Fino al 29 gennaio, si può contribuire con commenti e integrazioni alla stesura definitiva della circolare redatta da AgID che definisce caratteristiche e modalità di qualificazione delle soluzioni Software as a Service (SaaS) che verranno erogate su ambiente cloud della Pubblica Amministrazione.
In particolare, il documento, pubblicato il 29 dicembre scorso, definisce i requisiti di qualificazione delle soluzioni SaaS nell’ambito della strategia di evoluzione del modello Cloud della PA e le istruzioni per la procedura di qualificazione.
Tale procedura una volta a regime consentirà alle Amministrazioni di utilizzare, nell’ambito del Cloud della PA, soluzioni SaaS in possesso di un set minimo di requisiti comuni. A tale scopo verrà successivamente realizzato il catalogo di tutte le applicazioni SaaS disponibili per le PA che darà vita al marketplace delle soluzioni SaaS, per i servizi acquisibili dal mercato.
Potranno essere qualificati i fornitori privati e le PA che intendono erogare soluzioni SaaS su una o più infrastrutture del Cloud della PA.
I fornitori SaaS privati dovranno risultare abilitati sul sistema “Acquistinretepa” di Consip; inoltre la soluzione SaaS proposta dovrà essere erogata mediante una o più infrastrutture del Cloud della PA (PSN, Cloud SPC o CSP qualificato da AgID). Nel caso in cui l’infrastruttura Cloud sia privata e di proprietà del fornitore SaaS, tale infrastruttura dovrà essere qualificata come CSP da AgID.
Sulla base degli obiettivi definiti nel Piano Triennale 2017-2019, AgID ha individuato i requisiti per la qualificazione di soluzioni SaaS, suddividendoli in tre classi: requisiti preliminari, organizzativi e specifici.
Per quanto riguarda i requisiti preliminari, nelle soluzioni SaaS che utilizzano PSN o Cloud SPC i fornitori dovranno indicare il livello di automazione di cui l’applicazione dispone per ogni fase del ciclo di vita dell’applicazione. È necessario che le soluzioni siano in grado di interagire mediante API (Application Programming Interface) con la piattaforma Cloud su cui risiedono e che tale capacità di interazione consenta di sfruttare appieno le potenzialità e i servizi della piattaforma Cloud ospitante.
Il Fornitore della soluzione SaaS, operando in qualità di amministratore delle risorse Cloud, dovrà garantire il corretto funzionamento e la massima trasparenza di tutti i processi e le interazioni tra la piattaforma Cloud e l’applicazione SaaS.
È richiesto che i fornitori di servizi SaaS siano in possesso di alcuni requisiti organizzativi tra cui:
- la disponibilità di un servizio di supporto clienti strutturato ed in grado di coprire le esigenze operative che possono manifestarsi nel contesto dell’erogazione dei servizi proposti.
- la disponibilità di un processo maturo e affidabile in grado di assicurare un continuo aggiornamento del software relativo alle soluzioni fornite in modalità SaaS.
- l’adozione delle “best-practice” del settore, nonché delle linee guida definite da AgID per quanto riguarda lo sviluppo, configurazione e manutenzione del software utilizzato per implementare i servizi erogati.
Infine, dovranno essere rispettati i requisiti specifici che riguardano tematiche fondamentali quali sicurezza, performance e scalabilità, interoperabilità e portabilità.
A supporto del processo di qualificazione dei fornitori e delle soluzioni è previsto l’utilizzo di una piattaforma AgID dedicata alla gestione del workflow delle richieste di qualificazione ed integrata con il marketplace SaaS. Per ciascuna richiesta di qualificazione sarà dovuto il pagamento di un contributo all’AgID il cui valore sarà rideterminato ogni anno.
La procedura prevede che, a seguito della ricezione della richiesta, l’AgID dia avvio alla fase istruttoria con la verifica preliminare delle informazioni e della documentazione fornita dai soggetti richiedenti, relative al possesso dei criteri di ammissibilità (abilitazione al sistema “Acquistinretepa” di Consip; eventuale qualificazione come CSP).
L’esito negativo di tale verifica preliminare viene notificato telematicamente da AgID al soggetto interessato entro 30 giorni dalla ricezione della richiesta di qualificazione. Il silenzio dell’Agenzia equivale all’ammissione della richiesta di qualificazione per come proposta.
Per le richieste ammesse, AgID effettua quindi la verifica delle informazioni e della documentazione fornita dai soggetti richiedenti rispetto alle tre classi di requisiti per la qualificazione (preliminari, organizzativi e specifici).
L’esito di tale verifica potrà essere positivo, negativo con riserva o negativo, e verrà notificato telematicamente da AgID al soggetto interessato entro 60 giorni dalla ricezione della richiesta.
In caso di esito positivo, nel solo caso di soluzioni SaaS erogate su SPC Cloud o su PSN, il fornitore che ne abbia fatta esplicita richiesta, è tenuto a concordare con AgID la data del test e del collaudo della soluzione.
A tutti i soggetti la cui soluzione SaaS ha ricevuto esito positivo sarà rilasciato da AgID un “Attestato di qualificazione SaaS” con specifico logo registrato. Tali soggetti potranno utilizzare la qualificazione della soluzione SaaS nei propri rapporti commerciali con le Pubbliche amministrazioni o gli altri clienti.
In caso di esito negativo con riserva, la richiesta di qualificazione deve essere oggetto di ulteriori verifiche. AgID, contestualmente alla trasmissione dell’esito, farà richiesta di documentazione ed informazioni integrative a completamento di quanto già inserito nella piattaforma AgID.
La richiesta di qualificazione può essere infine respinta. In tale eventualità, il soggetto potrà presentare una nuova richiesta per la medesima soluzione SaaS soltanto qualora siano venute meno le cause che hanno determinato il mancato accoglimento e, comunque, dopo almeno 90 giorni dalla comunicazione dell’esito negativo.
La circolare precisa che, in caso di aggiornamento del software che incide su almeno uno dei requisiti per la qualificazione, il soggetto interessato dovrà procedere a presentare una nuova richiesta di qualificazione della soluzione SaaS. In tal caso, al fine di semplificare il nuovo processo di qualificazione, AgID tiene conto della documentazione già presentata e procede alla sola verifica dei nuovi requisiti.
Oltre all’attività di qualificazione di nuovi fornitori e soluzioni SaaS, AgID sarà impegnato nella continua verifica della persistenza del possesso dei criteri di ammissibilità e dei requisiti previsti per la qualificazione.
L’Agenzia potrà infatti disporre anche la revoca della qualificazione SaaS, con provvedimento motivato nel caso di:
- perdita dei criteri di ammissibilità;
- mancato rispetto del termine assegnato, ove non sussistano adeguati motivi di proroga, per l’eliminazione delle difformità riscontrate in sede di verifica;
- riscontro da parte dei competenti organi di violazioni di norme relative all’attività oggetto di qualificazione.
La revoca della qualificazione comporterà l’eliminazione della soluzione dal marketplace delle soluzioni SaaS e il divieto di utilizzo del logo rilasciato da AgID nei rapporti commerciali. Per i contratti in essere con le Amministrazioni clienti scatterà pure la clausola di risoluzione anticipata prevista dalla circolare.
Questa prima versione del documento redatta da AgID è sottoposta a consultazione pubblica per dare la possibilità a chiunque di inviare suggerimenti, modifiche e integrazioni. Assumono particolare importanza i commenti che riguarderanno i requisiti per la qualificazione (preliminari, organizzativi e specifici). L’interesse è molto alto: la circolare era attesa da tempo soprattutto dalle imprese che operano nel settore. Ora la parola passa a loro.
