P.O.N. RICERCA E COMPETITIVITA' 2007-2013 Avviso n. 84/Ric. del 2 marzo 2012 - Asse II: Sostegno all Innovazione Obiettivo Operativo: Azioni Integrate per lo sviluppo sostenibile e per lo sviluppo della società dell Informazione Smart Cities and Communities and Social Innovation Codice Progetto: PON04a2_A - PRISMA Politecnico di Bari Dipartimento Interateneo di Fisica Michelangelo Merlin Via G. Amendola, 173 70126 Bari Cod. Fisc. 80002170720 P.I. 01086760723 CAPITOLATO TECNICO Introduzione Il presente Capitolato Tecnico disciplina gli aspetti tecnici della fornitura di servizi di consulenza all Università degli Studi di Bari Dipartimento Interateneo di Fisica M. Merlin (di seguito indicata anche come Stazione Appaltante necessari alla realizzazione del Progetto denominato PRISMA (PON4a2_A). Il Progetto PRISMA è stato approvato dal Ministero dell Istruzione, dell Università e della Ricerca (MIUR) con l Avviso Smart Cities and Communities and Social Innovation (D.D 84/Ric. Del 2 marzo 2012). PRISMA è finalizzato alla promozione dell utilizzo di tecnologie ICT da parte di cittadini, Imprese e Pubblica Amministrazione attraverso una piattaforma Cloud open in grado di fornire ambienti virtuali di calcolo, archiviazione e sviluppo applicativo ad alto livello di riuso. La piattaforma sarà conforme a standard di diffusione internazionale e rilasciata con una licenza Open Source che ne consenta l utilizzo gratuito Il testbed del Progetto PRISMA è installato presso il centro di calcolo BC2S dell Istituto Nazionale di Fisica Nucleare e dell Università degli Studi di Bari Aldo Moro, situato presso il Dipartimento Interateneo di Fisica M. Merlin. Le attività di seguito specificate faranno quindi riferimento al testbed del Progetto PRISMA, attraverso il quale vengono fornite le risorse di calcolo e archiviazione dati agli utenti 1
interni ed esterni. 2. Contesto di Riferimento La fornitura richiesta è finalizzata a: -) valutare ilrischio di compliance legato alla erogazione dei servizi del Progetto PRISMA nella PAL; in particolare nel settore Sanità; -) definire le linee guida essenziali per erogare i servizi sanitari con la tecnologia del Cloud Computing; -) assistere il personale tecnico del Progetto PRISMA nella implementazione delle linee guida suddette, come meglio specificato di seguito. 3. Oggetto della Fornitura La fornitura si inserisce nell ambito della attività di Progetto AR5.1 - Studio di servizi IT SaaS e impatto sulla sicurezza e sulle normative per il trattamento dei dati (IaaS e PaaS). La fornitura comprende le attività descritte nei seguenti task. Task 1 Individuazione del quadro giuridico di riferimento a livellonazionale, internazionale e dell Unione europeaattualmente in vigore da osservare in materia di protezione dei dati personali nella gestione e implementazione di servizi sanitari, in particolare per la fornitura di servizi di: referto online cartella clinica online / dossier sanitario elettronico (electronic patient / medical record) fascicolo sanitario elettronico (FSE) (electronic health record o EHR) Report che descrive le norme da osservare in materia di protezione dei dati personali nella gestione e implementazione di servizi sanitari; Linee guida, documentazione e regole generali di utilizzo a supporto Progetto PRISMA per l erogazione di servizi cloud in ambito sanitario, secondo quanto specificato nel Progetto PRISMA. Task 2 Definizione delle Acceptable Use Policy per l utilizzo delle risorse di cloud computing e cloud storage per gli utenti scientifici del testbed del Progetto PRISMA. Report che descrive le norme da osservare per consentire l utilizzo delle risorse di cloud computing e cloud storage per gli utenti scientifici del testbed del Progetto PRISMA; 2
Linee guida, documentazione e regole generali di utilizzo a supporto Progetto PRISMA per consentire l utilizzo delle risorse di cloud computing e cloud storage per gli utenti scientifici del testbed del Progetto PRISMA, secondo quanto specificato nel Progetto PRISMA. Task 3 Definizione delle Acceptable Use Policy per l utilizzo delle risorse di cloud computing e cloud storage per gli utenti commerciali del testbed del Progetto PRISMA. Report che descrive il quadro normativo di riferimento per consentire l utilizzo delle risorse di cloud computing e cloud storage per gli utenti scientifici del testbed del Progetto PRISMA; Linee guida, documentazione e regole generali di utilizzo a supporto Progetto PRISMA. per consentire l utilizzo delle risorse di cloud computing e cloud storage per gli utenti commerciali del testbed del Progetto PRISMA. Task 4 Individuazione del quadro giuridico di riferimento a livello nazionale, internazionale e dell Unione europea (ivi compresi i profili relativi alla legge applicabile ed alla giurisdizione in materia penale e nel quadro dei diritto internazionale privato)che si devono seguire in caso di incidenti di sicurezza che coinvolgano le risorse di cloud computing e storage del testbed del Progetto PRISMA, in particolare relativamente all eventuale uso delle risorse cloud: -) per effettuare attacchi informatici all esterno del testbed del Progetto PRISMA; -) per ospitare,nel testbed del Progetto PRISMA,siti o servizi illegali -) per ospitare,nel testbed del Progetto PRISMA, files illegali Report che descrive il quadro giuridico nazionale, internazionale e dell Unione europeache si deveseguire in caso di incidenti di sicurezza che coinvolgano le risorse di cloud computing e storage del testbed del Progetto PRISMA, in particolare relativamente all uso delle risorse cloud; Linee guida, documentazione e regole generali di utilizzo a supporto Progetto PRISMAper il rispetto delle norme nazionali ed internazionali che si devono seguire in caso di incidenti di sicurezza che coinvolgano le risorse di cloud computing e storage del testbed del Progetto PRISMA, in particolare relativamente all uso delle risorse cloud, secondo quanto specificato nel Progetto PRISMA. Task 5 Definizione delle norme nazionali, internazionali e dell Unione europeache si devono 3
seguire per poter offrire risorse di calcolo e storage proteggendosi e proteggendo i propri dipendenti da eventuali indagini e/o cause legali in seguito ad incidenti di sicurezza che possano coinvolgerele risorse dell ente; Report che descrive le norme che si devono seguire per poter offrire risorse di calcolo e storage proteggendosi e proteggendo i propri dipendenti da eventuali indagini e/o cause legali in seguito ad incidenti di sicurezza condotti sulle risorse dell ente; Linee guida, documentazione e regole generali di utilizzo a supporto della adeguamento delle specifiche tecniche e funzionali del testbed del Progetto PRISMAper il rispetto delle norme nazionali ed internazionali che si devono seguire per poter offrire risorse di calcolo e storage proteggendosi e proteggendo i propri dipendenti da eventuali indagini e/o cause legali in seguito ad incidenti di sicurezza condotti sulle risorse dell ente, in particolare relativamente all uso delle risorse cloud, secondo quanto specificato nel Progetto PRISMA. Le attività di seguito descritte dovranno essere espletate con particolare riferimento alle caratteristiche tecniche e funzionale del testbed del Progetto PRISMA. 4. Durata e requisiti generali di esecuzione della fornitura Il Fornitore dovrà concludere tutte le attività entro il 30/04/2015. Nel caso in cui il termine del Progetto PRISMA venga prorogato a data successiva al 31/05/2015, le attività dovranno proseguire sino ad un mese prima del termine del Progetto, senza aggravio di costi per la Stazione Appaltante. Per consentire il corretto svolgimento delle attività, il Fornitore dovrà avere una sede operativa in Bari. Tutto il lavoro verrà documentato dai deliverbles di progetto, da consegnare bisettimanalmente per l approvazione del responsabile di progetto della Stazione Appaltante. Il fornitore dovrà essere in possesso di documentata esperienza pregressa nella consulenza strutturata sui temi inerenti all identificazione, alla valutazione, alla gestione dei rischi aziendali e, in particolare del cd: rischio di compliance. Il fornitore dovrà essere in grado di disegnare e implementare la funzione di compliance normativa cui affidare il compito di verificare che le procedure interne siano coerenti con l obiettivo di prevenire la violazione di norme di etero regolamentazione (leggi e regolamenti) e di autoregolamentazione (codici di condotta, codici etici) al fine di evitare il rischio di incorrere in sanzioni, perdite finanziarie o danni di reputazione in conseguenza di violazioni di norme legislative, regolamentari o di autoregolamentazione. Le attività relative alla fornitura richiesta dovranno essere svolte da un gruppo di lavoro composto almeno da: un responsabile di progetto con almeno 15 anni di esperienza nella consulenza 4
strutturata sui temi inerenti all identificazione, alla valutazione, alla gestione dei rischi aziendali; un laureato in legge o scienze politiche o economia con almeno 10 anni di esperienza nella compliace normativa e consulenza strutturata un dottore di ricerca in diritto internazionale e dell Unione europea, con un esperienza comprovata di almeno 5 anni, nel campo del diritto internazionale ed europeo delle nuove tecnologie e della compliace normativa. Se richiesto dalla Stazione Appaltante, il Fornitore deve assicurare la propria partecipazione, attraverso almeno un professionista del team di lavoro, alle riunioni: del Comitato Tecnico Scientifico del progetto PRISMA (circa una al mese presso Roma, Bari, Catania o altre sedi nel territorio nazionale), del Responsabile di Progetto o dei Responsabili di Obiettivo Realizzativo con gruppi di ricerca esterni e/o soggetti pubblici e privati, aventi attinenza con l oggetto della fornitura; del gruppo di ricerca di Bari che conduce il progetto PRISMA (circa due al mese presso il Dipartimento Interateneo di Fisica M. Merlin ). Le spese per la partecipazioni a tali eventi sono a carico del Fornitore. 5. Note per la compilazione della relazione tecnica La relazione tecnica dovrà contenere: illustrazione dettagliata e completa delle modalità di lavoro e delle soluzioni proposte per la fornitura richiesta; la relazione dovrà essere redatta in al massimo 30 cartelle (solo una facciata, fogli formato A4 ) escluso i CV in carattere times new roman dimensione 12. Nella suddetta relazione tecnica, pena l esclusione dalla gara, dovrà essere specificato: profilo dell azienda proponente e referenze principali; descrizione dei servizi offerti e approcci proposti in relazione ad ogni singola attività di consulenza prevista nel presente capitolato; struttura e organizzazione del gruppo di lavoro; cronoprogramma della prestazione dei servizi di consulenza e delle eventuali attività correlate. Dovranno essere allegate i CV del personale da impiegare per lo svolgimento delle attività previste. 6. Requisiti di partecipazione e capacità tecnica L azienda proponente dovrà dichiarare, pena esclusione, di: Avere sede operativa in Bari Avere maturato esperienze professionali documentabili, nel settore della 5
consulenza strutturata sui temi inerenti all identificazione, alla valutazione, alla gestione dei rischi aziendali. Disporre di personale con requisiti professionali minimi richiesti nel capitolato tecnico. 6