menu di navigazione del network

IaaS o SaaS per Comuni, sottocaso dei Vigili

Buon giorno.

All’interno del nostro comune stiamo cercando di capire che cosa portare in IaaS e cosa in SaaS.
Gestiamo un data center di medie dimensioni, SAN e virtualizzazione, per circa un centinaio tra server fisici e virtuali. Abbiamo visto che lo stato fa certificazione di forniture IaaS e SaaS.
La nostra strategia di base, nell’attesa di conoscere i costi, sarebbe di utilizzare IaaS per i servizi più interacciati, SaaS per quelli ad accoppiamento lasco. Dentro IaaS andrebbero pari pari le nostre macchine virtuali ( confidando nella compatibilità tra i virtualizzatori ) con i sistemi e i servizi lì installati ( molti dei quali sono open source, mentre alcuni sono di fornitori). Praticamente l’hardware virtuale attuale del data center comunale sarebbe in prima battuta replicato nel cloud certificato dallo stato. La prima domanda è

  • anche il software non open dei fornitori di applicazioni ( client server o web ) disposto internamente ai server virtuali/reali in IaaS è soggetto alla necessità di qualifica SaaS ?
  • anche il software realizzato dal Comune è soggetto a qualche qualifica ?
  • anche tutto ciò che è Open Source o nel Riuso è soggetto a qualche qualifica ?

La seconda domanda è correlata all’esistenza de facto di uffici che per motivi di sicurezza, efficienza, per prosperità economica, per l’assenza di un servizio centrale o per altro hanno teso, tendono, possono o vorrebbero essere indipendenti dal Data Center comunale, pur condividendone molti servizi ( al punto che una separazione netta non è possibile ).

  • anche per loro e anche se se la fornitura avvenisse in locale, vale la regola che il fornitore deve essere accreditato SaaS ?

Un saluto a tutti. Grazie in anticipo.
Ezio

1 Like

Buongiorno Ezio,
a prescindere dalle migrazioni onsite vs Cloud o viceversa, l’Agid nonché il Garante adottano linee con approcci diversi in merito alla Sicurezza dei dati…" Tuttavia, è bene evidenziare come l’adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche che se ne avvalgono per la gestione del proprio patrimonio informativo dalle responsabilità che vengono loro attribuite, in particolare, dalla disciplina in materia di protezione dei dati personali." Leggiti https://www.garanteprivacy.it/documents/10160/10704/1819933. Me ne sono occupato per alcune PA e le condizioni del Garante sono ben più restrittive di Agid. Non fare riferimento alla Direttiva 95/46/CE è abrogata a decorrere da 25 maggio 2018, art 94 GDPR.
Fai ricerca “LINEE GUIDA PER IL DISASTER RECOVERY DELLE PUBBLICHE AMMINISTRAZIONI” al link https://www.agid.gov.it/sites/default/files/repository_files/linee_guida/linee-guida-dr.pdf, vi é una cheklist dettagliata.
In brevità segui sempre per qualunque “subject-object"l’indicazione " Privacy by design” e non sbagli…processo lunghino, ma va fatto. Molta attenzione alla B.C. e D.R. per le penali da pattuire col Provider o chicchessia.
Cordilamente
Gianni