Common use of Contesto tecnologico ed operativo Clause in Contracts

Contesto tecnologico ed operativo. Il sistema informativo richiesto da ATS prevede che tutte le componenti applicative e dati siano erogate in ambiente cloud, conformemente alle Linee Guida di AgID per la PA. Si fa presente che per quanto non espressamente richiamato nel presente documento, si rimanda alla normativa vigente relativa alla qualificazione dei servizi cloud per la PA. La soluzione applicativa dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). Si precisa che a partire dalla data di sottoscrizione del contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente ovverosia, in considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico dell’Aggiudicatario. L’Aggiudicatario dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento alle due circolari AgID n. 2 e n. 3 del 9 aprile 2018, l’acquisizione dei servizi in hosting dovrà soddisfare quanto indicato: “A decorrere dal 1° aprile 2019, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace”. A questo proposito ATS richiede che il servizio SaaS erogato dall’Aggiudicatario venga “qualificato” da XxXX e pubblicato nel proprio Cloud Marketplace. Tale attività potrà essere svolta anche successivamente all’aggiudicazione della Gara. Come indicato al link seguente: “Requisiti per la qualificazione di servizi SaaS per il Cloud della PA”, la procedura di qualificazione AgID prevede che l’Aggiudicatario dichiari esplicitamente la rispondenza del servizio erogato a tutti i requisiti indicati nella circolare sulla qualificazione dei servizi SaaS. La compilazione della auto- dichiarazione (self-assessment) dovrà essere effettuata sul portale dedicato di XxXX. Alternativamente è richiesto che l’Aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che l’Aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. L’Aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. L’Aggiudicatario dovrà dare evidenza ad ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. In particolare, il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dall’Aggiudicatario dovrà essere “qualificato” secondo quanto previsto da XxXX. Il CSP dovrà garantire la tutela dei dati personali trattati e la loro conservazione su data center collocati esclusivamente nel territorio italiano. Considerando la natura critica dei dati in ambito alla presente fornitura, il CSP scelto dall’Aggiudicatario dovrà essere aderente ai requisiti espressi dal Regolamento per i servizi cloud, pubblicato da AgID a dicembre 2021 con determinazione 628/2021, che definisce i requisiti minimi per le infrastrutture digitali, le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud in relazione alla classificazione dei dati trattati. I criteri per la qualificazione dei servizi cloud delle PA previsti da AgID devono essere integrati da quelli ulteriori previsti dall’Agenzia per la Cybersicurezza Nazionale (ACN) nell’Allegato 1 della determina 307 del 18/01/2022, con particolare riferimento all’allegato C “Requisiti per la qualificazione dei servizi Cloud per la Pubblica Amministrazione”. È compito di ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dall’Aggiudicatario, che ne risponde penalmente. In caso di servizi non conformi a quanto dichiarato dall’Aggiudicatario, ATS è tenuta a segnalare la circostanza ad AgID che, in caso di esito confermativo dell’apposita verifica, procederà alla revoca della qualificazione. In relazione agli obblighi e alle responsabilità dell’Aggiudicatario relativamente al trattamento dei dati, con particolare riferimento a quelli personali e sensibili, si ricorda che nella nomina dell’Aggiudicatario a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali previsti da ATS. Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo 5 “Progettazione, realizzazione e delivery”. Al fine di permettere ad ATS di valutare l’efficacia del servizio SaaS erogato, l’Aggiudicatario dovrà rendere disponibile ad ATS strumenti idonei di monitoraggio, di Quality Assurance (QA) e di accesso alle basi dati dell’applicativo, oltre che consentire di effettuare verifiche di conformità alla normativa in materia di privacy, sicurezza e accessibilità. Si sottolinea che ogni passaggio in produzione di software sviluppato dall’Aggiudicatario e di ogni personalizzazione dedicata ad ATS, dovrà essere necessariamente condiviso e concordato con i referenti di progetto di ATS. L’utilizzo delle funzionalità del sistema informativo dovrà essere possibile attraverso i più diffusi browser Internet, l’accesso alle funzionalità ed ai dati sarà possibile solo agli utenti abilitati in base ai previsti livelli e profili di accesso. La UOC Risorse Umane e Organizzazione opera all’interno di ATS avendo come focus la gestione giuridica ed economica del personale dipendente, la gestione del sistema degli incarichi, la valutazione del personale, la gestione del portale del dipendente, e la gestione di alcune tipologie di collaboratori dell’ATS e la gestione degli eredi di dipendenti. L’UOC Controllo di Gestione, Formazione, Qualità e RM gestisce la formazione dei dipendenti. Ai fini del corretto dimensionamento del sistema in ambito al presente Capitolato Tecnico, di seguito sono forniti alcuni dati relativi agli utilizzatori previsti: • numero di utenti ATS (personale dipendente): indicativamente 1.860; • numero di operatori di backoffice delle Risorse Umane: indicativamente 50; • numero operatori di backoffice della UOS Formazione: indicativamente 10; • numero dipendenti ATS referenti della UOS Formazione: indicativamente 20. Le performance del sistema erogato dovranno in ogni caso essere adeguate all’effettivo numero di accessi concorrenti che si avranno a regime. L’applicazione web dovrà prevedere l’espandibilità del numero di utenti e garantire la scalabilità delle risorse cloud per gestire efficacemente anche potenziali condizioni di picco delle attività e degli accessi.

Contesto tecnologico ed operativo. Il sistema informativo software richiesto da ATS prevede che tutte le componenti applicative e relative all’applicazione web- based ed ai dati siano erogate collocate in ambiente cloud, conformemente alle Linee Guida di AgID per la PA. Si fa presente che per quanto non espressamente richiamato nel presente documento, si rimanda alla normativa vigente relativa alla qualificazione dei servizi cloud per la PA. La soluzione applicativa progettuale dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). Si precisa che a partire dalla data di sottoscrizione del contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente ovverosia, in considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico dell’Aggiudicatario. L’Aggiudicatario dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento alle due circolari AgID n. 2 e n. 3 del 9 aprile 2018, l’acquisizione dei servizi in hosting dovrà soddisfare quanto indicato: “A decorrere dal 1° aprile 2019, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace”” (xxxxx://xxxxx.xxxxxx.xx/xxxxxxxxxxx/ ). A questo proposito ATS richiede che il servizio SaaS erogato dall’Aggiudicatario venga “qualificato” da XxXX e pubblicato nel proprio Cloud Marketplace. Tale attività potrà essere svolta anche successivamente all’aggiudicazione della Garagara. Come indicato al link seguente: xxxxx://xxxxx-xxxxxx.xxxxxxxxxxx.xx/xxxxxxxx/xxxxx-xxxxxx- circolari/it/latest/circolari/SaaS/allegato_a_qualificazione_SaaS_v6.html “Requisiti per la qualificazione di servizi SaaS per il Cloud della PA”, la procedura di qualificazione AgID prevede che l’Aggiudicatario dichiari esplicitamente la rispondenza del servizio erogato a tutti i requisiti indicati nella nell’Appendice 1 della circolare sulla qualificazione dei servizi SaaS. La compilazione della auto- auto-dichiarazione (self-assessment) dovrà essere effettuata sul portale dedicato di XxXX. Alternativamente è richiesto che l’Aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che l’Aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. L’Aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. L’Aggiudicatario dovrà dare evidenza ad ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. In particolare, il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dall’Aggiudicatario dovrà essere “qualificato” secondo quanto previsto da XxXX. Il CSP dovrà garantire la tutela dei dati personali trattati e la loro conservazione su data center collocati esclusivamente nel territorio italiano. Considerando la natura critica dei dati in ambito alla presente fornitura, il CSP scelto dall’Aggiudicatario dovrà essere aderente ai requisiti espressi dal Regolamento per i servizi cloud, pubblicato da AgID a dicembre 2021 con determinazione 628/2021, che definisce i requisiti minimi per le infrastrutture digitali, le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud in relazione alla classificazione dei dati trattati. I criteri per la qualificazione dei servizi cloud delle PA previsti da AgID devono essere integrati da quelli ulteriori previsti dall’Agenzia per la Cybersicurezza Nazionale (ACN) nell’Allegato 1 della determina 307 del 18/01/2022, con particolare riferimento all’allegato C “Requisiti per la qualificazione dei servizi Cloud per la Pubblica Amministrazione”. È compito di ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dall’Aggiudicatario, che ne risponde penalmente. In caso di servizi non conformi a quanto dichiarato dall’Aggiudicatario, ATS è tenuta a segnalare la circostanza ad AgID che, in caso di esito confermativo dell’apposita verifica, procederà alla revoca della qualificazione. In relazione agli obblighi e alle responsabilità dell’Aggiudicatario relativamente al trattamento dei dati, con particolare riferimento a quelli personali e sensibili, si ricorda che nella nomina dell’Aggiudicatario a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali previsti da ATS. Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo 5 “Progettazione, realizzazione e delivery”. Al fine di permettere ad ATS di valutare l’efficacia del servizio SaaS erogato, l’Aggiudicatario dovrà rendere disponibile ad ATS strumenti idonei di monitoraggio, di Quality Assurance (QA) e di accesso alle basi dati dell’applicativo, oltre che consentire di effettuare verifiche di conformità alla normativa in materia di privacy, sicurezza e accessibilità. Si sottolinea che ogni passaggio in produzione di del software sviluppato dall’Aggiudicatario dall’Aggiudicatario, comprensivo della relativa documentazione di progetto, dall’ambiente di sviluppo all’ambiente di collaudo dedicato ad ATS e da quest’ultimo a quello di ogni personalizzazione dedicata ad ATSproduzione, dovrà essere necessariamente sempre condiviso e concordato con i referenti di progetto di ATS. L’utilizzo delle funzionalità del sistema informativo in oggetto dovrà essere possibile attraverso i più diffusi browser Internet, l’accesso anche in mobilità. L’accesso alle funzionalità ed ai dati sarà possibile gestiti dovrà essere consentito solo agli utenti abilitati in base ai funzione dei previsti livelli e profili di accesso. La UOC Risorse Umane e Organizzazione opera all’interno di ATS avendo come focus la gestione giuridica ed economica del personale dipendente, la gestione del sistema degli incarichi, la valutazione del personale, la gestione del portale del dipendente, e la gestione di alcune tipologie di collaboratori dell’ATS e la gestione degli eredi di dipendenti. L’UOC Controllo di Gestione, Formazione, Qualità e RM gestisce la formazione dei dipendenti. Ai fini del corretto dimensionamento del sistema in ambito al presente Capitolato Tecnico, di seguito sono forniti alcuni dati relativi agli utilizzatori utilizzatori, agli asset e ai volumi documentali previsti: • numero di utenti ATS (personale dipendente): interni ATS: indicativamente 1.8605; • numero di operatori di backoffice delle Risorse UmanePdL gestite: indicativamente 50circa 5; • numero operatori di backoffice della UOS Formazionevolumi documentali previsti: indicativamente 10; • numero dipendenti ATS referenti della UOS Formazione: indicativamente 20non è possibile fornire una quantificazione a priori. Le performance del sistema erogato dovranno in ogni caso devono essere adeguate all’effettivo tali da consentire un numero di accessi concorrenti che si avranno pari ad almeno a regime5 (cinque) utenze. L’applicazione Al di là dei limiti dimensionali suddetti, l’applicazione web dovrà prevedere l’espandibilità del numero di utenti finali e la possibilità di variare indefinitamente il numero degli asset gestiti mantenendo lo storico di quelli dismessi, oltre a garantire la scalabilità delle risorse cloud di elaborazione per gestire efficacemente anche potenziali condizioni di picco picchi delle attività e degli accessiattività.

Contesto tecnologico ed operativo. Il sistema informativo richiesto da ATS prevede che tutte le componenti applicative e dati siano erogate in ambiente cloud, conformemente alle Linee Guida di AgID per la PA. Si fa presente che per quanto non espressamente richiamato nel presente documento, si rimanda alla normativa vigente relativa alla qualificazione dei servizi cloud per la PA. La soluzione applicativa progettuale dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). Si precisa che a partire dalla data di sottoscrizione del contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente ovverosia, in considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico dell’Aggiudicatario. L’Aggiudicatario dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento alle due circolari AgID n. 2 e n. 3 del 9 aprile 2018, l’acquisizione dei servizi in hosting dovrà soddisfare quanto indicato: “A decorrere dal 1° 1 aprile 2019, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace”. A questo proposito ATS richiede che il servizio SaaS erogato dall’Aggiudicatario venga “qualificato” da XxXX e pubblicato nel proprio Cloud Marketplace. Tale attività potrà essere svolta anche successivamente all’aggiudicazione della Gara. Come indicato al link seguente: “Requisiti per la qualificazione di servizi SaaS per il Cloud della PA”, la procedura di qualificazione AgID prevede che l’Aggiudicatario dichiari esplicitamente la rispondenza del servizio erogato a tutti i requisiti indicati nella circolare sulla qualificazione dei servizi SaaS. La compilazione della auto- dichiarazione (self-assessment) dovrà essere effettuata sul portale dedicato di XxXX. Alternativamente è richiesto che l’Aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che l’Aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. L’Aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. L’Aggiudicatario dovrà dare evidenza ad ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. In particolare, il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dall’Aggiudicatario dovrà essere “qualificato” secondo quanto previsto da XxXX. Il CSP dovrà garantire la tutela dei dati personali trattati e la loro conservazione su data center collocati esclusivamente nel territorio italiano. Considerando la natura critica dei dati in ambito alla presente fornitura, il CSP scelto dall’Aggiudicatario dovrà essere aderente ai requisiti espressi dal Regolamento per i servizi cloud, pubblicato da AgID a dicembre 2021 con determinazione 628/2021, che definisce i requisiti minimi per le infrastrutture digitali, le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud in relazione alla classificazione dei dati trattati. I criteri per la qualificazione dei servizi cloud delle PA previsti da AgID devono essere integrati da quelli ulteriori previsti dall’Agenzia per la Cybersicurezza Nazionale (ACN) nell’Allegato 1 della determina 307 del 18/01/2022, con particolare riferimento all’allegato C “Requisiti per la qualificazione dei servizi Cloud per la Pubblica Amministrazione”. È compito di ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dall’Aggiudicatario, che ne risponde penalmente. In caso di servizi non conformi a quanto dichiarato dall’Aggiudicatario, ATS è tenuta a segnalare la circostanza ad AgID che, in caso di esito confermativo dell’apposita verifica, procederà alla revoca della qualificazione. In relazione agli obblighi e alle responsabilità dell’Aggiudicatario relativamente al trattamento dei dati, con particolare riferimento a quelli personali e sensibili, si ricorda che nella nomina dell’Aggiudicatario a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali previsti da ATS. Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo 5 “Progettazione, realizzazione e delivery”. Al fine di permettere ad ATS di valutare l’efficacia del servizio SaaS erogato, l’Aggiudicatario dovrà rendere disponibile ad ATS strumenti idonei di monitoraggio, di Quality Assurance (QA) e di accesso alle basi dati dell’applicativo, oltre che consentire di effettuare verifiche di conformità alla normativa in materia di privacy, sicurezza e accessibilità. Si sottolinea che ogni passaggio in produzione di software sviluppato dall’Aggiudicatario e di ogni personalizzazione dedicata ad ATS, dovrà essere necessariamente condiviso e concordato con i referenti di progetto di ATSxxxxx://xxxxx.xxxxxx.xx/xxxxxxxxxxx/). L’utilizzo delle funzionalità del sistema informativo dovrà essere possibile attraverso i più diffusi browser Internet, l’accesso alle funzionalità ed ai dati sarà possibile solo agli utenti abilitati in base ai funzione dei previsti livelli e profili di accesso. La UOC Risorse Umane accesso e Organizzazione opera all’interno di ATS avendo come focus la gestione giuridica ed economica del personale dipendente, la gestione del sistema degli incarichi, la valutazione del personale, la gestione del portale del dipendente, e la gestione di alcune tipologie di collaboratori dell’ATS e la gestione degli eredi di dipendenti. L’UOC Controllo di Gestione, Formazione, Qualità e RM gestisce la formazione dei dipendentidelle licenze d’uso previste. Ai fini del corretto dimensionamento del sistema in ambito al presente Capitolato Tecnicosistema, di seguito sono forniti alcuni dati indicativi relativi agli utilizzatori utenti ed ai volumi dati previsti: • numero utenti interni ATS con funzioni di utenti ATS analisi (personale dipendentedesigner): indicativamente 1.8603; • numero utenti esterni ad ATS con funzioni di operatori di backoffice delle Risorse Umane: indicativamente 50analisi (designer): 3; • numero operatori di backoffice della UOS Formazioneutenti pubblici: indicativamente 10nessun limite; • numero dipendenti ATS referenti della UOS Formazionevolumi dati previsti: indicativamente 20non è possibile fornire una quantificazione a priori in questa fase. Le performance del sistema erogato dovranno in ogni caso essere adeguate all’effettivo numero Al di accessi concorrenti che si avranno a regime. L’applicazione là dei vincoli suddetti, il portale web dovrà prevedere l’espandibilità del numero di utenti interni ed esterni ad ATS e garantire la scalabilità delle risorse cloud per gestire efficacemente anche potenziali condizioni di picco delle attività calcolo e degli accessidi memorizzazione inizialmente previste.

Contesto tecnologico ed operativo. Il sistema informativo richiesto da ATS prevede che tutte le componenti applicative e relative all’applicazione web ed ai dati siano erogate collocate in ambiente cloud, conformemente alle Linee Guida di AgID per la PA. Si fa presente che per quanto non espressamente richiamato nel presente documento, si rimanda alla normativa vigente relativa alla qualificazione dei servizi cloud per la PA. La soluzione applicativa progettuale dovrà essere basata su tecnologie di cloud computing secondo il paradigma SaaS (Software as a Service). Si precisa che a partire dalla data di sottoscrizione del contratto la fornitura richiesta dovrà contemplare il servizio di hosting di una infrastruttura in linea con la normativa vigente ovverosia, in considerazione delle caratteristiche tecnologiche richieste, la soluzione progettuale dovrà richiedere la disponibilità di risorse o infrastrutture integralmente a carico dell’Aggiudicatario. L’Aggiudicatario dovrà garantire la produzione di tutti i certificati digitali necessari per la gestione sicura dell’applicazione web erogata. Con riferimento alle due circolari AgID n. 2 e n. 3 del 9 aprile 2018, l’acquisizione dei servizi in hosting dovrà soddisfare quanto indicato: “A decorrere dal 1° 1 aprile 2019, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace”. A questo proposito ATS richiede che il servizio SaaS erogato dall’Aggiudicatario venga “qualificato” da XxXX e pubblicato nel proprio Cloud Marketplace. Tale attività potrà essere svolta anche successivamente all’aggiudicazione della Gara. Come indicato al link seguente: “Requisiti per la qualificazione di servizi SaaS per il Cloud della PA”, la procedura di qualificazione AgID prevede che l’Aggiudicatario dichiari esplicitamente la rispondenza del servizio erogato a tutti i requisiti indicati nella circolare sulla qualificazione dei servizi SaaS. La compilazione della auto- dichiarazione (self-assessment) dovrà essere effettuata sul portale dedicato di XxXX. Alternativamente è richiesto che l’Aggiudicatario sia in possesso della certificazione secondo lo standard ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018. Tale certificazione dovrà essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea. Ciò è volto ad assicurare che l’Aggiudicatario abbia adottato misure tecniche ed organizzative volte a minimizzare il rischio di perdita di integrità (anche accidentale) dei dati, di accesso non autorizzato, di trasmissione non sicura, di illecita diffusione, di trattamento non consentito o non conforme alle finalità della raccolta. L’Aggiudicatario dovrà, in sintesi, mettere a disposizione di ATS una soluzione tecnologica ed operativa che garantisca il rispetto dei previsti obiettivi di sicurezza, dal punto di vista della confidenzialità, integrità e disponibilità dei dati trattati. L’Aggiudicatario dovrà dare evidenza ad ATS di eventuali altri soggetti o subfornitori che concorrano all’erogazione del servizio di cloud hosting e quindi al trattamento dei dati. In particolare, il gestore dei servizi cloud (CSP, Cloud Service Provider) scelto dall’Aggiudicatario dovrà essere “qualificato” secondo quanto previsto da XxXX. Il CSP dovrà garantire la tutela dei dati personali trattati e la loro conservazione su data center collocati esclusivamente nel territorio italiano. Considerando la natura critica dei dati in ambito alla presente fornitura, il CSP scelto dall’Aggiudicatario dovrà essere aderente ai requisiti espressi dal Regolamento per i servizi cloud, pubblicato da AgID a dicembre 2021 con determinazione 628/2021, che definisce i requisiti minimi per le infrastrutture digitali, le caratteristiche e le modalità di qualificazione e migrazione dei servizi cloud in relazione alla classificazione dei dati trattati. I criteri per la qualificazione dei servizi cloud delle PA previsti da AgID devono essere integrati da quelli ulteriori previsti dall’Agenzia per la Cybersicurezza Nazionale (ACN) nell’Allegato 1 della determina 307 del 18/01/2022, con particolare riferimento all’allegato C “Requisiti per la qualificazione dei servizi Cloud per la Pubblica Amministrazione”. È compito di ATS verificare l’effettivo rispetto delle dichiarazioni prodotte in sede di qualificazione dall’Aggiudicatario, che ne risponde penalmente. In caso di servizi non conformi a quanto dichiarato dall’Aggiudicatario, ATS è tenuta a segnalare la circostanza ad AgID che, in caso di esito confermativo dell’apposita verifica, procederà alla revoca della qualificazione. In relazione agli obblighi e alle responsabilità dell’Aggiudicatario relativamente al trattamento dei dati, con particolare riferimento a quelli personali e sensibili, si ricorda che nella nomina dell’Aggiudicatario a Responsabile al Trattamento Esterno dei dati (Regolamento UE 679/2016) sono già indicati i compiti, gli obblighi e le responsabilità contrattuali previsti da ATSxxxxx://xxxxx.xxxxxx.xx/xxxxxxxxxxx/xxxxxxxx/xxxxxx/xxxxx.xxxx). Per una copertura completa dei requisiti richiesti in ambito di servizi cloud occorre fare riferimento alla normativa nazionale vigente ed a quanto indicato al capitolo 5 “Progettazione, realizzazione e delivery”. Al fine di permettere ad ATS di valutare l’efficacia del servizio SaaS erogato, l’Aggiudicatario il Fornitore dovrà rendere disponibile disponibile, durante il periodo contrattuale, ad ATS strumenti idonei di monitoraggio, monitoraggio e di Quality Assurance (QA) e al fine di accesso alle basi dati dell’applicativo, oltre che consentire di poter effettuare verifiche di conformità alla normativa in materia di privacy, sicurezza privacy e accessibilità. Si sottolinea che ogni passaggio in produzione di software sviluppato dall’Aggiudicatario e di ogni personalizzazione dedicata ad ATS, dovrà essere necessariamente condiviso e concordato con i referenti di progetto di ATSsicurezza. L’utilizzo delle funzionalità del sistema informativo dovrà essere possibile attraverso i più diffusi browser Internet, l’accesso alle funzionalità ed ai dati sarà possibile solo agli utenti abilitati in base ai funzione dei previsti livelli e profili di accesso. La UOC Risorse Umane e Organizzazione opera all’interno di ATS avendo come focus la gestione giuridica ed economica del personale dipendente, la gestione del sistema degli incarichi, la valutazione del personale, la gestione del portale del dipendente, e la gestione di alcune tipologie di collaboratori dell’ATS e la gestione degli eredi di dipendenti. L’UOC Controllo di Gestione, Formazione, Qualità e RM gestisce la formazione dei dipendenti. Ai fini del corretto dimensionamento del sistema in ambito al presente Capitolato Tecnicosistema, di seguito sono forniti alcuni dati relativi agli utilizzatori utilizzatori, agli asset e ai volumi documentali previsti: • numero di utenti ATS (personale dipendente): indicativamente 1.860interni ATS: al massimo 50; • numero di operatori di backoffice delle Risorse Umaneutenti esterni ad ATS: indicativamente al massimo 50; • numero operatori di backoffice della UOS Formazioneimmobili gestiti: indicativamente 10tra i 100 e i 150, considerate sedi istituzionali, sedi di continuità assistenziale, immobili da reddito (edifici e terreni); • numero dipendenti ATS referenti della UOS Formazionevolumi documentali previsti: indicativamente 20non è possibile fornire una quantificazione a priori. Le performance del sistema erogato dovranno in ogni caso essere adeguate all’effettivo numero Al di accessi concorrenti che si avranno a regime. L’applicazione là dei limiti dimensionali suddetti, l’applicazione web dovrà prevedere l’espandibilità del numero di utenti interni ed esterni e garantire la scalabilità delle risorse cloud per gestire efficacemente anche potenziali condizioni possibilità di picco delle attività e variare indefinitamente il numero degli accessiimmobili gestiti mantenendo lo storico di quelli non più in gestione.