CIRCOLARE N. XX del XX Gennaio 2018

Criteri per la qualificazione di servizi SaaS per il Cloud della PA1

Premessa

La presente Circolare e i relativi allegati definiscono, in attuazione a quanto previsto nel "Piano Triennale per l’informatica nella Pubblica amministrazione 2017 - 2019", approvato con DPCM del 31 maggio 2017, i requisiti di qualificazione di una soluzione SaaS per la PA erogabile sul Cloud della PA, nonché la relativa procedura di qualificazione. Il possesso dei predetti requisiti è presupposto per l’inserimento di una soluzione SaaS destinata a essere erogata sul Cloud della Pa nel Marketplace SaaS in corso di realizzazione.

Ai sensi del Piano Triennale, gli obiettivi strategici nell’ambito della razionalizzazione delle infrastrutture fisiche sono costituiti da:

  1. aumento della qualità dei servizi offerti in termini di sicurezza, resilienza, efficienza energetica e continuità di servizio;
  2. realizzazione di un ambiente cloud della PA, riqualificando le risorse interne alla PA già esistenti o facendo ricorso a risorse di soggetti esterni qualificati;
  3. risparmio di spesa derivante dal consolidamento dei data center e migrazione dei servizi verso tecnologie cloud.

Per il raggiungimento di tali obiettivi, AgID ha previsto, tra le altre attività, una specifica procedura di qualificazione di soluzioni SaaS nell’ambito della strategia di evoluzione del modello Cloud della PA.

Tale procedura consentirà alle Amministrazioni di utilizzare, nell’ambito del Cloud della PA, soluzioni SaaS in possesso di un set minimo di requisiti comuni.

A tale scopo verrà realizzato il catalogo di tutte le applicazioni SaaS disponibili per le PA che darà vita al marketplace delle soluzioni SaaS, per i servizi acquisibili dal mercato, secondo quanto previsto nelle Disposizioni per il procurement dei servizi SaaS per il Cloud della PA redatte da CONSIP e riportate nell’allegato B alla presente Circolare, denominato "Disposizioni per il procurement dei servizi SaaS per il Cloud della PA".

Definizioni

Termine o abbreviazione Descrizione
AgID, Agenzia Agenzia per l’Italia Digitale
Codice /Codice dell’Amministrazione Digitale/CAD Decreto Legislativo 7 marzo 2005, n. 82 e s.m.i.
Cloud della PA Il Cloud della PA è composto dalle infrastrutture e servizi IaaS/PaaS erogati da Cloud SPC, dai PSN e dagli altri CSP che saranno qualificati come compatibili con i requisiti della PA.
Cloud Insieme di infrastrutture tecnologiche remote utilizzate come risorsa virtuale per la memorizzazione e/o l’elaborazione nell’ambito di un servizio
Cloud SPC o SPC Cloud Contratto Quadro stipulato da CONSIP con il RTI aggiudicatario della Gara SPC Cloud Lotto 1 (https://www.cloudspc.it/ )
CSP Cloud Service Provider, ovvero fornitore di servizi erogati in modalità Cloud
Fornitore Soggetto richiedente la qualificazione SaaS
Giorni Giorni solari
Marketplace SaaS Piattaforma digitale che permette la selezione e l'acquisto di applicazioni software erogate in Cloud secondo il modello Software-as-a-Service
Pubbliche amministrazioni/Amministrazioni/PA Le Amministrazioni, come meglio definite all’art. 2, comma 2 del Codice dell’Amministrazione Digitale.
PSN Soggetto titolare dell’insieme di infrastrutture IT (centralizzate o distribuite), ad alta disponibilità, di proprietà pubblica, eletto a Polo Strategico Nazionale dalla Presidenza del Consiglio dei Ministri, e qualificato da AgID ad erogare ad altre amministrazioni, in maniera continuativa e sistematica, servizi infrastrutturali on-demand, servizi di disaster recovery e business continuity, servizi di gestione della sicurezza IT ed assistenza ai fruitori dei servizi erogati.
Software as a Service Tra i modelli di servizio offerti dalle piattaforme di Cloud computing, il Software as a Service (SaaS) è il servizio fully-managed in cui il gestore del servizio si occupa della predisposizione, configurazione, messa in esercizio e manutenzione dello stesso, lasciando al fruitore del servizio il solo ruolo di utilizzatore delle funzionalità offerte e che, quindi, non senza oneri di gestione, gestisce o controlla l’infrastruttura cloud necessaria all’erogazione del servizio sottostante.
SPID Sistema Pubblico d'Identità Digitale, ovvero la soluzione che permette di accedere a tutti i servizi online della Pubblica Amministrazione e di privati federati con un'unica Identità Digitale (username e password) utilizzabile da computer, tablet e smartphone (http://www.spid.gov.it).

Articolo 1 - Ambito di applicazione

La presente Circolare definisce i requisiti di qualificazione delle soluzioni SaaS erogabili sul Cloud della PA nonché la relativa procedura di qualificazione e si applica a tutti i soggetti pubblici e fornitori ICT privati che hanno interesse a proporre soluzioni alle Pubbliche amministrazioni in modalità SaaS (Software as a Service).

Articolo 2 – Il processo di qualificazione

Il soggetto richiedente può essere:

  1. un fornitore privato di soluzioni SaaS che intende erogare tali soluzioni su una o più infrastrutture del Cloud della PA; il fornitore di soluzioni SaaS può essere esso stesso un CSP qualificato;
  2. una PA che intende erogare soluzioni SaaS su una o più infrastrutture del Cloud della PA.

Il processo di qualificazione è articolato in cinque fasi:

  1. Richiesta di qualificazione
  2. Istruttoria documentale
  3. Test e collaudo (solo su richiesta del fornitore e in caso di erogazione su SPC Cloud o PSN)
  4. Istruttoria post-collaudo (solo su richiesta del fornitore e in caso di erogazione su SPC Cloud o PSN)
  5. Mantenimento della qualificazione (Monitoraggio)

Nella tabella successiva sono riportati tutti gli attori coinvolti nel processo di qualificazione ed il loro ruolo in termini di responsabilità (RACI) per ognuna delle fasi.

Negli articoli seguenti sono previste le eccezioni di processo, in relazione alle fasi ed ai casi sopra elencati.

N. Fasi del processo di qualificazione Soggetto AgID CONSIP PSN / SPC Cloud Clienti (PA)
1 Richiesta di qualificazione A, R I I O O
2 Istruttoria documentale I R, A C O O
3 Test e collaudo (solo su richiesta del fornitore e in caso di erogazione su SPC Cloud o PSN) R R, A I I O
4 Istruttoria post-collaudo (solo su richiesta del fornitore e in caso di erogazione su SPC Cloud o PSN) I R, A C O O
5 Mantenimento della qualificazione (Monitoraggio) C A C O R
R= Responsible:  è colui che esegue le attività della fase
A= Accountable: è colui che è responsabile del risultato della fase
C= Consulted: è colui che deve essere consultato prima di una decisione
I= Informed:  è colui che  deve essere informato relativamente ad una decisione presa
O= Out of the loop: è colui che non partecipa nel contesto della fase

A supporto del processo di qualificazione è previsto l’utilizzo di una piattaforma AgID dedicata alla gestione del workflow ed integrata con il marketplace SaaS. Tale piattaforma consentirà, tra l’altro, l’accesso tramite SPID e la trasmissione telematica dei documenti ai sensi degli art.45 e 65 comma 1/b del CAD.

Le modalità operative di trasmissione saranno definite in apposita comunicazione pubblicata sul sito AgID.

Articolo 3 - Criteri di ammissibilità

Al momento della richiesta di qualificazione:

  1. il soggetto richiedente, se fornitore SaaS privato, deve risultare abilitato sul sistema "Acquistinretepa" di Consip;
  2. la soluzione SaaS proposta per la qualificazione deve essere erogata mediante una o più infrastrutture del Cloud della PA (PSN, Cloud SPC o CSP qualificato da AgID). Nel caso in cui l’infrastruttura Cloud sia privata e di proprietà del fornitore SaaS, tale infrastruttura deve essere qualificata come CSP da AgID ai sensi di quanto disposto nel Piano Triennale.

Ai fini dell’ammissibilità alla procedura di qualificazione, il possesso dei requisiti di cui al presente articolo può essere oggetto di autocertificazione.

Articolo 4 - Requisiti per la qualificazione

Sulla base degli obiettivi definiti nel Piano Triennale, AgID ha individuato i requisiti per la qualificazione di soluzioni SaaS, suddividendoli in:

  1. Requisiti preliminari;
  2. Requisiti organizzativi;
  3. Requisiti specifici.

Il dettaglio di tali requisiti è fornito all’interno dell’allegato "A" alla presente Circolare, denominato “Requisiti per la qualificazione di soluzioni SaaS nell’ambito del Cloud della PA”.

AgID si riserva la facoltà di modificare/aggiornare/integrare tali requisiti sulla base dell’evoluzione del contesto e delle tecnologie.

Articolo 5 - Fasi del processo di qualificazione.

Fase 1 - Richiesta di qualificazione

Il soggetto interessato alla qualificazione della soluzione SaaS provvede ad inserire sulla *piattaforma AgID dedicata *apposita richiesta, fornendo le informazioni e la documentazione relativa sia ai criteri di ammissibilità sia al possesso dei requisiti di cui all’allegato "A" alla presente Circolare.

All’atto della presentazione della richiesta di qualificazione SaaS, il soggetto richiedente dovrà dichiarare che, conseguita la qualificazione, si impegna a rispettare, in maniera integrale e incondizionata, senza eccezione, deroga o riserva alcuna, per tutta la durata dei contratti di fornitura stipulati con le Amministrazioni clienti, quanto previsto all’appendice 1 dell’Allegato "A" alla presente Circolare.

Il soggetto richiedente dovrà altresì dichiarare che si impegna ad accettare nei contratti con le Amministrazioni clienti la clausola di risoluzione anticipata in caso di revoca della qualificazione della soluzione SaaS da parte di AgID ed a sottoporsi a qualsiasi verifica che l’Agenzia potrà disporre a garanzia del rispetto degli impegni assunti e del mantenimento dei requisiti e dei criteri di ammissibilità richiesti.

Fase 2 - Istruttoria documentale

La fase istruttoria inizia con la verifica preliminare delle informazioni e della documentazione fornita dai soggetti richiedenti, relative al possesso dei requisiti di cui all’articolo 3 della presente Circolare.

L’eventuale esito negativo di tale verifica preliminare viene notificato telematicamente da AgID al soggetto interessato, secondo le modalità operative di trasmissione definite in apposita comunicazione, entro 30 giorni dalla ricezione della richiesta di qualificazione SaaS. Il silenzio dell’Agenzia nel termine indicato equivale all’ammissione della richiesta di qualificazione per come proposta.

Per le richieste ammesse, AgID effettua la verifica delle informazioni e della documentazione fornita dai soggetti richiedenti rispetto ai requisiti di cui all’art.4, per come dettagliati all’Allegato "A" della presente Circolare.

L’esito della verifica delle richieste ammesse potrà essere:

  1. Positivo: la richiesta di qualificazione rispetta i requisiti oggetto di verifica documentale. Nel solo caso di soluzioni SaaS erogate su SPC Cloud o su PSN, il fornitore che ne abbia fatta esplicita richiesta, concorda con AgID la data del test e del collaudo della soluzione. Il collaudo avviene previo invio all’Agenzia di un documento denominato "Piano di Test" almeno 20 giorni prima della data concordata. A garanzia del fornitore, il “Piano di Test” dovrà contenere le istruzioni per effettuare le fasi di provisioning e deployment della soluzione SaaS e consentirne la verifica del corretto funzionamento, secondo i requisiti indicati nell’allegato “A” alla presente Circolare. ;
  2. Negativo con riserva: la richiesta di qualificazione deve essere oggetto di ulteriori verifiche. AgID trasmette l’esito negativo con riserva e contestuale richiesta di documentazione ed informazioni ad integrazione e completamento di quanto inserito nella piattaforma AgID dedicata. Il soggetto richiedente fornisce i documenti e le informazioni integrative all’Agenzia entro 20 giorni dalla ricezione della richiesta.. Qualora il soggetto richiedente invii nei termini i documenti e le informazioni integrative , l’Agenzia, previa verifica, comunicherà l’esito dell’istruttoria (Positivo o Negativo).Qualora il soggetto richiedente non invii nei termini i documenti e le informazioni integrative, la richiesta di qualificazione SaaS si intenderà respinta;
  3. Negativo: la richiesta di qualificazione è respinta. Il soggetto non può presentare una nuova richiesta per la medesima soluzione SaaS se non siano venute meno le cause che hanno determinato il mancato accoglimento e/o superamento del collaudo e comunque non prima di 90 giorni dalla comunicazione dell’esito negativo.

Il provvedimento avente per oggetto l’esito della verifica viene notificato telematicamente da AgID al soggetto interessato in apposita comunicazione, entro 60 giorni dalla ricezione della richiesta. Nel caso di esito negativo con riserva, il termine di 60 giorni si intende interrotto.

Fase 3 – Test e collaudo (Opzionale)

Nel caso di richieste di qualificazione SaaS erogate su SPC Cloud o su PSN, qualora il fornitore ne abbia fatta esplicita richiesta, in seguito alla notifica positiva della Fase 2 "Istruttoria documentale", avrà luogo la fase di test e collaudo su ambiente SPC Cloud Lotto 1 o equivalente. L’ambiente SPC Cloud Lotto 1 o altro ambiente tecnologicamente omogeneo sarà messo a disposizione e comunicato da AgID al fornitore SaaS.

Durante questa fase il fornitore SaaS ed AgID eseguono congiuntamente i test contenuti nel documento "Piano dei Test".

AgID si riserva di effettuare ulteriori test non previsti all’interno di tale documento volti a verificare il possesso dei requisiti (cfr. Allegato A) da parte della soluzione SaaS oggetto di qualificazione.

Fase 4 –Istruttoria post-collaudo (Opzionale)

Al termine della fase 3, AgID procede alla verifica del mantenimento dei criteri di ammissibilità e comunica al soggetto l’esito della procedura di qualificazione che potrà essere:

  1. Positivo: la richiesta di qualificazione si considera accolta;
  2. Negativo con riserva: è necessario ripetere il test e collaudo di cui alla Fase 3 concordando con AgID i nuovi termini e modalità;
  3. Negativo: la richiesta di qualificazione è respinta. Il soggetto non può presentare una nuova richiesta per la medesima soluzione SaaS se non siano cessate le cause che hanno determinato il mancato accoglimento e comunque non prima di 90 giorni.

L’esito viene notificato da AgID al soggetto interessato, secondo le modalità operative di trasmissione definite in apposita comunicazione, entro 60 giorni dalla conclusione della Fase 3 "Test e Collaudo". A seguito dell’avvenuta qualificazione, l’Agenzia comunica a Consip la soluzione SaaS qualificata.

Fase 5 – Mantenimento della qualificazione

L’Agenzia verifica la persistenza del possesso dei criteri di ammissibilità e dei requisiti previsti per la qualificazione e di quanto dichiarato nel corso della procedura di qualificazione.

La verifica è avviata sulla base di segnalazioni formali indirizzate all’Agenzia da parte dell’Amministrazione cliente/utente della soluzione SaaS qualificata e svolta con l’esecuzione di attività ispettive e/o richieste di nuovi test da parte di AgID o di soggetti terzi dalla stessa incaricati.

Pertanto, al fine del mantenimento della qualifica, il soggetto richiedente si impegna a comunicare tempestivamente all’Agenzia ogni evento che modifichi il rispetto dei requisiti di cui all’allegato "A" alla presente Circolare.

L’Agenzia si riserva, inoltre, la facoltà di richiedere al soggetto ogni ulteriore documento correlato all’espletamento del processo di qualificazione, che consideri necessario per poter svolgere le previste attività di verifica. Le difformità riscontrate nel corso dell’attività di verifica sono comunicate al soggetto interessato con indicazione delle modalità e del termine per la loro risoluzione. Qualora durante le attività di verifica dovessero emergere elementi relativi a possibili violazioni della normativa sulla privacy, l’Agenzia ne informa tempestivamente il Garante per la protezione dei dati personali.

Articolo 6 - Revoca della qualificazione

L’Agenzia dispone la revoca della qualificazione SaaS, con provvedimento motivato nel caso di:

  • perdita dei criteri di ammissibilità;
  • mancato rispetto del termine assegnato, ove non sussistano adeguati motivi di proroga, per l’eliminazione delle difformità riscontrate;
  • riscontro da parte dei competenti organi di violazioni di norme relative all’attività oggetto di qualificazione.

La revoca della qualificazione comporta l’eliminazione della soluzione dal marketplace delle soluzioni SaaS ed il divieto di utilizzo del logo rilasciato da AgID nei rapporti commerciali del fornitore.

L’eliminazione della soluzione dal marketplace SaaS è comunicata a tutte le PA che abbiano stipulato contratti ancora attivi alla data del provvedimento di revoca da parte dell’Agenzia.

Nei casi di revoca della qualificazione SaaS, il soggetto interessato non può presentare una nuova richiesta di qualificazione all’Agenzia se non siano venute meno le cause che hanno determinato la revoca, pena l’inammissibilità della richiesta.

Si specifica, inoltre, che in caso di aggiornamento del software che incide su almeno uno dei requisiti di cui all’art. 4, il soggetto interessato deve procedere a presentare una nuova richiesta di qualificazione della soluzione SaaS. In tal caso, al fine di semplificare il nuovo processo di qualificazione, l’Agenzia potrà tenere conto della documentazione già presentata e procedere alla sola verifica dei nuovi requisiti.

Articolo 7 – Utilizzo della qualificazione SaaS.

Ai soggetti la cui soluzione SaaS ha ricevuto esito positivo nell’istruttoria di qualificazione sarà rilasciato da AgID apposito "Attestato di qualificazione SaaS" con specifico logo appositamente registrato.

Tali soggetti potranno utilizzare la qualificazione della soluzione SaaS nei propri rapporti commerciali con le Pubbliche amministrazioni o gli altri soggetti – clienti.

Articolo 8 - Contributo per la procedura di qualificazione

Al fine del ristoro dei costi sostenuti dall’Agenzia, per ciascuna richiesta di qualificazione delle soluzioni SaaS è dovuto il pagamento di un contributo. L’Agenzia determina entro il mese di aprile di ogni anno il valore del corrispettivo dovuto per richiesta. Il mancato pagamento entro i termini prescritti dall’Agenzia, comporta il decadimento della richiesta presentata e/o la revoca della qualificazione SaaS.

Articolo 9 - Disposizioni transitorie e finali

La presente Circolare entra in vigore alla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Le PA che intendono approvvigionarsi delle soluzioni SaaS qualificate dall'Agenzia consultano il marketplace SaaS a partire dalla data di rilascio in esercizio della *piattaforma AgID dedicata *di cui all’art.2 della presente Circolare.

La data di attivazione della *piattaforma dedicata e del marketplace SaaS *sarà comunicata insieme alle modalità operative della procedura di qualificazione sul sito dell’Agenzia.

Nelle more dell’attivazione della piattaforma dedicata, i soggetti che intendono avviare il processo di qualificazione possono inviare formale manifestazione d’interesse all’Agenzia, tramite posta elettronica certificata.

Le richieste di qualificazione pervenute nei 12 (dodici) mesi successivi alla pubblicazione nella Gazzetta Ufficiale della Repubblica italiana della presente Circolare non sono soggette al contributo di cui all’art.8.

Nelle more dell’attivazione della procedura di qualificazione dei CSP, solo per il caso a) di cui all’art.2, non sarà oggetto di valutazione il criterio di ammissibilità di cui all’art.3 punto ii) e la qualificazione della soluzione SaaS sarà rilasciata con riserva nell’attesa che il soggetto consegua la necessaria qualifica CSP da AgID, ai sensi del Piano Triennale.

Allegati

ALLEGATO A "Requisiti per la qualificazione di soluzioni SaaS nell’ambito del Cloud della PA"

ALLEGATO B "Disposizioni per il procurement dei servizi SaaS per il Cloud della PA"

IL DIRETTORE GENERALE

Footnotes

[1]Per “Cloud della PA” ai fini della presente circolare, dei suoi allegati e delle successive integrazioni e/o modifiche si intende: “l’insieme delle infrastrutture e servizi IaaS/PaaS erogati da Cloud SPC, dai PSN e dagli altri CSP che saranno qualificati ai sensi di quanto disposto dal Piano Triennale”, per come definito nella seguente tabella.