Fornitura di servizi e applicazioni per il Nuovo Sistema Informatico per il CNF e le sue Fondazioni
ALLEGATO 1 AL CAPITOLATO TECNICO
SERVIZI VPS IN IAAS PER IL NUOVO SISTEMA INFORMATICO DEL CNF
(LOTTO 1)
Fornitura di servizi e applicazioni per il NSI per il CNF e le sue Fondazioni
ALLEGATO 1
Pag. 2 di 11
Lotto 1: Servizi VPS in IaaS per il NSI del CNF
SOMMARIO
Lotto 1: Servizi VPS in IaaS per il NSI del CNF .................................................................................................... 2
SOMMARIO ........................................................................................................................................................ 2
1.1. Oggetto della fornitura ...................................................................................................................... 3
1.2. Configurazione e dimensionamento ................................................................................................. 3
1.2.1 Requisiti di sicurezza digitale per il servizio IaaS richiesto ............................................................... 6
1.2.2 Privacy............................................................................................................................................... 7
1.2.3 Gestione dei log (Log management) ................................................................................................ 7
1.2.4 Il monitoraggio del servizio IaaS ....................................................................................................... 8
1.3 Modalità di erogazione del servizio ......................................................................................................... 8
1.3.1 La chiusura del contratto .................................................................................................................. 9
1.4 L’attivazione del servizio ......................................................................................................................... 9
1.5 I prodotti del servizio ............................................................................................................................... 9
1.6 Certificazioni aziendali ed individuali .............................................................................................. 11
Fornitura di servizi e applicazioni per il NSI per il CNF e le sue Fondazioni
ALLEGATO 1
Pag. 3 di 11
1.1. Oggetto della fornitura Il progetto in corso per la implementazione del Nuovo Sistema Informatico, NSI, per il CNF e le sue
Fondazioni prevede che tutte le applicazioni web di cui alla fig. 1-1 siano erogate su infrastrutture in cloud
ad alta affidabilità (IaaS, Infrastructure as a Service) tramite server virtuali (VPS, Virtual Private Server).
Nella fig. 1-1, che rappresenta lo schema dell’architettura applicativa, il Lotto 1 è evidenziato con l’ovale in
giallo.
I VPS costituiscono una singola istanza1 di un sistema server che viene eseguito in ambiente virtuale, che
supporta i diversi ambienti previsti nell’architettura applicativa del NSI e che include:
• gli ambienti di produzione per l’erogazione via web dei diversi ambiti applicativi CNF (Lotto 3 e
Lotto 4 in fig. 1-1)
• ambienti di test e di pre-produzione per il collaudo tecnico e funzionale degli applicativi di cui
sopra prima di passarli in produzione (fase di Transition in ITIL).
La conservazione digitale, di cui al Lotto 2, è invece un servizio applicativo in SaaS (Software as a Service)
preesistente e conforme alle normative italiane per le PA, Pubbliche Amministrazioni, erogato da un
Fornitore che verrà scelto tramite questo bando e che sarà utilizzato dai documentali dell’ERP Odoo (si
veda Lotto 3) e da Alfresco (si veda Lotto 4).
Fig. 1-1 Schema dell’architettura applicativa con il Lotto 1 evidenziato
1.2. Configurazione e dimensionamento La fig. 1-2 schematizza la vista logica dei principali VPS per l’ambito di produzione. I vari moduli applicativi
1 Il termine “istanza” indica una specifica installazione e configurazione di un applicativo e dei suoi moduli. Per ogni ambiente applicativo del presente Bando di Gara, BdG, devono ad esempio essere implementate specifiche istanze per CNF e per ogni Fondazione.
IaaS
Internet
ERP
con suo Prot. Inf.
e documentale
Protocollo
Informatico
Documentale
Alfresco
Conservazione
digitale
(in SaaS)
Giurisdizionale
1° grado
Documenti
contabili
Giurisdizionale
2° grado
Work
Flow
Altri
Documenti
Lotto 1
Lotto 3 Lotto 2Lotto 4
Cloud
Firma
digitale
Albo
Avvocati
e relativi
Elenchi e
RegistriDM
178/2016
(in IaaS)
Non incluso nel
BdG
LDAP
Fornitura di servizi e applicazioni per il NSI per il CNF e le sue Fondazioni
ALLEGATO 1
Pag. 4 di 11
nei diversi lotti potranno essere istanziati più volte sullo stesso VPS o su più VPS, in funzione dei carichi e
delle prestazioni dei VPS. La figura mostra anche un Web Application Firewall (WAF) applicativo che
consente di aumentare il livello di sicurezza dell’intera architettura applicativa in cloud, così come descritto
nel successivo § 1.2.1, e un server LDAP per l’autenticazione di tutti gli utenti in cloud.
Fig. 1-2 Schema logico dei vari VPS previsti in produzione
Un singolo VPS potrà supportare più applicativi, che potranno avere più istanze, come è tipicamente il caso
dell’ERP per CNF e le varie Fondazioni.
Considerando che molti degli applicativi previsti, quali ad esempio l’ERP, sono multiaziendali, il concetto di
instanziazione deve essere considerato secondo due aspetti diversi:
• in senso stretto, basandosi sul concetto tradizionale di istanza: l’installazione ed esecuzione di un
codice software con la sua specifica configurazione ed il settaggio di tutti i parametri e le opzioni
funzionali; ad esempio instanziare lo stesso programma software configurandolo e
personalizzandolo per più enti, quali le tre Fondazioni, significa attivare il software in tre aree
diverse del sistema, ciascuna dedicata ad una Fondazione;
• in senso più generale per software applicativi in grado di gestire multi aziende: lo stesso
programma è installato in una sola area, ma la configurazione e le opzioni settabili distinguono
funzionalità e dati specifici per le diverse aziende; gli utenti, in base ai loro privilegi di accesso,
accedono solo alle funzionalità ed ai dati della loro azienda.
Per i Lotti 3 e 4 del presente BdG le aziende che risponderanno dovranno proporre le soluzioni più idonee
per le diverse istanze possibili, nei termini sopra indicati, in funzione delle capacità dei loro prodotti.
La fig. 1-3 schematizza gli ambiti di test e pre-produzione previsti, suddivisi per il sistema integrato ERP
(Lotto3 del presente BdG) e per il sistema documentale.
WAF
Web
Application
FW
FW = Firewall
DB = Data Base
Web server
ERP Application
server
Application
server
Documentale
DB ERP
server
DB server
Documentale
integrato
Servizio
Conservazione
Digitale
Documenti
contabili
Altri
documenti
Ldap
(utenze)
Fornitura di servizi e applicazioni per il NSI per il CNF e le sue Fondazioni
ALLEGATO 1
Pag. 5 di 11
Fig. 1-3 Schema logica dei vari VPS previsti per ambiente di test e di pre-produzione
Con riferimento alla fig. 1-1, il servizio di Conservazione Digitale (Lotto 2 del presente BdG) non rientra tra i
VPS richiesti e dovrà essere erogato dal Fornitore aggiudicatario del Lotto 2.
È importante evidenziare che i servizi previsti dal presente Lotto 1 sono a tutti gli effetti servizi “a consumo”
(pay per use): i sistemi VPS potranno quindi essere acquisiti e dismessi a seconda delle necessità indicate da
CNF (ad esempio, dopo i primi rilasci, i test probabilmente si distanzieranno nel tempo e quindi l'uso dei
VPS per i test potrà essere sospeso e riattivato all’occorrenza).
Saranno inoltre necessari switch virtuali per configurare le connessioni logiche tra web-application server e
database server. In futuro, con l'aumentare del numero degli utenti, potrebbe essere necessario disporre di
balancer virtuali. Sia gli switch sia i balancer virtuali non sono evidenziati nelle figure.
Salvo specifiche più accurate da definire al momento dell'acquisto delle macchine virtuali, sono richiesti
VPS con le seguenti configurazioni di riferimento, e traffico illimitato:
• VPS di test e pre-produzione:
o CPU: 2
o RAM: 4 GB
o Disk: 100 GB
• VPS web server di produzione
o CPU: 2
o RAM: 4 GB
o Disk: 100 GB
• VPS application server ERP (Lotto 3), Alfresco integrato e sistemi Giurisdizionali (Lotto4)
o CPU: 4
o RAM: 8 GB
o Disk: 100 GB
• VPS database server per ERP (Lotto 3)
o CPU: 4
o RAM: 8 GB
o Disk: 200 GB
• VPS database server documentale (Lotto 4):
Application
server DB server Web server
Application
server DB server
Application
server DB server Web server
Web server
Ambiente di test per ERP
Ambiente di test per Documentale
Ambiente di pre-produzione per ERP
Fornitura di servizi e applicazioni per il NSI per il CNF e le sue Fondazioni
ALLEGATO 1
Pag. 6 di 11
o CPU: 4
o RAM: 12 GB
o Disk: 1000 GB
Il sistema operativo per tutti i VPS dovrà essere Linux. Il Fornitore dovrà elencare quali versioni di Linux
sono supportate dal Cloud. Il Fornitore dovrà inoltre delineare le policy adottate per la gestione degli
aggiornamenti del sistema operativo e le modalità per il trasferimento della versione aggiornata sui server
di produzione. I VPS dovranno comunque essere consegnati completi del software di base, ossia sistema
operativo Linux e relativi driver, necessario per supportare le applicazioni di cui ai Lotti 3 e 4.
Eventuale altro middleware e/o piattaforme che si rendessero necessari saranno installati dal CNF ovvero
da una delle sue fondazioni appositamente delegate e non sono pertanto richieste nell’offerta.
Anche il server LDAP per l’autenticazione di tutti gli utenti in cloud sarà realizzato dal CNF per il tramite di
una delle sue Fondazioni su sistema operativo Linux.
1.2.1 Requisiti di sicurezza digitale per il servizio IaaS richiesto Il Fornitore deve documentare le policy di sicurezza adottate (anche a eventuali sub-fornitori) e deve specificare se e come queste policy possono essere personalizzate per NSI. Tali policy devono comunque includere le caratteristiche di sicurezza digitale sotto evidenziate:
• il Fornitore tiene aggiornato il Committente sui sub-fornitori utilizzati e sulle clausole contrattuali
riguardanti le policy di sicurezza e le policy di comportamento dei dipendenti di queste terze parti,
oltre che dei propri;
• il Fornitore comunica i luoghi dove avvengono i trattamenti dei dati del Committente, ossia i Data
Center (DC) coinvolti, e garantisce che i dati del Committente non vengono trattati in alcun modo al
di fuori dell'Unione Europea e che tutti i trattamenti sono rispettosi della normativa dell'Unione,
inclusa la recente regolamentazione europea sulla privacy, come dettagliato in § 1.2.2;
• il Fornitore può richiedere ad un esperto terzo di effettuare un audit sui Data Center utilizzati e
sulle modalità di backup e di Disaster Recovery; in alternativa il Fornitore rende disponibile al
Committente i risultati dell'ultimo audit effettuato e rispettoso della normativa ISAE 3402;
• il Fornitore deve garantire che i dati del Committente sono trasferiti tra DC tramite canali crittati,
che i dati di backup sono crittati con meccanismi comunicati al Committente e con chiavi-password
gestite dal Fornitore (password policy comunicata al Committente);
• il Fornitore può garantire che le macchine virtuali utilizzate dai sistemi del Committente operano su
sistemi hardware sui quali non operano macchine virtuali per utenti “guest”;
• Il Committente CNF può fornire inizialmente e ad ogni variazione l'elenco dei prodotti e delle
configurazioni rilevanti in uso per eseguire i servizi richiesti (hypervisor, backup, firewall, …), i
software di sicurezza installati (antivirus, ID/IP, …) e le policy di configurazione e utilizzo.
L’alta affidabilità e le misure di sicurezza necessarie per i servizi di IaaS richiedono:
1. La replicazione del Data Center in Dual CED con un altro Data Center distante più di 200 km dal
primo. È richiesta nell’offerta, in allegato, la documentazione su:
a. Tipo di architettura ad alta affidabilità prevista ed implementata
b. Tipo di architettura delle misure di sicurezza digitale preventive, di protezione e di ripristino
previste (incluso Piano di DR)
Fornitura di servizi e applicazioni per il NSI per il CNF e le sue Fondazioni
ALLEGATO 1
Pag. 7 di 11
2. Servizi di backup/restore, che devono includere:
a. servizio di backup/restore a richiesta per i sistemi di test e pre-produzione;
b. servizio di backup/restore dei server di produzione a richiesta con conservazione delle
copie in località remota;
c. servizio di backup incrementale e frequente (a livello di ore) dei dati durante l'orario di
lavoro (8-18 nei giorni lavorativi), con backup cancellabile dopo aver effettuato il backup
del punto successivo;
d. servizio backup integrale giornaliero dei dati, con conservazione delle copie (n giornate) in
località remota rispetto al Data Center dove operano gli applicativi;
e. I backup dei dati saranno crittati usando un certificato fornito dal Committente. È accettata
sia la crittografia S/Mime sia quella OpenPGP.
f. I backup dei dati dovranno essere preferibilmente in formato TAR (standard POSIX.1-2001)
e saranno compressi secondo gli standard gzip o bzip2. Il Fornitore dovrà specificare quali
formati standard utilizza per i servizi di backup se diversi da quelli citati.
3. Servizi di Disaster Recovery (DR) e relative policy per le infrastrutture; il Fornitore deve illustrare il
DR che fornisce con il suo ambiente cloud, tenendo conto dei seguenti requisiti di riferimento:
a. accettabile la perdita al massimo dei dati di un giorno (8 ore) per il sistema ERP, requisiti
più stringenti invece per il sistema documentale e sistemi giurisdizionali (4 ore);
b. accettabile l'interruzione del servizio per 3 giorni non consecutivi in un anno solare per il
sistema ERP (si veda §3 del presente BdG), per 1 giorno in un anno solare per il sistema
documentale Alfresco e per gli applicativi giurisdizionali.
4. L’accesso agli applicativi in cloud deve avvenire con autenticazione forte dei singoli utenti tramite
certificati digitali o elettronici (PKIX) e secondo gli standard di livello 3 di SPID.
1.2.2 Privacy
I VPS erogati come IaaS potranno trattare dati personali, sensibili e giudiziari. Pertanto devono garantire,
sia a livello tecnico sia a livello organizzativo, tutte le misure idonee richieste dalla normativa italiana e da
quella europea, in particolare il GDPR (General Data Protection Regulation - Regolamento UE 2016/679)
che dovrà essere attivo a partire dal 25 maggio 2018.
Tutte le misure previste dal GDPR dovranno essere previste fin dall’inizio dell’erogazione della fornitura sui
VPS in cloud.
1.2.3 Gestione dei log (Log management) Per quanto riguarda i log di web server, application server e database server, e del sistema operativo, essi
devono essere configurati secondo le specifiche del Committente e devono garantire le seguenti
caratteristiche:
• dovranno essere accessibili da parte del Committente in tempo reale o dopo un intervallo
concordato;
• dovranno essere sono conservati a rotazione per un numero di 3-5 giorni (solo per i sistemi di
Fornitura di servizi e applicazioni per il NSI per il CNF e le sue Fondazioni
ALLEGATO 1
Pag. 8 di 11
produzione);
• deve essere consentita al CNF l’analisi sistematica dei log dei sistemi di produzione raccolti con
strumenti quali (ad esempio) Awstats e Logalyze.
1.2.4 Il monitoraggio del servizio IaaS
Il Fornitore deve:
• consentire l’accesso via web da remoto, con opportuna profilatura ad alcuni utenti predefiniti, per
la vista dei diversi indicatori della disponibilità (up-time, si veda l’Allegato 5 al Capitolato Tecnico) e
delle prestazioni dei vari VPS attivati;
• consegnare al CNF ovvero ad una delle sue Fondazioni specificamente delegata la rendicontazione
mensile dei Livelli di Servizio, LdS, sul funzionamento e sulle prestazioni delle prestazioni dei vari
VPS attivati.
Il Fornitore deve inoltre consentire al CNF ovvero ad una delle sue Fondazioni specificamente delegata un
eventuale diretto monitoraggio della disponibilità e delle prestazioni dei vari VPS attivati tramite strumenti
software direttamente gestiti dal CNF ovvero ad una delle sue Fondazioni specificamente individuate.
1.3 Modalità di erogazione del servizio In CNF il Fornitore interfaccerà il Responsabile delle attività di progettazione (ITIL Service Design) ed il Responsabile delle operazioni (ITIL Service Transition e Service Operation).
Il Fornitore dovrà rispettare i seguenti ulteriori requisiti:
• la gestione dei VPS in cloud (IaaS), dovrà essere erogata dal Fornitore rispettando la normativa ISO9001 sulla qualità;
• i servizi di gestione descritti in precedenza dovranno essere erogati, per tutta la durata della fornitura, seguendo le best practices previste in ITIL 2011 (Service Transition ed Operation);
• In caso di incidenti, il Fornitore dovrà segnalare, via mail ed entro 10 minuti dalla rilevazione
dell’evento, il malfunzionamento al Service Desk di primo livello del CNF.
Il supporto del Fornitore al CNF e al suo Help-Desk (in caso di intervento di secondo livello per i servizi IaaS),
per i servizi oggetto del presente Lotto 1, dovrà essere erogato almeno secondo i seguenti periodi di
disponibilità lato Cliente:
• Orario di apertura degli uffici CNF e Fondazioni: da lunedì a venerdì, non festivi, dalle 8:30
alle18:30.
• Periodi straordinari: in occasione di eventi quali la preparazione dei bilanci e del bilancio
consolidato, si tratta di bilanci annuali, si provvederà a concordare con il CNF ovvero con una delle
sue Fondazioni l'estensione dell'orario di disponibilità del supporto.
Gli interventi avverranno da remoto su richiesta dell'help desk di primo livello del CNF; il monitoraggio del
sistema sarà affidato al Fornitore del servizio.
Fornitura di servizi e applicazioni per il NSI per il CNF e le sue Fondazioni
ALLEGATO 1
Pag. 9 di 11
1.3.1 La chiusura del contratto
Il Committente si riserva di chiudere il contratto ed i servizi in IaaS con un mese di preavviso.
Durante il periodo di preavviso il Fornitore renderà accessibile l'archivio dei backup dei VPS, via FTP/SFTP.
Alla fine del mese di preavviso il Fornitore eseguirà la cancellazione di tutte le copie dei dati del Committente sia nei sistemi virtuali sia nei backup e comunicherà per iscritto l'avvenuta cancellazione.
1.4 L’attivazione del servizio L’attivazione del servizio IaaS deve avvenire nell’arco di massimo 2 settimane dalla firma del contratto con
il Fornitore vincitore del Lotto 1 del presente BdG. Il Fornitore, tramite email, dovrà informare il CNF
dell’avvenuta attivazione, fornendo tutte le informazioni necessarie per accedere ed utilizzare i servizi
attivati.
Il Fornitore dovrà inoltre mettere a disposizione del CNF gli strumenti per verificare da remoto ed attestare
l’avvenuta attivazione dei servizi nelle dimensioni indicate nel § 1.1.
Il CNF attraverso una delle sue Fondazioni si riserva di effettuare un test di tutti i servizi offerti. Qualora il
test fallisse, CNF procederà con la chiusura del contratto.
Nella figura successiva è rappresentato il Gantt di riferimento per la schedulazione delle attività previste
per il Lotto 1.
1.5 I prodotti del servizio Nella propria proposta il Fornitore dovrà indicare articolazione e contenuti dei prodotti (deliverables)
relativi all’erogazione dei servizi oggetto del presente Lotto 1.
Nella seguente tabella si riportano i prodotti minimi attesi per il Lotto 1 con l’indicazione dei termini di
consegna e dell’eventuale necessità di approvazione da parte del Committente e/o dei soggetti da esso
delegati.
mese 2 mese 3 mese 4 mese 5 mese 6
Configurazione VPS richieste
Attivazione sistema di monitoraggio e controllo VPS per
FiiF via web
Formazione a FiiF su come usare il sistema di monitoraggio
Messa in produzione VPS per FiiF
mese 1
2017-18
(dalla firma del contratto con il Fornitore vincente)Attività Lotto
1
Fornitura di servizi e applicazioni per il NSI per il CNF e le sue Fondazioni
ALLEGATO 1
Pag. 10 di 11
Progr. Titolo Descrizione Frequenza di
consegna
Soglia
1. Piano della
Qualità
Piano della qualità del
servizio oggetto del
presente Lotto 1
Da predisporre In
allegato all’offerta
tecnica (prima
versione del Piano) e
in seguito a
eventuali richieste di
aggiornamento
Ogni aggiornamento del
Piano della Qualità deve
essere sottoposto
all’approvazione del
Committente entro 10
giorni solari
dall’assegnazione
dell’incarico per la prima
versione o dalla data di
richiesta della revisione
2. Piano delle
attività
Piano che descrive
modalità,
organizzazione e tempi
per l’attivazione,
l’erogazione e la
gestione del servizio
Da predisporre
all’interno
dell’offerta tecnica
(prima versione del
Piano) e in seguito a
eventuali richieste di
aggiornamento
Ogni aggiornamento del
Piano di Subentro deve
essere sottoposto
all’approvazione del CNF
entro 10 giorni solari
dall’assegnazione
dell’incarico per la prima
versione o dalla data di
richiesta della revisione
3. Piano della
sicurezza
Piano nel quale siano
descritte le misure della
sicurezza fisica e logica
e le modalità tempi e
responsabilità per la
gestione del rischio. Il
Piano dovrà anche
contenere il Disaster
Recovery Plan (DRP)
Dopo l’assegnazione
dell’incarico e in
seguito a eventuali
richieste di
aggiornamento
Entro 10 giorni solari
dall’assegnazione
dell’incarico per la prima
versione.
Ogni aggiornamento del
Piano della Sicurezza deve
essere sottoposto
all’approvazione del CNF
entro 10 giorni solari dalla
data di richiesta della
revisione
4. Rendicontazioni
periodiche
Report in cui sono
rendicontati i livelli di
servizio e lo stato di
avanzamento delle
attività
Trimestrale Entro 10 giorni solari dalla
fine del mese di
riferimento
5. Piano di
trasferimento
Piano per il passaggio di
consegna ad altro
Fornitore alla fine del
periodo contrattuale
- Entro l’inizio del terzo
mese antecedente la
conclusione del periodo
contrattuale o l’eventuale
risoluzione anticipata del
contratto da parte del
Committente
Fornitura di servizi e applicazioni per il NSI per il CNF e le sue Fondazioni
ALLEGATO 1
Pag. 11 di 11
1.6 Certificazioni aziendali ed individuali Infine, saranno considerate come elementi premianti e preferenziali nella scelta del Fornitore del presente
Lotto le seguenti certificazioni di riferimento (ad eccezione di quelle obbligatorie):
• A livello aziendale
o TIA-942 (Telecomunication Industry Association) per la certificazione del livello di affidabilità e
disponibilità dei centri elaborazione dati (Data center) che offrono i servizi in cloud. E’
fortemente preferibile un livello 3 o 4. Si veda anche
o ISO 27001 per la gestione della sicurezza digitale nei servizi erogati
o ISO 20000 per la gestione del ciclo di vita dei servizi (in pratica ITIL per le aziende/enti)
o ISAE 3402 (per i controlli e l’auditing, in riferimento anche a Cobit v5)
o ISO 9001 per la qualità dei servizi erogati
o ISDP©10003:2015 per la privacy, nel rispetto anche del regolamento europeo GDPR
o CSA Star (BSI – sicurezza del cloud)
• A livello personale
o e-CF (UNI 11506 – EN 16234-1:2016) per i diversi profili professionali previsti, in particolare:
CIO, Systems Administrator, ICT Operation manager, Service Manager, Quality Assurance
Manager, ICT Security Manager, Systems Architect, DB Administrator, Network Specialist, ICT
Security Specialist, Technical Specialist, ICT Trainer
o CSA: CCSK
o Privacy Officer e Consulente Privacy (Tuev ed altri)
o ISACA: CISA, CISM, CGEIT, CRISC
o ITIL
o Citrix (CCP-V, CCA-N, CCA-V, CCNP), VMware (VCP5-DCV)
o Eventuali certificazioni e qualificazioni industriali/commerciali sulla sicurezza informatica