dipartimento risorse economiche e organizzative unità operativa provveditorato/economato responsabile: dott. Alberto Cendron

Transcript

1 Regione del Veneto - AZIENDA U.L.SS. N. 8 ASOLO dipartimento risorse economiche e organizzative unità operativa provveditorato/economato responsabile: dott. Alberto Cendron Capitolato Speciale per l affidamento del servizio di conservazione sostitutiva in Cloud Computing dei dati clinici ed amministrativi per l Azienda ULSS n. 8 di Asolo.

2 INDICE GENERALE TITOLO I. NORME GENERALI. CAPO I. CARATTERISTICHE GENERALI E REQUISITI NORMATIVI DEL SERVIZIO. Art. 1 Oggetto del servizio. Art. 2 Aspetti generali ed obiettivi principali del servizio secondo il paradigma del Public Cloud Computing. Art. 3 Requisiti normativi. Art. 4 Durata del servizio. Art. 5 Infrastruttura del servizio e geolocalizzazione del dato. Art. 6 Costo del servizio e volumi documentali. CAPO I. REQUISITI. Art. 7 Requisiti organizzativi. Art. 8 Requisiti tecnologici. TITOLO II. LIVELLI DI SERVIZIO. (CLOUD SERVICE LEVEL AGREEMENT) CAPO II. ARCHITETTURA TECNOLOGICA. Art. 9 Avvio del servizio e collaudo. Art. 10 Data center. Art. 11 Piano di migrazione dei dati verso il Cloud Computing. Art. 12 Interoperabilità dei dati in Cloud Computing. Art. 13 Portabilità dei dati in Cloud Computing. CAPO III. FLUSSO DI CONSERVAZIONE. Art. 14 Macro-fasi del servizio in Cloud. Art. 15 Acquisizione dei documenti. Art. 16 Verifica di validità dei documenti. Art. 17 Apposizione della marcatura temporale. Art. 18 Invio in conservazione. Art. 19 Restituzione della marca temporale. CAPO IV. CONTINUITÀ OPERATIVA E DISASTER RECOVERY. Art. 20 Continuità Operativa (CO) del servizio. Art. 21 Disaster Recovery (DR). 2

3 Art. 22 Manutenzione della soluzione di Continuità Operativa e Disaster Recovery. Art. 23 Test periodici della soluzione. Art. 24 Servizio di assistenza operativa. Art. 25 Disaster Recovery del RIS/PACS aziendale. CAPO V. ALTRE SPECIFICHE. Art. 26 Funzione di esibizione. Art. 27 Confidenza del Cloud Provider dei processi clinico-sanitari dell organizzazione ospedaliera. Art. 28 Attività di consulenza. Art. 29 Formazione ed addestramento. Art. 30 Privacy Level Agreement (PLA). Art. 31 Servizi aggiuntivi e migliorativi. CAPO VI. VERIFICHE. Art. 32 Audit dei processi. Art. 33 Tracciabilità. Art. 34 Presidio e monitoraggio. Art. 35 Sicurezza. Art. 36 Servizio di help desk. CAPO VII. MANUTENZIONE. Art. 37 Manutenzione correttiva. Art. 38 Manutenzione adeguativa. Art. 39 Manutenzione evolutiva. CAPO VIII. PENALI. Art. 40 Penalità. Art. 41 Applicazione delle penali. TITOLO III. RESPONSABILITÀ. CAPO I. RESPONSABILITÀ CONTRATTUALE. Art. 42 Individuazione delle responsabilità. Art. 43 Incarico di Responsabile della conservazione e Responsabile di progetto del Cloud provider. Art. 44 Brevetti e diritto d autore. Art. 45 Proprietà del software applicativo. 3

4 TITOLO IV. SPECIFICHE CONTRATTUALI. CAPO I. DISCIPLINA CONTRATTUALE. Art. 46 Stipula e termine del contratto Art. 47 Deposito cauzionale definitivo. Art. 48 Cessione del contratto e subappalto. Art. 49 Fatturazione e pagamenti. Art. 50 Tracciabilità dei flussi finanziari. Art. 51 Adesione di altre Aziende sanitarie della Regione Veneto. Art. 52 Coperture assicurative. Art. 53 Revisione dei prezzi. CAPO II. SCIOGLIMENTO DEL RAPPORTO CONTRATTUALE. Art. 54 Recesso unilaterale. Art. 55 Risoluzione del contratto. TITOLO V. LEGISLAZIONE SUL LAVORO E RISERVATEZZA DEI DATI. CAPO I. PERSONALE DIPENDENTE. Art. 56 Disposizioni generali. - contratto di lavoro. - obblighi assicurativi. - altri obblighi. CAPO II. RISERVATEZZA. Art. 57 Trattamento e riservatezza dei dati in ambito Cloud. - riservatezza dei dati e subappalto. CAPO I. ALTRI ADEMPIMENTI. TITOLO VI. DISPOSIZIONI FINALI. Art. 58 Documentazione da produrre. Art. 59 Comunicazioni. Art. 60 Foro competente. Art. 61 Norme di rinvio. 4

5 TITOLO I. NORME GENERALI CAPO I. CARATTERISTICHE GENERALI E REQUISITI NORMATIVI DEL SERVIZIO. Art. 1 Oggetto del servizio. L Azienda ULSS n. 8 della Regione Veneto, in prosieguo denominata anche Azienda Sanitaria, si propone con la seguente procedura di acquisire un servizio di conservazione sostitutiva, secondo il paradigma del Public Cloud Computing, dei dati amministrativi e sanitari contenuti - a titolo esemplificativo e non esaustivo nel dossier e nel fascicolo sanitario, nelle cartelle cliniche e di referti ed immagini del RIS-PACS aziendale. I quantitativi oggetto del presente appalto, che si intendono indicativi e pertanto legati all effettiva necessità dell Azienda Sanitaria, sono espressi in dettaglio al successivo art. 6 Costo del servizio e volumi documentali e potranno variare nei limiti e secondo quanto previsto dalla vigente normativa. Per la partecipazione alla gara sarà obbligatorio effettuare pena l esclusione, da parte della Ditta offerente, in prosieguo denominata anche Fornitore, un sopralluogo presso la struttura informatica (U.O Informatica) dell Azienda Sanitaria, finalizzato ad acquisire le conoscenze in merito alla situazione esistente e le esigenze future relative alle procedure operative ed amministrative di gestione ed ai protocolli informatici utilizzati nell Azienda Sanitaria. Di tale sopralluogo sarà redatta apposita attestazione. La richiesta di presa visione e sopralluogo presso l Azienda Sanitaria dovrà essere formulata da un legale rappresentante e dovrà pervenire, pena la mancata accettazione della medesima, entro 35 giorni dalla data ultima di scadenza per la presentazione delle offerte, mediante fax a: Azienda U.L.S.S. n. 8 Asolo U.O. Provveditorato-Economato Alla c.a. del dott. Mauro Pellizzari provveditorato@ulssasolo.ven.it n. fax. 0423/ n. tel. 0423/ indicando il nominativo ed i dati anagrafici della/e persona/e incaricata/e di effettuare la presa visione ed il sopralluogo, tel., fax ed indirizzo c/o cui effettuare ogni comunicazione in tal senso e/o comunque per gli accordi del caso. Si precisa che al sopralluogo saranno ammessi: il legale rappresentante dell'impresa; oppure, in alternativa, un incaricato della stessa, munito a tal fine di specifica delega. L importo a base d asta, in lotto unico, per la fornitura del servizio è pari ad euro ,00 (I.V.A. esclusa), per il periodo contrattuale di anni 3 (tre), soggetto a ribasso d asta. Tale somma è da intendersi quale tetto massimo di spesa, oltre il quale l Azienda Sanitaria non aggiudicherà la fornitura. Si precisa che non sussistono rischi di interferenza ai fini della normativa e di conseguenza non sono previsti costi relativi alla sicurezza relativi al DUVRI. Le attività oggetto del presente appalto potranno essere ridotte in conseguenza di manovre di contenimento della spesa sanitaria operate dallo Stato o dalla Regione Veneto o da altro Ente pubblico preposto. Nel caso sia necessaria l integrazione parziale del servizio in oggetto o l ampliamento dello 5

6 stesso, è consentito ricorrere alla Ditta appaltatrice per forniture complementari, ai sensi dell articolo 57, comma 5, del D.Lgs. 163/2006. Art. 2 Aspetti generali ed obiettivi pricipali del servizio secondo il paradigma del Public Cloud Computing. Il servizio dovrà essere svolto tenendo conto dei vari aspetti generali, economici, tecnologici e giuridici che il paradigma del Public Cloud Computing presenta, per una sua applicazione clinica e sanitaria, secondo le indicazioni della Carta di Castelfranco sul Cloud Computing in sanità: ( La Ditta fornitrice si occuperà di applicazioni su processi clinici mediante la conoscenza, la gestione ed il controllo dei processi diagnostico-terapeutici, la comprensione delle implicazioni organizzative di un ambiente clinico, misurando necessariamente, al fine di una ottimizzazione del servizio, il contenuto standard di quest ultimo rispetto ad ospedali clienti ubicati in una regione locale o mondiale. Le Ditte pertanto terranno conto della necessità di: - operare con una rete a banda larga ridondata, per la connessione tra strutture ospedaliere, medici, cittadini e provider; - garantire l interoperabilità con i sistemi ospedalieri intra-cloud, inter-cloud e sistemi cloud con no-cloud, assicurando la portabilità dei dati nei casi di passaggio ad altro fornitore; - garantire la continuità operativa permanente della soluzione in Cloud; - specificare la policy di gestione per l attività di salvataggio/backup dei dati clinici in cloud; - monitorare l esclusione di ingerenze esterne nei dati clinici in cloud, consentendo sempre l accesso ai sistemi da parte delle autorità preposte; - operare con un architettura di software e hardware capace di prevenire: lo smarrimento, la perdita, la sottrazione dei dati clinici nonché la sospensione della continuità operativa e la crisi di interoperabilità; - conoscere ed avere una buona confidenza con i processi clinici e l organizzazione ospedaliera; - supportare la struttura ICT ospedaliera nell evoluzione verso competenze di service management; - garantire la protezione, la gestione e la sicurezza dei dati clinici; La Ditta fornitrice, mediante la combinazione tra e-health, quale complesso delle risorse, soluzioni e tecnologie informatiche di rete applicate alla salute ed alla sanità, e tecnologie in Cloud Computing, permetterà all Azienda Sanitaria principalmente di: - avere un time-to-market più rapido per la garanzia di innovazione; - acquisire una scalabilità dinamica delle risorse impiegabili, in base alle mutevoli scelte di lavoro; - garantire al personale individuato dall Azienda Sanitaria di accedere in remoto alle architetture di risorse hardware e software per la centralizzazione dell archivio documentale sia clinico-sanitario che amministrativo; - garantire l economicità della gestione aziendale, dato che l Azienda Sanitaria non dovrà più farsi carico, nell ambito del servizio de quo, dell acquisto, della manutenzione e della gestione dei macchinari e software configurati ed aggiornati secondo le mutevoli disposizioni di legge superando, non solo le problematiche legate all aggiornamento dei sistemi, ma anche quelle legate all aggiornamento formativo del personale interno all Azienda Sanitaria, la cui attività si focalizzerà pertanto sulla gestione del servizio e del 6

7 progetto con notevoli risparmi di tempo; - semplificare il workflow documentale clinico amministrativo; - garantire un alto grado di controllo su dati, applicazioni e sistemi informativi nell ambito della privacy e della security; - garantire la centralizzazione dell archivio sanitario con un unica metodologia di accesso alle informazioni on-line; - rispondere rapidamente ai fabbisogni improvvisi, non soddisfabili internamente all Azienda Sanitaria. Art. 3 Requisiti normativi. Oltre alle norme generali dello Stato italiano, da considerare comunque come punti di riferimento indispensabili per il progetto realizzato, ve ne sono alcune specifiche dell'ambito sanitario, della gestione documentale digitale, della conservazione dei documenti nel tempo, della sicurezza dei sistemi e della riservatezza dei dati personali durante il loro trattamento, che di seguito si vanno a riportare in maniera esemplificativa e non esaustiva. La loro conoscenza appare essenziale per meglio comprendere gli aspetti organizzativi, tecnologici e medico-giuridici compresenti nel servizio richiesto: - Circolare Ministero della Sanità 19 dicembre 1986, n. 61 Circolare avente per oggetto il periodo di conservazione della documentazione sanitaria presso le istituzioni sanitarie pubbliche e private di ricovero e cura - D.lgs 17 marzo 1995, n. 230 Attuazione nazionale delle Direttive Euratom nn. 80/836, 84/467, 84/466, 89/618, 90/641 e 92/3, in materia di radiazioni ionizzanti - DM Norma di attuazione del D.lgs n.230/95, "Determinazione delle modalità affinché i documenti radiologici e di medicina nucleare e i resoconti esistenti siano resi tempestivamente disponibili per successive esigenze mediche, ai sensi dell'art. 111, comma 10, del decreto legislativo 17 marzo 1995, n. 230" - D.lgs 26 maggio 2000, n. 187 Attuazione della direttiva 97/43/Euratom in materia di protezione sanitaria delle persone contro i pericoli delle radiazioni ionizzanti connesse ad esposizioni mediche - Prontuario di selezione per gli archivi delle aziende sanitarie locali e delle aziende ospedaliere, 2005 Atto di indirizzo che reca indicazioni sui tempi di conservazione dei documenti generati e/o custoditi da Aziende Sanitarie pubbliche ed accreditate, redatto dal Ministero per i Beni e la Attività Culturali - L. 15 marzo 1997, n. 59 Art.15, co.2: "Gli atti, dati e documenti formati dalla pubblica amministrazione e dai privati con strumenti informatici o telematici, i contratti stipulati nelle medesime forme, nonché la loro archiviazione e trasmissione con strumenti informatici, sono validi e rilevanti a tutti gli effetti di legge" - D.lgs 7 marzo 2005, n.82 Codice dell'amministrazione digitale e s.m.i 7

8 - D.lgs 4 aprile 2006, n. 159 Disposizioni integrative e correttive al decreto legislativo 7 marzo 2005, n. 82, recante codice dell'amministrazione digitale - Directive 1999/93/EC of the European Parliament and of the Council of 13 December 1999 on a Community framework for electronic signatures - DPR 28 dicembre 2000, n. 445 T.U. delle disposizioni legislative e regolamentari in materia di documentazione amministrativa (TestoA), per le parti rimaste in vigore dopo le abrogazioni operate dal D.lgs n.82/05 - DPCM 13 gennaio 2004 ( abrogato ) e sostituito dal DPCM 30 Marzo 2009 ( entrato in vigore a fine Dicembre 2009 ) Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici - D.Lgs 30 dicembre 2010, n. 235 Modifiche ed integrazioni al decreto legislativo , n. 82, recante Codice dell amministrazione digitale, a norma dell art. 33 della legge , n. 69. GU Deliberazione CNIPA 19 febbraio 2004, n.11 Regole tecniche per la riproduzione e conservazione di documenti su supporto ottico idoneo a garantire la conformità dei documenti agli originali - Art. 6, commi 1 e 2, del testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa, di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n Deliberazione CNIPA 17 febbraio 2005, n. 4 Regole per il riconoscimento e la verifica del documento informatico - Decreto Ministero dell'economia e delle Finanze 23 gennaio 2004 Modalità di assolvimento degli obblighi fiscali relativi ai documenti informatici ed alla loro riproduzione in diversi tipi di supporto linee guida per la dematerializzazione della documentazione clinica in laboratorio ed in diagnostica per immagini. - D.lgs 30 giugno 2003, n. 196 e s.m.i Codice in materia di protezione dei dati personali - Allegato B del D.lgs n.196/03 Disciplinare tecnico in materia di misure minime di sicurezza - Deliberazione Garante per la protezione dei dati personali 23 dicembre 2004, n. 14 Contributo spese in caso di esercizio dei diritti dell'interessato - Newsletter Garante per la protezione dei dati personali 27 febbraio 2005, n. 246 Accesso alle banche di dati, esibizione e diritti dei cittadini - EU Code of conduct for data centres - Nuove linee guida del Garante per la Privacy sui servizi Cloud 8

9 - D. lgs 39/1993 Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche - D. lgs 163/2006 Codice dei contratti pubblici relativi a lavori, servizi e forniture in attuazione delle direttive 2004/17/CE e 2004/18/CE - D. lgs 177/2009 Riorganizzazione del Centro nazionale per l'informatica nella pubblica amministrazione, a norma dell'articolo 24 della legge 18 giugno 2009, n D.P.R 207/2010 Regolamento di esecuzione ed attuazione del decreto legislativo 12 aprile 2006, n Allegato alla deliberazione del Comitato Direttivo di Digit PA n. 56 del 9 maggio 2012 Raccomandazioni e proposte sull utilizzo del cloud computing nella pubblica amministrazione - Linee guida per il Disaster Recovery delle pubbliche amministrazioni ai sensi del comma 3, lett. b, dell art. 50-bis del D.lgs n. 82/2005 e s.m.i (Digit PA) - Carta di Castelfranco Raccomandazioni per gli utenti di sanità digitale in cloud computing ( La Ditta, nel presentare il proprio progetto, dovrà far riferimento a tali norme e a quant'altre ritengano necessarie, specificando in offerta tecnica, le caratteristiche del proprio sistema che vanno a realizzare la rispondenza alle norme del sistema stesso. Il servizio dovrà essere mantenuto costantemente aderente all'evolversi delle norme in materia di conservazione sostitutiva di documenti clinici e amministrativi per tutta la durata del contratto secondo il paradigma del Public Cloud Computing. Sarà dunque a completo carico del Fornitore qualsiasi aggiornamento, modifica, revisione del sistema e delle procedure tecniche ed organizzative che si dovessero rendere necessarie a fronte di variazioni normative. La Ditta aggiudicataria dovrà provvedere a tutti gli adeguamenti normativi ed a tutte le variazioni necessarie al mantenimento a norma del servizio e alla conformità alle regole tecniche di riferimento internazionali, nazionali e regionali senza oneri aggiuntivi a carico dell Azienda Sanitaria per tutta la durata del presente appalto. Art. 4 Durata del servizio. Il servizio dovrà essere fornito per anni 3 (tre). Qualora, prima della scadenza del contratto d appalto, non sia stato possibile individuare il nuovo aggiudicatario con procedura ad evidenza pubblica, il contratto potrà essere prorogato per il tempo strettamente necessario per definire la nuova aggiudicazione, nel corso del quale la Ditta aggiudicataria avrà l'obbligo di continuare il servizio, alle condizioni convenute. I primi 6 mesi di gestione del servizio saranno considerati periodo di prova, al termine del quale l Azienda Sanitaria potrà recedere dal contratto, con decisione motivata, qualora il servizio si riveli non corrispondente a quanto richiesto dal Capitolato Speciale. 9

10 Art. 5 Infrastruttura del Servizio e geolocalizzazione del dato. Il nuovo servizio deve prevedere un'infrastruttura adeguata a garantire: - vertical scalability (incremento dei volumi); - horizontal scalability (incremento dei servizi da interfacciare); - continuità e fault tolerance; - aggiornamento tecnologico; - sicurezza fisica/logica; Il servizio consiste nella conservazione a norma di legge dei documenti informatici prodotti dall Azienda Sanitaria, secondo quanto stabilito dalle norme vigenti ai sensi dell art. 3 Requisiti normativi, del presente Capitolato Speciale. Il servizio sarà erogato secondo il paradigma del Public Cloud Computing e quindi il Fornitore dovrà mettere a disposizione tutti gli strumenti e tecnologie, necessari per garantire l'integrale rispetto della normativa e l'efficace ed efficiente interazione con i sistemi ed i servizi dell Azienda Sanitaria. Il Fornitore dovrà presentare la descrizione di tale architettura al fine di dimostrarne l'esistenza e la solidità. La Ditta aggiudicataria si impegna a conservare tutti i documenti ricevuti in conservazione con la diligenza richiesta dalle attività oggetto del presente capitolato. La Ditta si impegna a non trasferire i dati oggetto del presente Capitolato Speciale all esterno dello Spazio Economico Europeo (SEE) e si impegna a garantire l ubicazione e la presenza sul territorio italiano o nell ambito dell UE dell infrastruttura utilizzata per l erogazione dei servizi Cloud. Nel caso le infrastrutture siano collocate in un altro paese dell UE, al contratto dovrà comunque essere applicata la legge italiana ed, in caso di controversia, l autorità giudiziaria competente a conoscere della questione sarà quella italiana. Per altre modalità più estese di circolazione dei dati si richiama quanto previsto nel documento di Digit Pa : Raccomandazioni e proposte sull utilizzo del Cloud Computing nella pubblica amministrazione del ; paragrafo intitolato Ambito di circolazione dei dati pag. 35. Art. 6 Costo del servizio e volumi documentali. Il costo riportato in offerta economica è da considerarsi onnicomprensivo di qualsiasi onere. A titolo esemplificativo dovrà quindi tenere conto di eventuali costi di start-up del sistema, adeguamenti di legge che potranno intervenire durante il periodo di vigenza del contratto, audit ed esibizioni richieste dei documenti e quant'altro inerente il servizio oggetto dell'appalto. Il costo riportato in offerta economica implica l'applicazione del servizio per l'intero ciclo di vita del documento previsto dalle leggi vigenti e dai regolamenti dei singoli Enti, compatibilmente con la durata contrattuale. Il costo del servizio dovrà essere articolato secondo lo schema di seguito indicato e dovrà essere computato in relazione ai fabbisogni indicati: VOCE DESCRIZIONE UNITA' DI MISURA QTA (Fabbisogno 36 mesi) A Documenti amministrativi e sanitari Costi fissi: Integrazione con sistema sorgente documentali (dipartimentali, repository, etc) n. sorgenti 13 sorgenti 10

11 B Messa in conservazione dello stock di documenti pregressi n. lotti da documenti 12 lotti Costi variabili: C Canone di manutenzione per integrazione con il sistema sorgente documenti (dipartimentali, repository, etc.) n. sorgenti x n. mensilità 13 sorgenti x 36 mensilità D Messa in conservazione dei documenti e gestione del servizio di conservazione (omnicomprensivo di tutti i costi di manutenzione, aggiornamento, ecc.) n. lotti da documenti 12 lotti Immagini PACS Costi fissi: E Integrazione sorgente PACS n. sorgenti 1 sorgente F Messa in conservazione dello stock di immagini PACS pregresse n. lotti da 1 TB non compressi 15 lotti G H Costi variabili: Canone di manutenzione per l integrazione con sistema sorgente PACS Messa in conservazione delle immagini PACS e gestione del servizio di conservazione (omnicomprensivo di tutti i costi di manutenzione, aggiornamento, ecc.) n. sorgenti x n.mensilità n. lotti da 1 TB non compressi 1 sorgente x 36 mensilità 30 lotti Replica remota PACS Costi fissi: I Attivazione del servizio una tantum 1 attivazione L Costi variabili: Canone per la gestione del servizio di disaster recovery PACS (omnicomprensivo di tutti i costi di manutenzione, aggiornamento, ecc.) n. mensilità 36 mensilità TITOLO II. LIVELLI DI SERVIZIO (CLOUD SERVICE LEVEL AGREEMENT) CAPO I. REQUISITI. Art. 7 - Requisiti organizzativi. La Ditta dovrà specificare dettagliatamente, in un documento apposito, il sistema di deleghe, obblighi ed incarichi del servizio offerto, avendo cura di evidenziare ciò che resta in capo all Azienda Sanitaria e ciò che invece è di esclusiva responsabilità ed onere della Ditta offerente. In tale documento la Ditta dovrà anche riportare l'organizzazione che l Azienda Sanitaria dovrà darsi al proprio interno per ottemperare alla vigenti disposizioni di legge in funzione del 11

12 servizio offerto. La Ditta dovrà produrre una proposta di contratto di affidamento del procedimento di conservazione sostitutiva in Cloud Computing che specifichi la modalità di svolgimento del servizio e definisca la figura del "Responsabile del progetto" interno. La Ditta dovrà altresì produrre una proposta di mandato di nomina del Responsabile della Conservazione Sostitutiva della Ditta relativo al servizio de quo, ai sensi dell art. 43 Incarico di Responsabile della conservazione sostitutiva e Responsabile di progetto del Cloud provider. Qualora durante il periodo di durata del presente appalto, siano richieste o si rendano disponibili, a titolo obbligatorio e non, da parte di DigitPA o di enti terzi accreditati, certificazioni della rispondenza alle norme, linee guida o regole tecniche del sistema di conservazione sostitutiva fornito, la Ditta aggiudicataria dovrà, senza oneri aggiuntivi, provvedere alla certificazione del sistema fornito. Art. 8 Requisiti tecnologici. La Ditta offerente dovrà conservare i dati presso locali di cui abbia la piena disponibilità per tutta la durata del contratto e dovrà altresì prendere in carico la custodia del dato fino alla scadenza contrattuale, ai sensi dell art. 51 del Codice dell Amministrazione Digitale (D.lgs 82/2005). La Ditta deve presentare e descrivere dettagliatamente le modalità di gestione e le politiche di retency che intende adottare per le tipologie di documenti richiesti. La Ditta pertanto deve descrivere dettagliatamente le modalità tecnico-organizzative di gestione dei documenti nell arco temporale della loro permanenza nel sistema di conservazione nonché le politiche e le modalità di scarto dei documenti stessi a seconda delle tipologie riportate nel presente Capitolato. Se tale indisponibilità sarà superiore al tempo dichiarato verranno applicate le penali di cui agli artt. 40 e 41. La Ditta deve descrivere altresì i livelli di sicurezza e riservatezza assicurati nonché i sistemi tecnologici adottati a tale scopo allegando le eventuali certificazioni rilasciate da enti terzi e/o produttori di attrezzature ed impianti, in merito alle procedure ed alle tecnologie utilizzate. CAPO II. ARCHITETTURA TECNOLOGICA. Art. 9 Avvio del servizio e collaudo. Il Fornitore deve garantire l attivazione del servizio di conservazione dei documenti amministrativi e sanitari entro 70 giorni dalla comunicazione di aggiudicazione.per le immagini PACS e per il Servizio di Disaster Recovery l attivazione del servizio dovrà essere garantita dalla Ditta aggiudicataria entro 140 giorni dalla comunicazione di aggiudicazione. La transizione dal precedente Fornitore del servizio di conservazione non dovrà causare alcun impatto negativo sui servizi dell Azienda Sanitaria. A tale fine la Ditta aggiudicataria dovrà pianificare, organizzare e specificare nell offerta le attività di avviamento presentando un piano di avviamento del servizio comprensivo di Gantt delle attività e di un piano per la valutazione dei rischi. Per attivazione del servizio di conservazione si intende la predisposizione di tutte le procedure, attività, ruoli, funzioni propedeutiche per la fruizione del servizio da parte dell Azienda Sanitaria. In particolare, l aggiudicataria dovrà eseguire tutti i test di integrazione con il sistema informatico dell Azienda Sanitaria certificando la validità, l'integrità, la leggibilità dei documenti e la loro corretta conservazione. La conclusione delle attività di avviamento sarà certificata da un verbale di collaudo. Per quanto riguarda il collaudo, la Ditta concorrente dovrà produrre, nell'offerta tecnica, uno schema procedurale completo del test del servizio per gli aspetti funzionali e per le prestazioni in 12

13 relazione a quanto offerto. Tale schema, che dovrà comprendere almeno le specifiche del servizio richiesto con il presente appalto, dovrà essere comunque preventivamente approvato dall Azienda Sanitaria. Le Ditte concorrenti si impegnano ad accettare le modifiche allo schema di test eventualmente richieste. La Ditta aggiudicataria si impegna ad adeguare tempestivamente il servizio per gli aspetti che non superino il collaudo. In caso di mancato superamento del collaudo, l Azienda Sanitaria si riserva la facoltà di addebitare al Fornitore i costi che dovranno essere sostenuti per effettuare nuovamente il test. Art. 10. Data center. I data center che ospitano e gestiscono l'insieme delle risorse hardware, software e gli archivi dei documenti conservati nell'ambito del servizio in Cloud Computing devono essere organizzati ed amministrati nel rispetto delle norme italiane ed europee sulle misure di sicurezza e fornito di appositi sistemi di protezione logica e fisica al fine di impedire accessi non autorizzati.al personale incaricato dall Azienda Sanitaria potrà essere consentito l'accesso ai data center per verificare la qualità delle misure, delle procedure e delle tecnologie messe in atto al fine di assicurare la sicurezza, l'integrità e la riservatezza ai propri documenti. Il Fornitore si impegna a mantenere i dati clinici in data center situati in un Paese U.E con garanzia di applicazione delle norme e della giurisdizione italiane/europee. L'architettura deve garantire la completa continuità operativa attraverso opportune soluzioni di business continuity e disaster recovery situate in siti secondari posti in altre sedi ad una distanza di almeno 60 km rispetto ai data center che erogano il servizio. La Ditta deve descrivere dettagliatamente il sistema hardware e software di conservazione implementato presso il proprio data center e con il quale intende fornire il servizio esponendo eventuali vantaggi che tale organizzazione sistemistica può offrire. In tale descrizione la Ditta dovrà dichiarare il tempo massimo di indisponibilità del sistema durante un anno solare. Art. 11 Piano di migrazione dei dati verso il Cloud Computing. Il Fornitore dovrà farsi carico dell acquisizione in conservazione dello stock di documenti ed immagini pregresso (conservato o non) dell Azienda Sanitaria.La presa in carico del pregresso e la messa in conservazione deve avvenire entro 6 mesi dalla disponibilità dello stesso. L'acquisizione da parte del Fornitore dovrà essere fatta in modo da conservare le indicizzazioni presenti, in modo da garantire la possibilità di ricerca e l'associazione refertoimmagine, di tale soluzione la Ditta fornirà apposite indicazioni documentali. Art. 12 Interoperabilità dei dati in Cloud Computing. Il Fornitore dovrà garantire l interoperabilità, intesa come possibilità di un sistema di Cloud di interagire con altri sistemi Cloud e non, dei servizi erogati tra sistemi ospedalieri intra-cloud, inter cloud e sistemi cloud con no-cloud ove esistenti. L infrastruttura del Fornitore dovrà garantire che i servizi Cloud possano essere trasferiti su piattaforme di fornitori differenti ovvero possano eventualmente essere riportati all interno dell organizzazione dell Azienda Sanitaria senza alcun impatto e senza costi aggiuntivi. 13

14 Art. 13. Portabilità dei dati in Cloud Computing. Il Fornitore dovrà garantire un servizio avente caratteristiche tecnologiche che diano garanzia di portabilità dei dati nei casi di passaggio ad altro Fornitore, al termine del contratto, o per altre cause di interruzione del rapporto contrattuale non preventivabili. Il Fornitore deve documentare, all interno della documentazione tecnica, la strategia, le modalità di uscita e di assistenza, ovvero il processo di migrazione del patrimonio conservato verso un diverso fornitore. La strategia di migrazione dovrà pertanto essere descritta dal Fornitore in termini di: 1. modalità di esportazione dei dati; 2. modalità di distruzione dei dati presso il Fornitore con effetto su tutte le copie presenti nel sistema specificando l arco temporale in cui avverrà l operazione. Durante codesta fase di chiusura l'utenza non dovrà subire alcun peggioramento del servizio erogato. I requisiti di portabilità devono essere realizzati dal Fornitore attraverso l adozione di standard per i diversi elementi che compongono il servizio, quali ad esempio: - Cloud Data Management Interface (CDMI), che definisce le tipologie di interfacce che le applicazioni dovranno usare per creare, recuperare, modificare e cancellare i data element su un cloud (portabilità dei dati); - Open Virtualization Format (OVF), che definisce lo standard per la creazione e la distribuzione delle macchine virtuali (portabilità dei sistemi). Si evidenzia che in questo ambito gli standard possiedono differenti livelli di maturità e sono in continua evoluzione, pertanto la Ditta si impegna a recepire i predetti standard conformemente al loro grado di evoluzione. Al fine di evitare situazioni di vendor lock in, al termine del contratto, il Fornitore avrà altresì l'obbligo di mettere a disposizione dell Azienda Sanitaria tutti i documenti correttamente conservati nonché dovrà, in ogni caso, garantire l opportuno affiancamento al fornitore subentrante a seguito di nuova aggiudicazione sia nei casi previsti di risoluzione per inadempimento o recesso anticipato da parte dell Azienda Sanitaria. CAPO III. FLUSSO DI CONSERVAZIONE. Art. 14 Macro-fasi del servizio in Cloud. Il flusso di conservazione deve articolarsi nelle seguenti macro-fasi: - acquisizione dei documenti; - verifica di validità dei documenti; - apposizione della marcatura temporale; - invio in conservazione; - restituzione della marca temporale; Inoltre deve essere prevista la gestione delle eccezioni in ogni punto del flusso. Art. 15 Acquisizione dei documenti. Il sistema del Fornitore dovrà acquisire e conservare documenti clinici, immagini diagnostiche e documenti amministrativi. Documenti clinici: l'acquisizione deve avvenire mediante interfaccia diretta verso i sistemi 14

15 dipartimentali o verso il repository aziendale di consolidamento dei documenti, secondo quanto stabilirà l Azienda Sanitaria. Le interfacce dovranno essere implementate nella modalità e secondo il protocollo più opportuno per il sistema da integrare con tutta la flessibilità necessaria. Il Fornitore deve garantire l integrazione di nuovi sistemi qualora l'azienda lo richieda nel corso della fornitura. Immagini diagnostiche: L'acquisizione delle immagini diagnostiche avverrà tramite interrogazione del sistema PACS. L'acquisizione dovrà prevedere: - acquisizione ed enumerazione di tutti gli oggetti DICOM facenti parte dello studio, mediante QUERY DICOM verso il PACS; - gestione delle modifiche degli studi; - riconciliazione con i relativi referti. Documenti amministrativi: L'acquisizione potrà avvenire mediante interfaccia ai sistemi produttori o mediante acquisizione dei documenti esportati dei sistemi produttori in un'apposita area di lavoro. Nella documentazione amministrativa rientrano diverse tipologie di documenti quali, a titolo esemplificativo e non esaustivo, testi deliberativi, determine, reversali, ordinativi ai fornitori, mandati di pagamento nonchè il protocollo informatico. La soluzione proposta dovrà necessariamente tenere conto che in prospettiva il volume dei documenti interessati alla conservazione, nonché l ambito di applicazione del servizio, potrebbe ampliarsi. Art. 16 Verifica di validità dei documenti. Il flusso di conservazione del Fornitore deve prevedere la presenza di una fase di verifica dei documenti firmati. La verifica consentirà di garantire la correttezza della firma, la validità del certificato usato per firmare e la validità del documento firmato secondo la normativa vigente. I documenti che non rispondono a questo requisito saranno intercettati dal flusso e segnalati all'unità competente nell'azienda Sanitaria, mediante alert ed . I documenti che non hanno superato la verifica saranno inoltre messi a disposizione su un'apposita console per la successiva gestione. La funzione di verifica dovrà essere realizzata da una componente che potrà essere installata presso l'azienda. Inoltre deve essere messa a disposizione anche una libreria client utilizzabile dalle applicazioni aziendali sorgenti che permetta di verificare la validità (scadenza, revoca, sospensione etc.) del certificato di firma. La componente server dovrà essere configurata inizialmente in modo da gestire tutti gli Enti Certificatori riconosciuti da DigitPA; se necessario, potrà essere configurata per riconoscere uno specifico insieme di Enti Certificatori. Il servizio dovrà operare con le firme digitali fornite nel progetto regionale FDCOS e deve comunque garantire il riconoscimento dei documenti firmati attualmente dai dipartimentali delle Aziende e dei certificati di firma esistenti in azienda. Art. 17 Apposizione della marcatura temporale. Il servizio deve prevedere la marcatura temporale di ogni singolo documento clinico firmato. La marcatura avverrà tramite accesso ad un servizio di marcatura tale da garantire un adeguato tempo di risposta sui volumi gestiti dal servizio. Il servizio dovrà essere predisposto in modo che l'istante della sottoscrizione digitale del documento (evincibile dal signing-time) e l'istante di apposizione della marca temporale siano estremamente ravvicinati, compatibilmente con i vincoli tecnici imposti dall'architettura del sistema (bilanciamento del carico, code, tempo di risposta del servizio di marcatura, etc.). Tale attenzione 15

16 organizzativa rende improbabile che si verifichi una revoca o sospensione del certificato nel tempo che intercorre tra l'istante di apposizione della firma e l'attività di consolidamento con la marca. Art. 18 Invio in conservazione. Il servizio del Fornitore deve includere la conservazione dei documenti acquisiti secondo le procedure stabilite dalla vigente normativa ai sensi dell art. 3 Requisiti normativi del presente Capitolato. Art. 19 Restituzione della marca temporale. Il servizio del Fornitore deve prevedere, la possibilità di restituire al repository la marca temporale apposta al documento (in modalità attached o detached) secondo le specifiche tecnico operative che saranno definite dall Azienda Sanitaria. CAPO IV. CONTINUITÀ OPERATIVA E DISASTER RECOVERY. Art Continuità operativa (CO) del servizio. Il Fornitore dovrà presentare una soluzione tecnica che garantisca la continuità del servizio - ai sensi dell art. 50-bis del Codice dell Amministrazione Digitale - intesa come piano d insieme delle procedure e soluzioni tecnico-organizzative, accorgimenti e delle misure di reazione e risposta ad eventi imprevisti che possono compromettere, anche parzialmente, all interno o all esterno dell organizzazione, il normale funzionamento dei servizi ICT utilizzati per lo svolgimento delle funzioni istituzionali. Il Fornitore inoltre indicherà i ruoli, le responsabilità degli amministratori di sistema, i sistemi di escalation e le procedure per la gestione della continuità operativa, tenuto conto delle potenziali criticità relative a risorse umane, strutturali e tecnologiche. La soluzione progettuale dovrà indicare anche le modalità di gestione e risoluzione legate ad eventi imprevedibili e di tipo calamitoso (incendi, allagamenti ecc) - con adeguata registrazione degli stessi - e dei principali eventi potenzialmente dannosi per la sicurezza dei dati, che manifestandosi subito nella loro gravità, comporteranno l avvio del piano di continuità operativa. La soluzione progettuale deve tener conto di altri scenari di rischio, quali quelli determinati da un attacco di tipo terroristico o anche solo malevolo. Il Fornitore è tenuto pertanto a notificare all Azienda Sanitaria, in tutte le fasi di esecuzione del servizio, gli eventi, i fatti ed accadimenti relativi a: - incidenti; - trasferimento dei dati; - cambi di ruolo; - accessi da parte delle forze dell ordine. La Ditta aggiudicataria, per nessuna ragione potrà sospendere o non eseguire, in tutto od in parte, le attività oggetto del servizio. Il servizio oggetto del Capitolato Speciale dovrà essere espletato con assoluta continuità nelle 24 ore per tutta la durata del servizio e per il tempo necessario al passaggio ad eventuale altro Fornitore - al termine del contratto o per i casi di cui agli artt. 54 Recesso unilaterale e 55 Risoluzione del contratto - fino a completo funzionamento delle attività oggetto del presente Capitolato Speciale. Per garantire la continuità operativa è indispensabile che sia assicurata all Azienda Sanitaria dal Fornitore, in proprio ovvero ricorrendo ad un prestatore di servizi ICT, il servizio di copia e allineamento dei dati dei sistemi primari con i dati contenuti nei sistemi secondari. In quest ultimo 16

17 caso il Fornitore sarà considerato garante, ai fini della responsabilità, dell attività del terzo prestatore di servizi. L Azienda Sanitaria si riserva di definire la cadenza temporale del servizio di copia dei dati, tenuto conto del contesto tecnico operativo dell Azienda Sanitaria e dei valori di RPO definiti dalla stessa, nonché le modalità e il luogo di custodia delle copie di backup. Le attività svolte dovranno essere rendicontate dal Fornitore mensilmente sulla base dei livelli di servizio e degli obiettivi di RPO attesi, dando anche evidenza dei valori registrati. Art. 21 Disaster Recovery (DR). Il Fornitore è tenuto a garantire che sia il sito che il piano e gli impianti di Disaster Recovery (DR) siano stati organizzati e progettati tenendo conto delle esigenze di continuità e manutenibilità dei data center, garantendo, per tutto l arco temporale che lo impegna nei confronti dell Azienda Sanitaria, che abbia richiesto la fornitura, ovvero la messa a disposizione dei siti alternativi di DR: - l assoluta sicurezza dei siti, ossia l adozione di soluzioni in linea con lo stato dell arte, dell evoluzione tecnologica e della normativa vigente al riguardo, assicurando la protezione da accessi non autorizzati, la presenza di gruppi di continuità e accorgimenti che garantiscano l erogazione dell elettricità senza interruzioni, la presenza di dispositivi antincendio e anti-allagamento nonché il rispetto dei requisiti richiesti dall Azienda Sanitaria; - la fault tolerance (letteralmente tolleranza ai guasti) con possibilità di isolare l apparato in fault e provvedere alle riparazioni e/o alla sostituzione delle componenti guaste, senza pregiudicare la continuità delle funzionalità e del servizio erogato; - la disponibilità a soddisfare le eventuali esigenze di crescita che fosse necessario fronteggiare nel corso dell erogazione dei servizi di DR. Il Fornitore si impegna a predisporre le opportune misure di protezione fisica per proteggere i dati, contenuti negli apparati storage dedicati alla soluzione di DR, da accessi non autorizzati. Il Fornitore dovrà altresì, per tutto l arco temporale che lo impegna nei confronti dell Azienda Sanitaria assicurare l accesso ai siti alternativi di DR al personale dell Azienda Sanitaria per consentire, la verifica della costante adeguatezza del sito alla soluzione di DR richiesta e il riscontro del rispetto dei requisiti definiti ai sensi degli articoli 1662 e 1665 del codice civile. La verifica del rispetto degli obblighi connessi alla disponibilità gestione e manutenzione del sito è considerata come un presupposto essenziale per il pagamento dei corrispettivi dovuti. Il Fornitore garantisce, a suo carico, gli interventi e le attività di manutenzione ordinaria, preventiva e correttiva nonché il costante aggiornamento tecnologico delle caratteristiche del sito, senza oneri aggiuntivi per l Azienda Sanitaria, essendo la disponibilità del sito con determinate caratteristiche, un requisito minimo di servizio essenziale alla soluzione di DR. Altre opzioni, varianti o situazioni che comportino cambi evolutivi per esigenze dell Azienda Sanitaria verranno apportate in linea con la normativa vigente in tema di appalti (DLgs.. 163/2006 e s.m.i., e relativo regolamento di attuazione) ove se ne ravvisi la necessità. Art. 22 Manutenzione della soluzione di Continuità Operativa (CO) e di Disaster Recovery (DR). Il Fornitore si occuperà della manutenzione della soluzione di CO/DR e delle componenti HW, SW e di rete che compongono la c.d. configurazione di emergenza. La Ditta affidataria del servizio di CO/DR si occuperà di: 17

18 - garantire i servizi per la riattivazione e il ripristino dei sistemi primari/di produzione in presenza di un evento catastrofico, di una condizione di emergenza, di un disastro; - assicurare la disponibilità delle componenti HW e SW della configurazione di emergenza da garantire all Azienda Sanitaria; - pianificare adeguatamente le attività da svolgere per assicurare il funzionamento della soluzione di CO/DR; - verificare costantemente nell erogazione dei servizi la capacità della soluzione di DR di rispondere efficacemente alle situazioni di emergenza; - verificare con l Azienda Sanitaria il costante allineamento dei servizi, delle risorse, delle componenti HW e SW, delle licenze SW necessarie alla soluzione di DR, rispetto all evoluzione del sistema informatico, della connettività e della struttura organizzativa dell Azienda Sanitaria; - supportare l Azienda Sanitaria nel valutare l adeguatezza degli accorgimenti e delle procedure messe in atto per assicurare il ripristino dell operatività, in occasione delle verifiche e dei test periodici; - identificare ed attuare, ove possibile, senza impatti o cambiamenti nelle configurazioni e negli ambienti del sistema informativo primario/di produzione dell Azienda Sanitaria, le eventuali misure di aggiornamento tecnologico, adeguamento e/o miglioramento di cui emergesse la necessità nel corso dell erogazione dei servizi per assicurare l aderenza della soluzione di CO/DR; - supportare l Azienda Sanitaria nel verificare periodicamente la soluzione di DR attraverso lo svolgimento delle previste sessioni di test. Il Fornitore si impegna ad assicurare le attività di manutenzione HW e SW, al fine di assicurare il rispetto dei tempi di risoluzione e ripristino previsti a fronte di malfunzionamenti e anomalie di tutte le componenti messe a disposizione nell ambito della soluzione di Disaster Recovery, anche eseguendo le necessarie riparazioni e sostituzioni. La verifica del rispetto degli obblighi connessi alla manutenzione della soluzione di DR e delle componenti della configurazione di emergenza è considerata come un presupposto necessario per il pagamento dei corrispettivi dovuti. In prospettiva di una crescita fisiologica del S.I. dell Azienda Sanitaria il Fornitore terrà conto di eventuali esigenze di incremento ad es. dello spazio di storage, del numero dei server, della capacità computazionale e dei canali di collegamento. Art. 23 Test periodici della soluzione Il Fornitore si impegna a sottoporsi all esecuzione di test periodici (almeno una volta l anno), per simulare il funzionamento dei siti di DR in caso di disastro dei siti primari, al fine di verificare la corretta erogazione dei servizi e la costante adeguatezza della soluzione di DR e che sia altresì assicurato il corretto ripristino del funzionamento del sistema informativo dell Azienda Sanitaria. Il Fornitore dovrà porre in esser ogni attività di sua competenza e supportare l Azienda Sanitaria nell effettuare i test periodici previsti per la verifica della corretta funzionalità delle soluzioni adottate per garantire la soluzione di Disaster Recovery, del sistema informativo primario dell Azienda Sanitaria, ed assicurare che i servizi erogati vengano costantemente mantenuti allineati all evoluzione dell architettura e dei servizi. Il Fornitore dovrà predisporre il test al fine di simulare una vera condizione di emergenza/di indisponibilità prolungata e, al fine di non rischiare di compromettere i dati di produzione per l effettuazione delle simulazioni, dovrà predisporre copie dei dati ad uso esclusivo della simulazione che saranno cancellate al termine delle prove. L avvenuta cancellazione di dette copie dei dati sarà verificata in contraddittorio dalle parti nei modi e tempi che saranno indicati. 18

19 Il Fornitore dovrà porre in esser ogni attività di sua competenza e supportare l Azienda Sanitaria nel verificare e testare le procedure formalizzate per garantire, in condizioni di funzionamento normale dei sistemi primari, le operazioni di allineamento. Il Fornitore si impegna a mettere a disposizione strumenti per facilitare la gestione e la conduzione del test anche da remoto. Il Fornitore, nell effettuazione dei test periodici di Disaster Recovery, dovrà simulare uno scenario che prevede l indisponibilità di tutte le apparecchiature del sito primario e il ripristino nel sito di DR dell infrastruttura ICT necessaria al riavvio del sistema informativo colpito dalla situazione di emergenza/disastro. L effettuazione del test verrà concordato con l Azienda Sanitaria. Il test potrà essere articolato secondo le seguenti macro fasi, da definire operativamente nella documentazione annessa al Piano di DR, che verrà inserito dalla Ditta nella soluzione progettuale: 1. messa a disposizione e verifica di tutta la documentazione procedurale e tecnica connessa ai servizi di DR; 2. attivazione e ripartenza dei sistemi nel sito di DR; 3. verifica delle funzionalità di base degli ambienti elaborativi; 4. verifica dell allineamento e della congruità dei dati tra i siti primari ed i siti di DR; 5. verifica dell operatività dell infrastruttura di rete; 6. verifica della corretta distribuzione delle rotte IP tra gli apparati di rete; 7. verifica connettività tra il sito di DR e i siti primari; 8. attivazione dei sottosistemi applicativi; 9. test applicativi. Al fine di verificare la rispondenza delle caratteristiche di affidabilità delle infrastrutture del data center, durante i test si potrà richiedere la simulazione della indisponibilità dell infrastruttura tecnologica. Al termine del test il Fornitore redige e sottopone all accettazione dell Azienda Sanitaria il verbale del test e il documento di tracciatura dell esito delle prove effettuate. L accettazione/approvazione degli esiti del test è necessario ed è considerato come un presupposto essenziale ai fini del pagamento dei corrispettivi dovuti. Nel caso in cui il test non dovesse dare esito positivo il Fornitore si impegna a ripetere il test in accordo con l Azienda Sanitaria, si impegna altresì a risolvere le criticità evidenziate, restando a suo carico ogni onere derivante dalle predetta attività comprese le responsabilità da ciò derivanti. Art. 24 Servizio di assistenza operativa. Il Fornitore assicura per tutta la durata del contratto, un servizio di assistenza operativa al fine di garantire la presenza di un adeguato supporto e il presidio, la gestione e la manutenzione delle soluzioni adottate. A tal fine l Azienda Sanitaria richiede al Fornitore di provvedere ad assicurare la presenza di idoneo e qualificato personale a presidio dell infrastruttura e delle apparecchiature dedicate alla soluzione di Disaster Recovery garantendo principalmente: - il presidio, la gestione e la manutenzione delle infrastrutture dedicate alla soluzione di Disaster Recovery; - la manutenzione della soluzione realizzata; - l assistenza operativa in condizioni normali e di emergenza e durante l esecuzione dei test periodici previsti per la verifica del corretto funzionamento delle procedure di DR e del corretto dimensionamento delle componenti connesse alla soluzione di Disaster Recovery; 19

20 - il monitoraggio e la gestione delle risorse al fine di mantenere e ottimizzare i livelli di servizio; - la verifica del costante allineamento fra le copie dei dati del sito di Disaster Recovery e i dati del sistema informativo primario; - la rendicontazione (che può essere richiesta a seconda delle esigenze dell Amministrazione con cadenza giornaliera, settimanale, mensile, trimestrale ecc.) dei livelli RPO riscontrati; - la definizione e il costante adeguamento delle procedure di Disaster Recovery; - la disponibilità della configurazione di ripristino in caso di emergenza in accordo con i livelli di servizio; - la predisposizione e l aggiornamento del Piano di Disaster Recovery nonché della relativa documentazione e manualistica; - il supporto e l assistenza per assicurare il ripristino della normalità dalla condizione di emergenza e la ripresa dell operatività del Sistema Informativo Primario; - le attività per riportare i dati e le configurazioni dei sistemi dal sito di DR, al sito primario, secondo quanto previsto nel Piano di Disaster Recovery. Il Fornitore avrà il compito di assicurare il corretto funzionamento dei sistemi installati presso il sito di DR sia quando il sito primario dell Azienda Sanitaria opera in condizioni di normale operatività sia per garantirne l effettiva disponibilità durante le fasi di test e in condizioni di emergenza. Il servizio di assistenza operativa deve comprendere essenzialmente le attività di presidio per la gestione operativa di tutti i sistemi ospitati nel sito di Disaster Recovery. Il servizio verrà fornito nelle finestre temporali che l Azienda Sanitaria riterrà necessarie in considerazione della soluzione scelta. Durante il periodo di emergenza, il Fornitore dovrà assicurare l assistenza operativa ed il presidio a supporto del personale dell Azienda Sanitaria, è comunque responsabile della conduzione in esercizio dei sistemi, eventualmente anche tenuto conto, ove richiesto, dello skill e del mix di risorse professionali che l Azienda Sanitaria stessa avrà richiesto e stabilito, in considerazione del dimensionamento effettuato. Il Fornitore garantirà il corretto funzionamento della configurazione di Disaster Recovery nonché le funzionalità di monitoraggio e gestione degli allarmi relativi: - alle risorse HW e SW di base dei sistemi (dischi, memoria, processori, connessione di rete, SAN Fabric ecc.) connessi alla soluzione di DR adottata; - allo stato dei prodotti di gestione del mirroring e backup; - alla connettività tra i sistemi del sito primario e del sito di DR; - il monitoraggio di tutte le funzionalità di mirroring; - la pianificazione operativa delle attività schedulabili; - la gestione delle risorse di sistema al fine di mantenere e ottimizzare i livelli di servizio; - la fornitura dei deliverable e rendicontazioni previste. Art. 25 Disaster recovery del RIS-PACS aziendale. Il Fornitore deve mettere a disposizione un servizio di replica remota del PACS (Disaster Recovery). Tale servizio, che dovrà insistere sullo stesso storage utilizzato per la conservazione delle immagini, si configura come una replica di sicurezza del PACS. In caso di connettività adeguata tale sistema potrà essere utilizzato per la Recovery immediata o parziale dell Archivio PACS, garantendo un RPO non superiore a 48 h. Il sistema dovrà prevedere un servizio di consultazione web dei dati replicati utilizzabile a fronte di disservizio del sistema principale in azienda. Il servizio deve inoltre implementare un XDS Repository per le immagini compatibile con le specifiche del progetto di fascicolo regionale. In particolare dovrà essere supportato il profilo 20