Common use of Contesto normativo, tecnologico e operativo Clause in Contracts

Contesto normativo, tecnologico e operativo. Il sistema informativo richiesto da ATS prevede che tutte le componenti applicative e dati siano erogate in ambiente cloud, conformemente alla normativa vigente a cui si rimanda per completezza con particolare riferimento ai criteri per la qualificazione dei servizi cloud per la PA. La soluzione applicativa dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). A partire dalla data di sottoscrizione del contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente (fare riferimento al capitolo “Riferimenti documentali e normativi”). In considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico del fornitore. Il fornitore dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento al Decreto direttoriale prot. N. 29 del 02/01/2023 dell’Agenzia per la Cybersicurezza Nazionale (ACN) è disponibile la procedura di qualificazione dei servizi cloud per la PA. A questo proposito ATS richiede che il servizio SaaS erogato dal fornitore venga “qualificato” da ACN e pubblicato nel relativo Cloud Marketplace (ACN Cloud Marketplace). In relazione alla natura dei dati trattati e del servizio digitale erogato, il fornitore dovrà garantire un servizio qualificato almeno QC1 secondo quanto previsto da ACN. ATS richiederà che il fornitore sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che il fornitore abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. Il fornitore dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. Il fornitore dovrà dare evidenza ad ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. Il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dal fornitore dovrà garantire una infrastruttura qualificata almeno QI1 secondo quanto previsto da ACN. A maggior tutela dei dati personali trattati, ATS richiede che il CSP scelto dal fornitore garantisca la conservazione dei dati e/o delle relative chiavi di cifratura esclusivamente in data center collocati (region) nel territorio italiano. È compito di ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dal fornitore. In caso di servizi non conformi a quanto dichiarato dal fornitore, ATS è tenuta a segnalare la circostanza ad AgID e ACN proponendo, in caso di esito confermativo dell’apposita verifica, la revoca della qualificazione. In relazione agli obblighi e alle responsabilità del fornitore relativamente al trattamento dei dati, con particolare riferimento a quelli personali e sensibili, la Fornitura prevede la sottoscrizione di una adeguata polizza assicurativa per ottemperare alla responsabilità risarcitoria a fronte di eventuali danni, economici e/o di immagine, causati da violazioni agli obiettivi di sicurezza previsti da ATS ed i cui termini sono disciplinati all’interno nel documento “Capitolato Speciale di Appalto”. Occorre fare pertanto riferimento a tale documento per la descrizione esaustiva delle clausole, delle responsabilità e delle azioni contrattuali previste a carico del fornitore in relazione alla eventuale perdita, all’illecita diffusione dei dati trattati e gestiti nel cloud ed all’interruzione del servizio erogato. Si ricorda inoltre che nella nomina del fornitore a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali del fornitore previsti da ATS. Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo “Progettazione, realizzazione e delivery” del presente documento. Al fine di permettere ad ATS di valutare l’efficacia del servizio SaaS erogato, il fornitore dovrà rendere disponibile ad ATS strumenti idonei di monitoraggio, di audit, di Quality Assurance (QA) e di accesso alle basi dati dell’applicativo, oltre che consentire di effettuare verifiche di conformità alla normativa in materia di privacy, sicurezza e accessibilità. Si sottolinea che ogni passaggio in produzione di software sviluppato dal fornitore e di ogni personalizzazione dedicata ad ATS, dovrà essere necessariamente condiviso e concordato con i referenti di progetto di ATS a cui dovrà essere data evidenza del buon esito dei test automatici di non regressione effettuati. L’utilizzo delle funzionalità del sistema informativo deve essere possibile attraverso i più diffusi browser Internet senza la necessità di installazione di software specifico sulle postazioni di lavoro (plug-in O agent); l’accesso ai dati ed alle funzionalità applicative deve essere possibile solo agli utenti abilitati in funzione dei previsti livelli e profili di accesso. Le performance del sistema erogato dovranno in ogni caso essere adeguate all’effettivo numero di accessi concorrenti che si avranno a regime ed all’eventuale aumento dei dati trattati. La soluzione web dovrà prevedere l’espandibilità del numero di utenti e garantire la scalabilità delle risorse cloud per gestire efficacemente anche potenziali condizioni di picco delle attività, degli accessi e del trattamento dei dati.

Contesto normativo, tecnologico e operativo. Il sistema informativo richiesto da ATS dall’ATS prevede che tutte le componenti applicative e i dati siano erogate erogati in ambiente cloud, conformemente alla normativa vigente a cui ed alle Linee Guida di AgID per la PA. Si fa presente che per quanto non espressamente richiamato nel presente documento, si rimanda per completezza con particolare riferimento ai criteri per la alla normativa vigente relativa alla qualificazione dei servizi cloud per la PA. La soluzione applicativa proposta per l’Amministrazione dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). A Si precisa che, a partire dalla data di sottoscrizione del sua decorrenza, il contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente (fare riferimento al capitolo “Riferimenti documentali e normativi”). In ovverosia, in considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico del fornitoredell’aggiudicatario. Il fornitore L’aggiudicatario dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento al Decreto direttoriale prot. N. 29 alle due circolari AgID n. 2 e n. 3 del 02/01/2023 dell’Agenzia per la Cybersicurezza Nazionale (ACN) è disponibile la procedura di qualificazione 9 aprile 2018, l’acquisizione dei servizi cloud per la PAin hosting dovrà soddisfare quanto indicato: “A decorrere dal 1° aprile 2019, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace”. A questo proposito ATS proposito, l’ATS richiede che il servizio SaaS erogato dal fornitore dall’aggiudicatario venga “qualificato” da ACN XxXX e pubblicato nel relativo Cloud Marketplace (ACN proprio Cloud Marketplace). In relazione alla natura dei dati trattati e Tale attività potrà essere svolta anche successivamente all’aggiudicazione della gara. Come indicato al link seguente: “Requisiti per la qualificazione di servizi SaaS per il Cloud della PA”, la procedura di qualificazione AgID prevede che l’aggiudicatario dichiari esplicitamente la rispondenza del servizio digitale erogatoerogato a tutti i requisiti indicati nella circolare sulla qualificazione dei servizi SaaS. La compilazione della auto-dichiarazione (self-assessment) dovrà essere effettuata sul portale dedicato di XxXX. Alternativamente, il fornitore dovrà garantire un servizio qualificato almeno QC1 secondo quanto previsto da ACN. ATS richiederà è richiesto che il fornitore l’aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che il fornitore l’aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. Il fornitore L’aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. Il fornitore L’aggiudicatario dovrà dare evidenza ad ATS all’ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. Il In particolare, il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dal fornitore dall’aggiudicatario dovrà garantire una infrastruttura qualificata almeno QI1 essere “qualificato” secondo quanto previsto da ACNXxXX. A maggior Il CSP dovrà garantire la tutela dei dati personali trattati, ATS richiede che il CSP scelto dal fornitore garantisca trattati e la loro conservazione dei dati e/o delle relative chiavi di cifratura esclusivamente in su data center collocati (region) esclusivamente nel territorio italiano. Considerando la natura critica dei dati oggetto della presente procedura, trattandosi di dati sanitari e quindi per definizione sensibili, il CSP scelto dall’aggiudicatario dovrà essere aderente ai requisiti espressi dal Regolamento per i servizi cloud, pubblicato da AgID a dicembre 2021 con determinazione 628/2021, che definisce i requisiti minimi per le infrastrutture digitali, le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud in relazione alla classificazione dei dati trattati. I criteri per la qualificazione dei servizi cloud delle PA previsti da AgID devono essere integrati da quelli ulteriori previsti dall’Agenzia per la Cybersicurezza Nazionale (ACN) nell’Allegato 1 della determina 307 del 18/01/2022, con particolare riferimento all’allegato C “Requisiti per la qualificazione dei servizi Cloud per la Pubblica Amministrazione”. È compito di ATS dell’ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dal fornitoredall’aggiudicatario, che ne risponde penalmente. In caso di servizi non conformi a quanto dichiarato dal fornitoredall’aggiudicatario, ATS l’ATS è tenuta a segnalare la circostanza ad AgID e ACN proponendoche, in caso di esito confermativo dell’apposita verifica, la procederà alla revoca della qualificazione. In relazione agli obblighi e alle responsabilità del fornitore dell’aggiudicatario relativamente al trattamento dei dati, con particolare riferimento a quelli personali e sensibilipersonali, la Fornitura prevede la sottoscrizione di l’aggiudicario dovrà sottoscrivere una adeguata polizza assicurativa per ottemperare alla responsabilità risarcitoria a fronte di eventuali danni, economici e/o di immagine, causati da violazioni agli obiettivi di sicurezza previsti da ATS dall’ATS ed i cui termini sono disciplinati all’interno nel documento “Capitolato Speciale di Appalto”. Occorre fare pertanto riferimento a tale documento per la descrizione esaustiva delle clausole, delle responsabilità e delle azioni contrattuali previste a carico del fornitore dell’aggiudicatario in relazione alla eventuale perdita, all’illecita diffusione dei dati trattati e gestiti nel cloud ed all’interruzione del servizio erogato. Si ricorda inoltre ricorda, pertanto, che nella nomina del fornitore dell’aggiudicatario a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali del fornitore previsti da ATSdall’ATS. Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo 5 “Progettazione, realizzazione e delivery” del presente documento”. Al fine di permettere ad ATS all’ATS di valutare l’efficacia del servizio SaaS erogato, il fornitore l’aggiudicatario dovrà rendere disponibile ad a ciascuna ATS strumenti idonei di monitoraggio, di audit, di Quality Assurance (QA) e di accesso alle basi dati dell’applicativo, oltre che consentire di effettuare verifiche di conformità alla normativa in materia di privacy, sicurezza e accessibilità. Si sottolinea che ogni passaggio in produzione di software sviluppato dal fornitore dall’aggiudicatario e di ogni personalizzazione dedicata ad ATS, dovrà essere necessariamente condiviso e concordato con i referenti di progetto di ATS a cui dovrà essere data evidenza del buon esito dei test automatici di non regressione effettuatidell’Amministrazione. L’utilizzo delle funzionalità del sistema informativo deve dovrà essere possibile attraverso i più diffusi browser Internet senza la necessità di installazione di software specifico sulle postazioni di lavoro (plug-in O agent); Internet, l’accesso alle funzionalità ed ai dati ed alle funzionalità applicative deve essere sarà possibile solo agli utenti abilitati in funzione dei base ai previsti livelli e profili di accesso. La SS Appropriatezza Prestazioni di Ricovero dell’ATS di Bergamo opera all’interno di ATS avendo come focus il controllo delle prestazioni sanitarie di ricovero. Ai fini del corretto dimensionamento del sistema in ambito al presente Capitolato Tecnico, di seguito sono forniti alcuni dati relativi agli utilizzatori ed ai volumi dati previsti: • numero di operatori di backoffice della SS Appropriatezza Prestazioni di Ricovero: indicativamente 7; • numero di record correnti e storici: indicativamente 200.000 record all’anno e storicizzati per ATS di Bergamo. Le performance del sistema erogato dovranno in ogni caso essere adeguate all’effettivo numero di accessi concorrenti che si avranno a regime ed all’eventuale aumento dei dati trattati. La soluzione L’applicazione web dovrà prevedere l’espandibilità del numero di utenti e garantire la scalabilità delle risorse cloud per gestire efficacemente anche potenziali condizioni di picco delle attività, degli accessi e del trattamento dei dati.

Contesto normativo, tecnologico e operativo. Il sistema informativo richiesto da ATS prevede che tutte le componenti applicative e dati siano erogate in ambiente cloud, conformemente alla normativa vigente a cui ed alle Linee Guida di AgID per la PA. Si fa presente che per quanto non espressamente richiamato nel presente documento, si rimanda per completezza con particolare riferimento ai criteri per la alla normativa vigente relativa alla qualificazione dei servizi cloud per la PA. La soluzione applicativa dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). A Si precisa che a partire dalla data di sottoscrizione del contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente (fare riferimento al capitolo “Riferimenti documentali e normativi”). In ovverosia, in considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico del fornitoredell’Aggiudicatario. Il fornitore L’Aggiudicatario dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento al Decreto direttoriale prot. N. 29 alle due circolari AgID n. 2 e n. 3 del 02/01/2023 dell’Agenzia per la Cybersicurezza Nazionale (ACN) è disponibile la procedura di qualificazione 9 aprile 2018, l’acquisizione dei servizi cloud per la PAin hosting dovrà soddisfare quanto indicato: “A decorrere dal 1° aprile 2019, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace”. A questo proposito ATS richiede che il servizio SaaS erogato dal fornitore dall’Aggiudicatario venga “qualificato” da ACN XxXX e pubblicato nel relativo Cloud Marketplace (ACN proprio Cloud Marketplace). In relazione alla natura dei dati trattati e Tale attività potrà essere svolta anche successivamente all’aggiudicazione della Gara. Come indicato al link seguente: “Requisiti per la qualificazione di servizi SaaS per il Cloud della PA”, la procedura di qualificazione AgID prevede che l’Aggiudicatario dichiari esplicitamente la rispondenza del servizio digitale erogato, il fornitore erogato a tutti i requisiti indicati nella circolare sulla qualificazione dei servizi SaaS. La compilazione della auto- dichiarazione (self-assessment) dovrà garantire un servizio qualificato almeno QC1 secondo quanto previsto da ACNessere effettuata sul portale dedicato di XxXX. ATS richiederà Alternativamente è richiesto che il fornitore l’Aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che il fornitore l’Aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. Il fornitore L’Aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. Il fornitore L’Aggiudicatario dovrà dare evidenza ad ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. Il In particolare, il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dal fornitore dall’Aggiudicatario dovrà garantire una infrastruttura qualificata almeno QI1 essere “qualificato” secondo quanto previsto da ACNXxXX. A maggior Il CSP dovrà garantire la tutela dei dati personali trattatitrattati e la loro conservazione su data center collocati esclusivamente nel territorio italiano. Considerando i dati in ambito alla presente fornitura come ordinari, ATS richiede che il CSP scelto dall’Aggiudicatario dovrà essere aderente ai requisiti espressi dal fornitore garantisca la conservazione Regolamento per i servizi cloud, pubblicato da AgID a dicembre 2021 con determinazione 628/2021. Tale Regolamento definisce i requisiti minimi per le infrastrutture digitali, le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud in relazione alla classificazione dei dati e/o trattati. I criteri per la qualificazione dei servizi cloud delle relative chiavi di cifratura esclusivamente in data center collocati PA previsti da AgID devono essere integrati da quelli ulteriori previsti dall’Agenzia per la Cybersicurezza Nazionale (regionACN) nel territorio italianonell’Allegato 1 della determina 307 del 18/01/2022, con particolare riferimento all’allegato C “Requisiti per la qualificazione dei servizi Cloud per la Pubblica Amministrazione”. È compito di ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dal fornitoredall’Aggiudicatario, che ne risponde penalmente. In caso di servizi non conformi a quanto dichiarato dal fornitoredall’Aggiudicatario, ATS è tenuta a segnalare la circostanza ad AgID e ACN proponendoche, in caso di esito confermativo dell’apposita verifica, la procederà alla revoca della qualificazione. In relazione agli obblighi e alle responsabilità del fornitore relativamente al trattamento dei dati, con particolare riferimento a quelli personali e sensibili, la Fornitura prevede la sottoscrizione di una adeguata polizza assicurativa per ottemperare alla La responsabilità risarcitoria a fronte di eventuali danni, economici e/o di immagine, causati da violazioni agli obiettivi di sicurezza previsti da ATS ed i cui termini sono disciplinati è disciplinata all’interno nel documento “Capitolato Speciale di Appalto”. Occorre fare pertanto riferimento a tale documento per la descrizione esaustiva delle clausole, delle responsabilità e delle azioni contrattuali previste a carico del fornitore dell’Aggiudicatario in relazione alla eventuale perdita, all’illecita diffusione dei dati trattati e gestiti nel cloud ed all’interruzione del servizio erogato. Si ricorda inoltre che nella nomina del fornitore dell’Aggiudicatario a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali del fornitore previsti da ATS. Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo 5 “Progettazione, realizzazione e delivery” del presente documento”. Al fine di permettere ad ATS di valutare l’efficacia del servizio SaaS erogato, il fornitore l’Aggiudicatario dovrà rendere disponibile ad ATS strumenti idonei di monitoraggio, di audit, di Quality Assurance (QA) ), di Release Management e di accesso alle basi dati dell’applicativo, oltre che consentire di effettuare verifiche periodiche di conformità alla normativa in materia di privacy, sicurezza e accessibilità. Il Fornitore dovrà inoltre rendere disponibile ad ATS una soluzione integrata con gli strumenti Microsoft Azure DevOps per la gestione del software realizzato, con metodologia Agile, specificatamente per ATS (si veda il requisito non funzionale TEC8). Si sottolinea che ogni passaggio in produzione di software sviluppato dal fornitore dall’Aggiudicatario e di ogni personalizzazione dedicata ad ATS, dovrà essere necessariamente condiviso e concordato con i referenti di progetto di ATS a cui dovrà essere data evidenza del buon esito dei test automatici di non regressione effettuatiATS. L’utilizzo delle funzionalità del sistema informativo deve dovrà essere possibile attraverso i più diffusi browser Internet senza la necessità di installazione di software specifico sulle postazioni di lavoro (plug-in O agent); Internet, l’accesso ai dati ed alle funzionalità applicative deve essere sarà possibile solo agli utenti abilitati in funzione dei previsti livelli e profili di accesso. Le performance Ai fini della corretta determinazione dell’offerta tecnico-economica di fornitura, si segnala che il codice sorgente è eventualmente consultabile e visionabile in ATS. Il Concorrente avrà la facoltà di concordare con ATS la visione del sistema erogato dovranno nella sua completezza, per una valutazione tecnico/funzionale più accurata. Ai fini del corretto dimensionamento del sistema e del servizio cloud in ogni caso essere adeguate all’effettivo numero ambito al presente Capitolato Tecnico, di accessi concorrenti che si avranno a regime seguito sono forniti alcuni dati relativi agli utilizzatori e al contesto tecnologico dell’attuale soluzione software. È consentita ed all’eventuale aumento dei dati trattati. La soluzione web dovrà prevedere l’espandibilità del numero auspicabile una reingegnerizzazione dell’intero sistema, di utenti e seguito descritto nell’attuale soluzione, per garantire la scalabilità conformità a tutti i parametri e requisiti tecnologici, normativi, funzionali ed operativi menzionati nel presente capitolato, purché nei limiti delle risorse cloud per gestire efficacemente anche potenziali condizioni economiche definite nel contratto e senza alcun onere aggiuntivo a carico di picco delle attivitàATS. Naturalmente, degli accessi e del trattamento dei datile funzionalità già presenti dovranno permanere.

Contesto normativo, tecnologico e operativo. Il sistema informativo richiesto da ATS prevede che tutte le componenti applicative e dati siano erogate in ambiente cloud, cloud messi a disposizione da ARIA Spa conformemente alla normativa vigente a cui si rimanda per completezza con particolare riferimento ai criteri per la qualificazione dei servizi cloud per la PA. La soluzione applicativa dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). A partire dalla data di sottoscrizione del contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente (fare riferimento al capitolo “Riferimenti documentali e normativi”). In considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico del fornitore. Il fornitore dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento al Decreto direttoriale prot. N. 29 del 02/01/2023 dell’Agenzia per la Cybersicurezza Nazionale (ACN) è disponibile la procedura di qualificazione dei servizi cloud per la PA. A questo proposito ATS richiede che il servizio SaaS erogato dal fornitore venga “qualificato” da ACN e pubblicato nel relativo Cloud Marketplace (ACN Cloud Marketplace). In relazione alla natura dei dati trattati e del servizio digitale erogato, il fornitore dovrà garantire un servizio qualificato almeno QC1 secondo quanto previsto da ACN. ATS richiederà che il fornitore l’Aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 2701827001. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che il fornitore l’Aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. Il fornitore L’Aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. Il fornitore L’Aggiudicatario dovrà dare evidenza ad ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. Il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dal fornitore dovrà garantire una infrastruttura qualificata almeno QI1 secondo quanto previsto da ACN. A maggior tutela dei dati personali trattati, ATS richiede che il CSP scelto dal fornitore garantisca la conservazione dei dati e/o delle relative chiavi di cifratura esclusivamente in data center collocati (region) nel territorio italiano. È compito di ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dal fornitoredall’Aggiudicatario. In caso di servizi non conformi a quanto dichiarato dal fornitoredall’Aggiudicatario, ATS è tenuta a segnalare la circostanza ad AgID XxXX e ACN proponendo, in caso di esito confermativo dell’apposita verifica, la revoca della qualificazione. In relazione agli obblighi e alle responsabilità del fornitore dell’Aggiudicatario relativamente al trattamento dei dati, con particolare riferimento a quelli personali e sensibili, la Fornitura fornitura prevede la sottoscrizione di una adeguata polizza assicurativa per ottemperare alla responsabilità risarcitoria a fronte di eventuali danni, economici e/o di immagine, causati da violazioni agli obiettivi di sicurezza previsti da ATS ed i cui termini sono disciplinati all’interno nel documento “Capitolato Speciale di Appalto”, di cui il massimale è pari a 1.000.000 di euro. Occorre fare pertanto riferimento a tale documento per la descrizione esaustiva delle clausole, delle responsabilità e delle azioni contrattuali previste a carico del fornitore dell’Aggiudicatario in relazione alla eventuale perdita, all’illecita diffusione dei dati trattati e gestiti nel cloud ed all’interruzione del servizio erogato. Si ricorda inoltre che nella nomina del fornitore dell’Aggiudicatario a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali del fornitore dell’Aggiudicatario previsti da ATS. Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo “Progettazione, realizzazione e delivery” del presente documento. Al fine di permettere ad ATS di valutare l’efficacia del servizio SaaS erogatoservizio, il fornitore l’Aggiudicatario dovrà rendere disponibile ad ATS strumenti idonei di monitoraggio, di audit, di Quality Assurance (QA) e di accesso alle basi dati dell’applicativo, oltre che consentire di effettuare verifiche di conformità alla normativa in materia di privacy, sicurezza e accessibilità. Si sottolinea che ogni passaggio in produzione di software sviluppato dal fornitore dall’Aggiudicatario e di ogni personalizzazione ed evoluzione dedicata ad ATS, dovrà essere necessariamente condiviso e concordato con i referenti di progetto di ATS a cui dovrà essere data evidenza del buon esito dei test automatici di non regressione effettuati. L’utilizzo delle funzionalità del sistema informativo deve essere possibile attraverso i più diffusi browser Internet senza la necessità di installazione di software specifico sulle postazioni di lavoro (plug-in O agent); l’accesso ai dati ed alle funzionalità applicative deve essere possibile solo agli utenti abilitati in funzione dei previsti livelli e profili di accesso. Le performance del sistema erogato dovranno in ogni caso essere adeguate all’effettivo numero di accessi concorrenti che si avranno a regime ed all’eventuale aumento dei dati trattati. La soluzione web dovrà prevedere l’espandibilità del numero di utenti e garantire la scalabilità delle risorse cloud per gestire efficacemente anche potenziali condizioni di picco delle attività, degli accessi e del trattamento dei dati.

Contesto normativo, tecnologico e operativo. Il sistema informativo richiesto da ATS prevede che tutte le componenti applicative e dati siano erogate in ambiente cloud, conformemente alla normativa vigente a cui si rimanda per completezza con particolare riferimento ai criteri per la qualificazione dei servizi cloud per la PA. La soluzione applicativa dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). A partire dalla data di sottoscrizione del contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente (fare riferimento al capitolo “Riferimenti documentali e normativi”). In considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico del fornitoredell’aggiudicatario. Il fornitore L’aggiudicatario dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento al Decreto direttoriale prot. N. 29 del 02/01/2023 dell’Agenzia per la Cybersicurezza Nazionale (ACN) è disponibile la procedura di qualificazione dei servizi cloud per la PA. A questo proposito ATS richiede che il servizio SaaS erogato dal fornitore dall’aggiudicatario venga “qualificato” da ACN e pubblicato nel relativo Cloud Marketplace (ACN Cloud Marketplace). In relazione alla natura dei dati trattati e del servizio digitale erogato, il fornitore l’aggiudicatario dovrà garantire un servizio qualificato almeno QC1 secondo quanto previsto da ACN. ATS richiederà richiede che il fornitore l’aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che il fornitore l’aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. Il fornitore L’aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. Il fornitore dovrà dare evidenza ad ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. Il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dal fornitore dovrà garantire una infrastruttura qualificata almeno QI1 secondo quanto previsto da ACN. A maggior tutela dei dati personali trattati, ATS richiede che il CSP scelto dal fornitore garantisca la conservazione dei dati e/o delle relative chiavi di cifratura esclusivamente in data center collocati (region) nel territorio italiano. È compito di ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dal fornitore. In caso di servizi non conformi a quanto dichiarato dal fornitore, ATS è tenuta a segnalare la circostanza ad AgID e ACN proponendo, in caso di esito confermativo dell’apposita verifica, la revoca della qualificazione. In relazione agli obblighi e alle responsabilità del fornitore relativamente al trattamento dei dati, con particolare riferimento a quelli personali e sensibili, la Fornitura prevede la sottoscrizione di una adeguata polizza assicurativa per ottemperare alla responsabilità risarcitoria a fronte di eventuali danni, economici e/o di immagine, causati da violazioni agli obiettivi di sicurezza previsti da ATS ed i cui termini sono disciplinati all’interno nel documento “Capitolato Speciale di Appalto”. Occorre fare pertanto riferimento a tale documento per la descrizione esaustiva delle clausole, delle responsabilità e delle azioni contrattuali previste a carico del fornitore in relazione alla eventuale perdita, all’illecita diffusione dei dati trattati e gestiti nel cloud ed all’interruzione del servizio erogato. Si ricorda inoltre che nella nomina del fornitore a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali del fornitore previsti da ATS. Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo “Progettazione, realizzazione e delivery” del presente documento. Al fine di permettere ad ATS di valutare l’efficacia del servizio SaaS erogato, il fornitore dovrà rendere disponibile ad ATS strumenti idonei di monitoraggio, di audit, di Quality Assurance (QA) e di accesso alle basi dati dell’applicativo, oltre che consentire di effettuare verifiche di conformità alla normativa in materia di privacy, sicurezza e accessibilità. Si sottolinea che ogni passaggio in produzione di software sviluppato dal fornitore e di ogni personalizzazione dedicata ad ATS, dovrà essere necessariamente condiviso e concordato con i referenti di progetto di ATS a cui dovrà essere data evidenza del buon esito dei test automatici di non regressione effettuati. L’utilizzo delle funzionalità del sistema informativo deve essere possibile attraverso i più diffusi browser Internet senza la necessità di installazione di software specifico sulle postazioni di lavoro (plug-in O agent); l’accesso ai dati ed alle funzionalità applicative deve essere possibile solo agli utenti abilitati in funzione dei previsti livelli e profili di accesso. Le performance del sistema erogato dovranno in ogni caso essere adeguate all’effettivo numero di accessi concorrenti che si avranno a regime ed all’eventuale aumento dei dati trattati. La soluzione web dovrà prevedere l’espandibilità del numero di utenti e garantire la scalabilità delle risorse cloud per gestire efficacemente anche potenziali condizioni di picco delle attività, degli accessi e del trattamento dei dati.

Contesto normativo, tecnologico e operativo. Il sistema informativo richiesto da ATS dall’ATS prevede che tutte le componenti applicative e i dati siano erogate erogati in ambiente cloud, conformemente alla normativa vigente a cui ed alle Linee Guida di AgID per la PA. Si fa presente che per quanto non espressamente richiamato nel presente documento, si rimanda per completezza con particolare riferimento ai criteri per la alla normativa vigente relativa alla qualificazione dei servizi cloud per la PA. La soluzione applicativa proposta per l’Amministrazione dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). A Si precisa che, a partire dalla data di sottoscrizione del sua decorrenza, il contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente (fare riferimento al capitolo “Riferimenti documentali e normativi”). In ovverosia, in considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico del fornitoredell’aggiudicatario. Il fornitore L’aggiudicatario dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento al Decreto direttoriale prot. N. 29 alle due circolari AgID n. 2 e n. 3 del 02/01/2023 dell’Agenzia per la Cybersicurezza Nazionale (ACN) è disponibile la procedura di qualificazione 9 aprile 2018, l’acquisizione dei servizi cloud per la PAin hosting dovrà soddisfare quanto indicato: “A decorrere dal 1° aprile 2019, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace”. A questo proposito ATS proposito, l’ATS richiede che il servizio SaaS erogato dal fornitore dall’aggiudicatario venga “qualificato” da ACN XxXX e pubblicato nel relativo Cloud Marketplace (ACN proprio Cloud Marketplace). In relazione alla natura dei dati trattati e Tale attività potrà essere svolta anche successivamente all’aggiudicazione della gara. Come indicato al link seguente: “Requisiti per la qualificazione di servizi SaaS per il Cloud della PA”, la procedura di qualificazione AgID prevede che l’aggiudicatario dichiari esplicitamente la rispondenza del servizio digitale erogatoerogato a tutti i requisiti indicati nella circolare sulla qualificazione dei servizi SaaS. La compilazione della auto-dichiarazione (self-assessment) dovrà essere effettuata sul portale dedicato di XxXX. Alternativamente, il fornitore dovrà garantire un servizio qualificato almeno QC1 secondo quanto previsto da ACN. ATS richiederà è richiesto che il fornitore l’aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che il fornitore l’aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. Il fornitore L’aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. Il fornitore L’aggiudicatario dovrà dare evidenza ad ATS all’ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. Il In particolare, il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dal fornitore dall’aggiudicatario dovrà garantire una infrastruttura qualificata almeno QI1 essere “qualificato” secondo quanto previsto da ACNXxXX. A maggior Il CSP dovrà garantire la tutela dei dati personali trattati, ATS richiede che il CSP scelto dal fornitore garantisca trattati e la loro conservazione dei dati e/o delle relative chiavi di cifratura esclusivamente in su data center collocati (region) esclusivamente nel territorio italiano. Considerando la natura critica dei dati oggetto della presente procedura, trattandosi di dati sanitari e quindi per definizione sensibili, il CSP scelto dall’aggiudicatario dovrà essere aderente ai requisiti espressi dal Regolamento per i servizi cloud, pubblicato da AgID a dicembre 2021 con determinazione 628/2021, che definisce i requisiti minimi per le infrastrutture digitali, le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud in relazione alla classificazione dei dati trattati. I criteri per la qualificazione dei servizi cloud delle PA previsti da AgID devono essere integrati da quelli ulteriori previsti dall’Agenzia per la Cybersicurezza Nazionale (ACN) nell’Allegato 1 della determina 307 del 18/01/2022, con particolare riferimento all’allegato C “Requisiti per la qualificazione dei servizi Cloud per la Pubblica Amministrazione”. È compito di ATS dell’ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dal fornitoredall’aggiudicatario, che ne risponde penalmente. In caso di servizi non conformi a quanto dichiarato dal fornitoredall’aggiudicatario, ATS l’ATS è tenuta a segnalare la circostanza ad AgID e ACN proponendoche, in caso di esito confermativo dell’apposita verifica, la procederà alla revoca della qualificazione. In relazione agli obblighi e alle responsabilità del fornitore dell’aggiudicatario relativamente al trattamento dei dati, con particolare riferimento a quelli personali e sensibiliparticolari, la Fornitura prevede la sottoscrizione di l’aggiudicario dovrà sottoscrivere una adeguata polizza assicurativa per ottemperare alla responsabilità risarcitoria a fronte di eventuali danni, economici e/o di immagine, causati da violazioni agli obiettivi di sicurezza previsti da dalle ATS ed i cui termini sono disciplinati all’interno nel documento “Capitolato Speciale di Appalto”. Occorre fare pertanto riferimento a tale documento per la descrizione esaustiva delle clausole, delle responsabilità e delle azioni contrattuali previste a carico del fornitore in relazione alla eventuale perdita, all’illecita diffusione dei dati trattati e gestiti nel cloud ed all’interruzione del servizio erogato. Si ricorda inoltre che nella nomina del fornitore a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali del fornitore previsti da ATS. Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo 5 “Progettazione, realizzazione e delivery” del presente documento”. Al fine di permettere ad ATS all’ATS di valutare l’efficacia del servizio SaaS erogato, il fornitore l’aggiudicatario dovrà rendere disponibile ad a ciascuna ATS strumenti idonei di monitoraggio, di audit, di Quality Assurance (QA) e di accesso alle basi dati dell’applicativo, oltre che consentire di effettuare verifiche di conformità alla normativa in materia di privacy, sicurezza e accessibilità. Si sottolinea che ogni passaggio in produzione di software sviluppato dal fornitore dall’aggiudicatario e di ogni personalizzazione dedicata ad ATS, dovrà essere necessariamente condiviso e concordato con i referenti di progetto di ATS a cui dovrà essere data evidenza del buon esito dei test automatici di non regressione effettuatidell’Amministrazione. L’utilizzo delle funzionalità del sistema informativo deve dovrà essere possibile attraverso i più diffusi browser Internet senza la necessità di installazione di software specifico sulle postazioni di lavoro (plug-in O agent); Internet, l’accesso alle funzionalità ed ai dati ed alle funzionalità applicative deve essere sarà possibile solo agli utenti abilitati in funzione dei base ai previsti livelli e profili di accesso. La UOC Controllo Prestazioni Sanitarie di Ricovero dell’ATS della Città Metropolitana di Milano opera all’interno di ATS avendo come focus il controllo delle prestazioni sanitarie di ricovero. Ai fini del corretto dimensionamento del sistema in ambito al presente Capitolato Tecnico, di seguito sono forniti alcuni dati relativi agli utilizzatori ed ai volumi dati previsti: • numero di operatori di backoffice della UOC NOC: indicativamente 30 unità; • numero di record correnti e storici: indicativamente 600.000 record all’anno e storicizzati. Le performance del sistema erogato dovranno in ogni caso essere adeguate all’effettivo numero di accessi concorrenti che si avranno a regime ed all’eventuale aumento dei dati trattati. La soluzione L’applicazione web dovrà prevedere l’espandibilità del numero di utenti e garantire la scalabilità delle risorse cloud per gestire efficacemente anche potenziali condizioni di picco delle attività, degli accessi e del trattamento dei dati.

Contesto normativo, tecnologico e operativo. Il sistema informativo richiesto da ATS prevede che tutte le componenti applicative e dati siano erogate in ambiente cloud, conformemente alla normativa vigente a cui si rimanda per completezza con particolare riferimento ai criteri per la qualificazione dei servizi cloud per la PA. La soluzione applicativa dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). A partire dalla data di sottoscrizione del contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente (fare riferimento al capitolo “Riferimenti documentali e normativi”). In considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico del fornitoredell’aggiudicatario. Il fornitore L’aggiudicatario dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento al Decreto direttoriale prot. N. 29 del 02/01/2023 dell’Agenzia per la Cybersicurezza Nazionale (ACN) è disponibile la procedura di qualificazione dei servizi cloud per la PA. A questo proposito ATS richiede che il servizio SaaS erogato dal fornitore dall’aggiudicatario venga “qualificato” da ACN e pubblicato nel relativo Cloud Marketplace (ACN Cloud Marketplace). In relazione alla natura dei dati trattati e del servizio digitale erogato, il fornitore l’aggiudicatario dovrà garantire un servizio qualificato almeno QC1 secondo quanto previsto da ACN. ATS richiederà richiede che il fornitore l’aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che il fornitore l’aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. Il fornitore L’aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. Il fornitore L’aggiudicatario dovrà dare evidenza ad ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. Il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dal fornitore dall’aggiudicatario dovrà garantire una infrastruttura qualificata almeno QI1 secondo quanto previsto da ACN. A maggior tutela dei dati personali trattati, ATS richiede che il CSP scelto dal fornitore dall’aggiudicatario garantisca la conservazione dei dati e/o delle relative chiavi di cifratura esclusivamente in data center collocati (region) nel territorio italiano. È compito di ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dal fornitoredall’aggiudicatario. In caso di servizi non conformi a quanto dichiarato dal fornitoredall’aggiudicatario, ATS è tenuta a segnalare la circostanza ad AgID XxXX e ACN proponendo, in caso di esito confermativo dell’apposita verifica, la revoca della qualificazione. In relazione agli obblighi e alle responsabilità del fornitore dell’aggiudicatario relativamente al trattamento dei dati, con particolare riferimento a quelli personali e sensibili, la Fornitura fornitura prevede la sottoscrizione di una adeguata polizza assicurativa per ottemperare alla responsabilità risarcitoria a fronte di eventuali danni, economici e/o di immagine, causati da violazioni agli obiettivi di sicurezza previsti da ATS ed i ATS, di cui termini sono disciplinati all’interno nel documento “Capitolato Speciale il massimale minimo è pari a 1.000.000 di Appalto”euro. Occorre fare pertanto riferimento a tale documento per la descrizione esaustiva delle clausole, delle responsabilità e delle azioni contrattuali previste a carico del fornitore dell’aggiudicatario in relazione alla eventuale perdita, all’illecita diffusione dei dati trattati e gestiti nel cloud ed all’interruzione del servizio erogato. Si ricorda inoltre che nella nomina del fornitore dell’aggiudicatario a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali del fornitore dell’aggiudicatario previsti da ATS. Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo “Progettazione, realizzazione e delivery” del presente documento. Al fine di permettere ad ATS di valutare l’efficacia del servizio SaaS erogato, il fornitore l’aggiudicatario dovrà rendere disponibile ad ATS strumenti idonei di monitoraggio, di audit, di Quality Assurance (QA) e di accesso alle basi dati dell’applicativo, oltre che consentire di effettuare verifiche di conformità alla normativa in materia di privacy, sicurezza e accessibilità. Si sottolinea che ogni passaggio in produzione di software sviluppato dal fornitore dall’aggiudicatario e di ogni personalizzazione ed evoluzione dedicata ad ATS, dovrà essere necessariamente condiviso e concordato con i referenti di progetto di ATS a cui dovrà essere data evidenza del buon esito dei test automatici di non regressione effettuati. L’utilizzo delle funzionalità del sistema informativo deve essere possibile attraverso i più diffusi browser Internet senza la necessità di installazione di software specifico sulle postazioni di lavoro (plug-in O agent); l’accesso ai dati ed alle funzionalità applicative deve essere possibile solo agli utenti abilitati in funzione dei previsti livelli e profili di accesso. Le performance del sistema erogato dovranno in ogni caso essere adeguate all’effettivo numero di accessi concorrenti che si avranno a regime ed all’eventuale aumento dei dati trattati. La soluzione web dovrà prevedere l’espandibilità del numero di utenti e garantire la scalabilità delle risorse cloud per gestire efficacemente anche potenziali condizioni di picco delle attività, degli accessi e del trattamento dei dati.