Premessa¶

La presente Circolare e i relativi allegati definiscono, in attuazione a quanto previsto nel "Piano Triennale per l’informatica nella Pubblica Amministrazione 2017 - 2019", approvato con DPCM del 31 maggio 2017, i requisiti di qualificazione di una soluzione SaaS per la PA erogabile sul Cloud della PA, nonché la relativa procedura di qualificazione. Il possesso dei predetti requisiti è presupposto per l’inserimento di una soluzione SaaS destinata a essere erogata sul Cloud della PA nel Marketplace SaaS in corso di realizzazione.

Ai sensi del Piano Triennale, gli obiettivi strategici nell’ambito della razionalizzazione delle infrastrutture fisiche sono costituiti da:

1. aumento della qualità dei servizi offerti in termini di sicurezza, resilienza, efficienza energetica e continuità di servizio;
2. realizzazione di un ambiente cloud della PA, riqualificando le risorse interne alla PA già esistenti o facendo ricorso a risorse di soggetti esterni qualificati;
3. risparmio di spesa derivante dal consolidamento dei data center e migrazione dei servizi verso tecnologie cloud.

Per il raggiungimento di tali obiettivi, AgID ha previsto, tra le altre attività, una specifica procedura di qualificazione di soluzioni SaaS nell’ambito della strategia di evoluzione del modello Cloud della PA.

Tale procedura consentirà alle Amministrazioni di utilizzare, nell’ambito del Cloud della PA, soluzioni SaaS in possesso di un set minimo di requisiti comuni.

A tale scopo verrà realizzato il catalogo di tutte le applicazioni SaaS disponibili per le PA che darà vita al marketplace delle soluzioni SaaS, per i servizi acquisibili dal mercato, secondo quanto previsto nelle Disposizioni per il procurement dei servizi SaaS per il Cloud della PA redatte da CONSIP e riportate nell’allegato B alla presente Circolare, denominato "Disposizioni per il procurement dei servizi SaaS per il Cloud della PA".

Definizioni¶

Articolo 1 - Ambito di applicazione¶

La presente Circolare definisce i requisiti di qualificazione delle soluzioni SaaS erogabili sul Cloud della PA nonché la relativa procedura di qualificazione e si applica a tutti i soggetti pubblici e fornitori ICT privati che hanno interesse a proporre soluzioni alle Pubbliche Amministrazioni in modalità SaaS (Software as a Service).

Articolo 2 – Il processo di qualificazione¶

Il soggetto richiedente può essere:

1. un fornitore privato di soluzioni SaaS che intende erogare tali soluzioni su una o più infrastrutture del Cloud della PA; il fornitore di soluzioni SaaS può essere esso stesso un CSP qualificato;
2. una PA che intende erogare soluzioni SaaS su una o più infrastrutture del Cloud della PA.

Il processo di qualificazione è articolato in cinque fasi:

1. Richiesta di qualificazione
2. Istruttoria documentale
3. Test e collaudo (solo su richiesta del fornitore e in caso di erogazione su SPC Cloud o PSN)
4. Istruttoria post-collaudo (solo su richiesta del fornitore e in caso di erogazione su SPC Cloud o PSN)
5. Mantenimento della qualificazione (Monitoraggio)

Nella tabella successiva sono riportati tutti gli attori coinvolti nel processo di qualificazione ed il loro ruolo in termini di responsabilità (RACI) per ognuna delle fasi.

Negli articoli seguenti sono previste le eccezioni di processo, in relazione alle fasi ed ai casi sopra elencati.

R= Responsible:  è colui che esegue le attività della fase
A= Accountable: è colui che è responsabile del risultato della fase
C= Consulted: è colui che deve essere consultato prima di una decisione
I= Informed:  è colui che  deve essere informato relativamente ad una decisione presa
O= Out of the loop: è colui che non partecipa nel contesto della fase

A supporto del processo di qualificazione è previsto l’utilizzo di una piattaforma AgID dedicata alla gestione del workflow ed integrata con il marketplace SaaS. Tale piattaforma consentirà, tra l’altro, l’accesso tramite SPID e la trasmissione telematica dei documenti ai sensi degli art.45 e 65 comma 1/b del CAD.

Le modalità operative di trasmissione saranno definite in apposita comunicazione pubblicata sul sito AgID.

Articolo 3 - Criteri di ammissibilità¶

Al momento della richiesta di qualificazione:

1. il soggetto richiedente, se fornitore SaaS privato, deve risultare abilitato sul sistema "Acquistinretepa" di Consip;
2. la soluzione SaaS proposta per la qualificazione deve essere erogata mediante una o più infrastrutture del Cloud della PA (PSN, Cloud SPC o CSP qualificato da AgID). Nel caso in cui l’infrastruttura Cloud sia privata e di proprietà del fornitore SaaS, tale infrastruttura deve essere qualificata come CSP da AgID ai sensi di quanto disposto nel Piano Triennale.

Ai fini dell’ammissibilità alla procedura di qualificazione, il possesso dei requisiti di cui al presente articolo può essere oggetto di autocertificazione.

Articolo 4 - Requisiti per la qualificazione¶

Sulla base degli obiettivi definiti nel Piano Triennale, AgID ha individuato i requisiti per la qualificazione di soluzioni SaaS, suddividendoli in:

1. Requisiti preliminari;
2. Requisiti organizzativi;
3. Requisiti specifici.

Il dettaglio di tali requisiti è fornito all’interno dell’allegato "A" alla presente Circolare, denominato “Requisiti per la qualificazione di soluzioni SaaS nell’ambito del Cloud della PA”.

AgID si riserva la facoltà di modificare/aggiornare/integrare tali requisiti sulla base dell’evoluzione del contesto e delle tecnologie.

Articolo 5 - Fasi del processo di qualificazione.¶

Articolo 6 - Revoca della qualificazione¶

L’Agenzia dispone la revoca della qualificazione SaaS, con provvedimento motivato nel caso di:

• perdita dei criteri di ammissibilità;
• mancato rispetto del termine assegnato, ove non sussistano adeguati motivi di proroga, per l’eliminazione delle difformità riscontrate;
• riscontro da parte dei competenti organi di violazioni di norme relative all’attività oggetto di qualificazione.

La revoca della qualificazione comporta l’eliminazione della soluzione dal marketplace delle soluzioni SaaS ed il divieto di utilizzo del logo rilasciato da AgID nei rapporti commerciali del fornitore.

L’eliminazione della soluzione dal marketplace SaaS è comunicata a tutte le PA che abbiano stipulato contratti ancora attivi alla data del provvedimento di revoca da parte dell’Agenzia.

Nei casi di revoca della qualificazione SaaS, il soggetto interessato non può presentare una nuova richiesta di qualificazione all’Agenzia se non siano venute meno le cause che hanno determinato la revoca, pena l’inammissibilità della richiesta.

Si specifica, inoltre, che in caso di aggiornamento del software che incide su almeno uno dei requisiti di cui all’art. 4, il soggetto interessato deve procedere a presentare una nuova richiesta di qualificazione della soluzione SaaS. In tal caso, al fine di semplificare il nuovo processo di qualificazione, l’Agenzia potrà tenere conto della documentazione già presentata e procedere alla sola verifica dei nuovi requisiti.

Articolo 7 – Utilizzo della qualificazione SaaS.¶

Ai soggetti la cui soluzione SaaS ha ricevuto esito positivo nell’istruttoria di qualificazione sarà rilasciato da AgID apposito "Attestato di qualificazione SaaS" con specifico logo appositamente registrato.

Tali soggetti potranno utilizzare la qualificazione della soluzione SaaS nei propri rapporti commerciali con le Pubbliche amministrazioni o gli altri soggetti – clienti.

Articolo 8 - Contributo per la procedura di qualificazione¶

Al fine del ristoro dei costi sostenuti dall’Agenzia, per ciascuna richiesta di qualificazione delle soluzioni SaaS è dovuto il pagamento di un contributo. L’Agenzia determina entro il mese di aprile di ogni anno il valore del corrispettivo dovuto per richiesta. Il mancato pagamento entro i termini prescritti dall’Agenzia, comporta il decadimento della richiesta presentata e/o la revoca della qualificazione SaaS.

Articolo 9 - Disposizioni transitorie e finali¶

La presente Circolare entra in vigore alla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Le PA che intendono approvvigionarsi delle soluzioni SaaS qualificate dall'Agenzia consultano il marketplace SaaS a partire dalla data di rilascio in esercizio della *piattaforma AgID dedicata *di cui all’art.2 della presente Circolare.

La data di attivazione della *piattaforma dedicata e del marketplace SaaS *sarà comunicata insieme alle modalità operative della procedura di qualificazione sul sito dell’Agenzia.

Nelle more dell’attivazione della piattaforma dedicata, i soggetti che intendono avviare il processo di qualificazione possono inviare formale manifestazione d’interesse all’Agenzia, tramite posta elettronica certificata.

Le richieste di qualificazione pervenute nei 12 (dodici) mesi successivi alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana della presente Circolare non sono soggette al contributo di cui all’art.8.

Nelle more dell’attivazione della procedura di qualificazione dei CSP, solo per il caso a) di cui all’art.2, non sarà oggetto di valutazione il criterio di ammissibilità di cui all’art.3 punto ii) e la qualificazione della soluzione SaaS sarà rilasciata con riserva nell’attesa che il soggetto consegua la necessaria qualifica CSP da AgID, ai sensi del Piano Triennale.

Allegati¶

ALLEGATO A "Requisiti per la qualificazione di soluzioni SaaS nell’ambito del Cloud della PA"

ALLEGATO B "Disposizioni per il procurement dei servizi SaaS per il Cloud della PA"

Acronimi e definizioni¶

Si richiamano inoltre i concetti e le definizioni relativi al Cloud computing pubblicati dal National Institute of Standards and Technologies nel documento NIST Special Publication 800-145 "The NIST Definition of Cloud Computing", in particolare con riferimento a:

• Platform as a service (PaaS), Infrastructure as a Service (IaaS)
• Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud
• le cinque caratteristiche essenziali del Cloud computing: on-demand self-service, broad network access, resource pooling, rapid elasticity, measured service.

Per maggiori dettagli si veda: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

Introduzione¶

Il presente documento allegato alla Circolare è stato redatto al fine di definire nel dettaglio i requisiti di cui all’art. 3 della Circolare che i CSP devono rispettare per ottenere la qualificazione AgID della propria soluzione SaaS.

Come previsto dalla Circolare la procedura di qualificazione inizia mediante la richiesta del CSP interessato ad ottenere la qualificazione e prevede verifiche amministrative e tecniche di cui il presente allegato fornisce modalità e specifiche.

Le soluzioni SaaS soggette a qualificazione riguardano applicativi software erogati secondo il paradigma SaaS e compatibili con una o più infrastrutture Cloud di tipo public o community. Dal punto di vista tecnico sono dunque individuati i seguenti soggetti che svolgono diversi ruoli durante e/o successivamente al processo di qualificazione:

• Fornitore Cloud, un CSP che eroga e amministra le risorse Cloud infrastrutturali di tipo IaaS e/o PaaS utilizzate dai servizi applicativi SaaS per l’erogazione del servizio e rispetto alle quali devono essere compatibili;
• Fornitore SaaS, un CSP che richiede la qualificazione della propria soluzione SaaS affinché sia disponibile all’acquisto da parte delle PA;
• Acquirente, PA che acquisisce e utilizza i servizi SaaS ed indirettamente le risorse IaaS e/o PaaS sottostanti erogate dal Fornitore Cloud.

E’ opportuno notare che le figure del Fornitore Cloud e del Fornitore SaaS possono in alcuni casi specifici coincidere con lo stesso soggetto.

Si intende, preliminarmente, fornire un quadro di riferimento riguardante le modalità di progettazione e realizzazione di una soluzione SaaS da parte dei CSP e il ciclo di vita di un servizio SaaS. Le definizioni del ciclo di vita e dei modelli di deployment che seguono sono altresì utili per contestualizzare e inquadrare i requisiti richiesti per la qualificazione delle soluzioni SaaS.

Ciclo di vita di un servizio SaaS

Una soluzione SaaS prevede un tipico ciclo di vita attraverso attraverso il quale viene resa disponibile agli utilizzatori (Acquirenti) da parte del Fornitore SaaS:

• Provisioning(Predisposizione), ossia la predisposizione delle risorse Cloud infrastrutturali necessarie all’installazione ed erogazione della soluzione SaaS. Le attività di predisposizione sono eseguite a cura del Fornitore SaaS nell’ambito dell’infrastruttura Cloud messa a disposizione dal Fornitore Cloud. Tipicamente si tratta di risorse virtuali di tipo computazionale, di storage e di rete; più in generale possono essere comprese risorse di tipo IaaS e/o PaaS;
• Deployment (Dispiegamento), fase in cui avviene da parte del Fornitore SaaS l’installazione e la configurazione dei moduli e componenti applicativi che costituiscono la soluzione SaaS;
• Esercizio, fase in cui la soluzione SaaS è fruibile da parte dell’Acquirente che è in grado di utilizzarla secondo quanto previsto contrattualmente;
• Manutenzione, fase costituita da brevi periodi temporali in cui la soluzione SaaS esce dalla fase di esercizio risultando non fruibile da parte dell’Acquirente in occasione di attività di aggiornamento, manutenzione o risoluzione di malfunzionamenti da parte del Fornitore SaaS oppure del Fornitore Cloud; al termine di tali brevi periodi si avrà nuovamente una regolare fase di esercizio;
• Disattivazione, fase di terminazione della fornitura in seguito alla quale la soluzione SaaS non sarà più utilizzabile dall’Acquirente.

Requisiti delle soluzioni SaaS¶

Ciò premesso, AgID, come indicato all’art. 4 Circolare, ha classificato i requisiti per la qualificazione delle soluzioni SaaS come segue:

• Requisiti preliminari (RP),
• Requisiti organizzativi (RO),
• Requisiti specifici.

Nell’ambito del presente allegato i requisiti specifici vengono ulteriormente raggruppati in:

• sicurezza (RS),
• performance e scalabilità (RPS),
• interoperabilità e portabilità (RIP),
• conformità legislativa (RCL).

Tipologie di verifiche previste¶

Nelle sezioni che seguono sono definiti tutti i requisiti previsti per le soluzioni SaaS secondo la classificazione sopra richiamata. Per ciascun requisito è prevista l’effettuazione di una o più verifiche durante la procedura di qualificazione, al fine di accertare il possesso del requisito stesso da parte della soluzione SaaS e/o del Fornitore.

Le tipologie di verifiche previste sono:

• Dichiarazione del Fornitore SaaS - il cui accertamento consiste nell’acquisizione di un atto formale in cui il Fornitore SaaS dichiara quanto specificato nel requisito e/o si assume l’obbligo di agire secondo quanto richiesto dal requisito al verificarsi di determinate condizioni. Nel caso in cui sia previsto un obbligo di agire, la verifica consiste nell’accertare che l’obbligo sia stato riportato correttamente, ad esempio, nel contratto di fornitura (NOTE: Si veda la tabella "Clausole contrattuali" riportata in Appendice 1 in cui sono riepilogate le clausole contrattuali oggetto di verifica.). Nel caso in cui sia richiesto di dichiarare informazioni puntuali e/o descrittive, la verifica consiste nell’acquisizione delle specifiche informazioni tramite compilazione da parte del Fornitore SaaS dei moduli di registrazione (form) presenti sulla piattaforma informatica che supporta il processo di qualificazione e della scheda tecnica del servizio (NOTE: Si veda l’Appendice 2.).
• Verifica documentale - il cui accertamento consiste nella verifica del possesso da parte del Fornitore SaaS di documentazione comprovante il possesso del requisito, di cui viene richiesta la produzione in atti durante la sottomissione della richiesta di qualificazione. La verifica documentale comprende anche il caso in cui al Fornitore SaaS sia richiesto di produrre una documentazione tecnica (manualistica, guida operativa, ecc.) o una certificazione tecnica da consegnare all’Acquirente SaaS nella fase di avvio della fornitura.
• Verifica tecnica - nei casi previsti dall’art. 4 (Fase 3) della Circolare viene eseguita una verifica tecnica del requisito nell’ambito di una complessiva attività di collaudo in cui il servizio viene posto in esercizio in un apposito ambiente messo a disposizione da AgID e le cui caratteristiche sono omogenee con quanto previsto per l’ambiente SPC Cloud Lotto 1.

Requisiti preliminari¶

Nelle soluzioni SaaS che utilizzano PSN o Cloud SPC I fornitori dovranno indicare il livello di automazione di cui l’applicazione dispone per ogni fase del ciclo di vita dell’applicazione. È necessario che le soluzioni SaaS siano in grado di interagire mediante API (Application Programming Interface) con la piattaforma Cloud su cui risiedono e che tale capacità di interazione consenta di sfruttare appieno le potenzialità e i servizi della piattaforma Cloud ospitante.

Le soluzioni SaaS devono poter disporre dinamicamente delle risorse di calcolo, di storage e di rete di tipo IaaS/PaaS, sia per l'attivazione dei servizi (durante le fasi di provisioning e deployment) che, in seguito, per l'adattamento alle variazioni di carico, alle necessità di ripristino da eventuali malfunzionamenti e per la disattivazione dei servizi (cioè nelle fasi di esercizio, manutenzione e disattivazione).

Tipicamente queste funzionalità sono accessibili in modalità programmatica usando le API che le piattaforme Cloud mettono a disposizione. A livello applicativo sarà quindi necessario utilizzare le chiamate API messe a disposizione dalla piattaforma Cloud sottostante relativamente a funzionalità IaaS/PaaS quali: autenticazione, gestione di risorse computazionali, risorse di storage, risorse di rete, funzionalità di logging, acquisizione di metriche/KPIs, eccetera.

Il Fornitore della soluzione SaaS, operando in qualità di amministratore delle risorse Cloud (PaaS/IaaS) deve garantire il corretto funzionamento e la massima trasparenza di tutti i processi e le interazioni tra la piattaforma Cloud e l’applicazione SaaS.

Nelle soluzioni SaaS che utilizzano risorse cloud erogate basate su PSN o Cloud SPC il fornitore deve rendere disponibili tutte le informazioni relative all’implementazione ed erogazione del servizio. Tali informazioni vengono dichiarate dal Fornitore SaaS e acquisite da AgID tramite la piattaforma informatica di supporto al processo di qualificazione SaaS.

La produzione di tali informazioni è obbligatoria per il Fornitore SaaS e costituisce un requisito preliminare per la qualificazione (requisito RP5) qualora il Fornitore faccia richiesta di test e collaudo della soluzione SaaS (si veda l’art. 4 (Fase 3) della Circolare).

Elenco dettagliato dei requisiti preliminari:

Requisiti organizzativi¶

È richiesto che i fornitori di servizi SaaS siano in possesso di alcuni requisiti organizzativi tra cui:

• disponibilità di un servizio di supporto clienti strutturato ed in grado di coprire le esigenze operative che possono manifestarsi nel contesto dell’erogazione dei servizi proposti.
• disponibilità di un processo maturo e affidabile in grado di assicurare un continuo aggiornamento del software relativo alle soluzioni fornite in modalità SaaS.
• adozione delle "best-practice" del settore, nonché delle linee guida descritte in questo allegato tecnico per quanto riguarda lo sviluppo, configurazione e manutenzione del software utilizzato per implementare i servizi erogati.

Nello specifico, si riporta l’elenco dei requisiti organizzativi:

Il fornitore potrà dichiarare e documentare il possesso di ulteriori requisiti di tipo organizzativo e/o altre certificazioni tecniche che abbiano attinenza con la soluzione SaaS sottoposta alla procedura di qualificazione.

Requisiti specifici¶

I requisiti specifici riguardano le seguenti tematiche:

• sicurezza,
• performance e scalabilità,
• interoperabilità e portabilità.

Sicurezza¶

Il Fornitore SaaS, prima della messa in esercizio della soluzione SaaS, deve garantire che il codice applicativo sia stato sviluppato seguendo i principi dello sviluppo sicuro. Il fornitore deve dichiarare se il software viene sottoposto a periodiche verifiche di sicurezza secondo il framework OWASP, in particolare a seguito di operazioni di manutenzione del servizio (aggiornamenti e modifiche).

Il Fornitore SaaS può utilizzare componenti software realizzate da terze parti per implementare la propria applicazione (middleware, librerie o una qualsiasi delle componenti dello stack applicativo). In questi casi egli deve necessariamente rendersi garante anche della sicurezza di queste componenti. Deve essere quindi garantita la sicurezza dell’intera supply chain relativa all’applicazione SaaS (includendo anche il sistema operativo).

Deve essere presente un sistema di Identity & Access Management con una o più figure di amministrazione e diverse figure con privilegi di accesso differenziati e gerarchici. Il trattamento sicuro dei dati è indispensabile per prevenire possibili perdite di dati oppure l’accesso non protetto ai dati da parte di persone non autorizzate. Una gestione accurata delle credenziali di accesso permette di evitare la compromissione dell’applicazione stessa o dell’ambiente in cui è ospitata. Le informazioni in transito tra le varie componenti del sistema devono essere adeguatamente protette e cifrate.

Le risorse IaaS/PaaS e i software ospitati nella piattaforma Cloud (di base, middleware e applicativi) devono essere protetti dal traffico di rete indesiderato e/o dannoso, garantendo la sicurezza dei dati, del software e degli account utente, nonché prestazioni di rete non degradate.

Il Fornitore SaaS deve dotarsi di una adeguata organizzazione e di procedure operative in grado di gestire attività continue e documentabili di aggiornamenti e migliorie in tema di sicurezza. Deve inoltre gestire tempestivamente eventuali situazioni emergenziali.

Il Fornitore SaaS deve garantire che il verificarsi di incidenti di sicurezza oppure gravi disfunzioni del servizio (ad esempio nel caso di denial of service) siano prontamente rilevati e gestiti.

Di seguito è riportato il dettaglio dei requisiti di sicurezza e delle verifiche previste durante la procedura di qualificazione.

Performance e scalabilità¶

Il Fornitore SaaS è tenuto a dichiarare prima la qualità e l’affidabilità del servizio offerto durante tutto il ciclo di vita della soluzione SaaS. Le pattuizioni relative alla qualità del servizio costituiscono parte integrante del contratto di fornitura, all’interno del quale deve essere ricompresa una specifica sezione relativa ai "livelli di servizio garantiti" ovvero al Service Level Agreement (SLA).

Gli accordi relativi ai livelli di servizio garantiti (SLA) devono essere specificati mediante la quantificazione di un insieme di valori obiettivo (SLO) o intervalli di valori riferibili ad altrettanti specifici indicatori di performance, affidabilità, risultato (SLI). Il Fornitore SaaS si impegna a rispettare gli obietti inoltre a monitorare costantemente tali indicatori e a fornire all’Acquirente l’accesso ad opportuni strumenti di monitoraggio.

La sezione del contratto di fornitura relativa ai livelli di servizio garantiti deve includere le penali compensative che il Fornitore SaaS dovrà corrispondere all’Acquirente in caso di mancato rispetto di uno o più valori obiettivo (SLO). I metodi di quantificazione e le condizioni di riconoscimento delle penali compensative devono essere inclusi nel contratto ed essere allineati ai valori e alle condizioni di mercato riscontrabili per servizi analoghi o appartenenti alla medesima categoria.

Inoltre, per quanto concerne i livelli di servizio garantiti (SLA) nel loro complesso, devono essere osservate le seguenti prescrizioni:

• deve essere inclusa la definizione chiara e non ambigua di tutti gli indicatori (SLI) e dei relativi valori obiettivo (SLO);
• lo SLA deve essere consultabile pubblicamente mediante l’accesso ad un apposito URL Web;
• devono essere riportate all’interno del SLA le definizioni di tutti i termini specifici riferiti al servizio offerto o di quelli particolarmente rilevanti per la comprensione dell’accordo;
• deve essere previsto esplicitamente che, se successivamente all’avvio della fornitura si dovesse rendere necessaria una qualsiasi modifica ai livelli di servizio garantiti, questa dovrà essere preventivamente notificata all’Acquirente per ottenerne la sua approvazione;
• il Fornitore SaaS deve produrre e inviare al consumatore un report periodico (almeno con cadenza mensile), contenente il riepilogo dell’andamento dei livelli di servizio nel periodo e che evidenzi gli eventuali sforamenti rispetto agli SLO e le penali compensative maturate.

Il Fornitore SaaS deve implementare delle politiche e dei piani operativi per garantire la continuità del servizio (business continuity). Inoltre deve gestire tempestivamente il ripristino dell’operatività del servizio in seguito ad eventi catastrofici o imprevisti (disaster recovery).

Il Fornitore SaaS deve dichiarare quali sono le condizioni massime di carico sopportabili dal servizio sia in termini di numero di utenti concorrenti che utilizzano il sistema e/o volume di richieste processabili. Nel caso in cui sia prevista la scalabilità automatica dell’applicativo, il fornitore deve specificare e garantire quali sono le condizioni e i tempi di attivazione delle istanze aggiuntive.

Dettaglio degli indicatori dei livelli di servizio garantiti:

Interoperabilità e portabilità¶

Le soluzioni SaaS devono consentire l’interoperabilità dei sistemi informativi fra le Amministrazioni pubbliche e fra gli altri applicativi in uso presso il medesimo Acquirente. A tal fine le soluzioni SaaS devo esporre opportune *Application Programming Interface *(API).

Tali API dovranno rifarsi alle migliori pratiche di gestione (API management), prevedendo in particolare la tracciabilità delle versioni disponibili, la tracciabilità delle richieste ricevute ed evase, la documentazione degli endpoint SOAP e/o REST disponibili e delle rispettive modalità di invocazione.

Il Fornitore SaaS deve dichiarare se la soluzione SaaS è interoperabile con i servizi pubblici SPID e PagoPA.

Deve essere sempre possibile la migrazione dell’Acquirente verso un altro Fornitore SaaS con conseguente eliminazione permanentemente dei dati di proprietà dell’Ente al termine della procedura di migrazione. In aggiunta, per quanto coerente con la piattaforma Cloud su cui sarà dispiegato il servizio, il Fornitore SaaS dovrà garantire che la portabilità della soluzione SaaS (o reversibilità) sia conforme con i criteri e gli scenari delineati nel documento "Piattaforma SPC Cloud e Reversibilità" (disponibile online all’indirizzo https://www.cloudspc.it/files/pdf/SPC-Cloud-Reversibility-signed.pdf). Inoltre, il Fornitore SaaS dovrà predisporre e consegnare all’Acquirente un dettagliato piano di reversibilità.

La proprietà dei dati deve essere mantenuta dall’Acquirente durante tutto il ciclo di vita del servizio, anche in seguito ad operazioni di acquisizione o fallimento del fornitore.

Conformità legislativa¶

In funzione del dominio applicativo in cui la soluzione SaaS si colloca, essa dovrà risultare conforme a tutte le normative e i regolamenti del settore, relativamente ai dati trattati e alle funzionalità implementate (ad esempio, settore sanitario, settore bancario, ecc.). In aggiunta, devono essere rispettate le norme vigenti riguardanti la sicurezza e la riservatezza dei dati, anche in considerazione del fatto che il servizio prevede l’utilizzo di risorse di calcolo e di storage di tipo Cloud che non sono sotto il diretto e completo controllo dell’Acquirente.

Nello specifico, il Fornitore SaaS dovrà mettere a disposizione dell’Acquirente tutti gli strumenti necessari per consentirgli di essere conforme alla legislazione corrente.

Per consentire all’Acquirente di venire a conoscenza e valutare potenziali incompatibilità o restrizioni legislative, il Fornitore SaaS deve rendere noti gli eventuali Stati esteri in cui sono dislocati i data center, propri e/o dell’infrastruttura Cloud utilizzata, e tramite i quali verrà erogato anche parzialmente il servizio e/o all’interno dei quali transiteranno anche temporaneamente i dati gestiti dal servizio.

Dettaglio dei requisiti per la conformità legislativa:

Livelli della qualificazione SaaS¶

Sono previsti tre differenti livelli di qualificazione denominati L1, L2 e L3. Tutti i servizi che ottengono la qualificazione SaaS devono soddisfare obbligatoriamente tutti i requisiti di cui alla colonna L1 del seguente prospetto. Qualora soddisfino anche tutti o parte dei requisiti L2 e/o L3 potranno ottenere un differente livello di qualificazione corrispondente. All’interno della sezione dedicata del catalogo MePA sarà possibile consultare il dettaglio dei requisiti opzionali che i servizi SaaS soddisfano, in modo tale che gli acquirenti siano messi in grado di selezionare i servizi che meglio si adattano alle proprie particolari esigenze.

Appendice 1 - Impegni contrattuali¶

Nella tabella che segue si riepilogano i requisiti dai quali scaturiscono specifici impegni contrattuali e adempimenti formali che dovranno governare il rapporto di fornitura tra Fornitore SaaS e Acquirente SaaS. Per rispettare appieno i requisiti di qualificazione di cui al presente allegato, le clausole contrattuali presenti nei contratti di fornitura dovranno essere conformi ai principi e agli impegni di seguito richiamati.

Appendice 2 - Scheda tecnica del Servizio SaaS¶

La seguente scheda tecnica è esemplificativa. Il formato definitivo sarà disponibile sulla piattaforma dedicata di qualificazione.

Premessa¶

La presente Circolare e i relativi allegati definiscono, in attuazione a quanto previsto nel "Piano Triennale per l’informatica nella Pubblica amministrazione 2017- 2019", approvato con DPCM del 31 maggio 2017, i requisiti di qualificazione dei Cloud Service Provider (qui di seguito indicati semplicemente CSP), nonché la relativa procedura di qualificazione. Il possesso dei predetti requisiti è presupposto per l’inserimento dei CSP tra i soggetti del Cloud della Pa (NOTE: Per “Cloud della PA” ai fini della presente circolare, dei suoi allegati e delle successive integrazioni e/o modifiche si intende: l’insieme delle infrastrutture e servizi IaaS/PaaS erogati da Cloud SPC, dai PSN e dai CSP qualificati ai sensi di quanto disposto da questa Circolare.).

Ai sensi del Piano Triennale, gli obiettivi strategici nell’ambito della razionalizzazione delle infrastrutture fisiche sono costituiti da:

1. aumento della qualità dei servizi offerti in termini di sicurezza, resilienza, efficienza energetica e continuità di servizio;
2. realizzazione di un ambiente Cloud della PA, riqualificando le risorse interne alla PA già esistenti o facendo ricorso a risorse di soggetti esterni qualificati;
3. risparmio di spesa derivante dal consolidamento dei data center e migrazione dei servizi verso tecnologie cloud.

Per il raggiungimento di tali obiettivi, AgID ha previsto, tra le altre attività, una specifica procedura di qualificazione dei Cloud Service Provider nell’ambito della strategia di evoluzione del modello Cloud della PA.

Tale procedura consentirà alle Amministrazioni di utilizzare, nell’ambito del Cloud della PA, soluzioni IaaS e PaaS fornite dai CSP qualificati o altresì servizi SaaS basati su tali soluzioni di cui alla Circolare n. XX del YYY "Criteri per la qualificazione di servizi SaaS per il Cloud della PA".

A tale scopo verrà realizzato il catalogo dei CSP qualificati da AgID per l’acquisizione di soluzioni IaaS e PaaS da parte della PA mediante gli strumenti del mercato elettronico, convenzioni, accordi quadro, secondo quanto previsto nelle Disposizioni per il procurement dei servizi IaaS, PaaS e SaaS per il Cloud della PA, che saranno redatte da CONSIP.

Definizioni¶

Articolo 1 - Ambito di applicazione¶

La presente circolare definisce i requisiti di qualificazione per i fornitori Cloud Privati, nonché la relativa procedura di qualificazione e si applica a tutti i fornitori Cloud privati che hanno interesse a proporre servizi Cloud in modalità IaaS, PaaS alle Pubbliche amministrazioni, ai sensi di quanto disposto dal Piano Triennale.

Articolo 2 – Il processo di qualificazione¶

I soggetti interessati ad offrire servizi Cloud per la PA devono seguire uno specifico processo di qualificazione, articolato in tre fasi.

È possibile che il soggetto richiedente sia:

1. un fornitore privato di soluzioni Cloud che intende ottenere da AgID la qualificazione per erogare servizi di tipo Public Cloud (IaaS o PaaS) per la PA;
2. un fornitore privato di soluzioni Cloud SaaS che intende ottenere da AgID la qualificazione delle proprie soluzioni SaaS ai sensi della Circolare AgID "Criteri per la qualificazione di servizi SaaS per il Cloud della PA" per erogare servizi sfruttando la propria infrastruttura Cloud.

Nella tabella successiva sono riportati tutti gli attori coinvolti nel processo di qualificazione ed il loro ruolo in termini di responsabilità (RACI). Negli articoli seguenti sono previste le eccezioni di processo, in relazione alle fasi ed ai casi sopra elencati.

R= Responsible:  è colui che esegue le attività della fase
A= Accountable: è colui che è responsabile del risultato della fase
C= Consulted: è colui che deve essere consultato prima di una decisione
I= Informed:  è colui che  deve essere informato relativamente ad una decisione presa 
O= Out of the loop: è colui che non partecipa nel contesto della fase

A supporto del processo di qualificazione è previsto l’utilizzo della piattaforma AgID dedicata alla gestione del workflow di cui all’articolo 2 della Circolare AgID "Criteri per la qualificazione di servizi SaaS per il Cloud della PA" ed integrata con il marketplace Cloud. Tale piattaforma consentirà, tra l’altro, l’accesso tramite SPID e la trasmissione telematica dei documenti ai sensi degli art.45 e 65 comma 1/b del CAD anche mediante la sottomissione di un’unica richiesta valida sia ai fini della presente Circolare sia ai fini della richiesta di cui alla Circolare AgID “Criteri per la qualificazione di servizi SaaS per il Cloud della PA. Le modalità operative di trasmissione saranno definite in apposita comunicazione pubblicata sul sito AgID.

Articolo 3 - Criteri di ammissibilità e requisiti della qualificazione¶

La richiesta di qualificazione è ammissibile, se all’atto della presentazione della richiesta di qualificazione, il fornitore privato è abilitato da Consip sui propri sistemi d’acquisto.

I requisiti per la qualificazione si suddividono in:

1. Requisiti preliminari;
2. Requisiti organizzativi;
3. Requisiti specifici.

Il dettaglio di tali requisiti è fornito all’interno dell’allegato "A" alla presente Circolare, denominato “Requisiti per la qualificazione dei Cloud Service Provider della PA”.

AgID si riserva la facoltà di modificare/aggiornare/integrare tali requisiti sulla base dell’evoluzione del contesto e delle tecnologie.

Articolo 4 - Fasi del processo di qualificazione.¶

Articolo 5 - Revoca della qualificazione¶

L’Agenzia dispone la revoca della qualificazione, con provvedimento motivato nel caso di:

• perdita del criterio di ammissibilità;
• mancato rispetto del termine assegnato, ove non sussistano adeguati motivi di proroga, per l’eliminazione delle difformità riscontrate;
• riscontro da parte dei competenti organi di violazioni di norme relative all’attività oggetto di qualificazione;
• mancata presentazione di una richiesta di rinnovo della qualificazione entro la scadenza dell’Attestato di qualificazione di cui all’art. 6 della presente Circolare. La richiesta di rinnovo della qualificazione equivale alla richiesta di qualificazione di cui alla Fase 1 dell’art. 4 della presente Circolare.

La revoca della qualificazione comporta l’eliminazione della soluzione dal marketplace Cloud.

La revoca della qualificazione sarà comunicata a Consip e a tutte le PA che abbiano stipulato contratti ancora attivi alla data del provvedimento di revoca da parte dell’Agenzia.

Nei casi di revoca, il soggetto interessato non può presentare una nuova richiesta di qualificazione all’Agenzia se non siano cessate le cause che hanno determinato la revoca, pena l’inammissibilità della richiesta.

Articolo 6 – Utilizzo della qualificazione¶

Ai soggetti che hanno ottenuto esito positivo dell’istruttoria, sarà rilasciato da AgID apposito "Attestato di Qualificazione di Fornitore di Public Cloud della PA". Tale attestato ha una validità temporale di 24 mesi dalla data di rilascio.

Tali soggetti potranno utilizzare la suddetta qualificazione nei propri rapporti commerciali con le pubbliche amministrazioni.

Consip provvede ad abilitare l’accesso agli strumenti del mercato elettronico/convenzioni/accordi quadro ai Cloud Service Provider qualificati da AgID.

Articolo 7 - Contributo per la procedura di qualificazione¶

Al fine del ristoro dei costi sostenuti dall’Agenzia, per ciascuna richiesta di qualificazione è dovuto il pagamento di un contributo. L’Agenzia determina entro il mese di aprile di ogni anno il valore del corrispettivo dovuto per ciascuna richiesta. Il mancato pagamento entro i termini prescritti dall’Agenzia, comporta il decadimento della richiesta presentata e/o la revoca della qualificazione.

Articolo 8 - Disposizioni transitorie e finali¶

La presente Circolare entra in vigore alla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Le PA che intendono approvvigionarsi dei servizi IaaS e PaaS offerti dai CSP qualificati dall'Agenzia consultano il marketplace Cloud a partire dalla data di rilascio in esercizio della *piattaforma AgID dedicata *di cui all’art.2 della presente Circolare.

La data di attivazione della piattaforma AgID dedicata e del Marketplace Cloud sarà comunicata insieme alle modalità operative della procedura di qualificazione sul sito dell’Agenzia.

Nelle more dell’attivazione della piattaforma AgID dedicata, i soggetti che intendono avviare il processo di qualificazione possono inviare formale manifestazione d’interesse all’Agenzia, tramite posta elettronica certificata.

Le richieste di qualificazione pervenute nei 12 (dodici) mesi successivi alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana della presente Circolare non sono soggette al contributo di cui all’art.7.

Allegati¶

ALLEGATO A "Requisiti per la qualificazione dei Cloud Service Provider della PA."

ALLEGATO B "Disposizioni per il procurement dei servizi IaaS, PaaS e SaaS per il Cloud della PA"

Acronimi e definizioni¶

Si richiamano inoltre i concetti e le definizioni relativi al Cloud computing pubblicati dal National Institute of Standards and Technologies nel documento NIST Special Publication 800-145 "The NIST Definition of Cloud Computing" e quanto definito negli Standard ISO/IEC 17788:2014 e ISO/IEC 17789:2014 in particolare i concetti di:

• Software as a Service (SaaS), Platform as a service (PaaS), Infrastructure as a Service (IaaS)
• Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud
• le caratteristiche essenziali del Cloud computing: on-demand self-service, broad network access, resource pooling, rapid elasticity, measured service.

Introduzione¶

Il presente documento definisce nel dettaglio i requisiti, di cui all’art. 3 della Circolare, che il Fornitore Cloud e le soluzioni IaaS/PaaS da esso proposte devono rispettare per ottenere la qualificazione da parte di AgID quale "CSP qualificato per il Cloud della PA". Nella richiesta di qualificazione il Fornitore Cloud può includere uno o più servizi Cloud. Resta inteso che tutti i servizi per i quali è stata fatta richiesta di qualificazione devono possedere i requisiti di cui al presente allegato e dovranno essere conformi alla vigente disciplina nazionale e europea in materia di protezione dei dati personali (regolamento GDPR - General Data Protection Regulation - Regolamento UE 2016/679).

Vengono qualificati quei Cloud Service Provider che intendono offrire alla Pubblica Amministrazione uno o più servizi Cloud appartenenti alle seguenti categorie:

• IaaS
• PaaS

La procedura di qualificazione inizia con la richiesta da parte del Fornitore Cloud o un suo Partner e procede per mezzo di verifiche amministrative e documentali descritte nel presente allegato.

Sono individuati i seguenti soggetti come attori del processo di qualificazione:

• Fornitore Cloud o CSP, che fornisce, gestisce e amministra i servizi Cloud infrastrutturali di tipologia IaaS e/o PaaS, che sono oggetto della qualificazione;
• Acquirente o CSC, PA che acquisisce e/o utilizza i servizi Cloud in maniera diretta o indiretta mediante l’acquisto di soluzioni SaaS di terzi o dello stesso Fornitore Cloud.
• Partner o CSN, è un soggetto terzo che può svolgere attività di supporto e/o di consulenza per conto del CSP o del CSC. Qualora il partner agisse per conto del Fornitore Cloud per mezzo di opportuna delega e dandone visibilità, può richiedere la qualificazione per conto del CSP.
• AgID o Agenzia, Agenzia per l’Italia Digitale in qualità di soggetto responsabile della procedura di qualificazione.

Requisiti delle soluzioni Cloud¶

AgID, come indicato all’art. 3 della Circolare, ha classificato i requisiti per la qualificazione dei Cloud Service Provider e delle soluzioni Cloud come segue:

• Requisiti preliminari (RP),
• Requisiti organizzativi (RO),
• Requisiti specifici.

Nell’ambito del presente allegato i requisiti specifici vengono ulteriormente raggruppati in:

• sicurezza (RS),
• privacy e protezione dei dati personali (RPP)
• performance e scalabilità (RPS),
• interoperabilità e portabilità (RIP),
• conformità legislativa (RCL).

Requisiti preliminari¶

Al Fornitore Cloud viene richiesto di produrre la documentazione necessaria al fine di dimostrare:

• di aver gestito in passato ed essere in grado di gestire "situazioni critiche" quali: operazioni di disaster recovery, verifica dell’integrità dei dati e eventuale recupero;
• di disporre di un adeguato sistema di gestione della qualità applicato all’erogazione dei servizi offerti.

La tabella seguente riporta i requisiti preliminari e il tipo di verifica richiesta per ognuno di essi.

Requisiti organizzativi¶

Per quanto concerne le soluzioni IaaS/PaaS oggetto di qualificazione, al Fornitore Cloud viene richiesto di produrre la documentazione necessaria al fine di dimostrare il possesso dei seguenti requisiti organizzativi,:

• di disporre un servizio di supporto clienti strutturato (24x7) ed in grado di coprire le esigenze operative che possono manifestarsi nel contesto dell’erogazione dei servizi proposti.
• di aver adottato procedure formali che disciplinano attività quali:
  • gestione del cambiamento (change management);
  • gestione delle configurazioni (configuration management);
  • gestione degli incidenti (sicurezza e infrastruttura);
• di garantire trasparenza e semplicità dell’offerta economica nelle soluzioni contrattuali.

Gli standard di riferimento per questo insieme di requisiti sono quelli che appartengono alla famiglia ISO/IEC 20000, in particolare gli standard ISO/IEC 20000-1 e ISO/IEC TR 20000-9.

Al fine di garantire un’adeguata gestione della fornitura il Fornitore Cloud deve permettere all’Acquirente di di amministrare in maniera strutturata e automatizzata le fasi di acquisto e di gestione/configurazione di ciascun servizio e, ove applicabile, di tutte le risorse/elementi/funzionalità associate (ad es. selezione dei template PaaS, configurazione dei server virtuali, gestione delle risorse di rete, ecc.), garantendo controlli di coerenza durante tutto il processo. Tali prerogative dovranno essere rese disponibili almeno attraverso:

• uno strumento (console o pannello) fruibile in modalità Web-based e con accesso sicuro;
• la disponibilità di API invocabili da remoto in modalità SOAP/REST.

Analoghi strumenti, possibilmente integrati con i precedenti e tra di loro, dovranno essere messi a disposizione al fine di consentire all’Acquirente il monitoraggio delle performance e dell’utilizzo delle risorse (compreso l’accesso ai log), nonché per la gestione amministrativa degli ordini e il controllo dei costi. Si vedano a tal proposito i requisiti RO11 e RO12.

La tabella seguente riporta i requisiti organizzativi e il tipo di verifica richiesta per ognuno di essi.

Il fornitore potrà dichiarare e documentare il possesso di ulteriori requisiti di tipo organizzativo e/o altre certificazioni tecniche che abbiano attinenza con i servizi Cloud sottoposti alla procedura di qualificazione.

Requisiti specifici¶

Il Fornitore Cloud deve dimostrare di essere in grado di erogare i servizi proposti dal punto di vista tecnologico, rispettando i requisiti specifici concernenti le seguenti tematiche:

• sicurezza, privacy e protezione dei dati (RSI)
• performance (RPE),
• interoperabilità e portabilità (RIP),
• conformità legislativa (RCL).

Appendice 1 - Impegni contrattuali¶

Nella tabella che segue si riepilogano i requisiti dai quali scaturiscono specifici impegni contrattuali e adempimenti formali che dovranno governare il rapporto di fornitura tra Fornitore Cloud e Acquirente. Per rispettare appieno i requisiti di qualificazione di cui al presente allegato, le clausole contrattuali presenti nei contratti di fornitura dovranno essere conformi ai principi e agli impegni di seguito richiamati.

Appendice 2 - Scheda tecnica del Servizio¶