Contesto normativo, tecnologico ed operativo. Il DWH di ATS è collocato ed erogato in ambiente cloud, conformemente alla normativa vigente a cui si rimanda per completezza con particolare riferimento ai criteri per la qualificazione dei servizi cloud per la PA. Il gestore dei servizi cloud (CSP) scelto da ATS garantisce una infrastruttura qualificata almeno QI1 secondo quanto previsto da ACN. A maggior tutela dei dati personali trattati, ATS richiede inoltre che il CSP garantisca la conservazione dei dati e/o delle relative chiavi di cifratura esclusivamente in data center collocati (region) nel territorio italiano. Con riferimento al Decreto direttoriale prot. N. 29 del 02/01/2023 dell’Agenzia per la Cybersicurezza Nazionale (ACN) è disponibile la procedura di qualificazione dei servizi cloud per la PA. In relazione alla natura dei dati trattati e del servizio digitale gestito, l’Aggiudicatario dovrà garantire un servizio qualificato almeno QC1 secondo quanto previsto da ACN. ATS richiede che l’aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che l’aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. L’aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS un servizio che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. È compito di ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dall’aggiudicatario. In caso di servizi non conformi a quanto dichiarato dall’aggiudicatario, ATS è tenuta a segnalare la circostanza ad XxXX e ACN proponendo, in caso di esito confermativo dell’apposita verifica, la revoca della qualificazione. L’aggiudicatario dovrà essere in possesso delle polizze assicurative di cui all’art. 15 del Capitolato Speciale d’Appalto. Si ricorda che nella nomina dell’aggiudicatario a Responsabile al Trattamento Esterno dei dati (Regolamento UE 2016/679) saranno indicati i compiti, gli obblighi e le responsabilità contrattuali dell’aggiudicatario pr...
