SPID - RAO Pubblico

  • Tipologia: SaaS
  • ID Scheda: SA-1561
  • Stato corrente: QUALIFICATA
  • Categoria: Servizi per la fiscalità, Comunicazioni a cittadini e imprese, Servizi interni alle PA
  • Azienda fornitrice: Innonation S.r.l.
  • Referente commerciale:
  • Data di qualificazione: 15-06-2021 15:12

Descrizione generale del servizio

La Pubblica Amministrazione può identificare i cittadini che richiedono SPID e semplificare la procedura di rilascio delle credenziali presso i Gestori di Identità accreditati. Il servizio può essere offerto da tutti gli enti pubblici ed è estremamente semplice, in quanto richiede la compilazione della scheda anagrafica del cittadino. L’identificazione da parte degli incaricati dalla Pubblica Amministrazione avviene attraverso la verifica dei documenti previsti per il rilascio di SPID. Diventare un RAO Pubblico permetterà di: 1) Incrementare la diffusione delle identità SPID. 2) Favorire l’utilizzo dei servizi online della Pubblica Amministrazione. 3) Facilitare la richiesta per chi non è confidente con le nuove tecnologie.

Caratteristiche funzionali del servizio

  • Identificazione dei Cittadini che richiedono SPID
  • Formazione agli incaricati dalla Pubblica Amministrazione
  • Supporto tecnico attraverso Service Desk dedicato

Benefici offerti dal servizio

  • Incrementare la diffusione delle identità SPID
  • Favorire l’utilizzo dei servizi online della Pubblica Amministrazione (Comuni, Aziende Sanitarie, Enti Locali, Istruzione)
  • Facilitare la richiesta per chi non è confidente con le nuove tecnologie

Piattaforma Cloud attraverso la quale è erogato il servizio

Openshift

Cloud Deployment Model

Public Cloud

Specificare altra rete pubblica

  • Rete SPC (Servizio Pubblico di Connettività)

Infrastruttura Cloud su cui è basato il servizio

  • Infrastruttura di un fornitore terzo qualificato come CSP
    • Netalia S.r.l.

Sono richiesti prerequisiti?

I prerequisiti riguardano altri servizi Cloud?

Servizi Cloud richiesti come prerequisiti NON qualificati nel marketplace?

  • Certificato rilasciato all'ente da AGID

Esistono dipendenze?

No

Eventuali standard e certificazioni

Linee Guida AGID per la realizzazione di un modello di R.A.O. pubblico

Canali disponibili per il supporto tecnico

  • E-mail: Disponibile
  • Ore supporto: Lunedì - Venerdì / 09:00-18:00
  • Telefono: Disponibile
  • Ore supporto: Lunedì - Venerdì / 09:00-18:00
  • Sistema di on-line ticketing: Disponibile
  • Ore supporto: Lunedì - Venerdì / 09:00-18:00
  • Web chat: Non Disponibile
  • Assistenza on-site: Non Disponibile
  • Assistenza remota: Disponibile
  • Ore supporto: Lunedì - Venerdì / 09:00-18:00
  • Eventuale altro canale (specificare): Non disponibile

Tempi di attivazione e disattivazione del servizio

  • Tempo di attivazione: 1 giorno
  • Tempo di disattivazione: 1 giorno

Modalità e processo di attivazione

Per diventare un soggetto abilitato a RAO Pubblico è necessario presentare una istanza all’Agenzia per l’Italia Digitale (AgID). È infatti compito di AgID riconoscere ad una Pubblica Amministrazione il ruolo di RAO avviando il procedimento, rilasciando il certificato di sigillo elettronico e pubblicando nel Registro ufficiale i riferimenti dell’Ente accreditato.

Modalità e processo di disattivazione

Invio email a supporto@innonation.it

Estrazione dei dati a seguito di disattivazione

Consegna Audit Log delle identificazioni

Dati esportabili

  • Formato dei dati esportabili: csv
  • Dati derivati (configurazioni, template, log, ecc.): Audit log delle identificazioni

Formati in cui è possibile estrarre i dati

csv

Estrazione e formati di altri asset (in seguito a disattivazione)

Nessuna

Indicare quali delle seguenti modalità di fruizione del servizio sono supportate

  • Web Browser

Specificare i browser supportati

  • Explorer (11)
  • Firefox (89.0)
  • Chrome (91.0)
  • Safari (14)
  • Opera (74.0)

Documentazione tecnica

L’applicazione è stata sviluppata secondo un approccio modulare e organizzata in componenti; ogni componente rappresenta un aspetto dell’applicativo ed interagiscono tra loro per il corretto funzionamento dello stesso. Per la realizzazione del progetto è stato utilizzato Django, un web framework all’interno del quale il linguaggio utilizzato per tutto ciò che riguarda il lato funzionale/logico è Python (ed in parte JavaScript), mentre utilizza HTML per la rappresentazione grafica delle varie pagine. All’interno del progetto RAO sono compiute gran parte delle operazioni della piattaforma. Inizialmente si procede con il setup dell’applicativo, attraverso l’inserimento di dati come il codice IPA, la configurazione SMTP o la mail dell’utente ADMIN; l’Admin attiva la propria utenza, procede con l’upload del certificato e pu  procedere con la creazione degli operatori del proprio RAO. Gli operatori attivano i propri account e possono quindi procedere con la creazione di una o pi  richieste di identificazione. Alle azioni appena citate sono collegate delle operazioni secondarie come il caricamento dei dati sul database, l’invio delle mail, la generazione di pdf, l’aggiornamento del certificato. Alcune delle operazioni precedentemente descritte necessitano del supporto del Sistema di Firma: esso, infatti, si occupa di verificare la correttezza di alcune operazioni come l’attivazione degli account (  necessario inserire un pin temporaneo da cambiare al primo accesso), cambiare il certificato con cui vengono firmati i token, aggiungere operatori o creare richieste di identificazione (in questi casi richiesto un pin di conferma e solo se la relativa chiamata API restituisce uno statusCode == 200 sarà possibile proseguire con l’operazione).

Formati in cui è disponibile la documentazione tecnica (Selezionare una o più voci dall'elenco)

  • Disponibile e navigabile su Web (https://drive.google.com/file/d/1aDYEkgxdGlhD5ctmNDHETE_78I0-e_KY/view?usp=sharing)
  • Disponibile in formato/i consultabile/i offline (PDF)

Elenco delle lingue in cui è disponibile la documentazione

  • Italiano

API di tipo REST/SOAP disponibili per il servizio

  • E' disponibile l'endpoint REST (http://demo.mydigitalpa.it/agency/api/)
  • Sono presenti meccanismi di autenticazione per le API (E' presente il meccanismo di autenticazione alle api, inserendo username e password viene generato un token jwt di sessione per l'operatore che andrà poi inserito sulle api sotto forma di token di Autenticazione. E' possibile reperire ulteriori dettagli dalla documentazione su swagger. es. di operatore presente sul rao di test: username = RSSMRA80A01C351O; password = Ciao123! PIN operatore = 124578)
  • Viene fornita la documentazione delle API in formato Web (https://app.swaggerhub.com/apis-docs/Innonation6/RAO_API/1.0.0)
  • E' presente un ambiente di test delle API (http://demo.mydigitalpa.it/agency/api/)

Funzionalità invocabili tramite API e funzionalità che non sono accessibili via API

Invocabili: Autenticazione, Identificazione, Estrapolazione log di identificazione; Non invocabili: creazione operatori; attivazioni account operatori; cambio password; recupero password; disattivazione utente; reset pin; aggiornamento sigillo elettronico (certificato); modifica configurazione smtp; dashboard.

Specificare le piattaforme abilitanti supportate dal servizio

  • SPID

Elenco di procedure per garantire la reversibilità del servizio SaaS.

  • Reversibilità del servizio R.A.O. Pubblico

Scalabilità del servizio

  • E' prevista la scalabilità del servizio:
  • La scalabilità del servizio è di tipo automatico:

Modalità e condizioni previste per la scalabilità del servizio

Automatica

Nel caso in cui sia prevista la scalabilità automatica del servizio SaaS, indicare le condizioni ed i tempi di attivazione delle risorse aggiuntive che vengono attivate per sopportare i maggiori carichi

Automatica

Livelli di servizio relativi alla scalabilità automatica

Nome indicatore Valore obiettivo Unità di misura
Indicatore 1 Disponibilità del Servizio 99,97% uptime

Strumenti di monitoraggio delle risorse a consumo associate al servizio, dei costi e della qualità del servizio

La piattaforma IaaS del fornitore mette a disposizione strumenti di monitoraggio relativamente alla qualità del servizio. Per quanto riguarda i costi, l'offerta prevede un canone annuale fisso.

Metriche e statistiche disponibili

uptime

Report disponibili

uptime

Livelli di servizio garantiti da dichiarare obbligatoriamente

  • Availability (in percentuale): 99,97
  • Maximum First Support Response Time (in minuti): 1 ora

Monitoraggio dello stato del servizio e notifiche

  • E' disponibile il monitoraggio in tempo reale dello stato del servizio?:
  • Sono disponibili delle notifiche via SMS/email per gli eventi di indisponibilità del servizio?:

Controllo dell'Acquirente sulla gestione dei dati

  • L'Acquirente ha la possibilità di scegliere la localizzazione dei siti in cui verranno memorizzati e processati i dati?: No
  • L'Acquirente ha a disposizione procedure per la cancellazione permanente dei dati?:

Meccanismi di autenticazione degli utenti supportati

SPID Liv. 2

Possibilità di configurazione/customizzazione dei meccanismi di autenticazione

  • Descrizione: Autenticazione proprietaria o tramite SPID

Disponibilità di autenticazione a 2 fattori

Politiche di accesso alle informazioni in audit

  • In tempo reale:
  • Differenziata tra utilizzatori e fornitore: No
  • Tempo minimo di conservazione delle informazioni di audit: 1 anno
  • Tempo massimo di conservazione delle informazioni di audit: 1 anno
  • Tempo minimo di conservazione dei log di servizio: 1 anno
  • Tempo massimo di conservazione dei log di servizio: 1 anno

Elementi che concorrono alla determinazione del prezzo (parametri)

Nome parametro Unità di misura Quantità minima
Parametro 1 Bacino di Utenza utenti 5.000

Prezzo base del servizio

  • Prezzo base in euro (in euro): 1500/anno
  • Eventuale costo di attivazione (in euro): 1000

Altre condizioni

Listino Canone Annuale - € 1.500,00 per comuni o pubbliche amministrazioni con un bacino fino a 5.000 utenze - € 2.500,00 per comuni o pubbliche amministrazioni con bacino da 5.000 fino a 25.000 utenze - € 5.000,00 per comuni o pubbliche amministrazioni con più di 25.000 utenze.

Esecuzione dei test OWASP

  • Le componenti che costituiscono il servizio SaaS sono state sottoposte ai test OWASP prima della loro immissione in produzione e successivamente su base periodica?:
  • Relativamente all'ultima esecuzione dei testi di cui alla "OWASP Testing Guide v.4" le componenti del servizio SaaS sono risultate esenti da vulnerabilità:

Tempistiche per la presa in carico e gestione delle segnalazioni

1 ora

Localizzazione dei data center

Localizzazione (anche parziale) all'interno del territorio italiano

Terms & Conditions

  • Dichiaro che non è occorso altro evento che abbia modificato il rispetto dei requisiti di cui all'allegato "A" alla presente circolare.