Buongiorno, dal 01/08/2024 è entrato in vigore il “Regolamento per le infrastrutture digitali e per i servizi cloud per la Pubblica Amministrazione” di ACN.
I servizi cloud “ordinari” per le PA devono rispettare i livelli minimi di cui alla sezione 2 dell’Allegato 3 (caratteristiche di base previste nel caso di dati e servizi ordinari).
Trattandosi di soluzioni qualificate ACN tali requisiti dovrebbero essere propedeutici all’ottenimento della qualificazione stesse. Mi chiedo pertanto quali controlli possa effettuare una PA, fatta eccezione per il rispetto della continuità operativa e degli SLA. Cosa ne pensate? Dobbiamo realizzare un capitolato speciale di appalto per servizi cloud-saas e stiamo valutando l’inserimento di tali vincoli.
Grazie in anticipo.
Buongiorno Luca, a parte richiedere di visionare le certificazioni richieste (es. 27001) quello che si può inserire nei capitolati è, oltre all’ovvio rispetto di tutti i requisiti dell’Allegato 3, di avere piena visibilità che l’Infrastruttura su cui è ospitato il SaaS sia a sua volta presente sul Catalogo ACN e, almeno nel caso dei progetti PNRR, rispetti il requisito DNSH. Inoltre si possono (e dovrebbero) richiamare i singoli requisiti per cui l’Amministrazione ha dei “diritti” specifici(es. il QU.SE-02 per cui l’Amministrazione può richiedere l’esposizione tramite API dei servizi di assistenza e supporto o il PR.AC-01 per cui l’Amministrazione può richiedere la consultazione delle politiche per la gestione delle credenziali…)
Buongiorno Leonardo, grazie per la risposta dettagliata.