni riguardanti le risorse

Questa sezione si occupa della previsione dell’utilizzo delle risorse.

Possibili opzioni

A partire dai risultati descritti nella precedente sezione, questa sezione illustra le possibili opzioni per il miglioramento dell’efficacia e dell’efficienza del servizio.

Le opzioni possono essere di varia natura e devono riguardare anche migliorie per i servizi di rete. Possono anche essere individuate attività da svolgere in altri servizi contrattuali (ad es. riscrittura o porting di applicazioni).

Costi

I costi associati per le opzioni descritte nella sezione precedente devono essere riportati in modo dettagliato in questa sezione. I costi di interesse riguardano principalmente quelli a carico dell’Amministrazione che devono essere espressi in base alle tariffe e regole contrattuali dei vari servizi coinvolti.

Il Fornitore deve anche esplicitare i costi dettagliati di acquisizione delle componenti richieste e del personale se richiesto dall’Amministrazione.

Raccomandazioni

La sezione finale del piano deve contenere una sintesi delle raccomandazioni fatte nei piani precedenti con il loro stato aggiornato (rifiutata, implementata, pianificata, ecc.) e le nuove raccomandazioni.

Per ogni raccomandazione devono essere indicati:

- i benefici attesi;

- gli impatti derivanti dalla loro esecuzione;

- i rischi;

- le risorse richieste;

- i costi.

Si osservi che le azioni identificate nel Capacity Plan che comportino oneri per l’Amministrazione potranno essere eseguite solo dopo approvazione formale da parte delle stessa. La mancata o ritardata approvazione non solleva il Fornitore dal rispetto dei livelli di servizio e da quanto consegue in caso di mancato rispetto.

5.3.5. INFORMATION SECURITY MANAGEMENT

Il Sistema Informativo del Dipartimento necessita di un sistema di gestione della sicurezza delle informazioni maturo e evoluto, capace di governare e gestire la molteplicità di servizi multicanale offerti all’utenza sia esterna che interna, garantendo al contempo efficienza e funzionalità dei servizi da una parte e riservatezza, integrità e disponibilità del patrimonio informativo gestito dall’altra.

Le attività di Information Security Management forniscono le direttive, le politiche, la formazione e il supporto per proteggere le risorse globali del Fornitore e dei suoi clienti. I dettagli e le modalità di implementazione delle attività saranno gestiti dal Sistema di Gestione delle Informazioni che il Fornitore è tenuto ad implementare in conformità alle politiche della sicurezza dell’Amministrazione e coerentemente con le prescrizioni dello standard ISO IEC 27001.

Il servizio, pertanto, include tutte le attività finalizzate ad una corretta implementazione del sistema di gestione della sicurezza delle informazioni, al fine di garantire un adeguato livello di protezione dei dati e della infrastruttura tecnologica deputata al loro trattamento.

La continuità operativa, invece, comprende sia gli aspetti strettamente organizzativi, logistici e comunicativi che la continuità tecnologica al fine di permettere la prosecuzione dell’erogazione dei servizi dell’Amministrazione, anche in presenza di eventi o condizioni che possono causare il fermo prolungato dei sistemi informatici.

Per l’esecuzione del servizio il Fornitore dovrà adottare l’Information Security Management System (ISMS - standard ISO 27001), effettuando le seguenti attività:

- analizzare e gestire il Rischio;

- porre in Sicurezza i dati e l’infrastruttura tecnologica;

- gestire la Sicurezza;

- misurare la Sicurezza.

Per ciascun componente del sistema (servizi, componenti architetturali, cluster, applicazioni, banche dati, sistemi, apparati), il Fornitore dovrà effettuare la valutazione delle potenziali minacce, vulnerabilità e livelli di esposizione; successivamente, il Fornitore dovrà individuare le contromisure atte a mitigare il rischio intrinseco sul componente stesso. Nella gestione del rischio il Fornitore dovrà indicare le modalità con cui ha intenzione di provvedere a valutare lo stato di realizzazione delle contromisure identificate, ovvero se esse siano da realizzare nell’immediato, se siano da pianificare, se non siano applicabili nel contesto analizzato e se il rischio residuo associato sia accettabile. Conclusa l’analisi, il Fornitore dovrà implementare le contromisure da realizzare e quelle pianificate, definendo il Piano della Sicurezza.

Dovranno essere definite dal Fornitore le linee guida e le procedure che devono essere implementate sui sistemi per poi successivamente verificare la corretta implementazione.

Alcune delle funzioni incluse nel servizio sono, a titolo esemplificativo e non esaustivo:

- predisposizione di un centro di assistenza per la sicurezza logica;

- gestione dei prodotti di sicurezza per l’accesso alle risorse del sistema;

- collaborazione durante le verifiche di conformità richieste da Auditors interni, esterni e dell’Amministrazione.

Nel dettaglio, le attività previste per garantire la sicurezza e la riservatezza dei dati sono, a titolo esemplificativo e non esaustivo:

- adeguamento e rispetto delle policy di sicurezza dell’Amministrazione;

- gestione e attuazione, per quanto di sua competenza, del Piano della Sicurezza in conformità alle specifiche della sicurezza espresse dall’Amministrazione;

- monitoraggio e report sull’efficacia delle misure di sicurezza adottate;

- presa in carico di tutte le specifiche di installazione indicate dai costruttori degli apparati di sicurezza e proposta per la messa in atto di eventuali miglioramenti suggeriti dalla esperienza tecnica del Fornitore;

- definizione delle regole di accesso ai server e della riservatezza delle informazioni;

- definizione di adeguate procedure operative per il controllo degli accessi logici ai sistemi, servizi, applicazioni e dovrà definire adeguate policy di sicurezza;

- gestione, il controllo e il rilevamento dei profili utente e gli accessi logici per gli utenti finali e per il personale sistemistico, operativo e applicativo del Fornitore;

6. SERVIZI TRASVERSALI

6.1. SINGLE POINT OF CONTACT (SPOC)

L’Amministrazione ha già da tempo intrapreso un percorso evolutivo con l’obiettivo di realizzare un nuovo servizio di Assistenza all’utenza che preveda l’adozione di processi e strumenti evoluti nell’ottica della Customer Experience, con interventi mirati nei diversi ambiti in cui si articola il servizio.

L’obiettivo è quello di sviluppare un nuovo servizio di assistenza secondo i principi della Customer Experience; questo significa realizzare un servizio che considera le esigenze del Cliente al centro della progettazione (Customer Experience Design) e il suo livello di soddisfazione come principale obiettivo attraverso un ciclo virtuoso di continuo miglioramento che si realizza attraverso un’analisi critica del livello di servizio offerto che determina continue iniziative di miglioramento (Customer Experience Management).

La trasformazione digitale ha imposto una revisione complessiva dei modelli organizzativi, favorendo la transizione a una logica Customer-Centric sempre più spinta. In questa direzione si pone il presente servizio: garantire attraverso un unico punto di contatto e di responsabilità l’accesso ai servizi di service desk all’utenza del SIDT, siano essi utenti interni dell’Amministrazione o utenti esterni, appartenenti alla categoria degli operatori professionali.

Attraverso la trasformazione digitale e l’uso delle tecnologie per migliorare radicalmente le prestazioni dell’organizzazione del service desk, il servizio SPOC agisce con la finalità di fornire assistenza specializzata e fortemente orientata all’analisi e alla risoluzione delle problematiche di natura informatica (applicative, di rete, infrastrutturali, sulla PdL, ecc.), coniugando opportunità del digitale e capacità di cambiamento; tra le aree organizzative maggiormente coinvolte nel processo di trasformazione è necessario considerare la gestione dell’esperienza degli utenti, intesa come:

- comprensione delle esigenze, attraverso l’analisi dei dati e delle interazioni;

- crescita dei canali di interazione, attraverso la definizione di processi dedicati, ma anche sistemi di marketing predittivo;

In particolare il servizio fornisce le informazioni necessarie a supportare gli utenti del SIDT, guidandoli nell’utilizzo delle infrastrutture tecnologiche, dei servizi e delle applicazioni, mediante la registrazione delle richieste pervenute, l’identificazione delle cause dei problemi segnalati (sia di natura applicativa sia infrastrutturale) e l’attivazione di tutte le azioni necessarie alla rimozione delle stesse e al ripristino delle corrette funzionalità operative. È inclusa nel servizio la tracciatura e la registrazione di tutte le azioni svolte per la risoluzione dei problemi e/o l’evasione delle richieste pervenute indipendentemente dalle organizzazioni e dalle strutture coinvolte nelle stesse.

Le suddette richieste possono attivare diversi processi di supporto che verranno erogati direttamente dalla struttura SPOC o da altre strutture interne od esterne al Fornitore. Lo SPOC, infatti, in qualità di punto di contatto unico per le problematiche di natura informatica, dovrà essere in grado di attivare anche servizi di altri Fornitori non facenti parte del perimetro della fornitura prevista dalla presente iniziativa. A mero titolo di esempio assolutamente indicativo e non esaustivo lo SPOC dovrà essere in grado di attivare i servizi di Desktop management delle postazioni dei dipendenti del Ministero.

Il Fornitore si impegna ad adottare per il servizio SPOC un modello di erogazione che preveda un’attività di problem determination svolta in maniera unica e integrata per tutte le problematiche di natura ICT (applicativa,infrastrutturale, ecc.), al fine di garantire la gestione della problematica nel rispetto dei livelli di servizio previsti (cfr. Appendice 1 – Indicatori di qualità)

Nell’ambito dello SPOC sono incluse, senza oneri aggiuntivi per l’Amministrazione, tutte le attività necessarie all’eventuale integrazione del sistema di Trouble Ticketing con gli omologhi sistemi utilizzati dai diversi Fornitori del Dipartimento implicati nei processi risolutivi (ad. es il fornitore delle soluzioni Cloud, delle soluzioni di connettività, dell’assistenza sulle postazioni dei dipendenti, ecc.). L’integrazione dovrà consentire al Fornitore di mantenere la gestione del problema, controllarne l’avanzamento e favorire la tempestiva e efficace risoluzione secondo i livelli di servizio stabiliti.

Il Fornitore per l’erogazione del servizio dovrà tenere conto delle seguenti specifiche e indicazioni relative alla modalità di erogazione:

- L’accesso degli utenti ai servizi di assistenza avviene:

o attraverso una piattaforma IVR/Voice/VoIP e attraverso l’innovativo Assistente Digitale, in corso di sperimentazione nell’ambito dell’utilizzo del Portale del Trasporto (PdT) con l’applicazione “Documento Unico”;

o tramite canali asincroni, alternativi al telefono, quali la mail o moduli di richieste fruibili via web e, sempre per gli utenti dell’applicazione “Documento Unico”, il Customer Portal basato sulla soluzione CRM SaaS;

- Per i canali si prevede un importante spostamento delle interazioni verso i canali più innovativi del Customer Portal del CRM e dell’Assistente Digitale, a scapito dei più tradizionali telefono e e-mail. Potranno essere esplorati anche nuovi canali di interazione come, ad esempio, la Chat (sincrona) e il Co- browser;

- All’arrivo di una chiamata al centralino viene aperto in automatico un ticket e assegnata la chiamata ad un operatore del servizio che si occupa della gestione delle chiamate in entrata. Se il ticket è:

o gestito dal 1° livello: la gestione del ticket avviene per mezzo della piattaforma di provenienza, si veda anche l’Appendice 4 – Contesto del SIDT;

o inoltrato al 2° livello o ad un servizio specifico (es. MAC, Conduzione, ecc.): il ticket e i successivi aggiornamenti di lavorazione saranno scambiati tra le piattaforme di gestione specifiche di ogni servizio, in maniera integrata. Alla “chiusura tecnica” del ticket dovrà seguire la “chiusura amministrativa” dell’operatore dello SPOC, che verificherà l’avvenuta soluzione del problema interfacciandosi con l’utente finale.

- È a carico dell’Amministrazione la fornitura dei flussi telefonici necessari per costituire un punto unico di contatto (SPOC) per tutte le segnalazioni, provenienti dagli utenti interni e dagli operatori professionali, riguardanti i servizi erogati dal SIDT e gestiti direttamente dal Fornitore o da fornitori terzi.

- Tutte le chiamate devono essere registrate e monitorate fino alla loro completa evasione, indipendentemente dalla struttura o strutture che concorrono alla sua evasione, sull’apposito sistema di Trouble Ticketing messo a disposizione dall’Amministrazione.

- Tutte le segnalazioni degli utenti devono pervenire attraverso l’unico punto di contatto (SPOC): non saranno riconosciute e valorizzate ulteriori attività di prima assistenza che non siano gestite all’interno dello SPOC e quindi del servizio.

- Il sistema risponditore automatico (IVR) dell’Amministrazione deve essere periodicamente riprogettato e aggiornato dal Fornitore secondo le modalità e il processo che sarà concordato con il Dipartimento entro il termine del periodo di subentro.

- Entro la Data di Attivazione dei Servizi il Fornitore dovrà redigere un documento da sottoporre all’approvazione dell’Amministrazione (“Processi e procedure inerenti lo SPOC”) in cui siano dettagliati i processi e le procedure di lavoro dello SPOC e di rilevazione degli Indicatori di qualità di cui all’Appendice 1 - Indicatori di qualità con particolare attenzione ai seguenti aspetti:

o l’allineamento su tipologie e gravità dei problemi e delle tematiche da gestire, per la corretta gestione delle priorità di intervento;

o l’allineamento sulle tipologie e numerosità di utenti da supportare, anche in funzione del corretto dimensionamento delle risorse a supporto del servizio;

o il costante aggiornamento sulle eventuali nuove tecnologie e/o applicazioni in uso agli utenti, in modo da anticipare eventuali esigenze formative o integrative del personale dello SPOC;

o un corretto e tempestivo flusso informativo tra i servizi in relazione alle problematiche di assistenza all’utenza, come: tempi di evasione e stato delle richieste, problematiche generali relativamente ai servizi oggetto del presente documento e quanto necessario alla erogazione dei servizi di assistenza nel rispetto della qualità attesa;

o la gestione del processo di aggiornamento dell’IVR dell’Amministrazione, attraverso l’analisi dei contenuti e la tipologia dei ticket e la definizione degli obiettivi di intervento;

o la gestione di un processo formale di escalation;

o la gestione di un processo formale di problem determination che descriva, tra le altre cose, la gestione dell’interfaccia e integrazione con gli altri servizi oggetto del presente documento e la gestione dell’utilizzo e condivisione degli strumenti di supporto per l’erogazione del servizio;

o la gestione di un processo formale per l’identificazione della tipologia e codifica dei problemi segnalati dagli utenti;

o la gestione delle procedure di aggiornamento della knowledge base;

o la gestione delle procedure di aggiornamento delle FAQ e delle sezioni web dedicate all’autodiagnosi dei problemi.

- Nell’ambito dello SPOC devono essere disponibili competenze manageriali volte a garantire il coordinamento di tutte le attività risolutive e la gestione di tutte le situazioni straordinarie o eccezionali.

- È inclusa nel servizio la gestione delle richieste circa lo stato di risoluzione dei problemi (SAL risoluzione problema) precedentemente segnalati (solleciti e/o info su Ticket aperti e non risolti entro i tempi previsti dalla presa in carico del problema): per ciascuna di queste richieste, entro 2 ore dalla richiesta, sarà fornito al richiedente (via email ovvero attraverso altre modalità automatizzate) lo stato della risoluzione (da iniziare, in corso, conclusa), la struttura cui il problema è stato assegnato e la data prevista per la risoluzione (per problemi ancora aperti).

- Il servizio è indirizzato all’utenza del SIDT, così come definita nell’Appendice 4 – Contesto del SIDT e al par. 2.3.3.

- I canali telefonici e di tipo chatbot devono essere accessibili, presidiati da personale addetto e funzionanti nel rispetto degli Indicatori di Qualità di cui all’Appendice 1 - Indicatori di qualità nelle fasce orarie di cui alla tabella del par. 9.1.

- Le chiamate degli operatori professionali inerenti problematiche urgenti su servizi applicativi e/o infrastrutturali, nella fasce orarie dalle 21:00 alle 08:00 dal lunedì al venerdì, dalle ore 14:00 alle 24:00 il sabato e nelle 24 ore delle domeniche e delle giornate delle festività nazionali, devono essere inoltrate al presidio del Centro di gestione e Controllo (cfr. par. 5.1.2.17) che attiverà gli eventuali processi di gestione (incident management, ecc.).

- È garantita agli utenti la possibilità di inoltrare richieste di assistenza, attraverso l’utilizzo della posta elettronica o altri canali alternativi a quello telefonico (es. moduli web). La data/ora di apertura dei ticket pervenuti attraverso i canali alternativi a quello telefonico sarà quella della prima data/ora utile in relazione all’orario del servizio di presidio fisico (es. nel caso di mail pervenuta di domenica l’orario di apertura del ticket sarà le ore 08:00 di lunedì).

- Nell’ambito del servizio devono essere previste tramite gli operatori attività di outbound per soddisfare le esigenze di ricontatto dell’utenza del SIDT, sia tramite canale telefonico che tramite canali alternativi (mail, ecc.) al fine di:

o Richiamare l’utente a seguito di una sua prenotazione o precedente richiesta agli operatori inbound;

o Avvisare l’utente sull’esito della richiesta o per notificare un ritardo o una nuova esigenza procedurale

- Adottare le misure tecniche, organizzative e di sicurezza al fine di garantire la conformità al Regolamento (UE) 2016/679, secondo quanto prescritto anche per i servizi di Gestione Applicativa (si rimanda al par. 4.3) e secondo quanto indicato al par. 3.4 Politica per la sicurezza delle informazioni e la protezione dei dati personali.

- La lingua ufficiale del servizio è l’italiano.

Di seguito si riportano le macro-attività di pertinenza del servizio.

6.1.1. SUPPORTO DI LIVELLO “ZERO”

Il supporto di livello 0 è una funzione di supporto basata su strumenti e soluzioni applicative che permettono all'utente di risolvere il proprio problema in autonomia, come pubblicazione di pagine di self care e self provisioning.

Il Fornitore nell’erogazione del servizio dovrà garantire il supporto di livello 0, prevedendo l’aggiornamento dei contenuti che forniscono risposte e soluzioni a problemi frequenti e risolvibili senza necessariamente dover avere delle competenze tecniche, tra cui a titolo di esempio: manuali, blog, FAQ (Frequently Asked Questions) o la Knowledge Base.

L’uso di indicazioni circa le modalità di risoluzione, l’autodiagnosi, l’utilizzo di strumenti per la risoluzione dei malfunzionamenti consentirà agli utenti di migliorare la capacità di riconoscere e classificare i problemi, coerentemente alla classificazione standard delle chiamate svolta dal supporto di primo livello.

6.1.2. SUPPORTO DI PRIMO LIVELLO

Per supporto di primo livello si intendono quelle attività di assistenza per la risoluzione di richieste specifiche, come problemi nell'utilizzo di applicazioni e dispositivi hardware, erogate da operatori che hanno una conoscenza tecnica di alto livello ed esperienza pluriennale sulla risoluzione di tali problematiche.

Il Fornitore deve prevedere la gestione di una base dati dei problemi rilevati (knowledge base) da utilizzare come riferimento per la risoluzione tramite root cause analysis dei problemi ricorrenti e l’alimentazione delle FAQ per il supporto di livello 0. Il contenuto informativo di tale base dati sarà soggetto agli stessi vincoli previsti per i dati di proprietà dell’Amministrazione riportati nel Contratto.

Il Fornitore dovrà assicurare il continuo aggiornamento della base dati in funzione della tipologia di problematiche segnalate dagli utenti.

Le principali responsabilità dell’agente di primo livello nella gestione delle richieste utenti, successivamente all’apertura del ticket e alla qualifica e registrazione degli estremi della richiesta, sono riportate nel seguito:

Assistenza Informativa (Info)

L’attività è volta a soddisfare le richieste da parte degli utenti interni al SIDT che necessitano di informazioni e documentazione relativa agli applicativi; l’attività è erogata attraverso chiamata telefonica o attraverso l’invio all’utente di e-mail esplicative (es. procedure di sicurezza, reperibilità documentazione, ecc.).

Assistenza Funzionale (How To Use)

L’attività è volta a supportare gli utenti sull’utilizzo delle funzionalità applicative e dei servizi infrastrutturali del SIDT. Un esempio di richiesta è rappresentata dalla necessità di guidare l’utente nell’inserimento dei dati tramite le interfacce delle applicazioni o di guidare gli utenti finali del SIDT indicando le funzionalità e i processi corretti da utilizzare. Un altro esempio è relativo al supporto agli Enti sulle modalità di utilizzo delle funzionalità della Piattaforma TPL al fine di garantire il completamento della rilevazione dati sul Trasporto Pubblico Locale.

Gestione Accessi

L’attività è volta ad abilitare gli utenti interni e esterni del SIDT all’utilizzo dei servizi applicativi in base ai profili di accesso previsti.

Richieste di servizi standard

L’attività è volta a soddisfare le richieste di servizi standard da parte degli utenti interni (ad esempio: installazione di software sulle PdL gestite, reset delle password di accesso al SIDT, reset delle sessioni applicative rimaste eventualmente bloccate, ecc.).

Gestione richieste di intervento e segnalazioni critiche

L’attività è volta a gestire le richieste pervenute dagli utenti per scalare e passare in carico la segnalazione o la richiesta di intervento agli opportuni gruppi di competenza, interni od esterni al Fornitore, ove la risoluzione esuli dalle possibilità risolutive del 1° livello per competenza o per strumenti.

A titolo di esempio si riportano alcune delle possibili attività da erogare in collaborazione con le strutture di secondo livello, altre strutture interne al Fornitore o esterne, al fine di:

- gestire le richieste, pervenute dagli utenti interni, di intervento sulle PdL di propria pertinenza, attivando il relativo servizio di gestione;

- gestire le segnalazioni di eventi critici relativi ad aspetti applicativi e infrastrutturali effettuate da parte degli utenti sia interni che esterni (questi ultimi accolti anche tramite altri canali e indirizzati allo SPOC), inoltrando al II° livello affinché determini se l’evento sia già stato considerato in precedenti chiamate e fornire, nel caso, le relative informazioni disponibili sullo stato e le eventuali indicazioni per una risoluzione temporanea (workaround).

6.1.3. TICKET MANAGEMENT

Nell’ambito del presente servizio, il Fornitore dovrà svolgere un complesso di attività volte a coordinare e/o controllare le attività atte alla risoluzione del ticket e i relativi attori coinvolti.

L’evento che scatena il processo di assistenza e relativa apertura del Ticket, può essere:

- la chiamata telefonica o chat indirizzata da parte dell’utente allo SPOC

- l’invio di una richiesta tramite canali asincroni, quali la mail o moduli di richieste fruibili via web.

Tutte le richieste pervenute dovranno essere gestite e monitorate dal Fornitore attraverso la piattaforma dedicata di Trouble Ticketing messa a disposizione dall’Amministrazione, in maniera sinergica e integrata con gli altri servizi, in particolare quelli di assistenza di secondo livello nell’ambito del contratto (Servizi di Supporto e Assistenza di Secondo Livello, MAC, Conduzione operativa dell’Infrastrutture, Gestione Postazioni Esame, ecc.) e quelli di competenza di altri fornitori.

La piattaforma di trouble ticketing utilizzata è OTRS anche se, come descritto al par. 2.3.3, è in corso un processo di migrazione in favore della soluzione CRM SaaS di Oracle Service Cloud. Tale processo potrebbe essere completato già all’inizio del contratto o essere ultimato in corso d’opera.

Di seguito si riportano le fasi tipiche del processo di gestione. Apertura e presa in carico del ticket

L’utente contatta lo SPOC per richiedere il supporto e il servizio registra la richiesta. Per ciascuna richiesta devono

essere registrate al sistema di trouble ticketing e rese disponibili all’Amministrazione tutte le informazioni (comprensive di data/ora) relative alla esecuzione delle attività e l’evasione della stessa.

Per le chiamate telefoniche, il centralino automatico provvederà a convogliare ciascuna chiamata sull’operatore più opportuno attraverso una prima classificazione. Alla ricezione della chiamata, l’operatore provvederà a qualificarla e a registrarne la categoria e gli estremi. Inoltre attraverso l’accesso alla Knowledge-base, lo stesso operatore fornirà ulteriori informazioni relativamente al problema segnalato dall’utente.

Per i ticket aperti attraverso canali asincroni, l’operatore provvederà, nell’ambito del processo di notifica di presa in carico della richiesta, alla qualificazione e classificazione della stessa.

Valutazione richiesta, assegnazione di gravità e priorità

Le attività di supporto di primo livello dello SPOC prevedono una valutazione dell’esigenza da parte dell’utente (es. assistenza informativa, assistenza funzionale, segnalazione evento, ecc.) e, ove possibile, una completa evasione della stessa.

All’atto dell’apertura del problema, e contemporaneamente alla determinazione della natura dello stesso, l’operatore provvede a valutare a quale struttura di riferimento indirizzare la richiesta e, nel caso essa sia relativa ad una richiesta di intervento, a stabilire se sia relativa ad un problema già noto.

Successivamente, nel caso di una richiesta di intervento, l’operatore provvede a categorizzare il ticket analizzando la situazione secondo due parametri: gravità e priorità.

La gravità è assegnata secondo le modalità definite in Appendice 1 “Indicatori di qualità”.

Nell’ambito del servizio, sul sistema di Trouble Ticketing, dovrà anche essere assegnata la priorità secondo tre livelli, in base al grado di compromissione del servizio e ai carichi di lavoro in corso:

- Alta, nel caso in cui il servizio coinvolto sia completamente compromesso (nessuna delle funzionalità previste è attiva);

- Media, nel caso in cui il servizio sia parzialmente compromesso (parte delle funzionalità previste sono attive) ma si è in condizioni di erogazione critiche (elevati volumi di erogazione del servizio);

- Bassa, nel caso in cui il servizio sia parzialmente compromesso (parte delle funzionalità previste sono attive) e si è in condizioni di erogazione non critiche.

Tale assegnazione, che non interviene nella misurazione dei livelli di servizio di cui all’Appendice 1 “Indicatori di qualità”, consente di agevolare, in termini di determinazione delle priorità di intervento nel processo di escalation, la presa in carico da parte dagli enti operativi che intervengono al 2° livello di supporto.

Durante il periodo di validità del contratto i suddetti criteri di definizione dei livelli di gravità e priorità potranno essere valutati e adattati sulla base di esigenze specifiche dell’Amministrazione, senza alcun onere aggiuntivo, (ad esempio utenze, applicazioni o sistemi ad elevato impatto sui processi amministravi), ovvero proposti dal Fornitore all’Amministrazione per l’approvazione preventiva.

Risoluzione e esclation del TT

A fronte della valutazione della richiesta (che in ogni caso sarà di responsabilità dello SPOC) il Fornitore dovrà valutare se il supporto necessario all’utenza oltrepassi o meno gli ambiti di competenza del servizio in questione; verrà quindi definita una priorità della chiamata per poi inoltrarla all’opportuno settore operativo.

Gli scenari di inoltro possibili sono:

- Escalation interna: all’interno dello SPOC sono previsti livelli di competenza differenziati, alcuni dei quali possono all’occorrenza fungere da specialisti interni (def. Operatore in back-office specializzato), altri operatori anche senza particolari specializzazioni possono operare alternativamente in back-office per gestire i picchi di chiamate e ottimizzare l’efficienza delle attività (tali attività costituiscono il supporto di

«First Contact»).

- Escalation interna al Fornitore: all’esterno dello SPOC, ma internamente al Fornitore, sono previste aree di operatori specializzati su particolari servizi contrattuali. Il Fornitore è responsabile dei livelli di servizio complessivi nonché del monitoraggio e rendicontazione degli stessi. Il Fornitore è in ogni caso responsabile secondo le prescrizioni del contratto per tutti i propri subfornitori gestiti nell’ambito e in conformità a quanto regolamentato dal contratto stesso.

- Escalation verso fornitori terzi dell’Amministrazione: il Fornitore è responsabile del rispetto dei livelli di servizio di inoltro ai fornitori terzi indicati dall’Amministrazione. Resta inteso che l’Amministrazione deve aver fornito al Fornitore tutti i contratti, ad esclusione della parte economica, che l’Amministrazione ha nei confronti dei fornitori terzi, per poter operare una funzione di coordinamento e monitoraggio dei servizi di fornitori terzi.

Chiusura del TT

La chiusura definitiva del ticket viene effettuata dall’operatore SPOC direttamente, a fronte della risoluzione del problema con l’utente, o in seguito alla «chiusura tecnica» dell’intervento comunicata da altri gruppi di competenza scalati, attraverso l’apposito sistema di Trouble Ticketing.

Per ciascun intervento effettuato, entro 5 giorni lavorativi dalla sua conclusione, il Fornitore dovrà richiedere agli utenti autori delle richieste di assistenza la certificazione dell’efficacia dell’intervento effettuato dal Fornitore. Tale dichiarazione dovrà essere registrata dal Fornitore e archiviata per tutta la durata del contratto e rendicontata all’Amministrazione unitamente ai dati elementari dei servizi erogati.

La verifica dell’efficacia dell’assistenza offerta dal Fornitore, anche attraverso strutture terze esterne allo stesso, dovrà avvenire attraverso una e-mail che proporrà la chiusura amministrativa del ticket aperto, ovvero permetterà all’utente interpellato la riapertura dello stesso a fronte della non evasione della richiesta a cui il ticket si riferisce. Tutti gli interventi per i quali gli utenti non rispondano entro 5 giorni lavorativi dalla richiesta di verifica di efficacia da parte del Fornitore, saranno ritenuti effettuati in modo efficace.

6.1.4. REPORTING

Rientrano nell’ambito del reporting tutte le attività relative alla produzione e consegna all’Amministrazione dei report per l’analisi del funzionamento del sistema e delle esigenze di miglioramento.

Le fasi tipiche del processo prevedono:

- registrazione e elaborazione dati;

- produzione report e dati elementari;

- confezionamento e consegna.

La tipologia di informazioni rese disponibili all’Amministrazione riguardano:

- Reporting di base, relativo a tutti gli eventi relativi a tutte le attività di richiesta assistenza e gestione sistemi, rendicontazioni contrattuali di sintesi del servizio (ad es. livelli di servizio) e fornitura dati elementari per la verifica delle rendicontazioni inerenti il servizio.

- Reporting operativo: relativo all’operatività del servizio (sia telefonia che dati-gestione richieste) e orientato a fornire le seguenti informazioni di sintesi all’Amministrazione:

o Distribuzione di chiamate per tipologia di problema

o Numero di interventi di secondo livello effettuati

o Numero di interventi di secondo livello (on-site) per gravità, per sito, apparato, funzione del sistema

o Tipologia e Numero di apparati impattati dai problemi

o Tipologia e Numero di siti impattati.

- Reporting proattivo: relativo alle richieste di servizio in funzione di miglioramento dell’uso del sistema da parte degli utenti e orientato a fornire le seguenti informazioni di sintesi all’Amministrazione:

o Uso e usabilità delle funzioni del sistema

o Distribuzione richieste di assistenza (sia di tipo informativo che problemi) per sito, apparati, sistema, funzione

o Segnalazioni di necessità di miglioramento della documentazione dei sistemi (includendo analisi e riepilogo richieste di integrazione/correzione documentazione in uso agli utenti)

o Segnalazioni di necessità di formazione degli utenti

Il Fornitore, al termine del periodo di subentro, dovrà sottoporre all’approvazione dell’Amministrazione l’elenco delle informazioni minime da fornire in base alla cadenza prevista per la verifica dei livelli di servizio (cfr. Appendice 1 – Indicatori di qualità) e della consuntivazione delle prestazioni erogate.

L’elenco dovrà essere inserito opportunamente nel Piano di Qualità Generale e potrà essere integrato da ulteriori dati in relazione alle modalità operative di dettaglio adottate dal Fornitore per l’erogazione delle prestazioni del presente servizio.

6.2. SERVIZI DI SUPPORTO TECNICO

6.2.1. SUPPORTO APPLICATIVO

Il servizio di supporto applicativo comprende un insieme integrato di attività che garantisce supporto per tutte le necessità afferenti alle esigenze specifiche del Dipartimento non incluse nei progetti di sviluppo e/o negli interventi realizzativi, come ad esempio gli studi su specifici argomenti, le analisi e le ricerche, la realizzazione di quadri di sintesi; può, inoltre, comprendere la consulenza ad alto livello sull’uso del sistema, attività di change management e business processes re-engineering per le applicazioni del SIDT, nonché gli aspetti di cyber security.

Le attività sono svolte da risorse specialistiche del Fornitore e sono suddivise in interventi progettuali. Il Dipartimento si riserva di attivare alcune attività del servizio in modalità continuativa per un periodo limitato di tempo: le risorse impiegate in questa modalità dovranno garantire la massima competenza tecnica e funzionale.

Il servizio comprende principalmente le seguenti attività:

- definizione di interventi evolutivi che, oltre alle competenze specifiche nel contesto tecnologico e applicativo richiesto dall’Amministrazione, richiedano forti innovazioni di processo e tecnologiche;

- definizione di interventi con un impatto significativo sulle applicazioni esistenti - volti a creare nuove funzionalità o a modificare e/o integrare le funzionalità già esistenti in una o più aree tematiche cardine dell’Amministrazione;

- ristrutturazione digitale: rientrano in questo ambito gli interventi di digitalizzazione e/o evoluzione di funzionalità utente esistenti al fine di massimizzare la User Experience con modelli di interazione innovativi;

- supporto per la reingegnerizzazione e porting di applicazioni;

- supporto per la definizione di interventi per l’innalzamento del livello di interoperabilità di applicazioni: rientrano in questo ambito gli interventi per l’introduzione di logiche a servizi/micro-servizi in applicazioni monolitiche;

- esecuzione di sperimentazioni o realizzazione di prototipi di tipo “usa e getta” per esigenze estemporanee;

- supporto per la definizione di scenari evolutivi, l’identificazione e la valutazione di nuove soluzioni ICT, il disegno di processi organizzativi e funzionali;

- controllo e verifica dei processi di business mediante l’utilizzo degli strumenti forniti e/o eventualmente messi a disposizione dalla Committente, elaborazione di report ad hoc e analisi di Indicatori definiti dal Dipartimento;

- supporto tematico per la redazione di studi, analisi di fattibilità, stima dei tempi e costi, stima dei benefici, comparazione tra diverse possibili soluzioni, valutazione di soluzioni che prevedano l’utilizzo e l’eventuale personalizzazione di prodotti software presenti sul mercato;

- apporto di know-how specialistico, problem solving di alto livello e consulenza specialistica su tematiche funzionali/amministrative;

- supporto al servizio di gestione applicativa e assistenza operativa diretta presso l’utente per la risoluzione di problematiche di alto livello;

- supporto per la predisposizione di relazioni tecniche per studi di fattibilità, redazione di documenti di architettura, individuazione dei requisiti di sistema, valutazioni, attività di test non funzionali (es. certificazione);

- supporto per le fasi di produzione dei report, di interpretazione e analisi dei risultati, di presentazione e discussione degli stessi;

- supporto per la redazione di documentazione, anche per attività legate ad esigenze estemporanee e non connesse ad iniziative progettuali, attraverso la predisposizione di pubblicazioni, di brochure, di bozzetti grafici, template;

- supporto per attività di change management, addestramento e formazione attraverso la:

o definizione di iniziative e progetti di formazione, sia per gli utenti interni sia per gli utenti esterni, in funzione della distribuzione territoriale, dell’organizzazione del lavoro e modalità di fruizione e erogazione (formazione in aula, virtual classroom, training on the job, digital learning, ecc.);

o progettazione e realizzazione di materiali didattici e di supporto formativo previsti per i corsi e i relativi prodotti intermedi (incluse le esercitazioni e i casi di simulazione che riproducono l’ambiente operativo che dovrà essere utilizzato);

o erogazione delle attività di formazione, secondo le modalità previste dal corso e l’organizzazione territoriale, tutoraggio e monitoraggio dell’avanzamento e dell’apprendimento;

- supporto per attività di cyber security, attraverso:

o la definizione e la produzione della documentazione relativa alla configurazione e alle policy di correlazione di eventi sui sistemi di sicurezza;

o la revisione dei processi e delle architetture inerenti alla sicurezza applicativa, con la verifica del livello di compliance rispetto agli scenari di sicurezza informatica all’evolversi delle minacce, mediante attività di vulnerability assessment e penetration test;

o la verifica, l’analisi, la correlazione, degli allarmi generati e delle informazioni raccolte nei file di

log degli asset applicativi, infrastrutturali, di sicurezza e di rete in ambito applicativo;

- la tracciatura e la produzione delle evidenze di attacco informatico ai fini legali;

- la definizione di politiche, processi e procedure di sicurezza mediante l’analisi e la gestione del rischio;

- l’individuazione di nuove policy, nuovi strumenti e variazioni organizzative da proporre al fine di migliorare il processo di sicurezza e prevenire, laddove possibile, esposizioni sia applicative che infrastrutturali.

L’elenco non si può considerare esaustivo e immutabile, ma potrà subire delle revisioni nel periodo di validità contrattuale per comprendere attività affini e comunque orientate a supportare l’erogazione dei servizi del SIDT, tenendo conto che l’Amministrazione ha già intrapreso un’azione di progressivo consolidamento di tutte le attività inerenti la sicurezza ICT nell’ambito dei servizi erogati dal Lotto 2 SPC.

6.2.2. SUPPORTO OPERATIVO SU SOLUZIONI CLOUD

Obiettivo del servizio di Supporto operativo su soluzioni Cloud è:

- accompagnare il processo di migrazione dei servizi verso una configurazione di cloud ibrido, che vedrà una parte delle applicazioni erogata da uno o più cloud provider (SPC, altre iniziativa per la PA, ecc.) e dall’altra un “core” di servizi erogati per tramite dell’infrastruttura CED on premise;

- garantire l’indispensabile raccordo con i futuri responsabili della conduzione infrastrutturale ogni qual volta si renda necessario in un qualsiasi fase del ciclo di sviluppo delle applicazioni e in tutti i processi di IT Service Management;

- svolgere specifiche attività di conduzione, sviluppo ed evoluzione dell'infrastruttura ICT che siano complementari a quelle espletate dai Cloud provider, interagendo con questi ultimi con l’obiettivo di assicurare l’erogazione di servizi efficienti, efficaci e performanti;

- svolgere attività di sviluppo ed evoluzione dei servizi Cloud quali ad esempio il disegno dei sistemi ed il loro dimensionamento, analisi di impatto e di rischio implementativo, predisposizione di documentazione, definire procedure, ecc.

Nell’ambito delle attività di questo sotto servizio, il Fornitore garantirà supporto al Dipartimento e al provider di servizi Cloud scelto per:

- l’installazione e l’interconnessione degli apparati di rete e sicurezza, l’integrazione tra i diversi componenti dell’infrastruttura, con contestuale configurazione;

- l’installazione e la configurazione dei sistemi, del firmware, del software di base e del middleware e l’integrazione tra i diversi componenti della fornitura;

- la migrazione di prodotti software già presenti nel contesto tecnologico dell’Amministrazione ovvero l’aggiornamento alle versioni di recente rilascio di prodotti di mercato;

- la migrazione dei sistemi operativi, del middleware, dei server per il mantenimento delle versioni ufficialmente supportate e per l’adeguamento dei sistemi alle esigenze di integrazione e alle compatibilità applicative;

- la dismissione dei vecchi apparati per quanto riguarda le attività legate alla cancellazione/distruzione dei dati.

6.2.3. SUPPORTO INFRASTRUTTURALE

Il servizio di Supporto Infrastrutturale è orientato prevalentemente al supporto alla Committente per le seguenti attività, indicate a titolo esemplificativo e non esaustivo:

- disegno dei sistemi e loro dimensionamento;

- analisi dell’impatto implementativo;

- analisi del rischio;

- supporto per la definizione delle politiche di sicurezza;

- definizione delle modalità di realizzazione;

- definizione dei metodi di installazione;

- documentazione funzionale;

- procedure operative;

- rilascio della soluzione implementata alla gestione (esercizio);

- aggiornamento delle configurazioni;

- aggiornamento e/o predisposizione della documentazione a supporto (dettaglio dell’installazione, delle configurazioni e delle procedure di gestione, di salvataggio della configurazione, script di start/stop dei prodotti, dipendenze con altri server ecc…).

6.2.4. SUPPORTO PER LA PROGETTAZIONE DELLA MIGRAZIONE

Le attività del presente servizio si collocano a valle delle fasi di mappatura, assessment e scelta della strategia di migrazione lungo il percorso dettato dalla Roadmap di Migrazione definita dall’Amministrazione. Le attività si inquadrano nell’ambito degli interventi di natura applicativa, di migrazione dei dati e di integrazione e/o validazione funzionale.

Il fornitore dovrà, inoltre, disporre di competenze specialistiche verticali nei seguenti ambiti:

- trend tecnologici: competenze specifiche sui trend tecnologici emergenti di interesse per la PA, che possono rappresentare fattori di ottimizzazione dei processi e delle applicazioni in chiave di trasformazione digitale;

- specializzazione Cloud: competenze specialistiche in ambito Cloud, dagli aspetti architetturali alla sicurezza, alla performance, alla gestione di soluzioni SaaS.

6.2.4.1. TRASFERIMENTO DI PIATTAFORMA

Il Fornitore, tenendo presente che la finalità principale della strategia è di trasferire l’applicativo in cloud senza stravolgimenti funzionali, deve analizzare i possibili interventi che consentono di cogliere, rispetto ai benefici garantiti da una soluzione cloud-native, il livello massimo di ottimizzazione e beneficio. A tal fine il fornitore raccoglie, analizza e condivide i requisiti di scalabilità, sicurezza e performance, definisce il miglioramento dei livelli di servizio e di affidabilità in termini misurabili e evidenzia eventuali discordanze rispetto all’Assessment.

Il fornitore deve individuare, definire e progettare gli interventi necessari ai vari livelli dell’architettura applicativa, al fine di sostituire una o più componenti con equivalenti servizi gestiti dal Cloud Service Provider, modificando il codice sorgente nelle parti di interfacciamento sulla base della conoscenza derivata dalla documentazione disponibile nonché dal supporto delle strutture interne all’Amministrazione.

Il fornitore deve descrivere nel documento di Re-design dell’architettura le modalità e le tecniche di sostituzione delle componenti individuate, gli strumenti di misurazione della copertura dei requisiti funzionali e non funzionali, declinare gli indicatori e le soglie per misurare il raggiungimento delle ottimizzazioni richieste. Gli indicatori devono prevedere la rilevazione di dati di gestione e infrastruttura – declinati, laddove possibile, congiuntamente con i gruppi di gestione operativa - per misurare l’effettivo raggiungimento in esercizio dei benefici di prestazione, contenimento dei costi e scalabilità come indicati nell’Assessment e declinati nei documenti di intervento.

6.2.4.2. CREAZIONE DI UNA NUOVA ARCHITETTURA

Il Fornitore avvia le attività di raccolta e analisi dei requisiti funzionali e non necessari a riprogettare significativamente l’architettura per sfruttare appieno le potenzialità del cloud e dei servizi cloud-native, garantendo i benefici attesi dall’Amministrazione e il minimo impatto per gli utenti finali.

Nell’attuazione di tale strategia il fornitore deve assicurare la messa in campo dell’adeguata conoscenza specialistica della piattaforma Cloud, dei principi di design cloud-native, delle metodologie consolidate di testing e test automation, delle tecniche di refactoring e trasformazione del codice sorgente al fine di garantire all’Amministrazione:

- l’adozione dei servizi cloud-native per le componenti sostituibili;

- l’ammodernamento tecnologico e il miglioramento strutturale dell’Applicativo, identificando le soglie target per gli indicatori di riferimento di manutenibilità e complessivo del livello di qualità del software (es. debito tecnico dell’applicazione);

- l’adeguamento alle linee guida del nuovo modello di interoperabilità della PA;

- la predisposizione di test di validazione per verificare il miglioramento apportato dalle modifiche intraprese e ridurre il rischio di regressione durante il processo. Relativamente alla non regressione, il fornitore dovrà indicare le modalità di implementazione dei test di non regressione e le attività di predisposizione di strumenti e configurazioni ad hoc.

L’analisi deve riportare il dettaglio delle funzionalità/moduli/componenti per cui è prevista la sostituzione con servizi cloud e quelle per cui sarà attuata la ri-fattorizzazione mediante modifica del codice sorgente, laddove possibile e opportuno, o riscrittura su tecnologia moderna.

7. REQUISITI E COMPETENZE GENERALI PER L’EROGAZIONE DEI SERVIZI

Il Fornitore deve garantire il rispetto dei requisiti sotto descritti e l’applicazione delle buone pratiche tecnologiche e metodologiche, e delle metodologie di lavoro, descritte nel presente paragrafo, nell’esecuzione di ciascuna attività della fornitura.

7.1. INQUADRAMENTO NORMATIVO

Le principali previsioni normative e linee guida che governano la presente iniziativa sono:

- D.lgs. 18 aprile 2016, n. 50 (“Codice dei contratti pubblici”) e s.m.i. e relativi provvedimenti attuativi;

- D.lgs. 7 marzo 2005, n. 82 (“Codice dell’Amministrazione Digitale”) e s.m.i.;

- Regolamento UE 2016/679 (“Regolamento generale sulla protezione dei dati” o GDPR “General Data Protection Regulation” ) e s.m.i. e relativa normativa nazionale applicabile;

- Legge 9 gennaio 2004, n. 4 (“Disposizioni per favorire l’accesso dei soggetti disabili agli strumenti informatici”) e s.m.i.;

- DPCM 14 aprile 2021, n. 81 “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all'articolo 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza”;

- Carta dei principi tecnologici del procurement e relativi documenti ivi richiamati;

- Linee guida emesse da XxXX (xxxxx://xxx.xxxx.xxx.xx/xx/xxxxx-xxxxx);

- Guida tecnica AgID all’uso di metriche per il software applicativo sviluppato per conto delle pubbliche amministrazioni;

- Standard della serie ISO 25000 SQuaRE (System and Software Quality Requirements and Evaluation);

- CISQ standard to automate software measurement;

- CWE/Sans Top 25 and Owasp Top 10 security weaknesses;

- ISO 9241-210:2019 - Ergonomics of human-system interaction — Part 210: Human-centred design for interactive systems;

- Standard ECMA 262;

- le Recommendation del W3C relative a linguaggi, architetture, web services, formati e specifiche tecniche relative alla realizzazione di pagine, oggetti e applicazioni web interattive e disponibili su qualsiasi dispositivo (xxxxx://xxx.x0.xxx/xxxxxxxxx).

Relativamente alle linee guida tecnologiche e standard, il precedente elenco cita i principali documenti di riferimento alla data. La continua evoluzione e la capacità di tradurre best practices in linee guida e/o standard e la crescente disponibilità di template, framework, codice standard, componenti riusabili, ecc., si tradurranno in aggiornamento di linee guida/standard esistenti e nella creazione di nuovi riferimenti tecnologici che necessariamente dovranno essere assunti dai fornitori quale nuova baseline tecnologica. Pertanto, il riferimento a linee guida e standard deve essere riferito al più recente livello di standardizzazione e linee guida disponibile alla data di esecuzione.

Per l’erogazione dei servizi richiesti il Fornitore dovrà disporre di competenze tematiche, tecnologiche e metodologiche tali da anticipare e governare pienamente l’innovazione dei servizi e l’evoluzione tecnologica nonché l’applicazione di sempre più aggiornati e scientifici sistemi (comprensivi di metodologie, processi, strumenti e risorse) di realizzazione/modifica/quality assurance del software affiancati a tecniche-strumenti- risorse per la stima, calcolo, monitoraggio, ottimizzazione dei costi di progetto e di servizio.

7.2. REQUISITI TECNICI DI DETTAGLIO

In aggiunta alla normativa specifica di riferimento il Fornitore dovrà garantire i seguenti requisiti minimi per la progettazione, disegno, realizzazione e test del software, ove applicabili:

1. Disegno modulare delle componenti applicative, alto disaccoppiamento per favorire la scalabilità orizzontale e verticale;

2. Riuso di soluzioni già presenti e disponibili su Xxxxxxxxxx.xx e, se necessari allo sviluppo in oggetto, librerie e framework di supporto allo sviluppo con licenze aperta/open source compatibili con il contesto di realizzazione dell’applicativo;

3. Interoperabilità: soluzioni aderenti ai modelli architetturali che favoriscono l’interoperabilità attraverso la realizzazione di API riutilizzabili coerentemente con le “Linee Guida del Modello di interoperabilità” pubblicate da AgID;

4. Security by design prevedendo l’utilizzo di Security Design patterns nelle soluzioni e l’aderenza alle “Linee guida per lo sviluppo del software sicuro” di AgID;

5. Compliance: ai principi di disegno e progettazione delle soluzioni definiti dal Piano Triennale:

o digital & mobile first (digitale e mobile come prima opzione): le pubbliche amministrazioni devono realizzare servizi primariamente digitali;

o digital identity only (accesso esclusivo mediante identità digitale): le PA devono adottare in via esclusiva sistemi di identità digitale definiti dalla normativa assicurando almeno l’accesso tramite SPID;

o cloud first (cloud come prima opzione): le pubbliche amministrazioni, in fase di definizione di un nuovo progetto e di sviluppo di nuovi servizi, adottano primariamente il paradigma cloud, tenendo conto della necessità di prevenire il rischio di lock-in;

o servizi inclusivi e accessibili: le pubbliche amministrazioni devono progettare servizi pubblici digitali che siano inclusivi e che vengano incontro alle diverse esigenze delle persone e dei singoli territori;

o dati pubblici un bene comune: il patrimonio informativo della pubblica amministrazione è un bene fondamentale per lo sviluppo del Paese e deve essere valorizzato e reso disponibile ai cittadini e alle imprese, in forma aperta e interoperabile;

o interoperabile by design: i servizi pubblici devono essere progettati in modo da funzionare in modalità integrata e senza interruzioni in tutto il mercato unico esponendo le opportune API;

o sicurezza e privacy by design: i servizi digitali devono essere progettati e erogati in modo sicuro e garantire la protezione dei dati personali;

o user-centric, data driven e agile: le amministrazioni sviluppano i servizi digitali, prevedendo modalità agili di miglioramento continuo, partendo dall’esperienza dell’utente e basandosi sulla continua misurazione di prestazioni e utilizzo;

o once only: le pubbliche amministrazioni devono evitare di chiedere ai cittadini e alle imprese informazioni già fornite;

o transfrontaliero by design (concepito come transfrontaliero): le pubbliche amministrazioni devono rendere disponibili a livello transfrontaliero i servizi pubblici digitali rilevanti;

o open source: le pubbliche amministrazioni devono prediligere l’utilizzo di software con codice sorgente aperto e, nel caso di software sviluppato per loro conto, deve essere reso disponibile il codice sorgente.

7.3. COMPETENZE METODOLOGICHE

Al Fornitore si richiedono competenze in merito a metodologie, tecniche, strumenti, standard e linee guida

xxxxxxxx e riconducibili alle principali metodologie, quali a titolo indicativo e non esaustivo:

- ISO 9000 che raggruppa le norme che definiscono i requisiti per la realizzazione, in un’organizzazione, di un sistema di gestione di qualità, al fine di condurre i processi aziendali, migliorare l’efficacia e l’efficienza nella realizzazione del prodotto e nell’erogazione del servizio, ottenere e incrementare la soddisfazione del cliente;

- ISO 25000 SQuaRe, e successive, il modello di qualità del software e dei dati e indicatori, linee guida per la relativa misurazione;

- ISO/IEC 27001 che definisce i requisiti per stabilire, implementare, operare, monitorare, revisionare, mantenere e migliorare il Sistema di Gestione della Sicurezza delle Informazioni.

- Approcci metodologici di Project management che includono gli approcci agili, interattivi, incrementali e basati sulla successione di fasi predefinite (quali ad esempio: PMI, PRINCE2, IPMA COBIT, CMMI, ITIL, RUP, Agile, DevOps, Togaf);

- Approcci metodologici a supporto dell’innovazione e della risoluzione di problemi complessi attraverso co-progettazione e visione creativa (es. Design Thinking, Open Innovation)

- Approccio metodologico per l’analisi, il disegno, la realizzazione e gestione di sistemi informatici complessi e integrati;

- Metodologie specifiche e verticali del prodotto e/o piattaforma e/o soluzione tecnologica e/o pacchetto oggetto dell’intervento;

- Metodologie e strumenti per la stima e il dimensionamento dei progetti software principalmente “FPA Function Point Analysis”, “Early and Quick Function Point”, “Simple Function Point”, “Planning Poker”, “WBS Estimation”, “Three Point Estimation”, etc.

- Metodologie di testing: si chiede competenza approfondita e trasversale sulle principali metodologie;

- Metodologie di Agile Software Development e DevOps: attualmente in uso la metodologia Scrum DevOps, ma si richiede una competenza approfondita e trasversale sulle principali metodologie;

- Metodologia IT Service Management e Continual Service Improvement: ITIL e competenza approfondita e trasversale sulle principali metodologie.

7.4. COMPETENZE DEL PERSONALE IMPIEGATO IN FORNITURA

Il Fornitore deve poter mettere in campo competenze di natura funzionale, metodologica e tecnologica, tali da poter affrontare le eventuali problematiche e proporre, realizzare e gestire le relative soluzioni nei contesti specifici della Committente.

Il Fornitore prende atto che il Dipartimento può introdurre variazioni dell’ambito tecnologico, a fronte di proprie specifiche esigenze o per le naturali evoluzioni dei sistemi ICT, e si impegna ad erogare servizi adeguando le conoscenze del personale impiegato o inserendo nei gruppi di lavoro risorse con skill idonei allo svolgimento delle attività, senza alcun onere aggiuntivo.

Si precisa, inoltre, che le competenze e le eventuali certificazioni che il Fornitore mette a disposizione per l’erogazione dei servizi oggetto di fornitura, devono essere descritte, dimostrate e possedute per l’intera durata contrattuale. In caso di sostituzione di risorse certificate le nuove risorse dovranno possedere le stesse competenze e eventuali certificazioni.

Per una descrizione dettagliata di ciascun profilo professionale e delle competenze richieste si rimanda al documento in Appendice 3 – Profili professionali.

7.5. STRUMENTI UTILIZZATI DAL DIPARTIMENTO

Il Fornitore deve rendere disponibile personale in grado di utilizzare con competenza adeguata gli strumenti resi disponibili dal Dipartimento e che il Fornitore dovrà prendere in carico. Per una descrizione di tali strumenti si rimanda al par. 10.2.

7.6. CARATTERISTICHE MIGLIORATIVE DELLA SOLUZIONE OFFERTA

Xxxxx restando i requisiti minimi espressi sopra, gli “Ambiti di valutazione” prevedranno alcune caratteristiche dei servizi o più in generale aspetti contrattuali che, se inclusi nell’Offerta, costituiranno elemento premiante dell’Offerta medesima (si veda in merito l’Allegato all’Avviso di Preinformazione).

Gli elementi migliorativi eventualmente offerti non dovranno in ogni caso portare oneri addizionali per la Committente.

8. METRICHE, DIMENSIONAMENTO E COMPOSIZIONE DEI GRUPPI DI LAVORO

Nei paragrafi seguenti si riporta, in forma tabellare e per ciascun servizio, la metrica utilizzata e il relativo dimensionamento massimo previsto da erogare durante l’intera fornitura.

8.1. METRICHE E DIMENSIONAMENTO DEI SERVIZI APPLICATIVI

Servizio/Prodotto

Sotto servizio

Modalità di erogazione

Regolamentazione contrattuale

Metrica

Q.tà

Sviluppo e MEV di Software

Progettuale

A corpo / a consumo

Punti Funzione (ADD)

72.000

Progettuale

A corpo / a consumo

Giorno persona

30.000

Manutenzione SW

MAC

(incluse piccole MAD/MAM/MEV)

Continuativa

A canone

Canone mensile per PF affidato

7.200.000

(pari a 150.000 PF affidati mensilmente)

MAD e MAM

Progettuale

A corpo / a consumo

Giorno persona

2.640

Gestione applicativa

Conduzione applicativa

Continuativa

A canone

Canone mensile

Servizi di secondo livello - Assistenza Operatori

Continuativa

A canone

Canone mensile

Servizi di secondo livello - Assistenza Front End

Continuativa

A canone

Canone mensile

Data entry pratiche amministrative (Fascia A)

Continuativa

A consumo

Pratica

400.000

Data entry pratiche amministrative (Fascia B)

Continuativa

A consumo

Pratica

800.000

La tabella riporta il dimensionamento previsto, riferito all’intero periodo contrattuale e stimato sulla base dei dati storici e delle previsioni del Dipartimento.

8.1.1. SERVIZI DI SVILUPPO E MEV DI SOFTWARE IN PF

Per quanto riguarda il dimensionamento in PF, nella tabella sono stati considerati i PF di tipo ADD (nuove funzionalità), CHG e DEL. In fase di esecuzione contrattuale, il Fornitore dovrà conteggiare puntualmente i PF effettivi di tipo ADD, CHG (modifica di funzionalità esistenti) e DEL (eliminazioni di precedenti funzionalità) ai fini

della rendicontazione e remunerazione.

Ciò anche al fine di determinare, in modo differenziato, il corrispettivo per l’intervento prestato, secondo le seguenti modalità:

- PF tipo ADD:	100%
- PF tipo CHG:	50%
- PF tipo DEL:	10%

Premesso e sottolineato che le componenti integralmente riusate devono essere inserite solo nel primo conteggio delle applicazioni e/o dei processi elementari che le utilizzano e non nei successivi, per tener conto dell’impatto non trascurabile del riuso sulla produttività - e quindi sui costi dell’intervento - occorre applicare a ogni elemento del conteggio un coefficiente correttivo (CAriuso) alla sua misura funzionale (PF) per determinare i Punti Funzione equivalenti (PF ADDeq) secondo la formula:

PF ADDeq = PF * CAriuso

Il riuso può riguardare scenari differenti di incorporamento e integrazione di servizi, componenti sw, strutture logiche di dati e funzionalità provenienti da fonti diversi quali ad esempio:

- parco software e servizi infrastrutturali dell’Amministrazione;

- catalogo del riuso di AgID e Developers Italia;

- open source e terze parti con licenza libera.

Al fine di ridurre al minimo la complessità di conteggio e consentire dunque una più facile gestione contrattuale è definito per il coefficiente di adeguamento il valore unico rappresentativo delle diverse fattispecie:

CAriuso = 0,5

Allo scopo di consentire una più semplice e efficace individuazione del software riutilizzabile, il Fornitore, entro il termine del periodo di subentro, dovrà mettere a disposizione dell’Amministrazione, senza oneri aggiuntivi, un “Catalogo dei componenti riusabili”, che sarà alimentato costantemente nell’arco della durata contrattuale con le componenti che di volta in volta saranno realizzate “in modalità riuso” su richiesta del Dipartimento.

Sulla base delle previsioni attuali, le attività realizzative saranno distribuite in modo relativamente uniforme nel corso della durata della fornitura, con un possibile rallentamento iniziale durante la fase di subentro.

8.1.2. MANUTENZIONE CORRETTIVA

La baseline mensile del software in esercizio che si prevede di affidare è pari all’incirca a 150.000 Punti Funzione. Al fine di agevolare il Fornitore nel dimensionare opportunamente il gruppo di lavoro per fare fronte alle esigenze del servizio nel rispetto dei livelli di servizio si precisa che tale quantità è stimata pressoché costante nei 48 mesi contrattuali.

Nel canone del servizio sono ricompresi i “piccoli interventi” (cfr. par. 4.2.1) ossia interventi di sviluppo e manutenzione per i quali la stima dell’effort complessivamente richiesto per l’intero intervento realizzativo rientra, a seconda della metrica, nei seguenti limiti:

- intervento misurato in punti funzione <= 25 PF

- intervento in giorni persona <= 5 GG/PP

In merito al volume stimato di software in esercizio, si precisa quanto segue:

- il conteggio dei punti funzione affidati in Manutenzione Correttiva (MAC) sarà effettuato dal Fornitore a

inizio fornitura utilizzando le regole di conteggio IFPUG 4.3.1 dove non già presente o su richiesta del Dipartimento;

- tutto il software modificato e/o sviluppato dal Fornitore (PF ADD/CHG) dovrà considerarsi “in garanzia” fino al termine di 48 mesi decorrenti dalla “Data di Attivazione dei Servizi” quindi non dovrà essere conteggiato nel canone di “Manutenzione Correttiva (MAC)”; fa eccezione il software rilasciato e collaudato nel corso degli ultimi dodici mesi di erogazione dei servizi applicativi per il quale la garanzia si esaurisce trascorsi 12 mesi dal termine ultimo di erogazione dei servizi;

- trimestralmente, o a seguito di una esplicita richiesta del Dipartimento, verrà ricalcolato il numero di punti funzione affidati in “Manutenzione Correttiva (MAC)” e da tale nuovo conteggio scaturirà l’adeguamento del canone di correttiva che avrà efficacia a partire dal mese successivo all’avvenuta rilevazione.

8.1.3. GESTIONE APPLICATIVA

Al fine di agevolare il Fornitore nel dimensionare opportunamente il gruppo di lavoro per fare fronte alle esigenze del servizio, si riportano di seguito alcune informazioni utili a comprendere il volume atteso e la distribuzione nel tempo delle richieste. Resta inteso che i valori riportati sono indicativi e forniti al solo scopo di consentire al Fornitore una prima valutazione dell’impegno delle attività richieste, in particolare per quanto riguarda i servizi di assistenza di secondo livello per i quali il Dipartimento ha intrapreso il percorso di evoluzione descritto nell’Appendice 4 – Contesto del SIDT e al par. 2.3.3.

È infatti responsabilità del Fornitore organizzarsi con il numero di risorse necessario per erogare tutte le attività previste, nel rispetto dei vincoli di erogazione imposti e dei livelli di servizio richiesti.

In ogni caso il Fornitore deve garantire che i full time equivalent minimi presenti in orario di servizio siano sempre almeno pari a n. 45 FTE.

Ciò premesso, in riferimento al servizio di:

- Conduzione Applicativa: il numero medio di interventi mensilmente stimati per le attività di Trattamento Dati e Gestione Informativo del Patrimonio (si veda il par. 4.3.1) è di circa 800;

- Servizi di secondo livello: i volumi complessivi di ticket rilevati su base storica, in base all’attuale configurazione dei servizi di assistenza (“Service Desk Professionale” e “Contact Center”), sono riportati nell’Appendice 4 – Contesto del SIDT. Nel modello a tendere, il volume di lavoro attuale si stima sia ripartito, coerentemente con i dati riportati al par. 8.3.1, come segue:

o Assistenza Operatori: ca. 30%

o Assistenza Front End: ca. 70%

- Data entry pratiche amministrative: sono state utilizzate le stime e previsioni dimensionali riportate nella tabella seguente, suddivise per tipologia pratica e fascia di complessità di lavorazione.

Data Entry Pratiche Amministrative		I anno Q.tà	II anno Q.tà	III anno Q.tà	IV anno Q.tà
Fascia A	Digitazione Patenti Convertite (DPC)	100.000	100.000	100.000	100.000
Fascia A	Rettifica Dati Anagrafici (RDA)	4.788	3.831	3.064	2.452
Fascia B	Digitazione Carta di Circolazione (DCC)	62.304	45.409	33.666	25.336
Fascia B	Digitazione Patente per Duplicati (DPC)	211.146	168.917	135.134	108.107

Relativamente ai volumi riportati per il servizio di Data Entry pratiche Amministrative, i principali fattori che sono

stati considerati nella determinazione dell’andamento sono:

- progressiva adesione dei Comuni ad ANPR (Anagrafica Nazionale della Popolazione Residente), con impatto a tendere in diminuzione sulle pratiche dovute ai cambi di residenza;

- attivazione del canale della denuncia on-line, mediante cooperazione applicativa con il Ministero dell’Interno, con impatto a tendere in diminuzione sulle pratiche legate alle casistiche di smarrimento, furto o distruzione;

- mantenimento di una quota residuale di data entry da cartaceo per attività non digitalizzabili (es. gestione patenti estere);

- esclusione, anche per periodi transitori, di modelli ibridi di dematerializzazione senza digitalizzazione (es. data entry non da cartaceo diretto ma da scansione del cartaceo proveniente da remoto).

8.2. METRICHE E DIMENSIONAMENTO DEI SERVIZI SISTEMISTICI

Servizio/Prodotto

Sotto servizio

Modalità di erogazione

Regolamentazione contrattuale

Metrica

Q.tà

Conduzione operativa dell'infrastruttura

Conduzione Operativa - Quota fissa

Continuativa

A canone

Canone mensile

Conduzione Operativa - Server logico (Fascia A)

Continuativa

A canone

Canone mensile per server

12.900

Conduzione Operativa - Server logico (Fascia B)

Continuativa

A canone

Canone mensile per server

11.040

Conduzione Operativa - Servizi in Cloud (IaaS)

Continuativa

A canone

Canone mensile per istanza

19.200

Conduzione Operativa - Servizi in Cloud (PaaS)

Continuativa

A canone

Canone mensile per istanza

3.600

Supporto sistemistico Cloud (CaaS, SaaS, ecc.).

Sistemista Cloud

Progettuale / Continuativa

A corpo / A consumo

Giorno persona

7.200

Conduzione Operativa - Apparati di rete e sicurezza CED

Continuativa

A canone

Canone mensile per apparato

45.000

Servizio/Prodotto

Sotto servizio

Modalità di erogazione

Regolamentazione contrattuale

Metrica

Q.tà

Conduzione Operativa – Componenti di rete periferici

Continuativa

A canone

Canone mensile per componente

60.000

Gestione Postazioni Esame

Continuativa

A canone

Canone mensile per postazione

153.600

La tabella riporta il dimensionamento previsto, riferito all’intero periodo contrattuale e stimato sulla base dei dati storici e delle previsioni del Dipartimento.

Nei paragrafi che seguono sono riportate le stime e le previsioni utilizzate per il dimensionamento della base d’asta. In ogni caso nella fase del subentro il Fornitore dovrà censire tutti i sistemi oggetto dei servizi e in particolare effettuare il calcolo aggiornato dei sistemi utilizzati come metrica per il calcolo dei corrispettivi. Successivamente nel corso del contratto, tale calcolo sarà aggiornato in corrispondenza delle Verifiche di Conformità trimestrali (cfr. par. 10.3) e i conteggi aggiornati saranno successivamente utilizzati per il calcolo dei corrispettivi del trimestre successivo.

8.2.1. CONDUZIONE OPERATIVA DELL’INFRASTRUTTURA

Per il dimensionamento della base d’asta sono state utilizzate le seguenti stime e previsioni dimensionali. I server logici del CED sono classificati in due fasce sulla base della seguente distinzione:

- server di Fascia A: application server, DB server;

- server di Fascia B: tutte le altre tipologie di server.

Sistemi per il calcolo dei corrispettivi	I anno Q.tà	II anno Q.tà	III anno Q.tà	IV anno Q.tà
Server logici c/o CED di Fascia A	430	325	215	105
Server logici c/o CED di Fascia B	370	275	185	90
Server cloud IaaS	250	300	500	550
Server cloud Paas (DB, ecc.)	30	60	90	120
Apparati di rete e sicurezza CED	1500	1125	750	375
Componenti di rete periferici	1250	1250	1250	1250

Di seguito sono riportate anche le stime e previsioni relative ad altri sistemi.

Altri sistemi	I anno Q.tà	II anno Q.tà	III anno Q.tà	IV anno Q.tà
Sottosistema DBMS semplice	125	100	60	30
Storage complessivo: on premise e in cloud (TB)	600	600	600	600
Immagini Caas cloud e on premise complesse	200	300	450	600
Immagini Caas cloud e on premise semplici	350	500	800	1100

Si precisa che per il calcolo dei corrispettivi le metriche prevedono l’utilizzo dei dati nella prima tabella (Sistemi per il calcolo dei corrispettivi) tuttavia tali canoni includono anche la gestione dei sistemi nella seconda tabella (altri sistemi) che vengono presentati al fine di consentire ai potenziali offerenti una previsione dimensionale dei servizi per la cui descrizione si rimanda al par. 5.1.

Indicativamente le immagini CaaS si intendono “Complesse” quando si verificano contemporaneamente almeno 5 delle seguenti condizioni:

- Numero di porte pari o superiore a 10: si tratta del numero di porte utilizzate per l’interconnessione in rete dei servizi. Esprime un fattore di complessità in relazione alle dipendenze con servizi esterni;

- Numero di reti virtuali pari o superiore a 8: è il numero di reti virtuali usate dal servizio applicativo, per separare/distribuire nel modo più conveniente i flussi di interconnessione;

- Numero di immagini pari o superiore a 10: è il numero di componenti applicativi usate nel contesto di un servizio applicativo;

- Numero di volumi pari o superiore a 10: è il numero di mount-point utilizzati per gestire la persistenza dei dati in un determinato servizio applicativo sia su storage specifico che condiviso;

- Numero minimo di Containers non legati a necessità di auto-scaling che devono essere sempre attivi pari o superiore a 10;

- Autoscaling;

- Supporto per l’High Availability;

- Constraints: presenza dei vincoli applicati nel contesto del deployment del servizio applicativo.

8.2.2. GESTIONE POSTAZIONI D’ESAME

Per il dimensionamento della base d’asta sono state utilizzate le seguenti stime e previsioni dimensionali:

Sistemi per il calcolo dei corrispettivi

I anno

Q.tà

II anno

Q.tà

III anno

Q.tà

IV anno

Q.tà

Postazioni per l’erogazione dei quiz patente

3000

Postazioni esaminatore

200

Le aule d’esame presenti presso le 110 sedi degli UMC sono attualmente 128. A causa dell’emergenza sanitaria in corso, e del necessario distanziamento delle postazioni candidato, sono in via di realizzazione ulteriori aule d’esame.

Per ogni sede devono essere previsti almeno 6 interventi di Manutenzione Programmata (cfr. par. 5.2.2.3) all’anno (ogni ca. 2 mesi).

8.3. METRICHE E DIMENSIONAMENTO DEI SERVIZI TRASVERSALI

Servizio/Prodotto

Sotto servizio

Modalità di erogazione

Regolamentazione contrattuale

Metrica

Q.tà

Single Point of Contact (SPOC)

Continuativa

A canone

Canone mensile (soggetto a review annuale)

Continuativa

A consumo

Canone mensile extra

Servizi di supporto tecnico

Supporto Applicativo

Progettuale

A corpo / a consumo

Giorno persona

2.640

Supporto operativo su soluzioni cloud

Progettuale

A corpo / a consumo

Giorno persona

2.640

Supporto Infrastrutturale

Progettuale

A corpo / a consumo

Giorno persona

2.640

Supporto per la Progettazione della Migrazione

Progettuale

A corpo / a consumo

Giorno persona

880

La tabella riporta il dimensionamento previsto, riferito all’intero periodo contrattuale e stimato sulla base dei dati storici e delle previsioni del Dipartimento.

8.3.1. SPOC

Per il dimensionamento della base d’asta sono state utilizzate le seguenti stime e previsioni dimensionali:

SPOC

Massimale

Soglia

Extra-Canone

Numero di ticket mensili

80.000

10%

L'extra canone mensile, previsto per gestire eventuali picchi che comportano il superamento del massimale, viene corrisposto al Fornitore per intervalli interi di superamento del valore di soglia, secondo la seguente tabella:

Incremento % dei ticket gestiti (fino a)	10%	20%	30%	40%	50%
Quote extra-canone	0	1	2	3	4

Al fine di agevolare il Fornitore nel dimensionare opportunamente il gruppo di lavoro per fare fronte alle esigenze del servizio, si riportano di seguito le informazioni di carattere storico utili a comprendere la distribuzione nel tempo delle richieste pervenute al servizio di “Service Desk Professionale” e al “Contact Center UCO” (cfr. Appendice 4 – Contesto del SIDT), secondo l’organizzazione dei servizi di assistenza del precedente contratto.

35.000

30.000

25.000

20.000

15.000

10.000

5.000

Per quanto riguarda il “Service Desk Professionale”, si riporta l’andamento in formato grafico, della distribuzione mensile dei ticket formalizzati su qualsiasi canale (telefonico, mail, web, fax) a partire da gennaio 2018, mettendo a confronto i volumi di richieste nei diversi anni.

0	gen	feb	mar	apr	mag	giu	lug	ago	set	ott	nov	dic
2018	16.473	13.054	16.210	14.060	21.425	16.075	16.602	11.033	13.863	16.800	13.615	11.170
2019	17.120	16.124	18.386	16.942	17.950	17.795	18.292	11.664	17.166	20.095	15.672	15.606
2020	26.643	26.351	15.882	6.952	25.492	33.210	33.659	20.826	23.341	30.585	26.530	24.497

Il diverso andamento dell’anno 2020, rispetto agli anni precedenti, è dettato dall’entrata in vigore del “Documento Unico” e, specie per il bimestre marzo-aprile, dall’emergenza COVD-19 che ha comportato la proroga di tutte le scadenze.

65.000

60.000

55.000

50.000

45.000

40.000

35.000

30.000

25.000

20.000

15.000

10.000

5.000

Anche per quanto riguarda il “Contact Center UCO”, si riporta l’andamento in formato grafico, della distribuzione mensile dei ticket formalizzati su qualsiasi canale (telefonico e mail) a partire da gennaio 2018, mettendo a confronto i volumi di richieste nei diversi anni.

0	gen	feb	mar	apr	mag	giu	lug	ago	set	ott	nov	dic
2018	61.464	50.942	59.213	43.894	52.207	42.390	48.892	39.461	54.590	58.621	55.730	47.662
2019	55.975	50.835	54.365	49.499	55.804	49.969	51.304	37.189	55.568	61.879	57.629	47.824
2020	50.447	56.058	35.577	30.668	30.396	27.783	38.482	34.107	41.202	32.212	35.522	31.166

SI tenga presente che i dati del 2020 sono fortemente influenzati dall’impatto causato dalla situazione sanitaria nazionale dovuta alla pandemia COVID-19 e si ritengono poco indicativi seppur riportati per completezza.

8.4. REVISIONE ANNUALE DEI CANONI

In virtù del processo di evoluzione intrapreso dal Dipartimento per i servizi di assistenza, come descritto nel par. 2.3.3, per il dimensionamento dei servizi sono stati utilizzati elementi di stima e volumi riferiti all’attuale modello di erogazione dei servizi e pertanto potrà essere necessario, nel corso del contratto, procedere ad una loro revisione al fine di adeguarlo all’andamento effettivo.

Pertanto i canoni dei servizi:

1. Single Point of Contact (SPOC)

2. Servizi di secondo livello - Assistenza Operatori

3. Servizi di secondo livello - Assistenza Front End

saranno soggetti a revisione annuale, al termine di ogni anno contrattuale, sulla base di un criterio di proporzionalità ove il volume annuale dei ticket entranti sia superiore o sia inferiore di più del 10% rispetto alla volume annuale atteso, ad inizio contratto, pari a 960.000 ticket (pari a 80.000 ticket per 12 mesi) di cui:

- 300.000 ticket (pari a 25.000 ticket per 12 mesi) provenienti da operatori;

- 660.000 ticket (pari a 55.000 ticket per 12 mesi) provenienti da imprese e cittadini.

In tali casi sarà stabilita una nuova soglia mensile e, in proporzione, nuovi canoni mensili. Il nuovo canone mensile, per ciascuno dei servizi, sarà pari a:

Canone mensile del xxxxxxxx0 X (Numero ticket entranti nell’anno contrattuale2 / volume annuale atteso3)

8.5. COMPOSIZIONE DEI GRUPPI DI LAVORO

Per la descrizione dei profili professionali, delle relative competenze e esperienze si rimanda all’Appendice 3 - Profili Professionali.

Si precisa inoltre che, fatti salvi i servizi per i quali è prevista l’erogazione in GP per specifici profili, i team mix di seguito riportati rappresentano la configurazione mediamente ottimale per il raggiungimento degli obiettivi del Dipartimento; tuttavia è in ogni caso responsabilità del Fornitore strutturare il miglior gruppo di lavoro al fine di garantire i livelli qualitativi richiesti dalla fornitura.

8.5.1. SVILUPPO E MEV DI SOFTWARE

Il servizio richiede, a titolo indicativo, l’impiego medio del seguente team mix.

1 Il canone mensile è riferito alle voci 1, 2 o 3 di cui all’elenco qui sopra ed pari a quello stabilito dal contratto.

2 Il numero ticket entranti nell’anno contrattuale è quello complessivo per la voce 1, quello proveniente da operatori per la voce 2 e quello proveniente da cittadini e imprese per la voce 3 di cui all’elenco qui sopra.

3 Il volume annuale atteso ad inizio contratto è pari a 960.000 ticket per la voce 1, 300.000 per la voce 2 e 660.000 per la voce 3 di cui all’elenco qui sopra

Figura professionale	% di utilizzo
Capo Progetto	8%
Analista Funzionale	22%
Analista Programmatore	20%
Cloud Architect	5%
Cloud Security Specialist	5%
DevSecOps Specialist	5%
Programmatore	25%
Test Specialist	5%
UX e Web Designer	5%

Si precisa che la composizione sopra indicata è valida per tutte le classi progettuali (sistemi gestionali, conoscitivi e siti web).

8.5.2. MANUTENZIONE ADEGUATIVA E MIGLIORATIVA

Il servizio richiede, a titolo indicativo, l’impiego medio del seguente team mix.

Figura professionale	% di utilizzo
Capo Progetto	5%
Analista Funzionale	5%
Analista Programmatore	15%
Cloud Specialist	5%
Data Base Administrator	5%
Programmatore	55%
Specialista di tecnologia / prodotto / procedimento	5%
Test Specialist	5%

Si precisa che la composizione sopra indicata è valida per tutte le classi progettuali (sistemi gestionali, conoscitivi e siti web).

8.5.3. SUPPORTO APPLICATIVO

Il servizio richiede, a titolo indicativo, l’impiego medio del seguente team mix.

Figura professionale	% di utilizzo
Capo Progetto	8%
Analista Funzionale	15%
Analista Programmatore	10%
Cloud Architect	5%
Cloud Security Specialist	5%
Cloud Specialist	5%
Data Base Administrator	5%
Data Scientist	10%
DevSecOps Specialist	10%
Specialista di tecnologia / prodotto / procedimento	12%
Specialista Tematico	10%
UX e Web Designer	5%

Si precisa che la composizione sopra indicata è valida per tutte le classi progettuali (sistemi gestionali, conoscitivi e siti web).

8.5.4. SUPPORTO INFRASTRUTTURALE

Il servizio richiede, a titolo indicativo, l’impiego medio del seguente team mix.

Figura professionale	% di utilizzo
Capo Progetto	8%
Cloud Architect	20%
Cloud Infrastructure Consultant	10%
Cloud Specialist	5%
Cloud System Engineer	17%
Data Base Administrator	10%
DevSecOps Specialist	5%
Security Specialist	10%
Sistemista Cloud	15%

8.5.5. SUPPORTO PER LA PROGETTAZIONE DELLA MIGRAZIONE

Il servizio richiede, a titolo indicativo, l’impiego medio del seguente team mix.

Figura professionale	% di utilizzo
Capo Progetto	8%
Analista Funzionale	10%
Cloud Architect	27%
Cloud Infrastructure Consultant	15%
Cloud Security Specialist	10%
Cloud Specialist	10%
Cloud System Engineer	10%
DevSecOps Specialist	5%
Test Specialist	5%

8.5.6. SUPPORTO OPERATIVO SU SOLUZIONI CLOUD

Il servizio richiede, a titolo indicativo, l’impiego medio del seguente team mix.

Figura professionale	% di utilizzo
Cloud Architect	5%
Cloud Security Specialist	5%
Cloud Specialist	25%
DevSecOps Specialist	30%
Programmatore	15%
Sistemista Cloud	5%
Test Specialist	15%

8.5.7. SUPPORTO SISTEMISTICO CLOUD (CAAS, SAAS, ECC.)

Si evidenzia che per il servizio di Supporto sistemistico Cloud (CaaS, SaaS, ecc.) il team mix non viene riportato nel seguito in quanto, come indicato al par. 5.1.4 e al par. 10.3 del presente documento, il servizio richiede, a titolo indicativo, l’impiego della figura professionale del Sistemista Cloud.

9. MODALITÀ DI EROGAZIONE DEI SERVIZI

9.1. LUOGO DI LAVORO E ORARIO DEI SERVIZI

Per i servizi oggetto della gara, in funzione delle esigenze, il luogo di erogazione sarà:

- Tutte le sedi del MIMS a Roma e/o sul territorio nazionale (in particolare gli uffici centrali e territoriali dell’Amministrazione, per quanto riguarda la gestione dell’infrastruttura distribuita);

- Sedi di altri fornitori del MIMS (su richiesta specifica);

- le sedi del Fornitore.

Il Fornitore deve comunicare al Dipartimento, nel Verbale di Inizio Servizi, l’ubicazione delle proprie sedi ove potranno essere svolte attività oggetto della fornitura. Resta inteso che i costi di trasferimento e soggiorno del personale che svolge le attività presso tutte le sedi del MIMS, e di suoi altri fornitori sono comunque a carico del Fornitore.

Il Fornitore dovrà garantire la presenza presso la Committente, qualora richiesta, per l’erogazione dei servizi e/o per riunioni e/o per qualsiasi esigenza connessa alla fornitura, senza oneri aggiuntivi rispetto a quanto offerto.

Le seguenti attività, in particolare, dovranno di norma essere svolte presso le sedi del MIMS:

- incontri con utenti;

- incontri con tecnici;

- consegna di “Oggetti software” e “Documentazione” (si veda anche il par. 9.6 del presente documento);

- collaudo;

- supporto nel corso della fase di avvio in produzione;

- attività di affiancamento nel corso delle fasi di Subentro e passaggio di consegne.

Gli eventuali posti di lavoro presso le sedi del MIMS, a prescindere dal servizio, saranno di norma non attrezzati, fermo restando che nel corso della fornitura tale situazione potrebbe mutare, anche in casi specifici, e a discrezione del Dipartimento. I posti di lavoro non attrezzati sono locali idonei ad accogliere gruppi di lavoro dotati della normale attrezzatura di ufficio e cablati per l’eventuale collegamento agli elaboratori, in modalità di tipo Ethernet. Il Fornitore, qualora non ritenesse l’attrezzatura d’ufficio resa disponibile dall’Amministrazione numericamente e/o qualitativamente idonea, provvederà all’eventuale sostituzione/integrazione.

Inoltre, il Fornitore è tenuto a dotarsi di proprie stazioni di lavoro comprensive del relativo software di base, dei programmi antivirus licenziati e con aggiornamenti automatici attivati, e degli strumenti software necessari all’esecuzione dei servizi contrattuali. Gli ambienti messi a disposizione saranno disponibili nel normale orario di lavoro e comunque potranno essere congiuntamente definiti diversi orari per esigenze straordinarie.

I servizi che non hanno carattere di continuità:

- Sviluppo e Mev di Software;

- Manutenzione Adeguativa e Migliorativa;

- Gestione Postazioni Esami;

- Servizi di supporto tecnico;

saranno prestati dal Fornitore nei giorni feriali, tra le ore 08.00 e le ore 20.00 per 8 (otto) ore lavorative, salvo diversa indicazione del Dipartimento. Si precisa che le attività di cui ai primi due punti saranno di norma eseguite presso le sedi del Fornitore, viceversa le seconde due si svolgeranno per lo più presso sedi del Ministero. In ogni caso tali aspetti saranno stabiliti nel dettaglio in funzione delle esigenze e degli accordi con il Dipartimento.

Potrà, sporadicamente e/o in casi di urgenza, essere richiesta assistenza anche extra orario, intendendosi come

tali quelle attività svolte dalle ore 20:00 alle ore 08:00 oppure durante i giorni sabato, domenica e altri giorni festivi. I servizi continuativi saranno svolti nelle seguenti fasce orarie:

Orario di servizio standard		Servizio/attività	Attività in reperibilità H24 7/74	Interventi fuori orario
Lunedì – venerdì (esclusi i giorni festivi)	8:00 – 20:00	Conduzione operativa delle infrastrutture per i sistemi on premise di Fascia B, dei servizi Cloud	√	√
		Data entry pratiche amministrative
		Manutenzione Correttiva (escluse le piccole MAD/MAM/MEV)	√	√
Lunedì – venerdì Sabato (esclusi i giorni festivi)	8:00 – 21:00 8:00 – 14:00	Single Point of Contact (SPOC)
		Conduzione operativa apparati di rete e sicurezza CED e componenti di rete periferici	√	√
		Conduzione applicativa	√	√
		Servizi di secondo livello
Lunedì – domenica (festivi compresi)	H24	Conduzione operativa delle infrastrutture per i sistemi di Fascia A	N/A	N/A
		Monitoraggio sistemi on premise e in cloud	N/A	N/A
		Servizi di Disaster Recovery
		Attività di gestione degli incident 5

In generale l’erogazione dei servizi sarà strutturata tenendo conto delle seguenti fasce orarie:

- nelle fasce orarie 08.00 – 20.00 dal lunedì al venerdì e 08.00 – 14.00 il sabato, ad esclusione dei giorni festivi, i sistemi dovranno essere disponibili per le attività online dell’Amministrazione; il Fornitore dovrà garantire la disponibilità dei sistemi e delle applicazioni (online operations), potrà effettuare le attività di gestione che non interferiscono con l’operatività degli utenti e dovrà prendere in carico tutte le richieste di intervento espresse dagli utenti;

- nelle fasce orarie 20.00 – 08.00 dal lunedì al venerdì, 14.00 – 08.00 il sabato e nei giorni festivi il Fornitore dovrà effettuare le batch operations e tutte le attività di gestione che interferiscono con l’operatività degli

4 Si precisa che per attività in reperibilità H24 7/7 si intende la disponibilità ad intervenire su chiamata telefonica h24 sette giorni su sette, compresi quindi il sabato, la domenica e i giorni festivi e che per giorni festivi devono intendersi le festività a carattere nazionale.

5 L’attività include la ricezione di eventuali incident applicativi e/o di sistema e la loro presa in carico con smistamento al servizio di Manutenzione correttiva, Gestione applicativa e/o di Conduzione operativa delle infrastrutture tramite l’apposito servizio di reperibilità.

utenti (ad esempio installazioni, MAC, ecc.); eventuali attività che richiedano necessariamente il fermo dei sistemi nelle fasce orarie di online operations dovranno essere concordate con l’Amministrazione e da questa preventivamente autorizzate;

- le attività di Movimentazione, Aggiunta e Cambiamento di Server - MACS (di cui al par. 5.1.2.12) vengono di norma pianificate dal lunedì al venerdì in orari notturni (a partire dalle ore 20:00), oppure il sabato dopo le 14:00 o nei giorni festivi, in modo da non creare o minimizzare i disservizi.

Per i servizi da erogare in modalità continuativa potranno inoltre essere previste sporadiche estensioni dell’orario di servizio standard. Il preavviso minimo sarà il seguente:

- nella stessa giornata lavorativa: 4 ore;

- disponibilità dei servizi il sabato pomeriggio, la domenica e/o nei giorni festivi: 3 giorni lavorativi.

L’estensione dell’orario di servizio standard sarà richiesta via posta elettronica e, se pervenuta nel periodo di preavviso prestabilito, non sarà soggetta all’accettazione da parte dei Fornitori. La procedura di dettaglio concordata sarà tracciata nel Piano della Qualità Generale.

Si precisa che:

1. I servizi erogati nell’orario di servizio standard e tutte le attività in reperibilità H24 si intendono remunerati nell’ambito dei relativi canoni dei servizi di Conduzione operativa delle infrastrutture, Conduzione applicativa e Manutenzione correttiva.

2. Le attività di Movimentazione, Aggiunta e Cambiamento di Server - MACS si intendono remunerate nell’ambito del relativo canone del servizio di Conduzione operativa delle infrastrutture.

3. Gli strumenti necessari per l’erogazione del servizio di reperibilità sono resi disponibili dai Fornitori (es. cellulare).

4. Gli interventi effettuati nell’ambito dei servizi di Conduzione applicativa e Manutenzione correttiva in fasce orarie diverse da quelle previste per l’orario di servizio standard (di cui alla precedente Tabella di Riepilogo dell’orario di servizio) sono da intendersi ricompresi nei canoni dei rispettivi servizi.

5. Gli interventi effettuati nell’ambito del servizio di Conduzione operativa delle infrastrutture per i sistemi di Fascia B, che non rientrino nelle casistiche di cui ai precedenti punti 2 o 4, in fasce orarie diverse da quelle previste per l’orario di servizio standard (di cui alla precedente Tabella di Riepilogo dell’orario di servizio) sono remunerati a consumo sulla base della tariffa del Sistemista Cloud maggiorata del 30%. Tale incremento tiene conto delle necessità di erogazione del servizio in orari extra lavorativi.

6. Gli interventi fuori orario che abbiano caratteristiche di urgenza saranno pianificati con un preavviso minimo di 12 (dodici) ore e la richiesta di attivazione potrà essere effettuata anche telefonicamente;

7. Gli interventi fuori orario devono essere realizzati da risorse appartenenti al team normalmente impegnato nell’erogazione dei servizi di Conduzione operativa delle infrastrutture, Conduzione applicativa e Manutenzione correttiva in orario standard.

8. Per “giorni festivi” si intendono le festività a carattere nazionale. I servizi che seguono:

- Conduzione operativa delle infrastrutture

- Manutenzione Correttiva (incluse le piccole MAD/MAM/MEV)

- Single Point of Contact (SPOC)

dovranno essere erogati per lo più da remoto presso sedi del fornitore, tuttavia, in funzione delle esigenze operative, dell’organizzazione proposta e di eventuali accordi con il Dipartimento parte delle attività potranno

essere erogate anche presso la sede del Ministero. I restanti servizi di:

- Conduzione applicativa

- Servizi di secondo livello

- Data entry pratiche amministrative

saranno prestati dal Fornitore presso sedi di Roma del Ministero indicate dal Dipartimento. Si precisa, a tal proposito, che in funzione delle esigenze, degli accordi con il Dipartimento e dell’organizzazione proposta in Offerta Tecnica, parte delle attività potranno essere erogate anche presso la sede del Fornitore.

Altre necessità di presenza di risorse in orari e/o giorni diversi, verranno pianificate e concordate tra le parti.

9.2. SUBENTRO E PASSAGGIO DI CONSEGNE

9.2.1. SUBENTRO

A partire dalla Data di stipula del Contratto, e entro il termine massimo di 3 mesi, il Fornitore dovrà procedere alla presa in carico dei servizi. In tale periodo, esso dovrà mettere in campo tutte le azioni necessarie per garantire al proprio personale, in affiancamento al personale del Dipartimento e/o del gestore dei servizi del SIDT, l’acquisizione di tutte le conoscenze necessarie al corretto svolgimento dei servizi richiesti.

A tal fine il Fornitore dovrà organizzare, pianificare e partecipare attivamente alle attività di affiancamento iniziale e acquisizione del know-how, con il supporto del Dipartimento o dei terzi da esso incaricati, secondo i tempi contrattualmente previsti, nonché predisporre quanto necessario e/o dichiarato in sede di offerta tecnica per garantire l’efficace presa in carico dei servizi.

Il Fornitore aggiudicatario dovrà garantire nell’erogazione dei servizi il pieno rispetto dei requisiti minimi e dei livelli di servizio a partire dalla Data di Attivazione dei Servizi.

Per garantire l’efficacia dei servizi fin dall’avvio della fornitura, il Fornitore deve impiegare personale pienamente formato sulle tematiche funzionali e tecniche oggetto della fornitura nonché sui metodi, sugli strumenti e sugli standard e linee guida del MIMS che nel corso della fornitura saranno utilizzati.

Il Fornitore dovrà quindi predisporre il Piano di Subentro, entro il termine indicato nel par. 9.7, esplicitando le risorse professionali e il loro successivo impiego nei servizi della fornitura, le attività, i tempi, gli strumenti offerti, nonché la predisposizione degli ambienti, degli strumenti, delle soluzioni, sistemi e migliorie offerte. Tale piano è soggetto all’approvazione del Dipartimento. Il Fornitore è tenuto alla redazione del Piano di Subentro anche nel caso corrisponda al Fornitore uscente.

In sede di offerta tecnica, il Concorrente potrà dare evidenza della soluzione proposta su cui si baserà il Piano di Subentro (caratteristiche, tempistiche di massima, risorse impiegate, strumenti e metodologie), con evidenza delle strategie operative e organizzative che prevede di mettere in atto per garantire una rapida e efficace presa in carico dei servizi, nonché della numerosità e skill del personale afferente ai team di lavoro che saranno dedicati alle attività di presa in carico.

Onde poter assicurare l’efficace raggiungimento dell’obiettivo, il Dipartimento richiede:

- l’adozione di una metodologia consolidata e di strumenti di acquisizione delle informazioni, soprattutto per la fase iniziale di assessment;

- un adeguato dimensionamento delle risorse, in termini di disponibilità, competenza e esperienza;

- ulteriori soluzioni operative e strumenti tecnologici a corredo della fornitura di ausilio alle attività di presa in carico e subentro.

Document Metadata

Table of Contents

CONDIZIONI DI FORNITURA

Document Metadata