Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. ALLEGATO 5 PIANO DI QUALITÀ Allegato 5 – Piano di Qualità Pagina 1 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. Indice 1. Introduzione .............................................................................................................................................................. 4 1.1 Scopo del documento ..................................................................................................................................... 4 1.2 Campo di applicazione .................................................................................................................................... 4 1.3 Riferimenti documentali .................................................................................................................................. 4 1.4 Acronimi e definizioni ..................................................................................................................................... 4 2. Organizzazione del documento e modalità di gestione ........................................................................................ 6 2.1 Organizzazione del documento ...................................................................................................................... 6 2.1.1 Allegato al PQ .............................................................................................................................................. 7 2.2 Modalità di gestione ........................................................................................................................................ 7 3. Organizzazione e ruoli ............................................................................................................................................. 7 3.1 Organizzazione di LI ........................................................................................................................................ 7 3.2 Organizzazione del Fornitore.......................................................................................................................... 7 4. Modalità di gestione del contratto .......................................................................................................................... 9 4.1 Aspetti generali ................................................................................................................................................ 9 4.2 Ciclo di vita del contratto ................................................................................................................................ 9 4.2.1 Affidamento ................................................................................................................................................. 9 4.2.2 Verifiche e controlli ..................................................................................................................................... 9 4.2.3 Modifiche al contratto ............................................................................................................................... 10 4.2.4 Chiusura ..................................................................................................................................................... 10 4.3 Piano Generale della Fornitura ..................................................................................................................... 10 5. Modalità di gestione dell’intervento ...................................................................................................................... 11 5.1 Aspetti generali dell’intervento .................................................................................................................... 11 5.2 Ciclo di vita dell’intervento ........................................................................................................................... 11 5.2.1 Attivazione dell’intervento ........................................................................................................................ 11 5.2.2 Verifica e controlli dell’intervento ............................................................................................................ 12 5.2.3 Modifica dell’intervento ............................................................................................................................ 13 5.2.4 Chiusura dell’intervento ........................................................................................................................... 13 5.2.5 Cancellazione/sospensione parziale o totale dell’intervento ................................................................ 14 5.2.6 Documenti di riferimento per l’intervento ............................................................................................... 14 5.2.7 Responsabilità e modalità di trasmissione dei documenti dell’intervento .......................................... 15 6. Luogo, orario di lavoro e dotazioni ....................................................................................................................... 16 6.1 Luogo di lavoro .............................................................................................................................................. 16 6.1.1 Sviluppo e Manutenzione ......................................................................................................................... 16 6.1.2 Assistenza.................................................................................................................................................. 17 6.1.3 Supporto al Demand Management .......................................................................................................... 17 6.2 Orario di lavoro .............................................................................................................................................. 17 6.2.1 Sviluppo ..................................................................................................................................................... 17 6.2.2 Manutenzione ............................................................................................................................................ 17 6.2.3 Assistenza.................................................................................................................................................. 18 6.2.4 Supporto al Demand Management .......................................................................................................... 18 6.3 Integrazioni e specifiche ............................................................................................................................... 18 6.4 Dotazioni di lavoro ......................................................................................................................................... 19 7. Livelli di servizio ..................................................................................................................................................... 20 7.1 Monitoraggio e verifica dei livelli di servizio ............................................................................................... 20 8. Gestione dei rilievi e delle penali .......................................................................................................................... 20 8.1 Verifica dei livelli di servizio e rilevazione del rilievo/penale ..................................................................... 20 8.2 Verifica legale/tecnica e notifica al Fornitore .............................................................................................. 20 8.3 Gestione del rilievo/penale ........................................................................................................................... 21 8.4 Chiusura e notifica del rilievo/penale .......................................................................................................... 21 8.5 Documentazione relativa ai rilievi/penali ..................................................................................................... 21 9. Gestione degli audit ............................................................................................................................................... 21 9.1 Programmazione e comunicazione dell’audit ............................................................................................. 21 9.2 Esecuzione dell’audit .................................................................................................................................... 21 9.3 Definizione e proposta delle azioni derivanti dall’audit ............................................................................. 22 9.4 Valutazione delle azioni proposte ................................................................................................................ 22 9.5 Attuazione delle azioni proposte .................................................................................................................. 22 9.6 Valutazione dell’efficacia delle azioni attuate ............................................................................................. 22 9.7 Chiusura delle azioni attuate ........................................................................................................................ 22 9.8 Documentazione relativa agli audit .............................................................................................................. 22 10. Gestione delle azioni correttive e preventive .................................................................................................. 23 11. Gestione della configurazione .......................................................................................................................... 23 12. Aspetti connessi alla privacy (ex D.Lgs 196/03) .............................................................................................. 24 12.1 Misure di sicurezza ........................................................................................................................................ 24 Allegato 5 – Piano di Qualità Pagina 2 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 12.2 Assetto organizzativo privacy – Responsabili del trattamento e incaricati.............................................. 26 12.3 Attività di verifica e controllo........................................................................................................................ 26 12.4 Trasferimento e trattamento di dati all’estero ............................................................................................. 26 13. Gestione della sicurezza delle informazioni .................................................................................................... 27 13.1 Requisiti generali ........................................................................................................................................... 27 13.2 Gestione del personale del Fornitore .......................................................................................................... 28 13.3 Accesso agli ambienti ed ai sistemi ............................................................................................................. 28 13.3.1 Accesso agli ambienti di LI diversi da preproduzione e produzione ............................................... 28 13.3.2 Accesso ai sistemi e basi dati in ambiente di pre-produzione/produzione ..................................... 28 13.3.3 Accessi logici ........................................................................................................................................ 29 13.3.4 Amministratori di Sistema e Utenze Privilegiate ................................................................................ 30 13.4 Modalità di connessione ............................................................................................................................... 30 13.5 Infrastruttura del Fornitore ........................................................................................................................... 30 13.6 Sicurezza Fisica ............................................................................................................................................. 31 13.7 Requisiti di sicurezza per la realizzazione e la manutenzione dei servizi ................................................ 31 13.8 Gestione degli eventi anomali, degli incidenti e della Business Continuity............................................. 33 13.9 Attività di verifica e controllo........................................................................................................................ 33 13.10 Deroghe ...................................................................................................................................................... 33 Allegato 5 – Piano di Qualità Pagina 3 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 1. Introduzione 1.1 Scopo del documento Il Piano di Qualità (PQ), ha il compito di disciplinare i rapporti contrattuali tra i Fornitori aggiudicatari della gara e Lombardia Informatica (LI) al fine di assicurare che il rapporto tecnico–organizzativo tra LI e i Fornitori, si svolga: coerentemente con il Codice degli Appalti ed il suo Regolamento di esecuzione ed attuazione (D.Lgs. 163/06 e D.P.R. 207/10); coerentemente con gli obiettivi contrattuali; in modo da soddisfare le aspettative del Cliente (Regione Lombardia); in modo da permettere il raggiungimento efficace ed efficiente di tali obiettivi. Assume particolare importanza in quanto l’esecuzione della fornitura relativa al contratto risulta essere un complesso insieme di attività manageriali, gestionali ed operative. Per questo motivo, nel PQ vengono raccolte ed elaborate tutte le informazioni necessarie ad assicurare il corretto svolgimento delle attività. Le informazioni relative alla Gestione della Fornitura delle singole macroclassi sono riportate nel Capitolato Tecnico e ad esse si fa riferimento per la comprensione: delle modalità operative di gestione, delle attività di verifica e monitoraggio, delle attivita di consegna dei prodotti della fornitura. 1.2 Campo di applicazione Il presente documento si applica a tutte le procedure di gara intraprese da LI per l’assegnazione di forniture relative alle macroclassi, Sviluppo, Manutenzione, Assistenza, Supporto al Demand Management, per la realizzazione dei servizi oggetto del perimetro del lotto di riferimento. Le macroclassi applicabili al contratto di ciascun lotto sono espressamente indicate nell’oggetto del contratto stesso. Le macroclassi sono contenute all’interno dei quattro Lotti ossia dei quattro contratti in cui è suddivisa la Gara. Si è optato per la redazione di un unico Piano della Qualità, al fine di rendere più agevole la consultazione. Le disposizioni in esso contenute, pertanto, saranno applicabili alla macroclasse di riferimento nel solo caso in cui quest ultima sia oggetto del Lotto di riferimento. 1.3 Riferimenti documentali Capitolati Tecnici e relativi Allegati. 1.4 Acronimi e definizioni Nelle due tabelle seguenti, vengono riportati l’elenco degli acronimi utilizzati all’interno del PQ e una lista di definizioni: Acronimo Descrizione CT Capitolato Tecnico DCO Diretore Centrale Operations di LI DEC Direttore dell’Esecuzione del Contratto di LI LdS Livello di Servizio LI Lombardia Informatica Allegato 5 – Piano di Qualità Pagina 4 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. LSG Livello di Servizio Generale LSS Livello di Servizio Specifico PE Pianificazione Esecutiva PG Piano Generale PIF Proposta di Fornitura PO Programmazione Operativa PQ Piano di Qualità PS Piano di Subentro per l’Intervento PTKH Piano di Trasferimento di Know How per l’intervento RdI Richiesta di Intervento Interna REFO Responsabile per l’ Esecuzione del FOrnitore ROI Referente Operativo dell’Intervento di LI ROG Referente Operativo Generale del contratto di LI ROFI Referente Operativo del Fornitore per l’Intervento RPE Responsabile del Procedimento della fase di Esecuzione di LI RTI Raggruppamento Temporaneo di Imprese RUP Responsabile Unico del Procedimento SAL Stato Avanzamento Lavori SCM Funzione Supply e Contract Management di LI SGF Strumenti di Gestione della Fornitura Definizione Descrizione Procedura che riporta e regolamenta l’oggetto ed il perimetro della fornitura entro cui il Fornitore è chiamato ad operare. Si intende un errore presente nel software, latente finché non rilevato. Le unità che si considerano Difetto come singoli difetti sono l’elemento funzione e l’elemento dato che sono inseriti nel sistema di (malfunzionamento) tracciamento dal Fornitore all’atto della risoluzione del malfunzionamento. Nel presente documento, il termine Fornitore è da intendersi sia come unico soggetto sia Fornitore nell’accezione più ampia di Raggruppamento Temporaneo d’Imprese (RTI). Intervento Insieme di attività richieste al Fornitore secondo quanto stabilito contrattualmente. Lotto Livelli di Servizio Macro classe di fornitura Modelli di erogazione della Fornitura Servizio Validazione Collaudo Rilascio Strumenti di Gestione della Fornitura Indicatori di qualità e relativi valori soglia che vengono applicati alle forniture oggetto del contratto/lotto. Gli LSG sono applicabili a tutti gli interventi. Gli LSS riguardando singole macro classi di fornitura e forniture immediate S: sviluppo M: manutenzione A: assistenza D: supporto al Demand Management Modello A: il Fornitore è responsabile dell’attività e il gruppo di lavoro è composto da risorse del Fornitore, coordinate da un proprio Referente che costituisce l’interfaccia unica verso il Referente di LI. Modello B: il Fornitore fornisce risorse con le conoscenze e le competenze indicate nei profili tipici delle classi di fornitura che andranno a realizzare servizi a integrazione dei gruppi di lavoro di LI. Ambito di attività aggregate coerentemente rispetto a definiti obiettivi delle Direzioni ed unità Organizzative Regionali. Attività di controllo effettuata da Lombardia Informatica sulle forniture erogate dal Fornitore. Attività di controllo effettuata da Regione Lombardia sulle forniture erogate da LI (ciclo attivo). Consegna da parte del Fornitore di uno o più output (esempio documenti, software, ecc.) Gli strumenti per la gestione della fornitura (SGF) supportano il processo di collaborazione tra LI ed il Fornitore per la pianificazione, l’esecuzione, la rilevazione dello stato ed il reporting delle attività dei contratti, dal punto di vista amministrativo ed operativo (Rif. Cap. 6 CT). Allegato 5 – Piano di Qualità Pagina 5 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 2. 2.1 Organizzazione del documento e modalità di gestione Organizzazione del documento Il PQ si articola in capitoli aventi il seguente contenuto: 1 - Introduzione Contiene le informazioni che servono a collocare il documento all’interno del contesto delle Forniture per le macroclassi di fornitura. In particolare, vengono fornite le informazioni relative allo scopo, al campo di applicazione, ai riferimenti documentali, agli acronimi e alle definizioni utilizzate all’interno del PQ. 2 - Organizzazione del documento e modalità di gestione In questo capitolo viene descritta la struttura del documento e le modalità della sua gestione in termini di revisione e di trasmissione tra LI e Fornitore. 3 - Organizzazione e ruoli Vengono fornite indicazioni relativamente ai ruoli e alle responsabilità di LI e del Fornitore coinvolti nella gestione dei contratti. 4 - Modalità di gestione del contratto In questo capitolo si illustrano le informazioni rilevanti per comprendere le modalità di gestione del contratto. In particolare, vengono riportati il ciclo di vita, le attività di controllo che su questo vengono svolte e la documentazione di riferimento. 5 - Modalità di gestione degli interventi Il capitolo descrive il ciclo di vita della gestione dell’intervento, dalla sua attivazione, alla verifica e controllo fino alla sua chiusura. 6 – Luogo, orario di lavoro e dotazioni Per ciascuna macro classe di fornitura, vengono riportati l’orario e il luogo di lavoro e le dotazioni previste. 7 - Livelli di Servizio Sulla base dei livelli di servizio definiti, vengono descritte le loro modalità di monitoraggio e di gestione. Per maggiori dettagli vedere allegato 1.3 PQ – Livelli di Servizio. 8 - Gestione dei Rilievi e delle penali Sono descritte le modalità di gestione di rilievi e penali conseguenti al mancato rispetto dei Livelli di Servizio definiti nell’allegato 1.3 PQ – Livelli di Servizio. Le penali vengono descritte nel Contratto. 9 - Gestione degli audit Vengono descritte le modalità di gestione delle verifiche ispettive che LI si riserva di effettuare presso il Fornitore, al fine di verificare l’applicazione, da parte del Fornitore stesso, di quanto previsto contrattualmente e dal PQ. 10 - Gestione delle Azioni correttive e preventive Vengono descritte le modalità di gestione delle azioni correttive e preventive da parte del Fornitore al fine di incidere sulle cause che generano o possono generare il verificarsi o il ripetersi di un problema. 11 - Gestione della configurazione Vengono descritte le linee guida di gestione della configurazione e fornite alcune indicazioni operative al Fornitore. 12 - Aspetti connessi alla Privacy (ex. D. Lgs. 196/03) Nel capitolo sono riportate le indicazioni specifiche da applicarsi al contratto in merito al rispetto della normativa in vigore ed eventuali evoluzioni per il trattamento dei dati personali. 13 - Gestione della Sicurezza delle Informazioni Allegato 5 – Piano di Qualità Pagina 6 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. Vengono descritte le regole e le modalità di gestione delle informazioni che il Fornitore dovrà osservare al fine di preservarne la riservatezza, la disponibilità e l’integrità. 2.1.1 Allegato al PQ Allegato 1 PQ – Livelli di Servizio: Descrive i Livelli di servizio applicabili al contratto 2.2 Modalità di gestione Il PQ è redatto da LI ed è parte integrante della documentazione contrattuale. La necessità di apportare modifiche al PQ può essere espressa sia da LI che dal Fornitore. Tali modifiche, concordate tra le parti, danno luogo ad una nuova emissione del documento, che dovrà essere approvato dal Responsabile del Contratto di LI e del Fornitore. 3. Organizzazione e ruoli 3.1 Organizzazione di LI La tabella seguente schematizza i ruoli di LI definiti per la gestione dei Lotti e degli interventi. Ruolo LI Responsabile del contratto Responsabilità LI E’ individuato all’interno dell’Alta Direzione di LI Responsabile del Procedimento della E’ individuato e nominato dal Presidente e si avvale del Direttore dell’Esecuzione del Contratto (DEC). fase di Esecuzione (RPE) È individuato nella Funzione Supply e Contract Management. Ai sensi del Regolamento di esecuzione ed attuazione dei contratti pubblici (D.P.R. 207/10), il DEC provvede al coordinamento, alla direzione ed al controllo tecnico-contabile dell’esecuzione del Direttore contratto stipulato dalla Stazione appaltante. Assicura la regolare esecuzione del contratto da parte dell’esecuzione del dell’esecutore, verificando che le attività e le prestazioni contrattuali siano eseguite in conformità ai contratto (DEC) documenti contrattuali. In particolare rappresenta il punto di contatto con i Fornitori aggiudicatari per la gestione complessiva del contratto, garantendo la sua regolare esecuzione. Referente Operativo Generale del contratto (ROG) Verifica l’andamento generale ed economico della fornitura ed eventuali modifiche al contratto. Definisce il Piano Generale avvalendosi delle strutture aziendali competenti e redige il verbale di chiusura del contratto. Referente Operativo dell’Intervento (ROI) Gestisce l’intervento di competenza dall’avvio delle attività alla loro chiusura monitorando l’andamento attraverso SAL Operativi periodici e gestendo eventuali criticità e azioni correttive. Informa il DEC in merito all’avanzamento dell’intervento. 3.2 Organizzazione del Fornitore Per l’espletamento delle attività amministrative e operative relative al Contratto, il Fornitore dovrà individuare e comunicare: un Responsabile del Contratto del Fornitore (RdCF) che si interfaccia con il Responsabile del Contratto di LI; un Responsabile per l’Esecuzione del Fornitore (REFO) che si interfaccia con il Responsabile del Procedimento della fase di Esecuzione di LI e con il DEC di LI; Allegato 5 – Piano di Qualità Pagina 7 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. un Referente Operativo del Fornitore per l’Intervento (ROFI) che si interfaccia con il Referente Operativo dell’Intervento di LI. Allegato 5 – Piano di Qualità Pagina 8 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 4. Modalità di gestione del contratto 4.1 Aspetti generali Ogni Lotto in cui è suddivisa la procedura di gara, rappresenta un contratto sottoscritto tra il Fornitore e la stazione appaltante e, tale contratto, ha un ciclo di vita che viene declinato secondo quanto previsto in questo documento. 4.2 Ciclo di vita del contratto 4.2.1 Affidamento L’affidamento di ogni lotto avverrà secondo quanto previsto dal “Disciplinare di gara” Con riferimento a ciascun contratto il Fornitore sarà chiamato a realizzare la fornitura attraverso formali richieste di intervento. 4.2.2 Verifiche e controlli I momenti di controllo e verifica sono costanti per tutta la durata della fornitura e garantiscono una visibilità completa e dettagliata dell’avanzamento delle attività. Le attività di verifica e controllo riguardano: verifica dell’andamento operativo della fornitura (SAL Operativo); verifica dell’andamento economico e generale del contratto con dettaglio sulle macro classi di fornitura (SAL Economico-Generale). Il dettaglio è riportato nella seguente tabella: Attività di verifica SAL OPERATIVO SAL ECONOMICO GENERALE Oggetto Uno o più interventi Macroclasse di fornitura e intero contratto Finalità Monitoraggio attività operative, controllo costi e attestazione di consegna dei rilasci, controllo della qualità della fornitura e del rispetto degli SLA definiti Verifica costi, consumi e andamento generale del contratto Attori ROI e omologhi referenti del Fornitore Frequenza - Interventi a Canone e a Misura di Risorse: Mensile - Interventi a Corpo e A Misura di Prodotto: a Milestone Output Verbale di SAL ed in ogni caso in funzione delle peculiarità degli interventi monitorati DEC, ROG e omologhi referenti del Fornitore Trimestrale o su richiesta di LI Verbale di SAL NOTE: Lombardia Informatica, inoltre, si riserva la facoltà di convocare incontri comuni tra LI e i Fornitori di più contratti in corso di esecuzione, al fine di affrontare aspetti e/o criticità comuni a diversi contratti di fornitura. Gli attori coinvolti saranno DEC, ROG, omologhi referenti del Fornitore ed eventuali altri referenti a seconda delle necessità. Allegato 5 – Piano di Qualità Pagina 9 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 4.2.3 Modifiche al contratto L’inserimento di un nuovo servizio all’interno del contratto avviene valutando la coerenza tra la tipologia di servizio richiesta, in termini di obiettivi, requisiti e contenuti, e il perimetro previsto per il contratto. La scelta compete al Direttore Demand il quale la sottopone alla verifica del ROG e all’approvazione di DEC, RPE e DCO di LI. Il nuovo servizio, pur non comportando la revisione formale del contratto, viene comunicato dal DEC al Fornitore ed aggiunto a quelli già presenti. 4.2.4 Chiusura La chiusura del contratto viene attestata dalla formalizzazione di un “Verbale di chiusura del contratto” verificato dal ROG e approvato dal DEC, RPE e DCO. Gli input documentali utilizzati per la redazione di tale documento sono quelli che attestano l’avvenuta chiusura dei singoli interventi attuati nell’ambito del contratto considerato (rif. Par. 5.2.4). Più precisamente: verbali di chiusura degli interventi; e, in caso di necessità: verbali di trasferimento Know How degli interventi; verbali di subentro degli interventi; verbali di SAL Operativi degli interventi. Nello schema seguente si illustra la chiusura del contratto: Documentazione di chiusura dell’Appalto Verbale di Subentro Intervento I1 Intervento I2 Intervento In Verbale SAL Operativo SAL1 SAL2 SALn Verbale Chiusura Intervento I1 Intervento I2 Intervento In Verbale Chiusura del Contratto Verbale di Trasf. Know How Intervento I1 Intervento I2 Intervento In 4.3 Piano Generale della Fornitura Per ciascun contratto LI predispone un Piano Generale della Fornitura (PG) che regola e specifica: Il perimetro del contratto e sue eventuali modifiche a seguito dell’evoluzione dei servizi (es. schede servizio, ambiti di assistenza o manutenzione, ecc.); vincoli o criticità da tener in considerazione per l’esecuzione del contratto (es. pianificazione regionale, vincoli normativi, ecc.); la stima della ripartizione dei tetti di spesa tra gli ambiti edi suddivisione d/oell le macroclassi di fornitura; eventuale necessità dell’utilizzo delle clausole di convertibilità (ove applicabile). Il PG costituisce il riferimento generale per verificare l’avanzamento delle attività e viene redatto annualmente (con orizzonte temporale riferito all’anno solare) e aggiornato semestralmente. Il Fornitore deve impegnarsi al rispetto del piano che, contestualizzato nel quadro più generale, consente il raggiungimento degli obiettivi di RL e di LI. Allegato 5 – Piano di Qualità Pagina 10 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 5. Modalità di gestione dell’intervento Aspetti generali dell’intervento 5.1 Nell’ambito di ogni singolo contratto, la fornitura prevede l’identificazione, la formalizzazione e successiva erogazione di “Interventi”, ovvero aggregazioni di attività coerenti tra di loro e attinenti a: prodotti/servizi, macroclassi di fornitura o raggruppamenti di prodotti/servizi e macroclassi opportunamente individuati. Gli interventi saranno caratterizzati dalle modalità contrattuali di gestione che ne delineeranno le caratteristiche in termini di attività, ruoli e responsabilità. La gestione del singolo intervento risponde a criteri logici riconducibili ad un flusso operativo che regolamenta le attività di: attivazione; verifica e controllo; modifica; chiusura; cancellazione/sospensione parziale o totale. dell’intervento. La gestione del ciclo di vita dell'intervento è supportata, in LI, dallo strumento Oracle Applications. Il Fornitore, per quanto di competenza, dovrà utilizzare tale strumento per le attività relative alla gestione dell'intervento secondo le indicazioni fornite da LI. Nel seguito si descrivono, in forma tabellare, le principali attività connesse al ciclo di vita dell’intervento, in carico a LI e al Fornitore. Ciclo di vita dell’intervento 5.2 5.2.1 Attivazione dell’intervento L’attivazione dell’intervento riguarda le attività formali e operative da espletare per l’avvio delle attività. Tali attività possono differire in termini di informazioni coinvolte in base ai vari modelli di erogazione della fornitura e modalità contrattuali. Nel caso in cui l’intervento sia già stato definito nel capitolato tecnico, su richiesta di SCM, il Fornitore è comunque tenuto a predisporre la Proposta di Fornitura. Resta inteso che, nel caso suddetto, quanto predisposto dal Fornitore, dovrà essere coerente con quanto previsto nell’offerta tecnica e nel capitolato. Responsabile A Corpo A misura di prodotto A Canone A misura risorse LI - Contrattazione preventiva; il ROI contatta il Fornitore presentando l’esigenza e condividendo informalmente i contenuti, il dimensionamento, tempi , deliverable, ecc.dell’intervento - NOTA: Per interventi complessi o di dimensioni importanti , SCM DEVE essere tempestivamente coinvolta nella fase di contrattazione preventiva con il Fornitore. LI - Definisce obiettivi, attività, requisiti e standard dell’intervento ed eventuali altri vincoli (ad esempio collaudi con RL, ecc.); - Definisce i vincoli temporali, principali rilasci, corrispettivi e misure (se richieste) per l’intervento; - Indica eventuali Livelli di Servizio specifici applicabili all’intervento fra quelli definiti contrattualmente); - Definisce le specifiche regole di dettaglio per il controllo di gestione dell’intervento, nel rispetto di quanto definito contrattualmente e nel PQ; - Ove necessario richiede la predisposizione del piano di Subentro e del piano di Trasferimento di Know How dell’intervento che sarà consegnato nelle fasi di chiusura dell’intervento. (**) - Identifica il Referente Operativo dell’intervento; - Consegna al Fornitore la necessaria documentazione in input per la predisposizione della Proposta di Fornitura e l’avvio delle attività Fornitore - Predispone la Proposta di Fornitura (PIF) e la trasmette al ROI Allegato 5 – Piano di Qualità Pagina 11 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. Responsabile A Corpo A misura di prodotto A Canone A misura risorse LI (ROI) - Redige la Richiesta di intervento corredata della PIF del Fornitore e la trasmette a SCM LI (SCM) - Verifica e valida la Richiesta di Intervento e la Proposta di Fornitura; LI (SCM) - Formalizza ed emette l’ordine (***). LI (ROI) - Avvia l’intervento predisponendo opportuno Verbale di Attivazione (**) LI si riserva di richiedere il Piano di Trasferimento Know How per l’intervento in qualsiasi momento durante la realizzazione dell’intervento stesso. (***) Più interventi potranno essere accorpati in uno stesso ordine. 5.2.2 Verifica e controlli dell’intervento Ciascun intervento, al fine di assicurare il raggiungimento degli obiettivi definiti nei tempi e modi concordati, dovrà prevedere opportuni controlli, che potranno differire in quantità e criteri in funzione della modalità contrattuale e dei modelli di erogazione della fornitura. In ogni caso i rilasci effettuati e/o i risultati generati nell’ambito della fornitura (evidenze, rapporti di consuntivazione, ecc.), saranno oggetto di validazione da parte di LI. Lo stato di avanzamento dell’intervento verrà esaminato in apposite riunioni (SAL Operativi), in cui verranno evidenziati eventuali scostamenti, criticità, anomalie, ecc. Tali riunioni avranno frequenza almeno mensile in caso di fornitura “A misura di risorse” o “A canone”, mentre per forniture “A corpo” o “A misura di prodotto” la frequenza sarà almeno in corrispondenza delle Milestone previste. LI (SCM) potrà richiedere l’esecuzione di SAL con frequenza maggiore, soprattutto in presenza di progetti complessi. Di seguito la mappatura dei controlli previsti. Responsabile Fornitore LI (ROI) Fornitore A Corpo A misura di prodotto A Canone Realizza quanto previsto nel Piano di Subentro dell’intervento Verbalizza la corretta e completa conclusione delle attività di Subentro Fornisce evidenza del raggiungimento di quanto previsto e pianificato LI (ROI) LI (ROI) Esegue il controllo dei LdS e comunica a SCM eventuali scostamenti - Consegna i rilasci previsti - Consegna le eventuali evidenze relative allo svolgimento del servizio LI (ROI) Verifica e valida quanto consegnato e segnala al Fornitore le eventuali Criticità LI (SCM) Segnala al Fornitore gli eventuali Rilievi e/o Penali Allegato 5 – Piano di Qualità Fornisce evidenza del consumo di risorse con fornitura dei consuntivi delle attività svolte Esegue controllo in termini di: - Avanzamento delle Esegue controllo in attività sulla base dei termini di: Function Points prodotti - Qualità della Esegue controllo in termini o altre unità di misura fornitura erogata in di: definite conformità ai - Giornate erogate - Qualità della fornitura requisiti - Qualità della fornitura erogata in conformità ai - Controllo dei livelli di erogata in conformità ai requisiti presidio presso le requisiti - Aggiornamento del aziende ed operatori dimensionamento (ove applicabili) dell’intervento se necessario Esegue controllo in termini di: - Avanzamento delle attività sulla base dei rilasci raggiunti fasi/funzionalità - Qualità della fornitura erogata in conformità ai requisiti - Aggiornamento del dimensionamento dell’intervento se necessario Fornitore A misura risorse - Consegna i rapporti di consuntivazione Pagina 12 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. Responsabile Fornitore A Corpo A misura di prodotto Controlla e chiude le Criticità LI (SCM) Controlla e chiude Rilievi e/o Penali LI Fornitore A misura risorse Gestisce Criticità, Rilievi, Penali LI (ROI) LI (ROI) A Canone Esegue validazione del rilascio consegnato, verbalizzando e dandone comunicazione a SCM Esegue validazione delle eventuali evidenze, verbalizzando e dandone comunicazione a SCM Esegue validazione dei rapporti di consuntivazione, verbalizzando e dandone comunicazione a SCM Effettua controlli amministrativi, tecnici e contrattuali finalizzati ad autorizzare l’emissione della fattura e il successivo pagamento. Emette fattura (*) (*) La fattura deve riportare il codice identificativo di autorizzazione alla fatturazione rilasciato da LI. 5.2.3 Modifica dell’intervento Nel corso dello svolgimento dell’intervento potranno subentrare situazioni tali da richiedere una modifica delle condizioni precedentemente concordate. LI, in accordo con il Fornitore, valuterà la necessità di attivare un nuovo intervento o di modificare l’intervento in essere in funzione degli impatti generati dalle nuove esigenze. In caso di modifica dell’intervento, LI e Fornitore devono formalizzare le decisioni assunte all’interno del verbale di SAL Operativo . 5.2.3.1 Prolungamento temporale dell’intervento Nel caso di un prolungamento temporale dell’intervento (es. per esaurire le risorse ingaggiate e non consumate, per giustificati ritardi – non imputabili al Fornitore - nella consegna di una fornitura a corpo), il ROI formalizza la richiesta di prolungamento a SCM che, in accordo col Fornitore, provvede a ratificare il prolungamento stesso. 5.2.4 Chiusura dell’intervento La chiusura dell’intervento prevede lo svolgimento di attività atte a formalizzare il raggiungimento degli obiettivi previsti; il seguente schema riassume tali attività in relazione ai modelli contrattuali e indipendentemente dalle macro classi e dei modelli di erogazione della fornitura: Responsabile Fornitore A Corpo A misura di prodotto A Canone A misura risorse - Fornisce evidenza di quanto realizzato e dell’attuazione di quanto pianificato (comprese le misurazioni del prodotto, ove previsto dal tipo di fornitura); - Fornisce il Piano di Trasferimento Know How per l’intervento, con congruo anticipo e comunque in tempo utile per lo svolgimento delle attività previste entro il termine contrattuale; LI (ROI) - Verifica Piano di Trasferimento Know How per l’intervento. LI (ROI) - Esegue accertamenti relativi a: - Completezza e coerenza ai requisiti degli output del rilascio pianificato (comprese le misurazioni del prodotto, ove previsto dal tipo di fornitura); - Termine con esito positivo di tutte le attività previste dall’intervento; - Espletamento di tutte le attività gestionali; - Correttezza della misura dell'intervento in Function Points (se “A misura di prodotto Mod. A”); - Segnala al Fornitore eventuali Criticità bloccanti per la chiusura dell’intervento (gestite secondo quanto definito al § 5.2.2); - Segnala a SCM eventuali rilievi e/o penali (gestite secondo quanto definito al § 5.2.2); Fornitore Realizza quanto previsto nel Piano di Trasferimento Know How dell’intervento. LI (ROI) Verifica e verbalizza la corretta e completa conclusione delle attività di Trasferimento Know How dell’intervento. LI (ROI) Redige il verbale di chiusura dell’intervento e lo trasmette a SCM LI Fornitore Effettua controlli amministrativi, tecnici e contrattuali finalizzati ad autorizzare l’emissione della fattura e il successivo pagamento. Emette fattura (*) (*)La fattura deve riportare il codice identificativo di autorizzazione alla fatturazione rilasciato da LI. Allegato 5 – Piano di Qualità Pagina 13 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. Quanto sopra descritto può essere schematizzato come nel disegno seguente: Verbale di Subentro Verbale SAL Operativo SAL1 SAL2 SALn Verbale di Chiusura Intervento Verbale di Trasferimento Know How 5.2.5 Cancellazione/sospensione parziale o totale dell’intervento Durante la durata del contratto, le attività pianificate possono subire sospensioni o essere interrotte per sopravvenute altre priorità o esigenze. Di conseguenza, interventi attivati ed in corso di svolgimento possono subire delle cancellazioni/sospensioni parziali o totali. Tali attività devono essere gestite in virtù degli impatti contrattuali che ne conseguono. Per ogni richiesta di cancellazione/sospensione dell’intervento è stabilita la seguente procedura operativa: SCM trasmette al Fornitore gli estremi della richiesta, indicando le motivazioni e la proposta di concordato; nel caso di cancellazione/sospensione totale o parziale dell’intervento in corso d’opera, al Fornitore verrà riconosciuto solo il lavoro effettivamente svolto, sulla base della percentuale di avanzamento lavori alla data di cancellazione/sospensione concordata con LI; il Responsabile del Contratto del Fornitore analizza la richiesta valutando la proposta di concordato e predispone opportuna documentazione a consuntivo delle attività svolte e dei prodotti consegnati e/o progettati; trasmette a SCM tale documentazione insieme alla valutazione sulla proposta di concordato; SCM, in collaborazione con il Referente Operativo dell’intervento di LI, valuta la documentazione e, in caso di accordo, formalizza la cancellazione/sospensione parziale o totale dell’intervento; In caso di sospensione, SCM può riattivare l’intervento sospeso tramite comunicazione formale al Fornitore. 5.2.6 Documenti di riferimento per l’intervento 5.2.6.1 Proposta di Fornitura Documento a carico del Fornitore, che dettaglia, ove applicabile: funzionalità dei servizi e/o dei sistemi che verranno realizzati; aspetti realizzativi della fornitura; le attività, le milestone/rilasci, i deliverables ed eventuali vincoli; tempi e impegno previsti; i corrispettivi economici associati; le risorse assegnate ed i relativi ruoli e profili professionali; il Fornitore dell’RTI che eseguirà l’intervento. Nel caso in cui l’intervento sia eseguito da più fornitori all’interno dell’RTI deve essere indicata la percentuale di assegnazione al singolo Fornitore; in caso di subappalto, deve essere indicato il subappaltatore il subappaltante e la quota di partecipazione alle attività dell’intervento; l'indicazione del Referente Operativo dell’Intervento da parte del Fornitore; quando previsto, per le macroclassi Sviluppo e Manutenzione, n° di function point e relativi fattori di correzione per ciascun rilascio parziale previsto dal Piano di Lavoro, secondo le modalità descritte nell’allegato 1.2 – Metodologia e linee guida di misura dei FP (Cap. 4); Piano di Subentro dell’intervento (ove richiesto da LI), specifica le attività organizzative e operative richieste e/o messe in atto dal Fornitore per prendere in carico le attività incluse nella richiesta di intervento; Piano di Lavoro: Allegato 5 – Piano di Qualità Pagina 14 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. costituisce lo strumento di riferimento per verificare l’avanzamento delle attività degli interventi in termini di attuazione, tempi e costi e per evidenziare scostamenti e ripianificazioni; o stabilisce, nell’ambito del processo di fatturazione, i rapporti fra milestone/rilasci, deliverable previsti e corrispettivi associati; o costituisce il riferimento per la misurazione di livelli di servizio che prevedono in input dati legati alla pianificazione, all’avanzamento, alle milestone, ecc. altri elementi richiesti per il particolare intervento. o 5.2.6.2 Piano di Subentro dell’intervento Il Piano potrà essere richiesto al Fornitore per disciplinare l’inizio delle attività in subentro sui servizi in essere. Pertanto, il piano dovrà riportare le modalità di gestione del subentro e la definizione delle attività, la relativa pianificazione e le stime di impegno previste per le attività di subentro iniziale. Se previsto nel Piano di Subentro, Il Fornitore potrà usufruire di addestramento per un periodo massimo di 2 mesi per ogni intervento, al fine di permettere al proprio personale la presa in carico delle attività di fornitura. Le modalità di fruizione e la relativa pianificazione di tale addestramento dovranno essere concordate con LI, anche sulla base delle proposte che il Fornitore potrà fare in sede di offerta. LI garantirà la presenza di personale esperto, che potrà essere sia di LI stessa che di terzi da essa designati. LI si riserva, a conclusione del periodo previsto di addestramento, di valutare la necessità di prolungare ulteriormente il periodo di addestramento. Durante le attività di addestramento la responsabilità delle operazioni continuerà ad essere in capo a LI o all’eventuale Fornitore uscente. Per tutto il periodo di affiancamento di inizio fornitura, il Fornitore non percepirà alcun corrispettivo per le attività e i servizi oggetto della presa in carico. 5.2.6.3 Piano di Trasferimento Know How dell’intervento Il Piano di Trasferimento di Know How dell’Intervento, documento a carico del Fornitore, specifica le attività organizzative e operative richieste e/o messe in atto dal Fornitore al fine di garantire il completo passaggio di conoscenze (di contesto, amministrative, organizzative, funzionali e tecniche) e dei prodotti legati alla realizzazione dell’intervento a LI o a terzi designati da LI. LI potrà richiedere il Piano di Trasferimento all’attivazione o in qualsiasi momento durante la realizzazione dell’intervento, considerando che il Fornitore dovrà definire tale Piano con congruo anticipo e comunque in tempo utile per lo svolgimento delle attività previste entro il termine contrattuale. 5.2.6.4 Verbale di SAL Operativo Il Verbale di SAL Operativo, documento a carico del ROI, sintetizza per l’intervento oggetto di verifica: le attività svolte; le consegne effettuate (descrivendo sommariamente la consegna); il consumo delle risorse (per le tipologie di intervento a misura di risorse o a canone); la valutazione della qualità della fornitura, compresa la valutazione sul rispetto dei Livelli di Servizio applicabili; le criticità riscontrate; le azioni concordate per la risoluzione delle criticità. La firma del documento, apposta elettronicamente dal ROI e dall’Omologo del Fornitore, attesta la piena condivisione da parte di entrambi dei contenuti riportati nel verbale e, salvo esplicita dichiarazione, costituisce formale validazione delle consegne descritte nel documento. LI si riserva la facoltà di accettare eccezionalmente documenti firmati in cartaceo. 5.2.7 Responsabilità e modalità di trasmissione dei documenti dell’intervento Di seguito, i documenti legati all’intervento, le responsabilità connesse e le modalità di trasmissione: Documentazione Proposta di Fornitura (PIF) Allegato 5 – Piano di Qualità Responsabilità Fornitore Formato del documento Elettronico Modalità di trasmissione Sistema di gestione documentale o in alternativa e Pagina 15 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. Documentazione Formato del documento Responsabilità Modalità di trasmissione mail su richiesta di LI Ordine SCM Elettronico Verbale di Attivazione dell’Intervento ROI Elettronico firmato digitalmente Verbale di Subentro ROI Elettronico firmato digitalmente Verbale SAL Operativo ROI Elettronico firmato digitalmente Piano di Subentro dell’intervento Fornitore Elettronico Fornitore Elettronico ROI Elettronico firmato digitalmente Verbale di chiusura dell’intervento ROI Elettronico firmato digitalmente Documentazione rilievi e penali Rif. Cap. 8 Piano di Trasferimento Know How dell’intervento Verbale di Trasferimento Know How PEC Sistema di gestione documentale o in alternativa e mail su richiesta di LI Sistema di gestione documentale o in alternativa e mail su richiesta di LI Sistema di gestione documentale o in alternativa e mail su richiesta di LI Sistema di gestione documentale o in alternativa e mail su richiesta di LI Sistema di gestione documentale o in alternativa e mail su richiesta di LI Sistema di gestione documentale o in alternativa e mail su richiesta di LI 6. Luogo, orario di lavoro e dotazioni 6.1 Luogo di lavoro Per ogni macro classe di fornitura l’attività potrà essere svolta: Presso la sede di LI (via T. Taramelli 26); Presso la sede del Fornitore; Presso le sedi degli utenti del territorio regionale (es: Regione Lombardia, comuni, enti del Sistema Regionale altri enti locali, ASL, Enti Erogatori Pubblici e Privati, etc.) Nel seguito vengono fornite delle indicazioni di massima per macroclasse di fornitura. Ulteriori dettagli potranno essere forniti all’interno della documentazione relativa ai singoli lotti. 6.1.1 Sviluppo e Manutenzione L’attività sarà svolta prevalentemente presso le sedi del Fornitore. Relativamente alle eventuali spese di trasferta, saranno rimborsate le trasferte effettuate al di fuori dei luoghi di lavoro sopra indicati (rif. §6.1). Tali trasferte si prevedono in modo occasionale. E’ a carico del Fornitore dotarsi degli ambienti di sviluppo/test che risulteranno necessari per svolgere in autonomia le attività affidate. In tali ambienti non potranno essere trattati dati personali (comuni, sensibili e giudiziari), a meno di autorizzazioni motivate e documentate nel rispetto delle procedure di LI. LI permetterà il collegamento ai propri ambienti di sviluppo e al sistema di gestione della configurazione secondo le policy di sicurezza aziendale (rif. Cap. 13). Resta a carico del Fornitore l’onere economico, la predisposizione ed il dimensionamento del collegamento telematico tra le sue sedi e la rete di LI (rif. Cap. 13). Non è prevista l’installazione presso le sedi di LI di server di proprietà del Fornitore. Si precisa che, su indicazione di LI, il Fornitore dovrà approvvigionarsi di eventuali prodotti software, diversi da quelli in uso al momento della stipula del contratto, che dovessero rendersi necessari per l’esecuzione delle attività. Allegato 5 – Piano di Qualità Pagina 16 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 6.1.2 Assistenza L’attività sarà svolta prevalentemente presso le sedi di LI e del Fornitore. Relativamente alle eventuali spese di trasferta, saranno rimborsate le trasferte effettuate al di fuori dei luoghi di lavoro sopra indicati (rif. paragrafo 6.1). Tali trasferte si prevedono in modo occasionale. In casi limitati, potranno essere richieste trasferte a livello nazionale ed europeo (a carico di LI). LI permetterà il collegamento ai propri ambienti di produzione secondo le policy di sicurezza aziendale (rif. Cap. 13). Resta a carico del Fornitore l’onere economico, la predisposizione ed il dimensionamento del collegamento telematico tra le sue sedi e la rete di LI (rif. Cap. 13). 6.1.3 Supporto al Demand Management L’attività sarà svolta prevalentemente presso le sedi di LI, con possibili spostamenti sul territorio lombardo. Relativamente alle eventuali spese di trasferta, saranno rimborsate le trasferte effettuate al di fuori dei luoghi di lavoro sopra indicati (rif. paragrafo 6.1). Tali trasferte si prevedono in modo occasionale. In casi limitati, potranno essere richieste trasferte a livello nazionale ed europeo (a carico di LI). 6.2 Orario di lavoro L’orario di lavoro, salvo diversamente specificato, prevede l’erogazione di 8 ore di servizio con una flessibilità oraria dalle 8.30 alle 19.00, in funzione anche delle esigenze del cliente. Di seguito alcune indicazioni di massima per ciascuna macroclasse di fornitura. Ulteriori dettagli potranno essere forniti all’interno della documentazione relativa ai singoli lotti. 6.2.1 Sviluppo Le attività sono di norma svolte durante il normale orario di lavoro. Tuttavia, è possibile prevedere, per esempio in caso di passaggi in produzione, lavoro notturno o festivo. 6.2.2 Manutenzione La copertura delle classi di Manutenzione Adeguativa e piccola MEV deve essere garantita durante il normale orario di lavoro. La copertura della classe di Manutenzione Correttiva deve essere garantita su indicazione di LI, ed in relazione al servizio funzionale oggetto della presente procedura, nei giorni lavorativi dal lunedì al venerdì oppure dal lunedì al sabato dalle 8:30 – 18.00. L’orario di lavoro sarà specificato nella RdI per ciascun ambito di manutenzione. Il servizio dovrà essere assicurato durante l’orario specificato senza interruzioni. L’orario di servizio potrà essere modificato su richiesta di LI e recepito nel Piano di Qualità e nel Piano Generale della Fornitura in funzione di specifiche esigenze dell’area applicativa. Limitatamente ad alcuni servizi, che verranno puntualmente indicati per ogni contratto, per la manutenzione correttiva e per alcune categorie di malfunzionamento, dovrà essere assicurata la copertura totale delle 24 ore giornaliere, tramite servizio di reperibilità, attraverso chiamata telefonica. La reperibilità deve essere garantita in tutti i giorni dell’anno, compresi i festivi (salvo diverse indicazioni di LI), e consiste nel: rispondere alle eventuali chiamate; intervenire da remoto utilizzando gli strumenti opportuni, in accordo alle policy di sicurezza di LI; intervenire, quando richiesto, presso le sedi di LI o le sede degli utenti (come previsto nel paragrafo 6.1) entro un’ora dalla chiamata, o altro termine di volta in volta definito nei contratti, e comunque non appena possibile. La prestazione deve essere erogata dalle stesse risorse che eseguono le attività nel normale orario di servizio. Il Fornitore deve garantire la disponibilità del proprio personale coinvolto durante le attività organizzate da LI per l’esecuzione di test di Business Continuity e Disaster Recovery Plan. Inoltre il Fornitore deve garantire la disponibilità del proprio personale coinvolto durante situazioni di crisi non programmate che si dovessero verificare. In tali evenienze il Fornitore collabora con le strutture di LI in applicazione delle procedure definite. Allegato 5 – Piano di Qualità Pagina 17 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 6.2.3 Assistenza Salvo diversamente indicato, l’orario di lavoro per gli ambiti di Assistenza è 08.00 – 18.00. Inoltre devono essere previste, ove applicabili, anche le seguenti modalità: Reperibilità settimanale (compresi notturni/festivi); Lavoro notturno/festivo; Turni di lavoro (es. Help/Desk). Limitatamente ad alcuni servizi, che verranno puntualmente indicati per ogni contratto, per l’Assistenza dovrà essere assicurata la copertura totale delle 24 ore giornaliere, tramite servizio di reperibilità, attivato attraverso chiamata telefonica. La reperibilità deve essere garantita in tutti i giorni dell’anno, compresi i festivi (salvo diverse indicazioni di LI), e consiste nel: rispondere alle eventuali chiamate; intervenire da remoto utilizzando gli strumenti opportuni, in accordo alle policy di sicurezza di LI; intervenire, quando richiesto, presso le sedi di LI o le sede degli utenti entro un’ora dalla chiamata, o altro termine di volta in volta definito, e comunque non appena possibile. La prestazione deve essere erogata dalle stesse risorse che eseguono le attività nel normale orario di servizio. Il Fornitore deve garantire la disponibilità del proprio personale coinvolto durante le attività organizzate da LI per l’esecuzione di test di Business Continuity e Disaster Recovery Plan. Inoltre il Fornitore deve garantire la disponibilità del proprio personale coinvolto durante situazioni di crisi non programmate che si dovessero verificare. In tali evenienze il Fornitore collabora con le strutture di LI in applicazione delle procedure definite. 6.2.4 Supporto al Demand Management Le attività sono di norma svolte durante il normale orario di lavoro. 6.3 Integrazioni e specifiche Quando ritenuto necessario, a integrazione/specificazione di quanto sopra definito, nel singolo contratto e/o a livello di Richiesta di Intervento verranno fornite da LI ulteriori specificazioni riguardo alla sede di riferimento, orari e dotazioni. Per i servizi, a seconda delle esigenze, potranno essere dettagliate le caratteristiche richieste come specificato nella seguente tabella esemplificativa (non esaustiva): Caratteristiche del servizio – Assistenza Funzionale Ambito AF-3-01 Giorni di copertura Orario del servizio Reperibilità (annuale) Lun-Sab 7:30-20:00 - Straordinari notturni /festivi (annuale) % gg trasferta (annuale) 20 GGPP Di seguito alcune precisazioni. Ambito: Per Ambito si intende un raggruppamento omogeneo di servizi/prodotti/attività dal punto di vista dell’organizzazione e delle modalità di erogazione del servizio; Orario del servizio: Per la macroclasse Manutenzione è inteso come l’intervallo di tempo in cui devono essere prese in carico le segnalazioni di malfunzionamento. La risoluzione delle segnalazioni di malfunzionamenti software deve essere assicurata nei tempi previsti nei livelli di servizio (rif. LSS-MAC1) e si precisa che, per i casi di categoria 1 e 2, il tempo di risoluzione viene calcolato a partire dall’ora della segnalazione senza soluzione di continuità. Per esempio: o orario del servizio: Allegato 5 – Piano di Qualità 7.30 – 20.00 Pagina 18 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. o o o segnalazione di gravità 1: tempo di risoluzione: risoluzione: 19.30 4 ore entro le 23.30 Per i casi di gravità 3 e 4 il tempo di risoluzione viene calcolato durante l’orario di servizio, anche nel caso in cui sia prevista la reperibilità. Per la macroclasse Assistenza è inteso come l’orario di erogazione del servizio. Si precisa che il tempo di risoluzione del ticket deve rispettare i livelli di servizio (rif. LSS-AS2) e viene calcolato negli orari di servizio, indipendentemente dalla gravità della segnalazione. Sono esclusi dal conteggio dei tempi di risoluzione: o o l’indisponibilità degli utenti a far effettuare l’intervento; i disservizi di tipo generalizzato che comportino interventi sull’infrastruttura e/o sul SW applicativo. Reperibilità: copertura oltre l’orario del servizio; consiste nel: 1) rispondere alle eventuali chiamate; 2) intervenire da remoto utilizzando gli strumenti opportuni, in accordo alle policy di sicurezza di LI; 3) intervenire, quando richiesto, presso le sedi di LI o la sede degli utenti (come previsto nel paragrafo 5.3 del CT) entro un’ora dalla chiamata, o altro termine di volta in volta definito nel contratto, e comunque non appena possibile. La prestazione deve essere erogata dalle stesse risorse che eseguono le attività nel normale orario di servizio. La reperibilità può essere richiesta tutti i giorni dell’anno compresi i festivi, e verrà indicata come 7x24, oppure per il numero di giorni annuali indicati e richiesta con 4 gg lavorativi in anticipo (es. passaggio in esercizio). Quando richiesta la reperibilità, le segnalazioni di malfunzionamenti devono essere prese in carico anche oltre l’orario di servizio; 6.4 Straordinari Notturni/Festivi: giorni annuali previsti per attività straordinarie da svolgere nei giorni festivi/notturni, che saranno richiesti con 4 gg lavorativi di anticipo (es. rilascio in produzione, test, eventi o manifestazioni sul territorio, …). Dotazioni di lavoro Tutte le risorse professionali dovranno essere dotate, se non diversamente specificato, di telefono cellulare e di un proprio PC portatile, corredato dei software necessari per l’erogazione della fornitura, compreso un antivirus aggiornato. In caso di svolgimento delle attività presso le sedi di LI valgono le seguenti regole: i posti di lavoro saranno attrezzati a carico del Fornitore con proprie stazioni di lavoro (PC portatili) dotate del relativo software di base, dei programmi antivirus e degli strumenti software necessari all’esecuzione dei servizi contrattuali, come ad esempio prodotti per lo sviluppo di software applicativo; LI metterà a disposizione locali idonei ad accogliere gruppi di lavoro, dotati della normale attrezzatura di ufficio e cablati per i collegamenti necessari; LI si riserva di ridurre in corso d’opera la disponibilità dei posti di lavoro non attrezzati presso le proprie sedi, dandone comunicazione al Fornitore con almeno 15 giorni solari di anticipo; non è permesso al Fornitore utilizzare contemporaneamente le stazioni di lavoro per il collegamento alla rete di LI e remotamente attraverso apparati propri di comunicazione. In caso di svolgimento delle attività presso la sede del Fornitore, questo dovrà riservare a LI almeno un posto di lavoro attrezzato. LI si riserva di richiedere l’installazione di proprie postazioni presso la sede del Fornitore per lo svolgimento delle attività. In tali circostanze saranno trasmesse al Fornitore le regole di corretto utilizzo e gestione. Nel caso di attività che richiedano spostamenti sul territorio lombardo, il Fornitore dovrà dotarsi di mezzi di trasporto propri. Allegato 5 – Piano di Qualità Pagina 19 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 7. Livelli di servizio Come definito all’interno del CT, i Livelli di Servizio (LdS) sono indicatori di qualità che vengono applicati alle forniture oggetto dei contrati. Il Fornitore si impegna al rispetto dei LdS valevoli per il contratto. I livelli di servizio sono suddivisi in tre categorie: 1. Livelli di Servizio Generali (LSG) della Fornitura. Questi Livelli di servizio si intendono sempre applicabili ad ogni intervento. Questi livelli di servizio sono applicabili a tutti i lotti; 2. Livelli di Servizio Specifici (LSS) per macro classi di fornitura. Questi livelli di servizio sono applicabili ai lotti 3 e 4; 3. Livelli di Servizio Specifici (LSS) applicabili alle forniture immediate, previste per i diversi lotti. Questi livelli di servizio sono applicabili ai lotti ai quali si riferiscono. Per gli Interventi ad assegnazione immediata, i LSS sono specificati all’interno dell’allegato 1.3 - Livelli di Servizio del presente documento. 7.1 Monitoraggio e verifica dei livelli di servizio Il monitoraggio e la verifica dei livelli di servizio consente un giudizio sull’andamento della fornitura, basato su una valutazione oggettiva di quanto effettivamente erogato dal Fornitore, attraverso la rilevazione delle misure previste e concordate e il confronto con quelle attese secondo criteri e modalità definite. I livelli di servizio traducono le attese qualitative in obiettivi quantitativi misurabili, sulla base dei quali è possibile verificare il rispetto delle clausole contrattuali ed in particolare dei livelli di qualità pattuiti. Le attività di monitoraggio e verifica dei livelli di servizio si caratterizzano in funzione: degli obiettivi che ci si prefigge di raggiungere; dell’architettura, del livello di complessità e della dimensione del sistema da implementare; del numero e tipologia dei livelli di servizio e, indirettamente, dei servizi erogati; dei vincoli e requisiti organizzativi; delle relazioni con le altre forniture; di standard e norme di riferimento. Il mancato rispetto dei LdS stabiliti, ovvero il superamento dei valori soglia, viene considerato un inadempimento contrattuale e crea le condizioni per la notifica di rilievi o penali formali al Fornitore. Il cumularsi dei rilievi dà luogo all’applicazione di una specifica penale (nei limiti stabiliti dal Contratto). I dettagli relativi ai livelli di servizio, in particolare l’associazione agli stessi di rilievi o di penali, nonché le soglie applicabili e le metriche, sono descritti nell’allegato 1.3 al PQ, mentre i dettagli relativi alla modalità di gestione dei rilievi e delle penali sono descritte nel capitolo 8 del presente documento e nel Contratto. 8. Gestione dei rilievi e delle penali 8.1 Verifica dei livelli di servizio e rilevazione del rilievo/penale Il Referente Operativo dell’Intervento di LI (ROI), è responsabile della verifica degli indicatori di qualità e dei relativi valori di soglia dei singoli interventi di competenza oggetto del contratto. In seguito alla rilevazione del superamento dei valori di soglia, da parte del ROI, si creano le condizioni per l’applicazione di azioni contrattuali consistenti in rilievi e/o penali (rif Contratto e allegato del PQ 1.3 “Livelli di Servizio”). 8.2 Verifica legale/tecnica e notifica al Fornitore SCM verifica le condizioni per l’applicazione del rilievo e/o della penale e nel caso in cui vi fossero le condizioni provvede a notificare il rilievo e/o la penale al Fornitore. Allegato 5 – Piano di Qualità Pagina 20 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 8.3 Gestione del rilievo/penale La gestione dei rilievi e delle penali, sarà eseguita coerentemente a quanto definito nel Contratto ed eventualmente nel contratto. L’interfaccia del Fornitore per le comunicazioni relative alla gestione dei rilievi e delle penali è SCM. Il Fornitore ricevuta la notifica (rif. §8.2) provvede all’esecuzione della penale, ovvero all’implementazione delle azioni correttive e/o al pagamento della sanzione, secondo quanto previsto dal Contratto. 8.4 Chiusura e notifica del rilievo/penale SCM, verificata l’esecuzione delle attività previste contrattualmente, chiude il rilievo/penale e provvede a notificarne la chiusura al Fornitore. Nel caso in cui la valutazione dell’efficacia di quanto eseguito dal Fornitore non dia esito positivo, LI valuta ulteriori azioni nei confronti del Fornitore. 8.5 Documentazione relativa ai rilievi/penali La tabella seguente riporta i documenti relativi alla gestione dei rilievi e penali e le modalità di trasmissione. Documento Funzione mittente Funzione ricevente Formato del documento Modalità di trasmissione Notifica Rilievo/Penale SCM ROFI Elettronico PEC Notifica chiusura rilievo/penale SCM ROFI Elettronico PEC 9. Gestione degli audit LI si riserva la facoltà di effettuare audit presso i propri Fornitori in riferimento ai singoli contratti. Tali audit saranno finalizzati a monitorare e verificare che le attività e/o i processi siano svolti dal Fornitore nel rispetto di quanto definito a livello contrattuale e di quanto previsto dal Piano di Qualità, ed in particolare rispetto ai requisiti di Privacy e Sicurezza delle Informazioni espressi nei capitoli 12 e 13. 9.1 Programmazione e comunicazione dell’audit SCM con il supporto delle strutture competenti, in funzione di specifiche esigenze, predispone il programma di audit ed identifica le eventuali competenze interne di supporto necessarie all’effettuazione della verifica ispettiva. Definito ed approvato il programma da parte del Responsabile del Contratto di LI, SCM si occupa dell’invio dello stesso al Fornitore. 9.2 Esecuzione dell’audit SCM provvede ad organizzare l’audit, predisponendo eventuali check list di supporto, e si accorda con il Fornitore in merito alla data di svolgimento delle verifiche ispettive. SCM, con il supporto delle funzioni competenti di LI, esegue la verifica ispettiva e a conclusione della stessa redige il verbale di verifica annotando eventuali anomalie riscontrate. Allegato 5 – Piano di Qualità Pagina 21 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 9.3 Definizione e proposta delle azioni derivanti dall’audit Il verbale di verifica viene inviato da SCM al Fornitore affinché questi, in conseguenza di eventuali non conformità rilevate, ne individui le cause, definisca tempi e modi delle azioni da intraprendere; il Fornitore provvede successivamente ad inviare le proposte delle azioni correttive a SCM per verifica e approvazione. 9.4 Valutazione delle azioni proposte SCM, ricevuta la proposta delle azioni correttive che il Fornitore intende porre in essere, con il supporto delle funzioni competenti di LI, ne valuta il contenuto e le tempistiche e se accettati comunica l’esito positivo della valutazione al Fornitore. Nel caso in cui SCM non valuti positivamente le azioni proposte dal Fornitore, lo comunica al Fornitore stesso affinché questi possa proporne altre. 9.5 Attuazione delle azioni proposte Ricevuta l’approvazione da parte di SCM, il Fornitore implementa le azioni con le modalità concordate e nei tempi stabiliti. 9.6 Valutazione dell’efficacia delle azioni attuate Ad azioni ultimate, SCM, con il supporto delle strutture di LI coinvolte per competenza, ne verifica l’efficacia, accertandosi che tali azioni abbiano rimosso le cause che hanno portato al manifestarsi delle non conformità rilevate. Nel caso in cui la verifica non dia esito positivo, il Fornitore, su richiesta di SCM, redige nuove azioni e le sottopone nuovamente a SCM per verifica e approvazione. 9.7 Chiusura delle azioni attuate Verificata positivamente l’efficacia delle azioni, SCM redige il verbale di chiusura e lo invia al Fornitore 9.8 Documentazione relativa agli audit La tabella seguente riporta i documenti relativi alla gestione degli audit e le modalità di trasmissione. Documento Funzione mittente Funzione ricevente Formato del documento Modalità di trasmissione Programma di Audit SCM REFO Elettronico PEC Verbale di verifica SCM REFO Elettronico PEC REFO SCM Elettronico PEC SCM REFO Elettronico PEC Azioni Correttive condivise Verbale di chiusura azioni Allegato 5 – Piano di Qualità Pagina 22 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 10. Gestione delle azioni correttive e preventive LI si riserva la facoltà di richiedere al Fornitore la definizione di azioni correttive o preventive, ad esempio in relazione ad eventi notificati in sede di monitoraggio della fornitura o di gestione dei rilievi e penali, al fine di incidere sulle cause che hanno generato l’evento notificato ed evitare il ripetersi o il verificarsi di un problema. Di seguito si riportano le attività relative alla gestione delle Azioni Correttive/Preventive: LI richiede la definizione di azioni correttive/preventive; Fornitore propone l’azione; SCM e per competenza il ROG o il Referente Operativo di LI, in funzione della tipologia di azione e/o dell’evento notificato e del contesto, valutano l’azione e la accettano, tracciandone gli estremi; Fornitore attua quanto definito dando evidenza di quanto posto in essere; SCM e il ROG o il Referente Operativo di LI valutano l’efficacia della soluzione adottata e chiudono l’azione; SCM comunica al Fornitore la chiusura dell’azione. 11. Gestione della configurazione Nell’ambito di ogni contratto, al Fornitore è richiesta la conoscenza di tutti i prodotti utilizzati da LI per la gestione della configurazione (cfr. capitolo 6 del CT “ Strumenti per la Gestione della Fornitura” e Allegato 1.4 – Cicli di vita del software) in quanto saranno utilizzati dal Fornitore stesso per le attività di propria competenza. Il Fornitore dovrà adeguare le proprie conoscenze nel caso LI decida l’utilizzo di prodotti differenti nel corso della durata contrattuale. Il Fornitore, dovrà garantire la continua alimentazione del repository del sistema di gestione della configurazione, per tutte le componenti software costituenti il sistema, senza alcun onere aggiuntivo per LI nel momento in cui LI metterà a disposizione l’ambiente di Configuration management. Tale attività dovrà essere garantita per tutto il software sviluppato e manutenuto nel corso della fornitura. Nel caso di applicazioni che richiedano procedure di compilazione e/o deploy su ambienti esecutivi (a titolo esemplificativo e non esaustivo: sistemi su piattaforma JAVA, sistemi con componenti Java, etc.) il Fornitore ad inizio e nel corso della fornitura dovrà produrre, come parte del rilascio, le procedure di compilazione e distribuzione in accordo con i prodotti ed i compilatori previsti dal sistema gestione della configurazione di LI e garantirne la loro manutenzione. Allegato 5 – Piano di Qualità Pagina 23 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 12. Aspetti connessi alla privacy (ex D.Lgs 196/03) Il D.Lgs. 196/03 (Codice in Materia di Protezione dei dati personali, di seguito il Codice), entrato in vigore il 1° gennaio 2004 e s.m.i., si propone di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. Con “trattamento dei dati personali” s’intende qualunque operazione (ad es: consultazione, elaborazione, conservazione, ecc.) svolta con o senza l’ausilio di mezzi elettronici riguardante dati concernenti persone fisiche. 12.1 Misure di sicurezza Il Codice definisce un insieme di misure minime (artt. 33, 34, 35, D.Lgs. 196/03) che devono essere applicate con lo scopo di assicurare un livello minimo di protezione dei dati personali. Il Codice prevede (art. 31, D.Lgs. 196/03), inoltre, la definizione di un insieme di misure idonee, più ampie e legate all’innovazione ed al progresso tecnologico, la cui implementazione consente di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di raccolta. Oltre all’applicazione delle misure di sicurezza, il trattamento dei dati personali, da parte del Fornitore o subfornitore, dovrà sempre ispirarsi al rispetto dei principi generali del Codice e quindi avvenire in modo lecito e secondo correttezza, valutando la pertinenza, la completezza e la non eccedenza dei dati rispetto alle finalità dei trattamenti in funzione delle attività assegnate. In particolare, si evidenzia il principio di necessità (art.3) che prevede che gli strumenti elettronici siano configurati in modo da ridurre al minimo l’utilizzo di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite possano essere realizzate mediante altri strumenti quali dati anonimi o altre modalità che permettano di identificare l’interessato solo in caso di necessità. L’evoluzione della normativa sulla privacy, mediante la pubblicazione di provvedimenti, regolamenti, ecc. ad hoc da parte dell’Autorità Garante, ha richiesto e potrebbe richiedere in futuro, l’implementazione di misure di sicurezza ulteriori rispetto a quanto già contemplato nel già citato Codice. Si chiede quindi al Fornitore di considerare e applicare ogni ulteriore misura che potrà derivare dall’evoluzione normativa. Il Fornitore deve garantire e monitorare l’applicazione delle prescrizioni di seguito descritte anche da parte degli eventuali suoi subfornitori anche attraverso attività di audit. Nel prosieguo con il termine “Fornitore” si intende sia il Fornitore che i suoi eventuali Subfornitori. Di seguito sono riassunte, organizzate in classi omogenee, le misure minime di sicurezza di carattere fisico, logico ed organizzativo richieste dal legislatore nell’allegato B del D.Lgs. 196/03 (per ogni classe vengono riportati i riferimenti ai punti dell’Allegato B). Identificazione degli utenti [1, 2, 3, 6] Gli strumenti elettronici utilizzati per il trattamento di dati personali devono prevedere una procedura di autenticazione, che richieda la definizione di credenziali di autenticazione costituite da un codice identificativo e da una password oppure da un dispositivo di autenticazione eventualmente associato ad un codice identificativo o ad una password, oppure da una caratteristica biometrica. Ciascun utente può essere dotato di più credenziali di autenticazione, ognuna delle quali deve essere associata e riconducibile ad un singolo utente, in modo tale da garantire che la stessa utenza non venga assegnata ad un’altra persona, nemmeno in tempi futuri. Frequenza di cambio password [5, 7, 8] La password utilizzata per accedere agli strumenti elettronici per il trattamento di dati personali deve essere modificata dall’utente in modo autonomo dopo il primo accesso e successivamente almeno ogni 6 mesi per i dati personali-comuni e ogni 3 mesi nel caso di trattamento dati personali-sensibili/giudiziari. Inoltre, nel caso in cui un utente perda le qualità per accedere ai dati oppure non acceda al sistema per un periodo superiore a 6 mesi, le corrispondenti credenziali non devono essere cancellate, bensì disabilitate. Composizione delle password [5] Allegato 5 – Piano di Qualità Pagina 24 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. La password deve avere una lunghezza di almeno 8 caratteri oppure, laddove non sia possibile, il massimo consentito, deve inoltre essere non banale e non deve contenere riferimenti agevolmente riconducibili all’incaricato (nome, cognome, data di nascita, ...) e deve essere composta da caratteri alfanumerici. Politiche di controllo degli accessi [4, 9, 10, 12, 13, 14, 15] Agli utenti devono essere impartite opportune regole volte ad assicurare sia la segretezza della password e la diligente custodia dei dispositivi in possesso dell’utente, sia il corretto utilizzo degli strumenti elettronici e dei locali utilizzati per il trattamento (screensaver con password, chiusura dei locali, …), nonché la definizione delle modalità di accesso ai dati in caso di assenza prolungata dell’incaricato. Nel caso in cui per gli incaricati sono individuati profili di autorizzazione diversi, deve essere previsto un sistema di autorizzazione. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, devono essere individuati e configurati anteriormente all'inizio del trattamento. Inoltre, la sussistenza dei profili di autorizzazione e l'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici devono essere verificate periodicamente con frequenza almeno annuale. Protezione dei dati sensibili archiviati [21, 22, 24] I dati sensibili contenuti in elenchi, registri o banche di dati devono essere trattati con tecniche di cifratura o mediante altre soluzioni, in modo da consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all'identità genetica devono essere trattati esclusivamente all'interno di locali protetti ed accessibili ai soli soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico deve essere cifrato. Inoltre, agli utenti che effettuano trattamento di dati sensibili/giudiziari devono essere impartite opportune istruzioni inerenti sia la custodia e l’uso di supporti di memorizzazione, sia il riutilizzo e/o la distruzione degli stessi. Protezione dei dati cartacei [27, 28, 29] Agli incaricati devono essere impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Gli atti ed i documenti contenenti dati personali sensibili o giudiziari affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti devono essere controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e devono essere restituiti al termine delle operazioni affidate. Inoltre, l'accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato, identificando e registrando le persone ammesse, a qualunque titolo, dopo l'orario di chiusura. Inoltre, se gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di addetti della vigilanza, le persone che vi accedono devono essere preventivamente autorizzate. Implementazione delle misure di sicurezza da parte di esterni [25] Qualora il Fornitore si avvalga di aziende esterne per l’implementazione delle misure minime di sicurezza, deve essere prevista la richiesta alle stesse di una descrizione scritta dell’intervento effettuato che ne attesti la conformità alle disposizioni del Disciplinare Tecnico (Allegato B, D.Lgs. 196/03). Protezione contro software dannoso (virus) [16, 17] Tutti gli strumenti elettronici utilizzati devono prevedere sia l’installazione di un software antivirus aggiornato con cadenza almeno semestrale, sia la realizzazione di operazioni di manutenzione correttiva e preventiva dei programmi e del sistema operativo con frequenza almeno annuale (semestrale nel caso di trattamento dati sensibili/giudiziari). Gestione dei Back-up [18, 23] Agli utenti devono essere impartite opportune norme che prevedano il salvataggio dei dati con frequenza almeno settimanale. Inoltre devono anche essere definite le regole e le operazioni da intraprendere per il ripristino dell’accesso ai dati sensibili/giudiziari, in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni. Rilevazione delle vulnerabilità tecniche [20] Tutti gli strumenti elettronici utilizzati per il trattamento di dati sensibili/giudiziari devono essere posti su segmenti di rete protetti da software e apparati di protezione perimetrale (Firewall, IDS. ecc.). Tracciamento degli eventi [misure derivanti dal Provvedimento del Garante Privacy del 27/11/2008 e successive integrazioni] Allegato 5 – Piano di Qualità Pagina 25 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica, in modo da controllare la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalla normativa. Inoltre, devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Supporto all’aggiornamento del Documento Programmatico sulla Sicurezza Il Fornitore dovrà collaborare con i Titolari del trattamento (RL, LI, ecc. ) all’aggiornamento del Documento Programmatico sulla Sicurezza. , fornendo le informazioni necessarie. 12.2 Assetto organizzativo privacy – Responsabili del trattamento e incaricati Le società aggiudicatarie dei contratti, per quanto di competenza, verranno nominate Responsabili del trattamento dei dati personali dai singoli Titolari del trattamento (Regione Lombardia, Asl, AO, Enti, ecc.) Lombardia Informatica, potrà comunicare ai singoli Titolari i dati identificativi e l’ambito di trattamento dei dati personali delle società aggiudicatrici. Sarà quindi compito dei vari Responsabili nominati, procedere a designare come Incaricati i soggetti (persone fisiche) preposti al trattamento dei dati e a designare come Amministratori di Sistema i soggetti preposti a tale funzione, sia che questi operino presso la propria sede o presso quelle di Lombardia Informatica. I Responsabili del trattamento dei dati personali dovranno altresì rispettare quanto previsto dal Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 e successive modifiche. Lombardia Informatica si riserva di chiedere alle società aggiudicatarie dei contratti l’elenco aggiornato delle persone fisiche designate come Incaricati e/o Amministratori di Sistema. 12.3 Attività di verifica e controllo Lombardia Informatica, quale referente dei servizi erogati per la propria committenza, avrà facoltà di effettuare attività di verifica e controllo sull’applicazione, da parte del Fornitore ed eventualmente dei Subfornitori, di quanto sopra esposto e di qualsiasi altra misura di sicurezza che dovrà essere implementata a fronte di evoluzioni normative in materia. La verifica può essere effettuata sia tramite visita presso il Fornitore o congiuntamente presso il suo Subfornitore, sia tramite richiesta di idonea documentazione attestante la conformità alla normativa sulla Privacy. 12.4 Trasferimento e trattamento di dati all’estero Nel caso in cui l’erogazione dei servizi oggetto dei Contratti prevedesse il trattamento di dati all’interno dell’Unione Europea, dovranno essere rispettate le disposizioni normative vigenti in materia di protezioni di dati personali (D. Lgs. 196/2003 e s.m.i.). Il trasferimento e il trattamento dei dati personali fuori dell’Unione Europea deve sottostare a quanto di seguito esplicitato, al fine di assicurare i medesimi livelli di protezione garantiti nell’area comunitaria in materia di protezione dei dati personali. In dettaglio, i dati personali, possono circolare fuori dell’Unione Europea solo se, alternativamente: il Titolare di tali dati conclude con il soggetto Responsabile del loro trattamento fuori dell‘Unione Europea il contratto-tipo predisposto dalla Commissione Europea per tale evenienza; gli Interessati manifestano il loro espresso consenso. Poiché i Titolari dei dati in questione (Regione Lombardia, ASL, Aziende Ospedaliere, ecc.) e gli Interessati (cittadini, ecc.) sono soggetti che non partecipano al procedimento di gara, e lo stesso procedimento deve essere autosufficiente, è esclusa la possibilità di trattare tali dati al di fuori dell’Unione Europea. Allegato 5 – Piano di Qualità Pagina 26 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 13. Gestione della sicurezza delle informazioni Di seguito vengono riportate le misure di sicurezza atte a preservare l’integrità, la disponibilità e la riservatezza dei servizi e delle informazioni che devono essere attuate dal Fornitore nell’ambito delle attività ad esso assegnate. Qualora il Fornitore lavori all’interno delle strutture di LI si impegnerà a supportare attivamente LI nell’applicazione delle stesse. In qualsiasi caso, l’aderenza ai requisiti di sicurezza elencati di seguito non permetterà in alcun modo la copia e l’utilizzo delle informazioni e dei dati all’infuori dei trattamenti formalmente autorizzati. Al Fornitore ed eventuali suoi subfornitori non è consentito l'uso di dispositivi mobili (smartphone, tablet) propri o aziendali per l'accesso ai dati e informazioni di LI. Il Fornitore deve garantire e monitorare l’applicazione delle prescrizioni di seguito descritte anche da parte degli eventuali suoi subfornitori anche attraverso attività di audit. Di seguito con il termine “Fornitore” si intende sia il Fornitore che i suoi eventuali Subfornitori. 13.1 Requisiti generali Il Fornitore deve: garantire il rispetto della normativa vigente (Privacy, Leggi sul copyright, ecc.), anche attraverso l’implementazione di procedure appropriate; garantire la riservatezza, l’integrità e la disponibilità delle informazioni gestite nell’ambito di tutte le attività ad esso affidate; nell’ambito del trattamento, comunicazione e trasmissione di informazioni all'interno, così come verso l’esterno, rispettare il principio di: o least privilege; o need-to-know; o segregation of duties. verificare con regolarità la conformità dei sistemi informativi, servizi e applicazioni agli standard di sicurezza e ai requisiti richiesti da LI; garantire la redazione di tutta la documentazione richiesta da LI in conformità agli standard definiti da LI; raccogliere le evidenze, a seguito di un incidente di sicurezza, conservarle e presentarle qualora sussista la necessità di azioni legali di natura civile o penale; impegnarsi formalmente a gestire in modo riservato e sotto la propria responsabilità le informazioni e i dati di cui viene a conoscenza. Al termine del contratto, salvo diverse disposizioni, le informazioni e i dati devono essere distrutti con modalità sicure o restituiti fornendo le relative evidenze a LI; garantire che tutti gli strumenti di lavoro introdotti in LI, come ad esempio laptop e dispositivi di memorizzazione, siano stati preventivamente autorizzati da LI e dotati di tutte le misure di sicurezza ritenute necessarie e adeguate; garantire che tutti gli strumenti di lavoro forniti da LI non siano modificati e la documentazione sia custodita con cura; utilizzare sistemi antivirus, controllo malware e meccanismi di sicurezza per i media rimovibili, per tutti i sistemi, postazioni e reti coinvolti nello svolgimento di attività per LI; gestire la storicizzazione degli account e delle loro attività al fine di tenerne traccia, fornendo, su richiesta di LI le informazioni in merito; garantire che durante l’intero ciclo di sviluppo del prodotto/servizio, venga fornita la documentazione e l’evidenza delle accettazioni formali da parte di LI; utilizzare le procedure operative di LI al fine di assicurare la sicura e corretta operatività delle strutture di elaborazione delle informazioni di proprietà di LI e laddove il Fornitore operasse presso la propria sede e con proprie risorse deve documentare, aggiornare e curare la messa in pratica di adeguate procedure operative e documentare e monitorare tutti i cambiamenti apportati alle strutture di elaborazione delle informazioni e ai sistemi. È vietata l’estrazione e il trasferimento di dati e/o di ogni altra informazione dalle basi dati e dai sistemi di LI, salvo espressa e preventiva autorizzazione da parte di LI. Allegato 5 – Piano di Qualità Pagina 27 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 13.2 Gestione del personale del Fornitore Il Fornitore deve garantire che il proprio personale (dipendenti e collaboratori), abbia piena consapevolezza delle problematiche relative alla sicurezza delle informazioni. In particolare: il Fornitore, durante il proprio processo di acquisizione del proprio personale, deve valutare i livelli di conoscenza degli obiettivi e delle problematiche di sicurezza in funzione delle attività che dovranno essere svolte. Inoltre il personale del Fornitore dovrà ricevere da questi un’adeguata e continuativa formazione inerente le tematiche di sicurezza e privacy; il Fornitore, alla conclusione del rapporto di lavoro del dipendente e/o collaboratore, deve: o nel caso in cui le credenziali siano definite sulle reti, sistemi e applicazioni di LI, comunicare tempestivamente al Referente Operativo di LI i nominativi che devono essere rimossi; o nel caso in cui le credenziali siano definite sulle reti, sistemi e applicazioni gestite dal Fornitore, rimuovere tutte le credenziali di autenticazione (ID e password) utilizzate dal dipendente e/o collaboratore dimissionario. 13.3 Accesso agli ambienti ed ai sistemi 13.3.1 Accesso agli ambienti di LI diversi da preproduzione e produzione I Fornitori potranno accedere alle reti di sviluppo che LI metterà a disposizione, relativamente al proprio ambito di competenza, solo se autorizzati da LI e attraverso le modalità di connessione descritte nel paragrafo 13.4. L'infrastruttura utilizzata, presso LI o il Fornitore, deve rispettare i requisiti minimi definiti da LI e descritti nel seguito. In nessun caso devono essere presenti dati di produzione dei servizi gestiti da LI, a meno di autorizzazioni motivate e documentate nel rispetto delle procedure di LI. Si sottolinea che, ancorché salvaguardate le problematiche di privacy (trattamenti di dati personali), il Fornitore rimane responsabile del rischio di furto, perdita accidentale e/o distruzione di patrimonio informatico di LI, inteso come il codice sorgente e/o soluzioni prodotte, le infrastrutture e le personalizzazioni sviluppate. Non è permesso accedere dalle reti di sviluppo a servizi/sistemi di produzione. 13.3.2 Accesso ai sistemi e basi dati in ambiente di preproduzione/produzione L’accesso ai sistemi ed alle basi dati in ambiente di pre-produzione e di produzione di LI, da parte del Fornitore, è autorizzato solo a fronte di richiesta formale, che oltre alla motivazione dovrà contenere, tra le altre, informazioni sui singoli sistemi e applicativi necessari, in osservanza delle procedure in uso in LI. LI provvederà, dopo avere verificato, approvato e autorizzato le richieste del Fornitore, a definire i profili di accesso, secondo i principi espressi nel paragrafo 13.3.3 (Accessi logici). Una volta autorizzato da LI, l'accesso agli ambienti di pre-produzione e produzione dovrà avvenire attraverso interfacce applicative che: garantiscano adeguati meccanismi di tracciatura delle attività svolte; consentano di delineare il perimetro di accesso ai soli dati/trattamenti assegnati; minimizzino la probabilità di errore durante lo svolgimento delle attività assegnate. Qualora, per l'assenza delle suddette interfacce applicative, si rendesse necessario l'accesso diretto alle basi dati e/o ai sistemi di pre-produzione e produzione, tale eccezione dovrà essere debitamente documentata, motivata e approvata da LI. LI effettuerà la tracciatura dei singoli accessi effettuati, in conformità alle indicazioni del Garante Privacy. Inoltre, LI si riserva di poter tracciare anche i comandi lanciati e le attività svolte sui sistemi e Basi Dati di pre-produzione e di produzione, con particolare attenzione all’utilizzo improprio di utenze applicative. Considerata la delicatezza del ruolo svolto, il Fornitore è tenuto a comunicare preventivamente i nominativi delle persone fisiche che espleteranno le attività e segnalare tempestivamente eventuali avvicendamenti/variazioni delle risorse interessate. Il Fornitore deve comunque rendere disponibili tutte le informazioni su richiesta di LI. Allegato 5 – Piano di Qualità Pagina 28 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. Il Referente Operativo dell’intervento di LI avrà l'onere di sensibilizzare il Fornitore sulla delicatezza delle autorizzazioni concesse, oltre che monitorare l'operato al fine di evitare attività non autorizzate e/o danni derivanti dall'utilizzo improprio delle abilitazioni. Qualora LI introducesse nuovi meccanismi di accesso il Fornitore dovrà provvedere ad adeguarsi. È vietata l’estrazione e il trasferimento di dati e/o di ogni altra informazione dalle basi dati e dai sistemi di LI, salvo espressa e preventiva autorizzazione da parte di LI. Le installazioni di software in ambiente di produzione deve essere governata da LI. 13.3.3 Accessi logici Il Fornitore deve garantire sia sugli ambienti di LI sia sui propri che l’accesso alle informazioni, servizi e sistemi di LI avvenga in modo sicuro per prevenire l’accesso da parte di utenti che non hanno i necessari diritti e pertanto impedire trattamenti non autorizzati. Il ciclo di vita delle utenze deve prevedere le attività descritte di seguito: ogni operazione del ciclo di vita (creazione, modifica, sospensione, ecc.) che riguarda le utenze relative ad ambienti, sistemi o applicazioni di LI, deve essere preventivamente formalizzata dal Fornitore al Referente Operativo dell’intervento di LI e da quest’ultimo autorizzata in modo formale nel rispetto dei processi di LI; il Fornitore deve effettuare la tracciatura di tutte le richieste effettuate a LI, inerenti alla gestione del ciclo di vita delle utenze, e renderla disponibile su richiesta di LI. Accesso ad ambienti di LI Nel caso di accesso ad ambienti di LI, il Fornitore deve: richiedere in forma scritta la creazione di una nuova utenza che deve contenere l’identificativo della persona a cui verrà assegnata, l’ambito di utilizzo, il ruolo e l’ambiente. Le utenze richieste devono essere univoche, personali e utilizzate in modo che l’accesso alle informazioni da parte di ogni singolo utente sia limitato alle sole (principio del “minimo privilegio”) informazioni di cui necessita (principio del “need-to-know”) per lo svolgimento dei propri compiti; inviare una tempestiva comunicazione ad LI in caso di variazione delle mansioni o delle attività in modo che il profilo venga adeguato alle effettive nuove esigenze; effettuare una revisione periodica delle utenze al fine di individuare le utenze inattive e quelle che necessitano di una modifica di privilegi da comunicare ad LI; richiedere immediatamente la disabilitazione di un’utenza assegnata ad un suo dipendente o collaboratore nei seguenti casi: o interruzione del rapporto di lavoro con il Fornitore; o cambio di mansione che non necessita dell’accesso ai sistemi informatici /applicazioni di LI; o utenze inattive emerse nella revisione periodica. Accesso ad ambienti del Fornitore Nel caso in cui il Fornitore tratti dati e/o informazioni di LI attraverso propri ambienti deve: rispettare principi espressi nei paragrafi precedenti e messi in atto da LI relativamente alla gestione del ciclo di vita delle utenze e all’accesso alle informazioni; definire un processo di gestione delle credenziali di autorizzazione e dei relativi profili di accesso; definire utenze univoche, personali e profilate secondo quanto espresso nei Requisiti Generali; definire le autorizzazioni di accesso alle informazioni in modo che siano differenziate in base al ruolo ed agli incarichi ricoperti dai singoli individui; definire le procedure per consentire l’accesso ai dati nei casi in cui, a causa della prolungata assenza o dell’impedimento dell'incaricato, si renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza di LI; effettuare periodicamente, valutazioni tecniche sulla robustezza delle parole chiave usate dagli utenti; provvedere alla sospensione delle utenze nei seguenti casi: o assenza prolungata del dipendente (assenza per malattia o infortunio superiore a 90 giorni); o scadenza della parola chiave e inserimento consecutivo di 5 parole chiave errate; o decorrenza del tempo massimo di inattività; o scadenza di un’utenza temporanea, utilizzata da personale non dipendente. formalizzare e tracciare la richiesta di riattivazione di un’utenza sospesa. Inoltre, qualora il ripristino avvenga a seguito di sospensione per scadenza temporale della parola chiave, consentire all’utente di accedere al sistema solo per modificare la password.. Allegato 5 – Piano di Qualità Pagina 29 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 13.3.4 Amministratori di Sistema e Utenze Privilegiate Il Fornitore deve garantire la gestione degli Amministratori di Sistema secondo quanto previsto dal Provvedimento del Garante Privacy del 27/11/2008 e successive integrazioni. Inoltre il Fornitore deve: effettuare periodicamente (almeno una volta l’anno) una verifica sulle utenze, credenziali e profili autorizzativi degli amministratori di sistema, al fine di verificarne la corrispondenza ai requisiti di sicurezza e alle modalità del trattamento dei dati; tracciare gli accessi logici ai sistemi e ai dati da parte degli amministratori di sistema (access log). I log (access log) devono avere caratteristiche di completezza (riferimenti temporali e descrizione degli eventi), inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste; conservare i log sopra indicati per un periodo congruo, non inferiore a sei mesi; comunicare periodicamente a LI o al Titolare gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite (compreso i servizi e dati a cui hanno accesso); fare in modo che ogni amministratore sia dotato di un’utenza con privilegi amministrativi e di un’utenza con privilegi standard. In tutti i casi in cui è possibile deve essere utilizzata l’utenza con privilegi standard. Il Fornitore deve gestire le utenze privilegiate (es. utenza Root per i sistemi Unix, utenza Sysadmin per Oracle) in modo sicuro e permettendone l’utilizzo, previa autorizzazione, solo in casi particolari motivitati e documentati 13.4 Modalità di connessione Il connessione ai sistemi di LI è permessa solo attraverso: connessioni dedicate; connettività VPN di tipo site-to-site. La connettività VPN-Client, che deve essere nominale, è autorizzata solo in casi eccezionali e corredata da opportuna motivazione scritta. Non è consentito l'utilizzo della connettività internet senza gli adeguati meccanismi di protezione, secondo i principi espressi nel paragrafo 13.5 (Infrastruttura del Fornitore) e previa autorizzazione di LI. La connettività internet e l'apparato remoto sono a carico del Fornitore così come pure la configurazione della connessione VPN (nel caso di connettività site-to-site). LI fornirà le specifiche di configurazione, a cui la connettività VPN deve rispondere, che devono essere applicate dal Fornitore. La VPN sarà unica per ciascun Fornitore (nel caso di RTI sarà resa disponibile una VPN per ogni Fornitore appartenente all’RTI). Non sono possibili in nessun caso VPN multiple per lo stesso Fornitore. Nel caso in cui il Fornitore abbia l’esigenza di: accedere da sedi territoriali diverse; far accedere i suoi subfornitori; permettere l’accesso al proprio personale da postazioni remote rispetto ai propri sistemi; dovrà rispettare almeno gli stessi requisiti di sicurezza applicati da LI. L’attivazione della connessione andrà preventivamente concordata con il personale tecnico di LI, tramite il Referente Operativo dell’intervento di LI. Il Fornitore dovrà mettere a disposizione una figura con il ruolo di Interfaccia Tecnica entro 4 giorni dal momento in cui LI effettuerà il primo contatto per attivare la connessione. Qualora LI ritenesse opportuno utilizzare altre modalità di connessione, anche in funzione delle evoluzioni tecnologiche, il Fornitore dovrà adoperarsi per i necessari adeguamenti 13.5 Infrastruttura del Fornitore Il Fornitore, in funzione delle attività assegnate, deve implementare sulla propria infrastruttura e sui propri sistemi le opportune regole di sicurezza in funzione della criticità del servizio e/o dell’informazione trattata. Nel dettaglio il Fornitore deve: garantire la separazione degli ambienti (es: sviluppo, integrazione, produzione); prevedere meccanismi di autenticazione forte per l’accesso agli ambienti, qualora le esigenze di sicurezza lo richiedano; implementare opportuni meccanismi di tracciatura e auditing; Allegato 5 – Piano di Qualità Pagina 30 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. controllare e monitorare, tramite appostiti strumenti quali ad esempio firewall, IDS, Correlatori di Eventi, i “punti di contatto” tra le reti interne del Fornitore e la rete di LI; dotare le postazioni utilizzate dal Fornitore per accedere alla rete e ai sistemi di LI di opportuni meccanismi di sicurezza (antivirus, patch di sicurezza, etc) e segregarle dal resto della rete del Fornitore; prevedere con cadenza periodica, al fine di garantire efficienza e livelli di sicurezza adeguati ai sistemi utilizzati: o attività di hardening; o attività di patching; o vulnerability assessment/penetration test. garantire lo svolgimento di opportune attività di backup e restore secondo procedure formalizzate che definiscano le metodologie di salvataggio e ripristino, i tempi di conservazione delle copie, il numero di versioni da salvare e la tipologia dei dati. In particolare, per i sistemi critici, devono essere periodicamente effettuati salvataggi dei file di sistema e di tutti quelli necessari per il ripristino degli stessi e di eventuali applicativi rilevanti ai fini della continuità delle operazioni; verificare periodicamente i sistemi e le procedure di backup e restore in tutte le loro componenti e funzionalità, sia in condizioni di normale operatività che in condizioni di emergenza. In particolare devono essere condotti dei test di ripristino dei salvataggi effettuati. conservare in luoghi sicuri opportunamente protetti i supporti utilizzati per eseguire i backup. Il tempo di mantenimento dei dati deve essere compatibile con le esigenze di LI e con la normativa vigente. 13.6 Sicurezza Fisica Il Fornitore, al fine di garantire a tutte le informazioni gestite per conto di LI adeguati livelli di tutela, deve definire, implementare e mantenere opportune soluzioni di sicurezza relativamente a: sicurezza perimetrale, controllo degli accessi fisici, sicurezza di uffici, locali tecnici ed attrezzature e quanto necessario: ad esempio l’alimentazione elettrica e la sicurezza dei cablaggi, i supporti di memorizzazione in ingresso e in uscita, lo smaltimento e il riutilizzo delle apparecchiature stesse. 13.7 Requisiti di sicurezza per la realizzazione e la manutenzione dei servizi In riferimento al capitolo 2 dell’Allegato 1.4 – Cicli di vita del SW - le fasi di “Architettura” e ”Accettazione ed Integrazione” degli interventi di sviluppo saranno condotte da LI. Il Fornitore, nell’ambito delle attività assegnate, dovrà applicare i requisiti di seguito descritti. Tali requisiti sono da intendersi indicativi e non esaustivi. Progettazione Il Fornitore deve effettuare tutte le attività relative alla fase di progettazione recependo i requisiti di sicurezza definiti. In particolare deve essere garantito che: la progettazione tecnica del servizio sia effettuata sulla base di una architettura di sicurezza ben definita compresi i requisiti inerenti gli aspetti di identificazione, autenticazione, autorizzazione e le metriche necessarie a valutarne la robustezza, efficacia ed efficienza; tutti gli accessi alle applicazioni/servizi devono utilizzare i servizi predisposti da LI (es ad oggi: IdPc, SSO-SISS, etc.); per le applicazioni/servizi più critici deve essere effettuata un’analisi dei rischi in termini di criticità dei dati, attacchi e minacce all’applicazione etc.; qualora le esigenza di sicurezza lo richiedano, devono essere previsti meccanismi di autenticazione forte in accordo con LI; nel caso venga utilizzata una credenziale costituita dalla combinazione identificativo e parola chiave, quest’ultima deve possedere un livello di robustezza (qualità della password) coerente con gli standard internazionali e secondo le normative indicate nel cap.12; per la progettazione di funzionalità che accedono ai dati devono essere adottati i principi architetturali di: o minimo privilegio, o segregation of duties. qualora vengano trattati dati sensibili o giudiziari, il servizio/applicazione deve utilizzare meccanismi di cifratura o separazione per la memorizzazione delle informazioni in accordo con LI; devono essere utilizzati controlli di validazione finalizzati a rilevare l’eventuale corruzione dei dati; devono essere specificati i requisiti per assicurare l’autenticità e l’integrità dei messaggi scambiati tra le applicazioni e devono essere individuati ed implementati appropriati controlli; i sistemi sui cui transitano dati particolarmente critici devono risiedere su sistemi dedicati e non devono convivere con servizi di altra natura che possano comprometterne la sicurezza; Allegato 5 – Piano di Qualità Pagina 31 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. devono essere utilizzati algoritmi crittografici “forti” (ovvero riconosciuti tali a livello internazionale, es: AES-256) al fine di garantire la sicurezza del transito dei dati attraverso le reti, in accordo con LI; il servizio/applicazione deve essere fornito di un’interfaccia applicativa per la gestione e manutenzione dello stesso, affinchè: o siano garantiti adeguati meccanismi di tracciatura delle attività svolte; o sia consentito di delineare il perimetro di accesso ai soli dati/trattamenti assegnati; o sia minimizzata la probabilità di errore durante lo svolgimento delle attività assegnate. Realizzazione e Test Durante la fase di Realizzazione e Test, il Fornitore: deve garantire che l’accesso ai codici sorgenti dei programmi ed alla documentazione sia: o limitato al solo personale del Fornitore che lo necessita per esigenze progettuali, o controllato e monitorato. deve utilizzare la piattaforma di tracciatura delle attività di LI (sistema SGR_CM), per tutta la durata della fornitura e deve controllare controllare tutte le condizioni anomale (es: tentativi non autorizzati di accesso); deve utilizzare criteri e strumenti di supporto per la gestione delle configurazioni indicati da LI; deve utilizzare tool/metodologie di sviluppo sicuro riconosciute a livello internazionale (es: OWASP) ad integrazione di quelle fornite da LI; su richiesta di LI, il Fornitore dovrà svolgere attività di verifica sul codice sviluppato per le applicazioni/servizi più critici avvalendosi di terze parti; deve utilizzare best practice riconosciute e gli standard di LI in materia per la gestione degli errori; per le applicazioni critiche deve prevedere ed implementare le opzioni che consentano all’applicazione di essere fruibile in Business Continuity tecnologica; nel caso si utilizzino pacchetti di mercato deve garantire le best practice di sicurezza per tali pacchetti (es.: SAP, etc.); per i servizi dati completamente in outsourcing, nell’ambito dei test, deve effettuare delle verifiche di performance, volte a verificare la capacità dell’applicazione di supportare picchi di utilizzo sia in termini di attività contemporanee degli utenti, che in termini di mole di dati trattati; deve documentare e conservare tutte le verifiche ed i controlli effettuati, nonché i relativi esiti; nel caso di sviluppo di applicazioni per il dispositivo MOBILE, deve rispettare le opportune linee guida fornite da LI; lo sviluppo di siti/portali web, laddove è previsto l’utilizzo d cookie principalmente per finalità di profilazione utente e marketing, deve essere conforme al Provvedimento del Garante Privacy di merito (“Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” - 8 maggio 2014 [doc. web 3118884]). Rilascio in produzione Durante le fasi di “Accettazione ed Integrazione”, di “Presa in carico del servizio” e di “Rilascio in produzione” il Fornitore deve garantire il pieno supporto ad LI per il completamento delle attività progettuali. Qualora ritenuto necessario da parte di LI, l'azienda fornitrice dovrà garantire, presso le sedi di LI, la presenza fisica delle figure professionali specialistiche che si affiancheranno al personale tecnico di LI. Manutenzione Per la manutenzione si applicano tutti i requisiti descritti nei paragrafi precedenti: “Progettazione” e “Realizzazione e Test”. Inoltre valgono i seguenti requisiti: l’implementazione di modifiche deve essere attuata in modo controllato attraverso l’impiego di procedure formali per il controllo della configurazione (rif. Cap. 11 Gestione della Configurazione); devono essere implementati e tracciati tutti gli interventi correttivi emersi a fronte delle anomalie rilevate; i bug relativi ad aspetti di sicurezza vengono classificati come bug di Categoria 1, di conseguenza devono essere rispettati gli SLA previsti per tale categoria (rif. Allegato 1.3 PQ - Livelli di Servizio); i dati di test devono essere accuratamente selezionati, protetti e controllati e non eccedenti le finalità di trattamento. LI si riserva la facoltà di identificare e comunicare al Fornitore eventuali ulteriori requisiti. Allegato 5 – Piano di Qualità Pagina 32 di 33 Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la realizzazione dei modelli di e-government della Regione Lombardia. 13.8 Gestione degli eventi anomali, degli incidenti e della Business Continuity Il Fornitore deve garantire che le anomalie e gli incidenti aventi ripercussioni sul sistema informativo e sui livelli di sicurezza di LI, siano tempestivamente riconosciuti e correttamente gestiti attraverso efficienti sistemi di prevenzione, comunicazione e reazione, al fine di minimizzare l’impatto sul business. Nel dettaglio il Fornitore: deve implementare le procedure di gestione degli incidenti di sicurezza e di comunicazione degli stessi ad LI; deve rilevare gli incidenti che possono avere un impatto sui livelli di sicurezza e gli eventuali danni, potenziali e non, devono essere gestiti, ove possibile, in tempi brevi, secondo specifiche procedure; deve prevedere un sistema di registrazione e classificazione degli incidenti e degli eventi anomali per effettuare analisi volte al miglioramento dei livelli di sicurezza coerente con le reali problematiche riscontrate; deve attivare e mantenere idonee procedure di Business Continuity, in coerenza con i livelli di servizio previsti dal contratto; deve concorrere all’attivazione e coordinamento dei gruppi operativi del suo personale dedicato alla gestione delle emergenze e della crisi comunicando ad LI e tenendo aggiornati i nominativi e i recapiti che garantiscano la pronta rintracciabilità delle figure competenti individuate. deve partecipare ai test tecnici e organizzativi di Business Continuity e di Disaster Recovery di LI, per quanto di competenza. 13.9 Attività di verifica e controllo Lombardia Informatica, quale referente dei servizi erogati per la propria committenza, avrà facoltà di effettuare attività di verifica e controllo sull’applicazione, da parte del Fornitore ed eventualmente dei Subfornitori, di quanto sopra esposto e di qualsiasi altra misura di sicurezza che dovrà essere implementata a fronte di nuove politiche definite da LI. La verifica può essere effettuata sia tramite visita presso il Fornitore o congiuntamente presso il suo Subfornitore, sia tramite richiesta di idonea documentazione attestante la conformità alla normativa sulla Privacy. 13.10 Deroghe In casi straordinari e con le dovute autorizzazioni, opportunamente documentate, sarà possibile operare in deroga alle regole di sicurezza stabilite. La richiesta da parte del Fornitore dovrà essere formalizzata e tracciata, oltre che adeguatamente documentata. In particolare dovranno essere esplicitate le motivazioni che giustificano la deroga, gli ambiti operativi e temporali di intervento, l’identificazione del personale esterno e le attività da autorizzare. Una volta valutata, approvata ed integrata da parte del Referente Operativo di LI, per quanto di sua competenza, tale richiesta sarà sottoposta al ciclo di autorizzazione aziendale che, in funzione della criticità, potrà richiedere l’autorizzazione delle figure gerarchiche responsabili dell’erogazione del servizio fino a quella della Direzione Centrale Operations. Allegato 5 – Piano di Qualità Pagina 33 di 33
© Copyright 2024 ExpyDoc