Agenda Digitale

I documenti tecnici relativi ai sistemi informativi sanitari di valenza regionale sono:

• Interfacce verso i servizi del fascicolo sanitario elettronico regionale -> vedi allegati aggiornati in fondo alla pagina linkata del portale FSE: interfacce applicative FSE e specifiche tecniche (autenticazione, anagrafe sanitaria e cataloghi, alimentazione/indicizzazione/consultazione/ricerca/recupero dati e documenti, gestione consenso, eventi, audit logger, stampa contrassegno); framework di integrazione con FSE; affinity domain
• Integrazione Sistemi sanitari con CUP Marche
• Ricetta Dematerializzata - pubblicazione Nomenclatore Catalogo regionale della specialistica ambulatoriale

La documentazione tecnica formulata dai partecipanti alle gare di appalto regionali ICT, e ancora di più le attività prestate e la documentazione rilasciata dagli aggiudicatari in fase di esecuzione e collaudo, dovranno garantire, altresì, il rispetto del vigente Piano Triennale per l'Informatica nella PA, e di tutta la normativa, i regolamenti e le linee guida obbligatorie in materia per le Pubbliche Amministrazioni, ivi comprese, a titolo di esempio, le discipline relative a:

• qualificazione dei Cloud Service Provider - circolare AGID n. 2 del 9 aprile 2018;
• qualificazione dei fornitori di servizi Software as a Service (SaaS) e iscrizione al Marketplace Cloud PA -  circolare AGID n. 3 del 9 aprile 2018;
• sviluppo di software sicuro (linee guida CERT-PA: allegati su ciclo di sviluppo, realizzazione di codice sicuro, configurazione del software di base, principi del secure/privacy by design);
• ulteriori aggiornamenti e prescrizioni in materia a cura di ACN Autorità Cybersicurezza Nazionale;
• conformità al codice di condotta tecnologica nella progettazione dei sistemi e dei servizi digitali della PA (art. 13-bis del CAD);
• misure minime di sicurezza informatica;
• Linee Guida sulla sicurezza nel Procurement e nei procedimenti di acquisizione di beni e servizi ICT per le PA e i suoi fornitori;
• acquisizione e riuso di software per le pubbliche amministrazioni e pubblicazione, manutenzione, presa in riuso di software open source;
• catalogo nazionale della semantica dei dati (tra cui ontologie, schemi dati e vocabolari controllati) per supportare lo sviluppo di API interoperabili;
• accessibilità degli strumenti informatici (è richiesta obbligatoriamente l'effettuazione delle verifiche e la compilazione del modello di autovalutazione da parte dei fornitori) e linee guida di design delle interfacce di front-end.
• compliance al regolamento europeo n. 910/2014 eidas (Electronic IDentification Authentication and Signature)
• linee guida agid determina n. 470/2020 su formazione gestione conservazione di documenti informatici

secondo le prescrizioni cogenti e le specifiche dettate ed aggiornate dall’Agenzia per l’Italia Digitale (AgID).

All’indirizzo https://github.com/regione-marche è disponibile il repository Git-hub regionale, nel quale viene pubblicato il codice sorgente delle applicazioni software della Giunta di Regione Marche ai sensi dell’art. 69 del CAD Codice Amministrazione Digitale (codice open source che viene automaticamente condiviso – a seguito dell’aggiornamento di un file publiccode.yml in Git-hub – nel catalogo nazionale Developers ITA ai fini del riuso per le P.A.).

Checklist per le verifiche di conformità ed i collaudi del software

La checklist rappresenta un elenco esemplificativo ed esaustivo di verifiche che ogni software, realizzato per il committente Regione Marche ed in generale per le PA, deve tipicamente rispettare, ed il cui esito ai controlli finali deve risultare positivo.

Per ogni verifica, da effettuarsi secondo le tempistiche e le modalità previste dal capitolato di gara e dal contratto stipulato con il fornitore incaricato dell’esecuzione di un appalto per la realizzazione di sistemi e applicazioni ICT, andrà indicata l’opzione di risultato corretta (Verificato, Non Verificato, Non Previsto) e le eventuali motivazioni per cui il controllo non è applicabile.

Le verifiche riguardano sia gli aspetti di performance, sia quelli di sicurezza (disponibilità – integrità – riservatezza), sia le specifiche funzionalità offerte dall’applicazione software.

Nel caso in cui le applicazioni vengano installate presso i datacenter di Regione Marche, ulteriori verifiche riguarderanno le modalità in cui i processi di sviluppo, deploy, test, manutenzione, etc. si integrino con quanto previsto dalle procedure di erogazione servizi definite dal Centro Controllo Reti e Sistemi del settore Transizione Digitale ed Informatica, dal momento che i datacenter "Sanzio" e "Tiziano":

- hanno ottenuto, in quanto considerate infrastrutture del “gruppo A”, la qualificazione di nodi compatibili con i requisiti del Polo Strategico Nazionale (PSN);

- risultano gestite da un “Cloud Service Provider (CSP)” di tipo C

- sono abilitate a fornire servizi Iaas Paas e Saas, in quanto presenti nel cloud marketplace nazionale di ACN https://catalogocloud.acn.gov.it/

E dal momento che sono inoltre attive, per le infrastrutture regionali, le seguenti certificazioni: 

- ISO/IEC 27001:2013 per l'erogazione in sicurezza di servizi Iaas e Paas di cloud computing, di housing ed hosting e di gestione fisica e logica delle server farm;

- estensioni della ISO 27001: 27017 (controlli di sicurezza delle informazioni per i servizi in cloud) e 27018 (protezione delle informazioni di identificazione personale in cloud pubblici);

- ISO9001 (gestione della qualità dei processi dell’organizzazione);

- ISO 20000-1 (sistema di gestione dei servizi IT);

- ISO 22301 (gestione della Business Continuity)

Laddove invece ci si avvalga di soluzioni installate presso datacenter di terze parti o fornite in SaaS, valgono i regolamenti vigenti relativi alla qualificazione dei servizi e delle infrastrutture forniti dai Cloud Service Provider verso le PA.

Checklist per le verifiche di conformità ed i collaudi del software v. 4