Un progetto di esternalizzazione delle funzioni di una azienda richiede un progetto chiaro e funzionale ma anche un contratto che stabilisca i limiti dei diritti e doveri di entrambe le parti. I contenuti del progetto possono essere estremamente variabili da caso a caso perchè le esigenze di ciascun Cliente non sempre coincidono con le esigenze di altri Clienti che si rivolgono comunque allo stesso Outsourcer.

Esistono tuttavia delle perplessità da parte delle aziende che si accingono ad esternalizzare alcune funzioni che sono comuni a tutti. E' proprio in questo ambito, per fare chiarezza e sgombrare il campo dai dubbi, che il Contratto di Outsourcing OSIEX assume un ruolo rilevante: quello di stabilire regole certe, e quindi diritti e doveri, da parte dei contraenti. Di seguito se ne delineano gli apsetti generali sulla base delle richieste comuni delle aziende.

Una prima osservazione riguarda l'infrastruttura informatica di Executive Service. Tutti i servizi di outsouncing vengono erogati tramite una serverfarm opportunamente dimensionata e progettata per assolvere a questo compito, quindi essendo questa il cuore di tutta l'architettura deve garantire la sicurezza dei dati e la continuità di servizio.

Gli aspetti connessi alla sicurezza fisica e logica dei dati
Una perplessità può scaturire dallo “spostamento” dei dati aziendali da un luogo interno all’azienda ad un altro esterno (il Provider: Executive Service). È innegabile che un’operazione di questo tipo possa dare spazio a dubbi se non è sufficientemente noto il livello di sicurezza che il Provider è in grado di assicurare.

I servizi ASP (outsourcing) presuppongono una server farm adeguatamente protetta contro possibili incidenti o interruzioni di servizio indesiderate. A questo scopo Executive Service dispone di una infrastruttura che offre diversi livelli di sicurezza, in particolare:

• Accesso controllato alla serverfarm: il locale è costantemente isolato rispetto all'edificio in cui si trova ed ogni accesso del personale autorizzato viene registrato.
• Sistemi di allarme: l'intero edificio in cui si trova la serverfarm è protetto da sistemi di allarme elettronici unitamente a sistemi di prevenzione contro le intrusioni.
• Continuità di esercizio: viene garantita da adeguati sistemi di alimentazione elettrica non interrompibili (UPS di potenza 20 KVA), da un gruppo elettrogeno (di potenza 30 KVA) che consente di continuare l'operatività della serverfarm indipendentemente da eventuali interruzioni di corrente da parte dell'ENEL e da un triplo sistema di condizionamento.
• Monitoraggio hardware: un sistema automatico di monitoraggio dell'intera infrastruttura di comunicazione della serverfarm garantisce l'immediata rilevazione di anomalie.
• Ridondanza della connettività: l'impiego di due ISP differenti ed il collegamento a centro-stella diversi (geograficamente) garantisce la non interruzione della connettività.
• Monitoraggio delle performance: un sistema automatico di monitoraggio delle performance della struttura consente al Responsabile della serverfarm di intervenire con rapidità in caso di anomalie.
• Replica e ridondanza dei back-up: la replica e la conservazione in luoghi diversi, di cui uno esterno alla serverfarm, rafforzano la sicurezza complessiva.

La sicurezza in termini di accessibilità al sistema informativo
Una ulteriore perplessità che può nascere nel caso di una soluzione di outsourcing consiste nella possibile interruzione della connessione ASP. È evidente che qualora si interrompesse per qualsiasi motivo la connessione Internet, l’Azienda si troverebbe completamente isolata ed incapace di operare.

La risposta a questo problema viene dalla tecnica della ridondanza. Utilizzando una doppia connettività, mediante due ISP differenti (e volendo, si potrebbe operare una scelta in maniera tale da garantire che, comunque, le due centrali Telecom Italia interessate dalle connessioni siano distinte), è possibile ridurre drasticamente il rischio di totale isolamento connettivo dell’Azienda.

Gli aspetti di responsabilità sulla sicurezza dei dati
Il recente Documento Programmatico sulla Sicurezza (dlgs 196/2003) non costituisce un ostacolo ad una soluzione di outsourcing. In questo caso infatti, a meno di situazioni molto particolari, raramente esiste il problema del trattamento dei dati sensibili che, comunque sono solo quelli connessi con la salute, gli orientamenti sessuali, le convinzioni religiose e le opinioni politiche.

Non costituisce ostacolo all’assunzione di responsabilità per la sicurezza della privacy (quindi anche per i dati sensibili) da parte del Provider alcuna forma di outsourcing limitatamente a strumenti che esulano dal dominio di competenza del Provider stesso, quando visti sotto il profilo dell’efficacia. Di conseguenza, con la sola esclusione dei dispositivi antivirus e anti-hacker, il Provider può assumere la responsabilità di garantire la privacy. Il motivo per l’esclusione di questi due dispositivi sta nella impossibilità di garantire l’efficacia totale di uno o più prodotti forniti da una terza parte.

Continuità di servizio e penali a favore del Cliente
Con l'obiettivo di fornire al Cliente sufficienti garanzie circa la continuità del servizio erogato da Executive Service, si accordano delle penalità a livello economico qualora si verificassero interruzioni del servizio secondo certe modalità.

Per interruzioni di connettività e/o energia elettrica
(ad esclusione di casi di calamità naturali, atti vandalici, terroristici o di guerra o interruzioni programmate o meno richieste dal GRTN)
Penali a avore del Cliente: Interruzioni fino all’ 1% su base annua: € xxx

Il contratto specifica dettagliatamente e con esempi pratici il meccanismo di riconoscimento della penale nei confronti del Cliente ed indica anche una serie di servizi aggiuntivi che possono essere richiesti opzionalmente. Oltre a ciò, il contratto stabilisce i Livelli di Servizio ossia chiare specifiche sui tempi di intervento, di risoluzione delle problematiche di competenza di executive Service, etc.