menu di navigazione del network

Ereditarietà certificazioni e analisi rischi IaaS -> PaaS -> SaaS


(Dalmaso) #1

Buon giorno,
da anni forniamo servizi (SaaS) alla PA mediante infrastruttura privata.
Secondo la nuova normativa, per restare sul mercato, abbiamo bisogno di certificare i nostri servizi SaaS ma non solo, abbiamo bisogno di appoggiarli ad un impianto IaaS / PaaS certificato.
La domanda che vorrei porre è la seguente:
la procedura per certificare i servizi SaaS è analoga sia che si scelga un fornitore IaaS certificato (ad esempio fornendo una macchina virtuale da inserire nel cloud del fornitore) sia che si scelga un fornitore PaaS (ad esempio mediante applicazione dockerizzata o fornendo addirittura l’applicazione web da installare sul server del fornitore certificato)?
Grazie per l’attenzione e buon lavoro a tutti.


(Bago) #2

Visto che qui nessuno ti ha risposto, ti chiedo se sei riuscito ad avere risposte in altro modo. Avrei anche io gli stessi quesiti.


(Dalmaso) #3

No, nessuna risposta.
LA questione diventa oltretutto più complessa, oltre all’eridatarietà della certificazione, come ci si comporta con l’analisi dei rischi? L’analisi dei rischi relativa ai compiti IaaS e PaaS posso considerarla a carico del fornitore, se questo è certificato, oppure devo attuare delle pratiche di protezione ulteriore (come la cifratura dei filesystem) come se mi appoggiassi ad un fornitore qualunque?
Qual è il livello di fiducia che mi garantisce il scegliere un fornitore certificato AgID?