Centro Nazionale per l Informatica nella Pubblica Amministrazione

Transcript

1 Centro Nazionale per l Informatica nella Pubblica Amministrazione Procedura ristretta n. 2/2006 per l affidamento della progettazione, realizzazione e gestione di componenti di cooperazione applicativa, nell ambito del Sistema Pubblico di Connettività - SPC CAPITOLATO TECNICO Pag. 1 di 83

2 SOMMARIO PREMESSA SERVIZI DI INFRASTRUTTURA PER LA COOPERAZIONE APPLICATIVA SERVIZIO DI REGISTRO SICA GENERALE Valutazione dimensionale del Servizio Relazioni con gli altri servizi e con gli utenti Requisiti del Servizio Documentazione di riscontro SERVIZIO DI CATALOGO DI SCHEMI E ONTOLOGIE Valutazione dimensionale del Servizio Relazioni con gli altri servizi e con gli utenti Requisiti del Servizio Documentazione di riscontro SERVIZIO DI GESTIONE FEDERATA DI IDENTITA DIGITALI Valutazione dimensionale del servizio Relazioni con gli altri servizi e con gli utenti Requisiti del Servizio Documentazione di riscontro SERVIZIO INDICE DEI SOGGETTI Valutazione dimensionale del Servizio Relazioni con gli altri servizi e con gli utenti Requisiti del Servizio Documentazione di riscontro SERVIZIO DI CERTIFICAZIONE Valutazione dimensionale del Servizio Relazioni con gli altri servizi e con gli utenti Requisiti del Servizio Documentazione di riscontro SERVIZIO DI MONITORAGGIO Valutazione dimensionale del Servizio Relazioni con gli altri servizi e con gli utenti Requisiti del Servizio Documentazione di riscontro SERVIZIO DI GESTIONE Valutazione dimensionale del Servizio Relazioni con gli altri servizi e con gli utenti Requisiti del Servizio Documentazione di riscontro SERVIZIO DI SICUREZZA INTERNA Valutazione dimensionale del Servizio Relazioni con gli altri servizi e con gli utenti Requisiti del Servizio Documentazione di riscontro SERVIZI DI SUPPORTO ALLA QUALIFICAZIONE DI COMPONENTI DI COOPERAZIONE APPLICATIVA SERVIZIO DI SUPPORTO ALLA QUALIFICAZIONE DELLA PORTA DI DOMINIO...56 Pag. 2 di 83

3 2.1.1 Valutazione dimensionale del Servizio Relazioni con gli altri servizi e con gli utenti Requisiti del Servizio...57 Documentazione di riscontro SERVIZIO DI SUPPORTO ALLA QUALIFICAZIONE DEL SERVIZIO DI REGISTRO SICA SECONDARIO Valutazione dimensionale del Servizio Relazioni con gli altri servizi e con gli utenti Requisiti del Servizio Documentazione di riscontro ASSISTENZA PROFESSIONALE E FORMAZIONE ASSISTENZA PROFESSIONALE Valutazione dimensionale Requisiti Modalità di attivazione Documentazione di riscontro FORMAZIONE Valutazione dimensionale Requisiti Modalità di attivazione Documentazione di riscontro MODALITA DI ATTIVAZIONE E DISMISSIONE DEI SERVIZI PROGETTO ESECUTIVO Stato avanzamento lavori (SAL) Migrazioni Sistema di pubblicazione della reportistica (Portale) Collaudi DISMISSIONE DEI SERVIZI INFRASTRUTTURA E RISORSE INFRASTRUTTURA Locali Collegamenti Requisiti di sicurezza Requisiti di continuità del servizio RISORSE Requisiti organizzativi Help Desk Piano di Qualita Sistema di controllo dei livelli di servizio (SLAM) Sistema di pubblicazione della reportistica (Portale) Gestione dei Sistemi Gestione della configurazione MODALITÀ DI COMPILAZIONE DELL OFFERTA PROGETTUALE...83 Pag. 3 di 83

4 PREMESSA Il presente capitolato descrive i contenuti ed i requisiti tecnici cui deve riferirsi l Unità Concorrente per la formulazione dell offerta progettuale relativa all erogazione, nell ambito del Sistema Pubblico di Connettività e Cooperazione (SPC) e come definito nei relativi documenti di riferimento pubblicati sul sito del CNIPA 1, dei seguenti servizi di: infrastruttura per la cooperazione applicativa; supporto alla qualificazione di componenti di cooperazione applicativa. Attraverso i servizi che verranno realizzati con la presente gara si creerà un sistema unitario nazionale di cooperazione applicativa nell ambito del SPC. Tale sistema, denominato Sistema Pubblico di Cooperazione (SPCoop), consentirà lo sviluppo di progetti di cooperazione anche complessi fornendo standard, riferimenti ufficiali, riconoscendo entità omogenee e federabili e qualificando le soluzioni sotto il profilo della garanzia di interoperabilità fra i sistemi ed i servizi, al fine di dare impulso allo sviluppo digitale della pubblica amministrazione italiana. Il contraente della gara è il CNIPA che, attraverso il Centro Servizi messo a disposizione dall Aggiudicatario, erogherà i servizi: alle amministrazioni pubbliche centrali e locali per consentire e favorire la cooperazione fra i servizi applicativi sviluppati dalle stesse amministrazioni; ai cittadini ed alle imprese che potranno usufruire di alcuni servizi per il reperimento e l accesso ad informazioni relative alle amministrazioni stesse, alla loro organizzazione ed ai servizi telematici resi loro disponibili. La pubblicazione e lo scambio di tali informazioni attraverso i servizi di infrastruttura per la cooperazione applicativa nell ambito del SPC hanno validità legale, ai sensi del D.lgvo 7/3/2005, n 82 e s.m.i., Codice dell amministrazione digitale. Il capitolato è articolato come segue: 1. servizi di infrastruttura per la cooperazione applicativa (cap. 1); 2. servizi di supporto alla qualificazione di componenti di cooperazione applicativa (cap. 2); 3. assistenza professionale e formazione (cap. 3); 4. modalita di attivazione e dismissione dei servizi (cap. 4); 5. infrastruttura e risorse che l Aggiudicatario dovrà rendere disponibili (cap. 5); 6. modalità di compilazione dell offerta progettuale (cap. 6). SPCoop prevede un infrastruttura denominata SICA (Servizi di Interoperabilità Cooperazione e Accesso) costituita dai seguenti servizi principali: 1 Requisiti e specifiche funzionali del Sistema Pubblico di Cooperazione (SPCoop). Pag. 4 di 83

5 Servizio di Registro SICA generale: servizio che gestisce il ciclo di vita degli Accordi di Servizio e di Cooperazione. Il servizio offre funzionalità per l accesso, la registrazione, l aggiornamento, la cancellazione e la ricerca degli Accordi di Servizio e di Cooperazione, nonché, attraverso l integrazione con l IPA (Indice delle Pubbliche Amministrazioni), la gestione delle informazioni relative alle entità organizzative (amministrazioni pubbliche e relative strutture organizzative) che operano nell ambito del SPCoop ed ai servizi telematici da queste erogati. Servizio di Catalogo Schemi/Ontologie: servizio che offre funzionalità per descrivere la semantica ed i concetti associati ai servizi ed alle informazioni da essi veicolate, in prospettiva anche ai fini della individuazione dei servizi meglio candidati all erogazione delle prestazioni richieste. Servizio di Gestione Federata di Identità digitali: servizio che consente di federare le autorità che gestiscono identità digitali e ruoli funzionali associabili a tali identità, al fine di creare un circuito di fiducia fra le stesse autorità, per lo scambio di credenziali di autenticazione validate, utilizzabili per l accesso e l erogazione di servizi nell ambito del SPCoop. Servizio di Indice dei Soggetti: servizio di meta-directory per la PA che offre l accesso in tempo reale ad elenchi in linea relativi al personale delle amministrazioni partecipanti al SPCoop, la cui pubblicazione ed aggiornamento è a cura delle amministrazioni stesse. Servizio di Certificazione: servizio che consente di attribuire e riconoscere certificati a entità non-persona (server, servizi ed applicazioni) nell ambito del SPCoop. Inoltre, il SICA include i seguenti servizi di supporto alla qualificazione di componenti di cooperazione applicativa: Servizio di supporto alla qualificazione della Porta di Dominio: servizio che mette a disposizione delle amministrazioni una porta di dominio campione alla quale si connette la porta di dominio in fase di qualificazione per effettuare i test di verifica del corretto trattamento dei messaggi; Servizio di supporto alla qualificazione del Servizio di Registro SICA secondario: servizio che mette a disposizione delle amministrazioni le funzionalità per i test di verifica dell interoperabilità fra il Servizio di Registro SICA di livello generale, descritto nel presente capitolato, ed il Servizio di Registro SICA di livello secondario che l amministrazione intende qualificare in SPCoop. Infine, il SICA include i seguenti servizi di supporto ai servizi precedentemente elencati: Servizio di Monitoraggio: servizio erogato ad un utente monitore e realizzato attraverso una consolle grafica che permette di eseguire, in modalità remota rispetto alla piattaforma tecnologica erogatrice dei servizi, tutte le operazioni di monitoraggio previste dal singolo servizio SICA; Servizio di Gestione: servizio erogato ad un utente gestore e realizzato attraverso una consolle grafica che permette di eseguire, in modalità remota rispetto alla piattaforma tecnologica erogatrice dei servizi, tutte le operazioni di gestione previste dal singolo servizio SICA; Pag. 5 di 83

6 Servizio di Sicurezza Interna: servizio che offre gli strumenti per filtrare il traffico di rete a livello applicativo secondo un insieme di regole definite, aggiornabili e verificabili. Nella figura 1 che segue vengono evidenziati i servizi precedentemente indicati che compongono il SICA. Infrastruttura per la cooperazione applicativa Servizi di Monitoraggio, Gestione e Sicurezza Interna Servizio di Servizio di Servizio di Gestione Servizio di Catalogo Registro Federate Indice Servizio di Schemi SICA delle dei Certificazione e Generale Identità Soggetti Ontologie digitali Servizio di Servizio di supporto alla qualificazione supporto alla qualificazione del Servizio di della Porta di Dominio Registro SICA Secondario Supporto alla qualificazione di componenti di cooperazione applicativa Porta Porta di di Dominio Dominio SICA SICA Figura 1. Architettura dei servizi SICA Al fine di garantire l interoperabilità con i servizi SICA di livello generale descritti nel presente capitolato, gli eventuali servizi di infrastruttura di livello secondario (SICA secondari) che, sulla base di esigenze operative e di valutazioni di efficienza ed efficacia, le amministrazioni pubbliche svilupperanno in aderenza al modello SPCoop, dovranno: per quanto riguarda i Servizi di Registro SICA secondari, superare il processo di qualificazione previsto, mediante l ausilio del servizio di supporto descritto in questo capitolato; per quanto riguarda i Servizi secondari di Indice dei Soggetti e Certificazione (gestione di certificati per entità non persone), essere federati attraverso il Servizio di Gestione Federata delle Identità digitali descritto in questo Capitolato; Si fa presente che per quanto riguarda il Servizio di Catalogo di schemi/ontologie, nell attuale versione del modello SPCoop è prevista unicamente l eventule replica. Pag. 6 di 83

7 Si precisa, inoltre, che per quanto riguarda i servizi di cooperazione applicativa inseriti nel lotto 2 della gara CNIPA n 1/2006, destinati alle amministrazioni centrali ed eventualmente anche a quelle locali, dovrà essere previsto: il superamento del processo di qualificazione per il servizio di porta di dominio, con l ausilio del servizio di supporto descritto in questo capitolato, al fine di garantire l interoperabilità con analoghi servizi esistenti o sviluppati nei vari contesti PAC-PAL; la pubblicazione, attraverso il Servizio di Registro SICA generale, degli accordi di servizio relativi ai servizi applicativi sviluppati mediante i predetti servizi di cooperazione applicativa, analogamente a quanto previsto per gli accordi di servizio altrimenti definiti e relativi a tutta la PA. Nel presente capitolato, le relazioni tra i servizi descritti e con i soggetti autorizzati avvengono attraverso interazioni in modalità client e/o server, intendendo: per interazione in modalità server, la messa a disposizione, da parte del servizio descritto, di interfacce specifiche per i servizi e i soggetti indicati; per interazione in modalità client, l utilizzo da parte del servizio descritto di interfacce specifiche messe a disposizione dai servizi indicati. Per alcuni servizi viene prevista l interazione con un generico servizio applicativo SPCoop, intendendo in tal senso che le interfacce richieste saranno destinate all utilizzo potenziale da parte di tutti i servizi applicativi di tipo Web Services sviluppati dalle amministrazioni nell ambito del SPCoop. Si precisa che tale tipo di interazione potrà essere utilizzata in modalità client anche da alcuni Servizi SICA come di volta in volta specificato. Da notare che i servizi SICA, in particolare il Servizio di Registro SICA generale, sono di ausilio alla cooperazione applicativa tra le amministrazioni in quanto offrono supporto, attraverso la formalizzazione di accordi di servizio, alla realizzazione di client che consentono ad una Amministrazione di accedere ai servizi forniti da altre amministrazioni. Per questo motivo, l interazione con i servizi SICA non avviene di norma durante la fase di utilizzo del servizio messo a disposizione dall amministrazione, ma prevalentemente durante la fase di sviluppo del client. La gara riguarda la progettazione, realizzazione e successiva gestione di tutti i servizi precedentemente indicati, inclusa l integrazione nell ambito dei servizi SICA dell Indice delle Pubbliche Amministrazioni (IPA) e della Rubrica della Pubblica amministrazione (RPA). Per la realizzazione dei servizi l Aggiudicatario può avvalersi, anche in modalità combinata, di software già disponibile sul mercato, di software di pubblico dominio e di software specificamente sviluppato. A titolo indicativo si elencano alcune tipologie di prodotti e funzionalità software che prevedibilmente potranno trovare applicazione nella realizzazione dei servizi: DBMS con estensioni per la gestione nativa di file XML; registry UDDI; directory server LDAP e Metadirectory; Identity & access management; software di Certification Authority; web server; Pag. 7 di 83

8 application server; motori di orchestrazione/coreografia di web services; System e network management; Business Intelligence; Intrusion detection e firewall. Al fine di garantire l interoperabilità e l integrazione dei servizi, la loro realizzazione deve seguire un processo modulare che, per quanto possibile, privilegi l integrazione di soluzioni e prodotti software open standard disponibili sul mercato (ad es. nelle categorie sopra indicate) rispetto allo sviluppo di software ad-hoc. Al riguardo, il capitolato evidenzia per ogni servizio le interfacce verso gli altri servizi e le categorie di utenti. Pag. 8 di 83

9 1. SERVIZI DI INFRASTRUTTURA PER LA COOPERAZIONE APPLICATIVA I servizi di infrastruttura sono accessibili attraverso una Porta di Dominio SICA o attraverso altre modalità di volta in volta specificate. L Unità Concorrente dovrà realizzare la Porta di Domino SICA ed integrarla con i servizi come indicato nell ambito degli stessi, fornendo e gestendo l eventuale Firewall XML integrato come descritto nella Sezione 6 del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Sicurezza SERVIZIO DI REGISTRO SICA GENERALE Il Servizio costituisce un requisito fondamentale del modello di cooperazione applicativa SPCoop in quanto mette a disposizione e conduce tutte le attività e le strutture dati necessarie alla gestione del ciclo di vita degli Accordi di Servizio e di Cooperazione, dalla loro creazione alla loro dismissione. Il Servizio di Registro SICA generale deve integrare l Indice delle Pubbliche Amministrazioni (IPA), in merito al quale il CNIPA fornirà i dati attualmente in proprio possesso per il caricamento iniziale in accordo con le specifiche riportate nei seguenti documenti allegati: IPA_PhaseOut; IPA_SpecificheTecniche Valutazione dimensionale del Servizio Oltre a quanto indicato nell allegato 2d relativamente alla finestra temporale di erogazione del Servizio ed ai livelli di qualità da garantire, per consentire all Aggiudicatario di stimare le dimensioni del Servizio, nella tabella che segue si forniscono elementi di valutazione. Elemento dimensionale Valore alla fine del primo anno Incremento % medio annuo Valore massimo prevedibile alla fine del terzo anno Numero Accordi di Cooperazione 5 150% 40 Numero Accordi di Servizio % Numero Amministrazioni (dimensione dell Indice della PA) (2.200 allo start up) 30% Pag. 9 di 83

10 1.1.2 Relazioni con gli altri servizi e con gli utenti Il servizio prevede: - l interazione in modalità client con i seguenti servizi SICA la cui descrizione è riportata nel presente Capitolato: Servizio di Certificazione, per il rilascio di certificati X.509 validi in ambito SPCoop da associare a servizi applicativi ed entità organizzative della PA. Tale interazione avverrà mediante l utilizzo dell interfaccia Servizio Applicativo SPCoop del Servizio di Certificazione stesso; Servizio di Gestione Federata delle Identità digitali, per: - la validazione delle credenziale delle varie entità coinvolte nelle operazioni relative al servizio; - la federazione con le altre Autorità Locali di Dominio (cfr. 1.3). Tale interazione avverrà mediante l utilizzo dell interfaccia Servizio Applicativo SPCoop del Servizio di Gestione Federata delle Identità digitali stesso; Servizio di Catalogo Schemi/Ontologie, per la gestione dei riferimenti tra accordi di servizio e di cooperazione ed i relativi concetti ed informazioni 2 ; Servizio di Registro SICA secondario, per l allineamento dei contenuti presenti presso tale servizio. L allineamento avverrà attraverso l utilizzo di un interfaccia Servizio di Registro SICA generale messa a disposizione dal Servizio di Registro SICA secondario; - l interazione in modalità server con le componenti tecnologiche e con i soggetti sotto riportati: Servizio di Catalogo Schemi/Ontologie; Servizio Applicativo SPCoop; Servizio di Sicurezza Interna; Servizio di Gestione; Servizio di Monitoraggio; Servizio di Registro SICA secondario: servizio applicativo che utilizza la logica di comunicazione e allineamento dei contenuti messa a disposizione dal Servizio di Registro SICA generale; Cittadino: utente generico che, attraverso una interfaccia web, accede al Servizio per consultare le informazioni dell IPA sulle pubbliche amministrazioni e sui servizi applicativi erogati in rete dalle stesse a favore dei cittadini; 2 Da notare che nel presente Capitolato, la mancata indicazione dell interfaccia utilizzata per l interazione client significa che il servizio server metterà a disposizione una specifica interfaccia identificata dal nome del servizio client in questione. Pag. 10 di 83

11 Pubblica Amministrazione: utente accreditato autorizzato ad utilizzare il servizio per la creazione/modifica/consultazione/rimozione di Accordi di servizio, di Accordi di Cooperazione e di elementi dell IPA; Security Manager: utente autorizzato ad accedere ad una consolle di controllo, collocata in una rete locale al SICA, che permette di utilizzare le funzioni di sicurezza del servizio; Monitore: utente autorizzato ad accedere ad una interfaccia web che permette di utilizzare le funzioni di monitoraggio del servizio. L utente deve poter accedere ed operare sul servizio sia direttamente, attraverso le apposite interfacce di monitoraggio dello stesso servizio, che indirettamente attraverso il Servizio di Monitoraggio descritto successivamente; Gestore: utente autorizzato ad accedere ad una interfaccia web che permette di utilizzare le funzioni di gestione del servizio. L utente deve poter accedere ed operare sul servizio sia direttamente, attraverso le apposite interfacce di gestione dello stesso servizio, che indirettamente, attraverso il Servizio di Gestione descritto successivamente. Pag. 11 di 83

12 La seguente figura descrive l architettura logica del Servizio. SPCoop Utente Pubblica Amministrazione Servizio Offline di Compilazione dell AS Registro web app Altri Servizi SICA Servizi di Registro SICA Secondari app (sync) IPA Sync + Integr Servizi di: Controllo e Monitoraggio Gestione e Sicurezza Repository degli Accordi di Servizio e di Cooperazione Servizi / Utenti web / app Servizi / Utenti AS/AC Altri Servizi SICA: Catalogo Schemi ed Ontologie, Certificazione, Indice dei Soggetti, ecc SICA Generale Figura 2. Architettura del Servizi di Registro SICA generale Requisiti del Servizio Di seguito sono riportati i requisiti cui deve rispondere il Servizio che dovrà essere aderente: - alla struttura definita nelle Sezioni 5, 6 e 9 del documento di riferimento Sistema Pubblico di Cooperazione: Accordo di Servizio ; - all architettura software definita nella Sezione 6 del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Registro ; - al modello concettuale dell informazione definito nella sezione 5.3 dello stesso documento opportunamente integrato dalle strutture necessarie alla gestione: dei riferimenti alla semantica delle informazioni trattate dal servizio; degli accordi di cooperazione; Pag. 12 di 83

13 - alle regole per la gestione delle credenziali ai fini dell identificazione ed autenticazione per le entità non-persona definite nella sezione 1.3. A tal proposito si precisa che i servizi applicativi possono utilizzare o meno un certificato digitale per la gestione di specifiche politiche di sicurezza a livello applicativo; - alle regole definite nel documento di riferimento Sistema Pubblico di Cooperazione: Nomenclatura e Semantica per identificare gli oggetti denominabili nel modello di cooperazione ed in particolare i soggetti erogatori e fruitori dei servizi applicativi, le operazioni effettuate dai servizi, etc Requisiti architetturali L architettura del Servizio deve: 1. implementare nativamente e completamente le funzionalità previste dallo standard UDDI versione 3.0; 2. fornire, in accordo con i documenti di riferimento Sistema Pubblico di Cooperazione: Servizi di Registro e Sistema Pubblico di Cooperazione: Accordo di Servizio, tutte le restanti funzionalità previste e non implementabili direttamente attraverso tale standard; 3. demandare la realizzazione delle funzionalità aggiuntive ad appositi moduli software, individuabili nell ambito dell offerta in termini di interfacce e funzionalità specifiche; 4. garantire l interoperabilità tra il repository degli Accordi di servizio e l IPA attraverso una logica di integrazione e di sincronizzazione interna al Servizio, che consenta il mantenimento, l allineamento e la consistenza tra i due componenti Requisiti delle interfacce In linea generale si precisa che: - tutte le interfacce dovranno essere offerte in modalità applicativa (web services) ed in grado di eseguire tutte le funzionalità richieste dal particolare tipo di utente; - se una interfaccia applicativa espone funzionalità tipiche dello standard UDDI 3.0, queste dovranno essere realizzate attraverso una interfaccia aderente a tale standard. Nel seguito si riportano i requisiti specifici delle interfacce verso i vari componenti del servizio: 1. verso l utente Cittadino : Front end web browser accessibile attraverso interfaccia web che espone le specifiche funzionalità del Servizio; 2. verso il generico Servizio Applicativo SPCoop : Interfaccia applicativa che, attraverso web services, espone le specifiche funzionalità del servizio riportate nella sezione 5.2 del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Registro nonché le specifiche funzionalità di accesso alle informazioni gestite dall IPA (interfaccia LDAP). Per l interfaccia verso il generico Servizio Applicativo SPCoop dovrà essere predisposto il relativo accordo di servizio che dovrà essere pubblicato all interno del Registro per consentire la realizzazione del client per l accesso al servizio; Pag. 13 di 83

14 3. verso l utente Pubblica Amministrazione : Interfaccia client remota per la redazione di Accordi di Servizio e di Cooperazione con possibilità di attivare i processi di base di registrazione e di ricerca, di compilare tutte le parti dell accordo formali e non, obbligatorie ed opzionali e di effettuare le operazioni di creazione/modifica/consultazione/rimozione sull IPA. Tale interfaccia interagirà con il servizio mediante l interfaccia applicativa di cui al punto 2; 4. verso il Servizio di Gestione : Interfaccia applicativa che, attraverso web services, espone le funzionalità di base verso l utente Gestore, descritte nel paragrafo 1.7 del presente Capitolato; 5. verso l utente Gestore : Front end web browser accessibile attraverso interfaccia web che assicura tutte le operazioni eseguibili dall interfaccia applicativa Servizio di Gestione indicata al precedente punto; 6. verso il Servizio di Monitoraggio : Interfaccia applicativa che, attraverso web services, espone le funzionalità di base verso l utente Monitore, descritte nel paragrafo 1.6 del presente Capitolato; 7. verso l utente Monitore : Front end web browser accessibile attraverso interfaccia web che assicura tutte le operazioni eseguibili dall interfaccia applicativa Servizio di Monitoraggio indicata al precedente punto; 8. verso il Servizio di Catalogo schemi/ontologie : Interfaccia applicativa che, attraverso web services, espone le funzionalità di collegamento tra accordi di servizio e di cooperazione ed i relativi concetti e le informazioni immagazzinate nel Servizio di Catalogo schemi/ontologie, descritto nel paragrafo 1.2 del presente Capitolato e nei documenti tecnici di riferimento; 9. verso il Servizio di Registro SICA secondario : Interfaccia applicativa che, attraverso web services, espone le funzionalità per la comunicazione e l allineamento dei contenuti tra Registro SICA generale e secondario; per questa interfaccia dovrà essere predisposto il relativo accordo di servizio che dovrà essere pubblicato all interno del Registro SICA generale; 10. verso il Servizio di Sicurezza Interna : Interfaccia applicativa che, attraverso web services, espone le funzionalità per la gestione delle operazioni di sicurezza automatizzabili descritte nella Sezione 6 del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Sicurezza ; 11. verso l utente Security Manager : Front end web browser accessibile attraverso interfaccia web che assicura tutte le operazioni eseguibili dall interfaccia applicativa Servizio di Sicurezza Interna indicata al precedente punto Requisiti di sicurezza Il servizio deve assicurare i requisiti di sicurezza sotto indicati per le funzioni richiamabili dalle interfacce precedentemente indicate: 1. Servizio Applicativo SPCoop e utente Pubblica Amministrazione : l interfaccia dovrà utilizzare un autenticazione forte per permettere l esecuzione di operazioni di Pag. 14 di 83

15 creazione/modifica/rimozione di Accordi di Servizio e Cooperazione mentre per la ricerca basterà un autenticazione debole; 2. Servizio di Gestione e utente Gestore : l interfaccia dovrà utilizzare un autenticazione forte per ogni operazione di collaudo volta a verificare il buon funzionamento del servizio, di iscrizione/cancellazione di registri SICA secondari e di sincronizzazione forzata come definiti nella del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Registro. Per le funzioni di interrogazione sarà sufficiente un autenticazione debole; 3. Servizio di Monitoraggio e utente Monitore : l interfaccia dovrà utilizzare una autenticazione forte per la modifica rimozione di log/diagnostici mentre sarà sufficiente una autenticazione debole per la navigazione dei log e dei diagnostici emessi dal Servizio di Registro SICA generale; 4. Servizio di Catalogo schemi/ontologie : l interfaccia dovrà utilizzare una autenticazione debole per la ricerca di Accordi di servizio sulla base di interrogazioni fondata su concetti e relazioni delle ontologie; 5. Servizio Registro SICA secondario : l interfaccia dovrà utilizzare una autenticazione debole per la propagazione di aggiornamenti dal Registro secondario al generale, e viceversa, di accordi di servizio, di cooperazione ed elementi dell IPA; 6. Servizio di Sicurezza e utente Security manager : l interfaccia dovrà utilizzare una autenticazione forte per ogni operazione che riguarda la sicurezza del Servizio di Registro SICA generale. Verso l utente Cittadino non è previsto alcun tipo di autenticazione. Il controllo delle credenziali allo scopo dell autenticazione di una entità sarà richiesto al Servizio di Gestione Federata di Identità digitali attraverso l interfaccia Servizio Applicativo SPCoop (Sezione 1.3.). Nel caso in cui il servizio applicativo necessiti di un certificato, questo verrà richiesto al Servizio di Certificazione al momento della registrazione del relativo accordo di servizio Requisiti applicativi ed operativi Nel seguito si riportano i requisiti applicativi ed operativi del Servizio: 1. ricerca sulle informazioni presenti sul componente IPA integrato nel Servizio di Registro SICA generale (le tipologie di ricerca consentite dovranno essere almeno quelle previste attualmente per l IPA descritte nel documento IPA_SpecificheTecniche vd. anche IPA_PhaseOut); 2. adeguamento della struttura dati dell IPA per consentire la gestione di informazioni relative alle Porte di Dominio utilizzate dalle amministrazioni; 3. gestione dell accordo di servizio e di cooperazione come definiti nella sezione del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Registro ; 4. creazione/modifica/consultazione/rimozione (CRUD) sul componente IPA integrato nel Servizio di Registro SICA generale; Pag. 15 di 83

16 5. registrazione anche selettiva, per la notifica di inserimenti/modifiche/rimozioni di Accordi di Servizio, di Accordi di Cooperazione e di elementi dell IPA e per la ricerca di informazioni presenti nel componente IPA integrato nel Servizio di Registro SICA generale; 6. gestione del Servizio in accordo con quanto indicato nella sezione del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Registro ; 7. strumenti di test e collaudo a disposizione del servizio di gestione (e dell utente gestore ) in grado di evidenziare la piena funzionalità del servizio nel suo complesso, nelle sue componenti e nelle interfacce. Si precisa che tutte le operazioni di verifica dovranno essere rese possibili anche durante l esercizio del servizio; 8. funzioni a disposizione del servizio di gestione (e dell utente gestore ) per l attivazione e la disattivazione del servizio; 9. funzioni a disposizione del servizio di sicurezza (e dell utente Security Manager ) per il tracciamento mediante log (con elevato livello di sicurezza ed affidabilità) di tutte le operazioni svolte, al fine di consentire la ricostruzione delle sequenze di operazioni eseguite all interno del Servizio. In particolare, per le operazioni per cui è prevista una specifica autenticazione deve essere possibile ricostruire almeno: l istante in cui e avvenuta l operazione, chi ha eseguito l operazione, l esito dell operazione stessa; 10. funzioni a disposizione del servizio di monitoraggio per la gestione delle anomalie riscontrate durante l esecuzione del Servizio con produzione di messaggi diagnostici che evidenzino opportunamente almeno: la tipologia di anomalia, le eventuali componenti in avaria, le funzionalità non disponibili (sono escluse dalla gestione le anomalie relative ad aspetti di scurezza che saranno gestite nell ambito del Servizio di Sicurezza Interna); 11. funzioni a disposizione del Servizio di Catalogo Schemi/Ontologie per la ricerca degli accordi di servizio come definiti nella sezione del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Registro. In particolare, deve essere possibile effettuare ricerche semantiche in base ai concetti ed alle relazioni delle ontologie che descrivono i servizi; 12. funzioni a disposizione del Servizio di Registro Sica Secondario per la comunicazione ed allineamento dei contenuti tra Registro SICA generale e secondario come indicate nella sezione 4 del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Registro. Tali funzioni devono anche prevedere: 1. la gestione degli elementi dell IPA oltre agli accordi di servizio (seguendone le stesse regole di replicazione dell informazione e le procedure di aggiornamento); 2. la notifica di eventi per indicare ad un Servizio di Registro SICA secondario le modifiche di Accordi di Servizio, Accordi di Cooperazione ed elementi IPA ai quali sono interessati; 13. redazione della specifiche di: 1. interfaccia Servizio di Registro SICA secondario ; 2. interfaccia Servizio di Registro SICA generale presente nel Servizio di Registro SICA secondario (cfr 1.1.2). Pag. 16 di 83

17 Tali specifiche saranno parte integrante del rilascio da parte dell Aggiudicatario secondo le modalità e le tempistiche previste dal contratto; 14. integrazione con la Porta di Dominio SICA; 15. gestione della intrusion detection, della registrazione degli eventi e delle emergenze come descritto nella Sezione 6 del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Sicurezza ; 16. componente software per il controllo della correttezza dei nomi assegnati agli oggetti. Le regole di nomenclatura gestite da questo componente per ogni oggetto devono essere facilmente modificabili al fine di assicurare l evoluzione del sistema di nomenclatura; 17. raccolta e archiviazione di informazioni analitiche relative ai livelli di servizio definiti nell allegato All.2c; 18. help desk di primo e secondo livello e supporto alle amministrazioni per un numero di chiamate annue pari a 2 per ogni procedura di registrazione di un accordo di servizio e cooperazione e pari ad 1 per ogni procedura di registrazione nell IPA, da erogare con le modalità di cui al successivo paragrafo In sede di offerta tecnica l Unità concorrente dovrà specificare come intende soddisfare tutti i predetti requisiti Documentazione di riscontro Al fine di verificare l andamento del servizio, oltre a quanto previsto al successivo capitolo per il sistema SLAM l Aggiudicatario è tenuto a produrre, con periodicità mensile, la reportistica relativa a: rendicontazione sull utilizzo del servizio e sui livelli di servizio conseguiti; indicazioni su possibili problemi o anomalie eventualmente verificatisi; eventuali ottimizzazioni e migliorie da apportare all organizzazione del servizio. Pag. 17 di 83

18 1.2. SERVIZIO DI CATALOGO DI SCHEMI E ONTOLOGIE Il Servizio offre funzionalità per la gestione della semantica relativa ai servizi applicativi e alle informazioni e dati da essi trattati nell ambito del SPCoop, fornendo strumenti per la memorizzazione, integrazione ed interrogazione di ontologie di dominio. In tale ambito, per dominio si intende il dominio applicativo della singola Amministrazione ovvero il dominio di cooperazione o il dominio dell intera PA. Il servizio deve assistere l utente nella creazione, validazione, manutenzione e interrogazione di una ontologia. I concetti e le relazioni rappresentati dalle ontologie gestite dal servizio devono poter essere applicati alla descrizione degli Accordi di Servizio gestiti dal Servizio di Registro SICA generale e viceversa. Una descrizione del ruolo del servizio nell ambito del SPCoop si trova nel documento di riferimento per la Nomenclatura e Semantica pubblicato sul sito CNIPA Valutazione dimensionale del Servizio Oltre a quanto indicato nell allegato 2d relativamente alla finestra temporale di erogazione del Servizio ed ai livelli di qualità da garantire, per consentire all Aggiudicatario di stimare le dimensioni del Servizio, nella tabella che segue si forniscono elementi di valutazione. Elemento dimensionale Valore alla fine del primo anno Incremento % medio annuo Valore massimo prevedibile alla fine del terzo anno Numero di ontologie 5 200% 50 Numero di concetti e relazioni % Relazioni con gli altri servizi e con gli utenti Il servizio prevede: - l interazione in modalità client con i seguenti servizi SICA la cui descrizione è riportata nel presente Capitolato: Servizio di Registro SICA generale per la gestione dei riferimenti tra accordi di servizio e di cooperazione e relativi concetti ed informazioni; Servizio di Gestione Federata delle Identità digitali, per la validazione delle credenziale delle varie entità coinvolte nelle operazioni relative al servizio. Tale interazione avverrà mediante l utilizzo dell interfaccia Servizio Applicativo SPCoop del Servizio di Gestione Federata delle Identità digitali stesso; - l interazione in modalità server con le componenti tecnologiche e con i soggetti sotto riportati: Servizio di Registro SICA generale; Pag. 18 di 83

19 Servizio Applicativo SPCoop; Servizio di Monitoraggio; Servizio di Gestione; Servizio di Sicurezza Interna; Pubblica amministrazione: utente accreditato autorizzato ad utilizzare, mediante una interfaccia web, il servizio di catalogo schemi/ontologie SICA; Gestore: (cfr ); Monitore: (cfr ); Security Manager: (cfr ) Requisiti del Servizio Di seguito sono riportati i requisiti cui deve rispondere il Servizio Requisiti architetturali L architettura del servizio deve prevedere i seguenti componenti logici: 1. linguaggio formale e motore di ragionamento. Il linguaggio di descrizione delle ontologie dovrà permettere la descrizione formale dei tipi di entità e delle relazioni che possono occorrere tra loro. Associato al linguaggio, il motore di ragionamento dovrà essere in grado almeno di elaborare automaticamente una classificazione gerarchica e di verificare la consistenza logica delle ontologie. Il Servizio deve essere aperto all inserimento di nuove elaborazioni automatiche da eseguire sulla descrizione della ontologia basate, ad esempio, su regole. Il servizio deve essere integrato opportunamente con il Servizio di Registro SICA generale in modo tale che concetti e relazioni dell ontologia possano riferirsi agli Accordi di Servizio descritti mediante l ontologia ( modelli di servizio ). Ovviamente si dovrà permettere la gestione di concetti e relazioni che non si riferiscano ad alcun Accordo di Servizio (per esempio inseriti da utenti operanti esclusivamente sul servizio di catalogo schemi ontologie); 2. uno storage dove immagazzinare le ontologie ed i modelli di servizio espressi nel linguaggio formale di descrizione. Lo storage e i servizi di ragionamento dovranno essere ottimizzati (per esempio attraverso opportune operazioni di indicizzazione) in modo tale che le operazioni del Servizio di Catalogo siano effettuate nel piu breve tempo possibile. Inoltre, dovrà essere possibile gestire le versioni delle ontologie e dei modelli di servizio definiti secondo i concetti e le relazioni delle ontologie stesse. Pag. 19 di 83

20 La seguente figura descrive l architettura logica del Servizio e le relazioni con il Servizio di Registro SICA generale. AS UDDI Registro Accordi di Servizio Semantica Semantica app Concetti Servizi Catalogo Schemi e Ontologie Query e ragionatore web app Versioning ed Evoluzione Editor offline (import e design) app web Figura 3. Architettura del servizio di catalogo degli schemi e ontologie e relazione con il Servizio di Registro SICA generale Requisiti delle interfacce Nel seguito si riportano i requisiti specifici delle interfacce verso i vari componenti del servizio: 1. verso il generico ServizioApplicativo SPCoop : Interfaccia applicativa che, attraverso web services, espone le specifiche funzionalità del servizio come definite al par Per tale interfaccia dovrà essere predisposto il relativo accordo di servizio e pubblicato all interno del Servizio di Registro SICA generale; 2. verso l utente pubblica amministrazione : - Front end web browser, accessibile attraverso interfaccia web, che assicura tutte le funzionalità dall interfaccia applicativa indicata al precedente punto 1; - Interfaccia client remota per gestire le funzionalità del repository, delle ontologie e dei modelli di servizio, incluse le operazioni CRUD (creazione/modifica/ Pag. 20 di 83

21 consultazione/rimozione). Tale interfaccia client remota dialogherà con il servizio attraverso l interfaccia applicativa dell utente pubblica amministrazione ; 3. verso il Servizio di Registro SICA Generale : Interfaccia applicativa che, attraverso web services, espone le funzionalità per la classificazione e la ricerca dei concetti e delle informazioni immagazzinate nel servizio e collegate agli accordi di servizio e di cooperazione gestiti nell ambito del Servizio di Registro SICA generale. 4. verso il Servizio di Gestione : Interfaccia applicativa che, attraverso web services, espone le funzionalità di base verso l utente Gestore, descritte nel paragrafo 1.7 del presente Capitolato; 5. verso l utente Gestore : Front end web browser accessibile attraverso interfaccia web che assicura tutte le operazioni eseguibili dall interfaccia applicativa Servizio di Gestione indicata al precedente punto; 6. verso il Servizio di Monitoraggio : Interfaccia applicativa che, attraverso web services, espone le funzionalità di base verso l utente Monitore, descritte nel paragrafo 1.6 del presente Capitolato; 7. verso l utente Monitore : Front end web browser accessibile attraverso interfaccia web che assicura tutte le operazioni eseguibili dall interfaccia applicativa Servizio di Monitoraggio indicata al precedente punto; 8. verso il Servizio di Sicurezza Interna : Interfaccia applicativa che, attraverso web services, espone le funzionalità per la gestione delle operazioni di sicurezza automatizzabili descritte nella Sezione 6 del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Sicurezza ; 9. verso l utente Security Manager : Front end web browser accessibile attraverso interfaccia web che assicura tutte le operazioni eseguibili dall interfaccia applicativa Servizio di Sicurezza indicata al precedente punto Requisiti di sicurezza Il servizio deve rendere disponibile i requisiti di sicurezza sotto indicati per le funzioni richiamabili dalle singole interfacce precedentemente indicate: 1. Servizio Applicativo SPCoop e utente Pubblica Amministrazione : l interfaccia dovrà utilizzare una autenticazione forte per permettere l esecuzione di operazioni di creazione/modifica/rimozione di concetti legati ad una ontologia di dominio mentre per la ricerca basterà una autenticazione debole. Da notare che questa autenticazione deve essere anche eventualmente utilizzata per la ricerca di accordi di servizio legati a concetti di ontologia; 2. Servizio di Registro SICA generale : l interfaccia dovrà utilizzare una autenticazione forte per permettere l esecuzione di operazioni di creazione/modifica/rimozione di link fra concetti legati ad una ontologia di dominio ed accordi di servizio e cooperazione, mentre per la ricerca basterà una autenticazione debole; Pag. 21 di 83

22 3. Servizio di Gestione e utente Gestore : l interfaccia dovrà utilizzare una autenticazione forte per ogni operazione di collaudo, di backup e di ripristino e per le operazioni di sistema effettuate direttamente sul repository. Per le funzioni di interrogazione sarà sufficiente una autenticazione debole; 4. Servizio di Monitoraggio e utente Monitore : l interfaccia dovrà utilizzare una autenticazione forte per la modifica rimozione di log/diagnostici mentre sarà sufficiente una autenticazione debole per la navigazione dei log e dei diagnostici emessi dal Servizio; 5. Servizio di Sicurezza e utente Security manager : l interfaccia dovrà utilizzare una autenticazione forte per ogni operazione che riguarda la sicurezza del Servizio; Il controllo delle credenziali allo scopo dell autenticazione di una entità sarà richiesto al Servizio di Gestione Federata di Identità Digitali attraverso l interfaccia Servizio Applicativo SPCoop (Sezione 1.3.) Requisiti applicativi ed operativi Nel seguito si riportano i requisiti applicativi ed operativi del Servizio: 1. gestione del ciclo di vita delle ontologie e dei modelli di servizio attraverso funzioni assistite di creazione, modifica, navigazione e visualizzazione, gestione delle versioni; 2. gestione dei concetti e degli schemi già definiti e condivisi in altri Accordi di Servizio, al fine di consentire ad una Amministrazione di definire i propri Accordi di Servizio sulla base delle descrizioni già esistenti in formato legacy (schemi fisici, XSD, thesauri, ecc.); 3. sincronizzazione dei concetti e delle relazioni delle ontologie con le descrizioni dei servizi utilizzate negli Accordi di servizio, come indicato nella sezione del documento di riferimento Sistema Pubblico di Cooperazione: Quadro Tecnico d Insieme ; 4. funzioni di ricerca basate su caratteristiche di un concetto e per il ragionamento su ontologie, inclusa la classificazione gerarchica dei concetti di una ontologia ed il controllo di consistenza logica; 5. ricerca di accordi di servizio, immagazzinati nel Servizio di Registro SICA generale, sulla base di determinate caratteristiche concettuali selezionabili; 6. funzioni a disposizione del Servizio di Registro SICA generale che prevedano almeno la rappresentazione dei processi di servizio per la ricerca dei concetti e delle informazioni immagazzinate all interno del servizio di catalogo schemi/ontologie (modelli di servizio). In particolare, deve essere possibile ricercare concetti e relazioni che vengono utilizzati in un determinato Accordo di Servizio; 7. funzioni a disposizione del servizio di gestione (e dell utente gestore ) per la gestione automatizzata ed assistita del back-up e ripristino dello storage; 8. funzioni a disposizione del servizio di gestione (e dell utente gestore ) per l accesso al storage in modalità gestione per operazioni di modifica a livello di file descrittivo di base dei concetti immagazzinati. Pag. 22 di 83

23 9. strumenti di controllo a disposizione del Servizio di Gestione (e dell utente gestore ) in grado di evidenziare la piena funzionalità del servizio nel suo complesso, nelle sue componenti e nelle interfacce; 10. funzioni a disposizione del Servizio di Gestione (e dell utente gestore ) per l attivazione e la disattivazione del servizio 11. funzioni a disposizione del Servizio di sicurezza Interna (e dell utente security manager ) per il tracciamento mediante log di tutte le operazioni svolte con elevato livello di sicurezza ed affidabilità, al fine di consentire la ricostruzione delle sequenze di operazioni eseguite all interno del Servizio. In particolare, per le operazioni per cui è prevista una specifica autenticazione deve essere possibile ricostruire almeno: l istante in cui e avvenuta l operazione, chi ha eseguito l operazione, l esito dell operazione stessa; 12. funzioni a disposizione del Servizio di Monitoraggio (e dell utente monitore ) per la gestione delle anomalie riscontrate durante l esecuzione del Servizio con produzione di messaggi diagnostici che evidenzino opportunamente almeno: la tipologia di anomalia, le eventuali componenti in avaria, le funzionalità non disponibili (sono escluse dalla gestione le anomalie relative ad aspetti di scurezza che saranno gestite nell ambito del Servizio di Sicurezza); 13. integrazione con la Porta di Dominio SICA; 14. gestione della intrusion detection della registrazione degli eventi e delle emergenze come descritto nella Sezione 6 del documento di riferimento Sistema Pubblico di Cooperazione: Servizi di Sicurezza ; 15. raccolta e archiviazione di informazioni analitiche relative ai livelli di servizio definiti nell allegato All. 2c; 16. help desk di primo e secondo livello e supporto alle amministrazioni per un numero di chiamate annue pari a 3 per ogni procedura di registrazione di un ontologia/schema, da erogare con le modalità di cui al successivo paragrafo In sede di offerta tecnica l Unità concorrente dovrà specificare come intende soddisfare tutti i predetti requisiti Documentazione di riscontro Al fine di verificare l andamento del servizio, oltre a quanto previsto al successivo capitolo per il sistema SLAM l Aggiudicatario è tenuto a produrre, con periodicità mensile, la reportistica relativa a: rendicontazione sull utilizzo del servizio e sui livelli di servizio conseguiti; indicazioni su possibili problemi o anomalie eventualmente verificatisi; eventuali ottimizzazioni e migliorie da apportare all organizzazione del servizio. Pag. 23 di 83

24 1.3. SERVIZIO DI GESTIONE FEDERATA DI IDENTITA DIGITALI Il servizio sarà utilizzato per l interazione fra servizi applicativi nell ambito del SPCoop che necessitano di autenticare ed autorizzare in modalità federata entità facenti parte di domini diversi. Per ottenere tale obiettivo sarà utilizzato: - un modello di gestione delle identità digitali basato: o sulle carte istituzionali per l accesso ai servizi in rete (CIE, CNS, ecc.), nel caso di entità persone; o su sistemi di identificazione ed autenticazione delle parti, nel caso di entità diverse da persone; - un sistema di controllo degli accessi basato sui ruoli. Il servizio di gestione federata delle identità digitali avrà funzioni di radice e garante della federazione di Autorità Locali di Dominio. L Autorità Locale di Dominio (ALD) svolge le funzioni di garante delle credenziali per soggetti che non utilizzino certificati X.509 emessi da CA accreditate 3, ma che sono stati autenticati secondo politiche locali. Inoltre, la ALD svolge funzioni di garante degli attributi di ruolo (Attribute Authority) per i soggetti (ad es. responsabile d ufficio, responsabile di un procedimento amministrativo, privato cittadino qualificato appartenente ad una categoria professionale, ecc.) ed è deputata ad assegnare i privilegi per specifici servizi SPCoop. La ALD dovrà svolgere altresì talune funzioni di assegnazione dei profili di accesso (Profile Authority) collegandosi eventualmente ad altre organizzazioni che fungono da Attribute Authority (ad es. ordini professionali, associazioni di categoria, ecc.) per acquisire ulteriori attributi di ruolo. Ogni dominio e soggetto SPCoop può essere associato ad una ALD che sarà federata con le altre ALD attraverso il Servizio Gestione Federata delle Identità digitali. Tra i servizi SICA, i seguenti svolgono funzioni di ALD responsabili della gestione delle credenziali ai fini della identificazione ed autenticazione: - il Servizio di Indice dei Soggetti, per le entità persona relativamente ai dipendenti pubblici delle amministrazioni centrali; - il Servizio di Registro SICA Generale, per le entità non-persona quali servizi applicativi, porte di dominio, amministrazioni e loro strutture organizzative; - il Servizio di Certificazione (PKI SPCoop), per le entità non-persona a cui è associato un certificato X.509 valido in ambito SPCoop. L autenticazione dei soggetti dotati di carte istituzionali (ad es. CNS/CIE) per l accesso ai servizi in rete avverrà con le procedure previste dalla normativa vigente. In via transitoria, i soggetti che non dispongono di carte istituzionali potranno essere autenticati da una ALD. 3 Secondo la normativa attuale le CA accreditate sono i certificatori iscritti nell elenco pubblico tenuto dal CNIPA. Pag. 24 di 83