Sistema pubblico di connettivita’: pubblicate le regole tecniche.
Le regole tecniche e di sicurezza per il funzionamento del Sistema pubblico
di connettivita’ sono state pubblicate nella Gazzetta Ufficiale del 21 giugno.
Erano state approvate con decreto di Prodi l’1 aprile scorso.
Il decreto contiene tra l’altro, all’art. 1, una serie di definizioni tecniche,
che si aggiungono a quelle già contenute all’art. 72 del CAD (“trasporto di
dati“: i servizi per la realizzazione, gestione ed evoluzione di reti informatiche
per la trasmissione di dati, oggetti multimediali e fonia; “interoperabilita’ di
base“: i servizi per la realizzazione, gestione ed evoluzione di strumenti per lo
scambio di documenti informatici fra le pubbliche amministrazioni e tra queste
e i cittadini; “connettivita’“: l’insieme dei servizi di trasporto di dati e di
interoperabilita’ di base; “interoperabilita’ evoluta“: i servizi idonei a favorire
la circolazione, lo scambio di dati e informazioni, e l’erogazione fra le pubbliche
amministrazioni e tra queste e i cittadini; “cooperazione applicativa“: la parte
del sistema pubblico di connettivita’ finalizzata all’interazione tra i sistemi
informatici delle pubbliche amministrazioni per garantire l’integrazione dei
metadati, delle informazioni e dei procedimenti amministrativi)
Di seguito, il testo integrale.
. . . . .
Decreto del Presidente del Consiglio dei Ministri del 1 aprile 2008
Regole tecniche e di sicurezza per il funzionamento del Sistema pubblico
di connettivita’ previste dall’articolo 71, comma 1-bis del decreto legislativo
7 marzo 2005, n. 82, recante il «Codice dell’amministrazione digitale».
(G.U. n. 144 del 21.6.2008)
Il Presidente del Consiglio dei Ministri;
Vista la legge 23 agosto 1988, n. 400, e successive modificazioni;
Visto il decreto legislativo 12 febbraio 1993, n. 39, e successive
modificazioni;
Visto il decreto legislativo 7 marzo 2005, n. 82, e successive
modificazioni e, in particolare, l’art. 71, comma 1-bis;
Visto il decreto del Presidente del Consiglio dei Ministri in data
15 giugno 2006, recante delega di funzioni al Ministro senza
portafoglio per le riforme e le innovazioni nella pubblica
amministrazione, prof. Luigi Nicolais;
Acquisito l’avviso tecnico del CNIPA;
Acquisita l’intesa della Conferenza unificata ai sensi dell’art. 8
del decreto legislativo 28 agosto 1997, n. 281, espressa nella seduta
del 20 dicembre 2007;
Esperita la procedura di notifica alla Commissione europea di cui
alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del
22 giugno 1998, modificata dalla direttiva 98/48/CE del Parlamento
europeo e del Consiglio, del 20 luglio 1998, CE attuata dalla legge
21 giugno 1986, n. 317, modificata dal decreto legislativo
23 novembre 2000, n. 427;
Sulla proposta del Ministro per le riforme e le innovazioni nella
pubblica amministrazione;
Decreta:
Art. 1.
1. Sono approvate le Regole tecniche e di sicurezza per il
funzionamento del Sistema pubblico di connettivita’ previste
dall’art. 71, comma 1-bis del decreto legislativo 7 marzo 2005, n.
82, e successive modifiche ed integrazioni, recante il «Codice
dell’amministrazione digitale», di cui all’allegato A.
Il presente decreto sara’ inviato ai competenti organi di controllo
e pubblicato nella Gazzetta Ufficiale dello Stato.
Roma, 1° aprile 2008
Il Presidente: Prodi
Registrato alla Corte dei conti il 19 maggio 2008
Ministeri istituzionali, Presidenza del Consiglio dei Ministri,
registro n. 5, foglio n. 348
– – –
Allegato A
Titolo I
DISPOSIZIONI GENERALI
Art. 1.
Definizioni
1. Ai fini del presente decreto si applicano le definizioni
contenute negli articoli 1 e 72 del decreto legislativo 7 marzo 2005,
n. 82 recante il «Codice dell’amministrazione digitale» aggiornato
con le modifiche introdotte dal decreto legislativo 4 aprile 2006, n.
159. Si intende, inoltre, per:
a) «Codice», il Codice dell’amministrazione digitale;
b) «Regole tecniche», le disposizioni di cui al presente
decreto;
c) «Commissione», la Commissione di coordinamento del Sistema
pubblico di connettivita’ di cui all’art. 79 del Codice;
d) «CNIPA», il Centro nazionale per l’informatica nella
pubblica amministrazione;
e) «fornitori qualificati», i soggetti di cui all’art. 82 del
Codice, che hanno ottenuto la qualificazione ai sensi del Regolamento
per la qualificazione dei fornitori del Sistema pubblico di
connettivita’ (SPC) previsto dall’art. 87 del Codice;
f) «Amministrazioni», le amministrazioni che partecipano al
SPC, secondo le prescrizioni di cui all’art. 75 del Codice;
g) «Amministrazioni centrali», le Amministrazioni comprese tra
quelle previste all’art. 1, comma 1, del decreto legislativo
12 febbraio 1993, n. 39;
h) «Amministrazioni territoriali», le Amministrazioni non
comprese tra quelle previste all’art. 1, comma 1, del decreto
legislativo 12 febbraio 1993, n. 39;
i) «reti territoriali», le infrastrutture e le regole condivise
da un insieme di Amministrazioni territoriali al fine di erogare
servizi di connettivita’. Ai fini del presente decreto sono
considerate reti territoriali le reti regionali;
i-bis) «reti di rilevanza nazionale», le reti di interesse
nazionale individuate dalla Commissione;
j) «Community Network», la rete territoriale istituita da una
disposizione normativa regionale che garantisca il rispetto dei
requisiti previsti dal presente decreto;
k) «dominio», l’insieme delle risorse (infrastrutture,
hardware, software, procedure, dati, servizi) e delle politiche che
ricadono sotto la responsabilita’ di una specifica organizzazione
(Amministrazione, fornitore, ecc). Un dominio puo’ essere scomposto
in piu’ «sottodomini»;
l) «infrastrutture condivise», l’insieme delle risorse del SPC
(componenti hardware e software, regole, documenti, servizi) gestite
dal CNIPA, anche avvalendosi di soggetti terzi, ai sensi dell’art.
81, comma 1 del Codice, comprese le strutture operative preposte al
controllo e supervisione delle stesse al fine di consentire la
connettivita’, l’interoperabilita’ evoluta e la cooperazione
applicativa in sicurezza tra le Amministrazioni su tutto il
territorio nazionale;
m) «Qualified eXchange Network/QXN», la componente delle
infrastrutture condivise che realizza l’interconnessione delle reti
dei fornitori qualificati dei servizi di connettivita’ del SPC e
delle Community Network;
n) «Nodo di interconnessione VoIP (NIV-SPC)», la componente
delle infrastrutture condivise che realizza l’interconnessione delle
Amministrazioni aventi uno o piu’ domini VoIP connessi al SPC;
o) «Centro di Gestione SPC (CG-SPC)», la componente delle
infrastrutture condivise preposta alla gestione delle risorse di cui
alle lettere m) ed n), all’erogazione di servizi di sicurezza per le
finalita’ di cui all’art. 11, comma 3, nonche’ al monitoraggio dei
fornitori qualificati SPC di connettivita’ e dei soggetti deputati
alla gestione delle risorse condivise di connettivita’;
p) «SPCoop», il sottosistema logico del SPC costituito
dall’insieme delle regole e delle specifiche funzionali che
definiscono il modello di cooperazione applicativa per il SPC;
q) «servizi di connettivita», l’insieme logico dei servizi SPC
per la trasmissione di dati, oggetti multimediali e fonia, attraverso
i quali viene attivato anche lo scambio di documenti informatici tra
le pubbliche amministrazioni e tra queste e i cittadini e le imprese;
r) «SICA», servizi infrastrutturali di interoperabilita’,
cooperazione ed accesso, l’insieme delle regole, dei servizi e delle
infrastrutture condivise che abilitano l’interoperabilita’ e la
cooperazione applicativa fra le Amministrazioni e l’accesso ai
servizi applicativi da queste sviluppati e resi disponibili sul SPC;
s) «servizio telematico», l’insieme di funzionalita’,
realizzate mediante componenti software, erogate attraverso un
sistema di comunicazione accessibile anche in internet;
t) «servizio applicativo», l’insieme di funzionalita’,
realizzate mediante componenti software, erogate o fruite da una
Amministrazione attraverso la Porta di Dominio;
u) «servizio applicativo composto», il servizio applicativo
«multi-ente», risultato della cooperazione di piu’ Amministrazioni,
le quali concorrono, ognuna per la parte di propria competenza,
all’automazione di un processo inter-amministrazione, sulla base
delle specifiche definite nell’ambito dell’accordo di cooperazione;
v) «dominio applicativo», l’insieme dei servizi applicativi
erogati sotto la diretta responsabilita’ di un’Amministrazione;
w) «dominio di cooperazione», il coordinamento tra domini
applicativi facenti capo a piu’ Amministrazioni che cooperano per
l’erogazione di uno o piu’ servizi applicativi composti, al fine di
automatizzare uno o piu’ procedimenti amministrativi;
x) «accordo di servizio», la convenzione tra erogatore e
fruitore del servizio applicativo, redatta in formato XML e resa
pubblica attraverso le infrastrutture condivise del SPC, che descrive
l’oggetto del servizio e le relative modalita’ di erogazione e
fruizione;
y) «accordo di cooperazione», la convenzione, redatta in
formato XML e resa pubblica attraverso le infrastrutture condivise
del SPC, che richiama gli accordi finalizzati all’erogazione dei
servizi applicativi facenti parte del dominio di cooperazione,
descrive i contenuti dei servizi composti e coordinati e le relative
modalita’ di coordinamento;
z) «porta di dominio», unico componente architetturale del SPC
attraverso il quale si accede al dominio applicativo
dell’Amministrazione per l’utilizzo dei servizi applicativi;
aa) «IPA», indice delle pubbliche amministrazioni, struttura
informativa appartenente alle infrastrutture nazionali condivise che
contiene strutture organizzative, riferimenti ai servizi telematici e
di posta elettronica, Aree organizzative omogenee e relative caselle
di posta elettronica certificata;
bb) «autorizzazione», l’insieme di attivita’ che consentono
l’accesso ad un servizio o una risorsa a chi, preventivamente
identificato o autenticato, possiede gli attributi o il ruolo
necessario;
cc) «autorita’ di identificazione», la struttura che consente
l’identificazione di un soggetto attraverso le modalita’ previste
dall’art. 66 del Codice;
dd) «autorita’ di autenticazione», la struttura che consente
l’autenticazione in rete di un soggetto o di un sistema informatico o
di un servizio, come definita dall’art. 1, lettera b) del Codice;
ee) «autorita’ di attributo e ruolo», la struttura che ha la
potesta’ di attestare attributi e ruoli ai fini dell’erogazione di un
servizio;
ff) «ontologia di dominio», rappresentazione formale di
concetti e relazioni tra gli stessi riferiti ad un ambito tematico;
gg) «Busta e-Gov», protocollo di comunicazione tra servizi
applicativi basato sullo standard SOAP;
hh) «Organismi di attuazione e controllo», il CNIPA a livello
nazionale, cui compete, ai sensi dell’art. 81, comma 1, del Codice,
la gestione delle risorse condivise del SPC e delle strutture
operative preposte al controllo ed alla supervisione delle stesse, e,
ai sensi del comma 2, la progettazione, realizzazione ed evoluzione
del SPC secondo gli indirizzi della Commissione ed in conformita’
alle presenti Regole tecniche, nonche’ la responsabilita’ di
assicurare che i servizi erogati dai fornitori qualificati rispettino
i requisiti di qualita’ e sicurezza del SPC; ovvero le regioni per il
relativo ambito di competenza, secondo un modello federato e
policentrico;
ii) «CERT-SPC-C» (Computer Emergency Response Team del Sistema
pubblico di connettivita’ Centrale), la struttura collocata presso il
CNIPA che e’ referente centrale per la prevenzione, il monitoraggio,
la gestione, la raccolta dati e l’analisi degli incidenti di
sicurezza, assicurando l’applicazione di metodologie coerenti ed
uniformi in tutto il sistema da essa controllato per la gestione
degli incidenti;
jj) «CERT-SPC-R» (Computer Emergency Response Team del Sistema
pubblico di connettivita’ a livello Regionale), la struttura
collocata presso le regioni che e’ referente territoriale per la
prevenzione, il monitoraggio, la gestione, la raccolta dati e
l’analisi degli incidenti di sicurezza, assicurando l’applicazione di
metodologie coerenti ed uniformi in tutto il sistema da essa
controllato (fornitori qualificati SPC iscritti negli eventuali
elenchi regionali) per la gestione degli incidenti.
Art. 2.
Obiettivi e finalita’
1. Il presente decreto, emanato ai sensi dell’art. 71 comma 1-bis
del Codice, definisce le Regole tecniche e di sicurezza per il
funzionamento del Sistema pubblico di connettivita’ (SPC).
Art. 3.
Documenti tecnici integrativi
1. La Commissione e gli Organismi di attuazione e controllo, per
il relativo ambito di competenza, emanano i documenti tecnici di cui
all’art. 13 nel rispetto delle presenti Regole tecniche, degli
indirizzi della Commissione di cui all’art. 79 del Codice e dei
regolamenti di cui all’art. 87 del Codice medesimo.
Art. 4.
Norme tecniche di riferimento
1. I principali standard di riferimento per la realizzazione dei
servizi del SPC sono indicati nelle presenti Regole tecniche e nei
documenti tecnici previsti dal presente decreto.
Art. 5.
Compatibilita’ operativa degli standard
1. La Commissione, avvalendosi degli Organismi di attuazione e
controllo, assicura, in funzione dell’evoluzione tecnologica, la
coerenza operativa degli standard cosi’ come previsti nelle presenti
Regole tecniche ed in ogni altro documento predisposto ai sensi del
presente decreto, dando tempestiva informazione delle eventuali
variazioni ai soggetti interessati, anche attraverso pubblicazione
per via telematica.
Titolo II
PRINCIPI NORMATIVI DEL SPC
Art. 6.
Principi generali del SPC
1. La realizzazione del SPC avviene nel rispetto dell’art. 73 del
Codice, ed in particolare dei principi generali indicati nel comma 3
del medesimo art. 73.
Art. 7.
Finalita’ del SPC
1. Il SPC persegue le finalita’ indicate nell’art. 77 del Codice.
2. Lo scambio di documenti informatici tra i soggetti di cui
all’art. 75 del codice mediante l’utilizzo di servizi applicativi
interoperabili e cooperanti nel rispetto delle presenti regole,
costituisce invio documentale valido ad ogni effetto di legge, ai
sensi dell’art. 76 del Codice.
Art. 8.
Ricognizione dei ruoli e responsabilita’ delle Amministrazioni che
partecipano al SPC
1. I compiti delle Amministrazioni nell’ambito del SPC, sono
definiti dalle disposizioni contenute negli articoli 78, 81 e 83 del
Codice.
2. Le responsabilita’ relative alla realizzazione e gestione del
SPC, secondo gli indirizzi della Commissione ed in conformita’ alle
presenti Regole tecniche, sono attribuite al CNIPA ed alle regioni,
per i rispettivi ambiti di competenza.
3. In attuazione delle disposizioni previste al comma 1 dell’art.
78 del Codice, le Amministrazioni, secondo la propria autonomia e
responsabilita’, sviluppano, gestiscono e rendono disponibili servizi
applicativi nell’ambito del SPC anche mediante l’accesso e lo scambio
delle informazioni e dei dati di propria competenza, nel rispetto
delle presenti regole tecniche.
4. Ai sensi dell’art. 79 del Codice ed in relazione alle
disposizioni richiamate dal comma 3 dell’art. 73, la responsabilita’
relativa alla evoluzione del SPC, e’ attribuita alla Commissione, con
il supporto degli Organismi di attuazione e controllo nell’ambito
delle competenze stabilite dal Codice.
5. Il CNIPA, anche avvalendosi di soggetti terzi, realizza e
gestisce, per un periodo pari almeno a due anni, le infrastrutture
condivise per le Amministrazioni, ai sensi dei commi 2 e 3 dell’art.
86 del Codice
6. L’Amministrazione territoriale gestisce e realizza le proprie
infrastrutture, ovvero le infrastrutture ubicate nel territorio di
competenza ed eventualmente condivise con altre Amministrazioni,
assicurando, per le finalita’ del SPC, l’interazione con le
infrastrutture condivise a livello nazionale nel rispetto delle
presenti regole tecniche .
7. La Commissione e gli Organismi di attuazione e controllo per i
relativi ambiti di competenza, assicurano la supervisione, il
controllo e la verifica delle prestazioni erogate dai fornitori
qualificati, affinche’ siano rispettati i requisiti di qualita’ e di
sicurezza del SPC ed i requisiti di qualificazione previsti dal
Regolamento per la qualificazione dei fornitori, ai sensi degli
articoli 79, 81 ed 83 del Codice.
Art. 9.
Sviluppo federato, policentrico e non gerarchico del sistema
1. Lo sviluppo del SPC e’ realizzato secondo un disegno unitario
e conforme alle presenti Regole tecniche. A tal fine le
Amministrazioni, ai sensi dell’art. 73, comma 1, del Codice,
predispongono le infrastrutture e realizzano i servizi applicativi in
ambito SPC, in modo che sia assicurato il coordinamento informativo
ed informatico dei dati tra le Amministrazioni centrali, regionali e
locali e promossa l’omogeneita’ nella elaborazione e trasmissione dei
dati stessi, finalizzata allo scambio e diffusione delle informazioni
tra le Amministrazioni e alla realizzazione di servizi integrati.
2. La Commissione, definisce gli indirizzi e promuove gli
standard di riferimento per il disegno dell’architettura generale e
dell’architettura delle componenti del SPC in base agli articoli 79
ed 81 comma 1 del Codice.
3. Gli Organismi di attuazione e controllo, nel rispetto delle
presenti Regole tecniche e degli indirizzi della Commissione,
definiscono e provvedono ad aggiornare, secondo le necessita’,
l’architettura generale e l’architettura delle componenti del SPC.
4. Gli Organismi di attuazione e controllo, al fine di consentire
lo sviluppo del SPC, sulla base di un disegno unitario realizzato in
modo federato, secondo gli indirizzi della Commissione e nel rispetto
delle presenti Regole tecniche, svolgono anche attivita’ di supporto
alle pubbliche amministrazioni. In tal senso i medesimi Organismi
coadiuvano la predisposizione di soluzioni tecniche funzionali anche
alla riorganizzazione e reingegnerizzazione dei processi, che
risultino compatibili con la cooperazione applicativa ai sensi
all’art. 78 comma 1 del Codice.
5. L’interazione tra le Amministrazioni mediante servizi
applicativi, nell’ambito del SPC, finalizzata allo svolgimento di
procedimenti amministrativi soggettivamente complessi, e’ paritetica
e non gerarchica, ai sensi dell’art. 73, comma 3, lettera a) del
Codice.
Art. 10.
Economicita’ nell’utilizzo dei servizi di rete, di interoperabilita’
e di supporto alla cooperazione applicativa
1. Gli Organismi di attuazione e controllo, secondo gli indirizzi
e le indicazioni della Commissione e nel rispetto delle presenti
Regole tecniche, progettano e realizzano, anche attraverso la stipula
dei contratti quadro di cui all’art. 83 del Codice, gli interventi
che facilitino e sostengano lo sviluppo di servizi di rete, di
interoperabilita’ e di cooperazione applicativa tra le
Amministrazioni che utilizzano il SPC. A tal fine, attuano misure che
favoriscano, in particolare:
a) la comunicazione tra le Amministrazioni e nell’ambito delle
stesse, tramite tecnologie e strumenti di comunicazione per
soddisfare le accresciute esigenze di mobilita’ dei propri operatori
e conseguire risparmi di spesa, ovvero avviare o estendere pratiche
di videocomunicazione collaborativa, telelavoro, teleconferenza, nel
rispetto dell’art. 83 del Codice;
b) la reingegnerizzazione e l’automazione dei processi svolti
dalle Amministrazioni e tra le stesse;
c) l’accesso ai servizi attraverso sistemi di autenticazione
distribuiti e federati, al fine di gestire con maggiore efficienza
identita’ digitali e ruoli attribuiti e certificati dalle autorita’
di autenticazione e dalle autorita’ di attributo e ruolo;
d) l’integrazione delle informazioni attraverso una
rappresentazione semantica condivisa.
2. Gli Organismi di attuazione e controllo, secondo gli indirizzi
della Commissione, supportano le amministrazioni nella definizione
degli accordi di servizio e cooperazione e ne verificano la corretta
attuazione tecnica.
Titolo III
ARCHITETTURA DEL SPC
Art. 11.
Architettura generale
1. In considerazione delle finalita’ di cui all’art. 77 del
Codice, il SPC e’ strutturato secondo una architettura concettuale a
piu’ livelli:
a) Il livello d’interconnessione e comunicazione tra le
Amministrazioni e nell’ambito di una stessa Amministrazione,
realizzato attraverso una componente di connettivita’, che include
servizi di trasporto, per la trasmissione, secondo il protocollo IP,
di dati, immagini e fonia, nonche’ servizi di interoperabilita’ di
base, attraverso i quali viene attivata la trasmissione di
informazioni o di documenti informatici. La condivisione a livello
nazionale, da parte delle Amministrazioni interconnesse, di
infrastrutture di connettivita’, garantisce omogeneita’ ed
uniformita’ di prestazioni da parte dei fornitori qualificati,
consentendo lo sviluppo del SPC secondo un disegno unitario;
b) Il livello d`interoperabilita’ evoluta e cooperazione
applicativa tra le Amministrazioni aderenti al SPC, che include
servizi di interoperabilita’ evoluta per la circolazione e lo scambio
di dati ed informazioni tra le PA e tra le stesse ed i cittadini,
nonche’ servizi di cooperazione applicativa, costituenti
l’infrastruttura del SPCoop per il coordinamento e la sicurezza a
livello applicativo, che favoriscono la realizzazione e
l’interoperabilita’ di servizi per le finalita’ di cui all’art. 7. I
servizi e le infrastrutture di connettivita’ di cui alla lettera a)
forniscono funzionalita’ di connessione e trasporto IP attraverso le
quali sono veicolati i servizi di questo livello, ai sensi dell’art.
77 del codice.
c) Il livello dei servizi applicativi e telematici resi
disponibili attraverso il SPC.
2. Il funzionamento e la gestione dei servizi applicativi di cui
al comma 1 lettera c) si basano sulla condivisione, da parte delle
Amministrazioni cooperanti, di servizi infrastrutturali di
interoperabilita’, cooperazione ed accesso (SICA), costituiti dai
servizi di cooperazione applicativa di cui al comma 1 lettera b) ed
articolati in una componente di livello generale, condivisa a livello
nazionale, alla quale, eventualmente, si raccordano ulteriori
componenti federate distribuite (SICA secondari). I SICA realizzano
la pubblicazione degli accordi di servizio e degli altri elementi
della cooperazione applicativa di cui all’art. 20, necessaria ai fini
dell’accesso ai servizi, nonche’ della validita’ degli scambi
documentali e dei dati in base alle disposizioni di cui agli
articoli 50, comma 3, 51 e 76 del Codice.
3. Dal punto di vista della sicurezza, l’intero SPC si configura
come un dominio affidabile (trusted), costituito da una federazione
di domini affidabili basata su mutue relazioni organizzative e
tecnologiche di tipo fiduciario. La componente di sicurezza del SPC
e’ trasversale alle componenti di connettivita’ e di
interoperabilita’ e cooperazione applicativa; include l’insieme delle
misure organizzative, dei servizi e delle infrastrutture realizzate a
livello centrale (dominio di interconnessione) ed a livello di
singola Amministrazione (dominio interno), in conformita’ alle
presenti Regole tecniche. Per quanto concerne le componenti di
sicurezza finalizzate all’accesso ai servizi applicativi e
telematici, allo scopo di garantire l’aggiornamento, la veridicita’ e
l’affidabilita’ dell’intero insieme di informazioni che
caratterizzano la cooperazione applicativa, sono assicurati, in
particolare: il riconoscimento dei soggetti abilitati ad operare in
SPC e delle componenti SPCoop (porte di dominio, servizi applicativi,
servizi infrastrutturali – SICA), nonche’ la gestione delle identita’
digitali e dei ruoli su base federale.
Art. 12.
Componenti logiche del SPC
1. Sulla base della descrizione dell’architettura generale di cui
al precedente articolo, il SPC e’ articolato nelle seguenti
componenti logiche:
a) Servizi di connettivita’. Includono i servizi di trasporto
ed i servizi di interoperabilita’ di base. Consentono la trasmissione
di dati, immagini e fonia (voce), ovvero di documenti informatici
nell’ambito di una stessa Amministrazione (ambito Intranet), tra
diverse Amministrazioni (ambito Infranet), tra singole
Amministrazioni ed utenti esterni ad esse (ambito Internet);
b) Servizi di interoperabilita’ e cooperazione. Includono i
servizi di interoperabilita’ evoluta e cooperazione applicativa per
le amministrazioni ed i servizi infrastrutturali di cooperazione
applicativa. I servizi di interoperabilita’ evoluta consentono la
comunicazione a livello applicativo tra le amministrazioni e con il
mondo esterno e comprendono servizi di messaggistica, videoconferenza
e sviluppo di servizi web accessibili in modalita’ multicanale. I
servizi di cooperazione applicativa per le amministrazioni consentono
lo sviluppo delle Porte di Dominio e l’integrazione di servizi
applicativi. I servizi infrastrutturali di cooperazione applicativa
consentono, in particolare: la registrazione e pubblicazione degli
Accordi di servizio e degli Accordi di cooperazione, degli schemi di
dati, metadati ed ontologie di dominio; la gestione su base federata
delle identita’ digitali di cui all’art. 22, ai fini
dell’autenticazione ed autorizzazione di soggetti e servizi abilitati
ad operare sul SPC; il supporto alla qualificazione di componenti
architetturali SPCoop quali le Porte di Dominio ed i servizi di
Registro SICA secondari; ogni altra funzionalita’ che permetta di
realizzare l’interoperabilita’ e la cooperazione applicativa in
ambito SPC;
c) Infrastrutture condivise. Includono:
i. la Qualified eXchange Network (QXN), per la quale transita
tutto e solo il traffico dati scambiato tra fornitori qualificati di
connettivita’ per conto delle Amministrazioni aderenti al SPC. La QXN
non e’ attraversata dal traffico Intranet o Infranet tra sedi
collegate alla rete di uno stesso fornitore, ne’ dal traffico
Internet tra un’Amministrazione ed un soggetto non collegato al SPC,
ne’ dal traffico tra soggetti non collegati al SPC;
ii. ogni infrastruttura che realizza l’interconnessione tra
domini di Amministrazioni connesse al SPC, quale il Nodo di
Interconnessione VoIP (NIV-SPC);
iii. il Centro di Gestione SPC (CG-SPC) di cui alla
lettera o) dell’art. 1;
iv. il Centro di Gestione dei servizi infrastrutturali di
interoperabilita’, cooperazione ed accesso (CG-SICA), che include
l’insieme di componenti di livello generale (hardware, software,
documenti, servizi) preposte all’erogazione dei servizi di
cooperazione applicativa di cui all’art. 11, comma 1, lettera b).
Tale centro svolge anche funzioni di supporto per la qualificazione
di porte di dominio e di eventuali servizi infrastrutturali SICA
federati di livello secondario e fornisce alla Commissione gli
elementi per la valutazione dei livelli qualitativi e quantitativi
dei servizi SICA;
v) ogni altra componente di interesse comune delle
Amministrazioni realizzata per consentire le finalita’ del SPC.
d) Servizi di sicurezza. Includono l’insieme di servizi e le
relative infrastrutture utilizzate per implementare l’architettura di
sicurezza del SPC, onde conseguire le finalita’ di cui all’art. 11,
comma 3.
2. Le regioni possono definire, per la parte di competenza, una
diversa attuazione delle componenti logiche di cui al comma 1 nel
rispetto della architettura generale del SPC e delle presenti Regole
tecniche, garantendo gli stessi livelli di qualita’ e sicurezza su
tutto il territorio nazionale, nonche’ equivalenti modalita’ di
accesso e fruizione dei servizi da parte dei cittadini e delle
imprese.
3. Le regioni definiscono con il CNIPA appositi protocolli
d’intesa, periodicamente aggiornati, da portare all’approvazione
della Commissione, nei quali vengono definite le modalita’
organizzative e tecniche con cui vengono garantiti i livelli di
servizio e di sicurezza del SPC. Le Community Network fanno parte
integrante del SPC operando secondo i criteri di qualita’ e sicurezza
previsti nelle presenti Regole tecniche.
4. Le Amministrazioni responsabili delle reti di rilevanza
nazionale possono definire con il CNIPA appositi protocolli d’intesa
periodicamente aggiornati, da portare all’approvazione della
Commissione, nei quali vengono definite le modalita’ organizzative e
tecniche con cui vengono garantiti i livelli di servizio e di
sicurezza del SPC.
5. La Commissione, ai sensi dell’art. 79, comma 2, del Codice, su
proposta degli Organismi di attuazione e controllo, approva
l’ampliamento, la modifica, la riorganizzazione e lo sviluppo dei
servizi e delle componenti di cui al comma 1, in relazione alla
evoluzione tecnologica, al mutare delle esigenze delle
Amministrazioni o al variare del quadro normativo di riferimento del
SPC.
6. Le eventuali componenti logiche federate e distribuite dei
servizi SICA, di cui all’art. 11 comma 2, sono realizzate per
specifiche esigenze di gestione e comunque sulla base di criteri di
economicita’ ed efficienza che privilegino il riuso e la condivisione
di infrastrutture fra piu’ Amministrazioni.
Art. 13.
Definizione dell’architettura e sua evoluzione
1. Sulla base della definizione di cui all’art. 73, comma 2, del
Codice, il SPC e’ un sistema che evolve in funzione:
a) delle esigenze di cooperazione delle Amministrazioni;
b) del soddisfacimento delle esigenze dei cittadini e delle
imprese nei rapporti con la pubblica amministrazione;
c) della necessita’ di diminuire i costi sostenuti dalle
Amministrazioni per l’erogazione dei servizi ai cittadini ed alle
imprese;
d) dell’evoluzione tecnologica delle soluzioni informatiche e
dei sistemi di comunicazione;
e) del mutare dei rischi e dei requisiti di sicurezza del
patrimonio informativo e dei sistemi informatici e telematici della
pubblica amministrazione;
f) del mutare delle esigenze organizzative delle
amministrazioni;
g) delle esigenze di partecipazione ed integrazione a livello
europeo.
2. Gli Organismi di attuazione e controllo, secondo gli indirizzi
della Commissione e nel rispetto delle presenti Regole tecniche,
curano la realizzazione dell’architettura e formulano proposte alla
Commissione medesima per l’evoluzione del SPC.
3. Gli Organismi di attuazione e controllo, nel rispetto delle
proprie competenze ed in conformita’ alle presenti Regole tecniche,
predispongono idonea documentazione che esplicita quanto contenuto
nelle disposizioni di cui al Titolo IV, da sottoporre
all’approvazione della Commissione. In particolare, la predetta
documentazione descrive e precisa quanto segue:
a) l’architettura generale del SPC;
b) l’architettura delle componenti del SPC, ovvero dei servizi
di connettivita’, delle infrastrutture condivise, dei servizi di
interoperabilita’ e cooperazione, dei servizi di sicurezza e di ogni
altra componente definita nell’ambito dell’architettura del SPC per
consentire le finalita’ di cui all’art. 77 del Codice;
c) le specifiche ed i requisiti delle componenti di cui alla
precedente lettera b), comprese, ove disponibili, implementazioni di
riferimento sviluppate con codice sorgente aperto, secondo le
indicazioni della Commissione;
d) gli standard e le norme tecniche di riferimento;
e) i requisiti minimi che devono essere soddisfatti nella
progettazione, realizzazione ed erogazione dei servizi di
connettivita’ SPC, con riferimento in particolare alla qualita’ del
servizio (QoS), alla banda larga, al dominio di interconnessione, al
dominio interno di un’Amministrazione e al dominio dei servizi
erogati dai fornitori qualificati;
f) i criteri e le specifiche tecniche di dettaglio che devono
essere soddisfatti nella progettazione, realizzazione, sviluppo ed
erogazione dei servizi di cooperazione applicativa SPC;
g) i contenuti minimi obbligatori e la composizione di un
Accordo di Servizio o di Cooperazione; l’identificazione, secondo uno
specifico schema di nomenclatura, di tutti gli elementi (Accordi di
Servizio, soggetti, caratteristiche dei servizi, ecc.) che
intervengono nel processo di cooperazione applicativa;
h) la descrizione e le modalita’ di erogazione dei servizi
applicativi e telematici;
i) le modalita’ che i fornitori qualificati devono seguire per
documentare i loro progetti e dimostrare la conformita’ del modello
di funzionamento dei servizi ai citati requisiti;
j) le misure minime di sicurezza che dovranno essere adottate.
4. La documentazione di cui al comma 3 e’ aggiornata dagli
Organismi di attuazione e controllo, nel rispetto delle proprie
competenze, in relazione all’evoluzione del SPC, e’ soggetta ad
apposita licenza d’uso ed e’ pubblicata dalla Commissione per via
telematica.
Titolo IV
SPECIFICHE PER LA REALIZZAZIONE DEI SERVIZI DEL SPC
Art. 14.
Servizi di connettivita’, trasporto ed interoperabilita’ di base
1. Il SPC consente la connessione delle Amministrazioni nel
rispetto dei seguenti principi:
a) i servizi di connettivita’ sono caratterizzati da parametri
oggettivi, indipendenti dalle infrastrutture tecnologiche utilizzate
per l’erogazione, permettendo di ottenere l’equivalenza dei servizi
in termini di funzionalita’, livelli di qualita’ e garanzie di
sicurezza, pur lasciando ai fornitori la liberta’ delle scelte
tecnologiche;
b) le Amministrazioni possono usufruire dei servizi di
connettivita’ con caratteristiche differenziate, commisurate alle
effettive esigenze. Sono, pertanto, previste piu’ classi di servizio,
con prestazioni differenziate in funzione delle caratteristiche del
traffico che deve essere supportato.
2. Il SPC consente, inoltre, la connessione alle Amministrazioni
in modo sicuro attraverso la rete Internet o, previa autorizzazione
della Commissione, attraverso le reti di enti nazionali ed
internazionali.
3. I servizi di trasporto sono basati sul protocollo IP e
conformi alle normative internazionali di riferimento IETF
applicabili.
4. I collegamenti fra le sedi di una o piu’ Amministrazioni
(ambito Intranet/Infranet) sono generalmente realizzati in Virtual
Private Network (VPN) o con meccanismi equivalenti dal punto di vista
della sicurezza.
5. I collegamenti alla rete dei fornitori possono essere
realizzati in modalita’ «always-on» mediante tecnologie che
consentono accessi permanenti (xDSL, SDH, ecc.), in modalita’
«dial-up» mediante tecnologie che consentono accessi a commutazione
di circuito (PSTN, ISDN, ecc.), in modalita’ «wireless» mediante
tecnologie che consentono accessi basati su trasmissioni in radio
frequenza (ad esempio GPRS, WI-FI, link via satellite bidirezionale
su canale condiviso e non, ecc.) ovvero mediante nuove tecnologie
eventualmente disponibili in futuro.
6. I servizi di trasporto sono in grado di garantire
caratteristiche differenziate per il trasferimento dei pacchetti IP
in funzione del traffico trasportato, a seconda che debbano essere
impiegati per l’erogazione di servizi standard, di servizi in tempo
reale, di servizi in tempo differito, o di servizi interattivi.
7. L’accesso ad ogni servizio e’ realizzato attraverso un Punto
di Accesso al Servizio, messo a disposizione e gestito dal fornitore,
costituito da una o piu’ interfacce fisiche che caratterizzano il
servizio e sono prese a riferimento per le misure di qualita’.
8. Ad ogni Amministrazione e’ consentita la fruizione di servizi
di fonia di base e supplementari su infrastrutture di trasporto
basate sul protocollo IP (VoIP), secondo gli standard di riferimento
definiti nella documentazione di cui all’art. 13. Il SPC consente,
sulla base delle esigenze della singola Amministrazione, la
connessione alla rete telefonica pubblica (PSTN) e l’integrazione
rispetto alle infrastrutture pre-esistenti, sia per quanto riguarda
la rete IP (piano di indirizzamento, presenza di Network Address
Translation, presenza di proxy a livello applicativo), sia per quanto
riguarda la rete di telefonia privata TDM (piano di numerazione dei
derivati telefonici).
9. I servizi di interoperabilita’ di base consentono
l’interconnessione tra diversi domini a livello applicativo per lo
scambio di messaggi di posta elettronica utilizzando i protocolli
ammessi dalle politiche di sicurezza definite nelle presenti Regole
Tecniche e nella documentazione di cui all’art. 13, nonche’
ammissibili dalle politiche d’uso delle singole Amministrazioni e
conformi alla Internet Protocol Suite cosi’ come definita dall’IETF.
10. Al fine di consentire il monitoraggio e la gestione delle
risorse attraverso le infrastrutture condivise, e’ consentito il
transito di unita’ dati ICMP ed SNMP attraverso gli apparati usati
per l’erogazione dello specifico servizio oggetto di misura, nonche’
l’accesso in lettura alle Management Information Base (MIB) degli
apparati utilizzati, fatte salve ulteriori metodologie individuate
dalla Commissione.
Art. 15.
Servizi per l’interoperabilita’ evoluta e la cooperazione applicativa
1. Il SPC consente l’interoperabilita’ e la cooperazione
applicativa tra diverse Amministrazioni nel rispetto delle presenti
regole tecniche, delle specifiche contenute nella documentazione di
cui all’art. 13, comma 3, nonche’ dei seguenti principi:
a) preservare l’autonomia delle singole Amministrazioni,
garantendo al tempo stesso ai diversi sistemi di interoperare fra
loro per erogare servizi integrati agli utenti, nel rispetto di
quanto previsto dall’art. 9, comma 5;
b) permettere l’integrazione dei processi, dei procedimenti e
dei dati di Amministrazioni diverse, coinvolte nelle procedure
inter-amministrative, assicurando che ciascuna Amministrazione
mantenga la responsabilita’ dei servizi da essa erogati e dei dati da
essa forniti;
c) permettere che, in caso di informatizzazione di procedimenti
amministrativi che includono servizi riconducibili alla
responsabilita’ di piu’ Amministrazioni, una sola Amministrazione
assuma (per legge, per delega concordata, ecc.), la responsabilita’
complessiva nei confronti dell’utente finale;
d) permettere agli utenti finali di avere una visione integrata
di tutti i servizi di ogni amministrazione pubblica centrale e
locale, indipendente dal canale di erogazione (multicanalita) e
favorendo il multilinguismo;
e) valorizzare la specificita’ di ogni soggetto erogatore di
servizi, assicurando al contempo uniformita’ di interazione e
certezza nella identificazione degli attori dell’interazione.
2. I servizi di interoperabilita’ evoluta consentono:
a) lo scambio di messaggi di posta elettronica, sulla base
dello standard SMTP per i messaggi di tipo testuale, MIME S/MIME per
i messaggi crittografati e firmati digitalmente, DSN nel caso siano
richieste informazioni relative alla trasmissione dei messaggi, con
accesso multicanale ed autenticato ai messaggi ed alle caselle
postali, nonche’ di standard internazionali e specifiche pubbliche
comunemente riconosciute, come individuate nella documentazione di
cui all’art. 13;
b) lo scambio di messaggi di posta elettronica certificata di
cui al decreto del Presidente della Repubblica 11 febbraio 2005 n. 68
«Regolamento concernente disposizioni per l’utilizzo della posta
elettronica certificata», nel rispetto delle regole tecniche e degli
standard di cui al decreto ministeriale 2 novembre 2005 del Ministro
per l’Innovazione e le Tecnologie recanti «Regole tecniche per la
formazione, la trasmissione, e la validazione, anche temporale, della
posta elettronica certificata»;
c) la comunicazione e la collaborazione in tempo reale ed in
modalita’ interattiva fra utenti dislocati remotamente, attraverso
strumenti di video-conferenza accessibili dalle singole postazioni di
lavoro o da apposite postazioni condivise;
d) la fruizione di applicazioni telematiche multicanale, che
favoriscano la comunicazione asincrona tra amministrazioni e con
cittadini ed imprese, sviluppate sulla base delle Raccomandazioni del
World Wide Web Consortium (W3C) in materia di tecnologie Web e nel
rispetto della normativa vigente in tema di accessibilita’ (legge
9 gennaio 2004, n. 4 e decreto ministeriale 8 luglio 2005 del
Ministro per l’Innovazione e le Tecnologie).
3. I servizi di cooperazione applicativa per le amministrazioni
consentono la gestione di tutte le attivita’ necessarie alla
predisposizione dei servizi applicativi finalizzata all’interazione
sul SPC ed, in particolare, comprendono:
a) lo sviluppo e la gestione della porta di dominio, nella
configurazione adeguata alle strutture ed all’organizzazione dei
sistemi informatici delle singole Amministrazioni e nel rispetto
delle presenti Regole tecniche e della documentazione di cui all’art.
13;
b) l’integrazione e l’esercizio di servizi applicativi su SPC,
attraverso lo sviluppo, l’adeguamento e la composizione degli stessi,
secondo gli Accordi di servizio e di cooperazione, nonche’ la
pubblicazione di questi ultimi mediante i SICA. I servizi applicativi
sviluppati devono essere caratterizzati da riusabilita’, modularita’
ed integrabilita’ e devono essere realizzati in conformita’ al
paradigma Web Services definito dal World Wide Web Consortium (W3C),
nel rispetto delle presenti Regole tecniche e della documentazione di
cui all’art. 13.
4. I servizi infrastrutturali di cooperazione applicativa (SICA)
permettono la cooperazione fra i servizi applicativi delle
Amministrazioni, consentendo in particolare:
a) la gestione degli Accordi di Servizio e degli Accordi di
Cooperazione attraverso il Servizio di Registro SICA. Il servizio
offre funzionalita’ per l’accesso, la registrazione, l’aggiornamento,
la cancellazione e la ricerca degli Accordi di Servizio e di
Cooperazione, nonche’, attraverso l’integrazione con l’IPA (Indice
delle Pubbliche Amministrazioni), la gestione delle informazioni
relative alle entita’ organizzative (amministrazioni pubbliche e
relative strutture organizzative, indirizzi di posta elettronica
certificata ed Aree Organizzative Omogenee) che operano nell’ambito
del SPC e dei servizi telematici da queste erogati;
b) la descrizione degli elementi semantici associati ai servizi
applicativi ed alle informazioni gestite, anche ai fini
dell’individuazione automatica dei servizi disponibili per
l’erogazione delle prestazioni richieste, e la condivisione tra le
Amministrazioni cooperanti degli schemi di dati e metadati, nonche’
delle ontologie di dominio, attraverso il «Servizio di Catalogo
Schemi/Ontologie»;
c) la gestione su base federata delle identita’ digitali di cui
all’art. 22 e dei ruoli funzionali associabili a tali identita’, al
fine di creare un insieme di relazioni di fiducia (trusted domain)
fra le autorita’ di identificazione, di autenticazione e di attributo
e ruolo, per lo scambio di credenziali di autenticazione
reciprocamente garantite, utilizzabili per l’accesso e l’erogazione
di servizi nell’ambito del SPC;
d) la gestione di una struttura complessa di indici
(meta-directory) per la pubblica amministrazione, attraverso il
«Servizio di Indice dei Soggetti» che, integrando la Rubrica della
P.A. (RPA), offre l’accesso telematico in tempo reale ad elenchi
relativi al personale delle Amministrazioni partecipanti al SPC, la
cui pubblicazione ed aggiornamento sono a cura delle Amministrazioni
stesse;
e) la gestione di certificati digitali, associati a entita’
diverse dalle persone fisiche (apparati hardware, servizi ed
applicazioni) nell’ambito del SPC, attraverso il «Servizio di
Certificazione»;
f) il supporto alla qualificazione delle porte di dominio,
mediante appositi test di verifica del corretto trattamento dei
messaggi, effettuati per il tramite di una porta di dominio campione;
g) il supporto alla qualificazione dei Servizi di Registro SICA
di livello secondario, mediante appositi test di verifica
dell’interoperabilita’ con il Servizio di Registro SICA federati di
livello generale di cui alla lettera a).
Art. 16.
Infrastrutture condivise
1. La Qualified eXchange Network (QXN), con caratteristiche e
compiti simili a quelli di un Internet eXchange Point, ha una
architettura geograficamente distribuita con almeno due nodi connessi
tra loro con linee ridondate. I nodi della infrastruttura sono
collocati presso i Neutral Access Point (NAP) pubblici gia’ esistenti
ed effettuano l’instradamento (routing) di pacchetti IP, in coerenza
con i livelli di qualita’ e di sicurezza del SPC.
2. I servizi di trasporto erogati dai fornitori, grazie alla QXN,
dovranno consentire di realizzare connessioni che supportino la
qualita’ di servizio (QoS) e la banda garantita end to end prevista
per il SPC nella documentazione tecnica di cui all’art. 13, anche tra
Amministrazioni afferenti a fornitori differenti.
3. La QXN eroga servizi di:
a) housing, per permettere l’alloggiamento degli apparati dei
fornitori in aree protette con adeguate misure di sicurezza;
b) accesso, per la connessione degli apparati dei fornitori
alla LAN interna dei nodi della QXN;
c) banda, per consentire l’accesso e il trasporto attraverso
l’infrastruttura con banda garantita;
d) tempo ufficiale di rete, per permettere la sincronizzazione
del tempo a tutti i fornitori e alle Amministrazioni che ne abbiano
l’esigenza.
4. L’infrastruttura per l’interconnessione delle Amministrazioni
aventi uno o piu’ domini VoIP connessi al SPC, denominata Nodo di
Interconnessione VoIP (NIV-SPC), supporta almeno i protocolli SIP e
H.323 ed e’ in grado di assicurare:
a) il corretto interfacciamento tra i differenti domini VoIP
delle Amministrazioni, eseguendo le necessarie conversioni nei
protocolli di segnalazione e di controllo sul traffico scambiato;
b) l’instradamento tra i differenti domini VoIP delle chiamate
originate o terminate all’interno dei domini VoIP;
c) servizi di IP-Centrex, comprensivi di un numero predefinito
di postazioni VoIP da installare presso le Amministrazioni che ne
facciano richiesta;
d) l’interconnessione dei domini VoIP IP-Centrex con il dominio
della rete telefonica pubblica fissa/mobile (PSTN/PLMN).
5. Presso il Centro di Gestione dei servizi infrastrutturali di
interoperabilita’, cooperazione ed accesso (CG-SICA) operano le
componenti infrastrutturali (piattaforme hardware/software e servizi)
per l’erogazione dei servizi di livello generale di cui all’art. 15,
comma 4.
6. Il Centro di Gestione SPC (CG-SPC), avente il ruolo di terza
parte nei confronti dei fornitori qualificati e dei soggetti che, per
conto del CNIPA, gestiscono le infrastrutture condivise del SPC,
quali la QXN e il NIV-SPC, svolge:
a) funzioni centralizzate di sicurezza, per la cooperazione
delle strutture locali di sicurezza, che includono anche la
realizzazione di una Public Key Infrastructure (PKI) per l’emissione
e la gestione di certificati per il funzionamento dei servizi di
connettivita’ del SPC;
b) funzioni di misurazione, raccolta e distribuzione dei dati
relativi ai livelli di qualita’ e sicurezza dei servizi di
connettivita’ erogati dai singoli fornitori qualificati, volte a
consentirne la verifica e la validazione;
Art. 17.
Modalita’ di connessione e di interazione con le infrastrutture
condivise di connettivita’
1. Il Neutral Access Point (NAP) che si candida ad ospitare un
nodo della QXN dovra’ essere gia’ utilizzato da almeno tre diversi
operatori di telecomunicazione che offrono servizi di rete sul
territorio italiano e da almeno tre Internet service provider (ISP),
che non siano gia’ connessi alla QXN attraverso altri NAP.
2. I fornitori di servizi di connettivita’ dovranno installare a
proprio carico, presso almeno un nodo della QXN, almeno due Border
Router, sui quali dovra’ essere convogliato il traffico SPC, in
particolare il traffico scambiato tra le Amministrazioni alle quali
forniscono servizi di trasporto e le Amministrazioni che utilizzano
servizi di trasporto erogati da fornitori differenti.
3. I fornitori qualificati a livello nazionale dovranno
connettersi ad almeno due nodi della QXN secondo le modalita’ di cui
al comma precedente.
4. I fornitori qualificati che erogano servizi diversi dalla
connettivita’ in ambito SPC assicurano la propria connessione al SPC
attraverso l’acquisizione di almeno un servizio di trasporto in
ambito Infranet da uno o piu’ fornitori qualificati di servizi di
connettivita’ SPC. Tale servizio di trasporto deve avere
caratteristiche dimensionali, di qualita’ e di sicurezza adeguate al
tipo di servizio da erogare.
5. Le Community Network assicurano la propria connessione al SPC
attraverso una delle seguenti modalita’:
a) istallazione, presso almeno un nodo della QXN, di almeno due
Border Router, sui quali sara’ convogliato tutto il traffico SPC. In
tal caso la Community Network dovra’ effettuare il collegamento
diretto (peering) tra la propria rete e quelle attestate sulla QXN
secondo le medesime modalita’ tecniche individuate per i fornitori
qualificati;
b) l’acquisizione da uno o piu’ fornitori qualificati di
servizi di connettivita’ di almeno un servizio di trasporto in ambito
Infranet.
6. Il CG-SPC, il NIV ed ogni altra infrastruttura utilizzata per
la interconnessione, ovvero per la gestione ed il monitoraggio delle
risorse condivise in ambito nazionale, sono connessi al SPC
attraverso almeno un servizio di trasporto in ambito Infranet,
acquisito da uno o piu’ fornitori qualificati di servizi di
connettivita’, con capacita’ di banda e caratteristiche di qualita’ e
sicurezza adeguate alle caratteristiche del traffico veicolato da e
verso le infrastrutture interessate.
7. Al fine di consentire il monitoraggio dei servizi, secondo le
disposizioni contenute nel Titolo VII, ciascun fornitore e ciascuna
Community Network, connessa al SPC attraverso le modalita’ di cui al
comma 5 lettera a), assicura che:
a) l’infrastruttura utilizzata per l’erogazione del servizio in
ambito SPC includa un sistema in grado di interfacciare il CG-SPC,
ovvero ogni altra componente preposta al monitoraggio o alla gestione
di risorse condivise in ambito nazionale, per consentire lo scambio
di dati relativi ai parametri di qualita’ dei servizi, di fault, di
provisioning, di informazioni di configurazione o di ogni altra
informazione rilevante per la misura degli indicatori di qualita’ e
di sicurezza del servizio, secondo le specifiche approvate dalla
Commissione su proposta del CNIPA, sentite le regioni o le Community
Network per i rispettivi ambiti di competenza. Le modalita’ di invio
di tali file si basano su protocolli standard (mail, FTP, etc.), che
includono meccanismi per la protezione di dati confidenziali (IPSEC,
SSL, SSH);
b) tutti gli apparati usati per l’erogazione di uno specifico
servizio, oggetto di misura consentono il transito di unita’ dati
ICMP ed SNMP, nonche’ l’accesso in lettura alle Managment Information
Base (MIB) e devono permettere l’utilizzo di ulteriori sistemi
individuati dalla Commissione.
Art. 18.
Connessioni alle reti internazionali
1. Al fine di consentire alle Amministrazioni di svolgere
adempimenti in ambito internazionale, che richiedono
l’interoperabilita’ con Organismi europei o trans-europei, per
l’accesso ai servizi o ai dati erogati da detti Organismi, il SPC,
oltre a realizzare la connessione con la Rete Internazionale della
Pubblica Amministrazione, consente la connessione alle reti
internazionali, ad esclusione di quelle pubbliche fruibili via
Internet, alle quali le Amministrazioni abbiano l’esigenza di essere
collegate, previa autorizzazione della Commissione.
2. Per le finalita’ di cui al comma 1, il fornitore qualificato
di servizi di connettivita’, realizza uno o piu’ collegamenti, con
caratteristiche dimensionali, di qualita’ e di sicurezza adeguate
alle specifiche esigenze dell’Amministrazione e nel rispetto delle
presenti Regole tecniche.
Art. 19.
Modalita’ di utilizzo dei servizi di interoperabilita’ e cooperazione
1. Le Amministrazioni pubbliche e altri soggetti autorizzati, al
fine di attivare i servizi di interoperabilita’ e cooperazione
applicativa con altre amministrazioni, devono preventivamente
accreditarsi in SPCoop. L’accreditamento avviene attraverso
l’iscrizione all’IPA, secondo le procedure definite nei relativi
documenti tecnici di cui all’art. 13 e prevede l’assegnazione di
certificati digitali ai fini dell’identificazione delle
Amministrazioni.
2. Le Amministrazioni pubbliche si dotano dei servizi di
interoperabilita’ evoluta e di cooperazione applicativa, di cui agli
articoli 12 e 15, per le finalita’ di comunicazione, erogazione di
servizi telematici e di interazione di servizi applicativi sul SPC,
acquisendoli da fornitori qualificati ovvero sviluppandoli in proprio
nel rispetto delle presenti Regole tecniche.
3. I servizi SICA, di cui all’art. 15, comma 4, sono utilizzati
dalle Amministrazioni pubbliche attraverso le proprie porte di
dominio o per il tramite di specifiche modalita’ tecniche definite
nella relativa documentazione di cui all’art. 13.
4. Gli eventuali servizi SICA federati di livello secondario sono
sincronizzati con i corrispettivi servizi di livello generale secondo
modalita’ stabilite nella citata documentazione tecnica di cui
all’art. 13, la cui applicazione e conformita’ e’ garantita dagli
Organismi di attuazione e controllo.
Art. 20.
Modalita’ per la cooperazione applicativa fra servizi
1. L’erogazione e la fruizione di servizi applicativi in SPCoop
richiede che le Amministrazioni qualifichino la propria porta di
dominio, secondo le procedure previste all’art. 29, allo scopo di
attivare la cooperazione applicativa.
2. La cooperazione fra servizi applicativi avviene mediante lo
scambio di messaggi standard, secondo il formato della Busta e-Gov
definito nella documentazione tecnica di cui all’art. 13, comma 3,
attraverso le porte di dominio qualificate.
3. I servizi applicativi erogati dalle Amministrazioni sono
descritti negli Accordi di Servizio di cui all’art. 17 del Codice.
Tali Accordi sono pubblicati nei Servizi di Registro SICA secondo le
modalita’ descritte nella documentazione di cui all’art. 13 e
sottoscritti digitalmente, mediante i certificati digitali rilasciati
in fase di accreditamento al SPCoop, dalle Amministrazioni che
erogano e fruiscono dei servizi applicativi.
4. I servizi applicativi composti, erogati nell’ambito di un
Dominio di cooperazione, sono descritti e definiti negli Accordi di
Cooperazione, di cui all’art. 1, comma 1, lettera y). Tali Accordi
sono pubblicati nei Servizi di Registro SICA secondo le modalita’
descritte nella documentazione di cui all’art. 13 e sottoscritti
digitalmente dalle Amministrazioni che partecipano alla loro
definizione e cooperano per l’erogazione dei servizi composti.
5. Gli schemi di dati e metadati e le ontologie di dominio
utilizzati nell’ambito SPC sono pubblicati e resi disponibili dalle
amministrazioni attraverso il servizio di catalogo di schemi ed
ontologie, secondo le modalita’ descritte nella documentazione di cui
all’art. 13, al fine di consentire l’integrazione delle informazioni
e dei procedimenti, nonche’ l’accesso ai dati delle pubbliche
amministrazioni.
6. Il riferimento temporale relativo ai messaggi scambiati
nell’ambito dell’interazione tra servizi applicativi, e’ contenuto
nella busta e-gov. Tale riferimento puo’ essere generato con
qualsiasi sistema che garantisca stabilmente uno scarto non superiore
al decimo di minuto secondo rispetto alla scala di tempo universale
coordinato (UTC), determinata ai sensi dell’art. 3, comma 1, della
legge 11 agosto 1991, n. 273. Tale sincronizzazione puo’ avvenire
sulla base del tempo ufficiale di rete SPC, reso disponibile
attraverso la QXN, utilizzando il protocollo NTP.
7. L’accesso ai servizi applicativi da parte delle
Amministrazioni avviene attraverso l’autenticazione delle identita’
digitali secondo le disposizioni di cui all’art. 22.
8. L’Accordo di servizio contiene la definizione del servizio e
delle relative modalita’ di erogazione e fruizione di seguito
indicate:
a) interfaccia del servizio, intesa come insieme di operazioni
offerte dal servizio medesimo;
b) punti di accesso presso cui il servizio e’ disponibile;
c) modalita’ di richiesta e relative risposte ammesse dal
servizio (protocollo di conversazione);
d) semantica del servizio e delle informazioni trattate;
e) livelli di servizio garantiti;
f) requisiti e caratteristiche di sicurezza del servizio.
9. Gli elementi di cui alle lettere a) e b) del comma 8 sono
obbligatori e descritti secondo lo standard WSDL (Web Services
Description Language); gli altri elementi, ove necessari, sono
descritti secondo specifiche pubblicamente disponibili, concordate
tra erogatore e fruitore, nel rispetto delle presenti Regole tecniche
e secondo quanto definito nella documentazione di cui all’art. 13,
comma 3.
10. L’Accordo di cooperazione regola l’interazione tra piu’
Amministrazioni cooperanti finalizzata all’automazione di uno o piu’
procedimenti amministrativi, a cui le stesse amministrazioni
partecipano, nonche’ all’erogazione dei relativi servizi applicativi
composti. L’Accordo e’ redatto secondo quanto definito nella
documentazione di cui all’art. 13, comma 3 e contiene:
a) il riferimento agli Accordi di servizio relativi ai servizi
applicativi componenti che concorrono alla costruzione dei servizi
applicativi composti;
b) il riferimento agli Accordi di servizio relativi ai servizi
applicativi composti risultato della cooperazione applicativa;
c) le modalita’ di cooperazione e coordinamento finalizzate
all’espletamento del procedimento amministrativo, descritte in
linguaggio Web Service Business Process Execution Language (WS-BPEL).
11. Nell’Accordo di cooperazione e’ individuato il soggetto
coordinatore responsabile, cioe’ l’Amministrazione che ha il compito
di assicurare l’efficacia organizzativa e tecnica della cooperazione
ed il coordinamento degli adempimenti di ciascuno dei soggetti
partecipanti, nonche’ garantire l’erogazione dei servizi applicativi
composti del Dominio di cooperazione.
Art. 21.
Requisiti generali per la sicurezza del SPC
1. L’architettura di sicurezza del SPC e’ volta a consentire:
a) lo sviluppo del SPC come dominio affidabile (trusted),
costituito da una federazione di domini di sicurezza in cui diversi
soggetti si impegnano reciprocamente ad adottare le misure minime
definite nell’ambito del SPC, atte a garantire i livelli di sicurezza
necessari all’intero sistema;
b) la corretta individuazione delle responsabilita’ e degli
ambiti di competenza di ciascun soggetto che partecipa all’erogazione
di un servizio composto in ambito SPC;
c) la salvaguardia della integrita’, disponibilita’ e
riservatezza delle informazioni veicolate o gestite nell’ambito del
SPC, nel rispetto dell’autonomia del patrimonio informativo delle
singole Amministrazioni;
d) l’attuazione delle misure minime organizzative e tecniche
previste dalle vigenti disposizioni in materia di protezione dei dati
personali di cui al decreto legislativo 30 giugno 2003, n. 196;
e) l’accesso ai servizi nel rispetto della normativa vigente in
materia di autenticazione informatica.
2. La Commissione, sulla base dell’analisi dei rischi cui sono
soggetti il patrimonio informativo ed i dati della pubblica
amministrazione, emana le linee guida riguardanti le misure di
sicurezza e gli standard da adottare.
3. Le misure di sicurezza sono volte ad assicurare reciproche
garanzie tra i soggetti operanti in ambito SPC e sono commisurate,
oltre che alla entita’ delle minacce cui e’ soggetto il patrimonio
informativo delle Amministrazioni, alla esigenza di minimizzare i
costi complessivi.
4. I documenti della Commissione che definiscono gli indirizzi
strategici ed operativi per l’organizzazione e per la sicurezza
fisica e logica del SPC, su proposta degli Organismi di attuazione e
controllo, sono classificati e gestiti come atti coperti da «segreto
d’ufficio», secondo la normativa vigente.
5. La Commissione, allo scopo di verificare la qualita’ e la
sicurezza dei servizi erogati dai fornitori qualificati del SPC, si
avvale degli Organismi di attuazione e controllo, secondo i
rispettivi ambiti di competenza, per vigilare sul corretto
funzionamento del sistema di sicurezza e per il mantenimento nel
tempo della conformita’ dei requisiti di sicurezza alle specifiche di
progetto per i servizi certificati. In attuazione degli indirizzi
della Commissione:
a) il CERT-SPC-C e i CERT-SPC-R, di concerto con gli Organismi
di attuazione e controllo, definiscono le metodologie per la
prevenzione, il monitoraggio, la gestione e l’analisi degli incidenti
di sicurezza, assicurando la coerenza e l’uniformita’ in tutto il
sistema. Il CERT-SPC (CERT-SPC-C e CERT-SPC-R) svolge i seguenti
compiti:
i. attivita’ di prevenzione degli incidenti informatici,
anche mediante la produzione di documenti tecnici e di bollettini di
sicurezza sulle minacce e sui potenziali attacchi che potrebbero
incombere sul SPC, al fine di migliorare gli standard e i livelli di
sicurezza del sistema stesso e ridurre la probabilita’ di incidenti;
ii. analisi degli incidenti di sicurezza e delle azioni
intraprese per la loro gestione al fine di proporre eventuali azioni
correttive indirizzate a scongiurare il ripetersi del particolare
incidente informatico;
iii. collaborazione con le analoghe strutture presenti a
livello nazionale ed internazionale, nonche’ con le autorita’ di
polizia competenti;
b) gli Organismi di attuazione e controllo, ognuno nell’ambito
delle proprie competenze ed ai sensi dell’art. 13, specificano in
appositi documenti da sottoporre all’approvazione della Commissione,
le modalita’ di realizzazione del sistema di sicurezza. In
particolare:
i. definiscono l’architettura, i requisiti e le funzionalita’
di sicurezza del SPC;
ii. individuano ed attuano le metodologie per le attivita’ di
analisi e gestione del rischio;
iii. indirizzano le scelte infrastrutturali di maggior
impatto, mediante la definizione degli opportuni requisiti di
sicurezza;
iv. definiscono le specifiche e le convenzioni necessarie ad
assicurare l’interoperabilita’ di ciascuna tipologia di certificati
digitali utilizzabili in ambito SPC;
v) definiscono, con il supporto del CERT-SPC-C e dei
CERT-SPC-R, le metodologie di gestione degli incidenti informatici e
le modalita’ di interazione tra i vari soggetti che devono
intervenire in tali eventualita’.
6. Per le finalita’ di cui al comma 1, lettera a), concorrono
alla realizzazione del sistema di sicurezza, secondo le linee guida
della Commissione, una struttura centrale, dedicata al coordinamento,
al mantenimento ed alla verifica del livello di sicurezza minimo
garantito per l’intero SPC e piu’ strutture locali distribuite, le
Unita’ locali di sicurezza, una per ogni dominio connesso al SPC, con
analoghe funzioni limitatamente al singolo dominio. La struttura
centrale del sistema di sicurezza SPC, e’ costituita dal CG-SPC; le
Unita’ locali di sicurezza, sono realizzate, eventualmente, in via
sussidiaria dagli Organismi di attuazione e controllo, responsabili
di gestire gli aspetti relativi alla sicurezza delle infrastrutture
locali connesse al SPC.
7. Il CG-SPC, ha il compito di:
a) definire e predisporre le procedure operative per la
gestione della sicurezza della QXN e di tutte le infrastrutture
condivise di rete, ai sensi dell’art. 81, comma 1, del Codice;
b) definire e predisporre le procedure operative per la
gestione della sicurezza delle altre infrastrutture di rete
direttamente e indirettamente collegate, limitatamente ai profili
relativi alla connessione alla QXN; alla definizione delle relative
procedure operative, in conformita’ al modello federato, concorrono
anche le Unita’ locali di sicurezza;
c) per le infrastrutture condivise, individuare e attuare,
sentiti gli altri Organismi di attuazione e controllo per i
rispettivi ambiti di competenza e sulla base delle indicazioni
risultanti dall’analisi del rischio, l’insieme di misure di
prevenzione e protezione organizzative, operative e tecnologiche
finalizzate ad assicurare, nel rispetto della legislazione vigente,
la riservatezza, l’integrita’ e la disponibilita’ delle informazioni,
delle applicazioni e delle comunicazioni ed a garantire la
continuita’ del servizio;
d) misurare il livello di sicurezza del SPC, aggregando e
correlando i dati provenienti dalle componenti distribuite del
sistema di sicurezza;
e) identificare e coordinare la gestione degli incidenti di
sicurezza, in collaborazione con il CERT-SPC-C, anche al fine del
contenimento dei danni e del ripristino delle normali condizioni di
operativita’;
f) notificare alle strutture del CERT-SPC-C, secondo le
modalita’ stabilite nei documenti di cui al comma 5, lettera b), le
informazioni relative agli incidenti informatici o a criticita’
pertinenti lo svolgimento delle attivita’ di rispettiva competenza;
g) fornire periodici rapporti di riepilogo alla Commissione,
agli Organismi di attuazione e controllo per consentire lo
svolgimento delle rispettive funzioni di competenza;
h) gestire la PKI impiegata nel SPC per l’erogazione dei
servizi di sicurezza, comprensiva delle funzioni per il mutuo
riconoscimento con altre PKI eventualmente in uso in SPC e conformi
alle norme vigenti in materia di certificati digitali. Con
riferimento a tale ambito di azione, svolge, in particolare, le
seguenti funzioni:
i. Autorita’ di Registrazione (AR), consistenti
nell’acquisire le informazioni necessarie per l’identificazione del
titolare di uno o piu’ certificati, secondo gli attributi forniti e
specificati nelle regole di registrazione e certificazione
(Certification Practices Statement, CPS) stabilite dalla Commissione.
Il processo di verifica della correttezza degli attributi forniti,
anch’esso basato sulla politica (CPS) stabilita dalla Commissione,
caratterizza il livello di sicurezza garantito sul SPC dall’Autorita’
di certificazione del Gestore Tecnico della PKI SPC;
ii. Autorita’ di certificazione (CA), responsabile di attuare
i processi di certificazione, sospensione e revoca dei certificati;
iii. Gestore delle TCL (Trusted Certificate List), con il
compito di raccogliere in modo sicuro i certificati digitali da
distribuire, organizzare le opportune liste, autenticare le liste e
distribuirle all’interno del SPC.
8. Il CG SICA di cui all’art. 16, comma 5, ha il compito di
gestire la PKI impiegata per l’erogazione dei certificati digitali
necessari ai servizi di cooperazione applicativa e garantire la
gestione su base federata delle identita’ digitali di cui all’art.
22.
9. L’Unita’ locale di sicurezza di cui al comma 6 svolge i
seguenti compiti, anche avvalendosi dei fornitori qualificati:
a) garantire, anche per il tramite di un fornitore qualificato,
la realizzazione ed il mantenimento dei livelli di sicurezza previsti
per il domino di competenza;
b) garantire che la politica di sicurezza presso la propria
organizzazione sia conforme agli indirizzi e alle politiche di
sicurezza definiti dalla Commissione;
c) interagire con la struttura centrale per raccogliere,
aggregare e predisporre nel formato richiesto le informazioni
necessarie per verificare il livello di sicurezza del SPC;
d) notificare alla struttura centrale ed al CERT-SPC-C ed ai
CERT-SPC-R, secondo le modalita’ stabilite, eventuali incidenti
informatici o situazioni di criticita’ o vulnerabilita’ delle
infrastrutture SPC locali;
e) adottare le necessarie misure volte a limitare il rischio di
attacchi informatici ed eliminare eventuali vulnerabilita’ della
rete, causate dalla violazione e utilizzo illecito di sistemi o
infrastrutture della pubblica amministrazione.
10. I servizi di sicurezza applicativa, di competenza delle
Amministrazioni, consentono la gestione degli aspetti relativi alla
sicurezza nell’accesso ed erogazione di servizi applicativi su SPC,
in particolare delle funzioni di identificazione, autenticazione ed
autorizzazione degli utenti all’uso dei servizi medesimi, secondo i
criteri e le modalita’ individuate nella documentazione di cui
all’art. 13.
Art. 22.
Gestione delle identita’ digitali
1. Nell’ambito del SPC l’autorizzazione all’accesso ai servizi si
basa sul riconoscimento delle identita’ digitali delle persone
fisiche e dei sistemi informatici utilizzati per l’erogazione dei
servizi medesimi. L’autorizzazione ricade sotto la responsabilita’
dell’ente erogatore e puo’ avvalersi di meccanismi di mutuo
riconoscimento nell’ambito di sistemi federati di gestione delle
identita’ digitali, secondo criteri e modalita’ stabiliti dalla
Commissione.
2. I servizi disponibili in SPC possono operare secondo diversi
livelli di gestione delle identita’ digitali:
a) servizi che non richiedono alcuna identificazione o
autenticazione;
b) servizi che richiedono l’autenticazione in rete da parte di
un’autorita’ di autenticazione;
c) servizi che richiedono, per le persone fisiche,
l’identificazione in rete da parte di un’autorita’ di
identificazione;
d) servizi che richiedono per gli utenti, oltre
all’identificazione, l’attestazione di attributi e/o ruoli, che ne
qualifichino ulteriormente le funzioni e/o i poteri.
3. L’autenticazione in ambito SPC viene effettuata sotto la
responsabilita’ dell’ente che eroga un servizio sulla base di un
insieme di dati attribuiti in modo esclusivo ed univoco ad un
soggetto. Tale autenticazione puo’ essere effettuata anche per il
tramite di un soggetto a cio’ delegato, sulla base di un accordo di
servizio.
4. L’identificazione in ambito SPC viene effettuata sotto la
responsabilita’ dell’ente che eroga un servizio applicativo con le
modalita’ previste dall’art. 64 del Codice. Tale identificazione puo’
essere effettuata anche per il tramite di altro soggetto, sulla base
di un accordo di servizio.
5. L’attestazione di attributi o ruoli in ambito SPC viene
effettuata dal soggetto (autorita’ di attributo e ruolo); che, in
base alle norme vigenti, ha la potesta’ di attestare i medesimi al
fine di garantire gli opportuni livelli di sicurezza richiesti per
l’erogazione di un servizio, le autorita’ di attributo e ruolo sono
iscritte in un apposito registro, disponibile in rete, previa
adesione ad uno specifico accordo di servizio definito dalla
Commissione, in cui vengono descritti il livello di sicurezza e di
affidabilita’, nonche’ i protocolli standard utilizzati nell’ambito
del processo di attestazione.
6. La gestione delle infrastrutture tecnologiche necessarie per
l’attribuzione dei ruoli puo’ essere delegata dall’ente erogante il
servizio ad altra struttura iscritta nell’elenco, pur mantenendo la
responsabilita’ della correttezza, completezza e aggiornamento delle
informazioni.
7. Al fine di automatizzare ed uniformare la codifica e la
verifica dei ruoli sul territorio nazionale il Ministro per le
Riforme e l’Innovazione, sentita la Conferenza unificata di cui
all’art. 8 del decreto legislativo 28 agosto 1997, n. 281, definisce,
pubblica per via telematica e aggiorna l’Indice nazionale dei codici
dei ruoli e degli attributi, mediante l’associazione ai ruoli
medesimi di un identificativo unico alfanumerico.
Titolo V
DEFINIZIONE DELLA DOCUMENTAZIONE OPERATIVA DEI SERVIZI DEL SPC
Art. 23.
Documentazione operativa del SPC
1. La documentazione operativa del sistema pubblico di
connettivita’ comprende i seguenti documenti:
a) documentazione dei servizi di cui agli articoli 14, 15 e 16,
ovvero documenti tecnici predisposti dai fornitori qualificati del
SPC, in coerenza con le prescrizioni delle presenti regole tecniche
ed in conformita’ alle disposizioni contenute nei successivi
articoli 24 e 25;
b) documentazione di collaudo: documenti di registrazione delle
attivita’ di collaudo dei servizi di cui alla lettera a), predisposti
secondo i criteri indicati nel successivo Titolo VI.
2. In sede di prima di prima attuazione e comunque per un periodo
temporale limitato stabilito dalla Commissione, sentiti, per i
rispettivi ambiti di competenza, gli Organismi di attuazione e
controllo, e’ considerata documentazione operativa ai sensi del
comma 1, quella prevista dai contratti in essere.
Art. 24.
Documentazione dei servizi del SPC
1. Il fornitore qualificato documenta tutte le fasi del ciclo di
vita di ciascun servizio del SPC di cui agli articoli 14, 15 e 16,
tramite la documentazione di seguito indicata:
a) documenti di progettazione: documenti descrittivi
dell’architettura del sistema; specifiche del servizio (specifiche di
progettazione, specifiche di realizzazione, specifiche di controllo
qualita’, specifiche di collaudo, specifiche di erogazione del
servizio); manuali (d’installazione, utente);
b) documenti di registrazione: documenti di registrazione dello
stato di configurazione del servizio, e delle componenti
(hardware/software, documentali) necessarie per erogare il servizio;
documenti di riepilogo dei test interni eseguiti; documenti di
riepilogo dei livelli di servizio erogati; documenti di riepilogo
delle modifiche nel corso dell’esercizio e di gestione delle
anomalie.
2. Al fine di assicurare la conduzione coordinata di un progetto
relativo alla realizzazione ed erogazione di un servizio in ambito
SPC, ciascun fornitore produce i documenti di pianificazione (Piano
di progetto; Piano di qualita’; Piano dei test; Piano di gestione dei
rischi; Piano di gestione delle configurazioni) che garantiscono il
corretto ed efficace sviluppo del progetto nel rispetto dei requisiti
realizzativi, nonche’ dei tempi, dei costi e delle qualita’ previsti
negli atti esecutivi stipulati con le Amministrazioni o con gli
Organismi di attuazione e controllo.
3. I documenti di specifiche del servizio di cui al comma 1 sono
predisposti in conformita’ alle indicazioni contenute nelle norme UNI
EN ISO 9001 e UNI EN ISO 9004 nella versione in vigore. I documenti
di pianificazione di cui al comma 2, sono predisposti in conformita’
alle indicazioni contenute nelle norme UNI ISO 10006 e UNI ISO 10007,
nella versione in vigore.
4. In sede di prima di prima attuazione e comunque entro un
periodo temporale limitato stabilito dalla Commissione, sentiti, per
i rispettivi ambiti di competenza, gli Organismi di attuazione e
controllo, e’ considerata documentazione dei servizi SPC ai sensi del
presente articolo, quella prevista nei contratti in essere.
Art. 25.
Documenti di registrazione dello stato di configurazione dei servizi
del SPC
1. I fornitori qualificati predispongono e gestiscono per ciascun
servizio erogato in ambito SPC la documentazione relativa allo stato
di configurazione delle componenti dei servizi stessi al fine di
consentirne l’identificazione certa ed univoca, in tutte le fasi del
ciclo di vita, e di ottenerne la certificazione, secondo le
disposizioni previste nel Regolamento per la qualificazione dei
fornitori di cui all’art. 87 del codice.
2. Ciascun fornitore cura gli adempimenti di cui al comma 1
attraverso il proprio sistema di gestione delle configurazioni che
deve prevedere almeno gli ambienti logici di collaudo ed esercizio e
consentire:
a) di identificare univocamente ciascuna componente del
servizio, di cui si debba gestire la configurazione, individuandone:
i documenti di configurazione di base (baseline), i riferimenti di
versione ed eventuali altre informazioni (documenti di progettazione,
specifiche tecniche, strumenti che abbiano influenza sulle specifiche
tecniche; interfacce con elementi software o con l’hardware);
b) di identificare, documentare e registrare le richieste di
modifica ed i conseguenti cambiamenti, dalla fase di formulazione
sino alla fase di collaudo ed avvio all’esercizio della nuova
componente;
c) la gestione di un Registro delle configurazioni, atto a
documentare lo stato di ciascuna componente del servizio nelle
diverse versioni e nelle diverse fasi del ciclo di vita. In
particolare, il Registro delle configurazioni contiene almeno i
seguenti elementi:
i. l’elenco delle componenti e dei relativi documenti di
configurazione;
ii. la configurazione di base, costituita dal servizio
collaudato e dai relativi documenti approvati, che rappresentano la
definizione del servizio nel momento specifico;
iii. la configurazione in vigore, costituita dalla
configurazione di base e dalle modifiche approvate, realizzate e
collaudate.
Titolo VI
CERTIFICAZIONE DEI SERVIZI E QUALIFICAZIONE DELLE COMPONENTI
INFRASTRUTTURALI DEL SPC
Art. 26.
Modalita’ di certificazione
1. I servizi del SPC sono erogati da fornitori qualificati
secondo le modalita’ previste nel Regolamento per la qualificazione
dei fornitori di cui all’art. 87 del Codice. Lo stesso Regolamento
prescrive le modalita’ di certificazione dei servizi del SPC.
2. La Commissione delibera la certificazione di un servizio del
SPC, verificandone la conformita’ del modello di funzionamento ed
avvalendosi dei documenti di registrazione delle attivita’ svolte
dagli Organismi di attuazione e controllo.
Art. 27.
Certificazione dei servizi ed inizio erogazione
1. I servizi del SPC certificati secondo le modalita’ previste
nel Regolamento per la qualificazione dei fornitori sono deliberati
dalla Commissione. A tal fine la Commissione si avvale delle
istruttorie curate dagli Organismi di attuazione e controllo.
2. Le Amministrazioni che si avvalgono di servizi certificati e
presenti negli appositi elenchi, secondo quanto prescritto nel
Regolamento per la qualificazione dei fornitori, possono limitare le
attivita’ di collaudo al solo collaudo a campione.
3. Il completamento con esito positivo delle operazioni di
collaudo da parte dell’Amministrazione da’ luogo all’inizio della
fase di erogazione, nel corso della quale il servizio e’ sottoposto a
monitoraggio come indicato nel Titolo VII.
Art. 28.
Sperimentazione di nuovi servizi ed integrazione di quelli esistenti
1. Al fine di consentire l’evoluzione dell’architettura
tecnologica del SPC in funzione del mutamento delle esigenze degli
utenti e delle opportunita’ derivanti dall’evoluzione delle
tecnologie, nonche’ di individuare gli standard e le pratiche di
riferimento piu’ efficaci per garantire la connettivita’,
l’interoperabilita’ evoluta e la cooperazione applicativa in
sicurezza alle Amministrazioni aderenti al SPC, puo’ esser prevista
una fase di sperimentazione per la realizzazione di nuovi servizi,
anche di particolare complessita’, che possono coinvolgere piu’
soggetti o avere impatto sull’organizzazione di una o piu’
Amministrazioni.
2. Nella fase di sperimentazione, comunque di durata definita,
possono essere ammesse deroghe alle disposizioni indicate nelle
presenti Regole tecniche. L’oggetto e le finalita’ della
sperimentazione, i soggetti coinvolti e le deroghe necessarie
dovranno risultare da appositi documenti da sottoporre
all’approvazione della Commissione.
3. Il CNIPA e le regioni provvedono ad integrare, ciascuna per la
parte di propria competenza, le componenti del SPC realizzate, nel
rispetto delle presenti Regole tecniche. Nella prima fase di
integrazione nel SPC di servizi esistenti potranno essere ammesse
deroghe alle presenti Regole tecniche, ferme restando le disposizioni
di cui all’art. 21, commi 2 e 3.
4. Le regioni ed il CNIPA elaborano un Piano di rientro volto ad
assicurare l’allineamento alle Regole tecniche e la coerenza
operativa delle raccomandazioni e degli standard gia’ adottati. Le
deroghe di cui al precedente comma 3, concesse solo per un periodo di
tempo limitato, nonche’ i relativi Piani di rientro dovranno essere
autorizzati dalla Commissione.
Art. 29.
Qualificazione di componenti infrastrutturali per i servizi di
interoperabilita’ e cooperazione applicativa
1. Alcune componenti infrastrutturali SPCoop devono superare un
processo di simulazione di funzionamento, al fine di garantirne
l’interoperabilita’ in rete. La Commissione stabilisce quali
componenti debbano essere qualificate ed approva i criteri e le
modalita’ di qualificazione. In sede di prima applicazione, le
componenti da qualificare sono la porta di dominio ed i servizi di
registro SICA federati di livello secondario.
2. Il processo di qualificazione della porta di dominio prevede
la verifica dell’interoperabilita’ tra le porte di dominio, il
rispetto dei requisiti funzionali previsti per le stesse, come
definiti nella documentazione tecnica di cui all’art. 13, comma 3 ed
il rilascio del certificato digitale, associato alla porta
qualificata, attraverso il servizio di certificazione di cui all’art.
15, comma 4, lettera e).
3. Le Amministrazioni sottopongono a processo di qualificazione
la propria porta di dominio, superato positivamente il quale,
l’identificativo della porta qualificata ed il relativo indirizzo
sono pubblicati attraverso il servizio di registro SICA.
4. Le Amministrazioni che intendano utilizzare una tipologia di
porta di dominio gia’ qualificata, possono richiederne, anche per il
tramite degli Organismi di attuazione e controllo, la pubblicazione
direttamente attraverso il servizio di registro SICA.
5. Il processo di qualificazione del servizio di registro SICA
federato di livello secondario prevede la verifica
dell’interoperabilita’ con il servizio di registro SICA di livello
generale, il rispetto dei requisiti funzionali previsti al fine di
garantire la corretta sincronizzazione e coerenza delle informazioni
pubblicate, come definiti nella documentazione tecnica di cui
all’art. 13, comma 3 ed il rilascio del certificato digitale,
attraverso il servizio di certificazione di cui all’art. 15, comma 4
lettera e), associato al servizio di registro SICA federato di
livello secondario.
6. Il supporto tecnico ai processi di qualificazione e’ fornito
nell’ambito dei servizi SICA di livello generale.
7. Gli Organismi di attuazione e controllo su delega della
Commissione dichiarano superati i processi di qualificazione, nel
rispetto delle regole e procedure ed aggiornano periodicamente la
Commissione circa lo stato dei processi di qualificazione.
8. La Commissione definisce i servizi infrastrutturali per la
cooperazione applicativa e l’accesso che i fornitori qualificati,
oltre che le Amministrazioni, possono sottoporre a certificazione da
parte degli Organismi di attuazione e controllo.
Titolo VII
MONITORAGGIO DEI SERVIZI DEL SPC
Art. 30.
Monitoraggio e misurazione della qualita’ dei servizi
1. Al fine di consentire lo sviluppo del SPC secondo un disegno
unitario, pur con le eventuali differenziazioni derivanti dalle
specificita’ delle situazioni esistenti presso le Amministrazioni, il
CNIPA, attraverso le infrastrutture condivise, assicura, nel rispetto
degli indirizzi forniti dalla Commissione, che siano svolte funzioni
di monitoraggio e di misurazione, volte a verificare che i servizi
SPC siano erogati sul territorio con livelli omogenei di prestazioni
e rispettando i requisiti minimi di qualita’ e sicurezza.
2. I parametri per la misurazione della qualita’ dei servizi
saranno proposti dal CNIPA, sentiti gli altri Organismi di attuazione
e controllo per i rispettivi ambiti di competenze, alla Commissione
per la preventiva approvazione e dovranno essere successivamente
notificati ai soggetti sottoposti a monitoraggio.
3. Il CNIPA, per lo svolgimento delle funzioni sopra indicate, si
avvale dei sistemi di monitoraggio facenti parte delle infrastrutture
condivise. Gli altri Organismi di attuazione e controllo, per gli
ambiti di propria competenza, effettuano la misurazione dei livelli
di qualita’, comunicandone gli esiti al CNIPA per il monitoraggio
delle prestazioni e della qualita’ complessiva e, ai sensi dell’art.
79, comma 2, lettera g), del Codice, alla Commissione.
4. Le Amministrazioni dovranno prevedere nei bandi di gara
relativi ai servizi SPC l’obbligo per i fornitori di rendere
possibile ai soggetti che effettuano il monitoraggio e la misurazione
le valutazioni dei servizi in base ai parametri di cui al comma 2.
5. Ai fini del miglioramento continuo della qualita’ dei servizi
resi alle Amministrazioni, gli Organismi di attuazione e controllo e
le Amministrazioni medesime, possono richiedere al CG SPC ovvero ad
altro soggetto, il monitoraggio di ulteriori requisiti di qualita’
dei servizi. Gli Organismi di attuazione e controllo e le
Amministrazioni, con riferimento agli atti contrattuali stipulati e
sulla base delle presenti regole tecniche, eseguono le misure volte a
valutare i livelli di qualita’ erogata ed intraprendono le eventuali
opportune azioni correttive, comunicandole alla Commissione.
6. Per le finalita’ sopra indicate, sono sottoposti a
monitoraggio i seguenti soggetti:
a) i fornitori qualificati e le Community Network;
b) i soggetti che gestiscono specifiche componenti delle
infrastrutture condivise o erogano servizi centralizzati, condivisi
sul territorio nazionale;
c) ogni altro soggetto definito dalla Commissione, che eroga
servizi o svolge funzioni per il conseguimento delle finalita’ del
SPC.
7. L’attivita’ di monitoraggio, volta a verificare la qualita’
dei servizi forniti e dei metodi di misura utilizzati dai soggetti di
cui al comma 5, prevede:
a) misurazioni indirette, consistenti nella raccolta ed
elaborazione periodica di dati di riepilogo dei livelli di servizio
erogati in esecuzione degli atti contrattuali, registrati attraverso
gli opportuni strumenti utilizzati dai soggetti sottoposti a
monitoraggio;
b) misurazioni dirette, aventi in oggetto i servizi erogati dai
soggetti sottoposti a monitoraggio, anche al fine di consentire la
vigilanza sui fornitori qualificati da parte degli Organismi di
attuazione e controllo, secondo quanto previsto nel Regolamento per
la qualificazione dei fornitori.
8. La Commissione, ai fini di cui all’art. 79, comma 2,
lettera g), del Codice, verifica i risultati dell’attivita’ di
misurazione della qualita’ dei servizi SPC, anche mediante verifiche
a campione, avvalendosi degli Organismi di attuazione e controllo,
per i rispettivi ambiti di competenza.
9. Le misure, anche di tipo sanzionatorio, derivanti dal mancato
rispetto da parte dei fornitori qualificati dei requisiti di qualita’
e di sicurezza del SPC, come rilevato in sede di monitoraggio, sono
individuate dal Regolamento per la qualificazione dei fornitori.
Art. 31.
Registrazione e conservazione delle informazioni di riepilogo sui
servizi
1. Gli Organismi di attuazione e controllo, secondo gli indirizzi
della Commissione, assicurano la registrazione e conservazione delle
informazioni di riepilogo sui servizi erogati in ambito SPC. Dette
informazioni, in particolare, hanno lo scopo di:
a) documentare lo stato di autorizzazione dei vari soggetti ad
operare come fornitori qualificati SPC, indicando per ciascun
fornitore i servizi certificati erogabili, i livelli di qualita’ ed i
prezzi di riferimento, nonche’ le eventuali misure adottate ai sensi
dell’art. 30, comma 6;
b) documentare i servizi attivati da ciascun fornitore presso
ogni Amministrazione con i relativi livelli di qualita’, al fine di
consentire analisi comparative e di consistenza dei servizi SPC;
c) conservare dati storici sull’utilizzo e sulla qualita’ dei
servizi in ambito SPC, per consentire la valorizzazione di indicatori
di tipo tendenziale, temporale e territoriale, necessari per
programmare l’evoluzione del SPC nel tempo;
d) conservare ogni altra informazione tecnica o organizzativa
necessaria ad espletare le funzioni di vigilanza per la tenuta degli
elenchi dei fornitori qualificati e dei servizi certificati, secondo
quanto previsto dal Regolamento per la qualificazione dei fornitori e
dalla normativa di riferimento.
Art. 32.
Distribuzione e pubblicazione delle informazioni di riepilogo sui
servizi
1. Gli Organismi di attuazione e controllo, secondo gli indirizzi
della Commissione, assicurano che le informazioni di riepilogo sui
servizi siano distribuite e rese accessibili, anche in via
telematica, con adeguati e differenziati livelli di accesso, alla
stessa Commissione, alle Amministrazioni e ad ogni altro soggetto che
operi in ambito SPC.
Titolo VIII
GESTIONE DELLE MODIFICHE
Art. 33.
Pianificazione delle modifiche
1. L’attivita’ di gestione delle modifiche (change management)
riguarda la pianificazione, l’esecuzione e la verifica dei
cambiamenti di configurazione di un servizio nella fase di esercizio.
Le modifiche di configurazione possono derivare:
a) dalle attivita’ di monitoraggio dei servizi. In tale caso
sono volte a rimuovere malfunzionamenti riscontrati in fase di
esercizio, o a rimuovere differenze rilevate tra l’effettivo
funzionamento del servizio ed i risultati attesi anche in termini di
qualita’, ovvero a migliorare la qualita’ del servizio rispetto alle
specifiche di riferimento;
b) dall’evoluzione tecnologica o dal mutare del quadro
normativo di riferimento, secondo gli indirizzi della Commissione e
le specifiche emesse dagli Organismi di attuazione e controllo in
accordo con quanto specificato al Titolo V.
2. Le modifiche di configurazione ad un servizio in fase di
esercizio seguono l’iter di approvazione dei documenti di
progettazione del servizio stesso e risultano generalmente in un
documento di pianificazione predisposto dal fornitore, nel quale sono
evidenziati, in particolare:
a) tipologia di modifica (migliorativa, preventiva, adattativa
ad un nuovo ambiente, ecc.);
b) campo di applicazione, ovvero ampiezza della modifica,
elementi del sistema da modificare, tempi e costi previsti;
c) criticita’, intesa come impatto sul funzionamento del
sistema, sulle prestazioni e sulla sicurezza.
3. La procedura di cui al comma 2 non si applica ai casi di
modifiche di tipo «correttivo», ovvero che seguono una modalita’ di
esecuzione di tipo continuativo e non sono pianificabili a priori.
4. Sono, altresi’, previste e garantite procedure di ripristino
della configurazione pre-esistente.
Art. 34.
Esecuzione delle modifiche
1. Il corretto funzionamento della nuova configurazione del
servizio e’ preventivamente valutato e convalidato mediante collaudo.
Il successivo passaggio in esercizio, salvo casi specifici, e’
concordato con l’Amministrazione interessata.
2. Le attivita’ di change management sono eseguite nei tempi e
nei modi concordati con gli Organismi di attuazione e controllo e, in
ogni caso, minimizzando l’impatto sull’erogazione del servizio.
3. L’esecuzione della modifica e’ svolta secondo procedure e
metodi pianificati e standard. In caso di malfunzionamento e’
ripristinata la configurazione pre-esistente.
4. I cambiamenti di configurazione sono registrati e documentati
secondo quanto indicato all’art. 23.
Titolo IX
DISPOSIZIONI FINALI
Art. 35.
Disposizioni finali
1. Le presenti regole tecniche sono soggette a revisione
periodica, secondo gli indirizzi forniti dalla Commissione.
2. In sede di prima di prima attuazione, ai fini della
realizzazione del SPC in conformita’ alle presenti Regole tecniche,
e’ considerata documentazione tecnica di riferimento, ai sensi
dell’art. 13, quella di seguito elencata e gia’ pubblicata dal CNIPA
per via telematica:
a) Sistema pubblico di connettivita’ – Scenario introduttivo;
b) Sistema pubblico di connettivita’ – Architettura del SPC;
c) Sistema pubblico di connettivita’ – Qualita’ e prestazione
dei servizi SPC;
d) Sistema pubblico di connettivita’ – Migrazione;
e) Sistema pubblico di connettivita’ – Architettura del QXN;
f) Sistema pubblico di connettivita’ – Centro di Gestione SPC;
g) Sistema pubblico di connettivita’ – Community Networks;
h) Sistema pubblico di connettivita’ – Organizzazione della
sicurezza;
i) Sistema pubblico di connettivita’ – Servizi di sicurezza;
j) Sistema pubblico di connettivita’ – SVPN (VPN basate su
IPSec;
k) Sistema pubblico di connettivita’ – Architettura di
sicurezza;
l) Sistema pubblico di cooperazione – Quadro tecnico d’insieme;
m) Sistema pubblico di cooperazione – Busta di e-gov;
n) Sistema pubblico di cooperazione – Porta di dominio;
o) Sistema pubblico di cooperazione – Accordo di servizio;
p) Sistema pubblico di cooperazione – Servizi di registro;
q) Sistema pubblico di cooperazione – Servizi di sicurezza;
r) Sistema pubblico di cooperazione – Convenzioni di
nomenclatura e semantica;
s) Sistema pubblico di cooperazione – Esercizio e gestione
