Contesto normativo, tecnologico e operativo. Il sistema informativo richiesto da ATS prevede che tutte le componenti applicative e dati siano erogate in ambiente cloud, conformemente alla normativa vigente a cui si rimanda per completezza con particolare riferimento ai criteri per la qualificazione dei servizi cloud per la PA. La soluzione applicativa dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). A partire dalla data di sottoscrizione del contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente (fare riferimento al capitolo “Riferimenti documentali e normativi”). In considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico del fornitore. Il fornitore dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento al Decreto direttoriale prot. N. 29 del 02/01/2023 dell’Agenzia per la Cybersicurezza Nazionale (ACN) è disponibile la procedura di qualificazione dei servizi cloud per la PA. A questo proposito ATS richiede che il servizio SaaS erogato dal fornitore venga “qualificato” da ACN e pubblicato nel relativo Cloud Marketplace (ACN Cloud Marketplace). In relazione alla natura dei dati trattati e del servizio digitale erogato, il fornitore dovrà garantire un servizio qualificato almeno QC1 secondo quanto previsto da ACN. ATS richiederà che il fornitore sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che il fornitore abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. Il fornitore dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. Il fornitore dovrà dare evidenza ad ATS di eventuali altri soggetti o subfornitori che concorrano al...
