Piano per il rilascio dei servizi SPCoop

Transcript

1 R.T.I. EDS Italia S.p.A./ AlmavivA S.p.A. Sistema Pubblico di Connettività - Coop (Lotto 2) Piano per il rilascio dei servizi SPCoop Tipo Documento: Piano Sistema Pubblico di Connettività - Coop (Lotto 2) Il presente documentoo costituisce il Piano di rilascio dei servizi per il progetto Sistema Pubblico di Connettività Coop. Ver. Elabora Verifica 1.1 A. Luise (HP ES) M.P. Pantoli (AlmavivA) A. Luise (HP ES) M.P. Pantoli (AlmavivA) Approva A. Menghini Ref. Contratto RTI (HP) P. Rossini Ref. Contratto (AlmavivA) Data emissione Descrizione delle modifiche Eliminato il paragrafo 5, a seguito della verifica con DigitPA. 1.0 A. Luise (HP ES) M.P. Pantoli (AlmavivA) A. Luise (HP ES) M.P. Pantoli (AlmavivA) A. Menghini Ref. Contratto RTI (HP) P. Rossini Ref. Contratto (AlmavivA) Nascita del documento. Stato del Documento Uso Approvato Pag. 1 di 26 Confidenziale Riservato RTI HP AlmavivA, DigtPA,Amministrazioni

2 Sommario 1 GENERALITÀ Scopo del documento Struttura del documento Applicabilità Assunzioni Riferimenti Definizioni e Acronimi I SERVIZI SPC COOP Servizi di Interoperabilità Evoluta Servizio di Posta Elettronica Esclusiva Servizio di Posta Elettronica Certificata Servizio di Cooperazione Applicativa Fase 1 Messa a disposizione della Porta di Dominio (PDD) Fase 2-3-4: Predisposizione, Composizione e Coordinamento, Integrazione e Pubblicazione Le Altre fasi Servizi di Sicurezza applicativa Servizio Firewall XML Servizio di identificazione, autenticazione e autorizzazione Infrastrutture e strumenti per l erogazione dei servizi Help Desk Sistema di controllo dei Livelli di Servizio Sistema di Rendicontazione sull utilizzo dei servizi Sistema di Pubblicazione in modalità web (Portale) QUADRO DI UTILIZZO DEI SERVIZI ATTIVITÀ DI MIGRAZIONE Attori coinvolti Amministrazione DigitPA Fornitore che termina l erogazione dei servizi Fornitore subentrante Fasi della migrazione Fasi della migrazione di un servizio Generalità su formati e supporti delle componenti rilasciate Servizi di Interoperabilità Evoluta...22 Stato del Documento Approvato Pag. 2 di 26

3 4.4.1 Servizio di Posta Elettronica Esclusiva Archiving Unified Messaging Servizio di Posta Elettronica Certificata Servizio di Cooperazione Applicativa Fase 1 Messa a disposizione della Porta di Dominio (PDD) Fasi Le Altre fasi Servizi di Sicurezza applicativa Servizio Firewall XML Servizio di identificazione, autenticazione e autorizzazione Infrastrutture e strumenti per l erogazione dei servizi Help Desk Sistema di controllo dei Livelli di Servizio Sistema di Rendicontazione sull utilizzo dei servizi Sistema di Pubblicazione in modalità web (Portale)...26 Stato del Documento Approvato Pag. 3 di 26

4 1 GENERALITÀ 1.1 SCOPO DEL DOCUMENTO Il presente documento descrive le attività predisposte per la Migrazione dei Servizi in erogazione nell ambito del Contratto Quadro n. 5/2007 SPC Servizi di Interoperabilità evoluta e cooperazione e sicurezza applicativa Lotto 2 dal RTI HP ES AlmavivA verso altro fornitore. Le modalità operative e le indicazioni contenute nel documento mirano da un lato ad assicurare la corretta erogazione dei servizi fino alla fine dell inquadramento contrattuale SPC coop, dall altro costituiscono una preziosa fonte di informazione che DigitPA e le Amministrazioni potranno utilizzare con il fornitore subentrante agli stessi o ad analoghi servizi. L intento di fondo rimane quello di portare il minore impatto possibile sulla continuità e la qualità percepita dall utente dei servizi oggetto della migrazione, anticipando le soluzioni adatte per tutte le eventuali problematiche collegate alle attività di migrazione dei servizi stessi nel nuovo sistema di fornitura. 1.2 STRUTTURA DEL DOCUMENTO Il documento è organizzato come segue: Capitolo 1 Quadro riepilogativo dei servizi SPC coop Capitolo 2 Quadro sintetico dei volumi dei servizi per Amministrazione in esercizio al 31/03/2012 Capitolo 3 Organizzazione delle attività predisposte per la migrazione dei servizi 1.3 APPLICABILITÀ I contenuti del presente documento si applicano alle attività previste per la Migrazione dei Servizi in erogazione nell ambito del Contratto SPC Contratto Quadro n. 5/2007 SPC Servizi di Interoperabilità evoluta e cooperazione e sicurezza applicativa Lotto 2 e dei correlati Contratti Esecutivi attivi nell ultimo trimestre di vigenza contrattuale del Contratto Quadro. 1.4 ASSUNZIONI Il presente documento si riferisce ai soli servizi collaudati ed in erogazione alla data di chiusura del Contratto Quadro. Stato del Documento Approvato Pag. 4 di 26

5 1.5 RIFERIMENTI Codice Contratto Quadro SPC coop Contratto Quadro n. 5/2007 Titolo 1.6 DEFINIZIONI E ACRONIMI Definizione/Acronimo DigitPA SPC Descrizione Ex CNIPA Centro Nazionale per l Informatica nella Pubblica Amministrazione Sistema Pubblico di Connettività Stato del Documento Approvato Pag. 5 di 26

6 2 I SERVIZI SPC COOP I servizi oggetto del Contratto Quadro SPC Coop sono: 1. Servizi di Interoperabilità Evoluta o Servizio di Posta Elettronica Esclusiva o Servizio di Posta Elettronica Certificata o Servizio di Videocomunicazione Collaborativa 2. Servizio di Cooperazione Applicativa 3. Servizi di Sicurezza applicativa o Servizio Firewall XML o Servizio di identificazione, autenticazione e autorizzazione 4. Servizi professionali a supporto o Servizi professionali di assistenza o Servizi di formazione Oltre ai servizi precedentemente elencati, il contratto annovera come parte integrante degli stessi Infrastrutture e strumenti per l erogazione dei servizi, che si articolano in: Help Desk Sistema di controllo dei Livelli si Servizio Sistema di Rendicontazione sull utilizzo dei servizi Sistema di Pubblicazione in modalità web (Portale) Nel paragrafi successivi è riportata una breve descrizione dei servizi in erogazione ed oggetto di migrazione e delle modalità con cui questa verrà effettuata. Non sarà quindi considerato il servizio: Servizio di Videocomunicazione Collaborativa che non essendo stato oggetto di richiesta da parte di alcuna Amministrazione non è stato collaudato. Non sono considerati, per la loro natura, oggetto di migrazione: Servizi professionali a supporto (servizi di assistenza e di formazione) Help Desk (a meno della lista delle segnalazioni ancora aperte) Sistema di controllo dei Livelli di Servizio Sistema di Rendicontazione sull utilizzo dei servizi Sistema di Pubblicazione in modalità web (Portale) Stato del Documento Approvato Pag. 6 di 26

7 Consistendo, i primi, nella fornitura di figure professionali a giornata, e in servizi di supporto alla gestione dei servizi contrattuali e non servizi a se stanti, gli altri. 2.1 SERVIZI DI INTEROPERABILITÀ EVOLUTA Servizio di Posta Elettronica Esclusiva Il servizio di Posta Elettronica Esclusiva ha come obiettivo quello di consentire agli utenti dell Amministrazione di scambiare posta elettronica sia internamente alla stessa, sia con altri utenti di altre Amministrazioni e sia con Internet. La soluzione prevista per l erogazione del servizio di PEE, nell ambito del servizio di pubblica connettività, è composta dalle seguenti componenti architetturali: Posta Elettronica, all interno della quale ospitare le mailbox degli utenti ed applicare, in aggiunta ai servizi perimetrali, ulteriori livelli di sicurezza legati alla scansione Anti-Virus ed all Anti-Spam; Servizi Perimetrali o Posta Perimetrale, attraverso la quale erogare funzionalità di Mail Relay SMTP, Anti-Virus ed Anti-Spam ed in grado di realizzare una separazione tra l organizzazione di posta elettronica realizzata per l Amministrazione ed Internet. A livello applicativo è consentita l'interconnessione e lo scambio di posta elettronica tra diversi domini di Amministrazioni ed Internet nel rispetto dei requisiti di sicurezza mediante l utilizzo di meccanismi antivirus ed antispam. La soluzione adottata per l erogazione del servizio assume come standard di riferimento i seguenti RFC: per i messaggi di tipo testuale SMTP (RFC 2821, RFC 822, RFC 1123, RFC 2156); per i messaggi crittografati e firmati digitalmente MIME S/MIME (RFC 2045, RFC 2046, RFC 2047, RFC 2048, RFC 2049, RFC 2633); nel caso sia richiesta la garanzia di consegna del messaggio al destinatario DSN (RFC 1891). Inoltre, per garantire livelli di sicurezza elevati si è scelto di implementare le due componenti, Posta Elettronica e Servizi Perimetrali, su due piattaforme differenti. I servizi perimetrali sono erogati utilizzando ambiente OpenSource Linux e server di posta PostFix mentre, l organizzazione di posta elettronica è basata sulla piattaforma di messaging Microsoft Exchange Server 2007 in architettura a 64 bit. Il servizio di posta elettronica è caratterizzato dalle seguenti funzionalità: gestione di rubriche e degli appuntamenti; gestione dei contatti; accesso alle rubriche via LDAP; schedulazione e sincronizzazione di appuntamenti con partecipanti inclusi nella rubrica del server di posta; gestione liste di distribuzione; Stato del Documento Approvato Pag. 7 di 26

8 dimensione del 90% delle caselle pari a 300 MB ciascuna; dimensione del rimanente 10% delle caselle pari a 1 GB ciascuna; backup giornaliero dei messaggi di posta elettronica; sincronizzazione, via protocollo NTP, con una fonte di tempo ufficiale di rete; accesso alla spedizione di messaggi ed alla casella postale da parte di ciascun utente solo previo riconoscimento delle credenziali dell utente stesso; accesso alle caselle attraverso i protocolli SMTP, POPv3, IMAPv4, ovvero, a richiesta, alla loro versione basata su TLS; accesso alle caselle attraverso protocollo HTTP, HTTPS ed interfaccia Web; fruibilità anche per il tramite di PDA e Smart Phone in una modalità multicanale (wap, gprs, umts); controllo antivirus sui server di posta perimetrale e di posta elettronica; controllo antispam sui server di posta perimetrale e di posta elettronica Specificità del servizio di posta Per il servizio di Posta Elettronica Esclusiva sono previste le seguenti caratteristiche che in aggiunta alle funzionalità base personalizzano ulteriormente il servizio: Erogazione on site che consiste nell erogazione del servizio presso la sede del Cliente, intesa sia come residenza delle infrastrutture del RTI specifiche per il Cliente, che per la disponibilità di figure professionali in loco. Archiving La funzionalità aggiuntiva di Archiving utilizza il prodotto Symantec Enterprise Vault e svolge le seguenti due funzioni: Journaling, ovvero la cattura e archiviazione di tutti i messaggi di posta entranti e uscenti dall Amministrazione utilizzando, oltre alle funzionalità proprie del prodotto, dei server dedicati MS Exchange di journaling. L accesso ai dati del Journaling è consentito solo in base a credenziali amministrative utilizzate, ad esempio, in caso di accertamenti giudiziari. L utente non ha accesso ai dati presenti nell Archiving. Archiviazione dei messaggi meno recenti presenti nelle mailbox, in base al superamento di un valore percentuale di occupazione delle stesse concordato con l Amministrazione, e sostituzione con shortcut che consentono, previa autenticazione, l accesso e l eventuale ripristino dei messaggi originali da parte dell utente sia da client che tramite webmail. E disponibile anche una interfaccia web per l accesso diretto all archivio e funzioni di ricerca. L archiviazione dei dati del Journaling e dell Archiviazione avviene su dispositivo di memorizzazione non alterabile utilizzando un dispositivo EMC 2 CAS Centera. Per disporre di un backup giornaliero dei dati, è utilizzato un secondo dispositivo di uguale capacità sul quale vengono replicati i nuovi contenuti in modo asincrono con uno scostamento massimo di Stato del Documento Approvato Pag. 8 di 26

9 minuti. Il secondo dispositivo può assumere il ruolo del primo dispositivo in caso di necessità, mediante una procedura specifica. Lo spazio messo a disposizione per l Archiviazione è pari a 10 volte la dimensione della mailbox. La conservazione dei dati del Journaling e dell Archiviazione è stata garantita per l intera durata contrattuale. Unifed Messaging Il servizio di Unified Messaging ha come obiettivo quello di consentire agli utenti dell Amministrazione titolari di casella di posta elettronica esclusiva di inviare e ricevere per il tramite del client di posta anche FAX e SMS e di ricevere messaggi vocali come allegati di un messaggio di posta: l erogazione del servizio è effettuata tramite l applicazione Kofax Communication Server. L infrastruttura è composta da componenti che gestiscono diverse funzioni: Line Server che interfaccia direttamente le linee isdn; Comunication Server che si occupa principalmente della conversione dei messaggi di posta in fax ed sms, e viceversa; Application Server tramite il connettore Kofax/LINK-SMTP gestisce la comunicazione con l infrastruttura di posta elettronica. L utilizzo del connettore Kofax/LINK-SMTP rappresenta una soluzione più aperta verso infrastrutture di posta elettronica di diversa natura e non prevede l installazione di alcun connettore sul sistema di posta che tramite la definizione di regole di routing SMTP comunicherà col connettore per: l invio e la ricezione di FAX; l invio e la ricezione di SMS; la ricezione di messaggi vocali come allegati ad un messaggio di posta elettronica. L accesso al servizio da parte dell utenza è controllato e limitato grazie ad una gestione delle utenze di Kofax tramite un processo denominato Directory Synchronization in cui si definiscono associazioni smtp utente-numero fax/voce Servizio di Posta Elettronica Certificata Il servizio di Posta Elettronica Certificata ha come obiettivo di consentire agli utenti dell Amministrazione di scambiare messaggi di posta elettronica, internamente ad essa o con altri Gestori PEC, fornendo garanzie in merito all invio ed alla effettiva consegna nella casella di posta certificata del destinatario, secondo la normativa vigente in materia di PEC e disciplinata dal DPR n 68 del 11 Febbraio 2005 e dal DM del 2 Novembre 2005 del Ministro per l Innovazione e le Tecnologie. Pertanto, il servizio Posta Elettronica Certificata intende fornire: Stato del Documento Approvato Pag. 9 di 26

10 la garanzia dell invio; la garanzia del recapito; l opponibilità a terzi della provenienza e recapito del messaggio. Il sistema di Posta Elettronica Certificata, per ogni messaggio inviato e ricevuto dai sistemi PEC del Gestore Mittente e Destinatario, genera le ricevute che attestano l invio, la ricezione e la consegna dei messaggi e/o le anomalie di invio, ricezione e consegna. Inoltre, per fornire l opponibilità a terzi della provenienza e del recapito dei messaggi, tutte le transazioni legate al flusso di posta elettronica certificata devono essere archiviate. La soluzione prevista per l erogazione del servizio di PEC, nell ambito del servizio di pubblica connettività, è composta dalle seguenti componenti architetturali situate all interno del Centro Servizi: Posta Elettronica Certificata, all interno della quale sono: o ospitate le caselle di posta elettronica degli utenti; o implementati i ruoli di Punto di Accesso, Punto di Ricezione e Punto di Consegna; o ed applicati, in aggiunta ai servizi perimetrali, ulteriori livelli di sicurezza legati alla scansione Anti-Virus. Servizi Perimetrali o Posta Perimetrale, attraverso la quale sono erogate funzionalità di Mail Relay SMTP, Anti-Spam ed Anti-Virus ed in grado di realizzare una separazione tra l organizzazione di Posta Elettronica Certificata realizzata per l Amministrazione ed Internet. A livello applicativo è consentita l'interconnessione e lo scambio di posta elettronica tra diversi domini di Amministrazioni ed Internet nel rispetto della normativa vigente in materia di Posta Elettronica Certificata nonché dei requisiti di sicurezza mediante l utilizzo di meccanismi antivirus ed antispam. La soluzione adottata per l erogazione del servizio assume come standard di riferimento i seguenti RFC: per i messaggi di tipo testuale SMTP (RFC 2821, RFC 822, RFC 1123, RFC 2156); per i messaggi crittografati e firmati digitalmente MIME S/MIME (RFC 2045, RFC 2046, RFC 2047, RFC 2048, RFC 2049, RFC 2633); nel caso sia richiesta la garanzia di consegna del messaggio al destinatario DSN (RFC 1891); RFC 1847 (Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted); RFC 1891 (SMTP Service Extension for Delivery Status Notifications); RFC 1912 (Common DNS Operational and Configuration Errors); RFC 2252 (Lightweight Directory Access Protocol (v3): Attribute Syntax Definitions); Stato del Documento Approvato Pag. 10 di 26

11 RFC 2315 (PKCS\7: Cryptographic Message Syntax Version 1.5); RFC 2633 (S/MIME Version 3 Message Specification); RFC 2660 (The Secure HyperText Transfer Protocol); RFC 2821 (Simple Mail Transfer Protocol); RFC 2822 (Internet Message Format); RFC 2849 (The LDAP Data Interchange Format (LDIF) Technical Specification); RFC 3174 (US Secure Hash Algorithm 1 - SHA1); RFC 3207 (SMTP Service Extension for Secure SMTP over Transport Layer Security); RFC 3280 (Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List - CRL Profile). Inoltre, per garantire livelli di sicurezza elevati si è scelto di implementare le due componenti, Posta Elettronica Certificata e Servizi Perimetrali, su due piattaforme differenti. I servizi perimetrali sono erogati utilizzando ambiente OpenSource Linux e server di posta PostFix mentre, l organizzazione di posta elettronica certificata è basata sulla piattaforma di messaging Microsoft Exchange Server 2003 con l aggiunta del software Posta Elettronica Certificata ver Il servizio di Posta Elettronica Certificata è caratterizzato dalle seguenti funzionalità: gestione liste di distribuzione; dimensione delle caselle di posta elettronica pari ad 1 GB ciascuna; backup giornaliero dei messaggi di posta elettronica nella finestra temporale notturna, in modo tale da non ridurre le prestazioni dei sistemi durante le normali ore di lavoro; sincronizzazione, via protocollo NTP, con una fonte di tempo ufficiale di rete; accesso alla spedizione di messaggi ed alla casella postale da parte di ciascun utente solo previo riconoscimento delle credenziali dell utente stesso; accesso alle caselle utilizzando esclusivamente connessioni basate su TLS (IMAPS, POP3S, HTTPS) e connessioni che prevedono l attivazione di un colloquio sicuro durante la comunicazione (es. SMTP STARTTLS); accesso alle caselle attraverso protocollo HTTPS ed interfaccia Web; fruibilità anche per il tramite di PDA e Smart Phones in una modalità multicanale (wap, gprs, umts); controllo antivirus sui server di posta elettronica certificata; controllo antispam sui server di posta perimetrale; conformità alla normativa vigente sulla posta elettronica certificata DPR 11 febbraio 2005 n. 68 Regolamento concernente disposizioni per l utilizzo della Stato del Documento Approvato Pag. 11 di 26

12 posta elettronica certificata e DM 2 novembre 2005 del Ministro per l Innovazione e le Tecnologie Regole tecniche per formazione, la trasmissione, e la validazione, anche temporale, della posta elettronica certificata e sue successive modificazioni e integrazioni. Per il servizio di Posta Elettronica Certificata è prevista la sola erogazione centralizzata. 2.2 SERVIZIO DI COOPERAZIONE APPLICATIVA Il Servizio di Cooperazione Applicativa consiste essenzialmente nella gestione di tutte le attività necessarie alla predisposizione di servizi applicativi basati su applicazioni, siano esse applicazioni preesistenti che di nuova progettazione, che l Amministrazione intende far interagire con servizi applicativi presenti sul Sistema Pubblico di Connettività e Cooperazione (SPC), secondo le regole tecniche e le modalità previste per la cooperazione applicativa che descrivono l ambito del Sistema Pubblico di Cooperazione (SPC coop). Il Servizio di Cooperazione Applicativa si articola nelle seguenti fasi: Fase 1 Messa a disposizione della Porta di Dominio (PDD) Fase 2 Predisposizione Fase 3 Composizione e coordinamento Fase 4 Integrazione e Pubblicazione Fase 5 Esercizio e Manutenzione Fase 6 Manutenzione evolutiva (MEV) Fase 1 Messa a disposizione della Porta di Dominio (PDD) Il termine porta di dominio (PDD) è inteso nel senso più ampio di tutti i componenti infrastrutturali hardware e software necessari affinché i servizi possano interagire integrandosi in una infrastruttura di cooperazione applicativa. La porta di dominio funge da proxy riguardo alle richieste provenienti dai fruitori, e delle risposte fornite dagli erogatori, gestendo le informazioni di pertinenza, contenute nella busta di e-gov, header Intestazione e di WS-Security. In particolare essa ha i compiti: In fase di trasmissione: o Verificare la correttezza della busta di e-gov; o Autorizzare l accesso al servizio; o Indirizzare il modulo di back-end che eroga il servizio ( servizio di back-end). In fase di ricezione: o Autorizzare l invocazione del servizio; o Generare la busta di e-gov; Garantire la sicurezza sul canale mediante SSL v3; Garantire la sicurezza sul messaggio ove prevista dall accordo di servizio. Stato del Documento Approvato Pag. 12 di 26

13 Nella fruizione di servizi una porta di dominio può trovarsi ad operare in due condizioni: Come porta applicativa quando nello scambio dati recita il ruolo di erogatore di servizi; Come porta delegata, quando essa recita il ruolo di fruitore del servizio. Dal punto di vista architetturale, sono previste: due configurazioni (Base ed Avanzata) a seconda dei requisiti tecnici, funzionali e di sicurezza previsti; più fasce di riferimento a seconda dei requisiti prestazionali. Configurazione BASE (Gestione Busta e-gov, tracciatura, diagnostici, Soap with Attachments, Sicurezza base SSL, Clustering e config. RAID) AVANZATA (BASE + requisiti della sicurezza Wsse) Fascia di riferimento Numero accessi simultanei PDD 1 Sino a Sino a Oltre Sino a Sino a Oltre Tabella 1: Configurazioni PDD Fase 2-3-4: Predisposizione, Composizione e Coordinamento, Integrazione e Pubblicazione In corrispondenza di tali fasi sono collocate le attività relative allo sviluppo e alla pubblicazione del software necessario per implementare la cooperazione applicativa. Nella fase 2 ( Predisposizione ) vengono realizzati (effettuando il wrapping di componenti esistenti o realizzandone di nuovi) i componenti applicativi corrispondenti alle funzionalità elementari; nella successiva fase 3 ( composizione ) i suddetti componenti applicativi predisposti nella fase 2 sono integrati e composti fra di loro allo scopo di sviluppare moduli applicativi in grado di realizzare le funzionalità amministrative complete che si intendono rendere disponibili su SPC coop attraverso servizi applicativi. Nella eventualità in cui più Amministrazioni abbiano intenzione di costituire congiuntamente un dominio di cooperazione per uno o più servizi applicativi, la fase di composizione ed integrazione dei servizi applicativi può essere completata dal Servizio di Coordinamento degli stessi (orchestrazione). Nella fase 4 di Integrazione e Pubblicazione le funzionalità amministrative, implementate attraverso i moduli predisposti nella fase 3, sono integrate con la porta di dominio e, tramite l utilizzo delle funzioni della stessa, sono presentate su SPC coop come servizi applicativi (erogazione) od utilizzate per accedere a servizi applicativi già disponibili (fruizione). Stato del Documento Approvato Pag. 13 di 26

14 2.2.3 Le Altre fasi Le ulteriori fasi che compongono la Cooperazione Applicativa sono: Fase 5 Esercizio e Manutenzione Fase 6 Manutenzione evolutiva (MEV) La Fase 5 corrisponde al rilascio in esercizio dei servizi e dei moduli applicativi risultanti dalle fasi precedenti e alla gestione operativa dei medesimi su SPC coop. In questa fase viene erogata la manutenzione ordinaria MAC dei moduli e servizi rilasciati a decorrere dal termine del periodo di garanzia di tre mesi dal rilascio in esercizio, secondo i requisiti e le modalità definite ed aggiornate nel tempo dall Amministrazione (ciclo di vita degli Accordi di Servizio e dei servizi applicativi). Nella fase 6 viene erogata, a richiesta dell Amministrazione, la manutenzione evolutiva dei servizi e dei moduli applicativi eventualmente realizzati. Per essa, riguardo alla migrazione dei servizi, ci si può rifare essenzialmente a quanto riportato per la fase 2 al paragrafo precedente. 2.3 SERVIZI DI SICUREZZA APPLICATIVA Servizio Firewall XML Il firewall XML implementa la sicurezza applicativa grazie ad un apparato che può analizzare, filtrare, convalidare la struttura, crittografare e decrittografare, firmare ed effettuare la verifica della firma, effettuare la termination SSL, eseguire il controllo degli accessi, e inoltre consentire la gestione dei diagnostici e la tracciatura di tutte le operazioni che vengono svolte sui messaggi. Più in particolare, il Firewall XML è in grado di fornire funzioni e controlli per la sicurezza e la gestione in ambito SOA e cooperazione applicativa quali: Autenticazione dei Web Services; Support della WS Security: encryption, firma digitale; Trasformazioni XML; Gestione del protocollo di trasporto; Mascheramento e virtualizzazione dei WSDL; Verifica e gestione del contenuto del body del messaggio. Il servizio prevede: la predisposizione e gestione di strumenti per il filtraggio del traffico di rete a livello applicativo, secondo un insieme di regole definite, aggiornabili e verificabili; l elaborazione e aggiornamento delle regole su indicazione dell Amministrazione, con l obiettivo di consentire il transito di tutto e solo il traffico di dati in ingresso ed uscita Stato del Documento Approvato Pag. 14 di 26

15 secondo regole predeterminate e impedire tutto il traffico che non rispetti dette regole, tenendone traccia ove ciò accada. A tale scopo, nell ambito del servizio, vengono effettuate le attività specialistiche e di conduzione relative a: progettazione della integrazione della infrastruttura firewall XML con l architettura di rete e di sicurezza dell Amministrazione; approvvigionamento, installazione, configurazione e messa in opera degli apparati presso la sede e nell ambito della rete dell Amministrazione; elaborazione delle regole di sicurezza indicate dall Amministrazione da inserire sui firewall; supporto all Amministrazione per l analisi di rischi e minacce derivanti dall introduzione delle nuove regole e supporto relativo all implementazione di best practices e metodi per lo sviluppo applicativo; conduzione dal servizio dal Centro Servizi ed in particolare: o inserimento e gestione delle regole di sicurezza sui firewall; o gestione remota dei sistemi firewall, gestione delle console, registrazione delle violazioni, attività di manutenzione ordinaria ed evolutiva; o monitoraggio e backup Servizio di identificazione, autenticazione e autorizzazione Il servizio consiste nella gestione delle funzioni di Identificazione, Autenticazione ed Autorizzazione (IAA) degli utenti all uso dei sistemi informatici dell Amministrazione, con modalità conformi ai requisiti di sicurezza richiesti dalle normative vigenti. Il sistema IAA comprende la gestione delle credenziali degli utenti (user management e provisioning) e il controllo degli accessi ai sistemi informatici, in cui il riconoscimento dell utente avviene attraverso credenziali basate su userid e password, smart card contenenti certificati digitali, CNS/CIE (Carta di Identità Elettronica). Inoltre il sistema consente di assumere le funzioni di Autorità Locale di Dominio nell ambito del sistema di gestione delle identità federate SPC coop, e cioè: funzioni di Identity Provider; funzioni di Attribute Authority relativamente a ruoli lavorativi di identità persona e a privilegi applicativi dipendenti da specifici servizi applicativi SPC coop; funzioni di Profile Authority. La fornitura del servizio prevede, da un lato, l integrazione di politiche, processi e procedure (assicurati da personale specializzato che opera prevalentemente presso il Centro Servizi) e, dall altro, la messa in opera dell infrastruttura HW e SW per la gestione di: utenze dei sistemi informatici, ruoli, autorizzazioni, profili di autorizzazione degli utenti in base al ruolo, utenze dei sistemi dell Amministrazione (comprese, quando richiesto, le utenze amministrative dei server o interne dell Amministrazione). La gestione dell utenza prevede la definizione, modifica e cancellazione degli utenti e dei relativi permessi automaticamente e in maniera coordinata nell ambito dei diversi sottosistemi operativi, in funzione degli eventi caratteristici del ciclo di vita; Stato del Documento Approvato Pag. 15 di 26

16 Accesso centralizzato e web single sign on per dare la possibilità all utente, in base alle funzioni che deve svolgere, di accedere a tutte le applicazioni e ai sistemi compresi nel servizio di IAA utilizzando un login unico. 2.4 INFRASTRUTTURE E STRUMENTI PER L EROGAZIONE DEI SERVIZI Help Desk Il servizio prevede l assistenza all Amministrazione per il supporto tecnico, la risoluzione dei malfunzionamenti, le modifiche e l inserimento di nuovi utenti (servizio IAA) e la manutenzione del sistema, attraverso la messa a disposizione all utenza di un numero verde per l interazioni con gli operatori preposti al servizio nonché di un sistema di registrazione delle richieste (Trouble Ticket) per il tracciamento delle stesse e del workflow di risoluzione dei malfunzionamenti segnalati Sistema di controllo dei Livelli di Servizio Il sistema di controllo dei livelli di servizio (SLAM) raccoglie in maniera automatizzata tutte le misurazioni effettuate sugli apparati e sui sistemi utilizzati per la fornitura dei servizi ed elabora il riferimento per il calcolo dei livelli di servizio nel periodo di osservazione. A questo sistema è delegata l archiviazione delle misure effettuate e dei risultati ottenuti per l intera durata del contratto; il sistema produce i report contrattualmente richiesti per stimare la conformità dei servizi ai livelli stabiliti e tutta la documentazione che complementa i risultati di sintesi e realizza l impianto documentale specifico per ciascuna Amministrazione. Poiché i report prodotti sono stati resi disponibili alle Amministrazioni durante l esercizio contrattuale, non ci sono elementi oggetti di migrazione. Tuttavia, su richiesta, qualora la singola Amministrazione ne faccia richiesta entro la scadenza contrattuale, il RTI potrà nuovamente produrre uno specifico il report Sistema di Rendicontazione sull utilizzo dei servizi Il Sistema di Rendicontazione sull Utilizzo dei Servizi (SRUS) ha il compito di rendere disponibili alle Amministrazioni le informazioni sull utilizzo dei servizi erogati nell ambito del contratto attraverso una serie di report statistici, informativi e di riepilogo. Poiché i report prodotti sono stati resi disponibili alle Amministrazioni durante l esercizio contrattuale, non ci sono elementi oggetti di migrazione. Tuttavia, su richiesta, qualora la singola Amministrazione ne faccia richiesta entro la scadenza contrattuale, il RTI potrà nuovamente produrre uno specifico il report Sistema di Pubblicazione in modalità web (Portale) Il Portale dei Servizi rappresenta sia un punto d accesso ai report prodotti principalmente dai sistemi SLAM e SRUS sia il contenitore della documentazione fornita alle Amministrazioni durante l esercizio contrattuale. Stato del Documento Approvato Pag. 16 di 26

17 Come per i report, poiché i documenti prodotti sono stati già resi disponibili alle Amministrazioni, non ci sono elementi oggetti di migrazione. Tuttavia, su richiesta, qualora la singola Amministrazione ne faccia richiesta entro la scadenza contrattuale, il RTI potrà nuovamente produrre uno specifico documento. Stato del Documento Approvato Pag. 17 di 26

18 3 QUADRO DI UTILIZZO DEI SERVIZI Servizio Posta Elettronica Esclusiva Unified messaging Posta elettronica certificata Numero Amministrazioni che utilizzano il servizio 7 Unità di misura Numero caselle Volumi Di cui: 1 Numero utenze Numero caselle Quantità in modalità on site ( con funzioni di archiving) caselle di posta centralizzata 8 14 Di cui: Numero porte Porta di dominio 4 PDD fascia 4 6 PDD fascia 5 4 PDd fascia 6 Firewall Xml 5 Apparati 8 IAA 4 Utenti Tabella 2: Utilizzo servizi Stato del Documento Approvato Pag. 18 di 26

19 4 ATTIVITÀ DI MIGRAZIONE 4.1 ATTORI COINVOLTI Le attività di migrazione dei servizi vedono come attori coinvolti i soggetti contrattualmente legati dal contratto di fornitura dei servizi in ambito SPC coop e i soggetti contrattualmente legati dal contratto di fornitura dei medesimi servizi (seppure in una nuova articolazione dei servizi stessi non sovrapponibile alla vecchia) nel nuovo ambito contrattuale. Dunque, possono essere identificati quali attori coinvolti nella migrazione: Amministrazione DigitPA o Fornitore che termina l erogazione dei servizi Fornitore subentrante Amministrazione Si intende l Amministrazione fruitrice di un determinato servizio oggetto di migrazione. Nella descrizione delle attività di migrazione dei servizi sono evidenziati ruoli e responsabilità attribuite all attore Amministrazione, nonché le attività a suo carico, per quello specifico processo di migrazione del servizio DigitPA Nella descrizione delle attività di migrazione dei servizi sono evidenziati ruoli e responsabilità attribuite all attore DigitPA, nonché le attività a suo carico, per quello specifico processo di migrazione del servizio Fornitore che termina l erogazione dei servizi È il fornitore dei servizi rispetto al Contratto Quadro SPC Coop e va inteso come il RTI HP ES - AlmavivA. Nella descrizione delle attività di migrazione dei servizi sono evidenziati ruoli e responsabilità attribuite all attore Fornitore che termina l erogazione del servizio, nonché le attività a suo carico, per quello specifico processo di migrazione del servizio Fornitore subentrante È il nuovo fornitore che, stipulando un contratto con le Amministrazioni, prende in carico i servizi attualmente erogati nell ambito del contratto SPC coop, alle condizioni contrattuali definite. Il ruolo e la responsabilità del fornitore subentrate sono legati al nuovo contratto da questo stipulato con il DigitPA e le Amministrazioni per l erogazione dei servizi. Ciò implica, in molti casi, la presa in carico di componenti rilasciati a DigitPA ed alle Amministrazioni dal Stato del Documento Approvato Pag. 19 di 26

20 fornitore che termina l erogazione dei servizi: in questo senso il fornitore subentrante può esser visto, indirettamente, come un attore del processo di migrazione dei servizi. Le azioni attribuite al fornitore subentrante nei paragrafi descrittivi delle attività di migrazione dei servizi sono da intendersi quindi quali azioni svolte per conto del DigitPA, su sua esplicita indicazione ed autorizzazione. 4.2 FASI DELLA MIGRAZIONE Fasi della migrazione di un servizio Il processo di migrazione, da un fornitore ad un altro, di un servizio IT in outsourcing si articola essenzialmente nelle seguenti fasi principali: 1. Fase preliminare; 2. Fase di rilascio. Di seguito sono descritte le attività principali che caratterizzano ognuna delle fasi. Cronologicamente le fasi si susseguono nell ordine in cui sono proposte sopra. Fase preliminare: Pianificazione generale delle attività per il rilascio delle componenti del servizio all atto della cessazione dell erogazione; Predisposizione del piano di dettaglio per la migrazione dei servizi; Pianificazione delle attività di consulenza, quale supporto al fornitore subentrante nell implementazione (Giornate erogate nell ambito del servizio di consulenza); Predisposizione della documentazione. Fase di rilascio: Rilascio (al DigitPA e/o all Amministrazione) delle componenti del servizio (configurazionali, architetturali e dati) contrattualmente di proprietà del DigitPA e/o dell Amministrazione, su supporti concordati; Coordinamento della sincronia delle azioni di migrazione (che lo richiedono) tra fornitore che termina l erogazione del servizio, fornitore subentrante, DigitPA e/o amministrazioni (servizio di consulenza). 4.3 GENERALITÀ SU FORMATI E SUPPORTI DELLE COMPONENTI RILASCIATE Sia i servizi oggetto di migrazione dall inquadramento contrattuale SPC coop al nuovo modello contrattuale sia i servizi SPC coop senza una corrispondenza nel nuovo ambito, la cui erogazione viene interrotta al termine del contratto, comportano il rilascio al DigitPA ed alle Amministrazioni interessate di opportune componenti, quelle necessarie alla migrazione o alla Stato del Documento Approvato Pag. 20 di 26