Convenzione SPID - dove trovarla ?

Vorrei parlare di una questione di natura un po’ meno tecnica e un po’ più amministrativa:
fino a qualche tempo fa sul sito www.spid.gov.it era disponibile il testo scaricabile in formato doc dello schema di convenzione da inviare all’AgID per completare la parte amministrativa di adesione a SPID, dopo aver completato con successo la procedura tecnica.
Come fornitore di servizi, per i clienti che abbiamo già attivato con SPID, abbiamo fornito assistenza anche sulla parte amministrativa, indicando la convenzione da firmare e precompilando il file con l’elenco dei servizi accessibili.
Ora il file con lo schema di convenzione non è più disponibile e viene indicato che sarà fornito su richiesta.
Ma come deve essere richiesto e a chi?
Una volta completata la procedura tecnica, è comunque necessario firmare e inviare la convenzione prima di attivare l’autenticazione SPID su qualsiasi servizio in produzione ?

Grazie 1000 per qualsiasi chiarimento in proposito
Buona giornata a tutti
Federico

1 Mi Piace

Qualcuno ha qualche informazione da darci riguardo alle modalità per avere e inviare la convenzione?
Abbiamo 3 comuni che tecnicamente sono attivi su SPID, ma prima di attivarli in produzione volevamo indicare loro i passi amministrativi da fare.

Grazie per qualsiasi risposta
Buona giornata a tutti
Federico

Ciao @FedericoA,
scusa il ritardo.

Le convenzioni vengono ora inviate solo dopo che è stata effettuata la verifica delle convenzioni.
Nel frattempo che mettiamo in funzione la nuova procedura di onboarding, il processo da seguire è il seguente:

Procedura amministrativa

Per procedere alla firma della convenzione dovrà essere effettuata una verifica tecnica sull’implementazione di SPID da parte di ogni Service Provider.
Per richiedere la verifica è necessario inviare un ticket all’indirizzo https://helpdesk.spid.gov.it, categoria “Richiesta verifica tecnica e convenzione” indicando, tra le informazioni richieste, anche quella delle url dei servizi da validare. Una volta che la verifica avrà dato esito positivo, verrà inviata la convenzione da firmare e il file nel quale si dovrà dare evidenza dei dati relativi ai servizi accedibili con SPID. Infine i due documenti dovranno essere inviati all’indirizzo protocollo@pec.agid.gov.it.
Entro pochi giorni vi verrà inviata, all’indirizzo pec, la convenzione controfirmata.

Maggiori info su: https://www.spid.gov.it/sei-una-pubblica-amministrazione

Umberto Rosini
Agenzia per l’Italia Digitale

Grazie della risposta, @umbros, ho visto che adesso è stata aggiornata la pagina in “Sei una pubblica amminstrazione”.

Mi servirebbe ancora un chiarimento in proposito, però:
noi siamo fornitori privati della PA e agiamo come intermediari per SPID, gestendo portali della PA e autenticando gli utenti SPID su di un unico IAM, che è già in produzione, tra l’altro, su alcuni enti (che avevano inviato la convenzione con le “vecchie” modalità).

1 - Come dobbiamo procedere per la verifica tecnica? Indichiamo un ente che già sta funzionando ? O uno che dobbiamo ancora attivare in produzione che ha già superato il controllo dei metadata?
E dobbiamo flaggare “Convenzione per service provider pubblici” oppure “Convenzione per enti aggregatori” (ma noi siamo un privato, anche se aggreghiamo enti pubblici) ?

2 - Dato che lo IAM è unico per tutti, possiamo fare la verifica una sola volta per un ente e poi avere subito le convenzioni per gli altri?

3 - Come URL, dobbiamo comunicare direttamente quella corrispondente al AssertionConsumerService oppure quelle di accesso al servizio per gli utenti ? Nel secondo caso, o attiviamo in produzione l’autenticazione SPID oppure forniamo l’URL di un ente di test (che sarà lo stesso per tutti, però, e che possiamo configurare di volta in volta con diversi entityID).

Scusa tutte queste domande, ma abbiamo alcuni Enti da attivare in produzione, che ci stanno chiedendo, e vorrei poterlo fare correttamente.

Grazie ancora, ciao e buona serata
Federico

Ciao @FedericoA,

Gli enti aggregatori possono essere soltanto Pubbliche Amministrazioni quali, ad esempio, le Regioni, quindi dovete comunque, eventualmente, supportare le PA alla compilazione della convenzione.
Per quanto riguarda le verifiche tecniche queste sono comunque da farsi ma la procedura sarà molto più veloce visto che si tratta già di soluzioni implementate a SPID e testate.

Nella verifica non viene testato soltanto il funzionamento dello IAM e delle asserzioni prodotte o gestite in ritorno dagli IDP, ma anche il funzionamento dell’applicazione che dialoga con lo IAM.

L’ambiente di preproduzione/test va benissimo.

Qualsiasi domanda è sempre utile.

Grazie e buona serata

Umberto Rosini
Agenzia per l’Italia Digitale

Mi allaccio a questo vecchio post. Vista l’entrata in vigore del GDPR vorrei capire se rispetto ai requisiti del vecchio schema ci sono cambiamenti sostanziali o no. Per una PA la parte amministrativa alle volte può anche essere più difficoltosa di quella tecnica. Ricordo per esempio una serie di obblighi in caso di data breach e mi chiedo come questo si colleghi alle nuove figure richieste dal GDPR. @umbros grazie

Salve Umberto (@umbros), vorrei sapere come fare ad ottenere la validazione tecnica e la convenzione.
Con l’azienda per cui lavoro abbiamo avviato molti enti pubblici ma sono tutti da mesi in attesa della validazione tecnica e della convenzione.
Dopo la validazione del metadato facciamo regolare richiesta di validazione tecnica all’indirizzo spid.tech@agid.gov.it ma non non riceviamo nessuna risposta. Abbiamo provato anche ad aprire issue su github per il medesimo scopo ma ancora tutto tace.