CAPITOLATO TECNICO
CAPITOLATO TECNICO
GARA A PROCEDURA APERTA AI SENSI DEL D.LGS. 50/2016 E S.M.I PER LA FORNITURA DEI SERVIZI DI POSTA ELETTRONICA CERTIFICATA PER LA PROVINCIA DI SALERNO.
Sommario
2. DEFINIZIONE DELLA FORNITURA 4
2.2 Durata, valore e modello di remunerazione dell’appalto 4
3.1 Quantità di caselle e storage 5
3.2 Servizio di posta elettronica certificata (PEC) 6
3.2.1 Descrizione e requisiti del servizio 6
3.3 Servizio di supporto specialistico 7
4. DESCRIZIONE DEI SERVIZI A CORREDO 8
4.1 Servizio di attivazione iniziale 8
4.4 Servizio di Customer Care e di Help Desk 9
4.4.1 Requisiti dell’Help Desk di primo livello 9
4.4.2 Requisiti dell’Help Desk di secondo livello 10
4.5 SERVIZI DI REPORTISTICA E FATTURAZIONE 11
4.6 Livelli di servizio ed indicatori 11
7. Obblighi derivanti dalla normativa sulla protezione dei dati personali 14
8. Risoluzione del contratto 14
10. Divieto di cessione del contratto 16
12. APPENDICE A - DESCRIZIONE DEL CENTRO SERVIZI 17
1. PREMESSA
Il presente Capitolato Tecnico ha lo scopo di descrivere i contenuti ed i requisiti tecnici cui deve riferirsi il concorrente per la formulazione dell’offerta relativa alla erogazione dei seguenti servizi:
1. Servizio di posta elettronica certificata (PEC);
2. Servizio di supporto specialistico; per la Provincia di Salerno.
Nel seguito si intenderà:
1. per "Provincia", "Amministrazione" o "Amministrazione Contraente" la Provincia di Salerno;
2. Per "Fornitore", "Appaltatore" o "Aggiudicatario" l'operatore economico che eseguirà i servizi del presente capitolato.
1.1 DEFINIZIONE ED ACRONIMI
Definizione / Acronimo | Descrizione |
PEC | Posta Elettronica Certificata |
IGPEC | Indice Pubblico dei Gestori di PEC |
TLS | Transport Layer Security |
HTTP | Hyper Text Transport Protocol |
HTTPS | Secure HyperText Markup Language |
IMAP | Internet Messaging Access Protocol |
NTP | Network Time Protocol |
PDA | Personal Digital Assistant |
POP | Post Office Protocol |
IMAP | Internet Mail Access Protocol |
RFC | Request For Comment |
SMTP | Simple Mail Transfer Protocol |
SAN | Storage Area Network |
CAD | Codice dell’Amministrazione Digitale |
PSTN | Public Switched Telephone Network |
LDAP | Lightweight Directory Access Protocol |
DSN | Delivery Status Notification |
MDN | Message Delivery Notification |
UCE | Unsolicited Commercial Email |
MIME | Multipurpose Internet Mail Extensions |
2. DEFINIZIONE DELLA FORNITURA
La fornitura consiste nell’erogazione del servizio di Posta Elettronica Certificata (PEC) volto a fornire al personale della Provincia di Salerno la possibilità di comunicare, tramite messaggi asincroni (e-mail) creati, spediti e ricevuti in formato elettronico dalle postazioni di lavoro individuali, con:
• entità interne, ovvero altri utenti appartenenti alla stessa Amministrazione;
• entità esterne, ovvero utenti non appartenenti alla stessa Amministrazione, come ad esempio cittadini, imprese, personale di altre Amministrazioni Pubbliche.
Inoltre, la fornitura è volta a:
• consentire agli utenti di accedere al servizio in modo semplice e rapido;
• garantire adeguate misure di sicurezza al fine di evitare usi impropri dei server di posta elettronica;
• disporre di una configurazione delle caselle postali che ne garantisca la protezione e
l’identificazione univoca dell’utilizzatore, mediante accesso controllato con identificativo utente e password;
• predisporre opportune misure di controllo antivirus, antiransomware, antimalware, antispam e antiphishing;
• predisporre opportune misure di supporto e assistenza agli utenti a fronte di segnalazioni di malfunzionamenti.
E', inoltre, richiesto un servizio di supporto specialistico come descritto nel seguito.
2.1 Oggetto
Il presente Capitolato Tecnico descrive i contenuti e i requisiti minimi relativi alla erogazione dei seguenti servizi:
a. Servizio di posta elettronica certificata (PEC);
b. Servizio di supporto specialistico.
2.2 Durata, valore e modello di remunerazione dell’appalto
La durata del Contratto Quadro è fissata in 24 mesi a partire dalla data di avvio del servizio. Per avvio del servizio si intende la completa migrazione di tutte le caselle PEC attualmente in dotazione presso la Provincia dal precedente gestore e di tutti i relativi dati e la piena operatività delle stesse.
La Provincia potrà, senza obbligo alcuno, prorogare la durata del contratto a prezzi e condizioni invariate per ulteriori 12 mesi.
L’appalto è da aggiudicarsi a corpo per un valore complessivo e comprensivo dell’eventuale proroga di euro 4.800
Il modello di remunerazione è a canone con rate semestrali tutte dello stesso importo.
Si precisa che la prima rata potrà essere pagata solo dopo l'avvio del servizio come sopra definito.
2.3 Modello di erogazione
La fornitura prevede un modello di erogazione in full outsourcing presso un Centro Servizi dell’Aggiudicatario. I servizi dovranno essere erogati su infrastruttura/piattaforma di proprietà o, comunque, nella disponibilità del Fornitore dislocata presso il Centro Servizi dello stesso.
Le caratteristiche minimali del Centro servizi sono descritte nell'Appendice A.
Dovrà essere fornita a particolari dipendenti del settore IT della Provincia, previa assegnazione dei corretti privilegi, una funzionalità consolle web based di "self provisioning" tramite la quale gli stessi potranno almeno creare, attivare, bloccare, cancellare, ricercare (con meccanismi di filtraggio delle ricerche), gestire le utenze PEL e PEC, verificarne l'occupazione dei dati delle relative caselle, incrementare o decrementare la dimensione delle singole caselle, resettarne le password e poter definire liste di distribuzione (con la possibilità di limitare l'uso delle stesse a particolare soggetti) con comandi di amministrazione. Tale funzionalità dovrà permettere di creare/attivare/disattivare autonomamente caselle e liste di distribuzione, sia singole (input da web) sia multiple (input da file).
Il Fornitore predisporrà uno specifico progetto di migrazione delle caselle PEL e PEC e di tutti i relativi dati descrivendo dettagliatamente le modalità, le metodologie e i tempi di realizzazione.
3. DESCRIZIONE DEI SERVIZI
3.1 Quantità di caselle e storage:
Per i servizi di PEC dovranno essere mantenuti gli attuali nomi di dominio della Provincia.
La Provincia potrà richiedere un numero massimo di caselle PEC come di seguito specificato:
a. massimo 70 in profilo base
b. massimo 30 in profilo strutturato
c. massimo 5 in profilo massivo
La definizione dei profili viene data nel seguito del documento.
Dovendo essere possibile, dopo la creazione delle caselle PEC, incrementare o decrementare la dimensione delle stesse sono previste le seguenti quantità massime di spazio di storage complessivo:
Per le caselle PEC spazio di storage massimo (somma delle dimensioni delle singole caselle): 1 TB. Indipendentemente dai profili, dovrà essere preveista in fase di migrazione dei dati dal vecchio fornitore al nuovo, che la dimensione delle nuove caselle sia di dimensione almeno pari a quella attribuito dal fornitore uscente.
Indipendentemente dai profili si dovranno obbligatoriamente includere anche i servizi di sicurezza (antiransomware, antispam, antivirus, antiphishing, backup/restore), di assistenza utente (customer care ed help desk), di migrazione e di phase-out.
L'erogazione dei servizi e i sistemi coinvolti dovranno soddisfare pienamente tutti i requisiti indicati dalla normativa applicabile in materia, anche sopravvenuta successivamente all'avvio del servizio, ed in particolare dovrà essere assicurata la conformità a quanto previsto dai seguenti dispositivi di legge e alle loro successive modifiche e/o integrazioni:
• Legge 82/2005 e sue successive integrazioni "Codice dell'Amministrazione Digitale";
• D.l.vo 196/2003 "Testo unico delle disposizioni in materia di privacy"
• Circolare 17 marzo 2017, n. 1/2017 emessa dall'Agenzia per l'Italia Digitale, riguardante "Misure minima di sicurezza ICT per le pubbliche amministrazioni. (Direttiva del Presidente del Consiglio dei Ministri 1° agosto 2015) e pubblicata in Gazzetta Ufficiale Serie Generale n. 79 del 04 marzo 2017
• .
3.2 Servizio di posta elettronica certificata (PEC)
Il servizio consiste nella gestione di tutte le attività necessarie affinché gli utenti dell’Amministrazione Contraente possano comunicare mediante posta elettronica certificata attraverso un’infrastruttura centralizzata, resa disponibile dal Fornitore con garanzie ed opponibilità a terzi in merito all’invio di un messaggio ed alla effettiva consegna dello stesso alla casella di posta certificata del destinatario in accordo alla normativa sulla posta elettronica certificata.
Il servizio consentirà ai dipendenti della Provincia di comunicare, tramite messaggi asincroni, comprendenti eventuali allegati (creati, spediti e ricevuti in formato elettronico dalle postazioni di lavoro individuali) sia con l’interno che con l’esterno dell’Amministrazione.
Il servizio sarà differenziato per modalità di accesso, capacità e volumi di traffico, prevedendo le seguenti tipologie di caselle:
1. “base”, utilizzate da un singolo utente;
2. “strutturata”, utilizzate da più utenti e/o mediate da applicativi a traffico non massivo;
3.2.1 Descrizione e requisiti del servizio
Il servizio dovrà rispondere ai seguenti requisiti minimi previsti dall’attuale normativa di riferimento:
1. DPR 11 febbraio 2005 n.68 “Regolamento concernente disposizioni per l’utilizzo della posta elettronica certificata”;
2. D.Lgs. 7 marzo 2005 n. 82 “Codice dell’Amministrazione Digitale”;
3. DM 2 novembre 2005 del Ministro per l’Innovazione e le Tecnologie “Regole tecniche per formazione, la trasmissione, e la validazione, anche temporale, della posta elettronica certificata”.
Il Fornitore, inoltre, nel corso della durata contrattuale e senza oneri aggiuntivi, dovrà impegnarsi ad adottare le misure necessarie per adeguare le caratteristiche del servizio a modifiche sopravvenute (ad esempio: aggiornamento chiavi crittografiche; messa a disposizione della ricevuta di consegna anche al destinatario oltre che al mittente; accesso ai log anche da parte del destinatario; e-delivery; ecc.) per effetto di aggiornamenti normativi ivi inclusa l’adozione da parte di AGID (Agenzia per l’Italia digitale), nell’esercizio delle sue funzioni di vigilanza e controllo sull’attività dei gestori di posta elettronica certificata, di apposite linee guida, circolari e simili ed entro i tempi previsti dalle normative.
Il servizio dovrà obbligatoriamente consentire agli utenti l’accesso in:
• modalità client, mediante applicazioni client di posta elettronica generiche che utilizzino protocolli conformi agli standard riportati nelle regole tecniche della PEC anche per i dispositivi mobili;
• modalità web, mediante browser web che utilizzino protocolli conformi agli standard riportati nelle regole tecniche della PEC.
Inoltre le caselle dovranno possedere le seguenti caratteristiche tecniche minime:
1. base:
a. dimensione di default iniziale delle nuove caselle (all’atto della creazione) pari a 3 GigaByte (GB), fermo restando il requisito di preservare la dimensione delle caselle migrate dal precedente operatore di cui al paragrafo 3.1;
b. accesso monoutente;
c. numero massimo di messaggi giornalieri pari almeno a 500;
d. Invio dello stesso messaggio fino ad almeno 1000 destinatari;
e. numero massimo di invii al minuto pari ad almeno 50;
2. strutturata:
a. dimensione di default iniziale delle nuove caselle (all’atto della creazione) pari a 6 GigaByte (GB), fermo restando il requisito di preservare la dimensione delle caselle migrate dal precedente operatore di cui al paragrafo 3.1;
b. accesso multiutente profilato, ossia con credenziali di accesso personali, e/o mediato da un'applicazione (esclusa dalla fornitura);
c. numero massimo di messaggi giornalieri pari almeno a 1000;
d. Invio dello stesso messaggio fino ad almeno 1000 destinatari;
e. numero massimo di invii al minuto pari ad almeno 50;
f. dimensione massima dei messaggi almeno pari ad almeno 50 MB;
g. Possibilità di recupero autonomo della password con ricezione della stessa attraverso SMS o email su posta elettronica ordinaria;
3. massiva :
a. dimensione di default iniziale delle nuove caselle (all’atto della creazione) pari a 6 GigaByte (GB), fermo restando il requisito di preservare la dimensione delle caselle migrate dal precedente operatore di cui al paragrafo 3.1;
b. accesso mediato da un’applicazione;
c. numero massimo messaggi al giorno almeno pari a 5.000;
d. numero massimo di invii al minuto almeno pari a 250;
e. dimensione massima dei messaggi almeno pari a 50 MB;
f. Invio dello stesso messaggio fino ad almeno 1000 destinatari;
g. Possibilità di recupero autonomo della password con ricezione della stessa attraverso SMS o email su posta elettronica ordinaria;
Il servizio di PEC dovrà obbligatoriamente prevedere anche servizi di sicurezza previsti dalla normativa vigente e un servizio di antispam.
Il servizio dovrà obbligatoriamente permettere, su richiesta della Provincia, la possibilità di inibire il colloquio con caselle di posta elettronica non PEC.
Per tutte le tipologie di caselle è compreso il servizio di archiviazione automatica dei messaggi inviati e ricevuti dalla propria casella.
3.3 Servizio di supporto specialistico
Il Fornitore dovrà prevedere la disponibilità almeno 3 giornate sistemistiche per supporto specialistico su richiesta della Provincia senza costi aggiuntivi per la Provincia. Il personale dovrà essere dotato delle adeguate certificazioni.
4. DESCRIZIONE DEI SERVIZI A CORREDO
I servizi di attivazione iniziale, di migrazione, di phase-out e di help desk non prevedono costi aggiuntivi per la Provincia.
4.1 Servizio di attivazione iniziale
Il servizio consiste in tutte quelle attività, strumenti e procedure da mettere in atto per consentire agli utenti di fruire del nuovo servizio di posta elettronica certificata nel caso in cui non sia necessaria la migrazione dei dati.
Dovrà essere possibile per il personale autorizzato dalla Provincia, anche tramite la console web based, di creare nuove utenze di PEL e PEC ed attivarle in al più un giorno lavorativo dalla richiesta di creazione.
4.2 Servizio di migrazione
Il servizio consiste in tutte quelle attività, strumenti e procedure da mettere in atto per consentire agli utenti dell’Amministrazione di fruire del nuovo servizio di posta elettronica certificata in continuità con il preesistente, ossia senza perdita di dati.
La migrazione delle caselle e di tutti i dati sarà a carico del Fornitore, che dovrà mettere a disposizione tutte le procedure automatizzate necessarie per importare caselle e dati, senza azioni da farsi da parte degli utenti e ridurre al minimo gli eventuali disservizi. Tali procedure saranno sottoposte comunque a verifica e ad approvazione da parte della Provincia.
L’attività di migrazione dovrà essere trasparente all’utente finale, il che significa che eventuali brevi e inevitabili disservizi dovranno comunque ricadere fuori dall’orario lavorativo. Si precisa che tutte le attività
necessarie alla migrazione dall’attuale servizio al nuovo sono a carico del Fornitore subentrante (sviluppo di procedure, installazione di eventuali software aggiuntivi necessari per fruire delle funzionalità richieste, previa certificazione nei laboratori dell’Amministrazione, sulle postazioni di lavoro, predisposizione di manuali utente, ecc...).
Il piano di migrazione, che sarà approvato dall’Amministrazione, non potrà avere una durata maggiore di 1 mese solare a partire dalla stipula del contratto o dell'invio del corrispondente ordine in MEPA (Mercato Elettronico della Pubblica Amministrazione) o della richiesta di avvio anticipato del servizio.
Il mancato rispetto dei tempi presenti nel piano di migrazione approvato dall’Amministrazione comporterà l’applicazione delle penali corrispondenti.
4.3 Servizio di phase-out
Il servizio consiste in tutte quelle attività, strumenti e procedure che il Fornitore dovrà mettere in atto a fine contratto per consentire all’Amministrazione e al Fornitore subentrante di poter erogare il servizio ed effettuare la migrazione delle caselle di posta e dei relativi dati. Il Fornitore dovrà consegnare tutta la documentazione aggiornata alla data ed effettuare il passaggio di know-how all’Amministrazione e al Fornitore subentrante.
Il Fornitore dovrà permettere con procedure automatizzate, concordate con l'Amministrazione ed il Fornitore subentrante, il passaggio delle caselle e dei loro contenuti, incluso l'archiving, e di tutti i relativi dati (basi dati, contenuto delle caselle e dei file system, ecc.) verso il Fornitore subentrante.
Tutti i dati dovranno essere consegnati in un formato standard da concordare con l’Amministrazione e il Fornitore subentrante.
In ogni caso il Fornitore dovrà rendersi disponibile, senza oneri aggiuntivi, ad adottare la soluzione più performante per la migrazione dei dati delle caselle di posta elettronica certificata sull’infrastruttura del Fornitore subentrante o dell’Amministrazione.
La migrazione non dovrà richiedere azione alcuna da parte degli utenti delle caselle.
4.4 Servizio di Customer Care e di Help Desk
Il Fornitore dovrà rendere disponibile un servizio di “Customer Care” (Help Desk)
orientato a risolvere le problematiche segnalate dall' Amministrazione per i servizi oggetto della fornitura. Il Fornitore dovrà altresì rendere noto entro 10 (dieci) giorni a decorrere dalla data di stipula del contratto il numero telefonico ed il numero di fax dedicati al servizio di “Customer Care”, pena l’applicazione delle penali corrispondenti.
La Provincia deciderà se il Customer Care avrà contatti direttamente con gli utenti finali o se il contatto sarà mediato dal servizio IT della Provincia stessa.
Il servizio di Help Desk dovrà essere strutturato su due livelli logici:
1. Help Desk di primo livello:
a) riceve e registra le chiamate degli utenti, classifica la richiesta e se possibile fornisce direttamente una soluzione, altrimenti smista la richiesta al secondo livello;
b) esegue il reset delle password delle utenze di accesso alle caselle;
c) esegue le richieste di “change” riguardanti modifiche sull’anagrafica degli utenti presenti sulla rubrica, sugli attributi delle caselle e sulle liste di distribuzione;
d) documenta i livelli di servizio dell’intero servizio;
2. Help Desk di secondo livello:
a) affronta i problemi non risolti dal primo livello, assegnando una priorità e smistandoli secondo la tipologia;
b) esegue le richieste di “change” riguardanti la creazione, cancellazione, blocco delle caselle e delle liste di distribuzione;
c) coinvolge, se necessario, l’assistenza on-site di fornitori terzi ovvero le strutture informatiche dell’Amministrazione;
d) documenta i livelli di servizio del solo secondo livello.
4.4.1 Requisiti dell’Help Desk di primo livello
L’Help Desk di primo livello dovrà provvedere a:
1. assicurare la comunicazione tempestiva ed efficace con l’utenza, ovvero gli utenti finali assegnatari delle caselle di PEC;
2. provvedere all’acquisizione e alla registrazione delle richieste di assistenza;
3. provvedere alla comunicazione all’utente dell’identificativo univoco della richiesta di assistenza;
4. risolvere i problemi più ricorrenti, di non elevata complessità;
5. smistare al secondo livello la risoluzione dei problemi non risolvibili al primo livello;
6. controllare i processi di risoluzione attivati e verificarne gli esiti;
7. informare l’utente sullo stato dell’intervento;
8. analizzare le statistiche sugli interventi, al fine di identificare i fabbisogni e definire azioni di prevenzione dei problemi.
Il servizio di Help Desk dovrà essere attivabile in modalità multi-canale: tramite telefono (chiamando un contact center), fax, e-mail e un portale web messo a disposizione dal Concorrente.
La predisposizione di tali strumenti è a carico del Fornitore, senza alcun onere per la Provincia. L’assistenza agli utenti dovrà essere fornita in lingua italiana.
Il Fornitore dovrà rendere disponibile la ricezione di segnalazioni relative a malfunzionamenti in maniera continuativa (24x7). Nel normale orario di lavoro le segnalazioni dovranno essere prese in carico da operatori tramite i canali suddetti con i livelli di servizio indicati successivamente.
Al di fuori di tale periodo il Concorrente dovrà garantire la ricezione delle segnalazioni almeno attraverso il canale “e-mail”, “fax” e web.
Il Fornitore dovrà disporre di un sistema di Trouble Ticketing (TT) per:
a) la gestione dei TT emessi dallo stesso Fornitore;
b) la gestione dei TT aperti dalla Provincia;
c) l’ apertura di TT verso il secondo livello;
d) la riassegnazione di TT aperti in situazioni nelle quali l’ambito di competenza non sia individuato.
Il Fornitore dovrà storicizzare le informazioni relative ai TT in modo da consentire l’analisi successiva sino al livello del singolo disservizio della singola Amministrazione.
La registrazione delle segnalazioni di malfunzionamento dovrà avvenire attraverso l’utilizzo del sistema di TT, che dovrà essere in grado di tracciare almeno le informazioni minime seguenti:
• identificazione del TT;
• modalità di ricezione (telefono, internet, etc.);
• data ed orario di apertura;
• sogg etto che ha richiesto l’intervento;
• elenco e numero di elementi complessivamente coinvolti dal malfunzionamento;
• descrizione del problema;
• livello di severità del malfunzionamento;
• riferimenti operativi coinvolti nel caso specifico;
• smistamento al secondo livello qualora non sia possibile fornire la soluzione;
• diagnosi del problema;
• descrizione della soluzione;
• data ed orario di chiusura.
4.4.2 Requisiti dell’Help Desk di secondo livello
L’Help Desk di secondo livello dovrà provvedere a:
1. prendere in carico e tracciare le richieste di informazioni e le segnalazioni di guasti e malfunzionamenti, provvedendo alla loro risoluzione e/o attivazione di terze parti per problemi che ricadano oltre l’ambito di competenza;
2. provvedere all’esecuzione delle richieste di “change” riguardanti la creazione,cancellazione, blocco delle caselle e delle liste di distribuzione;
3. notificare il ripristino delle funzionalità all’help desk di primo livello.
4.5 SERVIZI DI REPORTISTICA E FATTURAZIONE
Il Fornitore dovrà obbligatoriamente disporre di un sistema di reportistica e produrre report statistici mensili contenenti almeno le informazioni riportate nelle successive tabelle.
Numero di caselle di posta elettronica attive per singolo dominio di posta e per tipologia Occupazione in termini di MBytes delle singole caselle di posta elettronica |
Numero messaggi di posta elettronica in arrivo dall'esterno del dominio di posta e per singola casella di posta |
Numero messaggi di posta elettronica inviati all'esterno del singolo dominio di posta e per singola casella di posta |
Numero messaggi di posta elettronica interni al dominio di posta e per singola casella di posta |
Traffico in termini di MByte totali inviati all'esterno del singolo dominio di posta e distinto per tipologia di accesso (web, pop, imap) |
Traffico in termini di MByte totali ricevuti dall'esterno del singolo dominio di posta e distinto per tipologia di accesso (web, pop, imap) |
Traffico in termini di MByte totali sviluppati internamente al singolo dominio di posta e distinto per tipologia di accesso (web, pop, imap) |
Numero di virus intercettati |
Numero e Liste delle estensioni dei file che trasportano i virus identificati Numero di e-mail di spam intercettate |
Ultimo accesso per singola casella di posta |
Numero totale di accessi via web per singola casella di posta |
Numero degli accessi al servizio distinto per tipologia (web, pop, imap) per singola casella di posta Numero di liste di distribuzione definite per singolo dominio |
Numero di ticket problem/change con il relativo stato |
Numero complessivo dei messaggi inviati dalle caselle di PEC istituzionali |
Numero complessivo dei messaggi di posta elettronica inviata con gli allegati dalle caselle di PEC istituzionali |
Inoltre dovrà essere fornito mensilmente un report di traffico contenente i seguenti dati aggiuntivi per singola casella:
• Numero di messaggi in arrivo nel mese di riferimento
• Numero di messaggi inviati nel mese di riferimento
• Percentuale di occupazione della casella nel mese di riferimento
• Lista degli utenti abilitati all’accesso di caselle istituzionali o di servizio, con indicazione del responsabile della casella
La reportistica relativa al traffico e agli indicatori statistici mensili sopra indicata dovrà essere inviata alla Provincia entro il 10 del mese successivo al mese di riferimento: in caso di inadempienza si applicheranno le penali di cui al presente Capitolato Tecnico.
4.6 Livelli di servizio ed indicatori
Gli orari e le tempistiche da rispettare sono i seguenti:
Erogazione del servizio e monitoraggio del sistema di posta | H24 x 365 GG |
Servizio presidiato (*) | Lun-Ven dalle ore 9:00 alle ore 18:00 escluso festivi |
Servizio non presidiato (*) | Nel restante intervallo orario, compreso i festivi, in reperibilità a fronte di malfunzionamenti dei sistemi di posta |
Help desk | Lun-Ven dalle ore 8:00 alle ore 17:00 escluso festivi Sabato dalle ore 8:00 alle ore 14:00 escluso festivi |
(*) Per servizio presidiato si intende che presso il Centro Servizi, durante la fascia oraria indicata, sono presenti le risorse sistemistiche del Fornitore che gestiscono l'infrastruttura sottesa ai servizi e che sono in grado di intervenire tempestivamente a fronte di guasti ai sistemi.
I livelli di servizio da includere con i rispettivi indicatori e le relative penali, da applicarsi a facoltà della Provincia, sono descritti di seguito. Per la verifica del rispetto degli indicatori di qualità contrattuali il Fornitore si impegna a predisporre e installare, senza alcun onere aggiuntivo per la Provincia, idonei strumenti di misura hardware e/o software concordati con la Provincia e, ove non possibile, a effettuare rilevazioni manuali dei parametri da misurare.
Per Importo del Servizio (IS), nelle tabelle seguenti, si intende l'importo alla base del calcolo delle penali, pari all'ammontare dei canoni dovuti per il mese di riferimento.
Per il servizio di posta elettronica certificata si applicano i livelli di servizio riportati nelle regole tecniche della PEC (DM 2 novembre 2005 - Articolo 12 - Livelli di servizio) e sintetizzati nella seguente tabella.
Servizi PEC
Codice Indicatore | Indicatore | Metrica | Valore di soglia | Periodo di osservazione | Penale, da applicarsi a facoltà della Provincia |
DIS5 | Disponibilità complessiva del servizio di PEC (comprensivo delle componenti di sicurezza) | Misurazione della disponibilità effettiva del servizio di PEC rispetto a quella prevista nel periodo di riferimento | DIS4 > 99,8% | 1 quadrimestre | 2% dell'IS di PEL per ogni 0,1% di scostamento in diminuzione con un importo minimo di € |
ISS | Indisponibilità del servizio di PEC (comprensivo delle componenti di sicurezza) | Misurazione in percentuale della durata temporale del singolo evento di indisponibilità del servizio di PEC rispetto alla indisponibilità totale tollerata nel periodo di riferimento | ISS <= 50% | 1 quadrimestre | 2% dell'IS di PEL per ogni 0,1% di scostamento in aumento con un importo minimo di € 300,00. |
PER IL SERVIZIO DI CUSTOMER CARE E DI HELP DESK
Per LA risoluzione dei ticket sollevati dalla provincia il Fornitore assume l’obbligo di iniziare l’attività e di portare a soluzione l’intervento nei tempi sotto riportati, determinati dal codice di urgenza assegnato dalla Provincia.
Codice di urgenza | Determinazione dell’urgenza | Tempi di presa in carico | Tempi di risoluzione del problema segnalato | Penale, da applicarsi a facoltà della Provincia |
Critica | Anomalia che causa il blocco totale del servizio ovvero di funzioni che pregiudicano l’uso del sistema nel suo complesso e/o l’integrità dei dati. E’ considerata critica anche un’anomalia che impedisca il corretto funzionamento di particolari caselle istituzionali (es. PEC del protocollo) | 30 minuti | Entro le 3 ore successive alla richiesta di intervento | Euro 100 per ogni ora di ritardo |
Alta | Anomalia che blocca l’operatività della singola funzione almeno ad una categoria di utenti | 2 ore | Entro la giornata lavorativa successiva alla richiesta di intervento | Euro 100 per ogni giorno di ritardo |
Media | Anomalia che pregiudica la funzione ma non l’integrità dei dati: la funzione può essere utilizzata ma risulta penalizzata dall’anomalia | Entro l'inizio della giornata lavorativa successiva alla richiesta di intervento | Entro due giornate lavorative successive alla richiesta di intervento. | Euro 50 per ogni giorno di ritardo |
Xxxxx | Xxxxxxxx che non pregiudica né la funzione né l’integrità dei dati. L’anomalia può essere superata dall’utente usando funzioni alternative | Entro la giornata lavorativa successiva alla richiesta di intervento | Entro 3 giornate lavorative successive alla richiesta di intervento. | Euro 10 per ogni giorno di ritardo |
L’applicazione delle penali sarà comunicata per iscritto al fornitore il quale avrà 15 giorni di tempo dalla ricezione della comunicazione per presentare le proprie osservazioni.
La Provincia incasserà le eventuali penali detraendole dalle spettanze delle fatture non ancora liquidate.
In caso di ritardo della migrazione dei servizi rispetto al piano di migrazione presentato dal Fornitore la Provincia si riserva la facoltà di applicare una penale di euro 100 per ogni giorno di ritardo
5. Responsabile Operativo
Al fine di seguire, controllare e coordinare le attività di realizzazione del servizio, prima dell'inizio delle attività, il legale rappresentante del fornitore nominerà, dandone comunicazione scritta alla Stazione Appaltante, un responsabile operativo, il quale avrà specifico mandato di rappresentare ed impegnare il fornitore per tutte le attività inerenti lo svolgimento del servizio.
6. Danni e responsabilità
Il Fornitore solleva la Provincia da ogni eventuale responsabilità penale e civile verso terzi comunque connessa alla realizzazione ed all’esercizio delle attività di servizio affidate. Nessun ulteriore onere potrà dunque derivare a carico della Provincia, oltre al pagamento del corrispettivo contrattuale.
Il Fornitore è responsabile dei danni derivanti e/o connessi all’esecuzione del servizio.
Il Fornitore è responsabile dei danni di qualsiasi natura, materiali o immateriali, diretti o indiretti, che dovessero essere causati da parte dei propri dipendenti, consulenti o collaboratori nonché da parte dei dipendenti, consulenti o collaboratori di questi ultimi, alla Committente ed al suo personale, ai suoi beni mobili e immobili, anche condotti in locazione, nonché ai terzi, ivi incluso il caso in cui tali danni derivino da informazioni inesatte o false colposamente fornite dal Fornitore nell’ambito dell’erogazione dei servizi di cui all’oggetto
7. Obblighi derivanti dalla normativa sulla protezione dei dati personali
Il Fornitore dovrà garantire che il trattamento dei dati per conto dell’Amministrazione sono prestati in piena conformità a quanto previsto dalla normativa.
Il Fornitore aderendo al Contratto relativo al presente capitolato è individuato come “Responsabile del
Trattamento dei dati” ai sensi del REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO (GDPR) e del d.lgs. 196/2003.
I requisiti del presente Capitolato ed, in particolare, quelli descritti nell'Appendice A sul Centro servizi sono da ritenersi anche istruzioni impartite dal Titolare al Responsabile del Trattamento ai sensi dell'articolo 29 del d.lgs. 196/2003 e s.m.i. e dell'articolo 28 e successivi del GDPR.
Il Fornitore ha l’obbligo di mantenere riservati i dati e le informazioni di cui venga a conoscenza per l’esecuzione del contratto, di non divulgarli in alcun modo, né di farne oggetto di comunicazioni e
trasmissioni senza l’espressa autorizzazione dell’Amministrazione.
L'appaltatore risponde nei confronti della Provincia di eventuali violazioni dell’obbligo di riservatezza commesse da propri dipendenti.
8. Risoluzione del contratto
In caso di inadempimento del Fornitore anche a uno solo degli obblighi assunti con il Contratto che si protragga oltre il termine, non inferiore a 15 (quindici) giorni, che verrà assegnato dalla Provincia per porre fine all’inadempimento, la stessa Provincia ha la facoltà di considerare risolto il Contratto e di ritenere
definitivamente la garanzia, ove essa non sia stata ancora restituita, e/o di applicare una penale equivalente, nonché di procedere nei confronti del Fornitore per il risarcimento del danno.
Si conviene invece che l’ Amministrazione potrà risolvere il contratto di diritto ai sensi dell’art. 1456 cod. civ., previa contestazione degli addebiti al Fornitore e assegnazione di un termine non inferiore a quindici giorni per la presentazione delle controdeduzioni nei seguenti casi:
a) Fatto salvo quanto previsto dall’art. 71 comma 3 del D.P.R. 445/00, qualora fosse accertata la non veridicità del contenuto delle dichiarazioni sostitutive di certificazioni ed atti di notorietà rilasciate dal Fornitore ai sensi e per gli effetti degli artt. 38, 46 e 47 del D.P.R. 445/00, il contratto si intenderà risolto di diritto anche relativamente alle prestazioni già eseguite o in corso di esecuzione;
b) Quando le penalità raggiungono l’importo del 10% del valore contrattuale;
c) Qualora gli accertamenti antimafia presso la Prefettura competente risultassero positivi;
d) Mancata prestazione della garanzia, ove prevista, per responsabilità civile per danni causati a persone e a cose;
e) Mancato adempimento delle prestazioni contrattuali a perfetta regola d’arte, nel rispetto delle norme vigenti e secondo le condizioni, le modalità, i termini e le prescrizioni contenute nel presente Capitolato;
f) Mancata reintegrazione della garanzia eventualmente escussa entro il termine di 10 (dieci) giorni dal ricevimento della relativa richiesta da parte dell’Amministrazione;
g) Xxxxxx giudiziarie intentate da terzi contro l’Amministrazione per fatti o atti compiuti dal Fornitore nell’esecuzione del servizio;
h) Negli altri casi previsti dal presente capitolato.
Per quanto non previsto e regolamentato, si applicheranno le disposizioni di cui agli articoli 1453 e seguenti del codice Civile.
9. Recesso
L’Amministrazione ha diritto di recedere unilateralmente dal Contratto, in tutto o in parte, in qualsiasi momento, con un preavviso di almeno n. 30 (trenta) giorni solari, da comunicarsi al Fornitore con lettera raccomandata A/R o con Posta Elettronica Certificata nei casi di:
a) giusta causa;
b) reiterati inadempimenti del Fornitore, anche se non gravi;
Si conviene che per giusta causa si intende, a titolo meramente esemplificativo e non esaustivo:
a) qualora sia stato depositato contro il Fornitore un ricorso ai sensi della legge fallimentare o di altra legge applicabile in materia di procedure concorsuali, che proponga lo scioglimento, la liquidazione, la composizione amichevole, la ristrutturazione dell’indebitamento o il concordato con i creditori, ovvero nel caso in cui venga designato un liquidatore, curatore, custode o soggetto avente simili funzioni, il quale entri in possesso dei beni o venga incaricato della gestione degli affari del Fornitore;
b) qualora il Fornitore perda i requisiti minimi richiesti;
c) qualora taluno dei componenti l’organo di amministrazione o l’amministratore delegato o il direttore generale o il responsabile tecnico del Fornitore siano condannati, con sentenza passata in giudicato, per delitti contro la Pubblica Amministrazione, l’ordine pubblico, la fede pubblica o il patrimonio, ovvero siano assoggettati alle misure previste dalla normativa antimafia;
d) ogni altra fattispecie che faccia venire meno il rapporto di fiducia sottostante il presente Xxxxxxxxx. Dalla data di efficacia del recesso, il Fornitore dovrà cessare tutte le prestazioni contrattuali, assicurando che tale cessazione non comporti danno alcuno alla Committente.
In caso di recesso dell’Amministrazione il Fornitore ha diritto al pagamento delle prestazioni eseguite, purché correttamente ed a regola d’arte, secondo il corrispettivo e le condizioni contrattuali rinunciando espressamente, ora per allora, a qualsiasi ulteriore eventuale pretesa anche di natura risarcitoria ed a ogni ulteriore compenso o indennizzo e/o rimborso delle spese, anche in deroga a quanto previsto dall’articolo 1671 cod. civ.
10. Divieto di cessione del contratto
E’ fatto assoluto divieto al Fornitore di cedere, a qualsiasi titolo, il contratto a pena di nullità della cessione medesima.
La cessione di azienda e gli atti di trasformazione, fusione e scissione relativi al Fornitore non hanno singolarmente effetto nei confronti della Stazione Appaltante contraente fino a che il cessionario, ovvero il soggetto risultante dall’avvenuta trasformazione, fusione o scissione, non abbia comunicato alla Stazione Appaltante l’avvenuta cessione, e ferma restando la responsabilità solidale della società cedente o scissa. Nei novanta giorni successivi a tale comunicazione la Stazione Appaltante può opporsi al subentro del nuovo soggetto nella titolarità del contratto, con effetti risolutivi sulla situazione in essere, laddove ritenga che siano venuti meno i requisiti di carattere tecnico e professionale e i requisiti di carattere economico e
finanziario presenti in capo all’originaria concessionaria.
In caso di inadempimento da parte del Fornitore degli obblighi di cui al presente paragrafo, la Stazione Appaltante, fermo restando il diritto al risarcimento del danno, ha facoltà di dichiarare risolto il contratto.
11. Controversie
In caso di contestazioni o di impossibilità di accordi tra le parti, il foro competente è quello di Salerno.
12. APPENDICE A - DESCRIZIONE DEL CENTRO SERVIZI
Nella presente Appendice vengono descritti alcuni requisiti minimali per il Centro servizi. Si precisa che essa non è esaustiva ed il Fornitore dovrà, comunque, proteggere i dati con tutte le misure necessarie in accordo alla normativa anche sopravvenuta durante l'esecuzione del contratto.
In particolare, la progettazione, la realizzazione e la gestione dei servizi dovranno obbligatoriamente essere tali da soddisfare criteri di alta affidabilità, disponibilità e resilienza mediante soluzioni ridondate (a titolo di esempio mirroring, clustering, load balancing) su tutte le sue componenti essenziali dell'infrastruttura.
Quest'ultima dovrà obbligatoriamente essere attiva H24 per 365 giorni l'anno: la gestione e la manutenzione ordinaria della stessa (per esempio installazioni di patch di sicurezza, service pack, riorganizzazione di dB, ecc.) non dovranno produrre disservizi all'utente. Eventuali fermi programmati per manutenzione straordinaria dovranno essere concordati e autorizzati dall'Amministrazione.
Il Fornitore dovrà garantire, per l'intera durata contrattuale, l'evoluzione tecnologica dell'infrastruttura HW e della piattaforma SW (per esempio manutenzioni correttive, evolutive, innalzamenti di versioni, ecc.) senza oneri aggiuntivi per l'Amministrazione Contraente né per l'Amministrazione Aggiudicatrice.
Tale evoluzione tecnologica dovrà essere garantita almeno nelle seguenti ipotesi:
• quando il produttore dichiara la fine del supporto manutentivo del/i componente/i HW della struttura in esercizio
• quando l'implementazione dell'evoluzione della piattaforma SW necessita di un cambiamento del/i componente/i HW dell'infrastruttura in esercizio.
Gli strumenti HW/SW ed eventuali licenze client necessarie all'erogazione e alla fruibilità dei servizi saranno a carico del Fornitore, senza oneri aggiuntivi per l'Amministrazione.
I prodotti SW proposti del Fornitore dovranno essere all'ultimo livello di versione disponibile al momento della partecipazione alla presente procedura di gara.
Tutti gli adeguamenti tecnologici dovranno essere tempestivamente comunicati all'Amministrazione secondo modalità che verranno concordate con quest'ultima.
Il Fornitore dovrà dare adeguata comunicazione all'Amministrazione Contraente nei casi di qualunque tipo di aggiornamento, come per esempio quello relativo ai certificati.
Il Centro Servizi da cui il Fornitore erogherà i servizi di cui al presente Capitolato potrà essere dislocato su una o più sedi operative e dovrà obbligatoriamente essere connesso, in alta affidabilità, a carico del Fornitore stesso alla rete internet.
Il Centro Servizi sarà tale da garantire tutti i livelli di sicurezza previsti dalle normative vigenti, e dalle regole tecniche riportate nel presente Capitolato Tecnico, in particolar modo:
• la presenza di un ambiente sicuro e protetto (sicurezza fisica);
• garanzia di riservatezza, integrità e disponibilità delle informazioni trattate (sicurezza logica);
• l'impiego di mezzi idonei e l'adozione di processi e procedure per la gestione sicura delle informazioni (sicurezza organizzativa)
L'erogazione dei servizi ed i sistemi coinvolti dovranno soddisfare pienamente le seguenti disposizioni di legge:
• Legge 82/2005 e sue successive integrazioni "Codice dell'amministrazione digitale";
• D.l.vo 196/2003 "Testo unico delle disposizioni in materia di privacy" e s.m.i.,
• Regolamento Europeo sulla Protezione dei dati (GDPR);
Inoltre, si richiede che l'Aggiudicatario mantenga per tutta la durata del contratto la certificazione ISO/IEC 27001, per la quota parte direttamente legata ai servizi oggetto del presente Capitolato Tecnico.
Il Fornitore dovrà provvedere affinché il Centro Servizi sia un ambiente sicuro e protetto, caratterizzato da:
• un sistema di controllo degli accessi, ad accesso singolo, mediante smartcard personale o dispositivo alternativo al fine di garantire l'accesso ai locali relativi a tale ambiente esclusivamente
a personale autorizzato;
• sorveglianza 24 ore al giorno, per tutti i giorni dell'anno.
I server dislocati presso il Centro Servizi dovranno prevedere dei meccanismi di sicurezza fisica che impediscano il furto locale di dati (es. blocco di tutte le periferiche rimovibili scrivibili).
Il Fornitore dovrà assicurare apparati di continuità dell'Energia Elettrica e utilizzare un sistema di segnalazione degli allarmi di tipo locale o remoto.
Le aree destinate ad ospitare gli apparati dovranno essere protette contro gli incendi mediante idonee misure di rilevazione ed intervento.
Le aree destinate ad ospitare gli apparati dovranno essere protette contro gli allagamenti mediante idonee misure di rilevazione ed intervento. Nel caso i locali si trovino a livello stradale o inferiore, dovranno essere previsti sistemi anti-allagamento dotati di opportune pompe idrauliche.
Gli apparati attivi di rete dovranno essere posizionati in armadi di cablaggio con chiusura a chiave. I sistemi coinvolti nell'erogazione del servizio dovranno soddisfare i seguenti requisiti:
a) l'univoca identificazione ed autenticazione degli utenti;
b) la protezione delle informazioni relative a ciascun utente nei confronti degli altri;
c) la garanzia di accesso alle risorse esclusivamente agli utenti abilitati;
d) la registrazione delle attività rilevanti ai fini della sicurezza svolte da ciascun utente, in modo tale da garantirne la identificazione.
Dovrà essere garantito, nell'ambito dell'infrastruttura relativa alle PA, l'isolamento e la protezione dei dati.
Il Fornitore dovrà garantire che tutti gli apparati necessari all'erogazione dei servizi del presente Capitolato siano gestiti solo da personale univocamente individuato.
Il Fornitore dovrà avere procedure documentate inerenti gli aspetti di sicurezza, ad esempio:
• accesso fisico delle persone agli edifici in cui sono situati apparati;
• accesso fisico delle persone ai locali contenenti apparati;
• regole per l'accesso da parte di personale esterno (fornitori, addetti alla manutenzione, visitatori, etc.);
• gestione degli strumenti per l'accesso ad eventuali casseforti ed armadi blindati (combinazioni delle casseforti, chiavi degli armadi, etc.);
• gestione degli archivi cartacei (regole per la conservazione, modalità di consultazione, eventuale registrazione degli accessi, etc.);
• gestione di situazioni anomale;
• ripristino dell'interruzione dell'erogazione di energia elettrica;
• procedure di backup e di restore;
• procedure di escalation.