Sito istituzionale
Accedi Registrati
Cerca
English Español Català Deutsch
26/04/2024 09:27
Politecnico di Bari Politecnico di Bari
Aggiudicazione definitiva

Gara #59

Procedura aperta per l’affidamento quinquennale dei Servizi assicurativi di Ateneo.
Accedi o registrati per interagire con la piattaforma
Accedi Registrati

Informazioni appalto

08/08/2022
Aperta
Servizi
€ 750.000,00
Mangialardi Dino Alberto

Categorie merceologiche

6651 - Servizi assicurativi

Lotti

Aggiudicazione definitiva
1
9353707B31
Qualità prezzo
Procedura aperta per l’affidamento quinquennale dei Servizi assicurativi di Ateneo.
Affidamento dei servizi assicurativi, per un quinquennio salvo proroga semestrale, nei rami danni per i seguenti rischi: all risk property, responsabilità civile RCT/RCO, responsabilità civile patrimoniale, infortuni dipendenti in missione, kasko dipendenti in missione, cyber risk.
€ 750.000,00
€ 0,00
€ 0,00
€ 723,15
752 27/09/2022
Codice Fiscale Denominazione Ruolo
FCRNTL64D11A622K BARI MEDITERRANEO DI FICARELLA NATALE SNC - UNIPOLSAI ASSICURAZIONI SPA
Visualizza partecipanti

Seggio di gara

721
13/09/2022
Cognome Nome Ruolo
Mangialardi Dino Alberto Presidente
Buono Nicola Componente
Gazzillo Vincenzo Componente

Commissione valutatrice

733
15/09/2022
Cognome Nome Ruolo
NEGLIA Giulia Annalinda Presidente
TRENTADUE Emilia Componente
VACCARELLI Maria Rosaria Componente

Scadenze

05/09/2022 18:00
12/09/2022 23:59
13/09/2022 11:00

Avvisi

30/09/2022
Pubblicazione Esito - Procedura Aperta: Procedura aperta per l’affidamento quinquennale dei Servizi assicurativi di Ateneo.
16/09/2022
Apertura Busta C - Offerta Economica

Allegati

disciplinare-di-gara-signed.1659708370600fa.pdf
SHA-256: 16c1f51b6fb0ea8a6396aafe7f8454fdeac3e85a144a97acf7772d42e171fe6e
19/01/2024 22:10 		1.02 MB
all.1659708370a1ba6.-1-domanda-di-partecipazione-e-dichiarazioni-integrative-busta-a.docx
SHA-256: 46cecb0b210d5679ff5bb49b2274aefac25a2b3df376ed22ebb52e81a8edcc20
19/01/2024 22:10 		47.41 kB
all.16597083707012b.-2-dgue-busta-a.doc
SHA-256: 03074fb8ccb8fd93b7451d3d5657c752c1e01f6ef180fbe7d66e9d5de0b8c83c
19/01/2024 22:10 		202.00 kB
all.1659708370b4713.-3-patto-di-integrit-busta-a.docx
SHA-256: 3226b444cab034de6278d18c633e7ead393fab2bb8d0aa63fbc23e9d13893e66
19/01/2024 22:10 		34.63 kB
all.16597083708faad.-4-informativa-terzi-busta-a.docx
SHA-256: be0a867353cb4819f80f030805d8bdd5a628f82afc54e44b621a882c2476548f
19/01/2024 22:10 		34.34 kB
all.16597083708dc5a.-5-offerta-economica-busta-c.docx
SHA-256: 5c34b95cf3bd5a739caf43a516ab646df3a44b5aff194d272d3c438210ff636d
19/01/2024 22:10 		41.62 kB
attestazioni-di-rischio.16597090754313b.pdf
SHA-256: 999f06c070d173f5112d6da597afdf918515f49fd5a8f16f55c4e589b12b4c85
19/01/2024 22:10 		125.20 kB
01-capitolato-polizza-all-risk-property.1659951299e182c.pdf
SHA-256: f1b8884870fb0686bbb278fc6dd50db0b07cc4d001367b2527c209247e74ebeb
19/01/2024 22:10 		398.55 kB
02-capitolato-polizza-perdite-patrimoniali.16599512991cd30.pdf
SHA-256: 388035a0b2d779262ba311f593b18e7f4afc07c295afe42ecfb5738f51941c95
19/01/2024 22:10 		247.74 kB
03-capitolato-polizza-rct-o.1659951299b4ea7.pdf
SHA-256: 41d8a0064433d6d8fd735560749d3e881ca4ac559787d1fa13c8be9b502ab73d
19/01/2024 22:10 		275.03 kB
04-capitolato-polizza-infortuni-dipendenti-in-missione.165995129998e98.pdf
SHA-256: 91b0c486f8fd85b851b934fc5921db31298e25d2dbf81d8c7d765b4f9a7ba7e7
19/01/2024 22:10 		239.62 kB
05-capitolato-polizza-kasko-dipendenti-in-missione.165995129986232.pdf
SHA-256: 70f4f7c848363365129720a12b9253f2f8eb3ebba8dc84af2fd6e67cfa611621
19/01/2024 22:10 		235.32 kB
06-capitolato-polizza-cyber-risk.165995129986655.pdf
SHA-256: 3f7b5eabc0743ff0e3f0f2eb0073550e7b7abfcf53f7765bb765a202ce27cd3e
19/01/2024 22:10 		324.89 kB
d.1663061912ade75.d-721-2022-nomina-seggio-di-gara-signed.pdf
SHA-256: b65412b017e21731d7b91c2650610e8c3b94aacf575bafdc09bf9eae4625b91c
19/01/2024 22:10 		246.01 kB
d.1663341687461d5.d.-733-22.-nomina-commissione.pdf
SHA-256: 2425bfa729c415c74615b829de8e1e9d4a368de543a5284a0d263a894dfa678b
19/01/2024 22:10 		262.81 kB
d.16645506776c6f6.d.-752-22-aggiudicazione.pdf
SHA-256: 3007966536ecc8063eeb7bc380b9004770c9b14d48ff9e382cbfdbd9efebbacb
19/01/2024 22:10 		291.63 kB

Chiarimenti

22/08/2022 13:16
Quesito #2
Con riferimento al Capitolato della Polizza “Kasko dipendenti in missione”, all’art. 4 “Regolazione del Premio”: le differenze passive presuppongono un importo con segno negativo, ovvero un rimborso. Non c’è alcun riferimento ad eventuali regolazioni premio con differenze attive ovvero ad integrazione del premio iniziale. Si chiede conferma della corretta interpretazione dell’articolo.
25/08/2022 15:02
Risposta
In riferimento all’art. 4 del Capitolato della Polizza “Kasko dipendenti in missione”, rubricato “Regolazione del Premio”, a maggior chiarimento di quanto ivi riportato, si precisa quanto segue: al termine di ciascun periodo assicurativo annuo, avrà luogo la regolazione del Premio secondo le variazioni intervenute, durante tale periodo, negli elementi presi come base per il conteggio del Premio.
Dette regolazioni, ove implichino differenze passive, comporteranno un rimborso da parte della Società; viceversa, ove importino differenze attive, determineranno un’integrazione del maggior Premio da parte del Politecnico.
La procedura e i tempi mediante cui addivenire a tali regolazioni è descritta nello stesso art. 4, cui si rinvia.
23/08/2022 11:02
Quesito #3
Relativamente al punto 18 del Disciplinare di Gara, “Busta B - Offerta Tecnica”:
  • cosa si intende per “progetto tecnico con apposita relazione di accompagnamento”? Trattasi di refuso? Non vi è alcun riferimento al criterio valutativo di tale relazione di accompagnamento;
  • in caso di eventuale partecipazione, basta unicamente inserire nella busta tecnica un’offerta basata sui criteri-subcriteri/proposte migliorative contenuti al punto 20.01 “Criteri di valutazione dell’offerta tecnica” del Disciplinare?
  • la Stazione Appaltante ha predisposto un modello di offerta tecnica?
25/08/2022 15:04
Risposta
In riferimento al punto 18 del Disciplinare di Gara, a maggior chiarimento di quanto ivi riportato, si rappresenta quanto segue:
  • il “progetto tecnico” recante la relativa “proposta tecnico-organizzativa” di cui al punto in questione consiste nella rappresentazione, in forma schematica (tabellare) o discorsiva, dell’offerta del concorrente in ordine a quanto previsto circa i criteri-subcriteri/proposte migliorative di cui al punto 20.1 “Criteri di valutazione dell’offerta tecnica”. In altre parole, ai fini della disamina dell’offerta da parte della Commissione giudicatrice, occorre che il concorrente provveda a illustrare le condizioni proposte in relazione a ciascuno dei suddetti criteri e subcriteri, in modo chiaro e inequivoco, a prescindere dalla formulazione grafica o discorsiva. Tanto, fermo il fatto per cui l’offerta debba comunque rispettare almeno le caratteristiche minime stabilite nel Capitolato.
  • non vi è un modello predefinito di offerta tecnica.
29/08/2022 12:02
Quesito #4
Relativamente ai criteri-subcriteri/proposte migliorative contenuti al punto 20.01 “Criteri di valutazione dell’offerta tecnica” del Disciplinare, si segnala che al Criterio 2.5 è riportato, nelle Modalità di attribuzione “N.B. la variazione è consentita solo per multipli di €50.000 (es. €2.500, €3.000, €3.500…)”, mentre dovrebbe intendersi “N.B. la variazione è consentita solo per multipli di €500,00   (es. €2.500, €3.000, €3.500…)”.
01/09/2022 14:30
Risposta
In ordine ai criteri-subcriteri/proposte migliorative contenuti al punto 20.01 “Criteri di valutazione dell’offerta tecnica” del Disciplinare, al Criterio 2.5 – per mero errore materiale – è stata indicata, nelle Modalità di attribuzione, la seguente avvertenza: “N.B. la variazione è consentita solo per multipli di €50.000 (es. €2.500, €3.000, €3.500…)”.
Tale indicazione deve invece intendersi come segue: “N.B. la variazione è consentita solo per multipli di €500,00 (es. €2.500, €3.000, €3.500…)”, come anche desumibile dagli esempi riportati.
31/08/2022 15:19
Quesito #5
Con riferimento alla presente procedura, si formulano i seguenti quesiti:
  1. relativamente al punto 20.1 “Criteri di valutazione dell’offerta tecnica” del Disciplinare di Gara, e più precisamente con riguardo al Criterio 3 “Polizza RCT/O (max 8 punti)”, si segnala che nell’elencazione dei sub-criteri si passa dal 3.1 al 3.3;
  2. relativamente al punto 20.1 “Criteri di valutazione dell’offerta tecnica” del Disciplinare di Gara, e più precisamente con riguardo al Criterio 4 “Polizza Responsabilità per perdite patrimoniali (max 21 punti)”, la “Modalità di attribuzione” del sub-criterio 4.5 prevede l’assegnazione di 1 punto o 2 punti in caso di eliminazione di una causa di esclusione. Si chiede di specificare se: in caso di eliminazione di una causa di esclusione: assegnato punti 1; in caso di eliminazione di due cause di esclusione: assegnati punti 2.
01/09/2022 15:52
Risposta
In ordine ai quesiti posti, si rappresenta quanto segue:
  1. con riferimento al punto 20.1 “Criteri di valutazione dell’offerta tecnica” del Disciplinare di Gara, si rappresenta che – per mero errore materiale – nella numerazione dei sub-criteri di cui al Criterio 3, è stato omesso il 3.2, riportando direttamente il 3.3 dopo il 3.1. Non vi sono pertanto altri sub-criteri oltre quelli già indicati, come desumibile dalla somma dei punteggi;
  2. con riferimento al punto 20.1 “Criteri di valutazione dell’offerta tecnica” del Disciplinare di Gara, si rappresenta che – per mero errore materiale – nella “Modalità di attribuzione” del sub-criterio 4.5 è stata indicata l’assegnazione di 2 punti in caso di eliminazione di una sola causa di esclusione. Si precisa che la corretta “Modalità di attribuzione” del sub-criterio 4.5 è invece la seguente:
  • nessuna eliminazione = punti 0
  • eliminazione di una causa di esclusione = punti 1
  • eliminazione di due cause di esclusione = punti 2.
01/09/2022 12:09
Quesito #6
Vogliate fornire i seguenti chiarimenti:
  1. si chiede di trasmettere elenco dei fabbricati assicurati (allegato A), integrato con il valore di ricostruzione a nuovo di ciascun bene;
  2. si chiede di conoscere il valore del Premio lordo annuo in corso;
  3. si chiede se il contratto in corso prevede la copertura delle garanzie catastrofali (terremoto, inondazioni, alluvioni e allagamenti) e con quali limiti e franchigie;
  4. chiediamo conferma che l’importo indicato come Stop Loss (limite di indennizzo per sinistro e anno – art.34) debba intendersi quale massima esposizione della Compagnia per sinistro (e anno) indipendentemente dalla garanzia colpita, fermi eventuali sottolimiti inferiori previsti per specifiche garanzie;
  5. chiediamo di indicare il valore delle apparecchiature elettromedicali da assicurare.
07/09/2022 15:47
Risposta
Si forniscono le seguenti precisazioni:

1. con riferimento agli immobili di cui alla Tabella A del Capitolato della Polizza All Risks Property, si rappresenta che il dato non è disponibile nell’immediato;
2. il Premio lordo annuo corrisposto nell’ultima annualità disponibile (30/04/21-30/04/22) ammonta a €116.643,70, unitariamente considerato per le polizze All Risks Property, Responsabilità Civile Terzi e Prestatori d’Opera (RCT/RCO), Responsabilità Civile Perdite patrimoniali, Infortuni dipendenti in missione, Kasko dipendenti in missione
3. il contratto in corso discende dalla procedura avente CIG6561819855, aggiudicata il 28 ottobre 2015 e successivamente oggetto di ripetizione, il cui capitolato di polizza All Risk Property, con limiti e franchigie, è pubblicato sul sito web di Ateneo all’indirizzo http://www.poliba.it/amministrazione-e-servizi/procedura-aperta-l%E2%80%99affidamento-dei-servizi-assicurativi-di-ateneo-%E2%80%93-cig rispetto al quale sono state apportate – in sede di ripetizione – le seguenti modifiche:
  • aumento fino al 5% delle somme assicurate alle partite “fabbricato” e “contenuto”, fermi i premi in essere, con proporzionale modifica in riduzione dei tassi corrispondenti
  • inclusione di terrorismo e sabotaggio nell’ambito della clausola eventi sociopolitici
  • nell’ambito della clausola di deroga alla proporzionale, previsione della rinuncia all’applicazione della proporzionale per danni di importo indennizzabile inferiore a €5.000;
4. con riferimento all’art. 34 “Limitazioni di Garanzia” del Capitolato della Polizza All Risks Property, si precisa che la somma ivi indicata, se altrove non diversamente specificato, costituisce il limite di Indennizzo per ogni Sinistro e per ciascun anno assicurativo.
5. si rappresenta che allo stato non vi sono apparecchiature elettromedicali oggetto di assicurazione specifica.
01/09/2022 10:50
Quesito #7
Si prega di rispondere ai seguenti quesiti:
  1. si prega di indicare il Codice ATECO
  2. si prega di indicare la data di inizio attività
  3. si prega di indicare il numero totale dei dipendenti
  4. si prega di indicare il numero di dipendenti che non accedono alla rete aziendale
  5. si prega di indicare le somme assicurate per le apparecchiature elettroniche
  6. si prega di indicare la somma assicurata degli strumenti IoT e dei sistemi Scada unitamente ai sistemi fisici a cui si applicano
  7. si prega di indicare il profitto lordo dell’ultimo esercizio
  8. si prega di indicare il fatturato dell’ultimo esercizio
  9. si prega di indicare la distribuzione geografica del fatturato dell’ultimo esercizio (%)
  10. si prega di indicare la previsione di fatturato del prossimo esercizio
  11. si prega di indicare la distribuzione geografica del fatturato previsto per il prossimo esercizio (%)
  12. si prega di indicare le eventuali società controllate/sedi estere (extra UE), specificando se si tratta di sedi commerciali e/o produttive
  13. si prega di descrivere nel dettaglio l’attività svolta
  14. vi sono attività di vendita attraverso E-Commerce?
  15. sono accettati pagamenti con carta di credito per beni e servizi?
  16. i pagamenti sono processati da terzi?
  17. vi sono sinistri accaduti negli ultimi 3 anni ai sensi della polizza Cyber Risk?
  18. l'organizzazione ha subìto dei controlli e delle visite ispettive in materia privacy da parte dell'Autorità?
  19. si prega di indicare il numero dei computer fissi
  20. si prega di indicare il numero dei device mobili utilizzati
  21. si prega di indicare i sistemi operativi utilizzati sui client fissi/laptop
  22. si prega di indicare i sistemi operativi utilizzati su tablet/smartphone
  23. si prega di indicare il numero dei server
  24. si prega di indicare le modalità di gestione dei data center
  25. si prega di indicare i sistemi operativi utilizzati sui server
  26. l’organizzazione utilizza sistemi o software non più supportati dal produttore?
  27. quali processi relativi alla gestione delle operazioni e/o della sicurezza dei dispositivi e dei sistemi di rete sono esternalizzati a provider esterni di servizi?
  28. sono utilizzati dei servizi in Cloud? In caso affermativo, quali?
  29. l'organizzazione ha ottenuto una certificazione ISO/IEC 27001?
  30. la Direzione ha definito, approvato e pubblicato una Politica di Sicurezza delle Informazioni?
  31. la Politica di Sicurezza è periodicamente riesaminata e aggiornata?
  32. è stato chiaramente identificato e formalizzato il ruolo di Responsabile della Sicurezza Informatica?
  33. l'organizzazione si è dotata di una funzione interna di Audit che si occupa di verificare e garantire la corretta implementazione dei presidi di sicurezza informatica, comprese le Policy adottate dall'azienda?
  34. quali strumenti adotta l’organizzazione per sensibilizzare i propri dipendenti in materia di sicurezza informatica?
  35. è presente una procedura che, durante le fasi di conclusione del rapporto lavorativo, preveda un immediato recupero degli elementi di sicurezza (chiavi, tessere etc.), la restituzione degli asset in dotazione e una contestuale disabilitazione delle utenze?
  36. l’organizzazione ha implementato un processo di Ict Asset Management, che identifichi tutti gli asset informativi (client, server, apparati di rete, Scada, IoT, device mobili, applicazioni/dati, etc.) oggetto della copertura assicurativa, nonché l'ownership e le relative responsabilità?
  37. l’organizzazione ha definito, formalizzato e condiviso con i tutti i suoi collaboratori, delle specifiche istruzioni per un corretto utilizzo degli asset aziendali (es. email, internet, social media, supporti rimovibili, regole di comunicazione telefonica, regole di utilizzo laptop in ambienti pubblici, utilizzo di servizi di rete, etc.)?
  38. l'organizzazione ha implementato, sui dispositivi aziendali utilizzabili all’esterno dell’azienda, misure di sicurezza equivalenti a quelle degli asset presenti nel perimetro aziendale (es. antivirus, aggiornamenti, cambio password, cifratura, backup dei dati)?
  39. l’organizzazione ha attivato modalità di lavoro agile /smart working?
  40. esistono procedure per verificare preventivamente i requisiti e le configurazioni di sicurezza degli asset informatici personali nel caso in cui un collaboratore utilizzi un proprio dispositivo all'interno del perimetro aziendale (BYOD)?
  41. l’organizzazione adotta modalità di deployment differenziando le attivazioni su PC aziendali da quelle in BYOD?
  42. l’organizzazione ha reso ai propri collaboratori delle specifiche istruzioni sulle modalità di lavoro in smart working in cui sono dettagliate le basi della sicurezza nel lavoro da remoto?
  43. per le attivazioni su device aziendali, sono state implementate le seguenti misure di sicurezza:
  44. per le attivazioni in BYOD, sono state implementate le seguenti misure di sicurezza
  45. l'organizzazione definisce una politica di controllo degli accessi basata sul principio del privilegio minimo?
  46. la politica di controllo accessi prevede una fase di riesame periodico dei diritti di accesso degli utenti e degli amministratori di sistema?
  47. l'organizzazione provvede a fornire un identificativo univoco e vieta l'utilizzo di identificativi o utenze condivise (anche a livello di amministratore di sistema)?
  48. l'organizzazione si è dotata di un processo formale per l'assegnazione e revoca dei diritti di accesso per tutte le tipologie di utenze e per tutti i sistemi e servizi (inclusi i diritti di accesso privilegiato)?
  49. l'organizzazione ha implementato e diffuso una password policy che garantisca e applichi un adeguato livello di complessità e robustezza?
  50. l’organizzazione ha adottato sistemi crittografici? Se sì, quali?
  51. il perimetro fisico dell'impianto/uffici è chiaramente delimitato e ogni singolo varco è presidiato da operatori di sicurezza e/o impianti di rilevazione accessi?
  52. sono previsti dei sistemi di verifica/registrazione/tracciatura in ingresso dei visitatori che accedono al building/struttura / impianto, anche attraverso l’esibizione di un documento di identità?
  53. gli accessi sono chiusi e presidiati al di fuori dell'orario di lavoro?
  54. l'accesso ai locali del data center è permesso solo al personale autorizzato, dotato di credenziali/badge specifici?
  55. sono presenti dei sistemi di controllo degli accessi al data center? Specificare quali.
  56. le operazioni di manutenzione da parte dei fornitori all'interno del data center in house sono sempre supervisionate da personale interno?
  57. esiste una procedura di revisione periodica degli accessi al building/infrastruttura/data center (log controllo accessi o revisione dei registri cartacei)?
  58. si prega di indicare le caratteristiche del data center
  59. in ambito di sicurezza delle attività operative, le fasi di change management prendono sempre in considerazione i requisiti di sicurezza e i criteri di accettazione per nuove versioni o sistemi?
  60. in ambito di sicurezza delle attività operative, gli ambienti di sviluppo, test e produzione sono separati per ridurre il rischio di accesso o cambiamenti non autorizzati all’ambiente di produzione?
  61. in ambito di sicurezza delle attività operative, l’organizzazione si è dotata di un sistema centralizzato, regolarmente aggiornato (almeno mensile), per la gestione dei sistemi antivirus/anti-malware che copre tutti gli asset rientranti della copertura assicurativa?
  62. in ambito di sicurezza delle attività operative, l'organizzazione pianifica ed esegue scansioni periodiche su tutti gli asset informatici che sono oggetto della copertura assicurativa?
  63. in ambito di sicurezza delle attività operative, le impostazioni del software antivirus/anti-malware sono impostate per scansionare anche gli allegati di posta e il contenuto delle pendrive quando utilizzate?
  64. con quale frequenza è eseguito il back up dei dati?
  65. quale modalità di salvataggio e recupero dati fa parte della strategia di back up scelta dall’organizzazione?
  66. l'organizzazione si è dotata di una procedura di backup che identifica le informazioni critiche per il business?
  67. dove sono salvate le copie di back up?
  68. le copie di back up salvate su supporti esterni, sono conservate in siti alternativi/secondari per garantire l'efficacia dei processi di Disaster Recovery?
  69. vengono eseguiti periodicamente test di ripristino, in particolare dei database che sono oggetto della copertura assicurativa?
  70. le copie di backup vengono protette in base al livello di confidenzialità delle informazioni che contengono?
  71. vengono eseguiti i backup delle configurazioni degli apparati di rete (es. router, firewall ecc.)?
  72. il sistema di backup prevede delle copie offline?
  73. l'organizzazione definisce a priori quali log sono ritenuti essenziali per identificare eventuali anomalie e/o evidenziare potenziali attacchi e/o azioni malevole sui propri applicativi e infrastrutture "mission critical"?
  74. per garantire una corretta registrazione degli eventi, l’orario interno dei sistemi è sincronizzato con i time server tramite protocollo NTP (Network Time Protocol)?
  75. l'organizzazione si è dotata di sistema di correlazione e gestione dei log anche in ottica forense?
  76. l’accesso ai file di log è consentito solo a soggetti individuati nel rispetto del principio “need to know” prevedendo, con granularità, i profili delle utenze che possono accedere e i relativi privilegi?
  77. l’organizzazione si è dotata di un sistema di Log Management in grado di monitorare gli accessi eseguiti dagli amministratori e dagli operatori di sistema sui sistemi aziendali?
  78. quali misure di protezione sono state adottate dall’organizzazione per assicurare l’inalterabilità dei Log?
  79. si prega di indicare le tempistiche di conservazione dei file di log stabilite dall’organizzazione.
  80. sono attuate procedure per controllare l'installazione di software sui sistemi gestiti?
  81. l’organizzazione effettua, su tutti gli asset rientranti nel perimetro, dei test di sicurezza periodici (es. vulnerability assessment, penetration test) e attività di risk analysis?
  82. si prega di indicare quali misure di sicurezza siano state implementate
  83. si prega di indicare le procedure di Patching Management adottate
  84. l'organizzazione dispone di sistemi firewall aggiornati?
  85. è attivo un monitoraggio in tempo reale sulle anomalie?
  86. l'organizzazione si è dotata di sistemi di intrusion detection/prevention (IDS/IPS), costantemente aggiornati?
  87. le connessioni di telecomunicazione adottano sistemi di ridondanza per garantire continuità operativa?
  88. in relazione alle informazioni scambiate su reti pubbliche (da e verso internet), viene garantito un adeguato livello di cifratura del canale o delle informazioni trasmesse (es. adozione di protocolli di tunelling in VPN / SSL o SSH nelle ultime versioni disponibili)?
  89. l'organizzazione ha segregato la rete interna (LAN) in Virtual LAN (VLAN) o domini in base al livello di sicurezza dei processi e informazioni gestite?
  90. l'organizzazione si è dotata di un sistema di selezione dei fornitori che valuti, oltre alla loro solidità finanziaria, anche le loro politiche di cyber security e di trattamento dei dati, e che includa una verifica periodica sul mantenimento dei requisiti richiesti in ingresso?
  91. per i fornitori esiste una procedura di autorizzazione all’accesso diretto o da remoto ai sistemi, che prevede una verifica periodica e una revoca superato un periodo di tempo prestabilito?
  92. i fornitori di servizi cloud sono in possesso di certificazioni professionali (esempio CCSP Certified Cloud Security Professional, EXIN Cloud Computing Foundation, EC Council CAST 618 Designing and Implementing Cloud Security, ecc.)?
  93. l’azienda adotta controlli di adeguatezza, conformità e sicurezza rispetto a software/sistemi informativi sviluppati da terze parti?
  94. l’accesso agli ambienti di sviluppo, pre-produzione e produzione è consentito attraverso l’utilizzo di account diversi per ogni ambiente?
  95. sono eseguite periodicamente le manutenzioni programmate richieste dalle specifiche dei produttori?
  96. l'organizzazione ha implementato un processo documentato di Business Impact Analysis (BIA) regolarmente aggiornato che identifichi gli impatti in termini di tempi di interruzione, danni (es. patrimoniali diretti e indiretti) e relativi tempi di ripristino?
  97. l'organizzazione si è dotata di un piano di ripristino o Business Continuity Plan (BCP) integrato con procedure operative e istruzioni di ripristino dettagliate?
  98. l'organizzazione identifica e definisce in un Disaster Recovery Plan tutte le attività di ripristino tecnico?
  99. sono testati regolarmente il piano di business continuity e il piano di disaster recovery?
  100. l’organizzazione ha adottato di una procedura di valutazione degli impatti che eventuali cambiamenti all'organizzazione, ai processi di business, alle strutture di elaborazione delle informazioni e ai sistemi, possono avere sulla sicurezza delle informazioni?
  101. si coinvolgono i fornitori nei test di continuità operativa?
  102. si prega di valutare, in caso di interruzione di rete o di guasto del sistema, dopo quanto tempo, l’impossibilità di accedere ai sistemi informatici, genererebbe un impatto significativo sull'attività dell'organizzazione
  103. indicare, in caso di interruzione di rete o guasto di sistema, una stima della massima perdita finanziaria per ogni ora di interruzione
  104. l’organizzazione ha implementato un processo di Incident Management/Response (persone, ruoli, responsabilità)?
  105. esistono playbook (elenchi azioni predefinite) in funzione del tipo di incidente occorso (es. sospensione cautelativa del sistema colpito, cambio password, ecc.)?
  106. nell'esercizio della propria attività, che tipo di dati personali raccoglie, processa o conserva l’organizzazione?
  107. l'organizzazione ha implementato un sistema di gestione dei dati adempiendo alle prescrizioni previste dalla normativa nazionale ed europea in materia di trattamento dei dati e nel rispetto dei diritti degli interessati? Intendendosi incluse le misure che soddisfino i principi di privacy by design e privacy by default, quali ad esempio: ridurre al minimo il trattamento dei dati, offrire trasparenza per quanto riguarda i trattamenti (es. prevedendo delle informative conformi da rendere prima di raccogliere i dati), raccolta del consenso informato prima di procedere a determinati trattamenti (es. marketing), ecc.
  108. si prega di indicare le misure organizzative implementate per l’adeguamento alla normativa nazionale ed europea in materia di trattamento dei dati
  109. quali Policy in materia di gestione delle esposizioni privacy, nelle quali sono anche definiti ruoli e responsabilità, sono state adottate dall’organizzazione?
  110. a chi è attribuita l'attività di gestione della privacy dell'organizzazione?
  111. l'organizzazione ha nominato un Responsabile della protezione dei dati (DPO)?
  112. quali trattamenti effettua l’organizzazione in materia di Gestione delle esposizioni privacy?
  113. sono previsti dei sistemi dai quali può derivare un controllo anche a distanza dei dipendenti?
  114. nel caso in cui l'organizzazione esegua uno dei trattamenti descritti nei due punti precedenti, ha provveduto ad effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) prima di procedere al trattamento?
  115. di quale tipologia di canali digitali si avvale l'organizzazione?
  116. quali procedure di gestione della multimedialità sono previste sul sito web aziendale?
  117. l'organizzazione esternalizza tutta o solo in parte la propria pubblicità online a terze parti?
  118. l'organizzazione ha adottato delle procedure per impedire la pubblicazione di contenuti diffamatori, illegali o in violazione al diritto alla privacy di terzi sui propri canali online?
  119. in che modo viene effettuata la vagliatura dei contenuti pubblicati sui canali online dell'organizzazione?
  120. l'organizzazione dispone di una procedura per rispondere ad eventuali reclami sui contenuti creati e pubblicati, considerati calunniosi, illegali o in violazione al diritto alla privacy di terzi?
  121. l’organizzazione esegue o utilizza sistemi vulnerabili a (CVE-2021-44228)?
  122. in caso negativo, è stato confermato dal fornitore di servizi IT?
  123. a quale percentuale di applicazioni vulnerabili è stata applicata la patch?
  124. qual è il piano di mitigazione previsto?
  125. l’organizzazione ha scansionato i sistemi IT vulnerabili alla ricerca di Indicatori di Compromissione (IoC) e successivamente sono state intraprese eventuali contromisure?
  126. sono state identificate le terze parti critiche che potrebbero essere vulnerabili?
  127. sono stati aggiornati i firewall per impedire il possibile testo di injection?
  128. è stato implementato uno degli strumenti di scansione log4j?
  129. quali misure di sicurezza sono adottate dall’Organizzazione contro i malware sugli elementi ICS/SCADA/OT?
  130. quali misure sono implementate dall’Organizzazione sui sistemi ICS/SCADA/OT?
  131. il Richiedente separa gli elementi ICS/SCADA/OT in una rete (o reti) isolata(e) dal resto dell’organizzazione?
  132. il Richiedente consente connessioni remote a dispositivi ICS/SCADA/OT per finalità di monitoraggio o controllo?
  133. il Richiedente effettua i seguenti test per stabilire se tutti i dispositivi ICS/SCADA/OT sono vulnerabili, per migliorare il monitoraggio e la risposta agli incidenti?
08/09/2022 17:25
Risposta
In riferimento a quanto richiesto, si rappresenta quanto segue:
  1. il codice ATECO del Politecnico di Bari è 85.42.0 - Istruzione universitaria e post-universitaria; accademie e conservatori;
  2. il Politecnico di Bari è stato istituito con Legge n. 245 del 7 agosto 1990;
  3. il numero dei dipendenti a tempo determinato e indeterminato, docenti e tecnico-amministrativi e bibliotecari del Politecnico di Bari è attualmente di 612 unità;
  4. non vi sono dipendenti che non hanno accesso alla rete;
  5. dall’attivo dello Stato Patrimoniale del Bilancio di Esercizio al 31 dicembre 2021 (comunque integralmente disponibile all’indirizzo: http://www.poliba.it/node/1420) risultano iscritti (v. pag. 11), per le voci “Impianti e attrezzature” e “Attrezzature scientifiche”, rispettivamente, €1.892.498,71 e €1.576.472,76;
  6. si veda la risposta precedente;
  7. l’utile di esercizio al lordo delle imposte di questo Ateneo, al 31 dicembre 2021, come evincibile dal Conto Economico del Bilancio di Esercizio (comunque integralmente disponibile all’indirizzo: http://www.poliba.it/node/1420), ammonta a €5.829.639,00 (v. pag. 17);
  8. si rimanda, sul punto, al Bilancio di Esercizio 2021, integralmente disponibile all’indirizzo: http://www.poliba.it/node/1420;
  9. il dato non è immediatamente disponibile;
  10. a titolo indicativo, si rinvia al Budget Economico integralmente disponibile all’indirizzo: http://www.poliba.it/it/amministrazione-trasparente/bilancio-preventivo
  11. il dato non è immediatamente disponibile;
  12. si precisa che non vi sono società controllate o sedi estere (extra UE);
  13. a titolo indicativo, per la descrizione della missione e delle attività istituzionali del Politecnico di Bari, si rinvia allo Statuto dell’Ateneo, disponibile all’indirizzo: http://www.poliba.it/sites/default/files/statuto_poliba_2019.pdf;
  14. si precisa che non vi sono attualmente, tra le attività dell’Ateneo, quelle di vendita con strumenti di E-commerce;
  15. non sono, allo stato, accettati pagamenti con carta di credito per beni e servizi;
  16. i pagamenti dell’Ateneo e verso le stesse sono processati attraverso gli strumenti dell’istituto cassiere, vale a dire Intesa Sanpaolo S.p.A.
  17. non si sono registrati, negli ultimi 3 anni, eventi qualificabili come sinistri ai sensi del Capitolato della Polizza Cyber Risk;
  18. si rappresenta che l'Ateneo non è stato oggetto di controlli e visite ispettive in materia di privacy da parte dell'Autorità da terzi;
  19. si rappresenta che il numero di computer fissi nella disponibilità dell’Ateneo è, indicativamente, compreso in una quantità tra le 100 e le 1000 unità;
  20. si rappresenta che il numero dei device mobili nella disponibilità dell’Ateneo è, indicativamente, il seguente: meno di 100 tablet, meno di 100 smartphone, tra i 100 e i 1000 laptop;
  21. si rappresenta che i sistemi operativi utilizzati sui client fissi/laptop sono i seguenti: a) precedenti a Windows10, b) Windows10, c) Mac, d) Linux;
  22. si rappresenta che i sistemi operativi utilizzati su tablet/smartphone sono i seguenti: a) Android, b) IOS;
  23. si rappresenta che il numero dei server, indicativamente, è compreso tra le 10 e le 100 unità;
  24. si rappresenta che la gestione dei data center viene effettuata in house;
  25. si rappresenta che i sistemi operativi utilizzati sui server sono i seguenti: a) Windows Server 2016 (o superiore), b) Linux;
  26. si precisa che l’Ateneo non utilizza sistemi o software non più supportati dal produttore;
  27. si rappresenta che sono esternalizzati i seguenti servizi: a) network management a TIM S.p.A., b) security management a Fastweb S.p.A., c) alert log monitoring a TIM S.p.A., Fastweb S.p.A. e GARR;
  28. si rappresenta che sono utilizzati dei servizi in cloud di Microsoft - Office365; i dati sono conservati in Paesi dell’Unione Europea;
  29. si precisa che l'Ateneo non possiede certificazione ISO/IEC 27001;
  30. si precisa che l’Ateneo non ha adottato, allo stato, una Politica di Sicurezza delle Informazioni;
  31. si precisa che vi è un riesame e aggiornamento periodico della specifica Politica della Sicurezza Informatica Perimetrale;
  32. si precisa che è formalizzato il ruolo di Responsabile per la specifica Sicurezza Informatica Perimetrale;
  33. si precisa che vi è una funzione interna di audit per la verifica del la corretta implementazione dei presidi della specifica Sicurezza Informatica Perimetrale;
  34. si rappresenta che l’Ateneo organizza, per sensibilizzare i propri dipendenti al tema della sicurezza informatica, corsi di formazione e condivisione di articoli o segnalazioni via e-mail;
  35. si rappresenta che, per le utenze di accesso VPN, l’accesso da remoto viene disattivato alla scadenza conosciuta del contratto;
  36. sul punto, si risponde affermativamente, specificamente per una parte della Rete Dati;
  37. sul punto, si risponde affermativamente, specificamente per internet e per l’utilizzo dei servizi di rete;
  38. sul punto, si risponde negativamente;
  39. l’Ateneo ha attivato modalità di lavoro agile o smart working con BYOD;
  40. sul punto, si risponde negativamente;
  41. sul punto, si risponde negativamente;
  42. sul punto, si risponde affermativamente;
  43. si precisa che, per le attivazioni sui device aziendali, è utilizzata una connessione con VPN con 2FA (OTP/authenticator), ovvero altra modalità di connessione attivata (es. accesso a bolla Citrix o altra piattaforma di disintermediazione su pagina crittografata ovvero soluzione di virtual desktop);
  44. si precisa che, per le attivazioni in BYOD, si è optato per il rilascio di soluzione di connessione con VPN con 2FA (OTP/authenticator), ovvero altra modalità di connessione attivata (es. accesso a bolla citrix o altra piattaforma di disintermediazione su pagina crittografata ovvero soluzione di virtual desktop);
  45. sul punto, si risponde negativamente;
  46. sul punto, si risponde affermativamente, specificamente per gli accessi VPN e LAN;
  47. sul punto, si risponde affermativamente, specificamente per la maggior parte dei casi dei dispositivi di rete;
  48. sul punto, si risponde affermativamente, specificamente per la parte di competenza della Rete Dati;
  49. in merito, si riferisce che tale implementazione è stata fatta, fin qui, in modo parziale;
  50. si rappresenta che l’Ateneo ha adottato sistemi crittografici per i dati custoditi all’interno delle banche dati informatiche;
  51. si rappresenta che l’Ateneo ha in essere un servizio di vigilanza continuativa non armata, anche tramite videosorveglianza;
  52. si precisa che non sono previsti dei sistemi di registrazione o tracciatura in ingresso dei visitatori che accedono alle sedi dell’Ateneo, benché gli ingressi siano comunque presidiati;
  53. si precisa che, al di fuori dell’orario di lavoro e apertura al pubblico, le strutture del Politecnico sono chiuse e sorvegliate da un servizio di vigilanza;
  54. sul punto, si risponde affermativamente;
  55. si precisa che il data center è controllato mediante apparati CCTV;
  56. sul punto, si risponde affermativamente;
  57. sul punto, si risponde negativamente;
  58. si rappresenta che il data center possiede le seguenti caratteristiche: a) i rack e i server presenti all'interno del data center prevedono sempre una ridondanza delle linee elettriche, b) il sistema di condizionamento è correttamente dimensionato e dotato di sistemi automatici di rilevamento e allerta di temperatura e umidità, c) i sistemi di controllo antifumo e di rilevazione di sicurezza ambientale, d) in parte, UPS, e) il sistema di cablaggio strutturato è conforme alle normative di settore;
  59. sul punto, si risponde affermativamente;
  60. sul punto, si risponde negativamente;
  61. sul punto, si risponde negativamente;
  62. sul punto, si risponde affermativamente;
  63. sul punto, si risponde affermativamente;
  64. si precisa che il back-up dei dati è effettuato con frequenza giornaliera;
  65. si precisa che il back-up dei dati è effettuato in modo differenziale;
  66. sul punto, si risponde negativamente;
  67. si rappresenta che le copie di back-up sono salvate in cloud;
  68. sul punto, si risponde negativamente;
  69. sul punto, si risponde negativamente;
  70. sul punto, si risponde negativamente;
  71. sul punto, si risponde affermativamente;
  72. sul punto, si risponde affermativamente;
  73. sul punto, si risponde affermativamente, ma solo per gli apparati di rete;
  74. sul punto, si risponde affermativamente, ma solo per una parte degli apparati di rete;
  75. sul punto, si risponde negativamente;
  76. sul punto, si risponde affermativamente, ma solo per una parte degli apparati di rete;
  77. sul punto, si risponde affermativamente, ma solo per una parte degli apparati di rete;
  78. si rappresenta che, in merito, l’accesso fisico è controllato per le aree contenenti gli apparati di gestione dei log;
  79. l’Ateneo provvede alla conservazione dei file di log oltre i 12 mesi, ma su risorse limitate;
  80. sul punto, si risponde affermativamente;
  81. sul punto, si risponde negativamente;
  82. si rappresenta, in merito, che l’Ateneo ha adottato le seguenti misure: a) soluzioni di filtraggio della posta elettronica che blocca gli allegati dannosi e file sospetti (antispam), b) SOC (Centro Operativo di Sicurezza) perimetrale, c) soluzione di filtraggio web che impedisce ai dipendenti di visitare pagine web dannose o sospette note (URL/content filtering), d) autenticazione multifattoriale;
  83. non esiste una politica definita per la distribuzione delle patch, perché vengono valutate all’occorrenza;
  84. sul punto, si risponde affermativamente;
  85. sul punto, si risponde affermativamente;
  86. sul punto, si risponde affermativamente;
  87. sul punto, si risponde affermativamente;
  88. sul punto, si risponde affermativamente;
  89. sul punto, si risponde affermativamente;
  90. sul punto, si risponde affermativamente;
  91. si precisa che sono autorizzate connessioni remote via VPN;
  92. sul punto, si risponde affermativamente;
  93. sul punto, si risponde negativamente;
  94. sul punto, si risponde negativamente;
  95. sul punto, si risponde affermativamente;
  96. sul punto, si risponde negativamente;
  97. sul punto, si risponde negativamente;
  98. sul punto, si risponde affermativamente;
  99. si precisa, in merito, che viene testato regolarmente il piano di disaster recovery;
  100. sul punto, si risponde negativamente;
  101. sul punto, si risponde affermativamente;
  102. si rappresenta che, in caso di interruzione di rete o guasto del sistema, tra le attività istituzionali dell’Ateneo, le attività didattiche (lezioni) patirebbero immediatamente un impatto significativo; le attività amministrative (uffici), dopo un periodo orientativamente compreso tra le 4 e le 12 ore;
  103. non è allo stato possibile fornire una stima attendibile;
  104. sul punto, si risponde negativamente;
  105. sul punto, si risponde negativamente;
  106. si precisa che il volume dei dati trattati può riassumersi indicativamente come segue: a) dati finanziari, inferiori a 100.000 b) dati personali di terzi soggetti, inferiori a 100.000 c) informazioni sanitarie, inferiori a 1.000;
  107. sul punto, si risponde negativamente;
  108. si rappresenta che l’Ateneo cura periodiche sessioni di formazione per dipendenti in materia di privacy;
  109. si rappresenta che il dato non è attualmente disponibile;
  110. si rappresenta che l'attività di gestione della privacy dell'Ateneo è attribuita formalmente al Direttore Generale, in qualità di DPO;
  111. si veda la risposta di cui al punto precedente;
  112. con riferimento al quesito, si rappresenta che l’Ateneo effettua un monitoraggio regolare e sistematico;
  113. sul punto, si risponde negativamente;
  114. sul punto, si risponde negativamente;
  115. il Politecnico di Bari dispone di canali social (Facebook, Youtube, Instagram, ecc.) per la comunicazione istituzionale;
  116. il sito del Politecnico di Bari (www.poliba.it) dispone di procedure per la tracciabilità e/o profilazione degli utenti/visitatori (es. cookie, etc.);
  117. l’Ateneo ha esternalizzato tutta la pubblicità online;
  118. sul punto, si risponde negativamente;
  119. la vagliatura dei contenuti pubblicati sui canali online del Politecnico di Bari ricomprende la violazione del diritto alla riservatezza e la violazione del copyright;
  120. sul punto, si risponde negativamente;
  121. sul punto, si risponde negativamente;
  122. sul punto, si risponde affermativamente;
  123. in merito, si indica una percentuale dell’80%;
  124. si precisa, in merito, che tale piano non è presente;
  125. sul punto, si risponde negativamente;
  126. sul punto, si risponde affermativamente;
  127. sul punto, si risponde affermativamente;
  128. sul punto, si risponde negativamente;
  129. si precisa che, tra le misure di sicurezza, sono stati utilizzati sistemi di prevenzione delle intrusioni basati su host o basati sulla rete;
  130. il Politecnico di Bari ha implementato le seguenti misure: a) il richiedente utilizza password sicure per tutti gli account amministratore dei dispositivi, b) sistemi critici ICS/SCADA/OT hanno configurazioni ridondanti o capacità di failover per evitare danni materiali o interruzione dell’attività, c) tutti i sistemi critici ICS/SCADA/OT del richiedente hanno un rilevamento automatico di guasti, integrità e/o perdite che aziona un processo automatico di failover o shut-off per evitare danni materiali e pecuniari;
  131. sul punto, si risponde negativamente;
  132. sul punto, si risponde affermativamente, precisando che ciò avviene per il tramite di VPN;
  133. si precisa, in merito, che viene eseguita la simulazione annuale di interruzione dell’alimentazione elettrica.
Procedure di gara
Elenchi e qualifiche fornitori
Altre iniziative e informazioni

Politecnico di Bari

Via Giovanni Amendola, 126/b Bari (BA)
Tel. 080/5962518
Email: politecnico.di.bari@legalmail.it - PEC: politecnico.di.bari@legalmail.it
HELP DESK
assistenza@tuttogare.it - (+39) 02 400 31 280
Attivo dal Lunedì al Venerdì dalle 09:00 alle 18:00
TUTTOGARE TuttoGare
Norme tecniche di utilizzo Policy privacy