Buongiorno, nel caso di un servizio offerto alle PA con le seguenti caratterisitche:
Il servizio consiste in un calendario appuntamenti ospitato su un nostro sito web, sincronizzato con sistemi eliminacode installati in strutture pubbliche.
Il calendario è visualizzato su una pagina del nostro sito e i data base sul sito non contengono dati sensibili ma soltanto il numero di turno e i riferimenti temporali dell’appuntamento.
La pagina web da cui si prenota non è integrata in un cloud della pubblica amministrazione, si accede a questa tramite un rimando (link) dal loro sito.
L’integrazione con il sistema eliminacode interno alla PA non avviene tramite API, ma sono periodicamente ricavati gli appuntamenti tramite query sugli archivi del nostro sito.
Il sito non è ospitato su nostri server ma è gestito da un provider.
su nostra domanda il nostro provider ci ha risposto che il servizio ospitato sul loro server è ospitato all’interno di un hosting shared, non venduto come cloud né classificato come cloud
La domanda è: è necessaria la certificazione SaaS?
Grazie
Quesito molto interessante, visto che pone l’attenzione, in un momento in cui la maggior parte delle applicazioni sono applicazioni web, su dove stia il limite fra sito web e applicazione.
La risposa di Andrea, a mio modesto avviso, è riduttiva.
Credo pero’ che la discussione andrebbe spostata in altra sezione…
Hai ragione. Qualsiasi servizio acquistato dalla PA deve essere certificato SAAS, provenire da Riuso o entrare nel catalogo secondo una procedura che deciderà il Dipartimento (es. github).
Il resto non avendo i requisiti minimi richiesti dal SAAS secondo me non andrebbe acquistato.
Questo chiaramente dal 1 Aprile 2019 secondo regolamento, in pratica in prospettiva secondo me si formerà un gruppo di applicazioni"certificate da catalogo" un gruppo non certificate. Io preferirei comprare tra le certificate.
Ho riletto, forse ho compreso meglio lo scenario proposto.
Sembra che il calendario raccontato consenta di interagire a distanza con l’eliminacode e ne costituisca un’appendice, una funzione aggiuntiva. Viene da supporre che anche l’eliminacode sia un servizio esternalizzato e non integrato col sistema informativo dell’ente.
Per quanto non sia semplice orientarsi nel dedalo normativo, direi che l’ICT che sta dietro al servizio sia affare del/i fornitori, che risponde/ono della qualità del servizio reso, che in questo caso ha ben poco di ICT ma consiste nel far arrivare delle persone in maniera ordinata a uno sportello.
Lo stesso per i dati personali che eventualmente il fornitore raccoglie, se all’ente non serve sapere in anticipo chi si presenterà allo sportello (titolare del trattamento dei dati è il fornitore e li raccoglie al fine di staccare un biglietto dell’eliminacode).
Se poi anche l’eliminacode fosse parte del sistema informativo, il fatto di aprire un canale di comunicazione verso l’incaricato esterno, probabilmente non ingloba il software usato dall’incaricato esterno nel sistema informativo dell’ente.
Insomma, in generale, c’e’ da capire in che punto ci si colloca fra:
il servizio (dare un risultato);
la fornitura di software come servizio (il fornitore consente all’ente l’uso di un suo software e di tutto il contorno per farlo funzionare per consentire all’ente di raggiungere un risultato);
la fornitura di software tout-court (il fornitore consente l’uso del software, l’ente si preoccupa del contorno per farlo funzionare e di raggiungere il risultato).
Grazie per i contributi.
Per chiarire ancora meglio lo scenario, posso aggiungere che Il nostro software eliminacode è effettivamente residente all’interno dell’ente (nel senso che ad ex. il dbms è su un loro computer inserito in rete locale) ma non fa parte del sistema informativo dell’ente.
Sintetizzando, la funzionalità aggiuntiva che permette agli utenti di prendere appuntamenti via Web , consente al personale della PA di rilasciare a sua volta, tramite un’applicazione desktop, appuntamenti presi telefonicamente o al volo con l’utente presente e visualizzare quindi gli appuntamenti presenti sul DBMS che si trova sul nostro sito Web al momento dell’appuntamento il ticket viene inserito localmente, come se l’utente prendesse il biglietto fisicamente, e subito viene chiamato. Sul DBMS che si trova sul nostro sito Web ovviamente ci sono anche appuntamenti presi da altre PA, la distinzione avviene tramite una codifica delle PA.
Ora, considerando l’eventualità che ci dobbiamo certificare o che volessimo comunque certificarci, scorrendo la documentazione da esibire e i questionari notiamo che le domande presenti non sono granché inerenti al nostro tipo di servizio. Ci chiediamo se dobbiamo comunque certificarci come se erogassimo un servizio di anagrafe della pubblica assistenza o invece c’è la possibilità di effettuare una certificazione “light”.