Digitalizzazione

I documenti tecnici relativi ai sistemi informativi sanitari di valenza regionale sono:

• Interfacce verso i servizi del fascicolo sanitario elettronico regionale -> vedi allegati aggiornati in fondo alla pagina linkata del portale FSE: interfacce applicative FSE e specifiche tecniche (autenticazione, anagrafe sanitaria e cataloghi, alimentazione/indicizzazione/consultazione/ricerca/recupero dati e documenti, gestione consenso, eventi, audit logger, stampa contrassegno); framework di integrazione con FSE; affinity domain
• Integrazione Sistemi sanitari con CUP Marche
• Ricetta Dematerializzata - pubblicazione Nomenclatore Catalogo regionale della specialistica ambulatoriale

Rispetto delle specifiche AgID ACN (cloud accessibilità sicurezza etc..)

La documentazione tecnica prodotta dai partecipanti alle gare di appalto regionali ICT, così come le attività eseguite e la documentazione rilasciata dagli aggiudicatari durante le fasi di esecuzione e collaudo, dovranno garantire il rispetto del vigente Piano Triennale per l'Informatica nella PA, delle Linee Guida DTD e AgID, delle comunicazioni, avvisi, specifiche e prescrizioni emanate dall’Agenzia per la Cybersicurezza Nazionale e di tutta la normativa, i regolamenti e le linee guida obbligatorie in materia per le Pubbliche Amministrazioni.

Questo include, a titolo esemplificativo, regolamenti e discipline (ed eventuali successivi aggiornamenti e modifiche) relative a:

• circolare 1/2025/TDI Linee guida acquisizione/sviluppo sistemi informativi regionali
• Circolare n.2/2025/RTD Adeguamento infrastrutture e servizi digitali P.A. – Invio schede ACN
• Linee Guida funzioni Crittografiche - Conservazione delle password
• qualificazione dei Cloud Service Provider - circolare AGID n. 2 del 9 aprile 2018;
• qualificazione dei fornitori di servizi Software as a Service (SaaS) e iscrizione al Marketplace Cloud PA -  circolare AGID n. 3 del 9 aprile 2018;
• conformità al codice di condotta tecnologica nella progettazione dei sistemi e dei servizi digitali della PA (art. 13-bis del CAD);
• Linee Guida sulla sicurezza nel Procurement e nei procedimenti di acquisizione di beni e servizi ICT per le PA e i suoi fornitori;
• acquisizione e riuso di software per le pubbliche amministrazioni e pubblicazione, manutenzione, presa in riuso di software open source;
• catalogo nazionale della semantica dei dati (tra cui ontologie, schemi dati e vocabolari controllati) per supportare lo sviluppo di API interoperabili;
• Qualora attinenti, il rispetto degli schemi dati previsti dal sistema Digital Hub Marche;
• accessibilità degli strumenti informatici (è richiesta obbligatoriamente l'effettuazione delle verifiche e la compilazione del modello di autovalutazione da parte dei fornitori) e usabilità secondo le linee guida di design delle interfacce di front-end;
• compliance al regolamento europeo n. 1183/2024 eIDAS (Electronic IDentification Authentication and Signature);
• linee guida AgID relative alla formazione gestione conservazione di documenti informatici;
• linee guida_ ACN-GDPR per la memorizzazione sicura delle password - Agenzia per la cybersicurezza nazionale - Linee guida ACN funzioni crittografiche (conservazione delle password) - tabella di riferimento’.

Inoltre, il software rilasciato e manutenuto dovrà essere aggiornato rispetto agli alert e ai bollettini pubblicati dal CSIRT.

All’indirizzo https://github.com/regione-marche è disponibile il repository Git-hub regionale, nel quale viene pubblicato il codice sorgente delle applicazioni software della Giunta di Regione Marche ai sensi dell’art. 69 del CAD Codice Amministrazione Digitale (codice open source che viene automaticamente condiviso – a seguito dell’aggiornamento di un file publiccode.yml in Git-hub – nel catalogo nazionale Developers ITA ai fini del riuso per le P.A.).

Checklist per le verifiche di conformità ed i collaudi del software

La checklist rappresenta un elenco esemplificativo ed esaustivo di verifiche che ogni software, realizzato per il committente Regione Marche ed in generale per le PA, deve tipicamente rispettare, ed il cui esito ai controlli finali deve risultare positivo.

Per ogni verifica, da effettuarsi secondo le tempistiche e le modalità previste dal capitolato di gara e dal contratto stipulato con il fornitore incaricato dell’esecuzione di un appalto per la realizzazione di sistemi e applicazioni ICT, andrà indicata l’opzione di risultato corretta (Verificato, Non Verificato, Non Previsto) e le eventuali motivazioni per cui il controllo non è applicabile.

Le verifiche riguardano sia gli aspetti di performance, sia quelli di sicurezza (disponibilità – integrità – riservatezza), sia le specifiche funzionalità offerte dall’applicazione software.

Nel caso in cui le applicazioni vengano installate presso i datacenter di Regione Marche, ulteriori verifiche riguarderanno le modalità in cui i processi di sviluppo, deploy, test, manutenzione, etc. si integrino con quanto previsto dalle procedure di erogazione servizi definite dal Centro Controllo Reti e Sistemi del settore Transizione Digitale ed Informatica, dal momento che i datacenter "Sanzio" e "Tiziano":

- hanno ottenuto, in quanto considerate infrastrutture del “gruppo A”, la qualificazione di nodi compatibili con i requisiti del Polo Strategico Nazionale (PSN);

- risultano gestite da un “Cloud Service Provider (CSP)” di tipo C

- sono abilitate a fornire servizi Iaas Paas e Saas, in quanto presenti nel cloud marketplace nazionale di ACN https://catalogocloud.acn.gov.it/

E dal momento che sono inoltre attive, per le infrastrutture regionali, le seguenti certificazioni: 

- ISO/IEC 27001:2013 per l'erogazione in sicurezza di servizi Iaas e Paas di cloud computing, di housing ed hosting e di gestione fisica e logica delle server farm;

- estensioni della ISO 27001: 27017 (controlli di sicurezza delle informazioni per i servizi in cloud) e 27018 (protezione delle informazioni di identificazione personale in cloud pubblici);

- ISO9001 (gestione della qualità dei processi dell’organizzazione);

- ISO 20000-1 (sistema di gestione dei servizi IT);

- ISO 22301 (gestione della Business Continuity)

Laddove invece ci si avvalga di soluzioni installate presso datacenter di terze parti o fornite in SaaS, valgono i regolamenti vigenti relativi alla qualificazione dei servizi e delle infrastrutture forniti dai Cloud Service Provider verso le PA.

Checklist per le verifiche di conformità ed i collaudi del software v. 4