Requisits SaaS

Requisits a tenir presents a l’hora de valorar un producte SaaS:

1. Requisits de seguretat de la informació

• Certificacions de seguretat del producte adquirit (ENS, ISO/IEC 27001)
• Xifratge en trànsit (TLS 1.2 o superior) i en repòs (exemple AES-256)
• Gestió d’accessos:
  • GICAR (SAML2)
  • MFA per a administradors
  • Control d’accessos i principi de privilegi mínim
• Monitoratge i auditoria:
  • Registres de seguretat
  • Informes d’auditoria
• Integració de la monitorització i l’auditoria amb serveis transversals Gencat

2. Requisits de protecció de dades (RGPD/GDPR)

• Ubicació del tractament dins de la Unió Europea
• Compliment amb RGPD / LOPD
• Acord de tractament de dades (DPA) amb clàusules específiques

3. Requisits de nivell de servei (SLA)

• Disponibilitat mínima (ex. 99,9%) amb compensacions
• Matriu d’escalats de peticions i incidències
• Nivell de servei de suport tècnic (exemple 24x7)
• Actualitzacions programades i coordinació amb Gestió de Canvis
• Garantia de rendiment i escalabilitat

4. Requisits de portabilitat i reversibilitat

• Exportació de dades en formats oberts (CSV, JSON, XML)
• Procediment clar de sortida del servei
• Absència de lligams tècnics o comercials (vendor lock-in)

5. Contracte i clàusules específiques

• Clàusules de confidencialitat i protecció de dades
• SLAs
• Declaració i autorització de subcontractació

6. Altres

• Possibilitat de realitzar proves i auditories per part del CTTI o l’Agència de Ciberseguretat
• Possibilitat de personalització de la plataforma
• Detall de les eines de seguretat implementades
• Disposar de servei de gestió de la seguretat (SOC)