allegato f competenze tecniche, trasversali e …...gara a procedura aperta, ai sensi dell’art. 60...

GARA A PROCEDURA APERTA, AI SENSI DELL’ART. 60 DEL D.LGS. N. 50/2016 E S.M.I., PER L’AFFIDAMENTO DEI

SERVIZI DI CONDUZIONE, SVILUPPO MANUTENZIONE E SUPPORTO DEL SISTEMA INFORMATICO DELL’ENAC

ALLEGATO F

COMPETENZE TECNICHE, TRASVERSALI E NORMATIVE PER LE ATTIVITÀ REALIZZATIVE PER LOTTO 1



Indice dei Contenuti

1 Requisiti generali servizi realizzativi 3

1.1 Ambito Metodologie e Tecniche 3

1.2 Ambito Tecnico 3

1.3 Ambito Linguaggi e Ambienti di Programmazione 5

1.4 Competenze trasversali 6

1.5 Conoscenze Normative 6

1.6 Requisiti di Sicurezza e privacy 7

1.6.1 Requisiti per Data Protection by Design e by Default 8

1.6.2 Requisiti per il Registro dei trattamenti 9

1.6.3 Analisi del rischio e adozione di misure adeguate al rischio 9

1.6.4 Requisiti per la notifica delle violazioni 10

1.6.5 Requisiti per la valutazione d’impatto sulla protezione dei dati 10

1.7 Ulteriori Requisiti 11

1.7.1 Compatibilità 11

1.7.2 Predisposizione ambiente di collaudo 11

1.7.3 Supporto al collaudo 11

1.7.4 Supporto alla consegna in gestione 12

1.7.5 Supporto passaggio in esercizio 12

1.7.6 Test Factory 12

1.7.7 Test Funzionali e Non Funzionali 12

1.7.8 Test di non regressione 12

1.7.9 Test di carico 13

1.8 Requisiti specifici per siti WEB 13



1 Requisiti generali servizi realizzativi

Tale elenco ha carattere meramente generale, basato sulle esigenze percepite e non costituisce un vincolo o limitazione per eventuali altri prodotti necessari al soddisfacimento delle esigenze per l’evoluzione tecnologica delle pubbliche amministrazioni. Prodotti/piattaforme/sistemi non citati possono essere richiesti in ogni caso.

1.1 Ambito Metodologie e Tecniche

Analisi , Disegno e Programmazione ad Oggetti (OOA).

Analisi , Disegno e Programmazione per Servizi (SOA).

Testing del SW prodotto (Test Unitari, Test di Integrazione e Test di Sistema) per garantire gli aspetti funzionali, qualitativi del codice, di efficienza (prestazione e carico), di accessibilità, di usabilità e di sicurezza.

1.2 Ambito Tecnico

Piattaforme e strumenti di testing del SW (suite Mercury, CAST, HP LoadRunner, Jmeter, JUnit…)

DBMS relazionali (Oracle, Microsoft SQL Server, PostGreSQL, MySQL, Informix)

Piattaforme Linux (RedHat, Debian, Ubuntu - Server / desktop)

Piattaforme Server Microsoft (Windows / Server / Advanced Server, Windows 2008/2012/2016 e successive Server Standard / Enterprise,,…)

Piattaforme Client Microsoft (Windows / Server / Advanced Server, Windows 2007 e 2010 e successive,…);

Sistemi di Identity and access management system (piattaforma LDAP/SSO, CAS -JASIG)

Protocolli di Comunicazione (http, HTTPS, STP, SSTP, TLS) e navigatori Web (Internet Explorer, Mozilla Firefox, Google Crome, Opera, Lynx ..)

Sistemi di CMS (OpenCMS, Drupal, Joomla, WordPress, Liferay, SharePoint, Oracle Portal, , …)

Sistemi Documentali (NTTData protocollo DOCSPA, , Alfresco, SharePoint, …);

Sistemi di Business Intelligence, Olap e Rolap (BO, Microstrategy, Cognos, Oracle, Jaspersoft, Pentaho …), e processi ETL (Informatica PowerCenter, InforSphere DataStage, Talend,..)

Software per la Firma Digitale (es. ArubaSign, Dike, etc)



Motori di ricerca standard e semantici (Google search, Solr, Humminbird, Indexing Service, Expert System, Oracle Ultra Search, Vivisimo, Exalead, Lucene, Fast, Bing, ....)

Prodotti per analisi e statistiche (Awstats, Google Analitycs, Piwik - Matomo…)

Prodotti di Office Automation (Microsoft Office: word, excel, powerpoint, Access, Visio, Open Office, Google GSuite Business, Miscosoft Office 365, …)

Sistemi Videoconferenza (Adobe Connect, Cisco WebEx, Google Meet, etc);

Sistemi e piattaforme di e-Learning sincrona ed asincrona (Moodle, ATutor, Eliademy, Forma LMS, Dokeos, ILIAS, Opigno, OLAT)

Pacchetti e sitemi di project management (MS Project , Redmine, EasyRedmine);

Suite Adobe (Dreamweaver, Flash, Fireworks, ColdFusion, Photoshop, Illustrator, InDesign, Premiere ..)

Sistemi per l’elaborazione grafica raster e vettoriale e delle immagini (es.GIMP, Inkscape,Photoshop,…)

Tecnologie di Comunicazione unificata e collaborazione on-premise e in cloud (Piattaforme Microsoft, Cisco, Google, Avaya, IBM (Quickr, QuickPlace, Domino Server,..)

Tecnologie di virtualizzazione (VMware, Citrix);

Tecnologie Microservizi - dockerizzazione e application packaging (Kubernates, Docker, Bitnami,..)

Tecnologie e strumentazione multimediali, in particolare volti all’acquisizione ed elaborazione di video e audio ad uso professionale;

Tecnologie Mobile (smartphone, tablet, phablet) e relativi S.O. (Android, iOS, Linux, …)

Sistemi di Cloud Computing (Google Cloud Platform GCP, Amazon AWS, altri Cloud certificati AgiD,..)

Web server (Apache, IIS - Internet Information Server ..) e Application server (Jboss, Wildfly ,Tomcat);

Sistemi di CRM (Remedy, SugarCRM, Vtiger, SiebelCRM,Mantis, Atlassian JIRA, ..)

Sistemi e piattaforme di georeferenziazione (QGIS, gvSIG, GIS ESRI, MapServer , PMapper, ArcView, MapInfo, componenti Google, ….);

Sistemi di configuration e versioning di programmazione (SourceSafe, CVS, Subversion, ClearCase, GiT, Harvest, ..)

Strumenti di modellazione dati (es. ERwin, PowerDesigner, ...)

Strumenti di Data Mining (RapidMiner, WEKA (Waikato Environment for Knowledge Analysis) ,KNIME, Orange, SAS (Statistical Analysis System) )

Strumenti per il disegno tecnico 2D/3D e modellazione grafica CAD, CAM (Autodesk Autocad, Blender, SketchUP, 3ds Max, Rhino3D, OpenCAD, FreeCAD ..);



Strumenti per la modellazione di processi e workflow (BPM2 , .JBPM2 , Activity

Strumenti CASE - Computer Aided Software Engineering di sviluppo e modellazione UML (StarUML, ClearCase, IBM Rational Rhapsody, Visual Paradigm,...) ;

Strumenti e piattaforme IDE per lo sviluppo (Eclipse , Visual Studio .NET, IBM Rational Software Architect (RSA), IBM Rational Application Developer (RAD), Oracle JDeveloper;

Strumenti e piattaforme per lo sviluppo e testing di WebAPP e Applicazioni per dispositivi mobili per sistemi Android e iOS (Android Studio, MIT Aenutipp Inventor, Java Development Kit., Xcode, Objective-C, Swift,..);

Strumenti e piattaforme per l’upload /download e condivisione di file e contenuti (FTP, ownCloud, …)

Strumenti e tecnologie per il Machine Learning (Apache PredictionIO, Google TensorFlow,Google API, Amazon Machine Learning, Accord.NET, Azure Machine Learning;

Strumenti per la redazione ed elaborazione di mappe mentali, mappe concettuali (Mindmap, Freemind…)

Strumenti per la reportistica (Jasper Report, Business Objects, …);

Strumenti di supporto alla lettura, accesso ed utilizzo delle applicazioni e dei sistemi per personale ipovedente , quali screenreader (es. JAWS ed altri strumenti ).

Piattaforma di software distribution Microsoft SCCM;

Piattaforma Microsoft Data Center.

1.3 Ambito Linguaggi e Ambienti di Programmazione

HTML, CSS

XML / WSDL / WSS / XSLT/DTD

XHtml

Ajax

Javascript

Java (Mvc, JSP, Servlets e EJB, J2EE)

ASP, ASPX, ASP.Net

C, C#, C++,

Business Objects

Oracle, JDeveloper

PHP, Python, Ruby , Ruby on rails

Access, SQL, CGI, PERL, PLSQL

Visual Basic, VbScript, VB.Net, Asp.NET, .NET

Linguaggi proprietary come a titolo di esempio Peoplecode e Siebel code

RAD (es. WebSphere Rational Application Developer)



IBM Rational Sofware Architect 7.0 e successive

PL/SQL

Scripting Language (scripting Unix/Linux , AWK, Bash, WSH, Windows PowerShell, etc)

Microsoft Visual Studio

MAVEN, Swing.

1.4 Competenze trasversali

Conoscenza della metrica dei Function Point IFPUG 4.3 o successivi. È indispensabile la presenza di risorse certificate.

Tecniche e metodi di gestione e controllo dei progetti informatici. In caso di progetti rilevanti o critici o integrati, è indispensabile la presenza di risorse di project management con Certificazioni PMI/PMP, per le attività connesse ai servizi realizzativi.

Conoscenza della disciplina IT Service Management in generale e dei framework ITIL, è richiesta la presenza di risorse con Certificazioni ITIL V3, per le attività connesse ai servizi realizzativi e alla conduzione operativa sistemi e monitoraggio.

1.5 Conoscenze Normative

Codice degli appalti D,Lgs 50/2016 e ss.mm.ii, Linee Guida ANAC;

accessibilità da parte dei soggetti disabili: la legge n. 4 del 9 gennaio 2004 “Disposizioni per favorire l'accesso dei soggetti disabili agli strumenti informatici”, prevede che le Pubbliche Amministrazioni non possono stipulare, a pena di nullità, contratti per la realizzazione e la modifica di siti Internet quando non è previsto che essi siano conformi ai requisiti di accessibilità stabiliti dal decreto del Ministro per l’Innovazione e le Tecnologie dell’8 luglio 2005, recentemente aggiornati attraverso il nuovo decreto del 20 marzo 2013 firmato dal ministro per l’istruzione, l’università e la ricerca Francesco Profumo.

incentivi all'innovazione della PA: il Decreto legislativo n. 235/2010 introduce il nuovo Codice dell’Amministrazione Digitale (CAD) che avvia un processo di modernizzazione, digitalizzazione e sburocratizzazione delle PA. Difatti, attraverso la razionalizzazione della propria organizzazione e l'informatizzazione dei procedimenti, le PA ricaveranno dei risparmi che potranno utilizzare per il finanziamento di progetti di innovazione e per l'incentivazione del personale in essi coinvolto.

D.M. Trasporti e della Navigazione del 3 giugno 1999 - Statuto dell’ENAC;

D. Lgs. 25 luglio 1997, n. 250 - Istituzione dell’Ente Nazionale per l’Aviazione Civile;



Decreto Legislativo 9 maggio 2005, n. 96, "Revisione della parte aeronautica del Codice della navigazione, a norma dell'articolo 2 della legge 9 novembre 2004, n. 265

DECISIONE DI ESECUZIONE (UE) 2018/2048 DELLA COMMISSIONE del 20 dicembre 2018, relativa alla norma armonizzata per i siti web e le applicazioni mobili elaborata a sostegno della direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio

DECISIONE DI ESECUZIONE (UE) 2018/1524 DELLA COMMISSIONE dell'11 ottobre 2018 che stabilisce una metodologia di monitoraggio e definisce le disposizioni riguardanti la presentazione delle relazioni degli Stati membri conformemente alla direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio relativa all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici

DECISIONE DI ESECUZIONE (UE) 2018/1523 DELLA COMMISSIONE dell'11 ottobre 2018 che istituisce un modello di dichiarazione di accessibilità conformemente alla direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio relativa all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici

Legge 9 gennaio 2004, n. 4 aggiornata dal decreto legislativo 10 agosto 2018, n. 106 (Disposizioni per favorire e semplificare l'accesso degli utenti e, in particolare, delle persone con disabilità agli strumenti informatici)

Decreto legislativo 10 agosto 2018, n. 106 (Riforma dell'attuazione della direttiva (UE) 2016/2102 relativa all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici)

Direttiva (UE) 2016/2021 del 26 ottobre 2016 relativa all'accessibilità dei siti web e delle applicazioni mobili degli enti pubblici

Legge 9 gennaio 2004, n. 4 (Disposizioni per favorire l'accesso dei soggetti disabili agli strumenti informatici)

Decreto del Presidente della Repubblica, 1 marzo 2005, n. 75 (Regolamento di attuazione della legge 9 gennaio 2004, n. 4 per favorire l'accesso dei soggetti disabili agli strumenti informatici)

Decreto Ministeriale 8 luglio 2005 (Requisiti tecnici e i diversi livelli per l'accessibilità agli strumenti informatici);

Gli ulteriori standard interni di sviluppo e/o di processo e/o di linee guida per il calcolo dell’effort Punti Funzione verranno consegnati all’avvio del Contratto.

1.6 Requisiti di Sicurezza e privacy

Nell’erogazione dei servizi oggetto di fornitura, sono da intendersi incluse le iniziative correlate alla protezione dei dati al fine di prevenire rischi di perdita, uso improprio, violazione della privacy o danneggiamento dei dati. In tal ambito è richiesto al Fornitore supporto nel:



rendere le informazioni accessibili solo a coloro che ne hanno diritto (confidenzialità o privacy);

assicurare che le informazioni siano complete, accurate e protette da modifiche non autorizzate (integrità);

assicurare che le transazioni e gli scambi di informazioni siano affidabili (autenticità).

In tal senso, assume particolare rilevanza anche il supporto del Fornitore nelle attività di compliance, che riguarderanno principalmente:

classificazione dei dati per l’assegnazione di appropriati livelli di sicurezza e privacy;

definizione e mantenimento dei processi, procedure e policy per la gestione della sicurezza;

definizione di requisiti e di policy di sicurezza nel software e nei database.

Per quanto attiene al GDPR il Fornitore dovrà:

adottare il principio di Data Protection by Design e by Default (Art. 25).

Definire il Registro dei trattamenti (art.30)

Effettuare l’Analisi del rischio e l’adozione di misure adeguate al rischio (art.32)

Definire le modalità di notifica delle violazioni di dati personali all’autorità di controllo e all’interessato (art.33-34)

Eseguire la valutazione d’impatto sulla protezione dei dati, DPIA (art.35)

Indicare il Responsabile della protezione dei dati personali, RPD o DPO (at.37-39).

1.6.1 Requisiti per Data Protection by Design e by Default

L’adozione del principio deriva dalla necessità di configurare il trattamento prevedendo fin dall’inizio le garanzie indispensabili “al fine di soddisfare i requisiti” del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

I Principi si basano sull'intuizione che tener conto degli aspetti relativi alla privacy fin dall'inizio del processo di progettazione è preferibile al tentativo di adattare un prodotto o un servizio in una fase successiva, tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio fin dalla progettazione delle attività e per l’intera gestione del ciclo di vita dei dati (“sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso”, secondo quanto afferma l’art. 25, paragrafo 1 del regolamento) e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.



Occorre inoltre garantire che siano trattati per impostazione predefinita il minimo dei dati necessari, in termini di: quantità dei dati personali raccolti, portata del trattamento, periodo di conservazione e accessibilità.

Il Fornitore dovrà implementare il processo di privacy by design per tutti i nuovi progetti.

1.6.2 Requisiti per il Registro dei trattamenti

Il Fornitore dovrà supportare l’Ente nell’istituire il registro dei trattamenti. Il registro, su richiesta, deve essere messo a disposizione della autorità di controllo. Il registro dovrà contenere le seguenti informazioni minime obbligatorie:

il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

le finalità del trattamento;

una descrizione delle categorie di interessati e delle categorie di dati personali;

le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

1.6.3 Analisi del rischio e adozione di misure adeguate al rischio

Le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento (art. 32, paragrafo 1), in questo senso si richiede al Fornitore di:

assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico.

Il Fornitore dovrà implementare il Data Protection da accessi e modifiche non autorizzati, in particolare:



la crittografia sia dei dati memorizzati “at rest”

la crittografia dei dati in transito (ad esempio a/da i sistemi dei clienti),

le procedure di gestione delle chiavi crittografiche (key management),

le soluzioni/procedure di backup e restore

la gestione/restituzione dei dati alla cessazione dei contratti

una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

il piano di trattamento del rischio con le misure adeguate per ridurre il rischio a livelli accettabili.

1.6.4 Requisiti per la notifica delle violazioni

Il Fornitore dovrà definire una soluzione da proporre ad ENAC per la notifica delle violazioni di dati personali all’autorità di controllo e all’interessato, in relazione a:

la notificazione della violazione all’Autorità di controllo entro 72 ore dal fatto ma soltanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati;

la segnalazione al diretto interessato (senza ritardo ingiustificato) qualora la violazione possa comportare rischio elevato per i diritti e le libertà delle persone fisiche e non siano state adottate misure preventive per rendere incomprensibili i dati ai non autorizzati, quali la cifratura.

In particolare, si richiede al Fornitore di strutturare il processo di gestione dei data breach e creare la documentazione di supporto.

I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati, in via non esclusiva, agli art. 33 e 34 del regolamento, saranno concordati con l’Ente.

In ogni caso il Fornitore dovrà documentare le violazioni di dati personali subite, anche se non notificate all’autorità di controllo e non comunicate agli interessati, nonché le relative circostanze e conseguenze e i provvedimenti adottati e fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

1.6.5 Requisiti per la valutazione d’impatto sulla protezione dei dati

Il Fornitore dovrà definire individuare la metodologia e il processo iterativo per la valutazione d’impatto sulla protezione dei dati o Data Protection Impact Assessment (DPIA) ed effettuare la DPIA nei casi previsti dal Regolamento.



La valutazione dell’impatto sulla protezione dei dati dovrà essere eseguita fin dal momento della progettazione nei casi in cui il trattamento alla base degli stessi, per sua natura, oggetto o finalità, presenti rischi specifici per i diritti e le libertà degli interessati. Il DPIA andrà realizzato per trattamenti potenzialmente rischiosi. Il Fornitore dovrà garantire:

La conduzione dell’analisi dei rischi

La definizione dei Gap rispetto alla corretta gestione dei rischi

La definizione di un Action Plan per colmare i Gap

Il controllo annuale degli interventi effettuati per ridurre i rischi.

1.7 Ulteriori Requisiti

1.7.1 Compatibilità

Il software realizzato dovrà essere compatibile con il release/livello effettivo degli ambienti di collaudo/esercizio attivi al momento in cui il software sarà utilizzato. È pertanto obbligo del Fornitore predisporre e mantenere costantemente adeguati i propri ambienti di sviluppo e testing alle configurazioni degli ambienti dell’Ente, per minimizzare eventuali criticità derivanti da disallineamenti tra gli ambienti del Fornitore e quelli target. Ciò comporta la verifica da parte del Fornitore degli effettivi release e dell’eventuale piano di evoluzione degli ambienti.

1.7.2 Predisposizione ambiente di collaudo

Al termine delle attività di realizzazione il Fornitore dovrà supportare le strutture tecniche dell’Ente nella predisposizione dell’ambiente di collaudo (definizione e caricamento della base dati, installazione del software applicativo, personalizzazione del software di base, ecc.) e alla predisposizione degli script per il testing proceduralizzato. Tale attività deve essere espressamente prevista nei Piani di Progetto. La fase di realizzazione si intende chiusa solo quando le attività di verifica hanno dato esito positivo dei suddetti test.

1.7.3 Supporto al collaudo

Il fornitore dovrà garantire la presenza on site per garantire il passaggio di conoscenza sulle funzionalità rilasciate, il supporto all’esecuzione dei test proceduralizzati od automatici ed altre attività in funzione della specificità dell’obiettivo e richieste dall’Ente per ottimizzare il collaudo ed il successivo rilascio in esercizio.



1.7.4 Supporto alla consegna in gestione

Il fornitore dovrà garantire il supporto alla consegna in gestione del software realizzato al fine di assicurare un appropriato passaggio di consegne ai Servizi di Gestione.

1.7.5 Supporto passaggio in esercizio

Il fornitore dovrà garantire il supporto ai gruppi di gestione ed alle strutture dell’Ente finalizzato alla predisposizione dell’ambiente di esercizio. Si precisa che la messa in esercizio potrà avvenire anche in un momento differito rispetto all’avvenuto collaudo.

1.7.6 Test Factory

Al Fornitore viene richiesto di progettare i test, monitorare il grado di copertura degli stessi, verificare la completezza e la rispondenza dei test ai requisiti, controllare l’esecuzione e memorizzare i risultati, fornire tutti i report per le necessarie verifiche e consentire il riutilizzo dei test in successivi contesti.

A tal fine Il Fornitore dovrà disporre di una propria test factory e, nell’ambito di essa, di un prodotto di test management con cui gestire la fase di test relativa ai servizi oggetto della presente fornitura (test proceduralizzato). Il prodotto dovrà garantire la possibilità di integrarsi completamente con il prodotto di test management eventualmente adottato dall’Amministrazione.

1.7.7 Test Funzionali e Non Funzionali

All’interno di ogni fase del ciclo di vita del sw, ed in particolare nell’ambito della fase di “Realizzazione” (o fase che include la realizzazione), devono essere svolte dal Fornitore, preferibilmente tramite strumenti automatici, tutte le attività di verifica e validazione delle componenti realizzate (test di modulo, di funzione, di integrazione (o di sistema), di prestazione, di sicurezza, di compatibilità, di usabilità, di accessibilità, di stress o di carico del sistema, ecc.). Per ogni Obiettivo realizzativo la predisposizione e l’esecuzione di un piano di test esaustivo sotto tutti gli aspetti funzionali e non funzionali potrà essere richiesta come obbligo contrattuale.

1.7.8 Test di non regressione

Al Fornitore viene richiesto di progettare i test non regressione utilizzando le metodologie e tecniche dell’ingegneria del software.



1.7.9 Test di carico

Al Fornitore viene richiesto di progettare e realizzare, sulla base della tipologia dell’applicazione o del sistema informatico, un numero sufficientemente rappresentativo di scenari di test di carico facendo uso di proprie piattaforme disponibili in commercio oppure Open Source.

I test di carico /stress test dovranno simulare il comportamento degli utenti e condizioni al contorno compatibili con gli scenari d’uso.

1.8 Requisiti specifici per siti WEB

Si evidenziano i seguenti requisiti specifici e imprescindibili, che devono caratterizzare i servizi realizzativi ed i prodotti “WEB”:

Conoscenza approfondita della normativa sull’accessibilità da parte dei soggetti disabili (Legge n. 4 del 9 gennaio 2004) prevede che le Pubbliche Amministrazioni non possono stipulare, a pena di nullità, contratti per la realizzazione e la modifica di siti Internet quando non è previsto che essi siano conformi ai requisiti di accessibilità stabiliti dal decreto del Ministro per l’Innovazione e le Tecnologie dell’8 luglio 2005, recentemente aggiornati attraverso il nuovo decreto del 20 marzo 2013 firmato dal ministro per l’istruzione, l’università e la ricerca Francesco Profumo.

Conoscenza ed esperienza di realizzazione di prodotti e servizi web accessibili, rispettando i seguenti standard (e successive evoluzioni)

- pubblicazione di siti e pagine web accessibili rispettando i seguenti standard attuali (e successive evoluzioni):

tecnologie di base definite da: ○ la norma ISO/IEC 15445:2000(E) (HTML); ○ la norma ISO/IEC 16262:2002 (ecma-script), nota anche

come standard ECMA 262; ○ le Recommendation del W3C relative al linguaggio

HTML nella versione 4.01 e successive e al linguaggio XHTML nella versione 1.0 e successive;

○ le Recommendation del W3C relative al linguaggio CSS nella versione 1.0 e successive;

○ le Recommendation del W3C relative a linguaggi e a specifiche tecniche relative alla realizzazione di pagine, oggetti e applicazioni web, quali, ad esempio, HTTP, URI, URL, HTML, XHTML, XML, SVG, SMIL, SOAP.

- compatibilità, a seconda del sistema operativo, con i seguenti browser: Internet Explorer (versione 7.0 e superiori), Mozilla Firefox (versione 15 e superiori) e Chrome (versione 15 e superiori) per ambiente Windows; Safari (versione 5 e superiori) e Firefox (versione 9.01 e superiori) per ambiente Mac OS X Lion,



Firefox (versione 25 e superiori) per ambiente Linux GNewSense 3.0 e Lynx 2.8.7 (e superiori)standard per l’accesso sicuro a pagine web: SSL 2.0 e SSL 3.0;standard per l’accesso sicuro a pagine web: SSL 2.0 e SSL 3.0 come browser di tipo testuale

- compatibilità con i seguenti standard di gestione dei contenuti:

JSR 168 (specifica dei “Portlet”); JSR 170 (API standard per accedere ai servizi di un sistema di

Gestione Contenuti Web); WSRP 1.0 (Web Services for Remote Portlet per la definizione

del protocollo standard di dialogo fra il portale e i portlet); - compatibilità con i seguenti standard relativi ai formati di

descrizione dei contenuti:

XML (Extensible Markup Language, vedi http://www.w3.org/XML/);

PRISM (Publishing Requirements for Industry Standard Metadata, vedi http://www.prismstandard.org/);

Dublin Core Metadata Initiative (basato su ISO/IEC 11179, vedi http://dublincore.org/);

XMP (Extensible Metadata Platform, creato da Adobe); - compatibilità con i seguenti standard internazionali:

ISO 9241-11, ISO 9126-4: effectiveness, efficiency, (safety), satisfaction;

ISO 20282-2 : Usability of every day products; ISO 13407: Processi di progettazione centrata sulla persona

per sistemi interattivi; ISO 9126: Tecnologia dell'informazione, valutazione

del prodotto software - Caratteristiche di qualità e linee guida per il loro uso;

OWASP Building Guide con riferimento all’ultima versione disponibile.

allegato f competenze tecniche, trasversali e …...gara a procedura aperta, ai sensi dell’art. 60...

Documents