PROCEDURA APERTA PER L'AFFIDAMENTO DEI SERVIZI ASSICURATIVI DELLA PROVINCIA DI REGGIO EMILIA PERIODO 2021/2024

Domanda : Con riferimento al Lotto Incendio vorrete chiedere i seguenti chiarimenti: - Rileviamo che l’importo indicato quale valore di ricostruzione a nuovo nell’elenco immobili fornito risulta superiore alle somme assicurate indicate a pagina 3 del Capitolato di polizza. Si chiede cortese delucidazione in merito alla differenza ed eventuale rettifica delle somme che si intendono assicurare - Si chiede se in caso di sinistro che interessi anche l’ulteriore indennizzo per differenziale storico artistico, l’eventuale limite massimo di indennizzo per lo stesso previsto di 4.000.000 sia da considerarsi comunque entro il limite massimo di indennizzo della garanzia interessata da sinistro - Si chiede conferma che i limiti in cifra fissa previsti dalle garanzie terrorismo, sovraccarico neve/ghiaccio, Inondazioni, alluvioni, allagamenti, terremoto, debbano intendersi quale limite massimo di indennizzo per sinistro, annualità assicurativa ed in aggregato per tutti i fabbricati e relativo contenuto In attesa di cortese riscontro, porgo cordiali saluti. Rosalia Panozzo

Risposta : 1 - Nell'elenco denominato "Totale" sono riportati anche immobili non più di proprietà della Provincia. L'elenco aggiornato è ricavabile dai fogli "Edifici non vincolati" e "Edifici vincolati"

Domanda : Buongiorno, relativamente al lotto 7 kasko, siamo a richiedere la stima dei km di percorrenza annua, da imputare ai fini del conteggio del premio. Grazie Cordiali Saluti

Risposta : La stima dei KM da imputare ai fini del conteggio del premio è 30.000

Domanda : Buongiorno, in riferimento al lotto 6 RCA siamo cortesemente a richiedere quanto segue: - File mezzi aggiornato solo dei mezzi che sono nella flotta per la quotazione - Specificare il frazionamento della polizza - Elenco sinistri in formato Excel possibilmente con il seguente dettaglio: data avvenimento, data denuncia, stato del sinistro (aperto-chiuso-senza seguito), specificazione della tipologia di gestione (no card, card cid gestionario, ecc.), dettaglio importi pagati e riservati (per i card gestionari dovrà essere indicato importo pagato e\o riservato e importo del forfait ricevuto o da ricevere), l’importo dovrà essere pari al costo totale del sinistro al lordo dell’applicazione di eventuali franchigie. Ringraziamo anticipatamente. Cordiali saluti

Risposta : Si precisa che i dati barrati in rosso nell'elenco degli automezzi sono da escludere.

Domanda : Buongiorno, relativamente al lotto 2 incendio chiediamo le seguenti delucidazioni: In polizza viene assicurata, a primo rischio assoluto, la partita INFRASTUTTURE / MANUFATTI / PONTI. Alla definizione di INFRASTUTTURE / MANUFATTI / PONTI viene indicato: Opere , infrastrutture, manufatti, impiantistica non di pertinenza dei fabbricati in uso e/o della Provincia. Il non essere di pertinenza dei fabbricati in uso alla Provincia comporta, in presenza di un patrimonio immobiliare ubicato nell’ambito del territorio nazionale, che qualunque danno a INFRASTUTTURE / MANUFATTI / PONTI sul territorio nazionale dovrà essere indennizzato. Per quanto infra, Vi chiediamo chiarimenti in merito. Cordialmente.

Risposta : La partita richiamata fa riferimento a proprietà della Provincia

Domanda : Con riferimento a quanto previsto all’art. 7.2. Requisiti di capacità tecnica e professionale chiediamo conferma che il processo di comprova dei requisiti di cui al citato articolo si esaurisca con la presentazione del modello DGUE. Cordiali saluti.

Risposta : Si

Domanda : Si chiede la pubblicazione dei sinistri per il Lotto Infortuni. grazie

Risposta : Per il Lotto n. 5 Infortuni non ci sono sinistri negli ultimi 5 anni

Domanda : Buongiorno, in relazione al lotto RC Auto, nell'elenco veicoli ci sono mezzi barrati e alcuni non barrati ma evidenziati in rosso: sono tutti mezzi da non inserire? Grazie.

Risposta : I mezzi evidenziati in rosso sono tutti mezzi da non inserire

Domanda : Buongiorno, relativamente al Lotto 2 incendio si richiede: Al punto B. dei limiti di indennizzo, si legge: Sovraccarico Neve/Ghiaccio: 50% del valore di singolo Cespite e relativo contenuto massimo € 3.000.000,00, questo limite di € 3.000.000,00 deve intendersi anch’esso per singolo cespite e relativo contenuto o è il massimo limite per il complesso dei beni assicurati? Allagamenti – Inondazioni – Alluvioni: 70% del valore di singolo Cespite e relativo contenuto massimo € 15.000.000,00, questo limite di € 15.000.000,00 deve intendersi anch’esso per singolo cespite e relativo contenuto o è il massimo limite per il complesso dei beni assicurati? Terremoto: 70% del valore di singolo Cespite e relativo contenuto massimo € 30.000.000,00, questo limite di € 30.000.000,00 deve intendersi anch’esso per singolo cespite e relativo contenuto o è il massimo limite per il complesso dei beni assicurati? Terrorismo: 60% del valore di singolo Cespite e relativo contenuto massimo € 10.000.000,00, questo limite di € 10.000.000,00 deve intendersi anch’esso per singolo cespite e relativo contenuto o è il massimo limite per il complesso dei beni assicurati? Inoltre, è possibile inserire nel capitolato la seguente clausola? ESCLUSIONE MALATTIE TRASMISSIBILI A maggior chiarimento delle condizioni di polizza, e nonostante eventuali disposizioni contrarie che possano essere contenute nella presente polizza, si intende escluso qualsiasi pagamento o indennizzo per o in relazione a qualsiasi perdita, danno, responsabilità, richiesta di indennizzo o risarcimento, costo o spesa di qualsiasi natura, direttamente o indirettamente causato da, contribuito, derivante o nascente da, o relativo a, una Malattia Trasmissibile o qualsiasi timore o minaccia (reale o percepita) di una Malattia Trasmissibile. Ai fini della presente clausola, perdita, danno, reclamo, costo, spesa o altra somma, includono, a titolo esemplificativo, i costi di decontaminazione, pulizia, disinfezione, rimozione, monitoraggio o test, nonché i danni che derivano dagli atti e dalle misure per prevenire il contagio disposti dalle competenti Autorità anche in relazione alla chiusura o alla restrizione dell’attività. Ai fini della presente clausola, Malattia Trasmissibile indica qualsiasi patologia o malattia che possa essere trasmessa per mezzo di qualsiasi sostanza o agente da qualsiasi organismo a un altro organismo in cui: • per sostanza o agente si intende, tra gli altri ed a titolo solo esemplificativo e non esaustivo, qualsiasi virus, batterio, parassita o altro organismo o qualsiasi sua variante, considerati viventi o meno; e • il metodo di trasmissione, sia esso diretto o indiretto, include, a titolo solo esemplificativo e non esaustivo, la trasmissione per via aerea, la trasmissione attraverso liquidi corporei, la trasmissione da o verso qualsiasi superficie o oggetto solido, liquido o gassoso, o tra organismi, e • la patologia o malattia, la sostanza o l'agente possano provocare o minacciare danni alla salute o al benessere della persona o possano causare o minacciare danni, deterioramento, perdita di valore, perdita di commerciabilità o perdita d'uso di beni materiali assicurati. • La presente clausola si applica a tutte le estensioni di copertura, coperture aggiuntive, eccezioni a qualsiasi esclusione e altre garanzie di copertura. Tutti gli altri termini, condizioni ed esclusioni della presente polizza rimangono invariati. Grazie.

Risposta : Per quanto riguarda il punto B i capitali assicurati sono da intendersi sia per singolo cespite sia come limite massimo per il complesso dei beni assicurati.

Domanda : BUONGIORNO, PER IL LOTTO INFORTUNI SI CHIEDE STATISTICA SINISTRI E PREMIO IN CORSO. GRAZIE MILLE

Risposta : Per il Lotto N. 5 Infortuni non ci sono sinistri negli ultimi 5 anni. Il premio annuo lordo in corso è di Euro 2.916,00

Domanda : Si richiede di conoscere: la statistica sinistri aggiornata del Lotto 5 Infortuni; le varianti migliorative della polizza in corso RCAuto Unipolsai. Cordialità

Risposta : Non ci sono sinistri per il Lotto in oggetto

Domanda : Buongiorno, relativamente al lotto 7 KASKO si richiede la quantificazione del parametro preventivato (km?), non indicato nel capitolato. Grazie.

Risposta : I KM da imputare ai fini del conteggio del premio sono 30.000

Domanda : Buongiorno, in merito al lotto 2 Kasko, al fine di una corretta valutazione del rischio, siamo a chiedere che vengano indicati i km preventivati. In attesa di un Vostro cortese riscontro, porgiamo cordiali saluti.

Risposta : I KM da imputare ai fini del conteggio del premio sono 30.000

Domanda : Buongiorno, in riferimento al lotto RCA siamo cortesemente a richiedere: - Elenco sinistri in formato Excel possibilmente con il seguente dettaglio: data avvenimento, data denuncia, stato del sinistro (aperto-chiuso-senza seguito), specificazione della tipologia di gestione (no card, card cid gestionario, ecc.), dettaglio importi pagati e riservati (per i card gestionari dovrà essere indicato importo pagato e\o riservato e importo del forfait ricevuto o da ricevere), l’importo dovrà essere pari al costo totale del sinistro al lordo dell’applicazione di eventuali franchigie. - Elenco veicoli in formato Excel suddivisi come da scheda d’offerta e con indicato il valore e le garanzie CVT richieste Ringraziamo anticipatamente. Cordiali saluti

Risposta : L'elenco dei mezzi allegato riporta le garanzie accessorie richieste.

Domanda : Buongiorno, relativamente al lotto 7 kasko, siamo a richiedere la stima dei km di percorrenza annua, da imputare ai fini del conteggio del premio. Grazie Cordiali Saluti

Risposta : La stima dei KM di percorrenza annua da imputare ai fini del conteggio del premio è 30.000

Domanda : Buongiorno, in riferimento al Lotto 5 INFORTUNI siamo cortesemente a richiedere quanto segue: - Premio in corso, Compagnia e caratteristiche della polizza in corso/differenze rispetto al capitolato di gara. - Statistica sinistri con file leggibile - Scheda offerta economica. Ringraziamo anticipatamente Cordiali saluti

Risposta : Il premio annuo in corso è di Euro 2.916,00 lordi. La compagnia è UnipolSai assicurazioni.

Domanda : Buonasera, relativamente al lotto 7 Kasko con la presente siamo a richiedere - consuntivo dei chilometri percorsi nelle ultime tre annualità - attuale assicuratore e premio in corso - statistica sinistri grazie

Risposta : La domanda è uguale alla precedente

Domanda : Buonasera, in riferimento al lotto 7 Kasko con la presente si richiedono: - consuntivo dei chilometri percorsi nelle ultime tre annualità; - attuale assicuratore e premio in corso; - statistica sinistri grazie

Risposta : Km percorsi da imputare ai fini del conteggio del premio 30.000

Domanda : Egregi, in riferimento al rischio in oggetto, al fine di proporre nostra migliore offerta sono a chiedere quanto segue: Rc Patrimoniale: 1) Statistica sinistri degli ultimi 5 anni in formato excel dettagliata (dal 31.12.2015 al 31.03.2021) 2) Periodo di competenza della statistica sinistri dal ../../.... al ../../…. aggiornata al ../../…. 3) Breve descrizioni degli eventi indicati con importo pari o superiore ai 5.000 Euro (se presenti) 4) Compagnia con cui sono assicurati 5) Premio annuo lordo in corso Ringraziando per la cortese collaborazione, porgo cordiali saluti.

Risposta : Per quanto riguarda il Lotto n. 9 RC Patrimoniale non ci sono sinistri negli ultimi 5 anni.

Domanda : Buongiorno, con la presente si richiede l'inoltro della statistica sinistri dettagliata, riferita alle ultime 5 annualità, riferita al lotto INFORTUNI. Cordiali saluti.

Risposta : Per quanto riguarda il Lotto n. 5 Infortuni non ci sono sinistri nelle ultime 5 annualità

Domanda : Buongiorno, con la presente, siamo a richiedere statistica sinistri relativa agli ultimi 3/5 anni oppure dichiarazione assenza sinistri per i rischi Infortuni e Rc Patrimoniale. In attesa di un Vostro cortese riscontro, porgiamo cordiali saluti.

Risposta : Per quanto riguarda i Lotti n. 5 Infortuni e n. 9 RC Patrimoniale non ci sono sinistri negli ultimi 5 anni

Domanda : Buongiorno, per la compilazione della offerta tecnica, non vedo i moduli preposti. Vanno utilizzati i modelli nominati " TABELLA CRITERI DI VALUTAZIONE PER IL LOTTO..."? Grazie.

Risposta : Per l'offerta tecnica non ci sono modelli preposti. Si deve allegare un file (documento in word) dove si indica per ogni "Requisito Premiato" l'opzione prescelta

Domanda : In caso di partecipazione in coass. nella domanda di partecipazione che voce va fleggata alla voce "chiede di partecipare alla procedura della gara in oggetto in qualità di..."

Risposta : Ognuno dei soggetti allega nella documentazione un proprio MOD A in cui si presenta come operatore singolo aggiungendo "in coassicurazione". Ognuno dei soggetti devi allegare anche un proprio DGUE e un proprio MOD B

Domanda : Buongiorno. E' possibile che due compagnie (denominate A e B) partecipino in coassicurazione in questo modo : - per alcuni lotti delegataria assicurazione A e delegante assicurazione B - per i lotti restanti delegataria assicurazione B e delegante assicurazione A In attesa di cortese riscontro, porgo cordiali saluti.

Risposta : SI

Domanda : BUONGIORNO,SI RICHIEDE CORTESEMENTE ELENCO VEICOLI PER LA POLIZZA RCAUTO IN EXCELL. GRAZIE.

Risposta : L'elenco veicoli è presente in formato PDF

Domanda : Buongiorno, si richiede cortesemente statistica sinistri relativa al lotto 1 RCT in formato excell. Grazie.

Risposta : La statistica sinistri relativa al Lotto 1 è presente in formato PDF

Domanda : Buongiorno, in riferimento al lotto 6 RCA siamo cortesemente a richiedere il file Elenco mezzi in formato ".xls". Ringraziamo anticipatamente Cordiali saluti

Risposta : L'elenco automezzi è già presente in formato PDF

Domanda : L’ente Provincia di Reggio Emilia si occupa e gestisce le seguenti attività? Se sì, specificare quali servizi. • Imprese di trasporto ferroviario (dove esiste l'esposizione dei passeggeri) • Trasporto con autobus e simili (dove esiste l'esposizione dei passeggeri) • Servizi scolastici (assistenza all'infanzia, asilo, scuola, università, ecc.) • Attività legate ai Sistemi/Servizi Sanitari (Ospedali, Cliniche e altre strutture sanitarie/ Istituzioni Mediche Accademiche Associazioni di medici e/o altri professionisti sanitari (es. infermieri, farmacisti, fisioterapisti, chiropratici, dentisti, ecc.) • Strutture per l'assistenza a lungo termine / Ospizi (assistenza infermieristica qualificata, ambiente di assistenza continua, vita assistita e sistemi sanitari indipendenti con supporto/servizi medici/infermieristici / Domiciliari (operatori sanitari che forniscono servizi medici al domicilio del paziente) • Casa di cura, Strutture assistenziali (residenza assistita e vita indipendente con supporto/servizi medici/infermieristici - dove il servizio medico professionale è ridotto ad attività/servizi infermieristici di base) Rimaniamo in attesa di un vostro gentile riscontro Con i migliori saluti

Risposta : La Provincia di Reggio Emilia non gestisce nessuna delle attività indicate

Domanda : Buongiorno, chiediamo cortesemente di indicare i premi annui lordi a base d'asta per ciascun lotto in gara in quanto non risultano chiari sul disciplinare. Cordiali saluti.,

Risposta : La base d'asta è riferita al triennio. Il valore posto a base d'asta è triennale

Domanda : Buongiorno, con la presente, avremmo necessità della compilazione dei seguenti quesiti in merito al rischio Cyber Risk: 1 1. Per quanto riguarda le attività messe in campo dal Richiedente per mitigare il phishing, selezionare tutte le risposte pertinenti Il Richiedente eroga, almeno una volta all'anno, ai dipendenti formazione sulla “consapevolezza della sicurezza informatica” Il Richiedente, almeno una volta all'anno, utilizza attacchi di phishing simulati per testare la consapevolezza della sicurezza informatica dei dipendenti Qualora il Richiedente conduca attacchi di phishing simulati, la percentuale di successo nell'ultimo test è stata inferiore al 15% (meno del 15% dei dipendenti è stato “indotto in errore” con successo) Il Richiedente "contrassegna", o comunque evidenzia in altro modo, tutte le e-mail provenienti dall'esterno dell'organizzazione. Il Richiedente ha un processo per segnalare e-mail sospette a un team di sicurezza interno che ha il compito di indagare Nessuno dei precedenti. Commento aggiuntivo sugli sforzi per mitigare il phishing: 2 Il Richiedente dispone di un processo documentato per rispondere alle campagne di phishing (mirate specificamente al Richiedente o meno)? Si No Se "Sì", descrivere i passaggi principali della risposta 3 Per quanto riguarda le attività/presidi di sicurezza adottati dal Richiedente per bloccare siti web e / o email potenzialmente dannose, selezionare tutte le risposte pertinenti: Il Richiedente utilizza una soluzione di filtraggio della posta elettronica che blocca allegati dannosi noti e tipi di file sospetti, inclusi gli eseguibili Il Richiedente utilizza una soluzione di filtro della posta elettronica che blocca i messaggi sospetti in base al contenuto o agli attributi del mittente Il Richiedente utilizza una soluzione di filtraggio web che impedisce ai dipendenti di visitare pagine web dannose o sospette note Il Richiedente utilizza blocchi verso domini non categorizzati e/o di nuova registrazione utilizzando proxy Web o filtri DNS Il Richiedente utilizza una soluzione di filtro web che blocca i download noti come dannosi o sospetti, inclusi gli eseguibili La soluzione di filtraggio della posta elettronica del Richiedente ha la capacità di eseguire allegati sospetti in una sandbox Le funzionalità di filtro web del Richiedente sono efficaci su tutte le risorse aziendali, anche se la risorsa aziendale non si trova su una rete aziendale (ad esempio, le risorse sono configurate per utilizzare filtri web basati su cloud o richiedono una connessione VPN per navigare in Internet). Nessuno dei precedenti Commenti aggiuntivi attività/presidi di sicurezza adottati dal Richiedente per bloccare siti Web e / o e-mail dannose 4 Per quanto riguarda l'autenticazione per i dipendenti che accedono da remoto alla rete aziendale e a qualsiasi servizio basato su cloud in cui possono risiedere dati sensibili (incluso l’accesso alla VPN, la posta elettronica e i CRM basati su cloud; definiti come "accesso remoto alle risorse aziendali), selezionare la descrizione che meglio riflette la postura del Richiedente [nota: nel presente documento, "autenticazione a più fattori" – MFA - significa un’autenticazione che utilizzi almeno due diversi tipi di possibili fattori di autenticazione (qualcosa che sai, qualcosa hai e qualcosa che sei); il Richiedente può fornire ulteriori spiegazioni di seguito] L'accesso remoto alle risorse aziendali richiede un nome utente e una password validi (autenticazione a fattore singolo) L'autenticazione a più fattori è attiva per alcuni tipi di accesso remoto alle risorse aziendali, ma non tutti L'autenticazione a più fattori è richiesta dalla politica per tutti gli accessi remoti alle risorse aziendali; tutte le eccezioni alla politica sono documentate Il Richiedente non fornisce l'accesso remoto ai dipendenti Commento aggiuntivo sull'autenticazione per i dipendenti: 5 "Per quanto riguarda l'autenticazione per appaltatori e fornitori indipendenti che accedono in remoto alla rete aziendale e a qualsiasi servizio basato su cloud in cui i dati sensibili possono risiedere (compreso l'accesso VPN, e-mail e CRM basati su cloud; tutti insieme definiti come ""accesso remoto alle risorse aziendali""), selezionare la descrizione che meglio riflette la posizione del Richiedente: (Il Richiedente può fornire ulteriori spiegazioni di seguito)" L'accesso remoto alle risorse aziendali richiede un nome utente e una password validi (autenticazione a fattore singolo) L'autenticazione a più fattori è attiva per alcuni tipi di accesso remoto alle risorse aziendali, ma non tutti. L'autenticazione a più fattori è richiesta dalla politica per tutti gli accessi remoti alle risorse aziendali; tutte le eccezioni alla politica sono documentate. Il Richiedente non fornisce l'accesso remoto a contraenti / fornitori indipendenti Commento aggiuntivo sull'autenticazione per appaltatori / fornitori indipendenti: 6 "L'implementazione dell'autenticazione a più fattori del Richiedente soddisfa anche il criterio secondo cui la compromissione di un singolo dispositivo comprometterà solo un singolo autenticatore? (Ad esempio: se l'autenticazione richiede una password (conoscenza) e un token (possesso), di per se stesso il criterio di cui sopra non sarebbe soddisfatto là dove il token per dimostrare il possesso sia mantenuto sul medesimo dispositivo che conserva anche la password, esponendoli entrambi i fattori se il dispositivo fosse compromesso)" Non applicabile (il Richiedente non utilizza l'autenticazione a più fattori) No; L'implementazione multifattoriale del Richiedente non soddisfa i criteri di cui sopra. Sì; l'implementazione multifattoriale del Richiedente soddisfa i criteri di cui sopra. Commento aggiuntivo sull'implementazione dell'autenticazione a più fattori: 7 Per quanto riguarda la sicurezza degli endpoint e delle workstation (desktop e laptop) del Richiedente, selezionare tutte le risposte pertinenti: La politica del Richiedente è che tutte le workstation siano dotate di antivirus con funzionalità euristiche (non basate solo su firma) Il Richiedente utilizza strumenti di sicurezza degli endpoint con funzionalità di rilevamento del comportamento e mitigazione degli exploit. Il Richiedente dispone di un gruppo interno che monitora l'output degli strumenti di sicurezza degli endpoint e indaga su eventuali anomalie. Nessuno dei precedenti. Commento aggiuntivo sulle funzionalità di sicurezza degli endpoint: 8 Per quanto riguarda il monitoraggio delle log (segnalazioni) degli strumenti di sicurezza, selezionare la descrizione che meglio riflette la capacità di gestione del Richiedente: Il Richiedente non dispone di personale dedicato al monitoraggio delle operazioni di sicurezza (un "Centro operativo di sicurezza – c.d. SOC: Security Operations Center ") Il Richiedente ha un Security Operations Center, ma non è attivo 24 ore su 24, 7 giorni su 7 (può essere interno o esterno) Il Richiedente ha un monitoraggio 24 ore su 24, 7 giorni su 7 delle operazioni di sicurezza da parte di una terza parte (es. un Fornitore di Servizi di Sicurezza Gestiti c.d. Managed Security Services Provider) Il Richiedente ha un monitoraggio interno 24 ore su 24, 7 giorni su 7 delle operazioni di sicurezza Commento aggiuntivo sul monitoraggio della sicurezza: 9 Qual è stato il tempo medio necessario al Richiedente per valutare e contenere gli incidenti di sicurezza delle workstation dall'inizio dell'anno? Il Richiedente non tiene traccia di questa metrica / Non lo so meno di 30 minuti 30 minuti-2 ore 2-8 ore Più di 8 ore Commento aggiuntivo sul tempo medio per rimediare: 10 Per quanto riguarda i controlli di accesso per la postazione di lavoro di ogni utente, selezionare la descrizione che meglio riflette la postura del Richiedente (Il Richiedente può fornire ulteriori spiegazioni di seguito): Nessun dipendente è nel gruppo degli amministratori o ha accesso come amministratore locale alla propria workstation La politica del Richiedente prevede che i dipendenti per impostazione predefinita non siano nel gruppo degli amministratori e non abbiano accesso amministrativo locale; tutte le eccezioni alla politica sono documentate Alcuni dipendenti del Richiedente fanno parte del gruppo degli amministratori o sono amministratori locali Non lo so Commento aggiuntivo sui controlli di accesso per le workstation: 11 Per quanto riguarda la protezione delle credenziali privilegiate, selezionare tutto ciò che si applica rispetto alla postura del Richiedente Gli amministratori di sistema del Richiedente dispongono di una credenziale unica e privilegiata per le attività amministrative (separata dalle credenziali utente per l'accesso quotidiano, e-mail, ecc.) Gli account privilegiati (inclusi gli amministratori di dominio) richiedono l'autenticazione a più fattori Gli account privilegiati sono conservati in una cassaforte per password che richiede all'utente di "estrarre" le credenziali (che vengono ruotate in seguito) È disponibile un registro di tutti gli utilizzi degli account privilegiati per almeno gli ultimi trenta giorni Le workstation ad accesso privilegiato (workstation che non hanno accesso a Internet o alla posta elettronica) vengono utilizzate per l'amministrazione di sistemi critici (inclusi server di autenticazione /Controller di dominio) Nessuno dei precedenti Commento aggiuntivo sulla protezione delle credenziali privilegiate: 12 Fornire dettagli sull'utilizzo da parte del Richiedente di Microsoft Active Directory (in tutti i domini / foreste): Il Richiedente non utilizza Microsoft Active Directory (indicare a destra) Numero di account utente nel gruppo del Dominio Amministratori (inclusi gli account di servizio, se presenti, in questo totale) "Numero di account di servizio nel gruppo del Dominio Amministratori: ("" account di servizio "" indica un account utente creato appositamente per un'applicazione o un servizio per interagire con altri computer appartenenti a un dominio):" Commento aggiuntivi sul numero degli amministratori di dominio 13 "Quanti utenti hanno account con privilegi permanenti per gli endpoint (server e workstation)? (Ai fini di questa domanda, ""account con privilegi"" indica i diritti per configurare, gestire e supportare in altro modo questi endpoint; gli utenti che devono ""effettuare il check-out"" delle credenziali non dovrebbero essere inclusi. Il Richiedente può fornire ulteriori spiegazioni di seguito)" Inserisci un numero intero Commento aggiuntivo sul numero di accountcon privilegi 14 Per quanto riguarda la sicurezza dei sistemi esposti verso l'esterno, selezionare tutto ciò che si applica alla postura del Richiedente Il Richiedente esegue un test di penetrazione almeno una volta all'anno per valutare la sicurezza dei suoi sistemi rivolti verso l'esterno Il Richiedente ha un Web Application Firewall (WAF) davanti a tutte le applicazioni rivolte all'esterno ed è in modalità di blocco Il Richiedente utilizza un servizio esterno per monitorare la sua superficie di attacco (sistemi esterni / rivolti a Internet) Nessuno dei precedenti 15 Qual è il tempo target del Richiedente per distribuire le patch "critiche" intendendosi quelle di massima priorità (come determinata dagli standard del Richiedente per la distribuzione delle patch)? Non esiste una politica definita per la distribuzione delle patch. Entro 24 ore 24-72 ore 3-7 giorni > 7 giorni Commento aggiuntivo sui tempi target per l'applicazione delle patch 16 Qual è stata il livello di conformità da inizio anno del Richiedente ai propri standard per la distribuzione di patch critiche? (Il Richiedente può fornire ulteriori spiegazioni di seguito) Il Richiedente non tiene traccia di questa metrica / Non lo so >95% 90-95% 80-90% <80% Commento aggiuntivo sulla conformità delle patch: 17 Per quanto riguarda le capacità di monitoraggio della rete del Richiedente, selezionare tutte le risposte pertinenti: Il Richiedente utilizza uno strumento SIEM (Security Information and Event Monitoring) per correlare l'output di più strumenti di sicurezza Il Richiedente monitora il traffico di rete per trasferimenti di dati anomali e potenzialmente sospetti Il Richiedente monitora i problemi di prestazioni e capacità di archiviazione (come utilizzo elevato della memoria o del processore o assenza di spazio libero su disco). Il Richiedente dispone di strumenti per monitorare la perdita di dati (DLP) e sono in modalità di blocco. Nessuno dei precedenti Commento aggiuntivo sul monitoraggio della rete: 18 "Relativamente alla limitazione dei movimenti laterale, selezionare tutto ciò che si applica alla postura del Richiedente (Il Richiedente può fornire ulteriori spiegazioni di seguito):" Il Richiedente ha segmentato la rete in base all'area geografica (e.g.: il traffico tra uffici in luoghi diversi è negato a meno che non sia richiesto per supportare uno specifico requisito aziendale) Il Richiedente ha segmentato la rete in base alla funzione aziendale (ad esempio il traffico tra asset che supportano funzioni diverse, ad esempio HR e Finance, è negato a meno che non sia richiesto per supportare uno specifico requisito aziendale Il Richiedente ha implementato regole del firewall host che impediscono l'uso di Remote Desktop Protocol - RDP per accedere alle workstation Il Richiedente ha configurato tutti gli account di servizio per negare gli accessi interattivi Nessuno dei precedenti Commento aggiuntivo sulla segmentazione: 19 Immettere la data dell'ultima esercitazione su ransomware da parte del Richiedente ovvero selezionare l’apposita casella se non ne è stata eseguita nessuna esercitazione Data: Non è stata condotta alcuna esercitazione su ransomware 20 Il Richiedente dispone di un piano documentato per rispondere al ransomware di un fornitore / fornitore di terze parti o cliente? In caso affermativo, indicare i passaggi principali No Sì Fasi principali della risposta al ransomware di terze parti: 21 "Per quanto riguarda la verifica dell'efficacia dei controlli di sicurezza, selezionare tutto ciò che si applica al Richiedente (Il Richiedente può fornire ulteriori spiegazioni di seguito)" Il Richiedente utilizza software BAS (Breach and Attack Simulation) per verificare l'efficacia dei controlli di sicurezza Il Richiedente dispone di un "red team" interno che verifica i controlli di sicurezza e la risposta Nell'ultimo anno Il Richiedente ha incaricato un fornitore esterno di simulare gli attori delle minacce e testare i controlli di sicurezza Nessuno dei precedenti Commento aggiuntivo sulla verifica dei controlli: 22 Per quanto riguarda le funzionalità di ripristino di emergenza, selezionare tutto ciò che si applica al Richiedente: Esiste un processo per la creazione di backup, ma non è documentato e/o ad hoc Il Richiedente dispone di una politica di ripristino di emergenza documentata, inclusi standard per i backup basati sulla criticità delle informazioni Almeno due volte all'anno, il Richiedente verifica la propria capacità di ripristinare tempestivamente diversi sistemi e dati critici dai propri backup Nessuno dei precedenti 23 Qual è l'RTO (Recovery Time Objective) del Richiedente per i sistemi critici? Il Richiedente non ha un RTO / Non lo sa < 4 ore 4-24 ore 1 to 2 giorni 2-7 giorni 24 Per quanto riguarda le capacità di backup, selezionare tutto ciò che si applica al Richiedente: La strategia di backup del Richiedente include backup offline (possono essere archiviati in sede) La strategia di backup del Richiedente include backup offline archiviati fuori sede È possibile accedere ai backup del Richiedente solo tramite un meccanismo di autenticazione esterno alla nostra Active Directory aziendale Commento aggiuntivo sulle funzionalità di backup: 25 Il Richiedente dispone di una politica in base alla quale tutti i dispositivi portatili utilizzano la crittografia completa del disco? Sì No Commento aggiuntivo: In attesa di un Vostro cortese riscontro, porgiamo cordiali saluti.

Risposta : Si allega file con le risposte

Domanda : Buongiorno, con la presente, siamo a chiedere se vi è disponibilità da parte dell’Ente, in caso di aggiudicazione, a consentire l’inserimento, nei Capitolati ove non prevista, della seguente Clausola: "ESCLUSIONE OFAC (Sanctions Limitations Exclusion Clause) Gli [Assicuratori] [Riassicuratori] non sono tenuti a fornire alcuna copertura o a disporre alcun risarcimento ai sensi del presente contratto, qualora ciò implichi qualsiasi tipo di violazione di legge o regolamento in materia di sanzioni internazionali, che esponga gli [Assicuratori] [Riassicuratori], la loro capogruppo o la loro controllante a qualsiasi violazione delle leggi e dei regolamenti in materia di sanzioni internazionali.” In attesa di un Vostro cortese riscontro, porgiamo cordiali saluti.

Risposta : SI

Domanda : Buonasera, relativamente al lotto 2 Incendio, Si richiede elenco immobili con evidenza dell’ubicazione del rischio (indirizzo), del valore assicurato e delle caratteristiche costruttive, se possibile in formato xlxs. I dati richiesti sono indispensabili per la corretta formulazione dell’offerta nel rispetto della normativa europea di Solvency II e non sono opzionabili. Grazie, Cordiali Saluti

Risposta : Si Allega quanto richiesto.