Checklist per le verifiche di conformità ed i collaudi del software
La checklist rappresenta un elenco esemplificativo ed esaustivo di verifiche che ogni software, realizzato per il committente Regione Marche ed in generale per le PA, deve tipicamente rispettare, ed il cui esito ai controlli finali deve risultare positivo.
Per ogni verifica, da effettuarsi secondo le tempistiche e le modalità previste dal capitolato di gara e dal contratto stipulato con il fornitore incaricato dell’esecuzione di un appalto per la realizzazione di sistemi e applicazioni ICT, andrà indicata l’opzione di risultato corretta (Verificato, Non Verificato, Non Previsto) e le eventuali motivazioni per cui il controllo non è applicabile.
Le verifiche riguardano sia gli aspetti di performance, sia quelli di sicurezza (disponibilità – integrità – riservatezza), sia le specifiche funzionalità offerte dall’applicazione software.
Nel caso in cui le applicazioni vengano installate presso i datacenter di Regione Marche, ulteriori verifiche riguarderanno le modalità in cui i processi di sviluppo, deploy, test, manutenzione, etc. si integrino con quanto previsto dalle procedure di erogazione servizi definite dal Centro Controllo Reti e Sistemi del settore Transizione Digitale ed Informatica, dal momento che i datacenter "Sanzio" e "Tiziano":
- hanno ottenuto, in quanto considerate infrastrutture del “gruppo A”, la qualificazione di nodi compatibili con i requisiti del Polo Strategico Nazionale (PSN);
- risultano gestite da un “Cloud Service Provider (CSP)” di tipo C
- sono abilitate a fornire servizi Iaas Paas e Saas, in quanto presenti nel cloud marketplace nazionale di ACN https://catalogocloud.acn.gov.it/
E dal momento che sono inoltre attive, per le infrastrutture regionali, le seguenti certificazioni:
- ISO/IEC 27001:2013 per l'erogazione in sicurezza di servizi Iaas e Paas di cloud computing, di housing ed hosting e di gestione fisica e logica delle server farm;
- estensioni della ISO 27001: 27017 (controlli di sicurezza delle informazioni per i servizi in cloud) e 27018 (protezione delle informazioni di identificazione personale in cloud pubblici);
- ISO9001 (gestione della qualità dei processi dell’organizzazione);
- ISO 20000-1 (sistema di gestione dei servizi IT);
- ISO 22301 (gestione della Business Continuity)
Laddove invece ci si avvalga di soluzioni installate presso datacenter di terze parti o fornite in SaaS, valgono i regolamenti vigenti relativi alla qualificazione dei servizi e delle infrastrutture forniti dai Cloud Service Provider verso le PA.
Checklist per le verifiche di conformità ed i collaudi del software v. 4