Circolare sulla Qualificazione dei Cloud Service Provider

Buongiorno
riportiamo in questa sede alcuni considerazioni sulla circolare di cui in oggetto.

CONSIDERAZIONI GENERALI

Notiamo che alcuni passaggi della circolare sembrano inquadrare più che altro modelli di “application hosting” piuttosto che modelli cloud in senso stretto. Ad esempio, i requisiti di accesso e controllo alle componenti dell’infrastruttura non appaiono congruenti al modello cloud pubblico comunemente inteso; chiediamo se sia possibile rivederli al fine di tenere in considerazione le caratteristiche di tutti i modelli.
Inoltre si segnala che – con riferimento ai diversi modelli - dovrebbe essere considerata con attenzione la necessità che il fornitore si possa avvalere di servizi cloud di terze parti nell’ambito di rapporti contrattuali che non si configurino quale subbappalto.

Complessità del processo di qualificazione: suggeriamo di valutare una semplificazione complessiva dei processi, procedure e requisiti ed in generale rileviamo che andrebbe semplificata la dichiarazione e la gestione delle operazioni da parte deI fornitori.

Il tema della localizzazione dei data center dovrebbe essere considerato in base alle regole vigenti nell’Unione Europea.

Sul tema del procurement delle soluzioni SaaS, IaaS e PaaS auspichiamo che ci possa essere un tavolo di confronto che coinvolga i principali fornitori di soluzioni per analizzare, insieme ad Agid e Consip, i possibili modelli da implementare, con la finalità di evitare di mettere a punto iniziative che non abbiano adeguata rispondenza rispetto ai servizi presenti sul mercato ed erogati da operatori economici privati.

Il cloud, essendo un servizio, prevede una pianificazione di utilizzo e può comportare anche la necessità di “andare in continuità” su un servizio esistente. Nel mettere a punto gli strumenti di procurement potrebbe essere opportuno adottare un modello basato sulla stipula di convenzioni con un significativo numero di Cloud Service Provider, in modo da consentire alle diverse PA di scegliere il fornitore più adatto alle proprie esigenze di servizio. Il modello adottato in UK potrebbe rappresentare un esempio efficace.

I servizi cloud si arricchiscono ed evolvono con grande rapidità. E’ quindi importante definire un modello di qualificazione flessibile e compatibile con tale peculiarità. In tal senso preoccupa l’eventualità che si possano mettere in atto procedure che – con la finalità di uniformare le modalità operative, di procurement, di comunicazione, di supporto e di aderenza agli SLA tra i vari operatori CSP e SAAS – per loro non tengano conto delle peculiarità dei diversi modelli presenti sul mercato. Sarebbe quindi auspicabile lasciare la più ampia flessibilità ai fornitori nella gestione delle proprie piattaforme, inclusi i rapporti con partner terzi nell’erogazione dei servizi ai vari livelli e quindi nella definizione dei relativi profili contrattuali e delle correlate responsabilità, fatte salve ovviamente le norme inderogabili di legge.

Andando in dettaglio su alcuni passaggi della circolare si segnala (in minuscolo il testo della circolare, in maiuscolo il nostro commento):

PAG 43 3.1.6.1 Fase 1 - Richiesta di qualificazione
Il soggetto richiedente dovrà altresì dichiarare che si impegna ad accettare nei contratti con le Amministrazioni clienti
la clausola di risoluzione anticipata in caso di revoca della qualificazione da parte di AgID ed a sottoporsi a qualsiasi
verifica che l’Agenzia potrà disporre a garanzia del rispetto degli impegni assunti e del mantenimento dei requisiti e dei criteri di ammissibilità richiesti.
CON RIFERIMENTO AL TEMA DELLA REVOCA DELLA QUALIFICAZIONE SI RICHIEDE DI VALUTARE IN MANIERA APPROFONDITA GLI IMPATTI SUI CONTRATTI - ANCHE IN RELAZIONE AI DIVERSI MODELLI DI PROCUREMENT CHE VERRANNO MESSI A PUNTO - AL FINE DI SALVAGUARDARE LA CONTINUTA’ OPERATIVA E CONTRATTUALE.

PAG 44 3.1.6.3 Fase 3 – Mantenimento della qualificazione (Monitoraggio)
Al fine del mantenimento della qualifica, pertanto, il soggetto richiedente si impegna a comunicare tempestivamente
all’Agenzia ogni evento che modifichi il rispetto dei requisiti di cui all’allegato “A” alla presente Circolare.
SI TIENE A PRECISARE CHE IL RISPETTO DEI REQUISITI RICHIESTI SONO DIPENDENTI DA MOLTEPLICI VARIABILI INSITE SIA NEI PRODOTTI CHE NELLE MODALITA’ DI EROGAZIONE E DI FRUIZIONE DEI SERVIZI. I SERVIZI CLOUD SONO PER LORO NATURA OGGETTO DI CONTINUI AGGIORNAMENTI E ARRICCHIMENTO DI NUOVI SOTTOSERVIZI, IL CHE RENDEREBBE MOLTO DIFFICOLTOSO, SE NON IMPOSSIBILE, IL DOVER TEMPESTIVAMENTE COMUNICARE OGNI EVENTO CHE MODIFICHI IL RISPETTO DEI REQUISITI.

PAG 48 3.2.4 Requisiti preliminari
COMMENTO 1)
IL MODELLO CLOUD PREVEDE CHE LE RESPONSABILITA’ DI CONTINUITA’ DI SERVIZIO NON SONO IMPUTABILI ESCLUSIVAMENTE AL CSP MA DIPENDONO ALTRESI’ DAL CLIENTE FINALE, CHE DEVE OPPORTUNAMENTE INGEGNERIZZARE LE PROPRIE SOLUZIONI PER SODDISFARE I PROPRI REQUISITI DI RESILIENZA. PERTANTO, ALCUNE DELLE DICHIARAZIONI RICHIESTE AL FORNITORE CLOUD PREVISTE NEL PARAGRAFO NON SONO APPLICABILI.

COMMENTO 2)
SOVENTE I SERVIZI CLOUD SONO IN REALTA’ COMPOSTI DI SOTTOSERVIZI CHE VENGONO AGGIORNATI E AGGIUNTI CON UNA FREQUENZA MOLTO ALTA. DOVER QUALIFICARE OGNI SINGOLO SOTTOSERVIZIO, AD OGNI RILASCIO O MODIFICA, RENDEREBBE IL LAVORO DI QUALIFICAZIONE TROPPO ONEROSO PER NON DIRE INSOSTENIBILE. SI CHIEDE SE SIA POSSIBILE SNELLIRE TALE PROCESSO ED IN GENERALE DI CONFINARLO SOLO ALLE GRANDI FAMIGLIE DI SERVIZI CLOUD E NON AI SOTTOSERVIZI.

PAG 50 SCHEDA RO5
“Il Fornitore Cloud deve garantire una comunicazione puntuale all’Acquirente dei cambiamenti e delle migliorie introdotti in seguito ad aggiornamenti apportati alle modalità di funzionamento e fruizione dei servizi Cloud erogati.”
SI SEGNALA CHE LA MODALITA’ DI COMUNICAZIONE AI CLIENTI VIENE MOLTO SPESSO INDIRIZZATA TRAMITE LA PUBBLICAZIONE DI AGGIORNAMENTI SUL SITO DEL FORNITORE, SENZA CHE VENGA PREVISTA UNA MODALITA’ PUSH DELL’INFORMAZIONE. SI CHIEDE DI AMMETTERE COME VALIDO ANCHE QUESTO TIPO DI COMUNICAZIONE.

PAG 52 3.2.6.2 Performance
I livelli di servizio sono definiti dagli indicatori del livello di servizio (SLI), ovvero delle metriche che quantificanoe/o qualificano alcune grandezze specifiche del servizio. Si definiscono invece obiettivi del livello di servizio (SLO) i valori (o intervalli) massimi e/o minimi degli indicatori (SLI) che si intendono come garantiti dal servizio.
SI SEGNALA CHE GLI SLA GARANTITI DAI FORNITORI PRESENTI SUL MERCATO NON SEMPRE SONO DEFINITI SECONDO LA LOGICA DEGLI INDICATORI DEL LIVELLO DI SERVIZIO (SLI) E DEGLI OBIETTIVI DEL LIVELLO DI SERVIZIO (SLO). IN ALCUNI CASI GLI SLA SONO DECLINATI SECONDO LOGICHE DIFFERENTI: SI CHIEDE COME SI DOVREBBE PROCEDERE ALLA QUALIFICAZIONE DEI SERVIZI IN TALI CASI.

PAG 58 3.2.7 Appendice 1 - Impegni contrattuali
Con riferimento ai punti
a) CL11 RPE – Tempi di risposta del servizio che non subiscono fluttuazioni eccessive al variare del numero di utenti e del carico di lavoro
b) CL12 RPS7 – Capacità di processamento del servizio che non subisce fluttuazioni eccessive al variare del numero di utenti e del carico di lavoro
c) RPS8 – Capacità di processamento del servizio che non subisce fluttuazioni eccessive al variare del numero di tenant attivi (nel caso di configurazione multi-tenant)
SI CHIEDE IN GENERALE DI CHIARIRE COSA SI INTENDE PER “FLUTTUAZIONI ECCESSIVE” E DI PRECISARE QUALE SIA IL PARAMETRO/CRITERIO DI CONFRONTO.

Grazie
Guido Siniscalco
Microsoft