È indispensabile che il servizio soddisfi i requisiti?
RS1: Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione
RIP1: il servizio espone opportune Application Programming Interface (API) di tipo SOAP e/o REST associate alle funzionalità del servizio
Per quanto riguarda il primo, nel form per procedere alla qualificazione c’è scritto che “Le informa-zioni circa l’esecuzione dei test OWASP saranno pubblicamente consultabili nell’ambito del Cloud Marketplace” ma non trovo indicazioni dell’esito dei test OWASP nelle schede tecniche dei servizi qualificati e nemmeno delle API dei servizi qualificati presenti all’indirizzo: https://cloud.italia.it/marketplace/supplier/market/index_SaaS.html
Mi chiedevo quindi se i requisiti RIP1 e RS1 fossero imprescindibili o facoltativi al fine di procedere alla qualificazione del servizio.
con riferimento al suo quesito, confermiamo che in base a quanto previsto dalla circolare n. 3/2018, il soddisfacimento dei requisiti RS1 e RIP1 risulta, in entrambi i casi, obbligatorio.
Si segnala che la scheda tecnica del servizio pubblicata sul Cloud Marketplace viene attualmente riportata in versione ridotta; la versione completa della scheda tecnica del servizio sarà a breve disponibile per tutti i servizi qualificati in quanto è in corso un aggiornamento complessivo della piattaforma dedicata.
Nella sezione “Misure di sicurezza e protezione dei dati” sarà presente il riferimento ai test OWASP, mentre nella sezione “API” saranno presenti le informazioni sulle API.
Saluti,
Qualificazioni Cloud
Servizio Razionalizzazione risorse ICT PA
Agenzia per l’Italia Digitale
Buonasera ,
riguardo al quesito inerente
rs1. Il Fornitore SaaS deve indicare se la soluzione SaaS è stata sottoposta e ha superato i test OWASP.
Non mi è chiaro se qualora non vengano superati i test OWASP la richiesta di qualificazione del servizio venga bloccata o non possa proseguire il suo iter. Grazie in anticipo per la risposta.