CONSIGLIO DI AMMINISTRAZIONE DEL 24/06/2005 Struttura competente: DIREZIONE Servizi Informatici di Ateneo e p.c.: OGGETTO: X.X.X Autorizzazione alla procedura di gara comunitaria mediante pubblico incanto e approvazione Bando di gara, Norme di gara e Capitolato Speciale d Appalto per l affidamento del servizio di integrazione di sistemi ed infrastrutture per la realizzazione di un sistema informatico per la gestione delle identita' (modulo di identity management ) ai fini dell'accesso alle risorse e ai servizi informatici dell'universita' degli Studi di Verona. Il Rettore informa il Consiglio di Amministrazione che il Gruppo di Indirizzo del SIA, in occasione dell incontro dell 11 Gennaio 2005, ha individuato delle necessità da risolversi relativamente alle politiche di accesso al Sistema Informativo, onde poter ottemperare ai dettami normativi del D.lg. 196/2003 (T.U. Codice della Privacy ) e alle nuove scadenze derivanti dal recente Dlgs 82/2005 (Testo Unico codice dell Amministrazione Digitale). In particolare, a fronte di una necessità di adeguamento delle misure previste dal citato D.Lgs. 196/2003, si dovrà ottemperare entro il 31 Marzo del 2006. Quello che il Codice della Privacy in realtà impone è un adattamento delle attività professionali ed aziendali (private e pubbliche) alle nuove esigenze della società dell'informazione la quale è costituita da una fitta rete di rapporti e relazioni interpersonali, reali e virtuali, in cui l'elemento primario è l'informazione. Da questo punto di vista, la nascita fonti di pericolo relativamente alle informazioni trattate meritano estrema tutela. E' per questo motivo che il Codice della Privacy impone di adottare una serie di misure tecniche, informatiche, organizzative, logistiche e procedurali, tendenti a realizzare un livello di sicurezza proporzionato ai rischi previsti per il tipo di attività che in concreto viene esercitata. Sono obbligati al rispetto delle suddette regole, quindi, tutti coloro che trattano dati personali. I dati personali devono essere difesi principalmente da tutte quelle vulnerabilità (non solo di natura tecnica ed informatica) che indeboliscono il sistema rendendolo potenzialmente soggetto ad attacchi e danneggiamenti. Alla sicurezza dei dati e dei sistemi, il Codice dedica ampio spazio ed una dettagliata normativa completata dall allegato B ( Disciplinare tecnico in materia di misure minime di sicurezza ). Per quanto riguarda queste misure, la disciplina è suddivisa in base al fatto che il trattamento venga effettuato con strumenti elettronici oppure senza l ausilio degli stessi. Nella prima ipotesi è prevista l adozione di un sistema di autenticazione informatica che consenta solo agli incaricati di poter procedere al trattamento dei dati custoditi nel sistema informatico, creando eventualmente diversi profili di autorizzazione per i casi in cui l incaricato sia autorizzato a svolgere solo determinate operazioni. In considerazione delle normali e fisiologiche vulnerabilità presenti nei sistemi informatici, sono previsti degli obblighi relativi all adozione di misure minime di sicurezza attraverso l utilizzo di strumenti (software, hardware) per le seguenti procedure, tra le altre: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi. 6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Cioè, si intende implementare una combinazione di processi e tecnologie che dettino le basi affinché vi sia uno stretto controllo di gestione sulle utenze che possono accedere al sistema informativo, dal momento in cui sono legittimate al momento in cui non lo sono più (per cessazioni, per scadenze di contratto, per momentanee variazioni ). A questo scopo, le funzionalità richieste si denotato con il termine di Identity Management ; le seguenti caratteristiche sono considerate essenziali:
- Profile management: possibilità di definire le politiche di autorizzazione/sicurezza per gruppi di utenti in funzione del ruolo (docenti, tecnici amministrativi, studenti, eccetera); - Work flow: permette di gestire i processi di cambiamento/integrazione dei profili utente; - Provisioning: distribuzione nel sistema informativo delle autorizzazioni agli accessi a seconda del profilo; - Delegate administration: delega parziale o totale della gestione dei profili verso strutture decentrate (Facoltà, Dipartimenti, Centri, Direzioni, Organi di Staff, eccetera); - Password management e Synchronization: gestione automatizzata delle politiche per le password e sincronizzazione delle stesse nelle risorse del sistema informativo. Il modulo di Identity Management rappresenta le fondamenta del complesso sistema di gestione delle identità e dei profili. Infatti, molti sono i livelli che si possono sviluppare oltre alle procedure di Identità Management. In letteratura esistono almeno altre due successive (e più ampie, generali e sofisticate) procedure di gestione: - Sistema di Access Management : l insieme delle componenti hardware, dei relativi sistemi operativi, delle licenze software applicative, delle licenze per gli applicativi e dei servizi che garantiscono il Controllo e l'autorizzazione centralizzati degli Accessi alle Risorse Informatiche (Access Management); - Sistema Single Sign On, l insieme delle componenti hardware, dei relativi sistemi operativi, delle licenze software applicative, delle licenze per gli applicativi e dei servizi che garantiscono l'autenticazione unica degli Accessi alle Risorse Informatiche (Single Sign On); La Direzione Servizi Informatici di Ateneo, sentito anche il parere del Gruppo di Indirizzo del SIA nel Gennaio del 2005, ritiene al momento sufficienti le funzionalità previste dal livello di Identità Management, proponendo i successivi livelli qualora le circostanze organizzative e normative li necessitino. Dal punto di vista gestionale, oltre a quanto già esplicitato precedentemente, l adozione di tecniche di Identity Managemen comporta interventi tesi a ridurre: - la mancanza di coordinazione tra le varie strutture organizzative nella gestione delle utenze - la dispersione delle procedure e degli strumenti operativi - la moltiplicazione del lavoro per compiti di routine per la gestione degli account quali password resets, modifica di informazioni personali e autorizzazioni all'accesso delle risorse informatiche aziendali - le duplicazioni e i conflitti nelle informazioni personali - l'aleatorietà nelle autorizzazioni all'accesso ai vari servizi (concessione/revoca, ecc.) con perdita di sicurezza globale - la difficoltà nell'implementare e mantenere i requisiti per l'auditing a causa di impropria identificazione dell'utente e/o dei ruoli-risorse ad esso associabili - la moltiplicazione di richieste di autorizzazione - la moltiplicazione delle credenziali di accesso - la dispersione dei riferimenti gestionali per l'accesso alle risorse informatiche - la perdita di sicurezza per quanto riguarda la riservatezza dei dati personali Il Rettore informa il Consiglio di Amministrazione che, al fine di rispettare la vigente normativa sulla contabilità pubblica, occorre avviare una procedura di gara comunitaria mediante pubblico incanto per l affidamento del servizio di cui trattasi, ai sensi del D. Lgs n. 157/95 e s.m.i; l utilizzo della procedura aperta consente la massima trasparenza ed assicura nel contempo la più ampia partecipazione.
Il Rettore illustra i punti salienti del bando redatto in conformità al modello comunitario, come previsto dal D. Lgs n. 67/2003 di cui all Allegato n. 1 composto da n. 8 pagine L importo complessivo netto a base d asta (durata triennale) è stato stimato in Euro 340.000,00 + IVA, in base ai contratti in essere; la durata del contratto di fornitura del servizio di cui all oggetto è prevista in anni 3, a partire dal 31/10/2005. L offerta da parte delle ditte partecipanti non potrà avvenire prima di 52 giorni dalla spedizione del bando all Ufficio della CEE. Il bando di gara verrà pubblicato sulla Gazzetta Ufficiale delle Comunità Europee nonché sulla Gazzetta Ufficiale della Repubblica Italiana, su due quotidiani a tiratura nazionale e su un quotidiano locale oltre che nell Albo Ufficiale dell Ateneo e sulle pagine WEB dello stesso; le spese relative alla pubblicazione del bando, oltreché dell esito del medesimo, una volta esperita la procedura di gara, sono stimate in Euro 7.000,00 + IVA e saranno esattamente quantificate con l emissione dei relativi ordinativi di pagamento a favore delle società di pubblicità. Il Responsabile del procedimento di gara è stato individuato nella persona del Dott. Giovanni Michele Bianco, in qualità di Direttore della Direzione Servizi Informatici di Ateneo. Con riguardo allle norme di gara, di cui all Allegato n. 2 composto da n. 13 pagine Il Rettore evidenzia i requisiti minimi richiesti per la partecipazione alla gara: - l iscrizione alla Camera di Commercio o, per imprese con sede in altra Nazione, presso l equivalente registro; - non rientrare in alcuno dei casi di esclusione previsti dalla normativa di cui all art. 12 del D. Lgs. 157/95 (ad esempio stato di fallimento, concordato preventivo, etc.) Si richiede inoltre, al fine della dimostrazione della capacità tecnico-economica da parte delle ditte concorrenti, che queste ultime abbiano i seguenti requisiti minimi di partecipazione con riferimento degli ultimi tre esercizi finanziari: - un fatturato medio annuo d impresa non inferiore a. 5.000.000,00. - un fatturato medio annuo per forniture analoghe non inferiore a. 700.000,00.. - una fornitura analoga di valore unitario non inferiore a. 500.000,00. Sono state inoltre poste opportune clausole a tutela dell Amministrazione in caso di inadempienza della ditta aggiudicataria; l Università di Verona procederà all aggiudicazione anche nel caso in cui sia pervenuta o sia rimasta in gara una sola offerta. Con riferimento al Capitolato Speciale d Appalto, di cui all Allegato n. 3 composto da n. 30 pagine Il Rettore evidenzia gli aspetti tecnici e contrattuali più significativi: soddisfazione dei requisiti previsti dal D.Lgs. n. 196/2003, Allegato B) punti 1-14 - (Scheda A ) - Allegato A)) affidabilità: 99,9% (8 ore di disservizio annue) carico globale massimo: 1.000.000 utenze Il servizio di assistenza dovrà essere accessibile dal lunedì al venerdì dalle ore 9.00 alle ore
17.00 (esclusi sabato, domenica e festivi) e sarà attivato mediante chiamata telefonica da parte dell'amministrazione ad un numero di rete fissa. Il servizio di assistenza dovrà essere erogato con le seguenti modalità: o tempo di prima risposta da parte di un tecnico qualificato, entro 1 ora lavorativa dalla chiamata del Committente; o tempo di intervento on-site, qualora il problema non sia risolvibile telefonicamente, entro 4 ore lavorative dalla chiamata del Committente; o tempo di ripristino della normale operatività dei sistemi, entro 8 ore lavorative. L Impresa dovrà inoltre predisporre tutti gli aggiornamenti, in termini di correzioni ed integrazioni dei software di base ed applicativi compresi nella fornitura, che si renderanno disponibili nell arco dei 36 mesi di validità del contratto stipulato Il Rettore evidenzia che l aggiudicazione della gara mediante Pubblico Incanto sarà effettuata in favore dell offerta più vantaggiosa, sotto il profilo tecnico-economico, ai sensi dell art. 23 comma 1) lettera b) del D.Lgs. 17.03.1995 n. 157 di attuazione della direttiva 92/50/CEE come modificato dal D.Lgs. 25.02.2000 n. 65 di attuazione della direttiva 97/52/CEE, e all art. 63 comma 2 lettera C del Regolamento per l Amministrazione, la Finanza e la Contabilità ( D.R. 1011 del 11/09/2002) determinata sulla base di criteri che di seguito si riassumono: 1) Offerta Tecnica MAX 60 PUNTI 2) Offerta Economica MAX 40 PUNTI Per ulteriori maggiori dettagli si rinvia al Capitolato Speciale d Appalto. Il Rettore, sulla base di quanto in narrativa, propone al Consiglio di Amministrazione: 1. di autorizzare l indizione di una gara comunitaria d appalto mediante pubblico incanto per l affidamento del servizio di integrazione di sistemi ed infrastrutture per la realizzazione di un sistema informatico per la gestione delle identita' (modulo di identity management ) ai fini dell'accesso alle risorse e ai servizi informatici dell'universita' degli Studi di Verona, ai sensi della Direttiva C.E.E. 92/50 e del D. Lgs. 157/95 e s.m.i.; 2. di approvare il bando di gara ed il Capitolato speciale d Appalto contenente le prescrizioni di gara e contrattuali, autorizzando l avvio delle procedure di appalto nei termini di cui sopra, compresa la pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana e sui quotidiani locali e nazionali, previa acquisizione dei relativi preventivi di spesa oltre che la pubblicazione sulla Gazzetta Ufficiale della Comunità Economica Europea e all Albo Ufficiale di Ateneo e sulle pagine Web; 3. di definire la durata del contratto in anni tre, a decorrere dal 31 Ottobre 2005, e di determinare che la spesa prevista presuntivamente in Euro 340.000,00 + IVA graverà, per la quota di pertinenza (come stabilito dall Art. 29 - LIQUIDAZIONE DEI COMPENSI ALL APPALTATORE del capitolato speciale di appalto), sul bilancio degli esercizi finanziari 2005 2006 2007 ai sensi dell art. 18 comma 3) lettera c) del Regolamento di Ateneo per l amministrazione, la finanza e la contabilità D.R. n. 1011 del 11.09.2002; 4. di stabilire che la spesa per la pubblicazione del bando, oltreché dell esito una volta esperita la procedura di gara, stimata in Euro 7.000,00 + IVA, graverà sul fondo (Tit./Cat./Cap.) 00.1.11.030 anno 2005 Servizio Informatico di Ateneo", in quanto spesa accessoria all appalto che sarà esattamente quantificata con l emissione dei relativi ordinativi di pagamento a favore delle società di pubblicità, firmati dal Direttore Amministrativo in qualità di Titolare del Centro di Responsabilità per l Amministrazione Centrale; 5. di stabilire che, entro i termini di presentazione delle offerte, sarà nominata una apposita commissione di valutazione delle stesse, mediante apposito Decreto del Direttore Amministrativo.
Il Consiglio di Amministrazione - udita la relazione del Rettore; - visti gli allegati; - vista la normativa citata; all unanimità, delibera 1. di autorizzare l indizione di una gara comunitaria d appalto mediante pubblico incanto per l affidamento del servizio di integrazione di sistemi ed infrastrutture per la realizzazione di un sistema informatico per la gestione delle identita' (modulo di identity management ) ai fini dell'accesso alle risorse e ai servizi informatici dell'universita' degli Studi di Verona, ai sensi della Direttiva C.E.E. 92/50 e del D. Lgs. 157/95 e s.m.i.; 2. di approvare il bando di gara ed il Capitolato speciale d Appalto contenente le prescrizioni di gara e contrattuali, autorizzando l avvio delle procedure di appalto nei termini di cui sopra, compresa la pubblicazione sulla Gazzetta Ufficiale della Repubblica Italiana e sui quotidiani locali e nazionali, previa acquisizione dei relativi preventivi di spesa oltre che la pubblicazione sulla Gazzetta Ufficiale della Comunità Economica Europea e all Albo Ufficiale di Ateneo e sulle pagine Web; 3. di definire la durata del contratto in anni tre, a decorrere dal 31 Ottobre 2005, e di determinare che la spesa prevista presuntivamente in Euro 340.000,00 + IVA graverà, per la quota di pertinenza (come stabilito dall Art. 29 - LIQUIDAZIONE DEI COMPENSI ALL APPALTATORE del capitolato speciale di appalto), sul bilancio degli esercizi finanziari 2005 2006 2007 ai sensi dell art. 18 comma 3) lettera c) del Regolamento di Ateneo per l amministrazione, la finanza e la contabilità D.R. n. 1011 del 11.09.2002; 4. di stabilire che la spesa per la pubblicazione del bando, oltreché dell esito una volta esperita la procedura di gara, stimata in Euro 7.000,00 + IVA, graverà sul fondo (Tit./Cat./Cap.) 00.1.11.030 anno 2005 Servizio Informatico di Ateneo", in quanto spesa accessoria all appalto che sarà esattamente quantificata con l emissione dei relativi ordinativi di pagamento a favore delle società di pubblicità, firmati dal Direttore Amministrativo in qualità di Titolare del Centro di Responsabilità per l Amministrazione Centrale; 5. di stabilire che, entro i termini di presentazione delle offerte, sarà nominata una apposita commissione di valutazione delle stesse, mediante apposito Decreto del Direttore Amministrativo. Il Rettore comunica che la spesa da sostenere troverà copertura finanziaria sul capitolo: (Tit.\Cat.\cap.) 00.1.11.030 anno 2005 Servizio Informatico di Ateneo" che presenta sufficiente disponibilità. Tit.\Cat.\cap. (00.1.11.030) anno 2005 Somma stanziata nel bilancio di Previsione. 1.945.000,00 Disponibilità odierna del fondo. 1.209.479,48 Impegno per attuale provvedimento. 8.400,00 DISPONIBILITÀ RESIDUA 1.201.079,48