Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
ALLEGATO 5
PIANO DI QUALITÀ
Allegato 5 – Piano di Qualità
Pagina 1 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
Indice
1.
Introduzione .............................................................................................................................................................. 4
1.1
Scopo del documento ..................................................................................................................................... 4
1.2
Campo di applicazione .................................................................................................................................... 4
1.3
Riferimenti documentali .................................................................................................................................. 4
1.4
Acronimi e definizioni ..................................................................................................................................... 4
2.
Organizzazione del documento e modalità di gestione ........................................................................................ 6
2.1
Organizzazione del documento ...................................................................................................................... 6
2.1.1 Allegato al PQ .............................................................................................................................................. 7
2.2
Modalità di gestione ........................................................................................................................................ 7
3.
Organizzazione e ruoli ............................................................................................................................................. 7
3.1
Organizzazione di LI ........................................................................................................................................ 7
3.2
Organizzazione del Fornitore.......................................................................................................................... 7
4.
Modalità di gestione del contratto .......................................................................................................................... 9
4.1
Aspetti generali ................................................................................................................................................ 9
4.2
Ciclo di vita del contratto ................................................................................................................................ 9
4.2.1 Affidamento ................................................................................................................................................. 9
4.2.2 Verifiche e controlli ..................................................................................................................................... 9
4.2.3 Modifiche al contratto ............................................................................................................................... 10
4.2.4 Chiusura ..................................................................................................................................................... 10
4.3
Piano Generale della Fornitura ..................................................................................................................... 10
5.
Modalità di gestione dell’intervento ...................................................................................................................... 11
5.1
Aspetti generali dell’intervento .................................................................................................................... 11
5.2
Ciclo di vita dell’intervento ........................................................................................................................... 11
5.2.1 Attivazione dell’intervento ........................................................................................................................ 11
5.2.2 Verifica e controlli dell’intervento ............................................................................................................ 12
5.2.3 Modifica dell’intervento ............................................................................................................................ 13
5.2.4 Chiusura dell’intervento ........................................................................................................................... 13
5.2.5 Cancellazione/sospensione parziale o totale dell’intervento ................................................................ 14
5.2.6 Documenti di riferimento per l’intervento ............................................................................................... 14
5.2.7 Responsabilità e modalità di trasmissione dei documenti dell’intervento .......................................... 15
6.
Luogo, orario di lavoro e dotazioni ....................................................................................................................... 16
6.1
Luogo di lavoro .............................................................................................................................................. 16
6.1.1 Sviluppo e Manutenzione ......................................................................................................................... 16
6.1.2 Assistenza.................................................................................................................................................. 17
6.1.3 Supporto al Demand Management .......................................................................................................... 17
6.2
Orario di lavoro .............................................................................................................................................. 17
6.2.1 Sviluppo ..................................................................................................................................................... 17
6.2.2 Manutenzione ............................................................................................................................................ 17
6.2.3 Assistenza.................................................................................................................................................. 18
6.2.4 Supporto al Demand Management .......................................................................................................... 18
6.3
Integrazioni e specifiche ............................................................................................................................... 18
6.4
Dotazioni di lavoro ......................................................................................................................................... 19
7.
Livelli di servizio ..................................................................................................................................................... 20
7.1
Monitoraggio e verifica dei livelli di servizio ............................................................................................... 20
8.
Gestione dei rilievi e delle penali .......................................................................................................................... 20
8.1
Verifica dei livelli di servizio e rilevazione del rilievo/penale ..................................................................... 20
8.2
Verifica legale/tecnica e notifica al Fornitore .............................................................................................. 20
8.3
Gestione del rilievo/penale ........................................................................................................................... 21
8.4
Chiusura e notifica del rilievo/penale .......................................................................................................... 21
8.5
Documentazione relativa ai rilievi/penali ..................................................................................................... 21
9.
Gestione degli audit ............................................................................................................................................... 21
9.1
Programmazione e comunicazione dell’audit ............................................................................................. 21
9.2
Esecuzione dell’audit .................................................................................................................................... 21
9.3
Definizione e proposta delle azioni derivanti dall’audit ............................................................................. 22
9.4
Valutazione delle azioni proposte ................................................................................................................ 22
9.5
Attuazione delle azioni proposte .................................................................................................................. 22
9.6
Valutazione dell’efficacia delle azioni attuate ............................................................................................. 22
9.7
Chiusura delle azioni attuate ........................................................................................................................ 22
9.8
Documentazione relativa agli audit .............................................................................................................. 22
10.
Gestione delle azioni correttive e preventive .................................................................................................. 23
11.
Gestione della configurazione .......................................................................................................................... 23
12.
Aspetti connessi alla privacy (ex D.Lgs 196/03) .............................................................................................. 24
12.1
Misure di sicurezza ........................................................................................................................................ 24
Allegato 5 – Piano di Qualità
Pagina 2 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
12.2
Assetto organizzativo privacy – Responsabili del trattamento e incaricati.............................................. 26
12.3
Attività di verifica e controllo........................................................................................................................ 26
12.4
Trasferimento e trattamento di dati all’estero ............................................................................................. 26
13.
Gestione della sicurezza delle informazioni .................................................................................................... 27
13.1
Requisiti generali ........................................................................................................................................... 27
13.2
Gestione del personale del Fornitore .......................................................................................................... 28
13.3
Accesso agli ambienti ed ai sistemi ............................................................................................................. 28
13.3.1
Accesso agli ambienti di LI diversi da preproduzione e produzione ............................................... 28
13.3.2
Accesso ai sistemi e basi dati in ambiente di pre-produzione/produzione ..................................... 28
13.3.3
Accessi logici ........................................................................................................................................ 29
13.3.4
Amministratori di Sistema e Utenze Privilegiate ................................................................................ 30
13.4
Modalità di connessione ............................................................................................................................... 30
13.5
Infrastruttura del Fornitore ........................................................................................................................... 30
13.6
Sicurezza Fisica ............................................................................................................................................. 31
13.7
Requisiti di sicurezza per la realizzazione e la manutenzione dei servizi ................................................ 31
13.8
Gestione degli eventi anomali, degli incidenti e della Business Continuity............................................. 33
13.9
Attività di verifica e controllo........................................................................................................................ 33
13.10
Deroghe ...................................................................................................................................................... 33
Allegato 5 – Piano di Qualità
Pagina 3 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
1. Introduzione
1.1 Scopo del documento
Il Piano di Qualità (PQ), ha il compito di disciplinare i rapporti contrattuali tra i Fornitori aggiudicatari della gara e
Lombardia Informatica (LI) al fine di assicurare che il rapporto tecnico–organizzativo tra LI e i Fornitori, si svolga:

coerentemente con il Codice degli Appalti ed il suo Regolamento di esecuzione ed attuazione (D.Lgs. 163/06 e
D.P.R. 207/10);
coerentemente con gli obiettivi contrattuali;
in modo da soddisfare le aspettative del Cliente (Regione Lombardia);
in modo da permettere il raggiungimento efficace ed efficiente di tali obiettivi.



Assume particolare importanza in quanto l’esecuzione della fornitura relativa al contratto risulta essere un complesso
insieme di attività manageriali, gestionali ed operative.
Per questo motivo, nel PQ vengono raccolte ed elaborate tutte le informazioni necessarie ad assicurare il corretto
svolgimento delle attività.
Le informazioni relative alla Gestione della Fornitura delle singole macroclassi sono riportate nel Capitolato Tecnico e ad
esse si fa riferimento per la comprensione:



delle modalità operative di gestione,
delle attività di verifica e monitoraggio,
delle attivita di consegna dei prodotti della fornitura.
1.2 Campo di applicazione
Il presente documento si applica a tutte le procedure di gara intraprese da LI per l’assegnazione di forniture relative alle
macroclassi, Sviluppo, Manutenzione, Assistenza, Supporto al Demand Management, per la realizzazione dei
servizi oggetto del perimetro del lotto di riferimento.
Le macroclassi applicabili al contratto di ciascun lotto sono espressamente indicate nell’oggetto del contratto stesso.
Le macroclassi sono contenute all’interno dei quattro Lotti ossia dei quattro contratti in cui è suddivisa la Gara. Si è
optato per la redazione di un unico Piano della Qualità, al fine di rendere più agevole la consultazione. Le disposizioni in
esso contenute, pertanto, saranno applicabili alla macroclasse di riferimento nel solo caso in cui quest ultima sia oggetto
del Lotto di riferimento.
1.3 Riferimenti documentali
Capitolati Tecnici e relativi Allegati.
1.4 Acronimi e definizioni
Nelle due tabelle seguenti, vengono riportati l’elenco degli acronimi utilizzati all’interno del PQ e una lista di
definizioni:
Acronimo
Descrizione
CT
Capitolato Tecnico
DCO
Diretore Centrale Operations di LI
DEC
Direttore dell’Esecuzione del Contratto di LI
LdS
Livello di Servizio
LI
Lombardia Informatica
Allegato 5 – Piano di Qualità
Pagina 4 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
LSG
Livello di Servizio Generale
LSS
Livello di Servizio Specifico
PE
Pianificazione Esecutiva
PG
Piano Generale
PIF
Proposta di Fornitura
PO
Programmazione Operativa
PQ
Piano di Qualità
PS
Piano di Subentro per l’Intervento
PTKH
Piano di Trasferimento di Know How per l’intervento
RdI
Richiesta di Intervento Interna
REFO
Responsabile per l’ Esecuzione del FOrnitore
ROI
Referente Operativo dell’Intervento di LI
ROG
Referente Operativo Generale del contratto di LI
ROFI
Referente Operativo del Fornitore per l’Intervento
RPE
Responsabile del Procedimento della fase di Esecuzione di LI
RTI
Raggruppamento Temporaneo di Imprese
RUP
Responsabile Unico del Procedimento
SAL
Stato Avanzamento Lavori
SCM
Funzione Supply e Contract Management di LI
SGF
Strumenti di Gestione della Fornitura
Definizione
Descrizione
Procedura che riporta e regolamenta l’oggetto ed il perimetro della fornitura entro cui il Fornitore è
chiamato ad operare.
Si intende un errore presente nel software, latente finché non rilevato. Le unità che si considerano
Difetto
come singoli difetti sono l’elemento funzione e l’elemento dato che sono inseriti nel sistema di
(malfunzionamento)
tracciamento dal Fornitore all’atto della risoluzione del malfunzionamento.
Nel presente documento, il termine Fornitore è da intendersi sia come unico soggetto sia
Fornitore
nell’accezione più ampia di Raggruppamento Temporaneo d’Imprese (RTI).
Intervento
Insieme di attività richieste al Fornitore secondo quanto stabilito contrattualmente.
Lotto
Livelli di Servizio
Macro classe di
fornitura
Modelli di
erogazione della
Fornitura
Servizio
Validazione
Collaudo
Rilascio
Strumenti di
Gestione della
Fornitura
Indicatori di qualità e relativi valori soglia che vengono applicati alle forniture oggetto del contratto/lotto.
Gli LSG sono applicabili a tutti gli interventi. Gli LSS riguardando singole macro classi di fornitura e
forniture immediate
S: sviluppo
M: manutenzione
A: assistenza
D: supporto al Demand Management
Modello A: il Fornitore è responsabile dell’attività e il gruppo di lavoro è composto da risorse del
Fornitore, coordinate da un proprio Referente che costituisce l’interfaccia unica verso il Referente di LI.
Modello B: il Fornitore fornisce risorse con le conoscenze e le competenze indicate nei profili tipici
delle classi di fornitura che andranno a realizzare servizi a integrazione dei gruppi di lavoro di LI.
Ambito di attività aggregate coerentemente rispetto a definiti obiettivi delle Direzioni ed unità
Organizzative Regionali.
Attività di controllo effettuata da Lombardia Informatica sulle forniture erogate dal Fornitore.
Attività di controllo effettuata da Regione Lombardia sulle forniture erogate da LI (ciclo attivo).
Consegna da parte del Fornitore di uno o più output (esempio documenti, software, ecc.)
Gli strumenti per la gestione della fornitura (SGF) supportano il processo di collaborazione tra LI ed il
Fornitore per la pianificazione, l’esecuzione, la rilevazione dello stato ed il reporting delle attività dei
contratti, dal punto di vista amministrativo ed operativo (Rif. Cap. 6 CT).
Allegato 5 – Piano di Qualità
Pagina 5 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
2.
2.1
Organizzazione del documento e
modalità di gestione
Organizzazione del documento
Il PQ si articola in capitoli aventi il seguente contenuto:
1 - Introduzione
Contiene le informazioni che servono a collocare il documento all’interno del contesto delle Forniture per le macroclassi
di fornitura. In particolare, vengono fornite le informazioni relative allo scopo, al campo di applicazione, ai riferimenti
documentali, agli acronimi e alle definizioni utilizzate all’interno del PQ.
2 - Organizzazione del documento e modalità di gestione
In questo capitolo viene descritta la struttura del documento e le modalità della sua gestione in termini di revisione e di
trasmissione tra LI e Fornitore.
3 - Organizzazione e ruoli
Vengono fornite indicazioni relativamente ai ruoli e alle responsabilità di LI e del Fornitore coinvolti nella gestione dei
contratti.
4 - Modalità di gestione del contratto
In questo capitolo si illustrano le informazioni rilevanti per comprendere le modalità di gestione del contratto. In
particolare, vengono riportati il ciclo di vita, le attività di controllo che su questo vengono svolte e la documentazione di
riferimento.
5 - Modalità di gestione degli interventi
Il capitolo descrive il ciclo di vita della gestione dell’intervento, dalla sua attivazione, alla verifica e controllo fino alla sua
chiusura.
6 – Luogo, orario di lavoro e dotazioni
Per ciascuna macro classe di fornitura, vengono riportati l’orario e il luogo di lavoro e le dotazioni previste.
7 - Livelli di Servizio
Sulla base dei livelli di servizio definiti, vengono descritte le loro modalità di monitoraggio e di gestione. Per maggiori
dettagli vedere allegato 1.3 PQ – Livelli di Servizio.
8 - Gestione dei Rilievi e delle penali
Sono descritte le modalità di gestione di rilievi e penali conseguenti al mancato rispetto dei Livelli di Servizio definiti
nell’allegato 1.3 PQ – Livelli di Servizio. Le penali vengono descritte nel Contratto.
9 - Gestione degli audit
Vengono descritte le modalità di gestione delle verifiche ispettive che LI si riserva di effettuare presso il Fornitore, al fine
di verificare l’applicazione, da parte del Fornitore stesso, di quanto previsto contrattualmente e dal PQ.
10 - Gestione delle Azioni correttive e preventive
Vengono descritte le modalità di gestione delle azioni correttive e preventive da parte del Fornitore al fine di incidere
sulle cause che generano o possono generare il verificarsi o il ripetersi di un problema.
11 - Gestione della configurazione
Vengono descritte le linee guida di gestione della configurazione e fornite alcune indicazioni operative al Fornitore.
12 - Aspetti connessi alla Privacy (ex. D. Lgs. 196/03)
Nel capitolo sono riportate le indicazioni specifiche da applicarsi al contratto in merito al rispetto della normativa in vigore
ed eventuali evoluzioni per il trattamento dei dati personali.
13 - Gestione della Sicurezza delle Informazioni
Allegato 5 – Piano di Qualità
Pagina 6 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
Vengono descritte le regole e le modalità di gestione delle informazioni che il Fornitore dovrà osservare al fine di
preservarne la riservatezza, la disponibilità e l’integrità.
2.1.1 Allegato al PQ
Allegato 1 PQ – Livelli di Servizio: Descrive i Livelli di servizio applicabili al contratto
2.2
Modalità di gestione
Il PQ è redatto da LI ed è parte integrante della documentazione contrattuale. La necessità di apportare modifiche al PQ
può essere espressa sia da LI che dal Fornitore. Tali modifiche, concordate tra le parti, danno luogo ad una nuova
emissione del documento, che dovrà essere approvato dal Responsabile del Contratto di LI e del Fornitore.
3. Organizzazione e ruoli
3.1
Organizzazione di LI
La tabella seguente schematizza i ruoli di LI definiti per la gestione dei Lotti e degli interventi.
Ruolo LI
Responsabile del
contratto
Responsabilità LI
E’ individuato all’interno dell’Alta Direzione di LI
Responsabile del
Procedimento della
E’ individuato e nominato dal Presidente e si avvale del Direttore dell’Esecuzione del Contratto (DEC).
fase di Esecuzione
(RPE)
È individuato nella Funzione Supply e Contract Management.
Ai sensi del Regolamento di esecuzione ed attuazione dei contratti pubblici (D.P.R. 207/10), il DEC
provvede al coordinamento, alla direzione ed al controllo tecnico-contabile dell’esecuzione del
Direttore
contratto stipulato dalla Stazione appaltante. Assicura la regolare esecuzione del contratto da parte
dell’esecuzione del
dell’esecutore, verificando che le attività e le prestazioni contrattuali siano eseguite in conformità ai
contratto (DEC)
documenti contrattuali.
In particolare rappresenta il punto di contatto con i Fornitori aggiudicatari per la gestione complessiva
del contratto, garantendo la sua regolare esecuzione.
Referente
Operativo
Generale del
contratto (ROG)
Verifica l’andamento generale ed economico della fornitura ed eventuali modifiche al contratto.
Definisce il Piano Generale avvalendosi delle strutture aziendali competenti e redige il verbale di
chiusura del contratto.
Referente
Operativo
dell’Intervento
(ROI)
Gestisce l’intervento di competenza dall’avvio delle attività alla loro chiusura monitorando
l’andamento attraverso SAL Operativi periodici e gestendo eventuali criticità e azioni correttive.
Informa il DEC in merito all’avanzamento dell’intervento.
3.2
Organizzazione del Fornitore
Per l’espletamento delle attività amministrative e operative relative al Contratto, il Fornitore dovrà individuare e
comunicare:


un Responsabile del Contratto del Fornitore (RdCF) che si interfaccia con il Responsabile del Contratto di LI;
un Responsabile per l’Esecuzione del Fornitore (REFO) che si interfaccia con il Responsabile del Procedimento
della fase di Esecuzione di LI e con il DEC di LI;
Allegato 5 – Piano di Qualità
Pagina 7 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.

un Referente Operativo del Fornitore per l’Intervento (ROFI) che si interfaccia con il Referente Operativo
dell’Intervento di LI.
Allegato 5 – Piano di Qualità
Pagina 8 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
4. Modalità di gestione del contratto
4.1
Aspetti generali
Ogni Lotto in cui è suddivisa la procedura di gara, rappresenta un contratto sottoscritto tra il Fornitore e la stazione
appaltante e, tale contratto, ha un ciclo di vita che viene declinato secondo quanto previsto in questo documento.
4.2
Ciclo di vita del contratto
4.2.1 Affidamento
L’affidamento di ogni lotto avverrà secondo quanto previsto dal “Disciplinare di gara”
Con riferimento a ciascun contratto il Fornitore sarà chiamato a realizzare la fornitura attraverso formali richieste di
intervento.
4.2.2 Verifiche e controlli
I momenti di controllo e verifica sono costanti per tutta la durata della fornitura e garantiscono una visibilità completa e
dettagliata dell’avanzamento delle attività. Le attività di verifica e controllo riguardano:


verifica dell’andamento operativo della fornitura (SAL Operativo);
verifica dell’andamento economico e generale del contratto con dettaglio sulle macro classi di fornitura (SAL
Economico-Generale).
Il dettaglio è riportato nella seguente tabella:
Attività di
verifica
SAL
OPERATIVO
SAL
ECONOMICO GENERALE
Oggetto
Uno o più
interventi
Macroclasse
di fornitura e
intero
contratto
Finalità
Monitoraggio
attività
operative,
controllo costi e
attestazione di
consegna dei
rilasci, controllo
della qualità
della fornitura e
del rispetto degli
SLA definiti
Verifica costi,
consumi e
andamento
generale del
contratto
Attori
ROI e omologhi referenti
del Fornitore
Frequenza
- Interventi a
Canone e a
Misura di Risorse:
Mensile
- Interventi a Corpo
e A Misura di
Prodotto: a
Milestone
Output
Verbale di
SAL
ed in ogni caso in
funzione delle
peculiarità degli
interventi monitorati
DEC, ROG e omologhi
referenti del Fornitore
Trimestrale o su
richiesta di LI
Verbale di
SAL
NOTE:
Lombardia Informatica, inoltre, si riserva la facoltà di convocare incontri comuni tra LI e i Fornitori di più contratti in corso
di esecuzione, al fine di affrontare aspetti e/o criticità comuni a diversi contratti di fornitura.
Gli attori coinvolti saranno DEC, ROG, omologhi referenti del Fornitore ed eventuali altri referenti a seconda delle
necessità.
Allegato 5 – Piano di Qualità
Pagina 9 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
4.2.3 Modifiche al contratto
L’inserimento di un nuovo servizio all’interno del contratto avviene valutando la coerenza tra la tipologia di servizio
richiesta, in termini di obiettivi, requisiti e contenuti, e il perimetro previsto per il contratto. La scelta compete al Direttore
Demand il quale la sottopone alla verifica del ROG e all’approvazione di DEC, RPE e DCO di LI.
Il nuovo servizio, pur non comportando la revisione formale del contratto, viene comunicato dal DEC al Fornitore ed
aggiunto a quelli già presenti.
4.2.4 Chiusura
La chiusura del contratto viene attestata dalla formalizzazione di un “Verbale di chiusura del contratto” verificato dal ROG
e approvato dal DEC, RPE e DCO.
Gli input documentali utilizzati per la redazione di tale documento sono quelli che attestano l’avvenuta chiusura dei
singoli interventi attuati nell’ambito del contratto considerato (rif. Par. 5.2.4). Più precisamente:
 verbali di chiusura degli interventi;
e, in caso di necessità:
 verbali di trasferimento Know How degli interventi;
 verbali di subentro degli interventi;
 verbali di SAL Operativi degli interventi.
Nello schema seguente si illustra la chiusura del contratto:
Documentazione di chiusura dell’Appalto
Verbale di
Subentro
Intervento I1
Intervento I2
Intervento In
Verbale SAL
Operativo
SAL1
SAL2
SALn
Verbale
Chiusura
Intervento I1
Intervento I2
Intervento In
Verbale
Chiusura
del Contratto
Verbale di
Trasf. Know How
Intervento I1
Intervento I2
Intervento In
4.3
Piano Generale della Fornitura
Per ciascun contratto LI predispone un Piano Generale della Fornitura (PG) che regola e specifica:




Il perimetro del contratto e sue eventuali modifiche a seguito dell’evoluzione dei servizi (es. schede servizio,
ambiti di assistenza o manutenzione, ecc.);
vincoli o criticità da tener in considerazione per l’esecuzione del contratto (es. pianificazione regionale, vincoli
normativi, ecc.);
la stima della ripartizione dei tetti di spesa tra gli ambiti edi suddivisione d/oell le macroclassi di fornitura;
eventuale necessità dell’utilizzo delle clausole di convertibilità (ove applicabile).
Il PG costituisce il riferimento generale per verificare l’avanzamento delle attività e viene redatto annualmente (con
orizzonte temporale riferito all’anno solare) e aggiornato semestralmente.
Il Fornitore deve impegnarsi al rispetto del piano che, contestualizzato nel quadro più generale, consente il
raggiungimento degli obiettivi di RL e di LI.
Allegato 5 – Piano di Qualità
Pagina 10 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
5. Modalità di gestione dell’intervento
Aspetti generali dell’intervento
5.1
Nell’ambito di ogni singolo contratto, la fornitura prevede l’identificazione, la formalizzazione e successiva erogazione di
“Interventi”, ovvero aggregazioni di attività coerenti tra di loro e attinenti a: prodotti/servizi, macroclassi di fornitura o
raggruppamenti di prodotti/servizi e macroclassi opportunamente individuati.
Gli interventi saranno caratterizzati dalle modalità contrattuali di gestione che ne delineeranno le caratteristiche in termini
di attività, ruoli e responsabilità.
La gestione del singolo intervento risponde a criteri logici riconducibili ad un flusso operativo che regolamenta le attività
di:





attivazione;
verifica e controllo;
modifica;
chiusura;
cancellazione/sospensione parziale o totale.
dell’intervento.
La gestione del ciclo di vita dell'intervento è supportata, in LI, dallo strumento Oracle Applications. Il Fornitore, per
quanto di competenza, dovrà utilizzare tale strumento per le attività relative alla gestione dell'intervento secondo le
indicazioni fornite da LI.
Nel seguito si descrivono, in forma tabellare, le principali attività connesse al ciclo di vita dell’intervento, in carico a LI e al
Fornitore.
Ciclo di vita dell’intervento
5.2
5.2.1 Attivazione dell’intervento
L’attivazione dell’intervento riguarda le attività formali e operative da espletare per l’avvio delle attività.
Tali attività possono differire in termini di informazioni coinvolte in base ai vari modelli di erogazione della fornitura e
modalità contrattuali.
Nel caso in cui l’intervento sia già stato definito nel capitolato tecnico, su richiesta di SCM, il Fornitore è comunque
tenuto a predisporre la Proposta di Fornitura.
Resta inteso che, nel caso suddetto, quanto predisposto dal Fornitore, dovrà essere coerente con quanto previsto
nell’offerta tecnica e nel capitolato.
Responsabile
A Corpo
A misura di prodotto
A Canone
A misura risorse
LI
- Contrattazione preventiva; il ROI contatta il Fornitore presentando l’esigenza e condividendo
informalmente i contenuti, il dimensionamento, tempi , deliverable, ecc.dell’intervento
- NOTA: Per interventi complessi o di dimensioni importanti , SCM DEVE essere tempestivamente
coinvolta nella fase di contrattazione preventiva con il Fornitore.
LI
- Definisce obiettivi, attività, requisiti e standard dell’intervento ed eventuali altri vincoli (ad esempio
collaudi con RL, ecc.);
- Definisce i vincoli temporali, principali rilasci, corrispettivi e misure (se richieste) per l’intervento;
- Indica eventuali Livelli di Servizio specifici applicabili all’intervento fra quelli definiti contrattualmente);
- Definisce le specifiche regole di dettaglio per il controllo di gestione dell’intervento, nel rispetto di
quanto definito contrattualmente e nel PQ;
- Ove necessario richiede la predisposizione del piano di Subentro e del piano di Trasferimento di Know
How dell’intervento che sarà consegnato nelle fasi di chiusura dell’intervento. (**)
- Identifica il Referente Operativo dell’intervento;
- Consegna al Fornitore la necessaria documentazione in input per la predisposizione della Proposta di
Fornitura e l’avvio delle attività
Fornitore
- Predispone la Proposta di Fornitura (PIF) e la trasmette al ROI
Allegato 5 – Piano di Qualità
Pagina 11 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
Responsabile
A Corpo
A misura di prodotto
A Canone
A misura risorse
LI (ROI)
- Redige la Richiesta di intervento corredata della PIF del Fornitore e la trasmette a SCM
LI (SCM)
- Verifica e valida la Richiesta di Intervento e la Proposta di Fornitura;
LI (SCM)
- Formalizza ed emette l’ordine (***).
LI (ROI)
- Avvia l’intervento predisponendo opportuno Verbale di Attivazione
(**) LI si riserva di richiedere il Piano di Trasferimento Know How per l’intervento in qualsiasi momento durante la
realizzazione dell’intervento stesso.
(***) Più interventi potranno essere accorpati in uno stesso ordine.
5.2.2 Verifica e controlli dell’intervento
Ciascun intervento, al fine di assicurare il raggiungimento degli obiettivi definiti nei tempi e modi concordati, dovrà
prevedere opportuni controlli, che potranno differire in quantità e criteri in funzione della modalità contrattuale e dei
modelli di erogazione della fornitura.
In ogni caso i rilasci effettuati e/o i risultati generati nell’ambito della fornitura (evidenze, rapporti di consuntivazione,
ecc.), saranno oggetto di validazione da parte di LI.
Lo stato di avanzamento dell’intervento verrà esaminato in apposite riunioni (SAL Operativi), in cui verranno evidenziati
eventuali scostamenti, criticità, anomalie, ecc.
Tali riunioni avranno frequenza almeno mensile in caso di fornitura “A misura di risorse” o “A canone”, mentre per
forniture “A corpo” o “A misura di prodotto” la frequenza sarà almeno in corrispondenza delle Milestone previste.
LI (SCM) potrà richiedere l’esecuzione di SAL con frequenza maggiore, soprattutto in presenza di progetti complessi.
Di seguito la mappatura dei controlli previsti.
Responsabile
Fornitore
LI (ROI)
Fornitore
A Corpo
A misura di prodotto
A Canone
Realizza quanto previsto nel Piano di Subentro dell’intervento
Verbalizza la corretta e completa conclusione delle attività di Subentro
Fornisce evidenza del raggiungimento di quanto previsto e pianificato
LI (ROI)
LI (ROI)
Esegue il controllo dei LdS e comunica a SCM eventuali scostamenti
- Consegna i rilasci previsti
- Consegna le
eventuali evidenze
relative allo
svolgimento del
servizio
LI (ROI)
Verifica e valida quanto consegnato e segnala al Fornitore le eventuali Criticità
LI (SCM)
Segnala al Fornitore gli eventuali Rilievi e/o Penali
Allegato 5 – Piano di Qualità
Fornisce evidenza del
consumo di risorse con
fornitura dei consuntivi
delle attività svolte
Esegue controllo in termini
di:
- Avanzamento delle
Esegue controllo in
attività sulla base dei
termini di:
Function Points prodotti - Qualità della
Esegue controllo in termini
o altre unità di misura
fornitura erogata in
di:
definite
conformità ai
- Giornate erogate
- Qualità della fornitura
requisiti
- Qualità della fornitura
erogata in conformità ai - Controllo dei livelli di
erogata in conformità ai
requisiti
presidio presso le
requisiti
- Aggiornamento del
aziende ed operatori
dimensionamento
(ove applicabili)
dell’intervento se
necessario
Esegue controllo in
termini di:
- Avanzamento delle
attività sulla base dei
rilasci raggiunti
fasi/funzionalità
- Qualità della fornitura
erogata in conformità
ai requisiti
- Aggiornamento del
dimensionamento
dell’intervento se
necessario
Fornitore
A misura risorse
- Consegna i rapporti di
consuntivazione
Pagina 12 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
Responsabile
Fornitore
A Corpo
A misura di prodotto
Controlla e chiude le Criticità
LI (SCM)
Controlla e chiude Rilievi e/o Penali
LI
Fornitore
A misura risorse
Gestisce Criticità, Rilievi, Penali
LI (ROI)
LI (ROI)
A Canone
Esegue validazione del rilascio consegnato,
verbalizzando e dandone comunicazione a SCM
Esegue validazione
delle eventuali
evidenze, verbalizzando
e dandone
comunicazione a SCM
Esegue validazione dei
rapporti di
consuntivazione,
verbalizzando e dandone
comunicazione a SCM
Effettua controlli amministrativi, tecnici e contrattuali finalizzati ad autorizzare l’emissione della fattura e il
successivo pagamento.
Emette fattura (*)
(*) La fattura deve riportare il codice identificativo di autorizzazione alla fatturazione rilasciato da LI.
5.2.3 Modifica dell’intervento
Nel corso dello svolgimento dell’intervento potranno subentrare situazioni tali da richiedere una modifica delle condizioni
precedentemente concordate.
LI, in accordo con il Fornitore, valuterà la necessità di attivare un nuovo intervento o di modificare l’intervento in essere in
funzione degli impatti generati dalle nuove esigenze. In caso di modifica dell’intervento, LI e Fornitore devono
formalizzare le decisioni assunte all’interno del verbale di SAL Operativo .
5.2.3.1 Prolungamento temporale dell’intervento
Nel caso di un prolungamento temporale dell’intervento (es. per esaurire le risorse ingaggiate e non consumate, per
giustificati ritardi – non imputabili al Fornitore - nella consegna di una fornitura a corpo), il ROI formalizza la richiesta di
prolungamento a SCM che, in accordo col Fornitore, provvede a ratificare il prolungamento stesso.
5.2.4 Chiusura dell’intervento
La chiusura dell’intervento prevede lo svolgimento di attività atte a formalizzare il raggiungimento degli obiettivi previsti; il
seguente schema riassume tali attività in relazione ai modelli contrattuali e indipendentemente dalle macro classi e dei
modelli di erogazione della fornitura:
Responsabile
Fornitore
A Corpo
A misura di prodotto
A Canone
A misura risorse
- Fornisce evidenza di quanto realizzato e dell’attuazione di quanto pianificato (comprese le misurazioni
del prodotto, ove previsto dal tipo di fornitura);
- Fornisce il Piano di Trasferimento Know How per l’intervento, con congruo anticipo e comunque in
tempo utile per lo svolgimento delle attività previste entro il termine contrattuale;
LI (ROI)
- Verifica Piano di Trasferimento Know How per l’intervento.
LI (ROI)
- Esegue accertamenti relativi a:
- Completezza e coerenza ai requisiti degli output del rilascio pianificato (comprese le misurazioni del
prodotto, ove previsto dal tipo di fornitura);
- Termine con esito positivo di tutte le attività previste dall’intervento;
- Espletamento di tutte le attività gestionali;
- Correttezza della misura dell'intervento in Function Points (se “A misura di prodotto Mod. A”);
- Segnala al Fornitore eventuali Criticità bloccanti per la chiusura dell’intervento (gestite secondo quanto
definito al § 5.2.2);
- Segnala a SCM eventuali rilievi e/o penali (gestite secondo quanto definito al § 5.2.2);
Fornitore
Realizza quanto previsto nel Piano di Trasferimento Know How dell’intervento.
LI (ROI)
Verifica e verbalizza la corretta e completa conclusione delle attività di Trasferimento Know How
dell’intervento.
LI (ROI)
Redige il verbale di chiusura dell’intervento e lo trasmette a SCM
LI
Fornitore
Effettua controlli amministrativi, tecnici e contrattuali finalizzati ad autorizzare l’emissione della fattura e il
successivo pagamento.
Emette fattura (*)
(*)La fattura deve riportare il codice identificativo di autorizzazione alla fatturazione rilasciato da LI.
Allegato 5 – Piano di Qualità
Pagina 13 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
Quanto sopra descritto può essere schematizzato come nel disegno seguente:
Verbale
di Subentro
Verbale
SAL Operativo
SAL1
SAL2
SALn
Verbale di
Chiusura
Intervento
Verbale
di Trasferimento
Know How
5.2.5 Cancellazione/sospensione parziale o totale dell’intervento
Durante la durata del contratto, le attività pianificate possono subire sospensioni o essere interrotte per sopravvenute
altre priorità o esigenze.
Di conseguenza, interventi attivati ed in corso di svolgimento possono subire delle cancellazioni/sospensioni parziali o
totali. Tali attività devono essere gestite in virtù degli impatti contrattuali che ne conseguono.
Per ogni richiesta di cancellazione/sospensione dell’intervento è stabilita la seguente procedura operativa:




SCM trasmette al Fornitore gli estremi della richiesta, indicando le motivazioni e la proposta di concordato; nel
caso di cancellazione/sospensione totale o parziale dell’intervento in corso d’opera, al Fornitore verrà
riconosciuto solo il lavoro effettivamente svolto, sulla base della percentuale di avanzamento lavori alla data di
cancellazione/sospensione concordata con LI;
il Responsabile del Contratto del Fornitore analizza la richiesta valutando la proposta di concordato e
predispone opportuna documentazione a consuntivo delle attività svolte e dei prodotti consegnati e/o progettati;
trasmette a SCM tale documentazione insieme alla valutazione sulla proposta di concordato;
SCM, in collaborazione con il Referente Operativo dell’intervento di LI, valuta la documentazione e, in caso di
accordo, formalizza la cancellazione/sospensione parziale o totale dell’intervento;
In caso di sospensione, SCM può riattivare l’intervento sospeso tramite comunicazione formale al Fornitore.
5.2.6 Documenti di riferimento per l’intervento
5.2.6.1 Proposta di Fornitura
Documento a carico del Fornitore, che dettaglia, ove applicabile:












funzionalità dei servizi e/o dei sistemi che verranno realizzati;
aspetti realizzativi della fornitura;
le attività, le milestone/rilasci, i deliverables ed eventuali vincoli;
tempi e impegno previsti;
i corrispettivi economici associati;
le risorse assegnate ed i relativi ruoli e profili professionali;
il Fornitore dell’RTI che eseguirà l’intervento. Nel caso in cui l’intervento sia eseguito da più fornitori all’interno
dell’RTI deve essere indicata la percentuale di assegnazione al singolo Fornitore;
in caso di subappalto, deve essere indicato il subappaltatore il subappaltante e la quota di partecipazione alle
attività dell’intervento;
l'indicazione del Referente Operativo dell’Intervento da parte del Fornitore;
quando previsto, per le macroclassi Sviluppo e Manutenzione, n° di function point e relativi fattori di correzione
per ciascun rilascio parziale previsto dal Piano di Lavoro, secondo le modalità descritte nell’allegato 1.2 –
Metodologia e linee guida di misura dei FP (Cap. 4);
Piano di Subentro dell’intervento (ove richiesto da LI), specifica le attività organizzative e operative richieste e/o
messe in atto dal Fornitore per prendere in carico le attività incluse nella richiesta di intervento;
Piano di Lavoro:
Allegato 5 – Piano di Qualità
Pagina 14 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
costituisce lo strumento di riferimento per verificare l’avanzamento delle attività degli interventi in
termini di attuazione, tempi e costi e per evidenziare scostamenti e ripianificazioni;
o stabilisce, nell’ambito del processo di fatturazione, i rapporti fra milestone/rilasci, deliverable previsti e
corrispettivi associati;
o costituisce il riferimento per la misurazione di livelli di servizio che prevedono in input dati legati alla
pianificazione, all’avanzamento, alle milestone, ecc.
altri elementi richiesti per il particolare intervento.
o

5.2.6.2 Piano di Subentro dell’intervento
Il Piano potrà essere richiesto al Fornitore per disciplinare l’inizio delle attività in subentro sui servizi in essere. Pertanto,
il piano dovrà riportare le modalità di gestione del subentro e la definizione delle attività, la relativa pianificazione e le
stime di impegno previste per le attività di subentro iniziale.
Se previsto nel Piano di Subentro, Il Fornitore potrà usufruire di addestramento per un periodo massimo di 2 mesi per
ogni intervento, al fine di permettere al proprio personale la presa in carico delle attività di fornitura.
Le modalità di fruizione e la relativa pianificazione di tale addestramento dovranno essere concordate con LI, anche sulla
base delle proposte che il Fornitore potrà fare in sede di offerta.
LI garantirà la presenza di personale esperto, che potrà essere sia di LI stessa che di terzi da essa designati.
LI si riserva, a conclusione del periodo previsto di addestramento, di valutare la necessità di prolungare ulteriormente il
periodo di addestramento.
Durante le attività di addestramento la responsabilità delle operazioni continuerà ad essere in capo a LI o all’eventuale
Fornitore uscente.
Per tutto il periodo di affiancamento di inizio fornitura, il Fornitore non percepirà alcun corrispettivo per le attività e i
servizi oggetto della presa in carico.
5.2.6.3 Piano di Trasferimento Know How dell’intervento
Il Piano di Trasferimento di Know How dell’Intervento, documento a carico del Fornitore, specifica le attività organizzative
e operative richieste e/o messe in atto dal Fornitore al fine di garantire il completo passaggio di conoscenze (di contesto,
amministrative, organizzative, funzionali e tecniche) e dei prodotti legati alla realizzazione dell’intervento a LI o a terzi
designati da LI.
LI potrà richiedere il Piano di Trasferimento all’attivazione o in qualsiasi momento durante la realizzazione dell’intervento,
considerando che il Fornitore dovrà definire tale Piano con congruo anticipo e comunque in tempo utile per lo
svolgimento delle attività previste entro il termine contrattuale.
5.2.6.4 Verbale di SAL Operativo
Il Verbale di SAL Operativo, documento a carico del ROI, sintetizza per l’intervento oggetto di verifica:






le attività svolte;
le consegne effettuate (descrivendo sommariamente la consegna);
il consumo delle risorse (per le tipologie di intervento a misura di risorse o a canone);
la valutazione della qualità della fornitura, compresa la valutazione sul rispetto dei Livelli di Servizio applicabili;
le criticità riscontrate;
le azioni concordate per la risoluzione delle criticità.
La firma del documento, apposta elettronicamente dal ROI e dall’Omologo del Fornitore, attesta la piena condivisione da
parte di entrambi dei contenuti riportati nel verbale e, salvo esplicita dichiarazione, costituisce formale validazione delle
consegne descritte nel documento.
LI si riserva la facoltà di accettare eccezionalmente documenti firmati in cartaceo.
5.2.7 Responsabilità e modalità di trasmissione dei documenti
dell’intervento
Di seguito, i documenti legati all’intervento, le responsabilità connesse e le modalità di trasmissione:
Documentazione
Proposta di Fornitura (PIF)
Allegato 5 – Piano di Qualità
Responsabilità
Fornitore
Formato del
documento
Elettronico
Modalità di trasmissione
Sistema di gestione
documentale o in alternativa e
Pagina 15 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
Documentazione
Formato del
documento
Responsabilità
Modalità di trasmissione
mail su richiesta di LI
Ordine
SCM
Elettronico
Verbale di Attivazione
dell’Intervento
ROI
Elettronico firmato
digitalmente
Verbale di Subentro
ROI
Elettronico firmato
digitalmente
Verbale SAL Operativo
ROI
Elettronico firmato
digitalmente
Piano di Subentro dell’intervento
Fornitore
Elettronico
Fornitore
Elettronico
ROI
Elettronico firmato
digitalmente
Verbale di chiusura
dell’intervento
ROI
Elettronico firmato
digitalmente
Documentazione rilievi e penali
Rif. Cap. 8
Piano di Trasferimento Know
How dell’intervento
Verbale di Trasferimento Know
How
PEC
Sistema di gestione
documentale o in alternativa e
mail su richiesta di LI
Sistema di gestione
documentale o in alternativa e
mail su richiesta di LI
Sistema di gestione
documentale o in alternativa e
mail su richiesta di LI
Sistema di gestione
documentale o in alternativa e
mail su richiesta di LI
Sistema di gestione
documentale o in alternativa e
mail su richiesta di LI
Sistema di gestione
documentale o in alternativa e
mail su richiesta di LI
6. Luogo, orario di lavoro e dotazioni
6.1
Luogo di lavoro
Per ogni macro classe di fornitura l’attività potrà essere svolta:



Presso la sede di LI (via T. Taramelli 26);
Presso la sede del Fornitore;
Presso le sedi degli utenti del territorio regionale (es: Regione Lombardia, comuni, enti del Sistema Regionale
altri enti locali, ASL, Enti Erogatori Pubblici e Privati, etc.)
Nel seguito vengono fornite delle indicazioni di massima per macroclasse di fornitura. Ulteriori dettagli potranno essere
forniti all’interno della documentazione relativa ai singoli lotti.
6.1.1 Sviluppo e Manutenzione
L’attività sarà svolta prevalentemente presso le sedi del Fornitore.
Relativamente alle eventuali spese di trasferta, saranno rimborsate le trasferte effettuate al di fuori dei luoghi di lavoro
sopra indicati (rif. §6.1). Tali trasferte si prevedono in modo occasionale.
E’ a carico del Fornitore dotarsi degli ambienti di sviluppo/test che risulteranno necessari per svolgere in autonomia le
attività affidate. In tali ambienti non potranno essere trattati dati personali (comuni, sensibili e giudiziari), a meno di
autorizzazioni motivate e documentate nel rispetto delle procedure di LI.
LI permetterà il collegamento ai propri ambienti di sviluppo e al sistema di gestione della configurazione secondo le
policy di sicurezza aziendale (rif. Cap. 13).
Resta a carico del Fornitore l’onere economico, la predisposizione ed il dimensionamento del collegamento telematico
tra le sue sedi e la rete di LI (rif. Cap. 13).
Non è prevista l’installazione presso le sedi di LI di server di proprietà del Fornitore.
Si precisa che, su indicazione di LI, il Fornitore dovrà approvvigionarsi di eventuali prodotti software, diversi da quelli in
uso al momento della stipula del contratto, che dovessero rendersi necessari per l’esecuzione delle attività.
Allegato 5 – Piano di Qualità
Pagina 16 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
6.1.2 Assistenza
L’attività sarà svolta prevalentemente presso le sedi di LI e del Fornitore.
Relativamente alle eventuali spese di trasferta, saranno rimborsate le trasferte effettuate al di fuori dei luoghi di lavoro
sopra indicati (rif. paragrafo 6.1). Tali trasferte si prevedono in modo occasionale.
In casi limitati, potranno essere richieste trasferte a livello nazionale ed europeo (a carico di LI).
LI permetterà il collegamento ai propri ambienti di produzione secondo le policy di sicurezza aziendale (rif. Cap. 13).
Resta a carico del Fornitore l’onere economico, la predisposizione ed il dimensionamento del collegamento telematico
tra le sue sedi e la rete di LI (rif. Cap. 13).
6.1.3 Supporto al Demand Management
L’attività sarà svolta prevalentemente presso le sedi di LI, con possibili spostamenti sul territorio lombardo.
Relativamente alle eventuali spese di trasferta, saranno rimborsate le trasferte effettuate al di fuori dei luoghi di lavoro
sopra indicati (rif. paragrafo 6.1). Tali trasferte si prevedono in modo occasionale.
In casi limitati, potranno essere richieste trasferte a livello nazionale ed europeo (a carico di LI).
6.2
Orario di lavoro
L’orario di lavoro, salvo diversamente specificato, prevede l’erogazione di 8 ore di servizio con una flessibilità oraria
dalle 8.30 alle 19.00, in funzione anche delle esigenze del cliente.
Di seguito alcune indicazioni di massima per ciascuna macroclasse di fornitura. Ulteriori dettagli potranno essere forniti
all’interno della documentazione relativa ai singoli lotti.
6.2.1 Sviluppo
Le attività sono di norma svolte durante il normale orario di lavoro. Tuttavia, è possibile prevedere, per esempio in caso
di passaggi in produzione, lavoro notturno o festivo.
6.2.2 Manutenzione
La copertura delle classi di Manutenzione Adeguativa e piccola MEV deve essere garantita durante il normale orario di
lavoro.
La copertura della classe di Manutenzione Correttiva deve essere garantita su indicazione di LI, ed in relazione al
servizio funzionale oggetto della presente procedura, nei giorni lavorativi dal lunedì al venerdì oppure dal lunedì al
sabato dalle 8:30 – 18.00. L’orario di lavoro sarà specificato nella RdI per ciascun ambito di manutenzione.
Il servizio dovrà essere assicurato durante l’orario specificato senza interruzioni. L’orario di servizio potrà essere
modificato su richiesta di LI e recepito nel Piano di Qualità e nel Piano Generale della Fornitura in funzione di specifiche
esigenze dell’area applicativa.
Limitatamente ad alcuni servizi, che verranno puntualmente indicati per ogni contratto, per la manutenzione correttiva e
per alcune categorie di malfunzionamento, dovrà essere assicurata la copertura totale delle 24 ore giornaliere, tramite
servizio di reperibilità, attraverso chiamata telefonica.
La reperibilità deve essere garantita in tutti i giorni dell’anno, compresi i festivi (salvo diverse indicazioni di LI), e consiste
nel:



rispondere alle eventuali chiamate;
intervenire da remoto utilizzando gli strumenti opportuni, in accordo alle policy di sicurezza di LI;
intervenire, quando richiesto, presso le sedi di LI o le sede degli utenti (come previsto nel paragrafo 6.1) entro
un’ora dalla chiamata, o altro termine di volta in volta definito nei contratti, e comunque non appena possibile.
La prestazione deve essere erogata dalle stesse risorse che eseguono le attività nel normale orario di servizio.
Il Fornitore deve garantire la disponibilità del proprio personale coinvolto durante le attività organizzate da LI per
l’esecuzione di test di Business Continuity e Disaster Recovery Plan. Inoltre il Fornitore deve garantire la disponibilità del
proprio personale coinvolto durante situazioni di crisi non programmate che si dovessero verificare.
In tali evenienze il Fornitore collabora con le strutture di LI in applicazione delle procedure definite.
Allegato 5 – Piano di Qualità
Pagina 17 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
6.2.3 Assistenza
Salvo diversamente indicato, l’orario di lavoro per gli ambiti di Assistenza è 08.00 – 18.00.
Inoltre devono essere previste, ove applicabili, anche le seguenti modalità:



Reperibilità settimanale (compresi notturni/festivi);
Lavoro notturno/festivo;
Turni di lavoro (es. Help/Desk).
Limitatamente ad alcuni servizi, che verranno puntualmente indicati per ogni contratto, per l’Assistenza dovrà essere
assicurata la copertura totale delle 24 ore giornaliere, tramite servizio di reperibilità, attivato attraverso chiamata
telefonica.
La reperibilità deve essere garantita in tutti i giorni dell’anno, compresi i festivi (salvo diverse indicazioni di LI), e consiste
nel:



rispondere alle eventuali chiamate;
intervenire da remoto utilizzando gli strumenti opportuni, in accordo alle policy di sicurezza di LI;
intervenire, quando richiesto, presso le sedi di LI o le sede degli utenti entro un’ora dalla chiamata, o altro
termine di volta in volta definito, e comunque non appena possibile.
La prestazione deve essere erogata dalle stesse risorse che eseguono le attività nel normale orario di servizio.
Il Fornitore deve garantire la disponibilità del proprio personale coinvolto durante le attività organizzate da LI per
l’esecuzione di test di Business Continuity e Disaster Recovery Plan. Inoltre il Fornitore deve garantire la disponibilità del
proprio personale coinvolto durante situazioni di crisi non programmate che si dovessero verificare.
In tali evenienze il Fornitore collabora con le strutture di LI in applicazione delle procedure definite.
6.2.4 Supporto al Demand Management
Le attività sono di norma svolte durante il normale orario di lavoro.
6.3
Integrazioni e specifiche
Quando ritenuto necessario, a integrazione/specificazione di quanto sopra definito, nel singolo contratto e/o a livello di
Richiesta di Intervento verranno fornite da LI ulteriori specificazioni riguardo alla sede di riferimento, orari e dotazioni.
Per i servizi, a seconda delle esigenze, potranno essere dettagliate le caratteristiche richieste come specificato nella
seguente tabella esemplificativa (non esaustiva):
Caratteristiche del servizio – Assistenza Funzionale
Ambito
AF-3-01
Giorni di
copertura
Orario del
servizio
Reperibilità
(annuale)
Lun-Sab
7:30-20:00
-
Straordinari notturni
/festivi
(annuale)
% gg
trasferta
(annuale)
20 GGPP
Di seguito alcune precisazioni.

Ambito:
Per Ambito si intende un raggruppamento omogeneo di servizi/prodotti/attività dal punto di vista
dell’organizzazione e delle modalità di erogazione del servizio;

Orario del servizio:
Per la macroclasse Manutenzione è inteso come l’intervallo di tempo in cui devono essere prese in carico le
segnalazioni di malfunzionamento.
La risoluzione delle segnalazioni di malfunzionamenti software deve essere assicurata nei tempi previsti nei
livelli di servizio (rif. LSS-MAC1) e si precisa che, per i casi di categoria 1 e 2, il tempo di risoluzione viene
calcolato a partire dall’ora della segnalazione senza soluzione di continuità.
Per esempio:
o
orario del servizio:
Allegato 5 – Piano di Qualità
7.30 – 20.00
Pagina 18 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
o
o
o
segnalazione di gravità 1:
tempo di risoluzione:
risoluzione:
19.30
4 ore
entro le 23.30
Per i casi di gravità 3 e 4 il tempo di risoluzione viene calcolato durante l’orario di servizio, anche nel caso in cui
sia prevista la reperibilità.
Per la macroclasse Assistenza è inteso come l’orario di erogazione del servizio. Si precisa che il tempo di
risoluzione del ticket deve rispettare i livelli di servizio (rif. LSS-AS2) e viene calcolato negli orari di servizio,
indipendentemente dalla gravità della segnalazione.
Sono esclusi dal conteggio dei tempi di risoluzione:
o
o

l’indisponibilità degli utenti a far effettuare l’intervento;
i disservizi di tipo generalizzato che comportino interventi sull’infrastruttura e/o sul SW applicativo.
Reperibilità: copertura oltre l’orario del servizio; consiste nel:
1)
rispondere alle eventuali chiamate;
2)
intervenire da remoto utilizzando gli strumenti opportuni, in accordo alle policy di sicurezza di LI;
3)
intervenire, quando richiesto, presso le sedi di LI o la sede degli utenti (come previsto nel paragrafo 5.3 del
CT) entro un’ora dalla chiamata, o altro termine di volta in volta definito nel contratto, e comunque non
appena possibile.
La prestazione deve essere erogata dalle stesse risorse che eseguono le attività nel normale orario di servizio.
La reperibilità può essere richiesta tutti i giorni dell’anno compresi i festivi, e verrà indicata come 7x24, oppure
per il numero di giorni annuali indicati e richiesta con 4 gg lavorativi in anticipo (es. passaggio in esercizio).
Quando richiesta la reperibilità, le segnalazioni di malfunzionamenti devono essere prese in carico anche oltre
l’orario di servizio;

6.4
Straordinari Notturni/Festivi: giorni annuali previsti per attività straordinarie da svolgere nei giorni festivi/notturni,
che saranno richiesti con 4 gg lavorativi di anticipo (es. rilascio in produzione, test, eventi o manifestazioni sul
territorio, …).
Dotazioni di lavoro
Tutte le risorse professionali dovranno essere dotate, se non diversamente specificato, di telefono cellulare e di un
proprio PC portatile, corredato dei software necessari per l’erogazione della fornitura, compreso un antivirus aggiornato.
In caso di svolgimento delle attività presso le sedi di LI valgono le seguenti regole:




i posti di lavoro saranno attrezzati a carico del Fornitore con proprie stazioni di lavoro (PC portatili) dotate del
relativo software di base, dei programmi antivirus e degli strumenti software necessari all’esecuzione dei servizi
contrattuali, come ad esempio prodotti per lo sviluppo di software applicativo;
LI metterà a disposizione locali idonei ad accogliere gruppi di lavoro, dotati della normale attrezzatura di ufficio e
cablati per i collegamenti necessari;
LI si riserva di ridurre in corso d’opera la disponibilità dei posti di lavoro non attrezzati presso le proprie sedi,
dandone comunicazione al Fornitore con almeno 15 giorni solari di anticipo;
non è permesso al Fornitore utilizzare contemporaneamente le stazioni di lavoro per il collegamento alla rete di
LI e remotamente attraverso apparati propri di comunicazione.
In caso di svolgimento delle attività presso la sede del Fornitore, questo dovrà riservare a LI almeno un posto di lavoro
attrezzato.
LI si riserva di richiedere l’installazione di proprie postazioni presso la sede del Fornitore per lo svolgimento delle attività.
In tali circostanze saranno trasmesse al Fornitore le regole di corretto utilizzo e gestione.
Nel caso di attività che richiedano spostamenti sul territorio lombardo, il Fornitore dovrà dotarsi di mezzi di trasporto
propri.
Allegato 5 – Piano di Qualità
Pagina 19 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
7. Livelli di servizio
Come definito all’interno del CT, i Livelli di Servizio (LdS) sono indicatori di qualità che vengono applicati alle forniture
oggetto dei contrati. Il Fornitore si impegna al rispetto dei LdS valevoli per il contratto.
I livelli di servizio sono suddivisi in tre categorie:
1. Livelli di Servizio Generali (LSG) della Fornitura. Questi Livelli di servizio si intendono sempre applicabili ad ogni
intervento. Questi livelli di servizio sono applicabili a tutti i lotti;
2. Livelli di Servizio Specifici (LSS) per macro classi di fornitura. Questi livelli di servizio sono applicabili ai lotti 3 e 4;
3. Livelli di Servizio Specifici (LSS) applicabili alle forniture immediate, previste per i diversi lotti. Questi livelli di
servizio sono applicabili ai lotti ai quali si riferiscono.
Per gli Interventi ad assegnazione immediata, i LSS sono specificati all’interno dell’allegato 1.3 - Livelli di Servizio del
presente documento.
7.1
Monitoraggio e verifica dei livelli di servizio
Il monitoraggio e la verifica dei livelli di servizio consente un giudizio sull’andamento della fornitura, basato su una
valutazione oggettiva di quanto effettivamente erogato dal Fornitore, attraverso la rilevazione delle misure previste e
concordate e il confronto con quelle attese secondo criteri e modalità definite.
I livelli di servizio traducono le attese qualitative in obiettivi quantitativi misurabili, sulla base dei quali è possibile
verificare il rispetto delle clausole contrattuali ed in particolare dei livelli di qualità pattuiti.
Le attività di monitoraggio e verifica dei livelli di servizio si caratterizzano in funzione:






degli obiettivi che ci si prefigge di raggiungere;
dell’architettura, del livello di complessità e della dimensione del sistema da implementare;
del numero e tipologia dei livelli di servizio e, indirettamente, dei servizi erogati;
dei vincoli e requisiti organizzativi;
delle relazioni con le altre forniture;
di standard e norme di riferimento.
Il mancato rispetto dei LdS stabiliti, ovvero il superamento dei valori soglia, viene considerato un inadempimento
contrattuale e crea le condizioni per la notifica di rilievi o penali formali al Fornitore. Il cumularsi dei rilievi dà luogo
all’applicazione di una specifica penale (nei limiti stabiliti dal Contratto).
I dettagli relativi ai livelli di servizio, in particolare l’associazione agli stessi di rilievi o di penali, nonché le soglie applicabili
e le metriche, sono descritti nell’allegato 1.3 al PQ, mentre i dettagli relativi alla modalità di gestione dei rilievi e delle
penali sono descritte nel capitolo 8 del presente documento e nel Contratto.
8. Gestione dei rilievi e delle penali
8.1
Verifica dei livelli di servizio e rilevazione del
rilievo/penale
Il Referente Operativo dell’Intervento di LI (ROI), è responsabile della verifica degli indicatori di qualità e dei relativi valori
di soglia dei singoli interventi di competenza oggetto del contratto.
In seguito alla rilevazione del superamento dei valori di soglia, da parte del ROI, si creano le condizioni per l’applicazione
di azioni contrattuali consistenti in rilievi e/o penali (rif Contratto e allegato del PQ 1.3 “Livelli di Servizio”).
8.2
Verifica legale/tecnica e notifica al Fornitore
SCM verifica le condizioni per l’applicazione del rilievo e/o della penale e nel caso in cui vi fossero le condizioni provvede
a notificare il rilievo e/o la penale al Fornitore.
Allegato 5 – Piano di Qualità
Pagina 20 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
8.3
Gestione del rilievo/penale
La gestione dei rilievi e delle penali, sarà eseguita coerentemente a quanto definito nel Contratto ed eventualmente nel
contratto.
L’interfaccia del Fornitore per le comunicazioni relative alla gestione dei rilievi e delle penali è SCM.
Il Fornitore ricevuta la notifica (rif. §8.2) provvede all’esecuzione della penale, ovvero all’implementazione delle azioni
correttive e/o al pagamento della sanzione, secondo quanto previsto dal Contratto.
8.4
Chiusura e notifica del rilievo/penale
SCM, verificata l’esecuzione delle attività previste contrattualmente, chiude il rilievo/penale e provvede a notificarne la
chiusura al Fornitore.
Nel caso in cui la valutazione dell’efficacia di quanto eseguito dal Fornitore non dia esito positivo, LI valuta ulteriori azioni
nei confronti del Fornitore.
8.5
Documentazione relativa ai rilievi/penali
La tabella seguente riporta i documenti relativi alla gestione dei rilievi e penali e le modalità di trasmissione.
Documento
Funzione mittente
Funzione ricevente
Formato del
documento
Modalità di
trasmissione
Notifica Rilievo/Penale
SCM
ROFI
Elettronico
PEC
Notifica chiusura
rilievo/penale
SCM
ROFI
Elettronico
PEC
9. Gestione degli audit
LI si riserva la facoltà di effettuare audit presso i propri Fornitori in riferimento ai singoli contratti. Tali audit saranno
finalizzati a monitorare e verificare che le attività e/o i processi siano svolti dal Fornitore nel rispetto di quanto definito a
livello contrattuale e di quanto previsto dal Piano di Qualità, ed in particolare rispetto ai requisiti di Privacy e Sicurezza
delle Informazioni espressi nei capitoli 12 e 13.
9.1
Programmazione e comunicazione dell’audit
SCM con il supporto delle strutture competenti, in funzione di specifiche esigenze, predispone il programma di audit ed
identifica le eventuali competenze interne di supporto necessarie all’effettuazione della verifica ispettiva. Definito ed
approvato il programma da parte del Responsabile del Contratto di LI, SCM si occupa dell’invio dello stesso al Fornitore.
9.2
Esecuzione dell’audit
SCM provvede ad organizzare l’audit, predisponendo eventuali check list di supporto, e si accorda con il Fornitore in
merito alla data di svolgimento delle verifiche ispettive.
SCM, con il supporto delle funzioni competenti di LI, esegue la verifica ispettiva e a conclusione della stessa redige il
verbale di verifica annotando eventuali anomalie riscontrate.
Allegato 5 – Piano di Qualità
Pagina 21 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
9.3
Definizione e proposta delle azioni derivanti
dall’audit
Il verbale di verifica viene inviato da SCM al Fornitore affinché questi, in conseguenza di eventuali non conformità
rilevate, ne individui le cause, definisca tempi e modi delle azioni da intraprendere; il Fornitore provvede
successivamente ad inviare le proposte delle azioni correttive a SCM per verifica e approvazione.
9.4
Valutazione delle azioni proposte
SCM, ricevuta la proposta delle azioni correttive che il Fornitore intende porre in essere, con il supporto delle funzioni
competenti di LI, ne valuta il contenuto e le tempistiche e se accettati comunica l’esito positivo della valutazione al
Fornitore.
Nel caso in cui SCM non valuti positivamente le azioni proposte dal Fornitore, lo comunica al Fornitore stesso affinché
questi possa proporne altre.
9.5
Attuazione delle azioni proposte
Ricevuta l’approvazione da parte di SCM, il Fornitore implementa le azioni con le modalità concordate e nei tempi
stabiliti.
9.6
Valutazione dell’efficacia delle azioni attuate
Ad azioni ultimate, SCM, con il supporto delle strutture di LI coinvolte per competenza, ne verifica l’efficacia,
accertandosi che tali azioni abbiano rimosso le cause che hanno portato al manifestarsi delle non conformità rilevate. Nel
caso in cui la verifica non dia esito positivo, il Fornitore, su richiesta di SCM, redige nuove azioni e le sottopone
nuovamente a SCM per verifica e approvazione.
9.7
Chiusura delle azioni attuate
Verificata positivamente l’efficacia delle azioni, SCM redige il verbale di chiusura e lo invia al Fornitore
9.8
Documentazione relativa agli audit
La tabella seguente riporta i documenti relativi alla gestione degli audit e le modalità di trasmissione.
Documento
Funzione mittente
Funzione ricevente
Formato del documento
Modalità di
trasmissione
Programma di Audit
SCM
REFO
Elettronico
PEC
Verbale di verifica
SCM
REFO
Elettronico
PEC
REFO
SCM
Elettronico
PEC
SCM
REFO
Elettronico
PEC
Azioni Correttive
condivise
Verbale di chiusura
azioni
Allegato 5 – Piano di Qualità
Pagina 22 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
10. Gestione delle azioni correttive e
preventive
LI si riserva la facoltà di richiedere al Fornitore la definizione di azioni correttive o preventive, ad esempio in relazione ad
eventi notificati in sede di monitoraggio della fornitura o di gestione dei rilievi e penali, al fine di incidere sulle cause che
hanno generato l’evento notificato ed evitare il ripetersi o il verificarsi di un problema.
Di seguito si riportano le attività relative alla gestione delle Azioni Correttive/Preventive:






LI richiede la definizione di azioni correttive/preventive;
Fornitore propone l’azione;
SCM e per competenza il ROG o il Referente Operativo di LI, in funzione della tipologia di azione e/o dell’evento
notificato e del contesto, valutano l’azione e la accettano, tracciandone gli estremi;
Fornitore attua quanto definito dando evidenza di quanto posto in essere;
SCM e il ROG o il Referente Operativo di LI valutano l’efficacia della soluzione adottata e chiudono l’azione;
SCM comunica al Fornitore la chiusura dell’azione.
11. Gestione della configurazione
Nell’ambito di ogni contratto, al Fornitore è richiesta la conoscenza di tutti i prodotti utilizzati da LI per la gestione della
configurazione (cfr. capitolo 6 del CT “ Strumenti per la Gestione della Fornitura” e Allegato 1.4 – Cicli di vita del
software) in quanto saranno utilizzati dal Fornitore stesso per le attività di propria competenza. Il Fornitore dovrà
adeguare le proprie conoscenze nel caso LI decida l’utilizzo di prodotti differenti nel corso della durata contrattuale.
Il Fornitore, dovrà garantire la continua alimentazione del repository del sistema di gestione della configurazione, per
tutte le componenti software costituenti il sistema, senza alcun onere aggiuntivo per LI nel momento in cui LI metterà a
disposizione l’ambiente di Configuration management. Tale attività dovrà essere garantita per tutto il software sviluppato
e manutenuto nel corso della fornitura.
Nel caso di applicazioni che richiedano procedure di compilazione e/o deploy su ambienti esecutivi (a titolo
esemplificativo e non esaustivo: sistemi su piattaforma JAVA, sistemi con componenti Java, etc.) il Fornitore ad inizio e
nel corso della fornitura dovrà produrre, come parte del rilascio, le procedure di compilazione e distribuzione in accordo
con i prodotti ed i compilatori previsti dal sistema gestione della configurazione di LI e garantirne la loro manutenzione.
Allegato 5 – Piano di Qualità
Pagina 23 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
12. Aspetti connessi alla privacy (ex D.Lgs
196/03)
Il D.Lgs. 196/03 (Codice in Materia di Protezione dei dati personali, di seguito il Codice), entrato in vigore il 1° gennaio
2004 e s.m.i., si propone di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà
fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al
diritto alla protezione dei dati personali.
Con “trattamento dei dati personali” s’intende qualunque operazione (ad es: consultazione, elaborazione, conservazione,
ecc.) svolta con o senza l’ausilio di mezzi elettronici riguardante dati concernenti persone fisiche.
12.1 Misure di sicurezza
Il Codice definisce un insieme di misure minime (artt. 33, 34, 35, D.Lgs. 196/03) che devono essere applicate con lo
scopo di assicurare un livello minimo di protezione dei dati personali. Il Codice prevede (art. 31, D.Lgs. 196/03), inoltre,
la definizione di un insieme di misure idonee, più ampie e legate all’innovazione ed al progresso tecnologico, la cui
implementazione consente di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di
accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di raccolta.
Oltre all’applicazione delle misure di sicurezza, il trattamento dei dati personali, da parte del Fornitore o subfornitore,
dovrà sempre ispirarsi al rispetto dei principi generali del Codice e quindi avvenire in modo lecito e secondo correttezza,
valutando la pertinenza, la completezza e la non eccedenza dei dati rispetto alle finalità dei trattamenti in funzione delle
attività assegnate.
In particolare, si evidenzia il principio di necessità (art.3) che prevede che gli strumenti elettronici siano configurati in
modo da ridurre al minimo l’utilizzo di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le
finalità perseguite possano essere realizzate mediante altri strumenti quali dati anonimi o altre modalità che permettano
di identificare l’interessato solo in caso di necessità.
L’evoluzione della normativa sulla privacy, mediante la pubblicazione di provvedimenti, regolamenti, ecc. ad hoc da parte
dell’Autorità Garante, ha richiesto e potrebbe richiedere in futuro, l’implementazione di misure di sicurezza ulteriori
rispetto a quanto già contemplato nel già citato Codice. Si chiede quindi al Fornitore di considerare e applicare ogni
ulteriore misura che potrà derivare dall’evoluzione normativa.
Il Fornitore deve garantire e monitorare l’applicazione delle prescrizioni di seguito descritte anche da parte degli
eventuali suoi subfornitori anche attraverso attività di audit.
Nel prosieguo con il termine “Fornitore” si intende sia il Fornitore che i suoi eventuali Subfornitori.
Di seguito sono riassunte, organizzate in classi omogenee, le misure minime di sicurezza di carattere fisico, logico ed
organizzativo richieste dal legislatore nell’allegato B del D.Lgs. 196/03 (per ogni classe vengono riportati i riferimenti ai
punti dell’Allegato B).
Identificazione degli utenti [1, 2, 3, 6]
Gli strumenti elettronici utilizzati per il trattamento di dati personali devono prevedere una procedura di autenticazione,
che richieda la definizione di credenziali di autenticazione costituite da un codice identificativo e da una password oppure
da un dispositivo di autenticazione eventualmente associato ad un codice identificativo o ad una password, oppure da
una caratteristica biometrica.
Ciascun utente può essere dotato di più credenziali di autenticazione, ognuna delle quali deve essere associata e
riconducibile ad un singolo utente, in modo tale da garantire che la stessa utenza non venga assegnata ad un’altra
persona, nemmeno in tempi futuri.
Frequenza di cambio password [5, 7, 8]
La password utilizzata per accedere agli strumenti elettronici per il trattamento di dati personali deve essere modificata
dall’utente in modo autonomo dopo il primo accesso e successivamente almeno ogni 6 mesi per i dati personali-comuni
e ogni 3 mesi nel caso di trattamento dati personali-sensibili/giudiziari. Inoltre, nel caso in cui un utente perda le qualità
per accedere ai dati oppure non acceda al sistema per un periodo superiore a 6 mesi, le corrispondenti credenziali non
devono essere cancellate, bensì disabilitate.
Composizione delle password [5]
Allegato 5 – Piano di Qualità
Pagina 24 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
La password deve avere una lunghezza di almeno 8 caratteri oppure, laddove non sia possibile, il massimo consentito,
deve inoltre essere non banale e non deve contenere riferimenti agevolmente riconducibili all’incaricato (nome,
cognome, data di nascita, ...) e deve essere composta da caratteri alfanumerici.
Politiche di controllo degli accessi [4, 9, 10, 12, 13, 14, 15]
Agli utenti devono essere impartite opportune regole volte ad assicurare sia la segretezza della password e la diligente
custodia dei dispositivi in possesso dell’utente, sia il corretto utilizzo degli strumenti elettronici e dei locali utilizzati per il
trattamento (screensaver con password, chiusura dei locali, …), nonché la definizione delle modalità di accesso ai dati in
caso di assenza prolungata dell’incaricato.
Nel caso in cui per gli incaricati sono individuati profili di autorizzazione diversi, deve essere previsto un sistema di
autorizzazione. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, devono essere
individuati e configurati anteriormente all'inizio del trattamento.
Inoltre, la sussistenza dei profili di autorizzazione e l'individuazione dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici devono essere verificate periodicamente
con frequenza almeno annuale.
Protezione dei dati sensibili archiviati [21, 22, 24]
I dati sensibili contenuti in elenchi, registri o banche di dati devono essere trattati con tecniche di cifratura o mediante
altre soluzioni, in modo da consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono
di identificare direttamente gli interessati. I dati relativi all'identità genetica devono essere trattati esclusivamente
all'interno di locali protetti ed accessibili ai soli soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati
all'esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il
trasferimento dei dati in formato elettronico deve essere cifrato.
Inoltre, agli utenti che effettuano trattamento di dati sensibili/giudiziari devono essere impartite opportune istruzioni
inerenti sia la custodia e l’uso di supporti di memorizzazione, sia il riutilizzo e/o la distruzione degli stessi.
Protezione dei dati cartacei [27, 28, 29]
Agli incaricati devono essere impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l'intero ciclo
necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Gli atti ed
i documenti contenenti dati personali sensibili o giudiziari affidati agli incaricati del trattamento per lo svolgimento dei
relativi compiti devono essere controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non
accedano persone prive di autorizzazione, e devono essere restituiti al termine delle operazioni affidate. Inoltre,
l'accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato, identificando e registrando le persone
ammesse, a qualunque titolo, dopo l'orario di chiusura. Inoltre, se gli archivi non sono dotati di strumenti elettronici per il
controllo degli accessi o di addetti della vigilanza, le persone che vi accedono devono essere preventivamente
autorizzate.
Implementazione delle misure di sicurezza da parte di esterni [25]
Qualora il Fornitore si avvalga di aziende esterne per l’implementazione delle misure minime di sicurezza, deve essere
prevista la richiesta alle stesse di una descrizione scritta dell’intervento effettuato che ne attesti la conformità alle
disposizioni del Disciplinare Tecnico (Allegato B, D.Lgs. 196/03).
Protezione contro software dannoso (virus) [16, 17]
Tutti gli strumenti elettronici utilizzati devono prevedere sia l’installazione di un software antivirus aggiornato con
cadenza almeno semestrale, sia la realizzazione di operazioni di manutenzione correttiva e preventiva dei programmi e
del sistema operativo con frequenza almeno annuale (semestrale nel caso di trattamento dati sensibili/giudiziari).
Gestione dei Back-up [18, 23]
Agli utenti devono essere impartite opportune norme che prevedano il salvataggio dei dati con frequenza almeno
settimanale.
Inoltre devono anche essere definite le regole e le operazioni da intraprendere per il ripristino dell’accesso ai dati
sensibili/giudiziari, in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i
diritti degli interessati e non superiori a sette giorni.
Rilevazione delle vulnerabilità tecniche [20]
Tutti gli strumenti elettronici utilizzati per il trattamento di dati sensibili/giudiziari devono essere posti su segmenti di rete
protetti da software e apparati di protezione perimetrale (Firewall, IDS. ecc.).
Tracciamento degli eventi [misure derivanti dal Provvedimento del Garante Privacy del 27/11/2008 e successive
integrazioni]
Allegato 5 – Piano di Qualità
Pagina 25 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica, in
modo da controllare la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati
personali previste dalla normativa.
Inoltre, devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi
di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono
avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento
dello scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono
essere conservate per un congruo periodo, non inferiore a sei mesi.
Supporto all’aggiornamento del Documento Programmatico sulla Sicurezza
Il Fornitore dovrà collaborare con i Titolari del trattamento (RL, LI, ecc. ) all’aggiornamento del Documento
Programmatico sulla Sicurezza. , fornendo le informazioni necessarie.
12.2 Assetto organizzativo privacy – Responsabili del
trattamento e incaricati
Le società aggiudicatarie dei contratti, per quanto di competenza, verranno nominate Responsabili del trattamento dei
dati personali dai singoli Titolari del trattamento (Regione Lombardia, Asl, AO, Enti, ecc.)
Lombardia Informatica, potrà comunicare ai singoli Titolari i dati identificativi e l’ambito di trattamento dei dati personali
delle società aggiudicatrici.
Sarà quindi compito dei vari Responsabili nominati, procedere a designare come Incaricati i soggetti (persone fisiche)
preposti al trattamento dei dati e a designare come Amministratori di Sistema i soggetti preposti a tale funzione, sia che
questi operino presso la propria sede o presso quelle di Lombardia Informatica. I Responsabili del trattamento dei dati
personali dovranno altresì rispettare quanto previsto dal Provvedimento del Garante per la protezione dei dati personali
del 27 novembre 2008 e successive modifiche.
Lombardia Informatica si riserva di chiedere alle società aggiudicatarie dei contratti l’elenco aggiornato delle persone
fisiche designate come Incaricati e/o Amministratori di Sistema.
12.3 Attività di verifica e controllo
Lombardia Informatica, quale referente dei servizi erogati per la propria committenza, avrà facoltà di effettuare attività di
verifica e controllo sull’applicazione, da parte del Fornitore ed eventualmente dei Subfornitori, di quanto sopra esposto e
di qualsiasi altra misura di sicurezza che dovrà essere implementata a fronte di evoluzioni normative in materia. La
verifica può essere effettuata sia tramite visita presso il Fornitore o congiuntamente presso il suo Subfornitore, sia
tramite richiesta di idonea documentazione attestante la conformità alla normativa sulla Privacy.
12.4 Trasferimento e trattamento di dati all’estero
Nel caso in cui l’erogazione dei servizi oggetto dei Contratti prevedesse il trattamento di dati all’interno dell’Unione
Europea, dovranno essere rispettate le disposizioni normative vigenti in materia di protezioni di dati personali (D. Lgs.
196/2003 e s.m.i.).
Il trasferimento e il trattamento dei dati personali fuori dell’Unione Europea deve sottostare a quanto di seguito
esplicitato, al fine di assicurare i medesimi livelli di protezione garantiti nell’area comunitaria in materia di protezione dei
dati personali. In dettaglio, i dati personali, possono circolare fuori dell’Unione Europea solo se, alternativamente:


il Titolare di tali dati conclude con il soggetto Responsabile del loro trattamento fuori dell‘Unione Europea il
contratto-tipo predisposto dalla Commissione Europea per tale evenienza;
gli Interessati manifestano il loro espresso consenso.
Poiché i Titolari dei dati in questione (Regione Lombardia, ASL, Aziende Ospedaliere, ecc.) e gli Interessati (cittadini,
ecc.) sono soggetti che non partecipano al procedimento di gara, e lo stesso procedimento deve essere autosufficiente,
è esclusa la possibilità di trattare tali dati al di fuori dell’Unione Europea.
Allegato 5 – Piano di Qualità
Pagina 26 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
13. Gestione della sicurezza delle
informazioni
Di seguito vengono riportate le misure di sicurezza atte a preservare l’integrità, la disponibilità e la riservatezza dei
servizi e delle informazioni che devono essere attuate dal Fornitore nell’ambito delle attività ad esso assegnate.
Qualora il Fornitore lavori all’interno delle strutture di LI si impegnerà a supportare attivamente LI nell’applicazione delle
stesse.
In qualsiasi caso, l’aderenza ai requisiti di sicurezza elencati di seguito non permetterà in alcun modo la copia e l’utilizzo
delle informazioni e dei dati all’infuori dei trattamenti formalmente autorizzati.
Al Fornitore ed eventuali suoi subfornitori non è consentito l'uso di dispositivi mobili (smartphone, tablet) propri o
aziendali per l'accesso ai dati e informazioni di LI.
Il Fornitore deve garantire e monitorare l’applicazione delle prescrizioni di seguito descritte anche da parte degli
eventuali suoi subfornitori anche attraverso attività di audit.
Di seguito con il termine “Fornitore” si intende sia il Fornitore che i suoi eventuali Subfornitori.
13.1 Requisiti generali
Il Fornitore deve:













garantire il rispetto della normativa vigente (Privacy, Leggi sul copyright, ecc.), anche attraverso l’implementazione
di procedure appropriate;
garantire la riservatezza, l’integrità e la disponibilità delle informazioni gestite nell’ambito di tutte le attività ad esso
affidate;
nell’ambito del trattamento, comunicazione e trasmissione di informazioni all'interno, così come verso l’esterno,
rispettare il principio di:
o least privilege;
o need-to-know;
o segregation of duties.
verificare con regolarità la conformità dei sistemi informativi, servizi e applicazioni agli standard di sicurezza e ai
requisiti richiesti da LI;
garantire la redazione di tutta la documentazione richiesta da LI in conformità agli standard definiti da LI;
raccogliere le evidenze, a seguito di un incidente di sicurezza, conservarle e presentarle qualora sussista la
necessità di azioni legali di natura civile o penale;
impegnarsi formalmente a gestire in modo riservato e sotto la propria responsabilità le informazioni e i dati di cui
viene a conoscenza. Al termine del contratto, salvo diverse disposizioni, le informazioni e i dati devono essere
distrutti con modalità sicure o restituiti fornendo le relative evidenze a LI;
garantire che tutti gli strumenti di lavoro introdotti in LI, come ad esempio laptop e dispositivi di memorizzazione,
siano stati preventivamente autorizzati da LI e dotati di tutte le misure di sicurezza ritenute necessarie e adeguate;
garantire che tutti gli strumenti di lavoro forniti da LI non siano modificati e la documentazione sia custodita con
cura;
utilizzare sistemi antivirus, controllo malware e meccanismi di sicurezza per i media rimovibili, per tutti i sistemi,
postazioni e reti coinvolti nello svolgimento di attività per LI;
gestire la storicizzazione degli account e delle loro attività al fine di tenerne traccia, fornendo, su richiesta di LI le
informazioni in merito;
garantire che durante l’intero ciclo di sviluppo del prodotto/servizio, venga fornita la documentazione e l’evidenza
delle accettazioni formali da parte di LI;
utilizzare le procedure operative di LI al fine di assicurare la sicura e corretta operatività delle strutture di
elaborazione delle informazioni di proprietà di LI e laddove il Fornitore operasse presso la propria sede e con
proprie risorse deve documentare, aggiornare e curare la messa in pratica di adeguate procedure operative e
documentare e monitorare tutti i cambiamenti apportati alle strutture di elaborazione delle informazioni e ai sistemi.
È vietata l’estrazione e il trasferimento di dati e/o di ogni altra informazione dalle basi dati e dai sistemi di LI, salvo
espressa e preventiva autorizzazione da parte di LI.
Allegato 5 – Piano di Qualità
Pagina 27 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
13.2 Gestione del personale del Fornitore
Il Fornitore deve garantire che il proprio personale (dipendenti e collaboratori), abbia piena consapevolezza delle
problematiche relative alla sicurezza delle informazioni. In particolare:


il Fornitore, durante il proprio processo di acquisizione del proprio personale, deve valutare i livelli di conoscenza
degli obiettivi e delle problematiche di sicurezza in funzione delle attività che dovranno essere svolte. Inoltre il
personale del Fornitore dovrà ricevere da questi un’adeguata e continuativa formazione inerente le tematiche di
sicurezza e privacy;
il Fornitore, alla conclusione del rapporto di lavoro del dipendente e/o collaboratore, deve:
o nel caso in cui le credenziali siano definite sulle reti, sistemi e applicazioni di LI, comunicare
tempestivamente al Referente Operativo di LI i nominativi che devono essere rimossi;
o nel caso in cui le credenziali siano definite sulle reti, sistemi e applicazioni gestite dal Fornitore,
rimuovere tutte le credenziali di autenticazione (ID e password) utilizzate dal dipendente e/o
collaboratore dimissionario.
13.3 Accesso agli ambienti ed ai sistemi
13.3.1
Accesso agli ambienti di LI diversi da preproduzione e
produzione
I Fornitori potranno accedere alle reti di sviluppo che LI metterà a disposizione, relativamente al proprio ambito di
competenza, solo se autorizzati da LI e attraverso le modalità di connessione descritte nel paragrafo 13.4.
L'infrastruttura utilizzata, presso LI o il Fornitore, deve rispettare i requisiti minimi definiti da LI e descritti nel seguito.
In nessun caso devono essere presenti dati di produzione dei servizi gestiti da LI, a meno di autorizzazioni motivate e
documentate nel rispetto delle procedure di LI. Si sottolinea che, ancorché salvaguardate le problematiche di privacy
(trattamenti di dati personali), il Fornitore rimane responsabile del rischio di furto, perdita accidentale e/o distruzione di
patrimonio informatico di LI, inteso come il codice sorgente e/o soluzioni prodotte, le infrastrutture e le personalizzazioni
sviluppate.
Non è permesso accedere dalle reti di sviluppo a servizi/sistemi di produzione.
13.3.2
Accesso ai sistemi e basi dati in ambiente di preproduzione/produzione
L’accesso ai sistemi ed alle basi dati in ambiente di pre-produzione e di produzione di LI, da parte del Fornitore, è
autorizzato solo a fronte di richiesta formale, che oltre alla motivazione dovrà contenere, tra le altre, informazioni sui
singoli sistemi e applicativi necessari, in osservanza delle procedure in uso in LI.
LI provvederà, dopo avere verificato, approvato e autorizzato le richieste del Fornitore, a definire i profili di accesso,
secondo i principi espressi nel paragrafo 13.3.3 (Accessi logici).
Una volta autorizzato da LI, l'accesso agli ambienti di pre-produzione e produzione dovrà avvenire attraverso interfacce
applicative che:



garantiscano adeguati meccanismi di tracciatura delle attività svolte;
consentano di delineare il perimetro di accesso ai soli dati/trattamenti assegnati;
minimizzino la probabilità di errore durante lo svolgimento delle attività assegnate.
Qualora, per l'assenza delle suddette interfacce applicative, si rendesse necessario l'accesso diretto alle basi dati e/o ai
sistemi di pre-produzione e produzione, tale eccezione dovrà essere debitamente documentata, motivata e approvata da
LI.
LI effettuerà la tracciatura dei singoli accessi effettuati, in conformità alle indicazioni del Garante Privacy. Inoltre, LI si
riserva di poter tracciare anche i comandi lanciati e le attività svolte sui sistemi e Basi Dati di pre-produzione e di
produzione, con particolare attenzione all’utilizzo improprio di utenze applicative.
Considerata la delicatezza del ruolo svolto, il Fornitore è tenuto a comunicare preventivamente i nominativi delle persone
fisiche che espleteranno le attività e segnalare tempestivamente eventuali avvicendamenti/variazioni delle risorse
interessate. Il Fornitore deve comunque rendere disponibili tutte le informazioni su richiesta di LI.
Allegato 5 – Piano di Qualità
Pagina 28 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
Il Referente Operativo dell’intervento di LI avrà l'onere di sensibilizzare il Fornitore sulla delicatezza delle autorizzazioni
concesse, oltre che monitorare l'operato al fine di evitare attività non autorizzate e/o danni derivanti dall'utilizzo improprio
delle abilitazioni.
Qualora LI introducesse nuovi meccanismi di accesso il Fornitore dovrà provvedere ad adeguarsi.
È vietata l’estrazione e il trasferimento di dati e/o di ogni altra informazione dalle basi dati e dai sistemi di LI, salvo
espressa e preventiva autorizzazione da parte di LI.
Le installazioni di software in ambiente di produzione deve essere governata da LI.
13.3.3
Accessi logici
Il Fornitore deve garantire sia sugli ambienti di LI sia sui propri che l’accesso alle informazioni, servizi e sistemi di LI
avvenga in modo sicuro per prevenire l’accesso da parte di utenti che non hanno i necessari diritti e pertanto impedire
trattamenti non autorizzati.
Il ciclo di vita delle utenze deve prevedere le attività descritte di seguito:


ogni operazione del ciclo di vita (creazione, modifica, sospensione, ecc.) che riguarda le utenze relative ad
ambienti, sistemi o applicazioni di LI, deve essere preventivamente formalizzata dal Fornitore al Referente
Operativo dell’intervento di LI e da quest’ultimo autorizzata in modo formale nel rispetto dei processi di LI;
il Fornitore deve effettuare la tracciatura di tutte le richieste effettuate a LI, inerenti alla gestione del ciclo di vita
delle utenze, e renderla disponibile su richiesta di LI.
Accesso ad ambienti di LI
Nel caso di accesso ad ambienti di LI, il Fornitore deve:




richiedere in forma scritta la creazione di una nuova utenza che deve contenere l’identificativo della persona a cui
verrà assegnata, l’ambito di utilizzo, il ruolo e l’ambiente. Le utenze richieste devono essere univoche, personali e
utilizzate in modo che l’accesso alle informazioni da parte di ogni singolo utente sia limitato alle sole (principio del
“minimo privilegio”) informazioni di cui necessita (principio del “need-to-know”) per lo svolgimento dei propri compiti;
inviare una tempestiva comunicazione ad LI in caso di variazione delle mansioni o delle attività in modo che il
profilo venga adeguato alle effettive nuove esigenze;
effettuare una revisione periodica delle utenze al fine di individuare le utenze inattive e quelle che necessitano di
una modifica di privilegi da comunicare ad LI;
richiedere immediatamente la disabilitazione di un’utenza assegnata ad un suo dipendente o collaboratore nei
seguenti casi:
o interruzione del rapporto di lavoro con il Fornitore;
o cambio di mansione che non necessita dell’accesso ai sistemi informatici /applicazioni di LI;
o utenze inattive emerse nella revisione periodica.
Accesso ad ambienti del Fornitore
Nel caso in cui il Fornitore tratti dati e/o informazioni di LI attraverso propri ambienti deve:







rispettare principi espressi nei paragrafi precedenti e messi in atto da LI relativamente alla gestione del ciclo di vita
delle utenze e all’accesso alle informazioni;
definire un processo di gestione delle credenziali di autorizzazione e dei relativi profili di accesso;
definire utenze univoche, personali e profilate secondo quanto espresso nei Requisiti Generali;
definire le autorizzazioni di accesso alle informazioni in modo che siano differenziate in base al ruolo ed agli
incarichi ricoperti dai singoli individui;
definire le procedure per consentire l’accesso ai dati nei casi in cui, a causa della prolungata assenza o
dell’impedimento dell'incaricato, si renda indispensabile e indifferibile intervenire per esclusive necessità di
operatività e di sicurezza di LI;
effettuare periodicamente, valutazioni tecniche sulla robustezza delle parole chiave usate dagli utenti;
provvedere alla sospensione delle utenze nei seguenti casi:
o assenza prolungata del dipendente (assenza per malattia o infortunio superiore a 90 giorni);
o scadenza della parola chiave e inserimento consecutivo di 5 parole chiave errate;
o decorrenza del tempo massimo di inattività;
o scadenza di un’utenza temporanea, utilizzata da personale non dipendente.
formalizzare e tracciare la richiesta di riattivazione di un’utenza sospesa. Inoltre, qualora il ripristino avvenga a seguito di
sospensione per scadenza temporale della parola chiave, consentire all’utente di accedere al sistema solo per
modificare la password..
Allegato 5 – Piano di Qualità
Pagina 29 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
13.3.4
Amministratori di Sistema e Utenze Privilegiate
Il Fornitore deve garantire la gestione degli Amministratori di Sistema secondo quanto previsto dal Provvedimento del
Garante Privacy del 27/11/2008 e successive integrazioni. Inoltre il Fornitore deve:





effettuare periodicamente (almeno una volta l’anno) una verifica sulle utenze, credenziali e profili autorizzativi degli
amministratori di sistema, al fine di verificarne la corrispondenza ai requisiti di sicurezza e alle modalità del
trattamento dei dati;
tracciare gli accessi logici ai sistemi e ai dati da parte degli amministratori di sistema (access log). I log (access log)
devono avere caratteristiche di completezza (riferimenti temporali e descrizione degli eventi), inalterabilità e
possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste;
conservare i log sopra indicati per un periodo congruo, non inferiore a sei mesi;
comunicare periodicamente a LI o al Titolare gli estremi identificativi degli amministratori di sistema e l'elenco delle
funzioni loro attribuite (compreso i servizi e dati a cui hanno accesso);
fare in modo che ogni amministratore sia dotato di un’utenza con privilegi amministrativi e di un’utenza con privilegi
standard. In tutti i casi in cui è possibile deve essere utilizzata l’utenza con privilegi standard.
Il Fornitore deve gestire le utenze privilegiate (es. utenza Root per i sistemi Unix, utenza Sysadmin per Oracle) in modo
sicuro e permettendone l’utilizzo, previa autorizzazione, solo in casi particolari motivitati e documentati
13.4 Modalità di connessione
Il connessione ai sistemi di LI è permessa solo attraverso:


connessioni dedicate;
connettività VPN di tipo site-to-site.
La connettività VPN-Client, che deve essere nominale, è autorizzata solo in casi eccezionali e corredata da opportuna
motivazione scritta.
Non è consentito l'utilizzo della connettività internet senza gli adeguati meccanismi di protezione, secondo i principi
espressi nel paragrafo 13.5 (Infrastruttura del Fornitore) e previa autorizzazione di LI.
La connettività internet e l'apparato remoto sono a carico del Fornitore così come pure la configurazione della
connessione VPN (nel caso di connettività site-to-site).
LI fornirà le specifiche di configurazione, a cui la connettività VPN deve rispondere, che devono essere applicate dal
Fornitore. La VPN sarà unica per ciascun Fornitore (nel caso di RTI sarà resa disponibile una VPN per ogni Fornitore
appartenente all’RTI). Non sono possibili in nessun caso VPN multiple per lo stesso Fornitore.
Nel caso in cui il Fornitore abbia l’esigenza di:



accedere da sedi territoriali diverse;
far accedere i suoi subfornitori;
permettere l’accesso al proprio personale da postazioni remote rispetto ai propri sistemi;
dovrà rispettare almeno gli stessi requisiti di sicurezza applicati da LI.
L’attivazione della connessione andrà preventivamente concordata con il personale tecnico di LI, tramite il Referente
Operativo dell’intervento di LI. Il Fornitore dovrà mettere a disposizione una figura con il ruolo di Interfaccia Tecnica entro
4 giorni dal momento in cui LI effettuerà il primo contatto per attivare la connessione.
Qualora LI ritenesse opportuno utilizzare altre modalità di connessione, anche in funzione delle evoluzioni tecnologiche,
il Fornitore dovrà adoperarsi per i necessari adeguamenti
13.5 Infrastruttura del Fornitore
Il Fornitore, in funzione delle attività assegnate, deve implementare sulla propria infrastruttura e sui propri sistemi le
opportune regole di sicurezza in funzione della criticità del servizio e/o dell’informazione trattata.
Nel dettaglio il Fornitore deve:



garantire la separazione degli ambienti (es: sviluppo, integrazione, produzione);
prevedere meccanismi di autenticazione forte per l’accesso agli ambienti, qualora le esigenze di sicurezza lo
richiedano;
implementare opportuni meccanismi di tracciatura e auditing;
Allegato 5 – Piano di Qualità
Pagina 30 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.





controllare e monitorare, tramite appostiti strumenti quali ad esempio firewall, IDS, Correlatori di Eventi, i “punti di
contatto” tra le reti interne del Fornitore e la rete di LI;
dotare le postazioni utilizzate dal Fornitore per accedere alla rete e ai sistemi di LI di opportuni meccanismi di
sicurezza (antivirus, patch di sicurezza, etc) e segregarle dal resto della rete del Fornitore;
prevedere con cadenza periodica, al fine di garantire efficienza e livelli di sicurezza adeguati ai sistemi utilizzati:
o attività di hardening;
o attività di patching;
o vulnerability assessment/penetration test.
garantire lo svolgimento di opportune attività di backup e restore secondo procedure formalizzate che definiscano
le metodologie di salvataggio e ripristino, i tempi di conservazione delle copie, il numero di versioni da salvare e la
tipologia dei dati. In particolare, per i sistemi critici, devono essere periodicamente effettuati salvataggi dei file di
sistema e di tutti quelli necessari per il ripristino degli stessi e di eventuali applicativi rilevanti ai fini della continuità
delle operazioni;
verificare periodicamente i sistemi e le procedure di backup e restore in tutte le loro componenti e funzionalità, sia
in condizioni di normale operatività che in condizioni di emergenza. In particolare devono essere condotti dei test di
ripristino dei salvataggi effettuati.
conservare in luoghi sicuri opportunamente protetti i supporti utilizzati per eseguire i backup. Il tempo di mantenimento
dei dati deve essere compatibile con le esigenze di LI e con la normativa vigente.
13.6 Sicurezza Fisica
Il Fornitore, al fine di garantire a tutte le informazioni gestite per conto di LI adeguati livelli di tutela, deve definire,
implementare e mantenere opportune soluzioni di sicurezza relativamente a: sicurezza perimetrale, controllo degli
accessi fisici, sicurezza di uffici, locali tecnici ed attrezzature e quanto necessario: ad esempio l’alimentazione elettrica e
la sicurezza dei cablaggi, i supporti di memorizzazione in ingresso e in uscita, lo smaltimento e il riutilizzo delle
apparecchiature stesse.
13.7 Requisiti di sicurezza per la realizzazione e la
manutenzione dei servizi
In riferimento al capitolo 2 dell’Allegato 1.4 – Cicli di vita del SW - le fasi di “Architettura” e ”Accettazione ed Integrazione”
degli interventi di sviluppo saranno condotte da LI.
Il Fornitore, nell’ambito delle attività assegnate, dovrà applicare i requisiti di seguito descritti. Tali requisiti sono da
intendersi indicativi e non esaustivi.
Progettazione
Il Fornitore deve effettuare tutte le attività relative alla fase di progettazione recependo i requisiti di sicurezza definiti.
In particolare deve essere garantito che:
 la progettazione tecnica del servizio sia effettuata sulla base di una architettura di sicurezza ben definita compresi i
requisiti inerenti gli aspetti di identificazione, autenticazione, autorizzazione e le metriche necessarie a valutarne la
robustezza, efficacia ed efficienza;
 tutti gli accessi alle applicazioni/servizi devono utilizzare i servizi predisposti da LI (es ad oggi: IdPc, SSO-SISS,
etc.);
 per le applicazioni/servizi più critici deve essere effettuata un’analisi dei rischi in termini di criticità dei dati, attacchi
e minacce all’applicazione etc.;
 qualora le esigenza di sicurezza lo richiedano, devono essere previsti meccanismi di autenticazione forte in
accordo con LI;
 nel caso venga utilizzata una credenziale costituita dalla combinazione identificativo e parola chiave, quest’ultima
deve possedere un livello di robustezza (qualità della password) coerente con gli standard internazionali e
secondo le normative indicate nel cap.12;
 per la progettazione di funzionalità che accedono ai dati devono essere adottati i principi architetturali di:
o minimo privilegio,
o segregation of duties.
 qualora vengano trattati dati sensibili o giudiziari, il servizio/applicazione deve utilizzare meccanismi di cifratura o
separazione per la memorizzazione delle informazioni in accordo con LI;
 devono essere utilizzati controlli di validazione finalizzati a rilevare l’eventuale corruzione dei dati;
 devono essere specificati i requisiti per assicurare l’autenticità e l’integrità dei messaggi scambiati tra le applicazioni
e devono essere individuati ed implementati appropriati controlli;
 i sistemi sui cui transitano dati particolarmente critici devono risiedere su sistemi dedicati e non devono convivere
con servizi di altra natura che possano comprometterne la sicurezza;
Allegato 5 – Piano di Qualità
Pagina 31 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.


devono essere utilizzati algoritmi crittografici “forti” (ovvero riconosciuti tali a livello internazionale, es: AES-256) al
fine di garantire la sicurezza del transito dei dati attraverso le reti, in accordo con LI;
il servizio/applicazione deve essere fornito di un’interfaccia applicativa per la gestione e manutenzione dello stesso,
affinchè:
o siano garantiti adeguati meccanismi di tracciatura delle attività svolte;
o sia consentito di delineare il perimetro di accesso ai soli dati/trattamenti assegnati;
o sia minimizzata la probabilità di errore durante lo svolgimento delle attività assegnate.
Realizzazione e Test
Durante la fase di Realizzazione e Test, il Fornitore:












deve garantire che l’accesso ai codici sorgenti dei programmi ed alla documentazione sia:
o limitato al solo personale del Fornitore che lo necessita per esigenze progettuali,
o controllato e monitorato.
deve utilizzare la piattaforma di tracciatura delle attività di LI (sistema SGR_CM), per tutta la durata della fornitura e
deve controllare controllare tutte le condizioni anomale (es: tentativi non autorizzati di accesso);
deve utilizzare criteri e strumenti di supporto per la gestione delle configurazioni indicati da LI;
deve utilizzare tool/metodologie di sviluppo sicuro riconosciute a livello internazionale (es: OWASP) ad integrazione
di quelle fornite da LI;
su richiesta di LI, il Fornitore dovrà svolgere attività di verifica sul codice sviluppato per le applicazioni/servizi più
critici avvalendosi di terze parti;
deve utilizzare best practice riconosciute e gli standard di LI in materia per la gestione degli errori;
per le applicazioni critiche deve prevedere ed implementare le opzioni che consentano all’applicazione di essere
fruibile in Business Continuity tecnologica;
nel caso si utilizzino pacchetti di mercato deve garantire le best practice di sicurezza per tali pacchetti (es.: SAP,
etc.);
per i servizi dati completamente in outsourcing, nell’ambito dei test, deve effettuare delle verifiche di performance,
volte a verificare la capacità dell’applicazione di supportare picchi di utilizzo sia in termini di attività contemporanee
degli utenti, che in termini di mole di dati trattati;
deve documentare e conservare tutte le verifiche ed i controlli effettuati, nonché i relativi esiti;
nel caso di sviluppo di applicazioni per il dispositivo MOBILE, deve rispettare le opportune linee guida fornite da LI;
lo sviluppo di siti/portali web, laddove è previsto l’utilizzo d cookie principalmente per finalità di profilazione utente e
marketing, deve essere conforme al Provvedimento del Garante Privacy di merito (“Individuazione delle modalità
semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” - 8 maggio 2014 [doc. web
3118884]).
Rilascio in produzione
Durante le fasi di “Accettazione ed Integrazione”, di “Presa in carico del servizio” e di “Rilascio in produzione” il Fornitore
deve garantire il pieno supporto ad LI per il completamento delle attività progettuali. Qualora ritenuto necessario da parte
di LI, l'azienda fornitrice dovrà garantire, presso le sedi di LI, la presenza fisica delle figure professionali specialistiche
che si affiancheranno al personale tecnico di LI.
Manutenzione
Per la manutenzione si applicano tutti i requisiti descritti nei paragrafi precedenti: “Progettazione” e “Realizzazione e
Test”. Inoltre valgono i seguenti requisiti:
 l’implementazione di modifiche deve essere attuata in modo controllato attraverso l’impiego di procedure formali
per il controllo della configurazione (rif. Cap. 11 Gestione della Configurazione);
 devono essere implementati e tracciati tutti gli interventi correttivi emersi a fronte delle anomalie rilevate;
 i bug relativi ad aspetti di sicurezza vengono classificati come bug di Categoria 1, di conseguenza devono essere
rispettati gli SLA previsti per tale categoria (rif. Allegato 1.3 PQ - Livelli di Servizio);
 i dati di test devono essere accuratamente selezionati, protetti e controllati e non eccedenti le finalità di trattamento.
LI si riserva la facoltà di identificare e comunicare al Fornitore eventuali ulteriori requisiti.
Allegato 5 – Piano di Qualità
Pagina 32 di 33
Gara 3/2014/LI - Procedura aperta ai sensi del D.Lgs. n. 163/2006 per l’affidamento dei
servizi di supporto al demand management, sviluppo, manutenzione, assistenza per la
realizzazione dei modelli di e-government della Regione Lombardia.
13.8 Gestione degli eventi anomali, degli incidenti e
della Business Continuity
Il Fornitore deve garantire che le anomalie e gli incidenti aventi ripercussioni sul sistema informativo e sui livelli di
sicurezza di LI, siano tempestivamente riconosciuti e correttamente gestiti attraverso efficienti sistemi di prevenzione,
comunicazione e reazione, al fine di minimizzare l’impatto sul business. Nel dettaglio il Fornitore:





deve implementare le procedure di gestione degli incidenti di sicurezza e di comunicazione degli stessi ad LI;
deve rilevare gli incidenti che possono avere un impatto sui livelli di sicurezza e gli eventuali danni, potenziali e non,
devono essere gestiti, ove possibile, in tempi brevi, secondo specifiche procedure;
deve prevedere un sistema di registrazione e classificazione degli incidenti e degli eventi anomali per effettuare
analisi volte al miglioramento dei livelli di sicurezza coerente con le reali problematiche riscontrate;
deve attivare e mantenere idonee procedure di Business Continuity, in coerenza con i livelli di servizio previsti dal
contratto;
deve concorrere all’attivazione e coordinamento dei gruppi operativi del suo personale dedicato alla gestione delle
emergenze e della crisi comunicando ad LI e tenendo aggiornati i nominativi e i recapiti che garantiscano la pronta
rintracciabilità delle figure competenti individuate.
deve partecipare ai test tecnici e organizzativi di Business Continuity e di Disaster Recovery di LI, per quanto di
competenza.
13.9 Attività di verifica e controllo
Lombardia Informatica, quale referente dei servizi erogati per la propria committenza, avrà facoltà di effettuare attività di
verifica e controllo sull’applicazione, da parte del Fornitore ed eventualmente dei Subfornitori, di quanto sopra esposto e
di qualsiasi altra misura di sicurezza che dovrà essere implementata a fronte di nuove politiche definite da LI. La verifica
può essere effettuata sia tramite visita presso il Fornitore o congiuntamente presso il suo Subfornitore, sia tramite
richiesta di idonea documentazione attestante la conformità alla normativa sulla Privacy.
13.10 Deroghe
In casi straordinari e con le dovute autorizzazioni, opportunamente documentate, sarà possibile operare in deroga alle
regole di sicurezza stabilite.
La richiesta da parte del Fornitore dovrà essere formalizzata e tracciata, oltre che adeguatamente documentata. In
particolare dovranno essere esplicitate le motivazioni che giustificano la deroga, gli ambiti operativi e temporali di
intervento, l’identificazione del personale esterno e le attività da autorizzare.
Una volta valutata, approvata ed integrata da parte del Referente Operativo di LI, per quanto di sua competenza, tale
richiesta sarà sottoposta al ciclo di autorizzazione aziendale che, in funzione della criticità, potrà richiedere
l’autorizzazione delle figure gerarchiche responsabili dell’erogazione del servizio fino a quella della Direzione Centrale
Operations.
Allegato 5 – Piano di Qualità
Pagina 33 di 33

Contratto Cloud VPS

ISTRUZIONI OPERATIVE - Multi Coupling System

per i clienti Molise, Abruzzo e Puglia

Application Management Services

I love Tiffany

Istruzioni per iscriversi e qualificarsi

Condizioni generali di registrazione e utilizzo del portale [file]

Fatture P.A., il sistema gestionale deve curare anche la