Requisits a tenir presents a l’hora de valorar un producte SaaS:
1. Requisits de seguretat de la informació
- Certificacions de seguretat del producte adquirit (ENS, ISO/IEC 27001)
- Xifratge en trànsit (TLS 1.2 o superior) i en repòs (exemple AES-256)
- Gestió d’accessos:
- GICAR (SAML2)
- MFA per a administradors
- Control d’accessos i principi de privilegi mínim
- Monitoratge i auditoria:
- Registres de seguretat
- Informes d’auditoria
- Integració de la monitorització i l’auditoria amb serveis transversals Gencat
2. Requisits de protecció de dades (RGPD/GDPR)
- Ubicació del tractament dins de la Unió Europea
- Compliment amb RGPD / LOPD
- Acord de tractament de dades (DPA) amb clàusules específiques
3. Requisits de nivell de servei (SLA)
- Disponibilitat mínima (ex. 99,9%) amb compensacions
- Matriu d’escalats de peticions i incidències
- Nivell de servei de suport tècnic (exemple 24x7)
- Actualitzacions programades i coordinació amb Gestió de Canvis
- Garantia de rendiment i escalabilitat
4. Requisits de portabilitat i reversibilitat
- Exportació de dades en formats oberts (CSV, JSON, XML)
- Procediment clar de sortida del servei
- Absència de lligams tècnics o comercials (vendor lock-in)
5. Contracte i clàusules específiques
- Clàusules de confidencialitat i protecció de dades
- SLAs
- Declaració i autorització de subcontractació
6. Altres
- Possibilitat de realitzar proves i auditories per part del CTTI o l’Agència de Ciberseguretat
- Possibilitat de personalització de la plataforma
- Detall de les eines de seguretat implementades
- Disposar de servei de gestió de la seguretat (SOC)
Data d'actualització:
05-06-2025