Gara Europea a procedura aperta per l affidamento dei servizi di gestione e

Capitolato Tecnico Gara Europea a procedura aperta per l affidamento dei servizi di gestione e monitoraggio del sistema informatico dell Autorità Nazionale Anticorruzione Stato del documento:approvato

Indice 1 PREMESSA... 4 2 CONTESTO DI RIFERIMENTO... 6 2.1 Attività dell ANAC... 6 2.2 L attuale sistema informatico dell ANAC... 6 2.2.1 L infrastruttura fisica... 6 2.2.2 L architettura logica dei sistemi e delle applicazioni...12 2.2.3 I servizi...15 3 OGGETTO DELLA FORNITURA...19 3.1 Service Desk, gestione postazioni di lavoro e assistenza on site...20 3.1.1 Descrizione e requisiti del servizio...20 3.1.2 Dimensione del servizio e composizione del Gruppo di Lavoro...26 3.1.3 Modalità di erogazione del servizio...27 3.2 Servizio di conduzione operativa dell infrastruttura ICT e di assistenza tecnico-sistemistica...28 3.2.1 Descrizione della fornitura...28 3.2.2 Dimensionamento del servizio e composizione del Gruppo di Lavoro...30 3.2.3 Modalità di erogazione del servizio...31 3.3 Servizio di gestione degli applicativi e delle basi dati...32 3.3.1 Descrizione e requisiti del servizio...32 3.3.2 Dimensionamento del servizio e composizione del Gruppo di Lavoro...37 3.3.3 Modalità di erogazione del servizio...38 3.4 Servizio di supporto informatico alla redazione e gestione dei contenuti dei portali Internet ed Intranet dell ANAC...39 3.4.1 Descrizione e requisiti del servizio...39 3.4.2 Dimensionamento del servizio e composizione del Gruppo di Lavoro...39 3.4.3 Modalità di erogazione del servizio...40 3.5 Servizio di manutenzione hardware degli apparati della Server Farm...40 3.5.1 Descrizione e requisiti del servizio...40 2

3.5.2 Dimensionamento del servizio...41 3.5.3 Modalità di erogazione del servizio...42 4 CARATTERISTICHE GENERALI DELLA FORNITURA...43 4.1 Modalità di esecuzione e gestione della fornitura...43 4.1.1 Modalità continuativa a canone...44 4.1.2 Modalità a consumo a richiesta...44 4.2 Luogo di esecuzione dei servizi...45 4.3 Periodo di affiancamento iniziale...45 4.4 Trasferimento di know how...46 4.5 Pianificazione e consuntivazione delle attività...47 4.5.1 Piani di lavoro...47 4.5.2 Stato avanzamento lavori...50 4.5.3 Consuntivazione...51 4.6 Azioni contrattuali...51 4.6.1 Modalità di gestione dei rilievi...51 4.6.2 Indicatori di qualità e penali...51 4.7 Gestione del Rischio...61 5 PROFILI PROFESSIONALI RICHIESTI...61 3

1 PREMESSA Le informazioni contenute in questo documento costituiscono la base per la formulazione di un offerta tecnico-economica per la fornitura dei servizi monitoraggio e gestione del sistema informatico dell Autorità Nazionale Anticorruzione. Le indicazioni contenute nel presente Capitolato tecnico rappresentano i requisiti minimi della fornitura. Considerati il ruolo e i compiti istituzionali dell Autorità di cui al successivo paragrafo 2.1, nello svolgimento dei quali vengono trattati informazioni di particolare sensibilità e rilevanza, l appalto di cui al presente Capitolato si rivolge ad Operatori economici, prestatori dei servizi oggetto della fornitura, in grado di assicurare la massima qualità, efficacia ed efficienza di gestione nonché di garantire livelli di sicurezza e riservatezza idonei alle problematiche da gestire. Acronimo Descrizione Tabella Acronimi e Definizioni ACS ANAC BDNCP BES BI BPM CC CD CO CMDB CMS CPU DAT DBMS DHCP DNS DP DPM DR EJB EPM ER ERP FAQ FC FP HTML HW IAM ICT IDS IP Audit Collection Services Autorità Nazionale Anticorruzione (anche detta Autorità o Amministrazione ) Banca Dati Nazionale dei Contratti Pubblici BlackBerry Enterprise Server Business Intelligence Business Process Management Contact Center Compact Disk Continuità Operativa Configuration Management Database Configuration Management System Central Processing Unit Digital Audio Tape DataBase Management System Dynamic Host Configuration Protocol Domain Name System Data Protectror Data Protection Manager Disaster Recovery Enterprise JavaBean Enterprise Project Management Entità/Relazione Enterprise Resource Planning Frequently Asked Questions Fibre Channel Function Point HyperText Markup Language Hardware Sistema di gestione delle funzioni di Identificazione, Autenticazione e Autorizzazione Information & Communication Technology Intrusion Detection System Internet Protocol 4

IPS ISA IQA ITIL J2EE LdS MAC MEV MS MVC OE OLA ORM PA PDL PdQ PLA PLG PLO PMI PMP QOS RDBMS RDF RSS SA SAL SAN SD SIMOG SLA SOA SPC SSO SW TLS TMG TT UESI UML UPSI VLAN VOIP W3C WBS XACML XHTML XML Intrusion Prevention System Internet Security and Acceleration Server Indicatori di Qualità Aggiuntivi Information Technology Infrastructure Library Java 2 Platform, Enterprise Edition Livello di Servizio Manutenzione Correttiva Manutenzione Evolutiva MicroSoft Model- View-Controller Operatore Economico Livelli Operativi Object-Relational Mapping Pubblica Amministrazione Piano di Lavoro Piano della Qualità Piano di Lavoro delle Attività continuative Piano di Lavoro Generale Piano di Lavoro dell Obiettivo Project Management Institute Inc. Project Management Professional Quality of Service Relational DBMS Resource Description Framework Really Simple Syndication Stazione Appaltante Stato Avanzamento Lavori Storage Area Network Service Desk Sistema Informativo MOnitoraggio Gare Service Level Agreement Service Oriented Architecture Sistema Pubblico di Connettività Single Sign On Software Transport Layer Security Threat Management Gateway Trouble Ticketing Ufficio Esercizio Sistemi Informativi Unified Modeling Language Ufficio Progettazione e Sviluppo Sistemi Virtual LAN Voice over IP World Wide Web Consortium Work breakdown structure extensible Access Control Markup Language extensible HyperText Markup Language extensible Markup Language Nei successivi capitoli sarà descritto il contesto, l oggetto e le caratteristiche complessive della fornitura con il dettaglio dei servizi richiesti ed i relativi livelli di servizio che il dovrà garantire. 5

2 CONTESTO DI RIFERIMENTO 2.1 Attività dell ANAC Il decreto legge n. 90/2014 convertito in legge n. 114/2014, sopprimendo l AVCP e trasferendo le competenze in materia di vigilanza dei contratti pubblici all Autorità Nazionale Anticorruzione, ha ridisegnato la missione istituzionale dell ANAC. Questa può essere individuata nella prevenzione della corruzione nell ambito delle amministrazioni pubbliche, nelle società partecipate e controllate anche mediante l attuazione della trasparenza in tutti gli aspetti gestionali, nonché mediante l attività di vigilanza nell ambito dei contratti pubblici, degli incarichi e comunque in ogni settore della pubblica amministrazione che potenzialmente possa sviluppare fenomeni corruttivi, evitando nel contempo di aggravare i procedimenti con ricadute negative sui cittadini e sulle imprese, orientando i comportamenti e le attività degli impiegati pubblici, con interventi in sede consultiva e di regolazione. La chiave dell attività della nuova ANAC, nella visione attualmente espressa è quella di vigilare per prevenire la corruzione creando una rete di collaborazione nell ambito delle amministrazioni pubbliche e al contempo aumentare l efficienza nell utilizzo delle risorse, riducendo i controlli formali, che comportano tra l altro appesantimenti procedurali e di fatto aumentano i costi della pubblica amministrazione senza creare valore per i cittadini e per le imprese. Per la descrizione dettagliata della struttura organizzativa e delle competenze istituzionali degli uffici di ANAC si rimanda ai regolamenti di organizzazione e funzionamento dell Autorità disponibili sul sito internet www.anticorruzione.it. 2.2 L attuale sistema informatico dell ANAC Si fornisce di seguito una descrizione generale del contesto applicativo e tecnologico. 2.2.1 L infrastruttura fisica Le infrastrutture in termini di server, sistemi storage, apparati di telecomunicazione ed altri apparati di supporto, sia di proprietà dell Autorità che di terzi fornitori di servizi, sono dislocate nel CED presente all interno della sede ANAC, a Via Minghetti 10. L architettura tecnica del Data Center è server-centrica, orientata a fornire servizi prevalentemente in modalità web ed in cooperazione applicativa, sia agli utenti interni (attraverso la rete Intranet), che agli utenti esterni (sulla rete Internet). Sono presenti sistemi server, sistemi di storage, di connettività e relativi sistemi di supporto e monitoraggio che costituiscono le infrastrutture tecnologiche di supporto al funzionamento dei Sistema Informatico dell Autorità. 6

L Autorità dispone di un servizio di Disaster Recovery, approvvigionato tramite contratto con fornitore esterno, che prevede la ridondanza degli apparati presso un sito esterno connesso al CED primario tramite collegamento dedicato. L architettura del servizio di Disaster Recovery prevede allineamento dinamico tra i due siti, tramite meccanismi di private cloud e di allineamento automatico degli storage e dei DB. Al fine di minimizzare gli impatti sull efficacia e l efficienza del processo di Business Continuity, tutti i change effettuati nel sito primario devono necessariamente essere tracciati e possono essere eseguiti esclusivamente seguendo il processo di aggiornamento previsto e concordato con il fornitore del servizio di Disaster Recovery. Il Fornitore aggiudicatario della presente gara avrà l onere di interfacciarsi con i responsabili e le procedure previste in tale ambito, oltre che di effettuare le attività di manutenzione previste sul sito primario, nonché di supportare le operazioni necessarie all eventuale attivazione dell operatività sul sito secondario di DIsaster Recovery ed il conseguente rientro alle attività normali sul sito primario. Il Fornitore dovrà supportare inoltre le attività previste in occasione dei test di Disaster Recovery previsti annualmente. La descrizione della infrastruttura del CED che segue è da considerarsi come parametro di riferimento per consentire al Fornitore di effettuare il dimensionamento dei servizi oggetto del presente Capitolato, considerando la quantità di apparati ed il livello di ingegnerizzazione necessario a gestire piattaforme destinate a trattare dati di interesse strategico ed applicazioni che devono funzionare ininterrottamente per considerevoli volumi di utilizzo da parte di utenti interni ed esterni. Sistemi di Elaborazione La piattaforma di elaborazione è basata quasi esclusivamente sulla virtualizzazione dei server, tecnologia che consente la creazione e movimentazione dinamica di un elevato numero di server logici, in stile private cloud, e che permette altresì di garantire l alta affidabilità del sistema, tramite meccanismi automatici di riavvio e movimentazione dei server logici senza interruzione di servizio delle applicazioni in caso di guasto dei server fisici. L infrastruttura su cui poggia la piattaforma di virtualizzazione è appunto composta da server fisici in tecnologia blade, ospitati in apposite Enclosure, a fronte di circa 400 server logici distribuiti in più ambienti di elaborazione necessari per gestire correttamente il ciclo di vita delle applicazioni sviluppate ad-hoc per l Autorità (Esercizio, Pre-Esercizio, Rilascio, Qualificazione, Sviluppo e Laboratorio). Sono inoltre gestiti 17 server fisici stand alone in tecnologia standard da rack. Di seguito il dettaglio dei sistemi di calcolo utilizzati. Tipologia Tecnologia Quantità HP DL 380 7 Server Discreti HP DL 360 2 HP Blade G1 3 HP Blade G6 2 7

Server Blade Enclosure Fujitsu Primergy RX300 3 HP BL460C G1 23 HP BL460c G6 48 Dell PowerEdge M620 12 HP C7000 5 Dell 1 Gli enclosure HP sono popolati con: 9 unità di gestione (Online Administration) - un enclosure ha solo 1 modulo OA; 4 switch rete per enclosure (20 switch totali); 2 switch FC (Fibre Channel) per enclosure (10 switch FC totali). Gli enclosure DELL sono popolati con: 2 unità di gestione (Online Administration); 2 switch FC; 4 switch rete (2 utilizzati per connessione iscsi, 2 per connettività rete). Sistemi di Storage e Storage Area Network Lo storage su cui poggia l infrastruttura di calcolo è basato su tecnologia SAN (Storage Area Network), connesso in Fibre Channel (e in parte in iscsi); al momento sono presenti nel Data Center 4 unità di storage per circa 350 TB, oltre ad alcune unità minori dedicate a compiti specifici. I backup dei dati e dei server vengono garantiti da una libreria di nastri e da uno storage, collocati per maggior sicurezza in una sala apposita con porta tagliafuoco situata nello stesso edificio e distante dal CED. Di seguito il riepilogo dei sistemi di storage attualmente in uso nell Amministrazione. Tipologia Tecnologia GB (netti) Storage Disco HP EVA8400 (per backup) HP EVA8400 (LUN del cluster fisico SQL di Esercizio e Pre- Esercizio) HP EVA8400 (datastore per le VM di Esercizio) 32861 58645 76894 8

Storage Nastro HP EVA6100 (snapshot di vsphere Data Protection e backup di SQL) 30538 Dell EqualLogic 150250 HP MSL 6030 (3 unità, ciascuna 28 nastri di cui 1 nastro di cleaning da 1.6 tb per un totale di 128TB ) Quantum Stornext 5 128 (TB) 199.50TB (Al momento allocati 50TB) La Storage Area Network è composta dai seguenti apparati: 4 switch FC core; 12 switch FC presenti negli enclosure (già elencati nel paragrafo relativo ai sistemi di elaborazione); 4 switch iscsi (di cui 2 presenti negli enclosure già elencati nel paragrafo relativo ai sistemi di elaborazione). Apparati di Networking e Security La connettività di rete interna Intranet (integrata per telefoni e computer) è fisicamente separata dalla rete del CED per migliorare l affidabilità e la sicurezza della seconda, ed è stata realizzata con switch posti nei due corpi di fabbrica dell immobile ai vari piani, collegati in fibra ottica ad una coppia di switch di centro-stella. In totale gli apparati di rete gestiti sono 47 switch IP, di cui: - 17 di distribuzione orizzontale per la rete interna; - 2 switch di centro-stella per la distribuzione orizzontale della rete interna; - 26 switch di distribuzione per la rete IP del CED (tra cui i 22 elencati nel paragrafo relativo ai sistemi di elaborazione); - 2 switch di centro-stella per la rete IP del CED; Sono presenti due bilanciatori di carico in configurazione di fault tolerance per il bilanciamento hardware di alcuni dei servizi esposti sul web tra cui il portale, due firewall, una centrale telefonica e un fax server. 9

La connessione verso Internet è assicurata da un circuito a 200 Mbit/s, acquisto nell ambito della rete SPC (ex contratto quadro Cnipa, attualmente Consip). Esistono poi altre connessioni dedicate al collegamento con la sede del disaster recovery e con la sede fisica del servizio di centralino dell Autorità. Sono configurate reti VPN da e verso terzi per l erogazione di servizi per cui è necessario l allineamento con sistemi esterni con elevati requisiti di sicurezza. È inoltre presente un server ISA/TMG per l accesso dall esterno ad alcuni dei sistemi interni come la posta elettronica, la intranet ed il sistema di gestione documentale. La sicurezza perimetrale è assicurata dai servizi di sicurezza erogati nell ambito del contratto SPC, con una coppia di firewall ed un apparato per filtrare la posta indesiderata o contenente contenuti potenzialmente pericolosi. L Amministrazione si è inoltre dotata di due Porte di Dominio SPC acquisite nell ambito Contratto Quadro CNIPA 5/2007 per i servizi di interoperabilità evoluta e di cooperazione e sicurezza applicativa. Le Porte di Dominio, di cui una attualmente collocata presso la sede del DR, sono utilizzate per la cooperazione applicativa con altre istituzioni/enti della Pubblica Amministrazione per lo scambio di dati; per la realizzazione delle funzionalità di Porta di Dominio è utilizzata l applicazione OpenSPCoop 1.4, installata su un architettura basata su server fisici con sistema operativo Linux, ed un firewall XML per la gestione della sicurezza e dei certificati, su teconolgia Radware. Attualmente sono attive numerose cooperazioni con enti esterni ed istituzioni, tra i quali citiamo Inps, Inail, Agenzia delle Entrate, Ministero degli Interni, Regioni, etc, ciascuna delle quali richiede la gestione, configurazione e monitoraggio di apposite policy su Porta di Dominio e Firewall XML specifiche della convenzione in essere con l ente medesimo. Riepilogo Apparati di networking: Tipologia Apparato Quantità Apparati di Networking Apparati di Delivery e Security Switch di distribuzione orizzontale 17 Switch (enclosure / ToR) 26 Switch CS 4 Cisco ACE 4710 2 Radware Appdirector 2 Firewall XML Radware APPxml Dell Sonicwall supermassive 9200 + appliance di gestione 2 2 10

Ambienti di elaborazione Nella tabella seguente sono riportati, suddivisi per ambiente di elaborazione, i server fisici e virtuali da considerare per il dimensionamento dei servizi oggetto del presente Capitolato. Le quantità riportate rappresentano la situazione esistente all atto della scrittura del presente Capitolato, Tipologia Caratteristiche Quantità Ambiente di Esercizio Ambiente di Pre-Esercizio Ambiente di Rilascio Ambiente di Qualificazione Host 35 Cluster VmWARE 3 VM 265 Server fisici 16 Sistemi Windows 2003 46 Sistemi Windows 2008R2/ 2012R2 163 Sistemi Linux/ Red Hat 72 Host 10 Cluster VmWARE 1 VM 131 Server fisici 2 Sistemi Windows 2003 10 Sistemi Windows 2008R2/ 2012R2 80 Sistemi Linux/ Red Hat 43 Host 8 Cluster VmWARE 1 VM 49 Server fisici - Sistemi Windows 2003 3 Sistemi Windows 2008R2/ 2012R2 12 Sistemi Linux/ Red Hat 34 Host 3 Cluster VmWARE 1 VM 27 Server fisici - Sistemi Windows 2003 7 Sistemi Windows 2008R2/ 2012R2 10 Sistemi Linux/ Red Hat 10 Ambiente di Host 2 11

Sviluppo Cluster VmWARE 1 Ambiente di Laboratorio VM 20 Server fisici - Sistemi Windows 2003 - Sistemi Windows 2008R2/ 2012R2 Sistemi Linux/ Red Hat 7 13 Host 2 Cluster VmWARE 1 VM 7 Server fisici - Sistemi Windows 2003 - Sistemi Windows 2008R2/ 2012R2 Sistemi Linux/ Red Hat 7 - Piattaforma di Monitoraggio La piattaforma di monitoraggio attualmente utilizzata dall Autorità comprende una serie di strumenti di raccolta di metriche quantitative, qualitative ed ambientali (Nagios, SCOM, Openview, prodotti custom di gestione apparati, ed altre). Lo strumento di aggregazione di tali metriche è costituito attualmente dalla piattaforma HP SiteScope, le cui licenze, non di proprietà dell Autorità, scadranno il 31 dicembre 2015. E in corso l installazione e la configurazione della piattaforma VmWare vrealize Operations Manager, di proprietà dell Amministrazione, per il monitoraggio integrato dell infrastruttura, dei server e delle applicazioni. 2.2.2 L architettura logica dei sistemi e delle applicazioni I servizi erogati dall Autorità sono sostanzialmente di due tipologie: Servizi B2C: sono i servizi che consentono di interagire con l utente finale attraverso un interfaccia web fruibile tramite un browser. Servizi B2B: sono i servizi che consentono la cooperazione tra i sistemi previo accordo di servizio (di norma attraverso il framework SPCOOP). Nell ultimo triennio è stata effettuata una completa revisione dell architettura logica dei sistemi per aderire ad un paradigma SOA per la progettazione, realizzazione e governance di architetture distribuite, in cui la collaborazione tra sistemi avviene tramite lo scambio di servizi. In tale ottica, ogni servizio, 12

indipendentemente da come questo venga realizzato, eroga funzionalità tramite delle interfacce ben definite e a sua volta può utilizzare funzionalità messe a disposizione da altri servizi, realizzando quindi applicazioni di maggiore complessità. La SOA, che identifica una particolare forma di sistema distribuito, non è quindi legata ad una specifica tecnologia o insieme di tecnologie, bensì è una strategia IT che modifica sostanzialmente il modo di pensare e mettere in opera le attività e le organizzazioni di business. Definisce inoltre una serie di proprietà, orientate al riutilizzo e all integrazione in un ambiente eterogeneo, che devono essere rispettate dai servizi che compongono il sistema. L output atteso, dall introduzione della SOA, è una collezione di servizi condivisi, standardizzati e governati in maniera indipendente, il cui scope va oltre la realizzazione del singolo processo di business in quanto si estende a più processi di business dell Autorità. L approccio utilizzato per la progettazione dell architettura dei Servizi ANAC è quindi basato sul concetto di stratificazione (layering), che comporta la suddivisione del sistema globale in sottosistemi di minore complessità e l identificazione di una serie di strati logici separati. Ogni strato, nell ottica di realizzare le proprie funzionalità, usufruisce degli strati di più basso livello e a sua volta mette a disposizione servizi agli strati di livello superiore. In tale ottica sono stati identificati i seguenti strati logici: Figura 1 Architettura logica multi-layers Presentation (B2C multicanale): con il compito di gestire la logica di presentazione delle applicazioni esercite dall Autorità; Cooperation (B2B multiprotocollo): con il compito di gestire le chiamate, da parte dei business partner dell Autorità, ai servizi esposti con interfacce standard attraverso Porta di Dominio (PDD) o FWXML; Integration con il compito di orchestrare i servizi secondo i processi definiti. Service: con il compito di modellare la cosiddetta Business Logic dei Servizi ANAC; 13

Data (Strato di persistenza): si occupa di gestire i servizi inerenti le differenti sorgenti di dati al fine di garantirne anche la persistenza (es: BDNCP) ed il funzionamento dell interno sistema dell Autorità. L architettura logica viene realizzata tramite la suddivisione delle macchine di elaborazione in specifici gruppi/cluster di nodi omogenei, ciascuno dei quali destinati a scopi specifici rientranti nell architettura stratificata descritta precedentemente. Nella figura che segue è rappresentata l architettura di deploy attuale, basata esclusivamente su tecnologie RedHat/Jboss. Le applicazioni di nuova generazione o comunque progettate e sviluppate nell ultimo triennio rispecchiano e si integrano in tale architettura, in particolare essendo state progettate in logica SOA e con 14

una forte integrazione con i servizi per l accesso alla Banca Dati Nazionale dei Contratti Pubblici (BDNCP) e con i servizi di Identificazione ed Autorizzazione (IAM). Tutti i servizi interni e alcune applicazioni mantengono un architettura a silos e sono attualmente esercite su piattaforme eterogenee (ad esempio Sharepoint, Tomcat, PHP,.NET in ambiente Windows o Linux). 2.2.3 I servizi Di seguito si riporta un elenco dei principali servizi interni ed esterni presenti in Autorità ed erogati attraverso la suddetta infrastruttura: - Servizi Interni: o Posta Elettronica o Intranet o Protocollo informatico o Gestione presenze o Gestione cedolino o Servizio NAS per la gestione delle cartelle di rete o Sisk/BI o Portale della biblioteca - Servizi Esterni 1 : o Sito Web: portale www.anticorruzione.it, portale istituzionale dell Amministrazione o AVCpass SA: La componente del sistema AVCpass dedicata alle Stazioni Appaltanti offre la possibilità, attraverso un interfaccia web integrata con i servizi di cooperazione applicativa con gli Enti Certificanti, di procedere all acquisizione della documentazione comprovante il possesso dei requisiti di carattere generale, tecnico-organizzativo ed economico-finanziario per l affidamento dei contratti pubblici, come sancito dall art. 2 della Delibera AVCpass del 27/12/2012. o AVCpass OE: La componente del sistema AVCpass dedicata all Operatore Economico offre la possibilità di creare un proprio repository dove collezionare i documenti utili da presentare in sede di partecipazione alle procedure di scelta del contraente per l affidamento 1 Alcuni dei servizi esterni includono specifiche componenti di back-office destinate all utilizzo da parte degli uffici interni a supporto dei processi 15

di contratti pubblici. Consente inoltre agli Operatori Economici di inserire a sistema i documenti la cui produzione è a proprio carico ai sensi dell art. 6-bis, comma 4, del Codice. o Dichiarazioni di Avvalimento comunicazione e consultazione: Servizio riservato alle Stazioni appaltanti per la trasmissione delle dichiarazioni di avvalimento, come disposto dall art. 49, comma 11 del Codice dei contratti. o Adempimenti del d.l. 66/2014: Trasmissione delle informazioni necessarie all elaborazione dei prezzi di riferimento di cui all art. 9 del d.l. 66/2014, sistema che consente al RUP compilatore di indicare i beni acquistati dalla stazione appaltante, corredati di specifiche tecniche e prezzi o Adempimenti del d.l. 66/2014: Trasmissione delle informazioni necessarie alle attività di vigilanza di cui all art. 9 del d.l. 66/2014, sistema che consente al RUP compilatore di indicare i beni acquistati dalla stazione appaltante, corredati di specifiche tecniche e prezzi o Anagrafe Unica delle Stazioni Appaltanti (AUSA): il servizio consente l iscrizione all Anagrafe Unica delle Stazioni Appaltanti (AUSA) e l aggiornamento, almeno annuale, dei rispettivi dati identificativi, in attuazione a quanto disposto dall articolo 33-ter del Decreto Legge del 18 ottobre 2012 n. 179, convertito con modificazioni, dalla Legge n. 221 del 17 dicembre 2012. o Annotazioni riservate: Servizio ad accesso riservato rivolto alle Stazioni appaltanti e alle Società organismo di attestazione (SOA) per la verifica dei requisiti di ordine generale degli operatori economici. o Appalti Verdi - PAN GPP: monitoraggio affidamenti; il sistema consente l inserimento dei dati per il monitoraggio degli appalti Verdi - Piano d Azione Nazionale sul Green Public Procurement (PAN GPP), Piano d azione per la sostenibilità ambientale dei consumi della pubblica amministrazione. o Casellario delle imprese: Servizio per la consultazione del casellario delle imprese ivi comprese le informazioni riguardanti le imprese ausiliarie. o Certificati Esecuzione Lavori: Servizio per il rilascio alle imprese, a cura delle Stazioni Appaltanti, dei certificati per i lavori eseguiti; Procedura per il rilascio alle imprese dei certificati per i lavori eseguiti all'estero, a cura delle rappresentanze diplomatiche italiane. 16

o Comunicazione variazione requisiti generali e direzione tecnica: Servizio riservato alle imprese qualificate per la comunicazione all'osservatorio delle variazioni di cui all art. 74 comma 6 d.p.r. 207/2010. o Portale opendata/ Adempimenti Legge 190/2012 art. 1, comma 32: consultazione ad accesso libero delle comunicazioni correttamente ricevute ed elaborate, pubblicate dalle Stazioni Appaltanti sui propri siti web istituzionali, di cui all articolo 3 della Deliberazione n.26 del 22 maggio 2013, secondo la struttura e le modalità definite dall Autorità. o Portale Trasparenza: Portale degli appalti pubblici che ottempera a quanto disposto dall art. 8 comma 1 del Decreto Legge 7 maggio 2012, n. 52 (convertito in legge, con modificazioni, dall'art. 1, comma 1, L. 6 luglio 2012, n. 94). o Servizio Riscossione Contributi: Il servizio permette agli operatori economici registrati di ottenere il modello di pagamento da presentare alle ricevitorie abilitate per il versamento del contributo dovuto per la partecipazione agli appalti pubblici. Permette inoltre agli stessi operatori economici di eseguire il pagamento del contributo on line a mezzo carta di credito dei circuiti abilitati. o Sistema Informativo Monitoraggio Gare (SIMOG): Sistema che consente alle Stazioni Appaltanti di richiedere il codice identificativo gara (CIG) necessario agli operatori economici per il versamento del contributo a favore dell Autorità, dovuto per la partecipazione alle gare di appalti pubblici. Le Stazioni Appaltanti possono usufruire di questo servizio anche per gli adempimenti previsti dall art. 7 c. 8 del Codice dei contratti pubblici. o Sistema per il rilascio del CIG in modalità semplificata (SmartCig): sistema che consente alle Stazioni Appaltanti di ottenere CIG in modalità semplificata o carnet di CIG. Il CIG ottenuto in questa modalità può essere utilizzato per micro-contrattualistica (contratti di lavori di importo inferiore a 40.000, ovvero contratti di servizi e forniture di importo inferiore a 40.000, affidati ai sensi dell art. 125 del Codice o mediante procedura negoziata senza previa pubblicazione del bando) e contratti esclusi in tutto o in parte dell applicazione del Codice. o Attestazioni SOA: Servizio ad accesso riservato per il rilascio delle attestazioni da parte delle Società Organismi di Attestazione (SOA) agli O.E. in esito ai procedimenti istruttori previsti nel D.P.R. n. 207/2010, che disciplinano l esercizio dell attività di qualificazione. 17

o Portale Campagna Trasparenza: Il Progetto Portale della Trasparenza, previsto dal d.lgs. n. 150/2009 ha la finalità di rendere accessibili e conoscibili le attività delle pubbliche amministrazioni, consentendo, a regime, di avere informazioni su Obiettivi strategici, indicatori e target delle amministrazioni centrali dello Stato; Qualità dei servizi pubblici; La valutazione degli Organismi Indipendenti di Valutazione (OIV); Programmi triennali per la Trasparenza. Un elenco completo degli applicativi gestiti attualmente, comprensivo dei servizi di accesso ai dati secondo il paradigma SOA e delle cooperazioni applicative in essere con enti/amministrazioni esterne è riportato in allegato 1, nel quale per ciascuna delle applicazioni è riportata la tecnologia/piattaforma di sviluppo. 18

3 OGGETTO DELLA FORNITURA L oggetto della fornitura è costituito dall insieme delle attività volte a gestire, mantenere ed evolvere il sistema informatico di ANAC. Tali attività consistono nell erogazione dei servizi di: - Service Desk, Gestione Postazioni di Lavoro e Assistenza on site - Service Management, gestione dei servizi applicativi e delle basi di dati - Conduzione operativa dell infrastruttura ICT e assistenza tecnico-sistemistica - Supporto informatico alla gestione dei contenuti dei portali web ANAC - Manutenzione Hardware degli apparati della Server Farm La durata delle attività relative alla fornitura è di 36 (trentasei) mesi a decorrere dalla data di inizio attività. L insieme dei servizi in oggetto afferisce principalmente alle seguenti classi di fornitura, secondo lo schema classificatorio del Dizionario delle forniture ICT nelle Linee guida sulla qualità dei beni e dei servizi ICT per la definizione e il governo dei contratti della Pubblica Amministrazione redatto da Digit.PA (già CNIPA): Servizio Codice Acronimo Denominazione Classe di fornitura DigitPA Service Desk, Gestione Postazioni di Lavoro e Assistenza on site Service Management, gestione dei servizi applicativi e delle basi di dati Conduzione operativa dell infrastruttura ICT e assistenza tecnicosistemistica Supporto informatico alle attività di redazione e gestione dei contenuti dei portali Internet e Intranet dell ANAC 3.6.1 GPL Gestione e manutenzione delle postazioni di lavoro 1.3.1 ASS Assistenza in remoto e in locale 1.2.1 GSW Gestione applicativi e Basi Dati 1.2.3 MSW Migrazione e conversioni applicazioni 3.1.2 GMR Gestione e manutenzione reti 3.2.2 GSI Gestione sistemi 3.2.3 MSI Manutenzione sistemi 3.3.1 SIL Gestione della sicurezza logica 3.3.2 SIF Gestione della sicurezza fisica 2.2.5 WEB Gestione contenuti web 19

L offerta per i servizi di cui al presente Capitolato dovrà essere comprensiva di quanto necessario per la situazione attuale descritta nella sezione precedente, considerandovi incluso un incremento annuo della dimensione della server farm fino al 25% per ciascuno dei 3 anni di durata del contratto, al netto delle attività di consolidamento che il Fornitore si impegna a proporre ed eseguire annualmente al fine di garantire una ottimizzazione delle risorse e mantenere le soglie di crescita nei limiti previsti. 3.1 Service Desk, gestione postazioni di lavoro e assistenza on site 3.1.1 Descrizione e requisiti del servizio Gli obiettivi del servizio di Service Desk e di gestione postazioni di lavoro e assistenza on site (help desk) consistono nel: a. erogare un Service Desk (SD), volto a fornire tutte le informazioni necessarie a supportare i dipendenti dell Autorità e gli operatori del Contact Center, guidandoli nell utilizzo delle infrastrutture tecnologiche, dei servizi e delle applicazioni interni ed esterni, mediante la registrazione delle richieste pervenute, l identificazione delle cause dei problemi segnalati e l attivazione di tutte le azioni necessarie alla rimozione delle stesse e al ripristino delle corrette funzionalità operative; è inclusa nel servizio la tracciatura e la registrazione di tutte le azioni svolte per la risoluzione dei problemi e/o l evasione delle richieste pervenute indipendentemente dalle organizzazioni e dalle strutture coinvolte nelle stesse. b. fungere da interfaccia con il servizio di Contact Center dell Autorità per tutte le segnalazioni di tipo operativo provenienti dagli utenti esterni che utilizzano i servizi informatizzati dell Anac e che non possono essere risolte dal Contact center. c. garantire la normale funzionalità delle postazioni di lavoro in dotazione ai dipendenti dell Autorità. Rientrano nella definizione di postazione di lavoro personal computer, computer portatili, telefoni VOIP, fax, stampanti locali e di rete, scanner locali e di rete, apparati di video conferenza, smartphone, cellulari previsti dalle convenzioni Consip ed in generale tutti gli apparati assegnati agli utenti dell Autorità per l esecuzione delle attività lavorative. In Autorità sono presenti circa 350 postazioni di lavoro fisse a cui vanno sommati circa 100 dispositivi portatili tra notebook e smartphone, per un complessivo di circa 450 apparati; d. garantire la normale funzionalità delle componenti software installate sulle suddette postazioni di lavoro. Le principali dotazioni software consistono nel sistema operativo Microsoft Windows con Office, Forefront e Sharepoint, Adobe Acrobat + eventuali software di utilizzo specifico legato alla funzione. e. dare supporto all'attività lavorativa del personale dell Autorità mediante assistenza ed addestramento all uso degli strumenti e delle applicazioni informatiche. Per quanto attiene il Service Desk (SD), tutte le chiamate ad esso dirette devono essere registrate e monitorate fino alla loro completa evasione, indipendentemente dalla struttura o strutture che concorrono 20

alla risoluzione. Si specifica che le suddette chiamate possono attivare diversi servizi di supporto o problem solving che verranno erogati direttamente dalla struttura di Service Desk o da strutture interne ad ANAC o da altri fornitori. L ambito tecnologico ed applicativo supportato dal Service Desk è costituito da tutto il parco applicativo e tecnologico dell Autorità. L Autorità metterà a disposizione del Fornitore la piattaforma utilizzata attualmente per la gestione e tracciatura delle richieste, basata su OTRS. Sono da considerarsi inclusi nel compenso del servizio tutti gli oneri derivanti dalla gestione del personale (ivi inclusi i costi di formazione degli operatori in relazione al contesto specifico, ad es. a fronte di nuove release dei sistemi operativi dei client in uso agli utenti). Le principali attività a cui sono destinate le risorse del servizio di Service Desk, seppur in un elenco non esaustivo, sono: intercettazione e gestione delle segnalazioni da parte di utenti esterni per il tramite del Contact Center di malfunzionamenti dei servizi infrastrutturali o delle applicazioni dell Autorità, gestendo l eventuale escalation verso il team di supporto alla conduzione operativa, verso il servizio di gestione degli applicativi o verso i fornitori delle applicazioni per la risoluzione degli errori relativi al software preesistente; intercettazione e gestione delle richieste di manutenzione evolutiva: qualora l utenza segnali requisiti amministrativi aggiuntivi o opportunità di completare le funzioni esistenti con nuove prassi amministrative o sopraggiunte attività di controllo e verifica. In questo caso il servizio classifica la richiesta come manutenzione evolutiva indicandone il grado di urgenza percepito dall utenza e la sottopone all attenzione del referente dell Autorità; gestione e tracciatura delle richieste di change (rilasci applicativi, modifiche di configurazioni di applicazioni, richieste estrazione dati ecc.); per il personale dell Autorità supporto funzionale e tecnico su utilizzo delle funzionalità applicative e dei servizi infrastrutturali; si richiede ad esempio di aiutare praticamente l utente nell inserimento dei dati tramite le interfacce delle applicazioni ed, inoltre, di guidare gli utenti finali indicando le funzionalità e i processi corretti da impiegare; richieste di reset delle password di accesso; richieste di reset delle sessioni applicative rimaste eventualmente bloccate; richieste di autenticazione/abilitazione agli applicativi e ai servizi infrastrutturali. Per le attività di help desk si richiede al Fornitore di garantire il corretto e completo funzionamento del parco postazioni di lavoro presso le sedi dell Autorità, sia per quanto riguarda l hardware che per il software. Oltre alla risoluzione delle chiamate pervenute tramite il Service Desk, le principali attività previste, seppur in un elenco non esaustivo, di competenza del team di help desk, sono: 21

verifica e controllo costante del buon funzionamento degli apparati (memoria, CPU, occupazione disco, ecc.), sia dal punto di vista fisico, sia dal punto di vista logico utilizzando, oltre al controllo puntuale onsite, anche strumenti di monitoraggio che diano una visione globale della situazione; installazione, spostamento, sostituzione e rimozione di postazioni di lavoro dell Autorità e loro integrazione con l ambiente preesistente presso l Autorità stessa; aggiornamento, secondo le procedure definite dall Autorità, degli item di configurazione relativi alle postazioni di lavoro e creazione di copie di backup per la storicizzazione delle configurazioni precedenti; gestione e messa in produzione dei cambiamenti inerenti il software utilizzato dagli apparati e l eventuale sistema operativo; organizzazione e pianificazione della conduzione delle attività a supporto del processo di mantenimento e dismissione delle postazioni di lavoro; pianificazione, sviluppo e verifica delle procedure atte al salvataggio e all eventuale ripristino dei dati e del sistema operativo sul parco postazioni di lavoro dell Autorità. Le fasi di erogazione del servizio sono: 1) l utente interno o il Contact Center, nel caso di segnalazioni provenienti dall esterno, contatta il SD per la richiesta di supporto ed il SD effettua la presa in carico della segnalazione. Per ciascuna chiamata devono essere registrate e rese disponibili all Amministrazione tutte le informazioni (comprensive di data/ora) relative alla esecuzione delle attività per la risoluzione del problema (history/action), oltre all anagrafica completa del chiamante 2) il SD in caso di segnalazione di problemi fornisce un primo livello di supporto che prevede una problem determination e, ove possibile, una completa evasione della richiesta ed eventuali informazioni su problemi già in corso di risoluzione; se a fronte della problem determination (che in ogni caso sarà di responsabilità del Service Desk) comprende che il supporto necessario oltrepassa gli ambiti di competenza del servizio in questione, la chiamata viene scalata all opportuna unità operativa interna od esterna; in ogni caso il SD ne mantiene la tracciatura e il coordinamento del workflow di risoluzione; l unità operativa fornisce il supporto o ripristina la funzionalità, mantenendo il SD allineato sulle proprie attività, al fine di permettere al Service Desk di monitorare lo stato del problema ed anche di segnalare all utente che ha richiesto assistenza il tempo previsto di risoluzione del problema segnalato; il SD informa gli utenti della soluzione del problema, gli utenti verificano e l intervento viene chiuso. 3) il SD in caso di richiesta di change scala all opportuna unità operativa interna od esterna; in ogni caso il SD ne mantiene la tracciatura e il coordinamento del workflow di esecuzione; l unità operativa fornisce il supporto mantenendo il SD allineato sulle proprie attività, al fine di permettere al Service Desk di monitorare lo stato avanzamento dell attività ed anche di segnalare all utente richiedente il tempo previsto di esecuzione; il SD informa gli utenti dell avvenuto completamento del change e l intervento viene chiuso. Per contattare il Service Desk, il personale dell Autorità ed il Contact center utilizzano il client della piattaforma di trouble ticketing, oppure un apposito indirizzo email, ed in ultima istanza un numero interno dell Autorità o un numero di rete mobile messo a disposizione dal Fornitore. Il Service Desk è tenuto ad 22

aprire un nuovo ticket ogni volta che viene contattato da un utente, ad eccezione di solleciti su chiamate già aperte e telefonate di servizio. Si precisa che a seguito della presa in carico di una richiesta possono comunque essere aperti uno o più ticket. All apertura del Ticket l operatore Service Desk può richiedere all utente ulteriori informazioni per la qualificazione della richiesta da riportare all interno dello strumento di trouble ticketing. Sulla base delle informazioni ricevute dall utente, l operatore di Service Desk acquisisce i dati descrittivi della richiesta in base all oggetto della stessa (es. problema su stampanti, richiesta di supporto per utilizzo applicativo, segnalazione malfunzionamento, richiesta deploy ecc.) e provvede alla sua categorizzazione. La categorizzazione dovrà avvenire secondo i parametri di tipologia e priorità. La tipologia è assegnata secondo criteri d impatto sull utenza, ed è caratterizzata secondo il seguente schema. TIPOLOGIA DESCRIZIONE PRIORITA 1 Incident Malfunzionamento in corso che produce effetti sul servizio erogato - priorità 1 - Servizio critico totalmente non disponibile - priorità 2 - Servizio critico parzialmente non disponibile per l'utenza (con degrado prestazionale e/o indisponibilità di alcune funzioni), - priorità 3 Servizio non critico totalmente non disponibile - priorità 4 - Servizio non critico parzialmente non disponibile per l'utenza, oppure guasti in 2 Anomalia Evento suscettibile di evolvere verso un incident oppure limitazioni funzionali e/o degrado per un gruppo circoscritto di utenti 3 Service Request e Change standard/predefiniti Interventi pre-approvati di carattere ripetitivo opportunamente individuati dall Amministrazione ambienti non di esercizio - priorità 1 Anomalia su servizio critico su elevato numero di utenti - priorità 2 - Anomalia su servizio critico su elevato numero di utenti - priorità 3 Servizio non critico totalmente non disponibile - priorità 4 - Servizio non critico parzialmente non disponibile per l'utenza, oppure guasti in ambienti non di esercizio Le richieste di change devono essere categorizzate secondo cinque classi; al momento della pre-approvazione del change l Amministrazione definirà la classe di appartenenza dello stesso 4 Service Request e Change non standard Interventi di carattere non ripetitivo che necessitano di approvazione puntuale e pianificazione delle attività correlate - Il Service Desk è tenuto ad aggiornare la categorizzazione delle richieste, sia in termini di priorità sia di tipologia, a seguito di cambiamenti di impatto sull utenza o altri fattori significativi; ai fini del calcolo degli SLA la richiesta verrà trattata secondo la nuova categorizzazione a partire dalla sua apertura. L'Amministrazione si riserva di modificare la priorità e la tipologia attribuite dal Service Desk per le singole richieste. Durante il periodo di validità del contratto i criteri di definizione dei livelli di gravità e priorità descritti nel paragrafo potranno essere modificati sulla base di esigenze specifiche dell Amministrazione, senza alcun 23

onere aggiuntivo, (ad esempio utenze, applicazioni o sistemi ad elevato impatto sui processi amministravi), ovvero proposti dal Fornitore all Amministrazione per l approvazione preventiva alla modifica di quanto sopra riportato. In ogni caso è responsabilità del Service Desk il monitoraggio del ticket fino a completamento del servizio richiesto o risoluzione della chiamata. La priorità viene assegnata alla richiesta in base al livello di compromissione del servizio in corso secondo i livelli descritti nella tabella. Tale assegnazione consente di agevolare, in termini di determinazione delle priorità di intervento nel processo di escalation, la presa in carico da parte delle strutture operative che intervengono. La piattaforma in automatico notifica all utente il numero di ticket associato alla segnalazione da utilizzare per sollecito o per richiesta di informazioni sulla chiamata già aperta. Se non è possibile risolvere la richiesta utente al primo livello di Service Desk, il ticket viene smistato alla coda operativa di competenza in base alla tipologia di chiamata e alla qualificazione. Attualmente lo smistamento avviene sulle seguenti linee operative per l assistenza di secondo livello: team di gestione postazione di lavoro e assistenza on site, descritta nel seguito del presente paragrafo; team di conduzione operativa dell infrastruttura ICT e di assistenza tecnico-sistemistica, per problematiche infrastrutturali; team di gestione degli applicativi e delle basi dati per problematiche applicative non riconducibili a bug applicativi; gruppi di competenza interni ed esterni, indicati dall Amministrazione, cui inoltrare richieste specifiche. Per le richieste che si riferiscono a servizi erogati da fornitori terzi dell Amministrazione, il Fornitore dovrà provvedere a trasferire la chiamata al Fornitore responsabile del servizio, rispettando i livelli di servizio definiti al capitolo relativo. Il Fornitore dovrà monitorare lo stato del problema inoltrato al fornitore terzo e registrarne, nel proprio sistema di gestione problemi, la risoluzione. In caso di inoltro ad altri fornitori per la risoluzione di malfunzionamenti segnalati dall utente, che dovessero successivamente, in relazione alla risoluzione effettiva, risultare di competenza del Fornitore, si considererà come data/ora di inizio dell intervento quello relativo alla prima chiamata dell utente al Service Desk. Nel caso di richieste erroneamente classificate ed attribuite a servizio non corretto, tali segnalazioni di ritorno non devono essere riconteggiate nel consuntivo segnalazioni, ma riaperte e assegnate al team corretto. Per tali segnalazioni riaperte sarà utilizzata la data e ora di apertura della richiesta originale per il calcolo dei livelli di servizio. Il processo di chiusura della chiamata dovrà prevedere l aggiornamento sullo strumento di trouble ticketing con la descrizione delle attività eseguite e della soluzione applicata, quindi il setting dello stato della chiamata su closed, solo dopo aver effettuato il call-back verso l utente che ha richiesto l apertura del ticket. 24

Nel caso di solleciti non deve essere aperto un nuovo ticket. Ogni sollecito sarà registrato in campo apposito del ticket a cui si riferisce. L Amministrazione si riserva la facoltà di verificare la reale corrispondenza delle informazioni inserite nel rendiconto attività relativo al servizio con elementi oggettivi a sua disposizione (es. estrazioni da basi dati, segnalazioni dagli utenti, ecc..). Il SD fornisce periodicamente con cadenza mensile all Amministrazione un report sulle attività svolte. La tipologia di informazioni rese disponibili all Amministrazione devono riguardare: Reporting di base: relativo a tutti gli eventi relativi a tutte le attività di richiesta assistenza e gestione sistemi. Rendicontazioni contrattuali di sintesi del servizio e fornitura dati elementari per la verifica delle rendicontazioni inerenti il servizio. Reporting operativo: relativo all operatività del servizio. Classificazione tipologie di dati (tipo richieste, classificazione problemi, ecc.) e dimensioni gestite (tempo, location, ecc.). Include il reporting circa il funzionamento del servizio (es. tempi di risoluzione per tipo problema, durata media chiamate per dimensione). Il Reporting Operativo è orientato a fornire le seguenti informazioni di sintesi all Amministrazione: o distribuzione di chiamate per tipologia di problema o numero di interventi effettuati per gravità (errore bloccante/non bloccante), apparato, funzione del sistema o tipologia e numero di apparati, applicazioni o servizi infrastrutturali impattati dai problemi o asset dei dispositivi di produttività individuale (pc, stampanti, scanner ecc.) assegnati agli utenti. Reporting proattivo : relativo alle richieste di servizio in funzione di miglioramento dell uso del sistema da parte degli utenti (es. analisi richieste how-to) che di evoluzione del sistema stesso (es. richieste nuove/modifica funzioni). Il Reporting Proattivo è orientato a fornire le seguenti informazioni di sintesi all Amministrazione: o uso e usabilità delle funzioni del sistema o distribuzione richieste di assistenza (sia di tipo informativo che problemi) per sito, apparati, sistema, funzione o segnalazioni di necessità di miglioramento della documentazione dei sistemi (include analisi e riepilogo richieste di integrazione/correzione documentazione in uso agli utenti). Al termine di ogni periodo di osservazione (alla fine di ogni mese se non diversamente specificato), dovrà essere trasmesso all Autorità un rapporto consuntivo riportante almeno le seguenti statistiche: numero di richieste di servizio ricevute da parte dal Service Desk nel periodo di osservazione, tempi di risposta, SLA, il tutto diviso per fasce orarie; numero di richieste di servizio prese in carico su ciascuna coda, divise per identificativo di area e criticità con il relativo SLA di presa in carico; numero di richieste di servizio risolte da parte dal Service Desk e relativi SLA, divisi per identificativo di area; 25