Procedura aperta

Termine	Descrizione
InfoCamere	InfoCamere S.C.p.A.
CCIAA	Camera di Commercio Industria, Artigianato e Agricoltura.
Appaltatore	L’impresa o il Raggruppamento di imprese o consorzio aggiudicatario del presente appalto.
AgID	Agenzia per l’Italia digitale. Ente istituito ai sensi del decreto legge n. 83 del 22 giugno 2012 convertito con legge n. 134 del 7 agosto 2012
CAD	Codice Amministrazione Digitale
DDT	Documento di trasporto
Servizio	II complesso delle attività previste dal presente Capitolato Tecnico.
Clientela	I clienti di InfoCamere.
Piano Tecnico	Il documento che completa l’offerta del Contraente in ordine agli specifici elementi del Contratto attuativo.
USB	Universal Serial Bus
CNS	Carta Nazionale dei Servizi, così come definita dal Decreto Legislativo 7 Marzo 2005 n. 82 (pubblicato su G.U.R.I. n. 112 del 16 maggio 2005) e successive modifiche e integrazioni (c.d. Codice dell’Amministrazione Digitale).
Firma digitale	Metodo di identificazione informatica definito dal Decreto Legislativo 7 Marzo 2005 n. 82 (pubblicato su G.U.R.I. n. 112 del 16 maggio 2005) e successive modifiche e integrazioni (c.d. Codice dell'Amministrazione Digitale).
Appaltatore	Il soggetto offerente che risulterà aggiudicatario della gara d’appalto
SLA	Service Level Agreement (accordo sul livello di servizio)
PKCS#11	PKCS #11 è uno degli standard tra i “Public-Key Cryptography Standards”, specifica le modalità di comunicazione (API) tra software e dispositivo crittografico
CSP	CSP (Cryptographic Service Provider) è una libreria software che implementa le Microsoft CryptoAPI (CAPI)
VA/PT	Vulnerability Assessment & Penetration Testing

2 InfoCamere: profilo della società

2.1 InfoCamere

InfoCamere è il braccio tecnologico del Sistema Camerale italiano. Affianchiamo i nostri soci nella loro “mission digitale” di semplificazione dei rapporti istituzionali ed amministrativi tra imprese e Pubblica Amministrazione.

Scopo primario di InfoCamere è mettere a disposizione di tutti le banche dati delle Camere di Commercio italiane, garantendo un’informazione condivisa, di facile aggiornamento e consultazione da parte di imprese, professionisti, cittadini e pubblica amministrazione.

Una delle realizzazioni più significative è il Registro Imprese telematico, anagrafe economica e strumento di pubblicità legale delle aziende, istituito fin dall'origine, nel 1993, come registro informatico: caratteristica che lo ha reso una novità assoluta in campo europeo.

Completamente dematerializzato, il Registro Imprese è consultabile integralmente su xxx.xxxxxxxxxxxxxxx.xx, il portale delle Camere di Commercio realizzato da InfoCamere, che permette di accedere via web alle informazioni, ufficiali e aggiornate, contenute nel Registro Imprese, nel Registro Protesti, nella banca dati Brevetti e Marchi e nei Registri delle imprese europee.

Grazie all’adozione della firma digitale, della posta elettronica certificata e delle Tecnologie di conservazione sostitutiva della carta, il Registro non è soltanto l’immediata porta di accesso alle banche dati camerali, ma è un vero e proprio sportello virtuale – sempre aperto al pubblico – che consente a imprese e professionisti di inviare le pratiche telematicamente e di assolvere a tutti gli adempimenti amministrativi che riguardano la nascita e la vita delle aziende, permettendo alle Camere di Commercio di conservarne ogni passaggio.

InfoCamere gestisce i dati camerali attraverso un “Cloud” basato sul Data Center Operativo di Padova, collegando le sedi delle Camere di Commercio italiane tramite una rete dati che unisce tutto il territorio nazionale. A Milano un secondo Data Center funge da Disaster Recovery Center e secondo Access Point di Rete. (Il Data Center Operativo di Padova è conforme al livello Tier III dello standard internazionale TIA-942, come richiesto da Agid; il Sistema di Gestione della Sicurezza delle Informazioni è certificato ISO 27001.)

Oltre al suo asset principale costituito dalla gestione delle banche dati, la Società affianca l’intero sistema delle Camere di Commercio nella semplificazione e digitalizzazione dei processi istituzionali tra imprese e Pubblica Amministrazione, con particolare attenzione ai temi dell’Agenda Digitale correlati al rafforzamento della competitività e della crescita del tessuto imprenditoriale italiano.

Per realizzare tale mandato InfoCamere ha fortemente investito sulla capacità di governare processi complessi. Competenze che le hanno permesso di progettare e gestire strumenti quali la firma digitale, i portali xxxxxxxxxxxxxxx.xx e xxxxxxxxxxxxxxxxx.xx, la fatturazione elettronica e l’Istituto di Pagamento -registrato presso Banca d’Italia- con cui InfoCamere ha rafforzato il ruolo centrale delle Camere di Commercio nei rapporti tra imprese e PA, offrendo la possibilità di aprire veri e propri conti accessibili da tutto il sistema bancario ed integrati nei servizi telematici offerti dal sistema camerale.

L'attività di InfoCamere spazia dunque dalla gestione del patrimonio informativo delle Camere, alla realizzazione e gestione di servizi di ultima generazione erogati in modalità centralizzata via internet e intranet. Certificazioni di Qualità e Sicurezza

InfoCamere progetta, sviluppa ed eroga servizi informatici secondo gli standard ISO 9001, avendo inizialmente conseguito la certificazione nel 1997 (Norma ISO 9001:1994), poi adeguata agli standard Vision 2000 (Norma ISO 9001:2000) ed infine estesa, nel marzo 2009, alla nuova versione ISO 9001:2008.

La società si è dotata di un Sistema di Gestione della Sicurezza delle Informazioni certificato secondo lo standard ISO/IEC 27001, avendo conseguito nel 2012 la prima certificazione di conformità ISO/IEC 27001:2005 e a marzo 2015 la ricertificazione secondo la nuova versione ISO/IEC 27001: 2013.

Ha definito il proprio modello organizzativo sulla responsabilità amministrativa (D. Lgs.231/01) ed il relativo Codice Etico. Si è dotata di un sistema volontario di gestione della salute e sicurezza sul lavoro (secondo le Linee Guida UNI-INAIL) come previsto dall'art.30 del D. Lgs. 81/2008.

Ulteriori informazioni su InfoCamere sono presenti nel sito: xxx.xxxxxxxxxx.xx.

3 Contesto di riferimento

Le Camere di Commercio svolgono un ruolo decisivo per l’attuazione dei processi di digitalizzazione a livello nazionale: non solo gestiscono le applicazioni necessarie per l’invio delle pratiche online e per la successiva gestione di back office, ma si occupano anche del rilascio alle imprese del territorio degli strumenti abilitanti per la digitalizzazione degli adempimenti, quali i certificati di CNS e di Firma digitale e i relativi dispositivi.

Ai sensi della normativa italiana, la CNS (Carta Nazionale dei Servizi) è lo strumento per l'accesso ai servizi erogati in rete dalle Pubbliche Amministrazioni, mentre il certificato di Firma digitale consente la sottoscrizione dei documenti e delle pratiche, sostituendo la firma olografa per tutti gli effetti di legge.

Nel corso degli anni, dal 2004 ad oggi, la CNS e la firma digitale hanno permesso alle imprese la produzione e la trasmissione di documenti informatici al Registro Imprese nonché l’adesione ai servizi più innovativi quali il SUAP, l’accesso via web ai fascicoli giudiziari di competenza, i pagamenti online e la Fatturazione Elettronica.

A livello territoriale la diffusione degli strumenti di CNS e Firma è stata facilitata dai percorsi di formazione per le imprese o i loro intermediari che le Camere attuano in modo costante nel tempo.

In questo contesto l’obbiettivo della fornitura è quello di dotarsi di token di autenticazione basati su certificati digitali CNS e firma digitale innovativi per migliorare l’esperienza utente e permettere l’uso in mobilità attraverso smartphone e tablet.

Per il dettaglio sulle condizioni generali e gli aspetti contrattuali, atti a disciplinare il rapporto con l’appaltatore, vale quanto specificato nel Disciplinare di Gara e nello Schema di Contratto.

3.1 Scenario operativo

Da anni in Italia l’ordinamento giuridico e le prassi amministrative tendono a promuovere lo spostamento sui canali telematici dei rapporti tra Pubblica Amministrazione e imprese, nella convinzione che questo possa essere motivo di semplificazione e di efficienza.

In particolare, dal 2011 tutti gli adempimenti connessi alla nascita dell’impresa e alle sue successive modificazioni si svolgono in modo esclusivamente digitale. Da quella data è stato avviato lo stesso percorso per altre importanti tipologie di adempimenti, come quelli connessi all’avvio e all’esercizio delle attività economiche, alle dichiarazioni fiscali e alle pratiche edilizie, fino alle più recenti disposizioni in materia di fatturazione elettronica.

Le Camere di Commercio svolgono un ruolo decisivo per l’attuazione dei processi di digitalizzazione: non solo gestiscono le applicazioni necessarie per l’invio delle pratiche online e per la successiva gestione di back office, ma si occupano anche del rilascio alle imprese del territorio degli strumenti abilitanti per la digitalizzazione degli adempimenti, quali i certificati di CNS e di Firma digitale e i relativi dispositivi.

A livello territoriale la diffusione degli strumenti di CNS e Firma è stata facilitata dai percorsi di formazione per le imprese o i loro intermediari che le Camere di Commercio attuano in modo costante nel tempo.

Un grosso limite all’utilizzo di questi strumenti è l’impossibilità di utilizzare adeguati lettori in mobilità ovvero la bassa diffusione di lettori contactless.

InfoCamere vuole superare questo limite e permettere alle Camere di Commercio la diffusione, verso il mondo economico, di un dispositivo che mantenga le caratteristiche di quello in uso oggi ma estendendone l’utilizzo anche in mobilità garantendo facilità d’uso e lasciando inalterati i vincoli di sicurezza.

3.2 Requisiti normativi

Tutti i contenuti oggetto della fornitura devono essere conformi alle vigenti normative italiane ed europee, nonché compatibili con altri prodotti/servizi che attengono all'autenticazione e/o identificazione di cittadini ed esercenti attività, il tutto regolamentato dalla normativa vigente in Italia. Tale conformità deve essere mantenuta per tutta la durata del contratto e per il periodo successivo in cui l’Appaltatore è tenuto ad erogare i servizi previsti.

L’elenco sotto riportato costituisce un quadro non esaustivo della normativa di settore:

• Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;

• Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”;

• Decreto del Presidente della Repubblica 7 aprile 2003, n. 137;

• Xxxxxxx xxx Xxxxxxxxxx xxxxx Xxxxxxxxxx 0 marzo 2004, n. 117 “Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dell'articolo 27, comma 8, lettera b), della L. 16 gennaio 2003, n. 3”;

• D.M. in data 9 dicembre 2004 del Ministro dell'interno, del Ministro per l'innovazione e le tecnologie e del Ministro dell'economia e delle finanze, recante: «Regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della Carta nazionale dei servizi”, come modificato dal D.M. 4 luglio 2009;

• Decreto Legislativo 7 marzo 2005, n. 82 (G.U. n.112 del 16 maggio 2005) "Codice dell’amministrazione digitale" e successive modifiche e integrazioni (CAD);

• D.P.C.M. 22/2/2013 "Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali”;

• Regolamento europeo “eIDAS” (electronic IDentification Authentication and Signature) n. 910/2014 in vigore dal 17 settembre 2014;

• Decisione di Esecuzione (UE) 2016/650 DELLA COMMISSIONE del 25 aprile 2016 - che stabilisce norme per la valutazione di sicurezza dei dispositivi per la creazione di una firma qualificata.

• D.P.C.M. 24/10/2014, (G. U. n. 285 del 9 dicembre 2014) “Definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità' di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese”;

• Determinazione Commissariale n.69 del 28 luglio 2010 di DigitPA che modifica la Deliberazione CNIPA n. 45/2009;

Di seguito vengono riportate le tipologie di certificati previsti dalla normativa di settore e relative al presente capitolato:

- certificato qualificato di sottoscrizione per la firma digitale: viene emesso da un certificatore (CA) nei termini ed alle condizioni previste dal CAD;

- certificato qualificato di sottoscrizione con ruolo:

- in esso sono riportate informazioni aggiuntive relative al Ruolo del Titolare alle condizioni specificate nel CAD

- può essere richiesto in alternativa al certificato qualificato di sottoscrizione;

- viene considerato come una possibile forma del certificato qualificato di sottoscrizione e, quindi, di norma, non viene citato come oggetto distinto;

- certificato di Autenticazione CNS: specifica una classe di certificati di autenticazione, con indicazione dell’apposita normativa, destinata agli utenti per accedere in maniera sicura ai siti delle Pubbliche Amministrazioni, secondo quanto previsto dal CAD.

4 Definizione dell’appalto

InfoCamere, nel ruolo di intermediario tecnologico del Sistema Camerale e dei suoi utenti, distribuisce CNS e firma digitale sui tradizionali dispositivi smartcard e USB token, tali dispositivi sono però tecnologicamente limitati e sono di fatto esclusivamente utilizzati sulle tradizionali piattaforme operative PC, tagliando fuori di fatto una grossa fetta di utilizzatori che ormai utilizzano, per i servizi telematici, esclusivamente le piattaforme “mobile”.

L’obiettivo del presente appalto è l’individuazione di un soggetto qualificato ed idoneo in grado di disegnare, progettare e produrre un nuovo dispositivo fisico e il relativo software di corredo per l’utilizzo della CNS e della firma digitale attraverso i sempre più diffusi smartphone e tablet nonché attraverso i classici PC.

4.1 Oggetto

L’oggetto del presente appalto comprende:

• la fornitura di token con doppia interfaccia, personalizzati in tampografia con grafica a colori delle CCIAA italiane:

o USB di tipo A;

o Bluetooth Low Energy 4.x;

da utilizzare per l’autenticazione con certificato CNS e/o SPID livello 3 e/o SPID di secondo livello e la firma digitale.

Le consegne del materiale presso le sedi delle CCIAA e/o presso la sede di InfoCamere di Padova, o altra sede indicata dalla stazione appaltante, sono da intendersi a carico dell’appaltatore.

• la fornitura del software APP per l’utilizzo dei dispositivi crittografici da mobile comprensiva di eventuali licenze terze parti, personalizzazioni test e supporto alla pubblicazione per gli ambienti operativi mobile iOS e Android e gli ambienti operativi tipici dei PC Windows, macOS e Linux;

• il servizio di manutenzione del software APP e di tutti gli altri software offerti e l’assistenza di secondo livello per l’intera durata contrattuale;

• il servizio di manutenzione hardware dei dispositivi per l'aggiornamento del firmware e la sostituzione dei dispositivi difettosi per l’intera durata contrattuale;

• giornate di consulenza specialistica per system integration;

• l’avvio del servizio.

4.2 Durata dell’appalto

L’appalto decorre dalla data di stipula del Contratto e termina 36 mesi dopo la data del verbale di collaudo dei dispositivi e del software APP.

4.3 Volumi / Quantità

L’appaltatore, oltre ai servizi a corpo indicati nel paragrafo 4.1, deve provvedere alla fornitura:

• di un numero massimo pari a 165.000 token, senza alcun minimo garantito;

• di un numero massimo senza alcun minimo garantito di 260 (duecentosessanta) giornate di consulenza specialistica per integrazioni del software APP con applicazioni e/o servizi di InfoCamere o di terze parti. Le giornate di consulenza specialistica potranno essere richieste dalla stazione appaltante, con apposita comunicazione all’appaltatore, in qualsiasi momento all’interno dell’intera durata contrattuale.

Si precisa che, per il servizio di consegna del materiale presso le sedi delle CCIAA e/o presso la sede di InfoCamere di Padova, o altra sede indicata dalla stazione appaltante, l’Appaltatore potrà avvalersi di un operatore terzo che esegue le prestazioni in suo favore, in forza di contratti continuativi di cooperazione, servizio e/o fornitura sottoscritti in epoca anteriore alla indizione della presente procedura. In tal caso, le attività di consegna, secondo quanto previsto dall’art. 105 co. 3, let. c-bis) del D.lgs. 50/2016 e s.m.i., non si configureranno come attività affidate in subappalto e i relativi contratti dovranno essere depositati presso la Stazione Appaltante prima o contestualmente alla sottoscrizione del contratto di appalto.

Diversamente, l’Appaltatore dovrà indicare, in fase di gara, l’intenzione di subappaltare l’attività di consegna del predetto materiale.

4.4 Luogo di esecuzione

Tutte le attività di personalizzazione dei dispositivi verranno svolte presso la sede dell’appaltatore e/o dei suoi eventuali subfornitori. Il materiale, una volta pronto per la distribuzione, verrà consegnato dall’appaltatore e/o dai suoi eventuali subfornitori, direttamente presso le sedi delle Camere di Commercio che ne faranno richiesta; InfoCamere si riserva la possibilità di far consegnare alcuni lotti di materiale presso la propria sede di Padova, o altra sede indicata dalla stazione appaltante.

Nella fase di esercizio sono da prevedersi incontri periodici e riunioni straordinarie presso le sedi di InfoCamere Padova e/o Roma per monitorare l’andamento del servizio o per affrontare imprevisti e/o incidenti nella fase di erogazione; in funzione degli argomenti oggetto di incontro, si valuterà l’utilizzo anche dei sistemi per la videocomunicazione nell’ottica di agevolare al massimo il confronto con l’appaltatore. I contenuti degli incontri dovranno essere verbalizzati e sottoscritti dai Responsabili del contratto.

5 Descrizione del Servizio / Specifiche Tecniche della fornitura

Le pagine successive del presente Capitolato Tecnico, esplicitano l'oggetto del servizio richiesto ed un insieme di Requisiti, Quesiti ed Elementi Migliorativi (indicati rispettivamente con [R.x], [Q.y] e [EM.z] con x, y e z numeri progressivi).

I Requisiti esprimono caratteristiche minime che devono essere obbligatoriamente rispettate dalla soluzione proposta dal concorrente.

I Quesiti indicano aspetti di dettaglio per i quali si richiede di fornire apposite descrizioni che identifichino le caratteristiche della soluzione proposta. Quanto descritto concorrerà all’assegnazione del punteggio tecnico.

Per Elementi Migliorativi s’intendono le caratteristiche addizionali che la soluzione proposta dal Concorrente può contenere rispetto ai requisiti minimi richiesti. La presenza e le caratteristiche degli eventuali Elementi Migliorativi offerti dal concorrente saranno oggetto di valutazione e concorreranno all’assegnazione del punteggio tecnico.

5.1 Caratteristiche tecnico funzionali del dispositivo HW e del SW di corredo

Il token hardware e il software richiesto devono consentire le seguenti funzionalità:

• Autenticazione CNS con client authentication SSL con certificato X.509 e chiavi residenti sul token hardware oggetto di fornitura;

• Autenticazione SPID di livello 2, ovvero la capacità di generare OTP, One Time Password in accordo agli standard utilizzati dai gestori di identità digitale SPID messi a disposizione dalla stazione appaltante;

• Autenticazione SPID di livello 3 con certificato X.509 e chiavi residenti nul token hardware oggetto di fornitura;

• Firma digitale con chiavi e certificato X.509 residenti sul dispositivo hardware oggetto di fornitura;

• Firma digitale con chiavi e certificato X.509 residente su dispositivo HSM remoto, ovvero la capacità di generare OTP, One Time Password in accordo agli standard utilizzati dai gestori di servizi custodia chiavi su HSM remoti utilizzati e messi a disposizione dalla stazione appaltante.

Le funzionalità sono richieste sia su piattaforme operative tipiche dei PC (Windows, macOS e Linux) sia su piattaforme operative mobile (iOS e Android).

Particolare attenzione verrà posta alla valutazione del token e del software proposto in riferimento agli aspetti di:

a) design;

b) semplicità d’uso;

c) sicurezza;

d) compatibilità e modalità d’uso con i software e i sistemi attualmente in esercizio.

5.1.1 Caratteristiche fisiche

[R.1] Il token deve avere dimensioni “tascabili” e adatte all’inserimento della presa USB negli ingressi dei PC o laptop.

[R.2] I token devono essere graficamente personalizzati per ogni CCIAA in quadricromia con stampa in tampografia (al massimo 90 layout grafici diversi). Il dettaglio dei layout verrà condiviso in fase di avvio.

[R.3] Il token oltre alla connettività Bluetooth deve essere dotato di interfaccia USB tipo A al fine di garantire la compatibilità con il sistema di gestione dispositivi già in uso (Card Management System). Come software di riferimento sarà utilizzato il sistema di gestione e di rilascio dei certificati CMS in produzione presso le Camere di Commercio.

[R.4] Il token deve prevedere un tappo o cappuccio di protezione del connettore USB di tipo A e deve disporre di un anello disposto sul corpo, ovvero foro, portachiavi.

[R.5] Il token deve essere dotato di un unico pulsante per la sua accensione, il suo spegnimento ed il collegamento (binding) con il dispositivo mobile dell’utente.

[R.6] Il token deve essere dotato di un interruttore per interrompere l’alimentazione complessiva per ridurre al minimo la scarica della batteria durante i lunghi periodi di inutilizzo del token, ad esempio mentre il token è nei magazzini.

[R.7] Il token deve essere dotato di opportuni LED atti ad indicare lo stato della batteria, la connettività Bluetooth, l’accesso al dispositivo crittografico e la connettività USB.

5.1.2 Caratteristiche hardware

[R.8] Il token deve essere in grado di funzionare comunicando con il dispositivo mobile dell’utente ad almeno 100 cm di distanza.

[R.9] Il token deve disporre di almeno 64 KB di memoria non volatile sicura per la memorizzazione degli oggetti di sicurezza (certificati X.509 e chiavi RSA-2048).

[R.10] Il token deve disporre di almeno 2MB di memoria visibile attraverso l’interfaccia USB come un dispositivo CD-ROM e contenente il software per la configurazione guidata del dispositivo per i PC con almeno i sistemi operativi Microsoft Windows, Apple macOS e Linux.

[R.11] Il token deve disporre di una batteria Li-Po almeno di 120 mAh.

[R.12] La batteria del token deve avere un numero di cicli di carica/scarica di almeno 100 cicli a 0,5C e alla temperatura di 20±5 °C.

[EM.1] Costituisce elemento migliorativo un numero maggiore di cicli di carica e scarica della batteria a 0,5C e alla temperatura di 20±5 °C.

[EM.2] Costituisce elemento migliorativo le performance di consumo della batteria, in particolare saranno valutati:

a) il consumo del token durante la fase di stand-by;

b) il consumo medio del token durante la fase di advertising, pronto alla connessione;

c) il consumo medio del token durante la fase di utilizzo, ossia durante una transazione tipica di autenticazione o di firma;

Il soggetto proponente, per la misura delle performance di consumo del token presa in serie ai morsetti della batteria, sarà chiamato ad allestire un ambiente di misurazione presso la sede di Padova di InfoCamere. Il soggetto proponente, oltre a dichiarare i consumi, dovrà illustrare le modalità con cui avverrà la misurazione. InfoCamere si riserva la possibilità di effettuare un proprio test di misura sui campioni oggetto di collaudo.

[R.13] Considerati i vari profili di utilizzo (es. utilizzatore frequente, utilizzatore occasionale, utilizzatore tipico) il dispositivo deve permettere la configurabilità del parametro “tempo di timeout” necessario per l’autospegnimento in caso di non utilizzo.

[R.14] Il token deve essere dotato di un meccanismo orologio per l’accensione automatica; tale meccanismo deve essere in grado di accendere il token e renderlo disponibile al dispositivo mobile dell’utilizzatore in base alla configurazione oraria predisposta dall’utilizzatore; ad esempio: deve essere possibile per l’utilizzatore configurare l’accensione del token alle 8:00 e lo spegnimento alle 12:00, per poi ri-accendersi alle 16:00 e così via.

[Q.1] Verrà valutata la soluzione proposta per configurare il timeout di autospegnimento del token e la configurazione oraria, in particolare verrà valutata la semplicità con la quale l’utente può effettuare in autonomia questa configurazione.

[R.15] Il token dovrà avere l’interfaccia USB di tipo A e dovrà essere utilizzabile e riconosciuto automaticamente, ovvero senza configurazione alcuna, con il software CMS indicato in [R.3].

[R.16] Il token deve essere un dispositivo crittografico compatibile con le specifiche CNS, ovvero deve essere utilizzato come strumento di autenticazione in tutti i portali web che richiedono l’accesso con la Carta Nazionale dei Servizi.

[R.17] Il token deve essere un dispositivo crittografico compatibile con le specifiche SPID di livello 3 degli Identity provider messi a disposizione dalla stazione appaltante, ovvero deve essere utilizzato come strumento di autenticazione in tutti i portali web che richiedono l’accesso con SPID di livello 3.

[R.18] Il token deve essere un dispositivo crittografico compatibile con le specifiche SPID di livello 2 degli Identity provider messi a disposizione dalla stazione appaltante, ovvero deve essere utilizzato come strumento

di autenticazione in tutti i portali web che richiedono l’accesso con SPID di livello 2 degli Identity provider messi a disposizione dalla stazione appaltante, ovvero il chip crittografico del token deve essere in grado di custodire in maniera sicura nella EEPROM e vincolato alla validazione del PIN, il seed di sicurezza per la generazione dell’OTP.

[R.19] Il token deve essere un dispositivo crittografico atto alla firma digitale, ovvero deve poter essere utilizzato per le apposizioni di firme digitali secondo la normativa vigente.

[R.20] Il modulo crittografico utilizzato nel dispositivo deve essere certificato secondo l’attuale normativa per la firma sicura e qualificata eIDAS. Il fornitore è tenuto a presentare la certificazione di sicurezza richiesta dalla normativa vigente.

[R.21] Il token deve essere un dispositivo crittografico compatibile con le specifiche per l’accesso alle chiavi di firma custodite su HSM remoti dei TSP messi a disposizione dalla stazione appaltante, ovvero deve essere utilizzato come strumento di autenticazione per l’emissione di una firma remota, ovvero il chip crittografico del token deve essere in grado di custodire in maniera sicura nella EEPROM e vincolato alla validazione del PIN, il seed di sicurezza per la generazione dell’OTP.

[R.22] Il token deve essere certificato CE. Con la fornitura dei token è richiesta la documentazione comprovante detta certificazione.

[R.23] Il token deve essere dotato di un Vendor ID regolarmente fornito dalla USB-IF (Implementers Forum).

[R.24] La componente Bluetooth del token deve essere conforme allo standard di riferimento utilizzato. Con la fornitura dei token è richiesta la documentazione comprovante detta conformità.

[R.25] Ogni token deve essere dotato di un numero di serie univoco di lunghezza pari a 16 digit decimali e conforme allo standard CNS, personalizzabile su indicazione della stazione appaltante per le diverse CCIAA. Il fornitore dovrà indicare la struttura dei seriali dei dispositivi.

[R.26] Il token, attraverso l’interfaccia Bluetooth, deve poter essere utilizzato con dispositivi mobili, con sistema operativo iOS 9 e successivi ed Android 5.0 e successivi.

[EM.3] Sarà valutata la fornitura senza oneri aggiuntivi per InfoCamere di dispositivi dotati di funzionalità che ne permettano l'utilizzo attraverso l’interfaccia Bluetooth, anche con sistemi operativi desktop Windows 10 e successivi, macOS 10.12 e successivi.

[R.27] Il token, attraverso l’interfaccia USB, deve poter essere utilizzato con i sistemi operativi desktop: Windows 7, 8.1, 10, macOS 10.12 e successivi, Linux Ubuntu, Fedora e Debian, le rispettive versioni con supporto ancora attivo.

[R.28] Il token deve essere equipaggiato con un’etichetta QR-code personalizzabile secondo le specifiche e i dati forniti dalla stazione appaltante.

[EM.4] Costituisce elemento migliorativo la disponibilità nel token di un buzzer sonoro; il buzzer deve poter essere disabilitato da parte dell’utilizzatore. I suoni emessi dal token devono consentire l’implementazione di una funzionalità tipo “find me”, per consentire il ritrovamento dello stesso e l’eventuale convalida delle operazioni di firma e autenticazione.

[Q.2] Verrà valutata la presenza di una funzione che permetta di disabilitare il buzzer sonoro e di configurare il suono/melodia emesso dal buzzer stesso; in particolare verrà valutata la semplicità con la quale l’utente potrà effettuare in autonomia questa configurazione.

5.1.3 Caratteristiche software

[R.29] È richiesta per il token la fornitura a corredo di licenza illimitata per gli usi all’interno del sistema camerale del middleware PKCS#11, Microsoft CSP (ove previsto) per i sistemi operativi desktop specificati in [R.27], ad esempio al fine di garantire la compatibilità con il sistema di gestione e di rilascio dei certificati il CMS in produzione presso le Camere di Commercio. È da intendersi a carico del fornitore l’eventuale adeguamento degli stessi, fermo restando il supporto che verrà fornito da InfoCamere.

[EM.5] Costituisce elemento migliorativo la fornitura del middleware TokenD per l’integrazione del token, attraverso l’interfaccia USB, nei sistemi operativi macOS.

[EM.6] Costituisce elemento migliorativo la fornitura di un software client di firma digitale per sistemi operativi Windows, macOS e Linux. L'applicazione dovrà operare con il token attraverso interfaccia USB e, se offerto, con Bluetooth.

[EM.7] Costituisce elemento migliorativo la fornitura del middleware PKCS#11, Microsoft CSP (ove previsto) e TokenD per l’integrazione del token nei sistemi operativi desktop specificati in [R.27] attraverso l’interfaccia Bluetooth.

[R.30] È richiesta per il dispositivo la fornitura a corredo di licenza d’uso illimitata del middleware PKCS#11 per i sistemi operativi mobile specificati in [R.26]. È richiesta, inoltre, la fornitura di una “APP mobile” interoperabile col token comprensiva di eventuali licenze terze parti, personalizzazioni test e supporto alla pubblicazione per gli ambienti operativi mobile iOS e Android e gli ambienti operativi tipici dei PC Windows, macOS e Linux; per IOS è da prevedersi l’adattamento dell’APP a tutte le versioni di tablet iPad.

[R.31] È richiesta la disponibilità del concorrente a pubblicare, per conto della Stazione Appaltante e con modalità con quest’ultima concordate, la APP mobile all’interno degli store utilizzando la denominazione sociale della Stazione Appaltante.

[R.32] È richiesta una licenza software multipla che permetta l’utilizzo dell’”APP mobile” su più dispositivi in possesso del medesimo utente utilizzatore del dispositivo. L’APP dovrà essere personalizzata secondo le specifiche grafiche (logo, colori e altri contenuti informativi quali assistenza, FAQ ecc..) che la stazione appaltante metterà a disposizione.

[R.33] È richiesta la disponibilità della APP sugli store software Google ed Apple. Il fornitore si impegna a fornire il supporto alla pubblicazione dell’APP sugli store.

[R.34] La APP deve essere compatibile con i sistemi operativi mobile indicati in R.26.

[R.35] La APP deve consentire la gestione del token. In particolare, deve presentare funzioni di gestione per la sezione Bluetooth (profili di utilizzo, pairing, unpairing), per la sezione crittografica (cambio/sblocco PIN, visualizzazione certificati).

[R.36] La APP deve consentire la ricerca del token (funzione “find me”). In particolare, deve permettere la geo- localizzazione dell’ultima posizione in cui la app ha rilevato il token.

[Q.3] Verrà valutata la presenza di una funzionalità di tipo di “find me” che sia di ausilio al ritrovamento del token stesso utilizzando la APP. In particolare, verrà valutata l'usabilità e la semplicità d'uso.

[Q.4] Verrà valutata una soluzione di find me che sia di ausilio al ritrovamento del dispositivo mobile (smartphone, tablet) associato al token attraverso il token stesso.

[R.37] La APP deve consentire la funzione per consultare l’elenco delle ultime operazioni di firma digitale, autenticazione e della gestione del PIN e PUK.

[R.38] E’ richiesta la possibilità nella APP di utilizzare, dove il device mobile lo preveda, l’impronta digitale o altra autenticazione biometrica (es. faceID) come meccanismo di autenticazione aggiuntivo o sostitutivo alla digitazione del PIN.

[R.39] La APP deve consentire la firma di documenti digitali mediante chiavi e certificati presenti sul dispositivo almeno nel formato di firma PadES e CAdES.

[EM.8] Costituisce elemento migliorativo la possibilità nella APP di firmare digitalmente un documento anche in formato XAdES.

[Q.5] Verrà valutata una soluzione che consenta la possibilità nella APP di inserire attributi alle firme Pades, Cades e Xades, quali grafo firma, icona e/o foto del firmatario, geo-localizzazione della transazione di firma e/o autenticazione. In particolare verrà valutata l'usabilità e la semplicità d'utilizzo.

[R.40] La APP deve consentire la verifica della firma digitale apposta su file.

[EM.9] Costituisce elemento migliorativo la possibilità, durante la verifica della firma digitale, di generare un rapporto di verifica in formato PDF.

[EM.10] Costituisce elemento migliorativo la disponibilità di lettura, scrittura e condivisione di file sui dischi remoti più diffusi quali: iCloud, Google drive, DropBOX, etc…

[EM.11] Costituisce elemento migliorativo l’implementazione di un widget per il lancio delle funzioni importanti, quali Firma, Verifica, Browser sicuro e Archivio delle transazioni recenti.

[EM.12] Costituisce elemento migliorativo l’implementazione di un widget per visualizzare l’elenco degli ultimi file firmati, consentendone, su richiesta, la visualizzazione a tutto schermo.

[R.41] La APP deve implementare un internet browser per la navigazione sicura su siti internet attraverso il protocollo HTTPS utilizzando la client authentication con chiavi e certificati memorizzate sul token. In

particolare, deve consentire la fruizione di tutti i portali web che necessitino, come strumento di autenticazione, la Carta Nazionale dei Servizi e SPID di livello 3 degli Identity Provider messi a disposizione dalla stazione.

[R.42] La APP deve implementare un internet browser per la navigazione sicura su siti internet attraverso il protocollo HTTPS utilizzando la SSL authentication con chiavi OTP generate col token. In particolare, deve consentire la fruizione di tutti i portali web che necessitino, come strumento di autenticazione, di SPID di livello 2 e la generazione dell’OTP deve essere realizzata a partire dal seed custodito nella memoria sicura del token, senza che l’utilizzatore debba digitare codici.

[R.43] Il browser web implementato dovrà avere caratteristiche in linea con gli standard dei più diffusi e moderni browser presenti sul mercato; in particolare deve poter utilizzare html5/css3/ecmascript6.

[EM.13] Costituisce elemento migliorativo la possibilità dell’APP browser di aprire sessioni di lavoro in schede differenti. In particolare, il browser deve supportare la funzionalità multi-tab.

[Q.6] Verrà valutata la soluzione proposta per consentire alla APP la possibilità di proseguire sessioni di navigazione iniziate utilizzando il browser web di sistema con l'obbiettivo di migliorare l'esperienza utente e migliorare la sicurezza riducendo l'esposizione a potenziali attacchi (ad esempio deve essere possibile per una web application richiedere il passaggio dal browser Safari di iOS alla APP oggetto della fornitura).

[Q.7] Con l'obiettivo di integrare firme digitali apposte con il token in oggetto a web application di terze parti, verrà valutata la possibilità di poter permettere a web application di richiedere all’utente l’apposizione di firme digitali a documenti generati dalla web application stessa. Sarà quindi oggetto di valutazione una proposta per consentire tale funzionalità utilizzando le chiavi ed i certificati custoditi sul token oggetto della fornitura in ottica di semplificare l'integrazione nelle web application.

[Q.8] Con l'obiettivo di integrare firme digitali apposte con il token in oggetto con APP di terze parti, verrà valutata la possibilità di consentire a queste di interoperare con la APP oggetto di fornitura al fine di poter ottenere firme digitali utilizzando chiavi e certificati custoditi sul token.

[Q.9] Il concorrente descriva in maniera esaustiva l'APP con tutte le sue funzionalità. Sarà valutata complessivamente l'esperienza utente proposta, la completezza delle funzionalità offerte e l'usabilità della soluzione.

5.2 Comprova dei requisiti

L’aggiudicatario dovrà fornire la prova del possesso dei requisiti obbligatori e degli eventuali elementi migliorativi di cui al presente capitolato e dichiarati nell’offerta tecnica mediante la presentazione ad InfoCamere di una soluzione prototipale anche non necessariamente industrializzata che comprovi quanto dichiarato sia per il token che per l’APP e il SW tutto a corredo. In questa fase si chiede la consegna di tutta l’idonea documentazione tecnica a corredo.

L’aggiudicatario verrà convocato, presso la sede di InfoCamere, dopo massimo 20 giorni dalla comunicazione di aggiudicazione, per la comprova dei requisiti.

5.3 Giornate di consulenza specialistica per system integration

L’Appaltatore dovrà garantire la fornitura di consulenza specialistica relativamente a tutti i servizi e prodotti in ambito al presente Capitolato, pertanto si richiedono skill specifici dei consulenti con evidenza dei CV nominativi come indicato nel paragrafo 6.4.

Le consulenze specialistiche richieste potranno comportare l’aggiunta, il cambiamento ed eventualmente la rimozione di funzionalità, volte ad assicurare la costante aderenza delle procedure e dei programmi alla evoluzione dell’ambiente tecnologico del sistema informativo ed al cambiamento dei requisiti (organizzativi, normativi, d’ambiente), anche in funzione di specifiche esigenze in seno al sistema camerale.

L’Appaltatore si impegna a fornire 260 giornate di consulenza specialistica a consumo, e senza minimo garantito, nell’ambito della durata del contratto.

6 Modalità di esecuzione

6.1 Avviamento del servizio

Il servizio richiesto dovrà essere erogato da professionisti con attitudine al lavoro di gruppo, elevata capacità di relazione, facilità di comunicazione, capacità di gestione delle risorse umane.

Le attività dell’Appaltatore devono essere improntate ad un'assoluta attenzione alla riservatezza. All’Appaltatore è, altresì, richiesto, durante l'esecuzione dei servizi oggetto del presente Capitolato, il rispetto degli standard e delle linee guida adottate da InfoCamere.

Le comunicazioni tra l’Appaltatore ed InfoCamere dovranno avvenire tramite i seguenti strumenti: telefono, e- mail, posta elettronica certificata, sistemi informatici messi a disposizione da InfoCamere; tutte le comunicazioni relative alle fasi di processo o connesse a necessità di: chiarimenti, richieste, variazioni di requisiti e/o conferme su scelte tecniche devono essere formalizzate in forma scritta con accettazione esplicita, sempre in forma scritta, di entrambe le parti.

InfoCamere e l'Appaltatore devono scambiarsi i riferimenti delle persone che fungono da punto di contatto reciproco e le caselle di posta elettronica certificata (PEC) che fungeranno da canale primario di comunicazione da utilizzare in tutti i casi in cui non sia espressamente indicata un'altra modalità di comunicazione.

InfoCamere intende distribuire velocemente gli oggetti della fornitura, ovvero il token hardware, i software a corredo e la APP mobile. Pertanto, richiede che:

[R.44] l’aggiudicatario si impegna a supportare eventuali adeguamenti tecnici, normativi e funzionali per tutta la durata del contratto, nonché la normale manutenzione correttiva hardware e software, la manutenzione evolutiva e il servizio di assistenza descritti ai paragrafi 6.6.2, 6.6.3, 6.6.4 e 6.6.5.

All’interno della fase di avvio sono incluse le seguenti attività:

− definizione congiunta e rilascio dei testi da utilizzare nel’APP (ad es. termini e condizioni di utilizzo, FAQ, help, riferimenti all’assistenza, ecc…);

− predisposizione, in collaborazione con InfoCamere degli artwork grafici dei dispositivi oggetto di gara, con motivo di fondo comune per tutte le Camere;

− definizione, in collaborazione con InfoCamere, delle modalità di personalizzazione dei dispositivi e della eventuale documentazione da fornire a corredo dei token;

− formazione al personale InfoCamere come meglio specificato in [R49];

− presentazione del piano di gestione [R.47], che dovrà essere approvato dalla stazione appaltante, formalizzando:

− definizione delle interfacce tecnico / organizzative nei confronti di InfoCamere;

− indicazione della data di consegna dei campioni di Token da testare;

− indicazione della data di consegna del software APP da testare;

− assistenza e relativi processi di richiesta e classificazione interventi; eventuale integrazione con il sistema di ticket management InfoCamere;

− monitoraggio del servizio e reportistica da concordare con la stazione appaltante;

− modalità per il rifornimento/consegna dei materiali;

− fatturazione e documenti di trasporto;

La fase di avvio terminerà con la sottoscrizione del “verbale di collaudo”.

L’Appaltatore deve concludere la suddetta fase in un lasso di tempo congruo e tale da consentirgli la produzione e consegna del lotto di dispositivi nr. 1 entro i termini previsti al successivo par. 6.3 [R. 46] ovvero entro il minor tempo da quest’ultimo offerto [EM.14].

6.2 Quantità dispositivi

[R.45] È richiesta la fornitura di un numero massimo pari a 165.000 token, senza alcun minimo garantito, e di altrettante licenze d’uso multiple. I Token personalizzati devono essere spediti secondo le indicazioni concordate nel piano di gestione.

6.3 Tempi

[R.46] Si richiede che l’intera fornitura (hardware e software) sia resa disponibile in un massimo di 120 giorni dalla firma del contratto e in massimo nr. 3 lotti corrispondenti rispettivamente:

• lotto nr. 1 disponibilità di 10.000 dispositivi entro 60 giorni dalla firma del contratto;

• lotto nr. 2 disponibilità del 40% dell’intera fornitura di token entro 90 giorni dalla firma del contratto;

• lotto nr. 3 disponibilità del numero complessivo di token oggetto della fornitura entro 120 giorni dalla firma del contratto.

Il software APP dovrà quindi essere stato collaudo e pubblicato negli store entro la consegna del primo lotto.

[EM.14] Costituisce elemento migliorativo la disponibilità dell’intera fornitura:

a) del lotto nr. 1 da 10.000 unità in un tempo inferiore a 60 giorni solari dalla firma del contratto.

b) del lotto nr. 2 disponibilità del 40% delle unità offerte in un tempo inferiore ai 90 giorni solari dalla firma del contratto.

c) del lotto nr. 3 disponibilità di tutte delle unità offerte in un tempo inferiore ai 120 giorni solari dalla firma del contratto.

[R.47] Si richiede la descrizione del piano di gestione della fornitura con la presentazione di una timetable (Gantt) di progetto, che descriva a partire dalla firma del contratto tutti gli stati di avanzamento previsti dal proponente per il completamento della fornitura.

6.4 Caratteristiche del team di progetto e dettagli progettuali

[R.48] Il team di progetto che verrà messo a disposizione della stazione appaltante dovrà avere comprovate competenze e esperienza necessarie nell'ambito della fornitura. Si richiede la descrizione del team di progetto al completo con i relativi CV nominativi. Il team di progetto, composto da almeno 2 persone con almeno tre anni di esperienza ciascuno nelle tematiche inerenti il capitolato.

[Q.10] Al fine di verificare le competenze e l'esperienza necessarie nel progetto tecnico si chiede che vengano presentate:

• la descrizione del team di progetto proposto, corredato con i relativi CV nominativi.

• un elenco di referenze e riscontri inerenti l’ambito del progetto.

Verranno valutate le maggiori esperienze delle risorse del team di progetto rispetto a quanto indicato in [R.48] e la numerosità e attinenza all'ambito del presente progetto delle referenze presentate.

[Q.11] Al fine di meglio chiarire le caratteristiche del token proposto e del software a corredo, verrà valutata la presenza di documentazione progettuale di dettaglio, la presentazione di campioni fisici di token e i mockup dei software a corredo e quanto altro possa migliorare la comprensione e descrizione della fornitura dei token innovativi offerto (ivi compreso il relativo software offerto a corredo).

6.5 Servizio di formazione

[R.49] L’Appaltatore dovrà procedere all'erogazione di adeguata formazione nei confronti del personale InfoCamere, al fine di renderlo autonomo nella gestione e utilizzo dei token e del software a corredo oggetto dell’Appalto. A tale proposito si richiedono 15 giornate di formazione comprese nella fase di avvio del servizio. Le giornate dovranno essere pianificate con il referente InfoCamere secondo le modalità indicate in fase di fornitura.

6.6 Caratteristiche del servizio di assistenza e manutenzione correttiva, adeguativa ed evolutiva del SW

Il presente paragrafo descrive le modalità con le quali l’aggiudicatario dovrà erogare il servizio di manutenzione per i prodotti software a corredo del token.

[R.50] Il servizio di manutenzione costituisce parte integrante della fornitura richiesta, perciò il concorrente è tenuto a garantire il rispetto di tutte le specifiche indicate nel presente capitolo per l’intera durata contrattuale.

Di seguito si riportano le caratteristiche del servizio di manutenzione richiesto.

6.6.1 Presidio tecnico

È richiesta l’erogazione del servizio di presidio tecnico atto a consentire al personale InfoCamere di usufruire di un’interfaccia unica, competente e precisamente identificata per affrontare e risolvere qualunque problema di natura hardware e software dei dispositivi.

[R.51] Il servizio di presidio tecnico dovrà essere erogato dalle ore 9:00 alle ore 18:00, dal lunedì al venerdì, di tutti i giorni lavorativi.

Il presidio tecnico dovrà essere dotato di un numero telefonico e indirizzo di posta elettronica al quale potrà accedere il personale InfoCamere per la segnalazione dei problemi rilevati.

L’operatore del presidio tecnico dovrà accettare le segnalazioni effettuate dal personale InfoCamere tramite chiamata telefonica oppure tramite invio di messaggi di posta elettronica.

6.6.2 Assistenza per problemi software

In presenza di problemi rilevati sui prodotti software, il personale InfoCamere contatterà il presidio tecnico dell’aggiudicatario per richiedere assistenza.

[R.52] Il personale del presidio tecnico dovrà prendere in carico il problema entro 4 ore lavorative dalla segnalazione ricevuta dal personale InfoCamere (se si tratta di guasti bloccanti), e notificarne l'accettazione tramite la comunicazione di un “numero di chiamata”, del nominativo del tecnico di riferimento per il problema e del suo recapito telefonico.

Il personale del presidio tecnico dovrà analizzare il problema, servendosi degli strumenti a sua disposizione, individuarne la risoluzione e comunicarla al personale InfoCamere.

L’aggiudicatario dovrà assicurare per tutto il periodo di durata del servizio di manutenzione la fornitura di tutte le “release” e versioni successive dei prodotti software rese disponibili dal produttore, inerenti al software fornito.

6.6.3 Manutenzione Correttiva

Per Manutenzione Xxxxxxxxxx si intende la diagnosi e la rimozione delle cause e degli effetti, sia sui driver sia sulle applicazioni desktop e sia sulle APP mobile, dei malfunzionamenti dei programmi in esercizio.

La Manutenzione Correttiva è normalmente innescata da una segnalazione di impedimento all’esecuzione dell’applicazione/funzione o dal riscontro di differenze fra l’effettivo funzionamento del software applicativo e quello atteso, come previsto dalla relativa documentazione o comunque determinato dai controlli che vengono svolti durante l’attività̀ dell’utente.

I malfunzionamenti imputabili a difetti presenti nel codice, non rilevati a suo tempo durante il ciclo di vita o in collaudo, sono risolti dal servizio di manutenzione correttiva con la correzione dei codici eseguibili.

La categoria dei malfunzionamenti è così definita:

• anomalie bloccanti:

- sono i malfunzionamenti per cui è impedito l'uso dell'applicazione o di una o più funzioni;

- sono i malfunzionamenti per cui è impedito l'uso di una funzione dell'applicazione in alcune specifiche condizioni;

• anomalie non bloccanti:

- sono i malfunzionamenti per cui è impedito l'uso della funzione, ma lo stesso risultato è ottenibile con altra modalità operativa ed i malfunzionamenti sono di tipo marginale;

- sono le anomalie rilevate sulla documentazione.

Per impedimento all'uso dell'applicazione o delle sue funzioni si intende una malfunzione vera e propria dell'applicazione.

I malfunzionamenti, le cui cause non sono imputabili a difetti presenti nel software applicativo, ma ad errori tecnici, operativi o d’integrazione con altri sistemi (es.: interruzione del collegamento, uso improprio delle funzioni, etc.), comportano, da parte del servizio di manutenzione correttiva, il solo supporto all’attività̀ diagnostica sulla causa del malfunzionamento, a fronte della segnalazione pervenuta, ma sono poi risolti da altre strutture di competenza.

La suddetta classificazione potrà subire, nel corso della Fornitura, modifiche volte a dettagliare ulteriormente le casistiche incluse in ogni tipologia di guasto.

L’Appaltatore si impegna inoltre a produrre tutti gli aggiornamenti di sicurezza necessari al software consegnato, per tutta la durata del contratto in particolare anche quando emergono vulnerabilità note.

6.6.4 Manutenzione Adeguativa

La Manutenzione Adeguativa comprende l’attività̀ volta ad assicurare la costante aderenza delle APP e dei driver agli ambienti operativi e normativi.

In particolare, si intendono:

• adeguamenti dovuti a cambiamenti di condizioni al contorno (es.: modifiche alla normativa di riferimento, migliorie di performance, nuovi device mobili etc.);

• adeguamenti necessari per innalzamento di versioni del software di base;

• adeguamenti intesi all’introduzione di nuovi prodotti o modalità di gestione del sistema;

• migrazioni di piattaforma;

[R.53] Il personale del presidio tecnico dell’appaltante, concordemente e congiuntamente col responsabile della stazione appaltante, dovrà presentare piano periodico dei rilasci degli adeguamenti software.

6.6.5 Manutenzione Evolutiva

La Manutenzione Evolutiva (MEV) del software comprende gli interventi volti ad arricchire le APP e i driver di nuove funzionalità o comunque a modificare o integrare le funzionalità del prodotto, ad evolverlo tecnologicamente, aumentandone le performance. La MEV implica la scrittura di funzioni aggiuntive d’integrazione a sistemi informativi o applicazioni esistenti ovvero di parti di funzioni (anche in sostituzione di altre già̀ esistenti) di dimensione significativa e di cui è possibile preventivamente definirne i requisiti o quantomeno identificarne le esigenze. In pratica si tratta di implementazioni di uno specifico sistema informativo, sovente aggregabili fra loro, che comunque danno luogo a una nuova Release del prodotto iniziale.

L’attività di sviluppo del software viene suddivisa in Obiettivi, ognuno dei quali può essere assimilato ad un “progetto” la cui esecuzione è suddivisa in fasi secondo un ciclo di sviluppo dipendente dalle dimensioni, dalla criticità e dalla tipologia di applicazione.

[R.54] Il personale del presidio tecnico dell’appaltatore, concordemente e congiuntamente col responsabile della stazione appaltante, dovrà presentare piano periodico dei rilasci degli aggiornamenti evolutivi sul software.

6.7 Comunicazioni e riesame periodico durante la gestione della fornitura

Le comunicazioni tra Appaltatore e Stazione Appaltante dovranno avvenire tramite i seguenti strumenti: telefono, e-mail, posta elettronica certificata e/o sistemi informatici messi a disposizione da InfoCamere; tutte le comunicazioni relative alla fasi di processo o connesse a necessità di chiarimenti, richieste, variazioni di requisiti e/o conferme su scelte tecniche, devono essere formalizzate in forma scritta con accettazione esplicita, sempre in forma scritta, di entrambe le parti.

Al fine di tenere sotto controllo l'erogazione del servizio, l’Appaltatore dovrà garantire di registrare in formato elettronico le informazioni relative, a titolo di esempio, a:

- misure, indicatori e SLA dei processi di gestione;

- rendere disponibile, periodicamente e/o su richiesta, xxx xxxxx xxxxxxxxxxx, ad InfoCamere una reportistica esaustiva relativa al consuntivo dell’attività, dei livelli di servizio e dei consumi rispetto ai massimali di gara; a titolo esemplificativo, tale reportistica riguarderà:

- assistenza (es. tempi di risoluzione dei ticket assegnati al secondo livello);

- rifornimenti del materiale;

- eventuali disservizi, con analisi tecnica dell’incidente e azioni individuate e messe in campo per evitare il ripetersi del disservizio;

- gestione di eventuali problemi e manutenzioni correttive.

L’appaltatore dovrà accettare il riesame periodico del servizio anche relativamente agli aspetti della sicurezza delle informazioni laddove previsto. Saranno previsti incontri e riunioni presso le sedi di InfoCamere di Padova e/o Roma per verificare il corretto andamento delle attività.

L’Appaltatore dovrà garantire:

− la disponibilità a discutere con InfoCamere, in ambito di riesame periodico del servizio, l’andamento dello stesso, individuando aree di miglioramento ed azioni correttive e di evoluzione, da condividere con i referenti InfoCamere, sia nel contenuto, sia nella pianificazione;

− la propria partecipazione a incontri “straordinari” con InfoCamere nel caso di riscontro di problemi significativi.

6.8 Manutenzione dei token hardware

[R.56] La manutenzione dei token hardware, compreso l'aggiornamento del firmware e la sostituzione dei dispositivi difettosi, è prevista per tutta la durata del contratto.

6.9 Caratteristiche del servizio di assistenza e manutenzione per guasti Hardware durante il periodo di garanzia dell’HW.

[R.57] Il servizio di presidio tecnico dovrà essere erogato dalle ore 9:00 alle ore 18:00, dal lunedì al venerdì, di tutti i giorni lavorativi.

Il presidio tecnico dovrà essere dotato di un numero telefonico e indirizzo di posta elettronica al quale potrà accedere il personale InfoCamere per la segnalazione dei problemi rilevati.

L’operatore del presidio tecnico dovrà accettare le segnalazioni effettuate dal personale InfoCamere tramite chiamata telefonica oppure tramite invio di messaggi di posta elettronica.

Il servizio di assistenza e manutenzione di tipo hardware prevede una diagnosi del malfunzionamento completa ed estesa a tutte le componenti del dispositivo e comprende la sostituzione sia di parti del dispositivo, sia dell’intero dispositivo.

In presenza di problemi rilevati sui dispositivi hardware oggetto del servizio di manutenzione, il personale InfoCamere contatterà il presidio tecnico dell’aggiudicatario per richiedere assistenza.

[Q.12] Sarà valutata la messa a disposizione, senza oneri aggiuntivi per InfoCamere, di uno strumento di diagnostica del dispositivo, ad uso degli operatori camerali o di InfoCamere, da utilizzare per la verifica dello stato dei token dichiarati difettosi dai titolari. A titolo esemplificativo e non esaustivo lo strumento dovrà essere in grado di fornire informazioni sullo stato iniziale (dispositivo vergine), sullo stato di personalizzazione (presenza chiavi crittografiche, certificati), stato di salute della batteria, numeri di cicli di carica e stato dei componenti interni. Sarà oggetto di valutazione anche l'intuitività dello strumento, la semplicità d'uso anche in funzione di reportistica generale e di dettaglio finalizzata alla gestione dei resi per malfunzione.

[R.58] Il personale del presidio tecnico dell’appaltatore dovrà prendere in carico il problema entro 4 ore lavorative dalla segnalazione ricevuta dal personale InfoCamere e notificarne l'accettazione tramite la comunicazione di un “numero di chiamata”, del nominativo del tecnico di riferimento per il problema e del suo recapito telefonico.

Il personale del presidio tecnico dell’appaltatore dovrà fornire al personale InfoCamere tutta l'assistenza necessaria per il ripristino del dispositivo guasto alle normali condizioni di funzionamento.

[R.59] Qualora, all’esito del predetto intervento tecnico, ovvero su valutazione del personale tecnico incaricato di InfoCamere, risulti che il dispositivo è interessato da un guasto hardware che ne richiede la sostituzione, l’appaltatore dovrà consegnarne uno identico entro 4 giorni lavorativi presso la sede in cui il dispositivo è stato rilasciato all’utilizzatore. La sostituzione del token guasto con quello consegnato dall'appaltatore per sostituzione, sarà effettuata dal personale del Sistema Camerale e/o di InfoCamere.

7 Sicurezza delle informazioni e Privacy

7.1 Gestione delle informazioni al termine del Contratto

Al termine del Contratto, quando non sia altrimenti stabilito, l’Appaltatore si impegna alla restituzione ad InfoCamere di tutte le informazioni trattate in occasione delle attività di esecuzione della fornitura in un formato elaborabile oppure, su richiesta di InfoCamere, alla loro completa distruzione.

7.2 Aggiornamento software e documentazione

L’Appaltatore si impegna all’aggiornamento costante di tutta la documentazione prodotta; si impegna inoltre a mantenere aggiornato il numero di versione, secondo le regole del semantic versioning, del software e di tutta la documentazione prodotta relativamente all’oggetto della fornitura.

L’Appaltatore si impegna infine a consentire l'utilizzo di tutta la documentazione prodotta.

8 Verifica di conformità/collaudo

Saranno eseguiti un gruppo di test funzionali volti alla verifica della rispondenza dei requisiti tecnici e funzionali offerti dall’Appaltatore e ai requisiti previsti nel Capitolato Tecnico.

I risultati dei test saranno riportati nel documento “Verbale di Collaudo” che sarà sottoscritto da entrambe le parti.

Il Fornitore è tenuto comunque a risolvere tempestivamente ogni anomalia riscontrata nel più breve tempo possibile e comunque entro i tempi definiti dal Responsabile del Contratto InfoCamere.

Durante le attività di collaudo l’Appaltatore è obbligato ad assicurare ad InfoCamere tutto il supporto necessario.

Al termine delle attività di collaudo verrà redatto e sottoscritto da InfoCamere, sia in caso di esito positivo che di esito negativo delle stesse, il verbale di collaudo, cui sarà allegato il documento Rapporto di collaudo in cui sono tracciate le attività svolte durante il collaudo stesso.

La presenza di anomalie che, a giudizio di InfoCamere, per gravità o numerosità, non consentano lo svolgimento o la prosecuzione delle attività di collaudo provocherà la sospensione del collaudo stesso.

I nuovi termini di inizio e fine collaudo decorreranno dalla consegna della versione corretta dei prodotti che dovrà avvenire entro 60 giorni dalla firma del contratto [R.46] o, qualora offerto, entro i termini previsti da [EM.14].

La rimozione delle eventuali anomalie riscontrate durante la fase di collaudo è assoggettata ai livelli di servizio previsti.

Il fornitore, in fase di test e prima di consegnare i dispositivi a InfoCamere per il collaudo, dovrà garantire il funzionamento degli stessi con un grande numero di smartphone e tablet che, soprattutto nel mondo Android, sono molto eterogenei e non sempre rispettosi del rigore imposto dagli standard di riferimento. A garanzia dell’efficacia dei test sul più ampio numero possibile di dispositivi potrà essere richiesto al fornitore l’utilizzo anche di servizi di crowdtesting che sfruttano comunità di migliaia di tester per le attività di debug e miglioramento dell’usabilità del software.

Il fornitore si impegna a collaborare in ogni momento alle attività VA/PT (Vulnerability Assessment & Penetration Testing) che possono essere condotte da parte di InfoCamere o terze parti da esse incaricate, allo scopo di verificare puntualmente ogni aspetto relativo alla qualità del software prodotto.

9 Service Level Agreement (SLA)

L’obiettivo di questo capitolo è quello di definire i livelli di servizio previsti per l’esecuzione delle prestazioni.

9.1 Rifornimento dei materiali [SLA1]

Si definisce “tempo consegna materiali” l'intervallo temporale, espresso in giorni lavorativi, che intercorre tra il giorno in cui InfoCamere invia l’ordine all’Appaltatore ed il giorno in cui i materiali sono consegnati alla Camera di Commercio destinataria.

1. Il “tempo consegna materiali” garantito dall’Appaltatore deve essere inferiore o uguale a 20 giorni lavorativi, almeno nel 98% delle consegne su base mensile.

2. Nel caso di ordini pervenuti da InfoCamere segnalati come urgenti (stimabili in un 5% degli ordini mensili), l’Appaltatore deve garantire un “tempo consegna materiali” pari a 10gg lavorativi almeno nel 98% delle consegne urgenti su base mensile.

3. L’Appaltatore deve comunicare ad InfoCamere le previste date di spedizione, a fronte del materiale ordinato, entro un giorno lavorativo dalla richiesta.

4. In caso di richiesta di documento attestante l’avvenuta consegna, firmato dal destinatario, pervenuta da InfoCamere, l’Appaltatore deve fornire tale documento entro 5 gg lavorativi.

5. L’Appaltatore, con cadenza settimanale, deve inoltre inviare elettronicamente ad InfoCamere un report di aggiornamento contenente i dati di tutte le consegne effettuate.

9.2 Reso del materiale [SLA2]

Al fine di gestire il reso del materiale, per il quale non è richiesto reintegro di materiale equivalente in sostituzione, l’Appaltatore dovrà emettere nota credito vs InfoCamere entro la metà del mese successivo a quello della notifica, per valore corrispondente al materiale Reso

9.3 Assistenza [SLA3]

L’Appaltatore deve garantire il servizio di assistenza di secondo livello dal Lunedì al Venerdì, dalle ore 9.00 alle ore 18.00, con l'esclusione del sabato, della domenica e dei giorni festivi nazionali.

Si definisce “tempo help desk di risoluzione” l'intervallo temporale, espresso in ore lavorative, intercorso tra l’istante in cui l'help desk di primo livello assegna il ticket al secondo livello e l’istante in cui l'help desk di secondo livello comunica al primo la risoluzione del ticket.

L’Appaltatore deve garantire un “tempo help desk di risoluzione” come di seguito indicato:

• Ticket standard: entro 24 ore lavorative;

• Ticket urgenti: entro 8 ore lavorative.

I dati utilizzati per la misurazione dovranno provenire dai log dei sistemi informatici utilizzati da InfoCamere e dall’Appaltatore per la gestione dei ticket.

9.4 Manutenzione del software

9.4.1 Manutenzione correttiva [SLA4]

Si definisce “tempo di risoluzione della malfunzione” l'intervallo temporale, espresso in ore lavorative, intercorso tra l'istante in cui una segnalazione di malfunzionamento perviene all’Appaltatore e l'istante in cui viene comunicata alla Stazione Appaltante l'avvenuta risoluzione.

I malfunzionamenti dovranno essere classificati per tipologia e in base a 2 livelli di gravità “bloccante”, “non bloccante” come indicato in paragrafo 6.6.3.

L’Appaltatore dovrà garantire che:

il “tempo di risoluzione della malfunzione” sia inferiore ai valori indicati di seguito, in funzione della gravità della malfunzione stessa:

• bloccante: 4 ore per la disponibilità della risoluzione e dove necessario l’invio della nuova versione allo store;

• non bloccante: 3 gg lavorativi per la disponibilità della risoluzione e dove necessario l’invio della nuova versione allo store.

9.4.2 Manutenzione adeguativa [SLA5]

Le tempistiche delle attività di manutenzione adeguativa dovranno essere concordate tra InfoCamere e l’Appaltatore.

9.5 Riepilogo SLA e penali

Codifica

Livello di servizio

Metrica

Soglia di accettazione

Modalità di calcolo

Penali

SLA1.1

Rifornimento materiali

Entro 20 gg lav dall’ordine, nel 98% delle consegne su base mensile

X = (consegne effettuate/consegne mese totali) * 100

0,5‰ importo massimo contrattuale, per valore inferiore al 98% delle

consegne

SLA1.2

Rifornimento materiali urgenti

Entro 10 gg lav dall’ordine, nel 98% delle consegne su base mensile

X = (consegne effettuate/consegne mese totali) * 100

0,5‰ importo massimo contrattuale, per valore inferiore al 98% delle

consegne

SLA1.3

Rifornimento materiali

comunicazione

Entro 1 gg lav. dalla richiesta

Al superamento di un gg lav dalla richiesta

0,1‰ dell’importo importo massimo

contrattuale

SLA1.4

Rifornimento materiali - Attestato

consegna

Entro 5 gg lav dalla richiesta

Scostamento tra data consegna effettiva e data richiesta

X = Data_eff – Data_ric

0,05‰ importo massimo contrattuale

SLA1.5

Rifornimento materiali -

Report

Settimanale

Mancato invio

0,1‰ dell’importo massimo contrattuale

SLA2

Reso del materiale

Entro i primi 15 gg del mese successivo a quello

della notifica

Scostamento tra data nota di credito e il 15° gg del mese

€ 1500 a fronte del mancato rispetto della

soglia di accettazione

SLA3

Assistenza

Ora

- TT Standard: entro 24 ore lavorative

- TT Urgenti: entro 8 ore lavorative

Ora risoluzione – Ora di assegnazione

per ogni ora o frazione di ora di ritardo:

- € 250,00 per i ticket standard

- € 500,00 per i ticket urgenti

SLA4

Manutenzione correttiva SW

Ore/Gg

- Anomalia bloccante: entro 4 ore

- Anomalia non bloccante: entro 3 gg lavorativi.

Tempo massimo di risoluzione dell’anomalia nell’intervallo orario 09:00 - 18:00, nei giorni feriali dal lunedì al venerdì

per ogni ora o frazione di ora di ritardo:

- € 1.500,00, anomalia bloccante;

- € 600,00 per anomalia non bloccante

SLA5

Manutenzione adeguativa SW

X<25% dell’elapsed fino ad un massimo di 10 gg

Scostamento tra data consegna effettiva e data concordata

X = ((Data_eff – Data_prev)/durata_attività)

*100

1 ‰ dell’importo di aggiudicazione per ogni giorno di ritardo

10 Adempimenti al termine del Contratto

[R.60] L’Appaltatore dovrà svolgere tutte le attività ritenute necessarie a garantire un adeguato passaggio di consegne al personale tecnico di InfoCamere, al fine di renderlo autonomo nella gestione del progetto dopo la scadenza del contratto.

Document Metadata

Table of Contents

Procedura aperta

Document Metadata