AgID | Percorsi di Qualificazione dei Fornitori della Pubblica Amministrazione di Servizi Cloud
La strategia Cloud della PA nasce per favorire l’adozione del modello del cloud computing nelle pubbliche amministrazioni italiane, in linea con le indicazioni della Strategia per la Crescita digitale del Paese e con le previsioni del Piano Triennale per l’Informatica nella Pubblica Amministrazione.
La strategia cloud delineata da AgID prevede un percorso di qualificazione per i soggetti pubblici e privati che intendono fornire servizi cloud alla Pubblica amministrazione, affinché queste ultime possano acquisire servizi di cloud computing omogenei, che rispettino elevati standard di sicurezza, efficienza ed affidabilità.
Il percorso è in linea con le previsioni delle circolari AgID n.2 dedicata alla qualificazione dei servizi di Cloud Service Provider CSP e n. 3 relativa ai servizi Software as a Service SaaS, entrambe del 9 aprile 2018.
AgID ha definito le caratteristiche organizzative, di sicurezza, di performance e scalabilità, interoperabilità, portabilità e conformità legislativa a cui dovranno uniformarsi tutti i fornitori che intendono offrire servizi cloud alla PA.
Gli obiettivi del modello Cloud della PA
Il modello Cloud della PA qualifica servizi e infrastrutture cloud secondo specifici parametri di sicurezza e affidabilità idonei per le esigenze della PA, rispettando i seguenti principi:
-
miglioramento dei livelli di servizio, accessibilità, usabilità e sicurezza;
-
interoperabilità dei servizi nell’ambito del modello Cloud della PA;
-
riduzione del rischio di «vendor lock-in»;
-
riqualificazione dell’offerta, ampliamento e diversificazione del mercato dei fornitori;
-
resilienza, scalabilità, «reversibilità» e protezione dei dati;
-
apertura del mercato alle Piccole e Medie Imprese (PMI).
L’obbligo per le PA di acquisire solo servizi qualificati
Secondo quanto definito dalle Circolari AgID n.2 e n.3 del 2018 che regolano la qualificazione dei servizi cloud, dal 1 aprile 2019 la Pubblica amministrazione potrà acquisire solo servizi cloud qualificati e pubblicati sul Catalogo dei servizi Cloud qualificati per la PA (Cloud marketplace AgID).
Le procedure di qualificazione dei servizi
Secondo quanto definito dalle Circolari AgID che regolano la qualificazione dei servizi cloud, il fornitore ha la possibilità di scegliere 2 procedure di qualificazione:
1. LA QUALIFICAZIONE CSP
Cloud Service Provider o CSP
I Cloud service provider (CSP) qualificati da AgID possono erogare servizi di tipo Public Cloud alle amministrazioni. Le qualificazioni AgID assicurano che le infrastrutture e i servizi dei CSP siano sviluppati e operati secondo criteri di affidabilità e sicurezza considerati necessari per i servizi digitali della PA.
La procedura di qualificazione delle infrastrutture dei CSP pone particolare attenzione ai seguenti aspetti:
-
la gestione dei processi per la qualità (ISO 9001);
-
la gestione della sicurezza estesa a tutti gli ambiti che riguardano l’infrastruttura dei servizi cloud (ISO/IEC 27001 estesa ai controlli ISO/IEC 27017 e ISO/IEC 27018);
-
la gestione delle configurazioni e dei cambiamenti (change management);
-
la gestione degli incidenti e il recovery dell’infrastruttura in seguito ad eventi critici;
Per assicurare che tutti questi problemi vengano gestiti correttamente, la qualificazione richiede che vengano adottate dal fornitore tutte le buone pratiche previste dai più importanti e diffusi standard del settore (es. ISO/IEC 27002).
2. LA QUALIFICAZIONE SAAS
AgID ha delineato un percorso di qualificazione per i fornitori Software as a service (Saas) della PA, affinché le pubbliche amministrazioni possano adottare servizi Cloud omogenei e di qualità.
Le qualificazioni assicurano che i servizi SaaS per il Cloud della PA siano sviluppati e forniti secondo criteri di affidabilità e sicurezza considerati necessari per i servizi digitali pubblici.
Il fornitore SaaS deve aver conseguito la qualificazione CSP per la propria infrastruttura Cloud.
In alternativa, il fornitore SaaS può scegliere di erogare i propri servizi tramite un’infrastruttura Cloud già qualificata come CSP appartenente ad un soggetto terzo. Il fornitore è tenuto a dichiarare formalmente attraverso quale dei CSP qualificati i propri servizi SaaS verranno erogati.
Tra i requisiti richiesti ai fornitori:
-
la sicurezza applicativa
-
la disponibilità di un adeguato supporto tecnico per il cliente
-
la trasparenza e la disponibilità di informazioni dettagliate e aggiornate sulle modalità di erogazione del servizio e di esportazione dei dati
-
la disponibilità di incident report, statistiche e strumenti di monitoraggio
-
un insieme minimo di livelli di servizio garantiti obbligatori
-
la protezione dei dati e la portabilità in tutte le fasi di avanzamento della fornitura
-
l’interoperabilità mediante opportune API
-
l’esportabilità dei propri dati in un formato interoperabile verso un’altra piattaforma, per ridurre il rischio di dipendenza esclusiva della PA dal fornitore (lock in)
Sei o vuoi diventare un fornitore di servizi cloud della pubblica amministrazione italiana?
Pianifica 30 minuti di call gratuita per valutare miglior percorso di qualificazione sulla base dei tuoi obiettivi aziendali.