Regole tecniche e di sicurezza per il funzionamento del Sistema
pubblico di connettivita’ previste dall’articolo 71, comma 1-bis del
decreto legislativo 7 marzo 2005, n. 82, recante il «Codice
dell’amministrazione digitale».
(pubblicato sulla Gazzetta Ufficiale n. 144 del 21-6-2008)
IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400, e successive modificazioni;
Visto il decreto legislativo 12 febbraio 1993, n. 39, e successive modificazioni;
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni e, in particolare, l’art. 71, comma 1-bis;
Visto il decreto del Presidente del Consiglio dei Ministri in data 15 giugno 2006, recante delega di funzioni al Ministro senza portafoglio per le riforme e le innovazioni nella pubblica amministrazione, prof. Luigi Nicolais;
Acquisito l’avviso tecnico del CNIPA;
Acquisita l’intesa della Conferenza unificata ai sensi dell’art. 8 del decreto legislativo 28 agosto 1997, n. 281, espressa nella seduta del 20 dicembre 2007;
Esperita la procedura di notifica alla Commissione europea di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento europeo e del Consiglio, del 20 luglio 1998, CE attuata dalla legge 21 giugno 1986, n. 317, modificata dal decreto legislativo 23 novembre 2000, n. 427;
Sulla proposta del Ministro per le riforme e le innovazioni nella pubblica amministrazione;
Decreta:
Art. 1.
- Sono approvate le Regole tecniche e di sicurezza per il funzionamento del Sistema pubblico di connettivita’ previste dall’art. 71, comma 1-bis del decreto legislativo 7 marzo 2005, n. 82, e successive modifiche ed integrazioni, recante il «Codice dell’amministrazione digitale», di cui all’allegato A.
Il presente decreto sara’ inviato ai competenti organi di controllo e pubblicato nella Gazzetta Ufficiale dello Stato.
Roma, 1° aprile 2008
Il Presidente: Prodi
Registrato alla Corte dei conti il 19 maggio 2008
Ministeri istituzionali, Presidenza del Consiglio dei Ministri, registro n. 5, foglio n. 348
Allegato A
Titolo I
DISPOSIZIONI GENERALI
Art. 1.
Definizioni
- Ai fini del presente decreto si applicano le definizioni contenute negli articoli 1 e 72 del decreto legislativo 7 marzo 2005, n. 82 recante il «Codice dell’amministrazione digitale» aggiornato con le modifiche introdotte dal decreto legislativo 4 aprile 2006, n. 159. Si intende, inoltre, per:
a) «Codice», il Codice dell’amministrazione digitale;
b) «Regole tecniche», le disposizioni di cui al presente decreto;
c) «Commissione», la Commissione di coordinamento del Sistema pubblico di connettivita’ di cui all’art. 79 del Codice;
d) «CNIPA», il Centro nazionale per l’informatica nella pubblica amministrazione;
e) «fornitori qualificati», i soggetti di cui all’art. 82 del Codice, che hanno ottenuto la qualificazione ai sensi del Regolamento per la qualificazione dei fornitori del Sistema pubblico di connettivita’ (SPC) previsto dall’art. 87 del Codice;
f) «Amministrazioni», le amministrazioni che partecipano al SPC, secondo le prescrizioni di cui all’art. 75 del Codice;
g) «Amministrazioni centrali», le Amministrazioni comprese tra quelle previste all’art. 1, comma 1, del decreto legislativo 12 febbraio 1993, n. 39;
h) «Amministrazioni territoriali», le Amministrazioni non comprese tra quelle previste all’art. 1, comma 1, del decreto legislativo 12 febbraio 1993, n. 39;
i) «reti territoriali», le infrastrutture e le regole condivise da un insieme di Amministrazioni territoriali al fine di erogare servizi di connettivita’. Ai fini del presente decreto sono considerate reti territoriali le reti regionali;
i-bis) «reti di rilevanza nazionale», le reti di interesse nazionale individuate dalla Commissione;
j) «Community Network», la rete territoriale istituita da una disposizione normativa regionale che garantisca il rispetto dei requisiti previsti dal presente decreto;
k) «dominio», l’insieme delle risorse (infrastrutture, hardware, software, procedure, dati, servizi) e delle politiche che ricadono sotto la responsabilita’ di una specifica organizzazione (Amministrazione, fornitore, ecc). Un dominio puo’ essere scomposto in piu’ «sottodomini»;
l) «infrastrutture condivise», l’insieme delle risorse del SPC (componenti hardware e software, regole, documenti, servizi) gestite dal CNIPA, anche avvalendosi di soggetti terzi, ai sensi dell’art. 81, comma 1 del Codice, comprese le strutture operative preposte al controllo e supervisione delle stesse al fine di consentire la connettivita’, l’interoperabilita’ evoluta e la cooperazione applicativa in sicurezza tra le Amministrazioni su tutto il territorio nazionale;
m) «Qualified eXchange Network/QXN», la componente delle infrastrutture condivise che realizza l’interconnessione delle reti dei fornitori qualificati dei servizi di connettivita’ del SPC e delle Community Network;
n) «Nodo di interconnessione VoIP (NIV-SPC)», la componente delle infrastrutture condivise che realizza l’interconnessione delle Amministrazioni aventi uno o piu’ domini VoIP connessi al SPC;
o) «Centro di Gestione SPC (CG-SPC)», la componente delle infrastrutture condivise preposta alla gestione delle risorse di cui alle lettere m) ed n), all’erogazione di servizi di sicurezza per le finalita’ di cui all’art. 11, comma 3, nonche’ al monitoraggio dei fornitori qualificati SPC di connettivita’ e dei soggetti deputati alla gestione delle risorse condivise di connettivita’;
p) «SPCoop», il sottosistema logico del SPC costituito dall’insieme delle regole e delle specifiche funzionali che definiscono il modello di cooperazione applicativa per il SPC;
q) «servizi di connettivita», l’insieme logico dei servizi SPC per la trasmissione di dati, oggetti multimediali e fonia, attraverso i quali viene attivato anche lo scambio di documenti informatici tra le pubbliche amministrazioni e tra queste e i cittadini e le imprese;
r) «SICA», servizi infrastrutturali di interoperabilita’, cooperazione ed accesso, l’insieme delle regole, dei servizi e delle infrastrutture condivise che abilitano l’interoperabilita’ e la cooperazione applicativa fra le Amministrazioni e l’accesso ai servizi applicativi da queste sviluppati e resi disponibili sul SPC;
s) «servizio telematico», l’insieme di funzionalita’, realizzate mediante componenti software, erogate attraverso un sistema di comunicazione accessibile anche in internet;
t) «servizio applicativo», l’insieme di funzionalita’, realizzate mediante componenti software, erogate o fruite da una Amministrazione attraverso la Porta di Dominio;
u) «servizio applicativo composto», il servizio applicativo «multi-ente», risultato della cooperazione di piu’ Amministrazioni, le quali concorrono, ognuna per la parte di propria competenza, all’automazione di un processo inter-amministrazione, sulla base delle specifiche definite nell’ambito dell’accordo di cooperazione;
v) «dominio applicativo», l’insieme dei servizi applicativi erogati sotto la diretta responsabilita’ di un’Amministrazione;
w) «dominio di cooperazione», il coordinamento tra domini applicativi facenti capo a piu’ Amministrazioni che cooperano per l’erogazione di uno o piu’ servizi applicativi composti, al fine di automatizzare uno o piu’ procedimenti amministrativi;
x) «accordo di servizio», la convenzione tra erogatore e fruitore del servizio applicativo, redatta in formato XML e resa pubblica attraverso le infrastrutture condivise del SPC, che descrive l’oggetto del servizio e le relative modalita’ di erogazione e fruizione;
y) «accordo di cooperazione», la convenzione, redatta in formato XML e resa pubblica attraverso le infrastrutture condivise del SPC, che richiama gli accordi finalizzati all’erogazione dei servizi applicativi facenti parte del dominio di cooperazione, descrive i contenuti dei servizi composti e coordinati e le relative modalita’ di coordinamento;
z) «porta di dominio», unico componente architetturale del SPC attraverso il quale si accede al dominio applicativo dell’Amministrazione per l’utilizzo dei servizi applicativi;
aa) «IPA», indice delle pubbliche amministrazioni, struttura informativa appartenente alle infrastrutture nazionali condivise che contiene strutture organizzative, riferimenti ai servizi telematici e di posta elettronica, Aree organizzative omogenee e relative caselle di posta elettronica certificata;
bb) «autorizzazione», l’insieme di attivita’ che consentono l’accesso ad un servizio o una risorsa a chi, preventivamente identificato o autenticato, possiede gli attributi o il ruolo necessario;
cc) «autorita’ di identificazione», la struttura che consente l’identificazione di un soggetto attraverso le modalita’ previste dall’art. 66 del Codice;
dd) «autorita’ di autenticazione», la struttura che consente l’autenticazione in rete di un soggetto o di un sistema informatico o di un servizio, come definita dall’art. 1, lettera b) del Codice;
ee) «autorita’ di attributo e ruolo», la struttura che ha la potesta’ di attestare attributi e ruoli ai fini dell’erogazione di un servizio;
ff) «ontologia di dominio», rappresentazione formale di concetti e relazioni tra gli stessi riferiti ad un ambito tematico;
gg) «Busta e-Gov», protocollo di comunicazione tra servizi applicativi basato sullo standard SOAP;
hh) «Organismi di attuazione e controllo», il CNIPA a livello nazionale, cui compete, ai sensi dell’art. 81, comma 1, del Codice, la gestione delle risorse condivise del SPC e delle strutture operative preposte al controllo ed alla supervisione delle stesse, e, ai sensi del comma 2, la progettazione, realizzazione ed evoluzione del SPC secondo gli indirizzi della Commissione ed in conformita’ alle presenti Regole tecniche, nonche’ la responsabilita’ di assicurare che i servizi erogati dai fornitori qualificati rispettino i requisiti di qualita’ e sicurezza del SPC; ovvero le regioni per il relativo ambito di competenza, secondo un modello federato e policentrico;
ii) «CERT-SPC-C» (Computer Emergency Response Team del Sistema pubblico di connettivita’ Centrale), la struttura collocata presso il CNIPA che e’ referente centrale per la prevenzione, il monitoraggio, la gestione, la raccolta dati e l’analisi degli incidenti di sicurezza, assicurando l’applicazione di metodologie coerenti ed uniformi in tutto il sistema da essa controllato per la gestione degli incidenti;
jj) «CERT-SPC-R» (Computer Emergency Response Team del Sistema pubblico di connettivita’ a livello Regionale), la struttura collocata presso le regioni che e’ referente territoriale per la prevenzione, il monitoraggio, la gestione, la raccolta dati e l’analisi degli incidenti di sicurezza, assicurando l’applicazione di metodologie coerenti ed uniformi in tutto il sistema da essa controllato (fornitori qualificati SPC iscritti negli eventuali elenchi regionali) per la gestione degli incidenti.
Art. 2.
Obiettivi e finalita’
- Il presente decreto, emanato ai sensi dell’art. 71 comma 1-bis del Codice, definisce le Regole tecniche e di sicurezza per il funzionamento del Sistema pubblico di connettivita’ (SPC).
Art. 3.
Documenti tecnici integrativi
- La Commissione e gli Organismi di attuazione e controllo, per il relativo ambito di competenza, emanano i documenti tecnici di cui all’art. 13 nel rispetto delle presenti Regole tecniche, degli indirizzi della Commissione di cui all’art. 79 del Codice e dei regolamenti di cui all’art. 87 del Codice medesimo.
Art. 4.
Norme tecniche di riferimento
- I principali standard di riferimento per la realizzazione dei servizi del SPC sono indicati nelle presenti Regole tecniche e nei documenti tecnici previsti dal presente decreto.
Art. 5.
Compatibilita’ operativa degli standard
- La Commissione, avvalendosi degli Organismi di attuazione e controllo, assicura, in funzione dell’evoluzione tecnologica, la coerenza operativa degli standard cosi’ come previsti nelle presenti Regole tecniche ed in ogni altro documento predisposto ai sensi del presente decreto, dando tempestiva informazione delle eventuali variazioni ai soggetti interessati, anche attraverso pubblicazione per via telematica.
Titolo II
PRINCIPI NORMATIVI DEL SPC
Art. 6.
Principi generali del SPC
- La realizzazione del SPC avviene nel rispetto dell’art. 73 del Codice, ed in particolare dei principi generali indicati nel comma 3 del medesimo art. 73.
Art. 7.
Finalita’ del SPC
- Il SPC persegue le finalita’ indicate nell’art. 77 del Codice.
- Lo scambio di documenti informatici tra i soggetti di cui all’art. 75 del codice mediante l’utilizzo di servizi applicativi interoperabili e cooperanti nel rispetto delle presenti regole, costituisce invio documentale valido ad ogni effetto di legge, ai sensi dell’art. 76 del Codice.
Art. 8.
Ricognizione dei ruoli e responsabilita’
delle Amministrazioni che partecipano al SPC
- I compiti delle Amministrazioni nell’ambito del SPC, sono definiti dalle disposizioni contenute negli articoli 78, 81 e 83 del Codice.
- Le responsabilita’ relative alla realizzazione e gestione del SPC, secondo gli indirizzi della Commissione ed in conformita’ alle presenti Regole tecniche, sono attribuite al CNIPA ed alle regioni, per i rispettivi ambiti di competenza.
- In attuazione delle disposizioni previste al comma 1 dell’art. 78 del Codice, le Amministrazioni, secondo la propria autonomia e responsabilita’, sviluppano, gestiscono e rendono disponibili servizi applicativi nell’ambito del SPC anche mediante l’accesso e lo scambio delle informazioni e dei dati di propria competenza, nel rispetto delle presenti regole tecniche.
- Ai sensi dell’art. 79 del Codice ed in relazione alle disposizioni richiamate dal comma 3 dell’art. 73, la responsabilita’ relativa alla evoluzione del SPC, e’ attribuita alla Commissione, con il supporto degli Organismi di attuazione e controllo nell’ambito delle competenze stabilite dal Codice.
- Il CNIPA, anche avvalendosi di soggetti terzi, realizza e gestisce, per un periodo pari almeno a due anni, le infrastrutture condivise per le Amministrazioni, ai sensi dei commi 2 e 3 dell’art. 86 del Codice
- L’Amministrazione territoriale gestisce e realizza le proprie infrastrutture, ovvero le infrastrutture ubicate nel territorio di competenza ed eventualmente condivise con altre Amministrazioni, assicurando, per le finalita’ del SPC, l’interazione con le infrastrutture condivise a livello nazionale nel rispetto delle presenti regole tecniche .
- La Commissione e gli Organismi di attuazione e controllo per i relativi ambiti di competenza, assicurano la supervisione, il controllo e la verifica delle prestazioni erogate dai fornitori qualificati, affinche’ siano rispettati i requisiti di qualita’ e di sicurezza del SPC ed i requisiti di qualificazione previsti dal Regolamento per la qualificazione dei fornitori, ai sensi degli articoli 79, 81 ed 83 del Codice.
Art. 9.
Sviluppo federato, policentrico e non gerarchico del sistema
- Lo sviluppo del SPC e’ realizzato secondo un disegno unitario e conforme alle presenti Regole tecniche. A tal fine le Amministrazioni, ai sensi dell’art. 73, comma 1, del Codice, predispongono le infrastrutture e realizzano i servizi applicativi in ambito SPC, in modo che sia assicurato il coordinamento informativo ed informatico dei dati tra le Amministrazioni centrali, regionali e locali e promossa l’omogeneita’ nella elaborazione e trasmissione dei dati stessi, finalizzata allo scambio e diffusione delle informazioni tra le Amministrazioni e alla realizzazione di servizi integrati.
- La Commissione, definisce gli indirizzi e promuove gli standard di riferimento per il disegno dell’architettura generale e dell’architettura delle componenti del SPC in base agli articoli 79 ed 81 comma 1 del Codice.
- Gli Organismi di attuazione e controllo, nel rispetto delle presenti Regole tecniche e degli indirizzi della Commissione, definiscono e provvedono ad aggiornare, secondo le necessita’, l’architettura generale e l’architettura delle componenti del SPC.
- Gli Organismi di attuazione e controllo, al fine di consentire lo sviluppo del SPC, sulla base di un disegno unitario realizzato in modo federato, secondo gli indirizzi della Commissione e nel rispetto delle presenti Regole tecniche, svolgono anche attivita’ di supporto alle pubbliche amministrazioni. In tal senso i medesimi Organismi coadiuvano la predisposizione di soluzioni tecniche funzionali anche alla riorganizzazione e reingegnerizzazione dei processi, che risultino compatibili con la cooperazione applicativa ai sensi all’art. 78 comma 1 del Codice.
- L’interazione tra le Amministrazioni mediante servizi applicativi, nell’ambito del SPC, finalizzata allo svolgimento di procedimenti amministrativi soggettivamente complessi, e’ paritetica e non gerarchica, ai sensi dell’art. 73, comma 3, lettera a) del Codice.
Art. 10.
Economicita’ nell’utilizzo dei servizi di rete, di interoperabilita’
e di supporto alla cooperazione applicativa
- Gli Organismi di attuazione e controllo, secondo gli indirizzi e le indicazioni della Commissione e nel rispetto delle presenti Regole tecniche, progettano e realizzano, anche attraverso la stipula dei contratti quadro di cui all’art. 83 del Codice, gli interventi che facilitino e sostengano lo sviluppo di servizi di rete, di interoperabilita’ e di cooperazione applicativa tra le Amministrazioni che utilizzano il SPC. A tal fine, attuano misure che favoriscano, in particolare:
a) la comunicazione tra le Amministrazioni e nell’ambito delle stesse, tramite tecnologie e strumenti di comunicazione per soddisfare le accresciute esigenze di mobilita’ dei propri operatori e conseguire risparmi di spesa, ovvero avviare o estendere pratiche di videocomunicazione collaborativa, telelavoro, teleconferenza, nel rispetto dell’art. 83 del Codice;
b) la reingegnerizzazione e l’automazione dei processi svolti dalle Amministrazioni e tra le stesse;
c) l’accesso ai servizi attraverso sistemi di autenticazione distribuiti e federati, al fine di gestire con maggiore efficienza identita’ digitali e ruoli attribuiti e certificati dalle autorita’ di autenticazione e dalle autorita’ di attributo e ruolo;
d) l’integrazione delle informazioni attraverso una rappresentazione semantica condivisa. - Gli Organismi di attuazione e controllo, secondo gli indirizzi della Commissione, supportano le amministrazioni nella definizione degli accordi di servizio e cooperazione e ne verificano la corretta attuazione tecnica.
Titolo III
ARCHITETTURA DEL SPC
Art. 11.
Architettura generale
- In considerazione delle finalita’ di cui all’art. 77 del Codice, il SPC e’ strutturato secondo una architettura concettuale a piu’ livelli:
a) Il livello d’interconnessione e comunicazione tra le Amministrazioni e nell’ambito di una stessa Amministrazione, realizzato attraverso una componente di connettivita’, che include servizi di trasporto, per la trasmissione, secondo il protocollo IP, di dati, immagini e fonia, nonche’ servizi di interoperabilita’ di base, attraverso i quali viene attivata la trasmissione di informazioni o di documenti informatici. La condivisione a livello nazionale, da parte delle Amministrazioni interconnesse, di infrastrutture di connettivita’, garantisce omogeneita’ ed uniformita’ di prestazioni da parte dei fornitori qualificati, consentendo lo sviluppo del SPC secondo un disegno unitario;
b) Il livello d`interoperabilita’ evoluta e cooperazione applicativa tra le Amministrazioni aderenti al SPC, che include servizi di interoperabilita’ evoluta per la circolazione e lo scambio di dati ed informazioni tra le PA e tra le stesse ed i cittadini, nonche’ servizi di cooperazione applicativa, costituenti l’infrastruttura del SPCoop per il coordinamento e la sicurezza a livello applicativo, che favoriscono la realizzazione e l’interoperabilita’ di servizi per le finalita’ di cui all’art. 7. I servizi e le infrastrutture di connettivita’ di cui alla lettera a) forniscono funzionalita’ di connessione e trasporto IP attraverso le quali sono veicolati i servizi di questo livello, ai sensi dell’art. 77 del codice.
c) Il livello dei servizi applicativi e telematici resi disponibili attraverso il SPC. - Il funzionamento e la gestione dei servizi applicativi di cui al comma 1 lettera c) si basano sulla condivisione, da parte delle Amministrazioni cooperanti, di servizi infrastrutturali di interoperabilita’, cooperazione ed accesso (SICA), costituiti dai servizi di cooperazione applicativa di cui al comma 1 lettera b) ed articolati in una componente di livello generale, condivisa a livello nazionale, alla quale, eventualmente, si raccordano ulteriori componenti federate distribuite (SICA secondari). I SICA realizzano la pubblicazione degli accordi di servizio e degli altri elementi della cooperazione applicativa di cui all’art. 20, necessaria ai fini dell’accesso ai servizi, nonche’ della validita’ degli scambi documentali e dei dati in base alle disposizioni di cui agli articoli 50, comma 3, 51 e 76 del Codice.
- Dal punto di vista della sicurezza, l’intero SPC si configura come un dominio affidabile (trusted), costituito da una federazione di domini affidabili basata su mutue relazioni organizzative e tecnologiche di tipo fiduciario. La componente di sicurezza del SPC e’ trasversale alle componenti di connettivita’ e di interoperabilita’ e cooperazione applicativa; include l’insieme delle misure organizzative, dei servizi e delle infrastrutture realizzate a livello centrale (dominio di interconnessione) ed a livello di singola Amministrazione (dominio interno), in conformita’ alle presenti Regole tecniche. Per quanto concerne le componenti di sicurezza finalizzate all’accesso ai servizi applicativi e telematici, allo scopo di garantire l’aggiornamento, la veridicita’ e l’affidabilita’ dell’intero insieme di informazioni che caratterizzano la cooperazione applicativa, sono assicurati, in particolare: il riconoscimento dei soggetti abilitati ad operare in SPC e delle componenti SPCoop (porte di dominio, servizi applicativi, servizi infrastrutturali – SICA), nonche’ la gestione delle identita’ digitali e dei ruoli su base federale.
Art. 12.
Componenti logiche del SPC
- Sulla base della descrizione dell’architettura generale di cui al precedente articolo, il SPC e’ articolato nelle seguenti componenti logiche:
a) Servizi di connettivita’. Includono i servizi di trasporto ed i servizi di interoperabilita’ di base. Consentono la trasmissione di dati, immagini e fonia (voce), ovvero di documenti informatici nell’ambito di una stessa Amministrazione (ambito Intranet), tra diverse Amministrazioni (ambito Infranet), tra singole Amministrazioni ed utenti esterni ad esse (ambito Internet);
b) Servizi di interoperabilita’ e cooperazione. Includono i servizi di interoperabilita’ evoluta e cooperazione applicativa per le amministrazioni ed i servizi infrastrutturali di cooperazione applicativa. I servizi di interoperabilita’ evoluta consentono la comunicazione a livello applicativo tra le amministrazioni e con il mondo esterno e comprendono servizi di messaggistica, videoconferenza e sviluppo di servizi web accessibili in modalita’ multicanale. I servizi di cooperazione applicativa per le amministrazioni consentono lo sviluppo delle Porte di Dominio e l’integrazione di servizi applicativi. I servizi infrastrutturali di cooperazione applicativa consentono, in particolare: la registrazione e pubblicazione degli Accordi di servizio e degli Accordi di cooperazione, degli schemi di dati, metadati ed ontologie di dominio; la gestione su base federata delle identita’ digitali di cui all’art. 22, ai fini dell’autenticazione ed autorizzazione di soggetti e servizi abilitati ad operare sul SPC; il supporto alla qualificazione di componenti architetturali SPCoop quali le Porte di Dominio ed i servizi di Registro SICA secondari; ogni altra funzionalita’ che permetta di realizzare l’interoperabilita’ e la cooperazione applicativa in ambito SPC;
c) Infrastrutture condivise. Includono:
i. la Qualified eXchange Network (QXN), per la quale transita tutto e solo il traffico dati scambiato tra fornitori qualificati di connettivita’ per conto delle Amministrazioni aderenti al SPC. La QXN non e’ attraversata dal traffico Intranet o Infranet tra sedi collegate alla rete di uno stesso fornitore, ne’ dal traffico Internet tra un’Amministrazione ed un soggetto non collegato al SPC, ne’ dal traffico tra soggetti non collegati al SPC;
ii. ogni infrastruttura che realizza l’interconnessione tra domini di Amministrazioni connesse al SPC, quale il Nodo di Interconnessione VoIP (NIV-SPC);
iii. il Centro di Gestione SPC (CG-SPC) di cui alla lettera o) dell’art. 1;
iv. il Centro di Gestione dei servizi infrastrutturali di interoperabilita’, cooperazione ed accesso (CG-SICA), che include l’insieme di componenti di livello generale (hardware, software, documenti, servizi) preposte all’erogazione dei servizi di cooperazione applicativa di cui all’art. 11, comma 1, lettera b).
Tale centro svolge anche funzioni di supporto per la qualificazione di porte di dominio e di eventuali servizi infrastrutturali SICA federati di livello secondario e fornisce alla Commissione gli elementi per la valutazione dei livelli qualitativi e quantitativi dei servizi SICA;
v. ogni altra componente di interesse comune delle Amministrazioni realizzata per consentire le finalita’ del SPC.
d) Servizi di sicurezza. Includono l’insieme di servizi e le relative infrastrutture utilizzate per implementare l’architettura di sicurezza del SPC, onde conseguire le finalita’ di cui all’art. 11, comma 3. - Le regioni possono definire, per la parte di competenza, una diversa attuazione delle componenti logiche di cui al comma 1 nel rispetto della architettura generale del SPC e delle presenti Regole tecniche, garantendo gli stessi livelli di qualita’ e sicurezza su tutto il territorio nazionale, nonche’ equivalenti modalita’ di accesso e fruizione dei servizi da parte dei cittadini e delle imprese.
- Le regioni definiscono con il CNIPA appositi protocolli d’intesa, periodicamente aggiornati, da portare all’approvazione della Commissione, nei quali vengono definite le modalita’ organizzative e tecniche con cui vengono garantiti i livelli di servizio e di sicurezza del SPC. Le Community Network fanno parte integrante del SPC operando secondo i criteri di qualita’ e sicurezza previsti nelle presenti Regole tecniche.
- Le Amministrazioni responsabili delle reti di rilevanza nazionale possono definire con il CNIPA appositi protocolli d’intesa periodicamente aggiornati, da portare all’approvazione della Commissione, nei quali vengono definite le modalita’ organizzative e tecniche con cui vengono garantiti i livelli di servizio e di sicurezza del SPC.
- La Commissione, ai sensi dell’art. 79, comma 2, del Codice, su proposta degli Organismi di attuazione e controllo, approva l’ampliamento, la modifica, la riorganizzazione e lo sviluppo dei servizi e delle componenti di cui al comma 1, in relazione alla evoluzione tecnologica, al mutare delle esigenze delle Amministrazioni o al variare del quadro normativo di riferimento del SPC.
- Le eventuali componenti logiche federate e distribuite dei servizi SICA, di cui all’art. 11 comma 2, sono realizzate per specifiche esigenze di gestione e comunque sulla base di criteri di economicita’ ed efficienza che privilegino il riuso e la condivisione di infrastrutture fra piu’ Amministrazioni.
Art. 13.
Definizione dell’architettura e sua evoluzione
- Sulla base della definizione di cui all’art. 73, comma 2, del Codice, il SPC e’ un sistema che evolve in funzione:
a) delle esigenze di cooperazione delle Amministrazioni;
b) del soddisfacimento delle esigenze dei cittadini e delle imprese nei rapporti con la pubblica amministrazione;
c) della necessita’ di diminuire i costi sostenuti dalle Amministrazioni per l’erogazione dei servizi ai cittadini ed alle imprese;
d) dell’evoluzione tecnologica delle soluzioni informatiche e dei sistemi di comunicazione;
e) del mutare dei rischi e dei requisiti di sicurezza del patrimonio informativo e dei sistemi informatici e telematici della pubblica amministrazione;
f) del mutare delle esigenze organizzative delle amministrazioni;
g) delle esigenze di partecipazione ed integrazione a livello europeo. - Gli Organismi di attuazione e controllo, secondo gli indirizzi della Commissione e nel rispetto delle presenti Regole tecniche, curano la realizzazione dell’architettura e formulano proposte alla Commissione medesima per l’evoluzione del SPC.
- Gli Organismi di attuazione e controllo, nel rispetto delle proprie competenze ed in conformita’ alle presenti Regole tecniche, predispongono idonea documentazione che esplicita quanto contenuto nelle disposizioni di cui al Titolo IV, da sottoporre all’approvazione della Commissione. In particolare, la predetta documentazione descrive e precisa quanto segue:
a) l’architettura generale del SPC;
b) l’architettura delle componenti del SPC, ovvero dei servizi di connettivita’, delle infrastrutture condivise, dei servizi di interoperabilita’ e cooperazione, dei servizi di sicurezza e di ogni altra componente definita nell’ambito dell’architettura del SPC per consentire le finalita’ di cui all’art. 77 del Codice;
c) le specifiche ed i requisiti delle componenti di cui alla precedente lettera b), comprese, ove disponibili, implementazioni di riferimento sviluppate con codice sorgente aperto, secondo le indicazioni della Commissione;
d) gli standard e le norme tecniche di riferimento;
e) i requisiti minimi che devono essere soddisfatti nella progettazione, realizzazione ed erogazione dei servizi di connettivita’ SPC, con riferimento in particolare alla qualita’ del servizio (QoS), alla banda larga, al dominio di interconnessione, al dominio interno di un’Amministrazione e al dominio dei servizi erogati dai fornitori qualificati;
f) i criteri e le specifiche tecniche di dettaglio che devono essere soddisfatti nella progettazione, realizzazione, sviluppo ed erogazione dei servizi di cooperazione applicativa SPC;
g) i contenuti minimi obbligatori e la composizione di un Accordo di Servizio o di Cooperazione; l’identificazione, secondo uno specifico schema di nomenclatura, di tutti gli elementi (Accordi di Servizio, soggetti, caratteristiche dei servizi, ecc.) che intervengono nel processo di cooperazione applicativa;
h) la descrizione e le modalita’ di erogazione dei servizi applicativi e telematici;
i) le modalita’ che i fornitori qualificati devono seguire per documentare i loro progetti e dimostrare la conformita’ del modello di funzionamento dei servizi ai citati requisiti;
j) le misure minime di sicurezza che dovranno essere adottate. - La documentazione di cui al comma 3 e’ aggiornata dagli Organismi di attuazione e controllo, nel rispetto delle proprie competenze, in relazione all’evoluzione del SPC, e’ soggetta ad apposita licenza d’uso ed e’ pubblicata dalla Commissione per via telematica.
Titolo IV
SPECIFICHE PER LA REALIZZAZIONE DEI SERVIZI DEL SPC
Art. 14.
Servizi di connettivita’, trasporto ed interoperabilita’ di base
- Il SPC consente la connessione delle Amministrazioni nel rispetto dei seguenti principi:
a) i servizi di connettivita’ sono caratterizzati da parametri oggettivi, indipendenti dalle infrastrutture tecnologiche utilizzate per l’erogazione, permettendo di ottenere l’equivalenza dei servizi in termini di funzionalita’, livelli di qualita’ e garanzie di sicurezza, pur lasciando ai fornitori la liberta’ delle scelte tecnologiche;
b) le Amministrazioni possono usufruire dei servizi di connettivita’ con caratteristiche differenziate, commisurate alle effettive esigenze. Sono, pertanto, previste piu’ classi di servizio, con prestazioni differenziate in funzione delle caratteristiche del traffico che deve essere supportato. - Il SPC consente, inoltre, la connessione alle Amministrazioni in modo sicuro attraverso la rete Internet o, previa autorizzazione della Commissione, attraverso le reti di enti nazionali ed internazionali.
- I servizi di trasporto sono basati sul protocollo IP e conformi alle normative internazionali di riferimento IETF applicabili.
- I collegamenti fra le sedi di una o piu’ Amministrazioni (ambito Intranet/Infranet) sono generalmente realizzati in Virtual Private Network (VPN) o con meccanismi equivalenti dal punto di vista della sicurezza.
- I collegamenti alla rete dei fornitori possono essere realizzati in modalita’ «always-on» mediante tecnologie che consentono accessi permanenti (xDSL, SDH, ecc.), in modalita’ «dial-up» mediante tecnologie che consentono accessi a commutazione di circuito (PSTN, ISDN, ecc.), in modalita’ «wireless» mediante tecnologie che consentono accessi basati su trasmissioni in radio frequenza (ad esempio GPRS, WI-FI, link via satellite bidirezionale su canale condiviso e non, ecc.) ovvero mediante nuove tecnologie eventualmente disponibili in futuro.
- I servizi di trasporto sono in grado di garantire caratteristiche differenziate per il trasferimento dei pacchetti IP in funzione del traffico trasportato, a seconda che debbano essere impiegati per l’erogazione di servizi standard, di servizi in tempo reale, di servizi in tempo differito, o di servizi interattivi.
- L’accesso ad ogni servizio e’ realizzato attraverso un Punto di Accesso al Servizio, messo a disposizione e gestito dal fornitore, costituito da una o piu’ interfacce fisiche che caratterizzano il servizio e sono prese a riferimento per le misure di qualita’.
- Ad ogni Amministrazione e’ consentita la fruizione di servizi di fonia di base e supplementari su infrastrutture di trasporto basate sul protocollo IP (VoIP), secondo gli standard di riferimento definiti nella documentazione di cui all’art. 13. Il SPC consente, sulla base delle esigenze della singola Amministrazione, la connessione alla rete telefonica pubblica (PSTN) e l’integrazione rispetto alle infrastrutture pre-esistenti, sia per quanto riguarda la rete IP (piano di indirizzamento, presenza di Network Address Translation, presenza di proxy a livello applicativo), sia per quanto riguarda la rete di telefonia privata TDM (piano di numerazione dei derivati telefonici).
- I servizi di interoperabilita’ di base consentono l’interconnessione tra diversi domini a livello applicativo per lo scambio di messaggi di posta elettronica utilizzando i protocolli ammessi dalle politiche di sicurezza definite nelle presenti Regole Tecniche e nella documentazione di cui all’art. 13, nonche’ ammissibili dalle politiche d’uso delle singole Amministrazioni e conformi alla Internet Protocol Suite cosi’ come definita dall’IETF.
- Al fine di consentire il monitoraggio e la gestione delle risorse attraverso le infrastrutture condivise, e’ consentito il transito di unita’ dati ICMP ed SNMP attraverso gli apparati usati per l’erogazione dello specifico servizio oggetto di misura, nonche’ l’accesso in lettura alle Management Information Base (MIB) degli apparati utilizzati, fatte salve ulteriori metodologie individuate dalla Commissione.
Art. 15.
Servizi per l’interoperabilita’ evoluta e la cooperazione applicativa
- Il SPC consente l’interoperabilita’ e la cooperazione applicativa tra diverse Amministrazioni nel rispetto delle presenti regole tecniche, delle specifiche contenute nella documentazione di cui all’art. 13, comma 3, nonche’ dei seguenti principi:
a) preservare l’autonomia delle singole Amministrazioni, garantendo al tempo stesso ai diversi sistemi di interoperare fra loro per erogare servizi integrati agli utenti, nel rispetto di quanto previsto dall’art. 9, comma 5;
b) permettere l’integrazione dei processi, dei procedimenti e dei dati di Amministrazioni diverse, coinvolte nelle procedure inter-amministrative, assicurando che ciascuna Amministrazione mantenga la responsabilita’ dei servizi da essa erogati e dei dati da essa forniti;
c) permettere che, in caso di informatizzazione di procedimenti amministrativi che includono servizi riconducibili alla responsabilita’ di piu’ Amministrazioni, una sola Amministrazione assuma (per legge, per delega concordata, ecc.), la responsabilita’ complessiva nei confronti dell’utente finale;
d) permettere agli utenti finali di avere una visione integrata di tutti i servizi di ogni amministrazione pubblica centrale e locale, indipendente dal canale di erogazione (multicanalita) e favorendo il multilinguismo;
e) valorizzare la specificita’ di ogni soggetto erogatore di servizi, assicurando al contempo uniformita’ di interazione e certezza nella identificazione degli attori dell’interazione. - I servizi di interoperabilita’ evoluta consentono:
a) lo scambio di messaggi di posta elettronica, sulla base dello standard SMTP per i messaggi di tipo testuale, MIME S/MIME per i messaggi crittografati e firmati digitalmente, DSN nel caso siano richieste informazioni relative alla trasmissione dei messaggi, con accesso multicanale ed autenticato ai messaggi ed alle caselle postali, nonche’ di standard internazionali e specifiche pubbliche comunemente riconosciute, come individuate nella documentazione di cui all’art. 13;
b) lo scambio di messaggi di posta elettronica certificata di cui al decreto del Presidente della Repubblica 11 febbraio 2005 n. 68 «Regolamento concernente disposizioni per l’utilizzo della posta elettronica certificata», nel rispetto delle regole tecniche e degli standard di cui al decreto ministeriale 2 novembre 2005 del Ministro per l’Innovazione e le Tecnologie recanti «Regole tecniche per la formazione, la trasmissione, e la validazione, anche temporale, della posta elettronica certificata»;
c) la comunicazione e la collaborazione in tempo reale ed in modalita’ interattiva fra utenti dislocati remotamente, attraverso strumenti di video-conferenza accessibili dalle singole postazioni di lavoro o da apposite postazioni condivise;
d) la fruizione di applicazioni telematiche multicanale, che favoriscano la comunicazione asincrona tra amministrazioni e con cittadini ed imprese, sviluppate sulla base delle Raccomandazioni del World Wide Web Consortium (W3C) in materia di tecnologie Web e nel rispetto della normativa vigente in tema di accessibilita’ (legge 9 gennaio 2004, n. 4 e decreto ministeriale 8 luglio 2005 del Ministro per l’Innovazione e le Tecnologie). - I servizi di cooperazione applicativa per le amministrazioni consentono la gestione di tutte le attivita’ necessarie alla predisposizione dei servizi applicativi finalizzata all’interazione sul SPC ed, in particolare, comprendono:
a) lo sviluppo e la gestione della porta di dominio, nella configurazione adeguata alle strutture ed all’organizzazione dei sistemi informatici delle singole Amministrazioni e nel rispetto delle presenti Regole tecniche e della documentazione di cui all’art. 13;
b) l’integrazione e l’esercizio di servizi applicativi su SPC, attraverso lo sviluppo, l’adeguamento e la composizione degli stessi, secondo gli Accordi di servizio e di cooperazione, nonche’ la pubblicazione di questi ultimi mediante i SICA. I servizi applicativi sviluppati devono essere caratterizzati da riusabilita’, modularita’ ed integrabilita’ e devono essere realizzati in conformita’ al paradigma Web Services definito dal World Wide Web Consortium (W3C), nel rispetto delle presenti Regole tecniche e della documentazione di cui all’art. 13. - I servizi infrastrutturali di cooperazione applicativa (SICA) permettono la cooperazione fra i servizi applicativi delle Amministrazioni, consentendo in particolare:
a) la gestione degli Accordi di Servizio e degli Accordi di Cooperazione attraverso il Servizio di Registro SICA. Il servizio offre funzionalita’ per l’accesso, la registrazione, l’aggiornamento, la cancellazione e la ricerca degli Accordi di Servizio e di Cooperazione, nonche’, attraverso l’integrazione con l’IPA (Indice delle Pubbliche Amministrazioni), la gestione delle informazioni relative alle entita’ organizzative (amministrazioni pubbliche e relative strutture organizzative, indirizzi di posta elettronica certificata ed Aree Organizzative Omogenee) che operano nell’ambito del SPC e dei servizi telematici da queste erogati;
b) la descrizione degli elementi semantici associati ai servizi applicativi ed alle informazioni gestite, anche ai fini dell’individuazione automatica dei servizi disponibili per l’erogazione delle prestazioni richieste, e la condivisione tra le Amministrazioni cooperanti degli schemi di dati e metadati, nonche’ delle ontologie di dominio, attraverso il «Servizio di Catalogo Schemi/Ontologie»;
c) la gestione su base federata delle identita’ digitali di cui all’art. 22 e dei ruoli funzionali associabili a tali identita’, al fine di creare un insieme di relazioni di fiducia (trusted domain) fra le autorita’ di identificazione, di autenticazione e di attributo e ruolo, per lo scambio di credenziali di autenticazione reciprocamente garantite, utilizzabili per l’accesso e l’erogazione di servizi nell’ambito del SPC;
d) la gestione di una struttura complessa di indici (meta-directory) per la pubblica amministrazione, attraverso il «Servizio di Indice dei Soggetti» che, integrando la Rubrica della P.A. (RPA), offre l’accesso telematico in tempo reale ad elenchi relativi al personale delle Amministrazioni partecipanti al SPC, la cui pubblicazione ed aggiornamento sono a cura delle Amministrazioni stesse;
e) la gestione di certificati digitali, associati a entita’ diverse dalle persone fisiche (apparati hardware, servizi ed applicazioni) nell’ambito del SPC, attraverso il «Servizio di Certificazione»;
f) il supporto alla qualificazione delle porte di dominio, mediante appositi test di verifica del corretto trattamento dei messaggi, effettuati per il tramite di una porta di dominio campione;
g) il supporto alla qualificazione dei Servizi di Registro SICA di livello secondario, mediante appositi test di verifica dell’interoperabilita’ con il Servizio di Registro SICA federati di livello generale di cui alla lettera a).
Art. 16.
Infrastrutture condivise
- La Qualified eXchange Network (QXN), con caratteristiche e compiti simili a quelli di un Internet eXchange Point, ha una architettura geograficamente distribuita con almeno due nodi connessi tra loro con linee ridondate. I nodi della infrastruttura sono collocati presso i Neutral Access Point (NAP) pubblici gia’ esistenti ed effettuano l’instradamento (routing) di pacchetti IP, in coerenza con i livelli di qualita’ e di sicurezza del SPC.
- I servizi di trasporto erogati dai fornitori, grazie alla QXN, dovranno consentire di realizzare connessioni che supportino la qualita’ di servizio (QoS) e la banda garantita end to end prevista per il SPC nella documentazione tecnica di cui all’art. 13, anche tra Amministrazioni afferenti a fornitori differenti.
- La QXN eroga servizi di:
a) housing, per permettere l’alloggiamento degli apparati dei fornitori in aree protette con adeguate misure di sicurezza;
b) accesso, per la connessione degli apparati dei fornitori alla LAN interna dei nodi della QXN;
c) banda, per consentire l’accesso e il trasporto attraverso l’infrastruttura con banda garantita;
d) tempo ufficiale di rete, per permettere la sincronizzazione del tempo a tutti i fornitori e alle Amministrazioni che ne abbiano l’esigenza. - L’infrastruttura per l’interconnessione delle Amministrazioni aventi uno o piu’ domini VoIP connessi al SPC, denominata Nodo di Interconnessione VoIP (NIV-SPC), supporta almeno i protocolli SIP e H.323 ed e’ in grado di assicurare:
a) il corretto interfacciamento tra i differenti domini VoIP delle Amministrazioni, eseguendo le necessarie conversioni nei protocolli di segnalazione e di controllo sul traffico scambiato;
b) l’instradamento tra i differenti domini VoIP delle chiamate originate o terminate all’interno dei domini VoIP;
c) servizi di IP-Centrex, comprensivi di un numero predefinito di postazioni VoIP da installare presso le Amministrazioni che ne facciano richiesta;
d) l’interconnessione dei domini VoIP IP-Centrex con il dominio della rete telefonica pubblica fissa/mobile (PSTN/PLMN). - Presso il Centro di Gestione dei servizi infrastrutturali di interoperabilita’, cooperazione ed accesso (CG-SICA) operano le componenti infrastrutturali (piattaforme hardware/software e servizi) per l’erogazione dei servizi di livello generale di cui all’art. 15, comma 4.
- Il Centro di Gestione SPC (CG-SPC), avente il ruolo di terza parte nei confronti dei fornitori qualificati e dei soggetti che, per conto del CNIPA, gestiscono le infrastrutture condivise del SPC, quali la QXN e il NIV-SPC, svolge:
a) funzioni centralizzate di sicurezza, per la cooperazione delle strutture locali di sicurezza, che includono anche la realizzazione di una Public Key Infrastructure (PKI) per l’emissione e la gestione di certificati per il funzionamento dei servizi di connettivita’ del SPC;
b) funzioni di misurazione, raccolta e distribuzione dei dati relativi ai livelli di qualita’ e sicurezza dei servizi di connettivita’ erogati dai singoli fornitori qualificati, volte a consentirne la verifica e la validazione;
Art. 17.
Modalita’ di connessione e di interazione con le infrastrutture
condivise di connettivita’
- Il Neutral Access Point (NAP) che si candida ad ospitare un nodo della QXN dovra’ essere gia’ utilizzato da almeno tre diversi operatori di telecomunicazione che offrono servizi di rete sul territorio italiano e da almeno tre Internet service provider (ISP), che non siano gia’ connessi alla QXN attraverso altri NAP.
- I fornitori di servizi di connettivita’ dovranno installare a proprio carico, presso almeno un nodo della QXN, almeno due Border Router, sui quali dovra’ essere convogliato il traffico SPC, in particolare il traffico scambiato tra le Amministrazioni alle quali forniscono servizi di trasporto e le Amministrazioni che utilizzano servizi di trasporto erogati da fornitori differenti.
- I fornitori qualificati a livello nazionale dovranno connettersi ad almeno due nodi della QXN secondo le modalita’ di cui al comma precedente.
- I fornitori qualificati che erogano servizi diversi dalla connettivita’ in ambito SPC assicurano la propria connessione al SPC attraverso l’acquisizione di almeno un servizio di trasporto in ambito Infranet da uno o piu’ fornitori qualificati di servizi di connettivita’ SPC. Tale servizio di trasporto deve avere caratteristiche dimensionali, di qualita’ e di sicurezza adeguate al tipo di servizio da erogare.
- Le Community Network assicurano la propria connessione al SPC attraverso una delle seguenti modalita’:
a) istallazione, presso almeno un nodo della QXN, di almeno due Border Router, sui quali sara’ convogliato tutto il traffico SPC. In tal caso la Community Network dovra’ effettuare il collegamento diretto (peering) tra la propria rete e quelle attestate sulla QXN secondo le medesime modalita’ tecniche individuate per i fornitori qualificati;
b) l’acquisizione da uno o piu’ fornitori qualificati di servizi di connettivita’ di almeno un servizio di trasporto in ambito Infranet. - Il CG-SPC, il NIV ed ogni altra infrastruttura utilizzata per la interconnessione, ovvero per la gestione ed il monitoraggio delle risorse condivise in ambito nazionale, sono connessi al SPC attraverso almeno un servizio di trasporto in ambito Infranet, acquisito da uno o piu’ fornitori qualificati di servizi di connettivita’, con capacita’ di banda e caratteristiche di qualita’ e sicurezza adeguate alle caratteristiche del traffico veicolato da e verso le infrastrutture interessate.
- Al fine di consentire il monitoraggio dei servizi, secondo le disposizioni contenute nel Titolo VII, ciascun fornitore e ciascuna Community Network, connessa al SPC attraverso le modalita’ di cui al comma 5 lettera a), assicura che:
a) l’infrastruttura utilizzata per l’erogazione del servizio in ambito SPC includa un sistema in grado di interfacciare il CG-SPC, ovvero ogni altra componente preposta al monitoraggio o alla gestione di risorse condivise in ambito nazionale, per consentire lo scambio di dati relativi ai parametri di qualita’ dei servizi, di fault, di provisioning, di informazioni di configurazione o di ogni altra informazione rilevante per la misura degli indicatori di qualita’ e di sicurezza del servizio, secondo le specifiche approvate dalla Commissione su proposta del CNIPA, sentite le regioni o le Community Network per i rispettivi ambiti di competenza. Le modalita’ di invio di tali file si basano su protocolli standard (mail, FTP, etc.), che includono meccanismi per la protezione di dati confidenziali (IPSEC, SSL, SSH);
b) tutti gli apparati usati per l’erogazione di uno specifico servizio, oggetto di misura consentono il transito di unita’ dati ICMP ed SNMP, nonche’ l’accesso in lettura alle Managment Information Base (MIB) e devono permettere l’utilizzo di ulteriori sistemi individuati dalla Commissione.
Art. 18.
Connessioni alle reti internazionali
- Al fine di consentire alle Amministrazioni di svolgere adempimenti in ambito internazionale, che richiedono l’interoperabilita’ con Organismi europei o trans-europei, per l’accesso ai servizi o ai dati erogati da detti Organismi, il SPC, oltre a realizzare la connessione con la Rete Internazionale della Pubblica Amministrazione, consente la connessione alle reti internazionali, ad esclusione di quelle pubbliche fruibili via Internet, alle quali le Amministrazioni abbiano l’esigenza di essere collegate, previa autorizzazione della Commissione.
- Per le finalita’ di cui al comma 1, il fornitore qualificato di servizi di connettivita’, realizza uno o piu’ collegamenti, con caratteristiche dimensionali, di qualita’ e di sicurezza adeguate alle specifiche esigenze dell’Amministrazione e nel rispetto delle presenti Regole tecniche.
Art. 19.
Modalita’ di utilizzo dei servizi di interoperabilita’ e cooperazione
- Le Amministrazioni pubbliche e altri soggetti autorizzati, al fine di attivare i servizi di interoperabilita’ e cooperazione applicativa con altre amministrazioni, devono preventivamente accreditarsi in SPCoop. L’accreditamento avviene attraverso l’iscrizione all’IPA, secondo le procedure definite nei relativi documenti tecnici di cui all’art. 13 e prevede l’assegnazione di certificati digitali ai fini dell’identificazione delle Amministrazioni.
- Le Amministrazioni pubbliche si dotano dei servizi di interoperabilita’ evoluta e di cooperazione applicativa, di cui agli articoli 12 e 15, per le finalita’ di comunicazione, erogazione di servizi telematici e di interazione di servizi applicativi sul SPC, acquisendoli da fornitori qualificati ovvero sviluppandoli in proprio nel rispetto delle presenti Regole tecniche.
- I servizi SICA, di cui all’art. 15, comma 4, sono utilizzati dalle Amministrazioni pubbliche attraverso le proprie porte di dominio o per il tramite di specifiche modalita’ tecniche definite nella relativa documentazione di cui all’art. 13.
- Gli eventuali servizi SICA federati di livello secondario sono sincronizzati con i corrispettivi servizi di livello generale secondo modalita’ stabilite nella citata documentazione tecnica di cui all’art. 13, la cui applicazione e conformita’ e’ garantita dagli Organismi di attuazione e controllo.
Art. 20.
Modalita’ per la cooperazione applicativa fra servizi
- L’erogazione e la fruizione di servizi applicativi in SPCoop richiede che le Amministrazioni qualifichino la propria porta di dominio, secondo le procedure previste all’art. 29, allo scopo di attivare la cooperazione applicativa.
- La cooperazione fra servizi applicativi avviene mediante lo scambio di messaggi standard, secondo il formato della Busta e-Gov definito nella documentazione tecnica di cui all’art. 13, comma 3, attraverso le porte di dominio qualificate.
- I servizi applicativi erogati dalle Amministrazioni sono descritti negli Accordi di Servizio di cui all’art. 17 del Codice. Tali Accordi sono pubblicati nei Servizi di Registro SICA secondo le modalita’ descritte nella documentazione di cui all’art. 13 e sottoscritti digitalmente, mediante i certificati digitali rilasciati in fase di accreditamento al SPCoop, dalle Amministrazioni che erogano e fruiscono dei servizi applicativi.
- I servizi applicativi composti, erogati nell’ambito di un Dominio di cooperazione, sono descritti e definiti negli Accordi di Cooperazione, di cui all’art. 1, comma 1, lettera y). Tali Accordi sono pubblicati nei Servizi di Registro SICA secondo le modalita’ descritte nella documentazione di cui all’art. 13 e sottoscritti digitalmente dalle Amministrazioni che partecipano alla loro definizione e cooperano per l’erogazione dei servizi composti.
- Gli schemi di dati e metadati e le ontologie di dominio utilizzati nell’ambito SPC sono pubblicati e resi disponibili dalle amministrazioni attraverso il servizio di catalogo di schemi ed ontologie, secondo le modalita’ descritte nella documentazione di cui all’art. 13, al fine di consentire l’integrazione delle informazioni e dei procedimenti, nonche’ l’accesso ai dati delle pubbliche amministrazioni.
- Il riferimento temporale relativo ai messaggi scambiati nell’ambito dell’interazione tra servizi applicativi, e’ contenuto nella busta e-gov. Tale riferimento puo’ essere generato con qualsiasi sistema che garantisca stabilmente uno scarto non superiore al decimo di minuto secondo rispetto alla scala di tempo universale coordinato (UTC), determinata ai sensi dell’art. 3, comma 1, della legge 11 agosto 1991, n. 273. Tale sincronizzazione puo’ avvenire sulla base del tempo ufficiale di rete SPC, reso disponibile attraverso la QXN, utilizzando il protocollo NTP.
- L’accesso ai servizi applicativi da parte delle Amministrazioni avviene attraverso l’autenticazione delle identita’ digitali secondo le disposizioni di cui all’art. 22.
- L’Accordo di servizio contiene la definizione del servizio e delle relative modalita’ di erogazione e fruizione di seguito indicate:
a) interfaccia del servizio, intesa come insieme di operazioni offerte dal servizio medesimo;
b) punti di accesso presso cui il servizio e’ disponibile;
c) modalita’ di richiesta e relative risposte ammesse dal servizio (protocollo di conversazione);
d) semantica del servizio e delle informazioni trattate;
e) livelli di servizio garantiti;
f) requisiti e caratteristiche di sicurezza del servizio. - Gli elementi di cui alle lettere a) e b) del comma 8 sono obbligatori e descritti secondo lo standard WSDL (Web Services Description Language); gli altri elementi, ove necessari, sono descritti secondo specifiche pubblicamente disponibili, concordate tra erogatore e fruitore, nel rispetto delle presenti Regole tecniche e secondo quanto definito nella documentazione di cui all’art. 13, comma 3.
- L’Accordo di cooperazione regola l’interazione tra piu’ Amministrazioni cooperanti finalizzata all’automazione di uno o piu’ procedimenti amministrativi, a cui le stesse amministrazioni partecipano, nonche’ all’erogazione dei relativi servizi applicativi composti. L’Accordo e’ redatto secondo quanto definito nella documentazione di cui all’art. 13, comma 3 e contiene:
a) il riferimento agli Accordi di servizio relativi ai servizi applicativi componenti che concorrono alla costruzione dei servizi applicativi composti;
b) il riferimento agli Accordi di servizio relativi ai servizi applicativi composti risultato della cooperazione applicativa;
c) le modalita’ di cooperazione e coordinamento finalizzate all’espletamento del procedimento amministrativo, descritte in linguaggio Web Service Business Process Execution Language (WS-BPEL). - Nell’Accordo di cooperazione e’ individuato il soggetto coordinatore responsabile, cioe’ l’Amministrazione che ha il compito di assicurare l’efficacia organizzativa e tecnica della cooperazione ed il coordinamento degli adempimenti di ciascuno dei soggetti partecipanti, nonche’ garantire l’erogazione dei servizi applicativi composti del Dominio di cooperazione.
Art. 21.
Requisiti generali per la sicurezza del SPC
- L’architettura di sicurezza del SPC e’ volta a consentire:
a) lo sviluppo del SPC come dominio affidabile (trusted), costituito da una federazione di domini di sicurezza in cui diversi soggetti si impegnano reciprocamente ad adottare le misure minime definite nell’ambito del SPC, atte a garantire i livelli di sicurezza necessari all’intero sistema;
b) la corretta individuazione delle responsabilita’ e degli ambiti di competenza di ciascun soggetto che partecipa all’erogazione di un servizio composto in ambito SPC;
c) la salvaguardia della integrita’, disponibilita’ e riservatezza delle informazioni veicolate o gestite nell’ambito del SPC, nel rispetto dell’autonomia del patrimonio informativo delle singole Amministrazioni;
d) l’attuazione delle misure minime organizzative e tecniche previste dalle vigenti disposizioni in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196;
e) l’accesso ai servizi nel rispetto della normativa vigente in materia di autenticazione informatica. - La Commissione, sulla base dell’analisi dei rischi cui sono soggetti il patrimonio informativo ed i dati della pubblica amministrazione, emana le linee guida riguardanti le misure di sicurezza e gli standard da adottare.
- Le misure di sicurezza sono volte ad assicurare reciproche garanzie tra i soggetti operanti in ambito SPC e sono commisurate, oltre che alla entita’ delle minacce cui e’ soggetto il patrimonio informativo delle Amministrazioni, alla esigenza di minimizzare i costi complessivi.
- I documenti della Commissione che definiscono gli indirizzi strategici ed operativi per l’organizzazione e per la sicurezza fisica e logica del SPC, su proposta degli Organismi di attuazione e controllo, sono classificati e gestiti come atti coperti da «segreto d’ufficio», secondo la normativa vigente.
- La Commissione, allo scopo di verificare la qualita’ e la sicurezza dei servizi erogati dai fornitori qualificati del SPC, si avvale degli Organismi di attuazione e controllo, secondo i rispettivi ambiti di competenza, per vigilare sul corretto funzionamento del sistema di sicurezza e per il mantenimento nel tempo della conformita’ dei requisiti di sicurezza alle specifiche di progetto per i servizi certificati. In attuazione degli indirizzi della Commissione:
a) il CERT-SPC-C e i CERT-SPC-R, di concerto con gli Organismi di attuazione e controllo, definiscono le metodologie per la prevenzione, il monitoraggio, la gestione e l’analisi degli incidenti di sicurezza, assicurando la coerenza e l’uniformita’ in tutto il sistema. Il CERT-SPC (CERT-SPC-C e CERT-SPC-R) svolge i seguenti compiti:
i. attivita’ di prevenzione degli incidenti informatici, anche mediante la produzione di documenti tecnici e di bollettini di sicurezza sulle minacce e sui potenziali attacchi che potrebbero incombere sul SPC, al fine di migliorare gli standard e i livelli di sicurezza del sistema stesso e ridurre la probabilita’ di incidenti;
ii. analisi degli incidenti di sicurezza e delle azioni intraprese per la loro gestione al fine di proporre eventuali azioni correttive indirizzate a scongiurare il ripetersi del particolare incidente informatico;
iii. collaborazione con le analoghe strutture presenti a livello nazionale ed internazionale, nonche’ con le autorita’ di polizia competenti;
b) gli Organismi di attuazione e controllo, ognuno nell’ambito delle proprie competenze ed ai sensi dell’art. 13, specificano in appositi documenti da sottoporre all’approvazione della Commissione, le modalita’ di realizzazione del sistema di sicurezza. In particolare:
i. definiscono l’architettura, i requisiti e le funzionalita’ di sicurezza del SPC;
ii. individuano ed attuano le metodologie per le attivita’ di analisi e gestione del rischio;
iii. indirizzano le scelte infrastrutturali di maggior impatto, mediante la definizione degli opportuni requisiti di sicurezza;
iv. definiscono le specifiche e le convenzioni necessarie ad assicurare l’interoperabilita’ di ciascuna tipologia di certificati digitali utilizzabili in ambito SPC;
v) definiscono, con il supporto del CERT-SPC-C e dei CERT-SPC-R, le metodologie di gestione degli incidenti informatici e le modalita’ di interazione tra i vari soggetti che devono intervenire in tali eventualita’. - Per le finalita’ di cui al comma 1, lettera a), concorrono alla realizzazione del sistema di sicurezza, secondo le linee guida della Commissione, una struttura centrale, dedicata al coordinamento, al mantenimento ed alla verifica del livello di sicurezza minimo garantito per l’intero SPC e piu’ strutture locali distribuite, le Unita’ locali di sicurezza, una per ogni dominio connesso al SPC, con analoghe funzioni limitatamente al singolo dominio. La struttura centrale del sistema di sicurezza SPC, e’ costituita dal CG-SPC; le Unita’ locali di sicurezza, sono realizzate, eventualmente, in via sussidiaria dagli Organismi di attuazione e controllo, responsabili di gestire gli aspetti relativi alla sicurezza delle infrastrutture locali connesse al SPC.
- Il CG-SPC, ha il compito di:
a) definire e predisporre le procedure operative per la gestione della sicurezza della QXN e di tutte le infrastrutture condivise di rete, ai sensi dell’art. 81, comma 1, del Codice;
b) definire e predisporre le procedure operative per la gestione della sicurezza delle altre infrastrutture di rete direttamente e indirettamente collegate, limitatamente ai profili relativi alla connessione alla QXN; alla definizione delle relative procedure operative, in conformita’ al modello federato, concorrono anche le Unita’ locali di sicurezza;
c) per le infrastrutture condivise, individuare e attuare, sentiti gli altri Organismi di attuazione e controllo per i rispettivi ambiti di competenza e sulla base delle indicazioni risultanti dall’analisi del rischio, l’insieme di misure di prevenzione e protezione organizzative, operative e tecnologiche finalizzate ad assicurare, nel rispetto della legislazione vigente, la riservatezza, l’integrita’ e la disponibilita’ delle informazioni, delle applicazioni e delle comunicazioni ed a garantire la continuita’ del servizio;
d) misurare il livello di sicurezza del SPC, aggregando e correlando i dati provenienti dalle componenti distribuite del sistema di sicurezza;
e) identificare e coordinare la gestione degli incidenti di sicurezza, in collaborazione con il CERT-SPC-C, anche al fine del contenimento dei danni e del ripristino delle normali condizioni di operativita’;
f) notificare alle strutture del CERT-SPC-C, secondo le modalita’ stabilite nei documenti di cui al comma 5, lettera b), le informazioni relative agli incidenti informatici o a criticita’ pertinenti lo svolgimento delle attivita’ di rispettiva competenza;
g) fornire periodici rapporti di riepilogo alla Commissione, agli Organismi di attuazione e controllo per consentire lo svolgimento delle rispettive funzioni di competenza;
h) gestire la PKI impiegata nel SPC per l’erogazione dei servizi di sicurezza, comprensiva delle funzioni per il mutuo riconoscimento con altre PKI eventualmente in uso in SPC e conformi alle norme vigenti in materia di certificati digitali. Con riferimento a tale ambito di azione, svolge, in particolare, le seguenti funzioni:
i. Autorita’ di Registrazione (AR), consistenti nell’acquisire le informazioni necessarie per l’identificazione del titolare di uno o piu’ certificati, secondo gli attributi forniti e specificati nelle regole di registrazione e certificazione (Certification Practices Statement, CPS) stabilite dalla Commissione. Il processo di verifica della correttezza degli attributi forniti, anch’esso basato sulla politica (CPS) stabilita dalla Commissione, caratterizza il livello di sicurezza garantito sul SPC dall’Autorita’ di certificazione del Gestore Tecnico della PKI SPC;
ii. Autorita’ di certificazione (CA), responsabile di attuare i processi di certificazione, sospensione e revoca dei certificati;
iii. Gestore delle TCL (Trusted Certificate List), con il compito di raccogliere in modo sicuro i certificati digitali da distribuire, organizzare le opportune liste, autenticare le liste e distribuirle all’interno del SPC. - Il CG SICA di cui all’art. 16, comma 5, ha il compito di gestire la PKI impiegata per l’erogazione dei certificati digitali necessari ai servizi di cooperazione applicativa e garantire la gestione su base federata delle identita’ digitali di cui all’art. 22.
- L’Unita’ locale di sicurezza di cui al comma 6 svolge i seguenti compiti, anche avvalendosi dei fornitori qualificati:
a) garantire, anche per il tramite di un fornitore qualificato, la realizzazione ed il mantenimento dei livelli di sicurezza previsti per il domino di competenza;
b) garantire che la politica di sicurezza presso la propria organizzazione sia conforme agli indirizzi e alle politiche di sicurezza definiti dalla Commissione;
c) interagire con la struttura centrale per raccogliere, aggregare e predisporre nel formato richiesto le informazioni necessarie per verificare il livello di sicurezza del SPC;
d) notificare alla struttura centrale ed al CERT-SPC-C ed ai CERT-SPC-R, secondo le modalita’ stabilite, eventuali incidenti informatici o situazioni di criticita’ o vulnerabilita’ delle infrastrutture SPC locali;
e) adottare le necessarie misure volte a limitare il rischio di attacchi informatici ed eliminare eventuali vulnerabilita’ della rete, causate dalla violazione e utilizzo illecito di sistemi o infrastrutture della pubblica amministrazione. - I servizi di sicurezza applicativa, di competenza delle Amministrazioni, consentono la gestione degli aspetti relativi alla sicurezza nell’accesso ed erogazione di servizi applicativi su SPC, in particolare delle funzioni di identificazione, autenticazione ed autorizzazione degli utenti all’uso dei servizi medesimi, secondo i criteri e le modalita’ individuate nella documentazione di cui all’art. 13.
Art. 22.
Gestione delle identita’ digitali
- Nell’ambito del SPC l’autorizzazione all’accesso ai servizi si basa sul riconoscimento delle identita’ digitali delle persone fisiche e dei sistemi informatici utilizzati per l’erogazione dei servizi medesimi. L’autorizzazione ricade sotto la responsabilita’ dell’ente erogatore e puo’ avvalersi di meccanismi di mutuo riconoscimento nell’ambito di sistemi federati di gestione delle identita’ digitali, secondo criteri e modalita’ stabiliti dalla Commissione.
- I servizi disponibili in SPC possono operare secondo diversi livelli di gestione delle identita’ digitali:
a) servizi che non richiedono alcuna identificazione o autenticazione;
b) servizi che richiedono l’autenticazione in rete da parte di un’autorita’ di autenticazione;
c) servizi che richiedono, per le persone fisiche, l’identificazione in rete da parte di un’autorita’ di identificazione;
d) servizi che richiedono per gli utenti, oltre all’identificazione, l’attestazione di attributi e/o ruoli, che ne qualifichino ulteriormente le funzioni e/o i poteri. - L’autenticazione in ambito SPC viene effettuata sotto la responsabilita’ dell’ente che eroga un servizio sulla base di un insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto. Tale autenticazione puo’ essere effettuata anche per il tramite di un soggetto a cio’ delegato, sulla base di un accordo di servizio.
- L’identificazione in ambito SPC viene effettuata sotto la responsabilita’ dell’ente che eroga un servizio applicativo con le modalita’ previste dall’art. 64 del Codice. Tale identificazione puo’ essere effettuata anche per il tramite di altro soggetto, sulla base di un accordo di servizio.
- L’attestazione di attributi o ruoli in ambito SPC viene effettuata dal soggetto (autorita’ di attributo e ruolo); che, in base alle norme vigenti, ha la potesta’ di attestare i medesimi al fine di garantire gli opportuni livelli di sicurezza richiesti per l’erogazione di un servizio, le autorita’ di attributo e ruolo sono iscritte in un apposito registro, disponibile in rete, previa adesione ad uno specifico accordo di servizio definito dalla Commissione, in cui vengono descritti il livello di sicurezza e di affidabilita’, nonche’ i protocolli standard utilizzati nell’ambito del processo di attestazione.
- La gestione delle infrastrutture tecnologiche necessarie per l’attribuzione dei ruoli puo’ essere delegata dall’ente erogante il servizio ad altra struttura iscritta nell’elenco, pur mantenendo la responsabilita’ della correttezza, completezza e aggiornamento delle informazioni.
- Al fine di automatizzare ed uniformare la codifica e la verifica dei ruoli sul territorio nazionale il Ministro per le Riforme e l’Innovazione, sentita la Conferenza unificata di cui all’art. 8 del decreto legislativo 28 agosto 1997, n. 281, definisce, pubblica per via telematica e aggiorna l’Indice nazionale dei codici dei ruoli e degli attributi, mediante l’associazione ai ruoli medesimi di un identificativo unico alfanumerico.
Titolo V
DEFINIZIONE DELLA DOCUMENTAZIONE OPERATIVA DEI SERVIZI DEL SPC
Art. 23.
Documentazione operativa del SPC
- La documentazione operativa del sistema pubblico di connettivita’ comprende i seguenti documenti:
a) documentazione dei servizi di cui agli articoli 14, 15 e 16, ovvero documenti tecnici predisposti dai fornitori qualificati del SPC, in coerenza con le prescrizioni delle presenti regole tecniche ed in conformita’ alle disposizioni contenute nei successivi articoli 24 e 25;
b) documentazione di collaudo: documenti di registrazione delle attivita’ di collaudo dei servizi di cui alla lettera a), predisposti secondo i criteri indicati nel successivo Titolo VI. - In sede di prima di prima attuazione e comunque per un periodo temporale limitato stabilito dalla Commissione, sentiti, per i rispettivi ambiti di competenza, gli Organismi di attuazione e controllo, e’ considerata documentazione operativa ai sensi del comma 1, quella prevista dai contratti in essere.
Art. 24.
Documentazione dei servizi del SPC
- Il fornitore qualificato documenta tutte le fasi del ciclo di vita di ciascun servizio del SPC di cui agli articoli 14, 15 e 16, tramite la documentazione di seguito indicata:
a) documenti di progettazione: documenti descrittivi dell’architettura del sistema; specifiche del servizio (specifiche di progettazione, specifiche di realizzazione, specifiche di controllo qualita’, specifiche di collaudo, specifiche di erogazione del servizio); manuali (d’installazione, utente);
b) documenti di registrazione: documenti di registrazione dello stato di configurazione del servizio, e delle componenti (hardware/software, documentali) necessarie per erogare il servizio; documenti di riepilogo dei test interni eseguiti; documenti di riepilogo dei livelli di servizio erogati; documenti di riepilogo delle modifiche nel corso dell’esercizio e di gestione delle anomalie. - Al fine di assicurare la conduzione coordinata di un progetto relativo alla realizzazione ed erogazione di un servizio in ambito SPC, ciascun fornitore produce i documenti di pianificazione (Piano di progetto; Piano di qualita’; Piano dei test; Piano di gestione dei rischi; Piano di gestione delle configurazioni) che garantiscono il corretto ed efficace sviluppo del progetto nel rispetto dei requisiti realizzativi, nonche’ dei tempi, dei costi e delle qualita’ previsti negli atti esecutivi stipulati con le Amministrazioni o con gli Organismi di attuazione e controllo.
- I documenti di specifiche del servizio di cui al comma 1 sono predisposti in conformita’ alle indicazioni contenute nelle norme UNI EN ISO 9001 e UNI EN ISO 9004 nella versione in vigore. I documenti di pianificazione di cui al comma 2, sono predisposti in conformita’ alle indicazioni contenute nelle norme UNI ISO 10006 e UNI ISO 10007, nella versione in vigore.
- In sede di prima di prima attuazione e comunque entro un periodo temporale limitato stabilito dalla Commissione, sentiti, per i rispettivi ambiti di competenza, gli Organismi di attuazione e controllo, e’ considerata documentazione dei servizi SPC ai sensi del presente articolo, quella prevista nei contratti in essere.
Art. 25.
Documenti di registrazione dello stato di configurazione dei servizi del SPC
- I fornitori qualificati predispongono e gestiscono per ciascun servizio erogato in ambito SPC la documentazione relativa allo stato di configurazione delle componenti dei servizi stessi al fine di consentirne l’identificazione certa ed univoca, in tutte le fasi del ciclo di vita, e di ottenerne la certificazione, secondo le disposizioni previste nel Regolamento per la qualificazione dei fornitori di cui all’art. 87 del codice.
- Ciascun fornitore cura gli adempimenti di cui al comma 1 attraverso il proprio sistema di gestione delle configurazioni che deve prevedere almeno gli ambienti logici di collaudo ed esercizio e consentire:
a) di identificare univocamente ciascuna componente del servizio, di cui si debba gestire la configurazione, individuandone:
i documenti di configurazione di base (baseline), i riferimenti di versione ed eventuali altre informazioni (documenti di progettazione, specifiche tecniche, strumenti che abbiano influenza sulle specifiche tecniche; interfacce con elementi software o con l’hardware);
b) di identificare, documentare e registrare le richieste di modifica ed i conseguenti cambiamenti, dalla fase di formulazione sino alla fase di collaudo ed avvio all’esercizio della nuova componente;
c) la gestione di un Registro delle configurazioni, atto a documentare lo stato di ciascuna componente del servizio nelle diverse versioni e nelle diverse fasi del ciclo di vita. In particolare, il Registro delle configurazioni contiene almeno i seguenti elementi:
i. l’elenco delle componenti e dei relativi documenti di configurazione;
ii. la configurazione di base, costituita dal servizio collaudato e dai relativi documenti approvati, che rappresentano la definizione del servizio nel momento specifico;
iii. la configurazione in vigore, costituita dalla configurazione di base e dalle modifiche approvate, realizzate e collaudate.
Titolo VI
CERTIFICAZIONE DEI SERVIZI E QUALIFICAZIONE DELLE COMPONENTI
INFRASTRUTTURALI DEL SPC
Art. 26.
Modalita’ di certificazione
- I servizi del SPC sono erogati da fornitori qualificati secondo le modalita’ previste nel Regolamento per la qualificazione dei fornitori di cui all’art. 87 del Codice. Lo stesso Regolamento prescrive le modalita’ di certificazione dei servizi del SPC.
- La Commissione delibera la certificazione di un servizio del SPC, verificandone la conformita’ del modello di funzionamento ed avvalendosi dei documenti di registrazione delle attivita’ svolte dagli Organismi di attuazione e controllo.
Art. 27.
Certificazione dei servizi ed inizio erogazione
- I servizi del SPC certificati secondo le modalita’ previste nel Regolamento per la qualificazione dei fornitori sono deliberati dalla Commissione. A tal fine la Commissione si avvale delle istruttorie curate dagli Organismi di attuazione e controllo.
- Le Amministrazioni che si avvalgono di servizi certificati e presenti negli appositi elenchi, secondo quanto prescritto nel Regolamento per la qualificazione dei fornitori, possono limitare le attivita’ di collaudo al solo collaudo a campione.
- Il completamento con esito positivo delle operazioni di collaudo da parte dell’Amministrazione da’ luogo all’inizio della fase di erogazione, nel corso della quale il servizio e’ sottoposto a monitoraggio come indicato nel Titolo VII.
Art. 28.
Sperimentazione di nuovi servizi ed integrazione di quelli esistenti
- Al fine di consentire l’evoluzione dell’architettura tecnologica del SPC in funzione del mutamento delle esigenze degli utenti e delle opportunita’ derivanti dall’evoluzione delle tecnologie, nonche’ di individuare gli standard e le pratiche di riferimento piu’ efficaci per garantire la connettivita’, l’interoperabilita’ evoluta e la cooperazione applicativa in sicurezza alle Amministrazioni aderenti al SPC, puo’ esser prevista una fase di sperimentazione per la realizzazione di nuovi servizi, anche di particolare complessita’, che possono coinvolgere piu’ soggetti o avere impatto sull’organizzazione di una o piu’ Amministrazioni.
- Nella fase di sperimentazione, comunque di durata definita, possono essere ammesse deroghe alle disposizioni indicate nelle presenti Regole tecniche. L’oggetto e le finalita’ della sperimentazione, i soggetti coinvolti e le deroghe necessarie dovranno risultare da appositi documenti da sottoporre all’approvazione della Commissione.
- Il CNIPA e le regioni provvedono ad integrare, ciascuna per la parte di propria competenza, le componenti del SPC realizzate, nel rispetto delle presenti Regole tecniche. Nella prima fase di integrazione nel SPC di servizi esistenti potranno essere ammesse deroghe alle presenti Regole tecniche, ferme restando le disposizioni di cui all’art. 21, commi 2 e 3.
- Le regioni ed il CNIPA elaborano un Piano di rientro volto ad assicurare l’allineamento alle Regole tecniche e la coerenza operativa delle raccomandazioni e degli standard gia’ adottati. Le deroghe di cui al precedente comma 3, concesse solo per un periodo di tempo limitato, nonche’ i relativi Piani di rientro dovranno essere autorizzati dalla Commissione.
Art. 29.
Qualificazione di componenti infrastrutturali per i servizi di
interoperabilita’ e cooperazione applicativa
- Alcune componenti infrastrutturali SPCoop devono superare un processo di simulazione di funzionamento, al fine di garantirne l’interoperabilita’ in rete. La Commissione stabilisce quali componenti debbano essere qualificate ed approva i criteri e le modalita’ di qualificazione. In sede di prima applicazione, le componenti da qualificare sono la porta di dominio ed i servizi di registro SICA federati di livello secondario.
- Il processo di qualificazione della porta di dominio prevede la verifica dell’interoperabilita’ tra le porte di dominio, il rispetto dei requisiti funzionali previsti per le stesse, come definiti nella documentazione tecnica di cui all’art. 13, comma 3 ed il rilascio del certificato digitale, associato alla porta qualificata, attraverso il servizio di certificazione di cui all’art. 15, comma 4, lettera e).
- Le Amministrazioni sottopongono a processo di qualificazione la propria porta di dominio, superato positivamente il quale, l’identificativo della porta qualificata ed il relativo indirizzo sono pubblicati attraverso il servizio di registro SICA.
- Le Amministrazioni che intendano utilizzare una tipologia di porta di dominio gia’ qualificata, possono richiederne, anche per il tramite degli Organismi di attuazione e controllo, la pubblicazione direttamente attraverso il servizio di registro SICA.
- Il processo di qualificazione del servizio di registro SICA federato di livello secondario prevede la verifica dell’interoperabilita’ con il servizio di registro SICA di livello generale, il rispetto dei requisiti funzionali previsti al fine di garantire la corretta sincronizzazione e coerenza delle informazioni pubblicate, come definiti nella documentazione tecnica di cui all’art. 13, comma 3 ed il rilascio del certificato digitale, attraverso il servizio di certificazione di cui all’art. 15, comma 4 lettera e), associato al servizio di registro SICA federato di livello secondario.
- Il supporto tecnico ai processi di qualificazione e’ fornito nell’ambito dei servizi SICA di livello generale.
- Gli Organismi di attuazione e controllo su delega della Commissione dichiarano superati i processi di qualificazione, nel rispetto delle regole e procedure ed aggiornano periodicamente la Commissione circa lo stato dei processi di qualificazione.
- La Commissione definisce i servizi infrastrutturali per la cooperazione applicativa e l’accesso che i fornitori qualificati, oltre che le Amministrazioni, possono sottoporre a certificazione da parte degli Organismi di attuazione e controllo.
Titolo VII
MONITORAGGIO DEI SERVIZI DEL SPC
Art. 30.
Monitoraggio e misurazione della qualita’ dei servizi
- Al fine di consentire lo sviluppo del SPC secondo un disegno unitario, pur con le eventuali differenziazioni derivanti dalle specificita’ delle situazioni esistenti presso le Amministrazioni, il CNIPA, attraverso le infrastrutture condivise, assicura, nel rispetto degli indirizzi forniti dalla Commissione, che siano svolte funzioni di monitoraggio e di misurazione, volte a verificare che i servizi SPC siano erogati sul territorio con livelli omogenei di prestazioni e rispettando i requisiti minimi di qualita’ e sicurezza.
- I parametri per la misurazione della qualita’ dei servizi saranno proposti dal CNIPA, sentiti gli altri Organismi di attuazione e controllo per i rispettivi ambiti di competenze, alla Commissione per la preventiva approvazione e dovranno essere successivamente notificati ai soggetti sottoposti a monitoraggio.
- Il CNIPA, per lo svolgimento delle funzioni sopra indicate, si avvale dei sistemi di monitoraggio facenti parte delle infrastrutture condivise. Gli altri Organismi di attuazione e controllo, per gli ambiti di propria competenza, effettuano la misurazione dei livelli di qualita’, comunicandone gli esiti al CNIPA per il monitoraggio delle prestazioni e della qualita’ complessiva e, ai sensi dell’art. 79, comma 2, lettera g), del Codice, alla Commissione.
- Le Amministrazioni dovranno prevedere nei bandi di gara relativi ai servizi SPC l’obbligo per i fornitori di rendere possibile ai soggetti che effettuano il monitoraggio e la misurazione le valutazioni dei servizi in base ai parametri di cui al comma 2.
- Ai fini del miglioramento continuo della qualita’ dei servizi resi alle Amministrazioni, gli Organismi di attuazione e controllo e le Amministrazioni medesime, possono richiedere al CG SPC ovvero ad altro soggetto, il monitoraggio di ulteriori requisiti di qualita’ dei servizi. Gli Organismi di attuazione e controllo e le Amministrazioni, con riferimento agli atti contrattuali stipulati e sulla base delle presenti regole tecniche, eseguono le misure volte a valutare i livelli di qualita’ erogata ed intraprendono le eventuali opportune azioni correttive, comunicandole alla Commissione.
- Per le finalita’ sopra indicate, sono sottoposti a monitoraggio i seguenti soggetti:
a) i fornitori qualificati e le Community Network;
b) i soggetti che gestiscono specifiche componenti delle infrastrutture condivise o erogano servizi centralizzati, condivisi sul territorio nazionale;
c) ogni altro soggetto definito dalla Commissione, che eroga servizi o svolge funzioni per il conseguimento delle finalita’ del SPC. - L’attivita’ di monitoraggio, volta a verificare la qualita’ dei servizi forniti e dei metodi di misura utilizzati dai soggetti di cui al comma 5, prevede:
a) misurazioni indirette, consistenti nella raccolta ed elaborazione periodica di dati di riepilogo dei livelli di servizio erogati in esecuzione degli atti contrattuali, registrati attraverso gli opportuni strumenti utilizzati dai soggetti sottoposti a monitoraggio;
b) misurazioni dirette, aventi in oggetto i servizi erogati dai soggetti sottoposti a monitoraggio, anche al fine di consentire la vigilanza sui fornitori qualificati da parte degli Organismi di attuazione e controllo, secondo quanto previsto nel Regolamento per la qualificazione dei fornitori. - La Commissione, ai fini di cui all’art. 79, comma 2, lettera g), del Codice, verifica i risultati dell’attivita’ di misurazione della qualita’ dei servizi SPC, anche mediante verifiche a campione, avvalendosi degli Organismi di attuazione e controllo, per i rispettivi ambiti di competenza.
- Le misure, anche di tipo sanzionatorio, derivanti dal mancato rispetto da parte dei fornitori qualificati dei requisiti di qualita’ e di sicurezza del SPC, come rilevato in sede di monitoraggio, sono individuate dal Regolamento per la qualificazione dei fornitori.
Art. 31.
Registrazione e conservazione delle informazioni di riepilogo sui servizi
- Gli Organismi di attuazione e controllo, secondo gli indirizzi della Commissione, assicurano la registrazione e conservazione delle informazioni di riepilogo sui servizi erogati in ambito SPC. Dette informazioni, in particolare, hanno lo scopo di:
a) documentare lo stato di autorizzazione dei vari soggetti ad operare come fornitori qualificati SPC, indicando per ciascun fornitore i servizi certificati erogabili, i livelli di qualita’ ed i prezzi di riferimento, nonche’ le eventuali misure adottate ai sensi dell’art. 30, comma 6;
b) documentare i servizi attivati da ciascun fornitore presso ogni Amministrazione con i relativi livelli di qualita’, al fine di consentire analisi comparative e di consistenza dei servizi SPC;
c) conservare dati storici sull’utilizzo e sulla qualita’ dei servizi in ambito SPC, per consentire la valorizzazione di indicatori di tipo tendenziale, temporale e territoriale, necessari per programmare l’evoluzione del SPC nel tempo;
d) conservare ogni altra informazione tecnica o organizzativa necessaria ad espletare le funzioni di vigilanza per la tenuta degli elenchi dei fornitori qualificati e dei servizi certificati, secondo quanto previsto dal Regolamento per la qualificazione dei fornitori e dalla normativa di riferimento.
Art. 32.
Distribuzione e pubblicazione delle informazioni di riepilogo sui servizi
- Gli Organismi di attuazione e controllo, secondo gli indirizzi della Commissione, assicurano che le informazioni di riepilogo sui servizi siano distribuite e rese accessibili, anche in via telematica, con adeguati e differenziati livelli di accesso, alla stessa Commissione, alle Amministrazioni e ad ogni altro soggetto che operi in ambito SPC.
Titolo VIII
GESTIONE DELLE MODIFICHE
Art. 33.
Pianificazione delle modifiche
- 1. L’attivita’ di gestione delle modifiche (change management) riguarda la pianificazione, l’esecuzione e la verifica dei cambiamenti di configurazione di un servizio nella fase di esercizio.
Le modifiche di configurazione possono derivare:
a) dalle attivita’ di monitoraggio dei servizi. In tale caso sono volte a rimuovere malfunzionamenti riscontrati in fase di esercizio, o a rimuovere differenze rilevate tra l’effettivo funzionamento del servizio ed i risultati attesi anche in termini di qualita’, ovvero a migliorare la qualita’ del servizio rispetto alle specifiche di riferimento;
b) dall’evoluzione tecnologica o dal mutare del quadro normativo di riferimento, secondo gli indirizzi della Commissione e le specifiche emesse dagli Organismi di attuazione e controllo in accordo con quanto specificato al Titolo V. - Le modifiche di configurazione ad un servizio in fase di esercizio seguono l’iter di approvazione dei documenti di progettazione del servizio stesso e risultano generalmente in un documento di pianificazione predisposto dal fornitore, nel quale sono evidenziati, in particolare:
a) tipologia di modifica (migliorativa, preventiva, adattativa ad un nuovo ambiente, ecc.);
b) campo di applicazione, ovvero ampiezza della modifica, elementi del sistema da modificare, tempi e costi previsti;
c) criticita’, intesa come impatto sul funzionamento del sistema, sulle prestazioni e sulla sicurezza. - La procedura di cui al comma 2 non si applica ai casi di modifiche di tipo «correttivo», ovvero che seguono una modalita’ di esecuzione di tipo continuativo e non sono pianificabili a priori.
- Sono, altresi’, previste e garantite procedure di ripristino della configurazione pre-esistente.
Art. 34.
Esecuzione delle modifiche
- Il corretto funzionamento della nuova configurazione del servizio e’ preventivamente valutato e convalidato mediante collaudo. Il successivo passaggio in esercizio, salvo casi specifici, e’ concordato con l’Amministrazione interessata.
- Le attivita’ di change management sono eseguite nei tempi e nei modi concordati con gli Organismi di attuazione e controllo e, in ogni caso, minimizzando l’impatto sull’erogazione del servizio.
- L’esecuzione della modifica e’ svolta secondo procedure e metodi pianificati e standard. In caso di malfunzionamento e’ ripristinata la configurazione pre-esistente.
- I cambiamenti di configurazione sono registrati e documentati secondo quanto indicato all’art. 23.
Titolo IX
DISPOSIZIONI FINALI
Art. 35.
Disposizioni finali
- Le presenti regole tecniche sono soggette a revisione periodica, secondo gli indirizzi forniti dalla Commissione.
- In sede di prima di prima attuazione, ai fini della realizzazione del SPC in conformita’ alle presenti Regole tecniche, e’ considerata documentazione tecnica di riferimento, ai sensi dell’art. 13, quella di seguito elencata e gia’ pubblicata dal CNIPA per via telematica:
a) Sistema pubblico di connettivita’ – Scenario introduttivo;
b) Sistema pubblico di connettivita’ – Architettura del SPC;
c) Sistema pubblico di connettivita’ – Qualita’ e prestazione dei servizi SPC;
d) Sistema pubblico di connettivita’ – Migrazione;
e) Sistema pubblico di connettivita’ – Architettura del QXN;
f) Sistema pubblico di connettivita’ – Centro di Gestione SPC;
g) Sistema pubblico di connettivita’ – Community Networks;
h) Sistema pubblico di connettivita’ – Organizzazione della sicurezza;
i) Sistema pubblico di connettivita’ – Servizi di sicurezza;
j) Sistema pubblico di connettivita’ – SVPN (VPN basate su IPSec;
k) Sistema pubblico di connettivita’ – Architettura di sicurezza;
l) Sistema pubblico di cooperazione – Quadro tecnico d’insieme;
m) Sistema pubblico di cooperazione – Busta di e-gov;
n) Sistema pubblico di cooperazione – Porta di dominio;
o) Sistema pubblico di cooperazione – Accordo di servizio;
p) Sistema pubblico di cooperazione – Servizi di registro;
q) Sistema pubblico di cooperazione – Servizi di sicurezza;
r) Sistema pubblico di cooperazione – Convenzioni di nomenclatura e semantica;
s) Sistema pubblico di cooperazione – Esercizio e gestione.