Buongiorno,
abbiamo avviato a livello di ente un progetto per la messa in produzione di un api gateway per connettere i nostri gestionali con la PDND in maniera controllata.
Trattandosi di una nuova realizzazione e non di una migrazione, stiamo progettando di utilizzare un cluster kubernetes ai fini dell’implementazione in cloud dell’architettura software.
Avendo avviato interlocuzioni con aziende differenti (hyperscaler e non) tra le proposte ricevute mi è arrivata quella di ospitare la soluzione presso un cloud provider non certificato ACN ma comunque “referenziato” a livello di certificazioni (DigitalOcean), specificandomi che la region di destinazione sarebbe Francoforte.
Secondo voi, se questa dovesse essere l’offerta migliore (sono ancora in attesa delle altre), potrei affidare il servizio o sono obbligato ad utilizzare un cloud certificato ACN con region in Italia?
Ciao @schierichetti , l’obbligo per gli enti pubblici di avvalersi di fornitori qualificati sul catalogo ACN è contenuto nella Strategia Cloud, e ribadito anche dall’ultimo Piano Triennale per l’Informatica di AGID.
Non credo quindi sia opportuno affidare un nuovo servizio ad un fornitore non qualificato (diverso discorso se il servizio ce l’avevi già in piedi).
Ciao @Rut_Bastoni,
Grazie al tuo spunto di riflessione ho avuto modo di leggere in maniera analitica i documenti da te citati.
Se ho compreso bene, tutto si potrebbe riassumere utilizzando la linea di azione CAP6.PA.04:
Le PA continuano ad applicare il principio cloud first e ad acquisire servizi cloud solo se qualificati
Esattamente, ‘continuano’ perché era una linea di azione già presente nel precedente piano 2022-2024 (CAP1.PA.LA02), è stato cambiato il codice alfanumerico, ma l’adempimento rimane il medesimo
Salve, una PA può acquistare solo servizi cloud qualificati su Catalogo ACN. L’obbligo della region in Italia è solo per i servizi STRATEGICI. La region in Italia è raccomandata per i servizi CRITICI, ma per quelli ORDINARI va bene una region all’interno della Comunità Europea. Attenzione però che se si stanno utilizzando fondi PNRR, va soddisfatto anche il requisito DNSH (Do Not Significant Harm) e non tutti i data center West Europe, soprattutto i più datati, lo soddisfano
Chiedo da non esperto in materia. Nella scelta dei provider si ricade nel 70% di capacita’ di aziende extracomunitarie dai fatturati e profitti gigateschi oppure e’ preferibile - o richiesto - puntare su fornitori nazionali/ UE, anche nel caso questi non possano offrire il minimum bid?
Il principio di sovranità si applica solo ai servizi strategici: in quel caso è prescrittivo utilizzare fornitori nazionali (e sta a loro fare accordi con fornitori terzi extra UE per gestire parti di servizio che inficino la sicurezza nazionale).
Per i servizi critici e ordinari dovrebbe prevalere sempre il principio di sostenibilità che, in contesti di gare pubbliche, può effettivamente avvantaggiare i fornitori globali americani che possono far leva su economie di scala più grandi, anche per data center siti in Italia/UE. Va però sottolineato che in diversi contesti territoriali si può ricorrere a convenzioni con fornitori pubblici qualificati ACN che possono risultare più sostenibili alle singole PA, specie le più piccole.
@Leonardo_Beltri Grazie per la precisazione.
A me preoccupa questo (vedi immagine). Tra l’altro riguardo l’Europa tolta SAP un terzo delle piattaforme rimanenti, quelle di veri servizi, e’ russa (Yandex in testa). Poi c’e’ Spotify e il resto sono gestori di portapizze a domicilio. Scusate: flexible, on-request jobs. Stesso sfruttamento, ma suona meglio.
Buongiorno a tutti,
cerco di dare il mio piccolo contributo al topic.
Come PA mi sono posto il dubbio su come armonizzare 3 “elementi”:
il tipo di “servizio” (critico, strategico, ordinario)
il tipo di “informazione” trattata dal servizio (personale, sanitario, giudiziario insomma la categoria “particolari”);
l’appartenenza dell’informazione, ossia “l’archivio” e la titolarità di quella informazione.
il tipo di servizio, in qualità di “comune” è ovviamente di tipo “ordinario”, quindi avrei potuto metterlo in un servizio all’interno dello spazio SEE
le informazioni personali comprendono sicuramente quelle di tipo sensibile, quindi sanitario, giudiziario ecc. ecc., e quindi meritevoli della massima tutela e di misure di sicurezza “adeguate”
gli archivi dei comuni mi risulta siano demaniali, ed all’uopo avevo reperito un parere negativo in ordine al trasferimento di sistemi informativi pubblici su cloud di fornitori aventi i propri data center al di fuori del territorio italiano. Per chi volesse darci un’occhiata, è un documento del Ministero della cultura - direzione generale archivi - Servizio II - Patrimonio archivistico del 01/07/2021 - protocollo 10693.
Ora, sapendo che a volte si chiude la stalla dopo che i buoi sono fuggiti, ho sempre inteso interpretare le disposizioni nella maniera piu’ restrittiva, armonizzando dove possibile ma scegliendo quella che fornisse il massimo livello di tutela, magari a fronte di complessità maggiori, od elasticità minori.
Pur concordando sul fatto che soluzioni “private” rilasciate dai maggiori CSP risultino perfettamente funzionali allo scopo (ci vuole comunque una buona competenza per valutare le opzioni piu’ indicate per la propria realtà), personalmente ho preferito puntare ad una gestione “pubblica” della soluzione: prima sono passato con SPC-CLOUD Lotto 1, ed ora sto migrando verso il Polo Strategico Nazionale (che tra l’altro offre comunque soluzioni con gli strumenti dei maggiori CSP, ma gestiti dai servizi PSN, quindi tecnicamente se a qualcuno piace la soluzione Azure…potrebbe ottenerla anche all’interno dell’infrastruttura pubblica, all’interno del recito di protezione della stessa).
Non è comunque una passeggiata, ed apre qualche controversia dal punto di vista dei partner che forniscono i software gestionali…ma mi è sembrata la direzione migliore da percorrere.
Scusate se sono stato prolisso.
Corrado
