IT
Big Cover - 2020-08-25T181432.313 (1)
IDEAS

Cloud Service Provider e Pubblica Amministrazione. Come ottenere la certificazione AgID

La cloud transformation rivoluziona il modo di erogare i servizi della PA

Share:

La trasformazione digitale della Pubblica Amministrazione è un tema di grande attualità.
Negli ultimi anni, le istituzioni italiane hanno regolato quest’ambito attraverso svariati interventi, come il “Piano Triennale per l’Informatica nella Pubblica Amministrazione 2019 – 2021” dell’Agenzia per l’Italia Digitale. Tale documento stabilisce uno dei principi alla base della strategia della trasformazione digitale della Pubblica Amministrazione, ovvero il “cloud first”: dal 1° aprile 2019 le pubbliche amministrazioni le quali intendano definire nuovi progetti devono obbligatoriamente preferire l’adozione di soluzioni cloud a qualsiasi altra tecnologia.

La possibilità di usufruire da remoto di risorse software e hardware offerte da un cloud provider comporta numerosi vantaggi in termini di affidabilità dei sistemi, qualità dei servizi erogati, risparmi di spesa - con la possibilità di pagare soltanto gli effettivi consumi (pay-per-use).

L’adozione del cloud rappresenta la chiave della trasformazione digitale, permettendo una rivoluzione del modo di erogare i servizi della PA.

Nei prossimi anni, possiamo ragionevolmente aspettarci che fornitori di servizi non-cloud vedranno assottigliare sempre di più la propria fetta di mercato nella PA, mentre i Cloud Service Provider (CSP) potranno beneficiare di un’interessante opportunità di business – sempre che essi intendano garantire il rispetto degli standard di sicurezza definiti da AGID e ottenere la qualificazione necessaria allo svolgimento di tale attività all’interno delle PA.

Il cloud computing

Il cloud computing è un modello per consentire l’accesso da qualunque luogo, pratico e on demand ad un pool condiviso di risorse di elaborazione configurabili (ad es. reti, server, storage, applicazioni e servizi) che possono essere rapidamente fornite e rilasciate con il minimo sforzo di gestione e/o interazione con i service provider. [Definizione data dal National Institute of Standards and Technology (NIST)]

I servizi erogabili tramite l’architettura cloud sono di tre tipi: IaaS (Infrastructure as a Service), PaaS (Platform as a Service), e SaaS (Software as a Service).

IAAS - Infrastructure as a Service. Con un servizio di questo tipo viene messa a disposizione dell’utente una infrastruttura hardware, mentre le applicazioni e la piattaforma da installare sono definite e gestite direttamente dagli utenti che, eventualmente, possono anche gestire in modo limitato, alcuni componenti di rete (esempio firewall).
PAAS - Platform as a Service. Viene messa a disposizione una interfaccia di programmazione tramite la quale gli utenti possono sviluppare applicazioni create in proprio oppure acquisite da terzi, utilizzando linguaggi di programmazione, librerie, servizi e strumenti supportati dal fornitore. Il consumatore non gestisce né controlla l’infrastruttura cloud sottostante, compresi rete, server, sistemi operativi, memoria, ma ha il controllo sulle applicazioni ed eventualmente sulle configurazioni dell’ambiente che le ospita.
SAAS - Software as a Service. Con il quale viene messa a disposizione un servizio fully-managed in cui il gestore del servizio (CSP) si occupa della predisposizione, configurazione, messa in esercizio e manutenzione dello stesso (utilizzando un’infrastruttura cloud propria o di terzi), lasciando al fruitore del servizio il solo ruolo di utilizzatore delle funzionalità offerte.

Cosa cambia per i fornitori della PA?

Il “Piano Triennale per l’Informatica nella Pubblica Amministrazione 2019–2021” stabilisce che le pubbliche amministrazioni le quali vogliano realizzare un nuovo progetto o di sviluppare un nuovo servizio, devono preferire l’adozione del paradigma Cloud a qualsiasi altra tecnologia.

Oltre a ciò, è stabilito che a partire dal 1° aprile 2019, ogni fornitore di servizi Cloud della PA debba essere un fornitore di infrastrutture e servizi qualificati, cioè un fornitore in grado di garantire i requisiti di sicurezza richiesti da AGID.

A partire da questa data, quindi, le PA possono acquisire esclusivamente servizi IaaS, PaaS, SaaS qualificati dall'Agenzia e pubblicati sul Cloud Marketplace.

Si precisa che per i Fornitori Cloud di contratti già in essere alla data del 1° aprile 2019, tale qualificazione non è richiesta – ma in mancanza di essa non si potrà procedere a stipulare ulteriori contratti di fornitura di servizi cloud con la PA.

I criteri per la qualificazione delle infrastrutture e dei servizi Cloud erogabili alle amministrazioni pubbliche sono stabiliti da due circolari AgID:

  • La Circolare n. 2/2018 stabilisce i criteri per la qualificazione dei servizi cloud Iaas e Paas
  • La Circolare n. 3/2018 stabilisce i criteri per la qualificazione di servizi cloud SaaS.

Requisiti per la qualificazione

Le Circolari AgID stabiliscono due tipi di requisiti da rispettare ai fini della qualificazione: requisiti organizzativi e requisiti specifici.

1. Requisiti organizzativi

Si tratta di una serie di requisiti organizzativi “di alto livello” ed esperienziali.

Ad esempio, il Fornitore Cloud deve provare di:

  • essere in grado di gestire "situazioni critiche" (es. disaster recovery), di effettuare test sull’integrità dei dati e l’eventuale recupero egli stessi;
  • disporre di un adeguato sistema di gestione di qualità applicato all’erogazione dei servizi offerti;
  • disporre un servizio di supporto clienti disponibile h24x7;
  • aver formalizzato e adottato specifici processi e procedure in tema di change management, configuration management, gestione degli incidenti;
  • garantire trasparenza nei rapporti contrattuali.

2. Requisiti specifici

I requisiti specifici riguardano le seguenti tematiche:

  • Requisiti di sicurezza, privacy e protezione dati   
    Il Fornitore Cloud essere in possesso della certificazione secondo lo standard ISO/IEC 27001 (sistema di gestione per la sicurezza delle informazioni) estesa con i controlli degli standard ISO/IEC 27017 (controlli per i servizi cloud) e ISO/IEC 27018 (linee guida per la protezione dei dati personali in cloud).
    La certificazione deve essere stata rilasciata da organismi di Certificazione accreditati. 
  • Requisiti di performance e scalabilità      
    Il Fornitore Cloud è tenuto a dichiarare la qualità offerta e l’affidabilità del servizio durante tutto il suo ciclo di vita.     
  • Requisiti di interoperabilità e portabilità   
    I servizi qualificati devono consentire l’interoperabilità con altri servizi dello stesso tipo, mediante l'utilizzo di standard aperti e opportune Application Programming Interface (API).          
    Il Cloud Service Provider deve consentire alla PA di poter migrare le proprie applicazioni verso un altro fornitore, in maniera sicura e garantendo la possibilità di estrarre ed eliminare i propri dati in qualsiasi momento.
  • Requisiti di conformità legislativa    
    Il Cloud Service Provider deve mettere a disposizione della PA le informazioni e gli strumenti necessari a consentire il rispetto della normativa europea e italiana nell'ambito dell'utilizzo dei servizi e dell'infrastruttura qualificata. È posto un particolare accento sulla normativa in materia di protezione dei dati personali.   

Un Cloud Service Provider quindi, per poter qualificare i propri servizi e contrattare con la PA, dovrà mettere in atto una serie di attività, le quali richiedono un alto grado di specializzazione (sistemi di gestione, soluzioni tecnologiche e competenze legali e di compliance).

Il percorso di qualificazione AgID

Il Team Advisory di Lutech accompagna i Cloud Service Provider nel percorso di qualificazione consentendo di ottimizzare l’impegno e di canalizzare le competenze necessarie ottenendo la qualificazione AgID in poco tempo.
I professionisti Lutech vantano un’esperienza pluriennale nei vari ambiti di intervento necessari a ottenere la certificazione. Si tratta di persone appartenenti a team multidisciplinari, i quali dispongono del background necessario a garantire il miglior supporto possibile ai Fornitori Cloud che vogliano ottenere la qualificazione AgID come CSP per la PA.  

Alcune delle attività necessarie al fine di ottenere la qualificazione AgID sono:

  • Gestione dei processi per la qualità (ISO 9001);
  • Gestione della sicurezza estesa a tutti gli ambiti che riguardano l’infrastruttura dei servizi cloud (certificazione ISO/IEC 27001 estesa ai controlli ISO/IEC 27017 e ISO/IEC 27018);
  • Gestione delle configurazioni e dei cambiamenti (change management);
  • Gestione degli incidenti e recovery dell’infrastruttura in seguito ad eventi critici;
  • Gestione degli aspetti di compliance normativa.

Il tempo necessario all’ottenimento della qualificazione è strettamente legato all’ottenimento delle certificazioni sopra riportate e alla realizzazione del servizio oggetto di qualifica.

Per fare un esempio, allo scopo di verificare lo stato di conformità degli ambienti predisposti dai CSP per l’erogazione dei servizi dedicati alla PA, lo staff Advisory di Lutech esegue le seguenti attività:

1. Assessment & Gap Analysis

È la fase in cui sono raccolte tutte le informazioni relative all’organizzazione, ai processi e all’infrastruttura tecnologica del fornitore Cloud.  

Viene effettuata una verifica puntuale dei livelli di maturità rispetto ai requisiti necessari alla qualificazione AgID.

2. Remediation Plan

È la fase in cui sono definite quelle azioni che permetteranno al fornitore Cloud di raggiungere i livelli di conformità richiesti dalla qualificazione - tenendo conto della situazione rilevata durante l’Assessment e delle specifiche esigenze dell’organizzazione.

Le attività di analisi, di valutazione dello stato attuale di maturità e la predisposizione dei piani di remediation sono effettuate mediante uno strumento proprietario elaborato da Lutech.

Tale strumento permette di effettuare un confronto tra lo stato attuale di conformità, denominato AS-IS, con quello auspicato e in linea con i requisiti AgID, identificato con TO-BE.

I risultati relativi ai 13 requisiti organizzativi e ai 13 requisiti specifici, sono forniti sulla base della presenza, assenza o parzialità dei requisiti AgID previsti e raccolti durante le attività di assessment.

3. Design & Build

In questa fase sono progettate nel dettaglio e implementate tutte le soluzioni organizzative e procedurali richieste dal remediation plan che consentiranno di ottenere la certificazione AgID.

4. Qualification & Optimization

Nell’ultima fase viene fornita assistenza al CSP nell’ottenimento della qualificazione, che verrà rilasciata a seguito di specifici audit e verifiche dei requisiti richiesti dalle circolari. Possono essere svolti inoltre servizi di supporto continuativo e di ottimizzazione dei processi IT, di governance e compliance in linea con le esigenze della PA contraente.

Contatta il team Advisory di Lutech e ottieni la certificazione AgID

Ti invitiamo a prendere visione dell' informativa marketing.

Inserire un valore
Inserire un valore
Inserire un'email valida
Inserire un numero di telefono valido
Inserire un valore
Inserire un valore
Inserire un valore

Cliccando sul pulsante “Conferma” dichiaro di aver letto e compreso l'informativa marketing

Acconsento a ricevere comunicazioni commerciali e promozionali relative a servizi e prodotti nonché messaggi informativi relativi alle attività di marketing, così come esplicitato nella suddetta Informativa

Per favore, seleziona la casella.

Si è verificato un errore, si prega di riprovare più tardi

Grazie per il tuo interesse


Abbiamo ricevuto la tua richiesta di contatto, ti contatteremo a breve per approfondire le tue esigenze di business.
 

Case history

Gli operatori della Pubblica Amministrazione possono gestire direttamente, in modalità web-based, budget, ordini di acquisto e consegne di prodotto

ideas

Vision & Trends sulla Digital Transformation