Processo Qualificazione Cloud SaaS

Salve a tutti,
lavoro per una software house che dovrebbe certificare il proprio Cloud per poter offrire il servizio ai clienti. Vorrei chiedere qual è l’iter da seguire (Cosa compilare, Dove trovare i file,…) per una corretta certificazione del Cloud.
Grazie mille in anticipo e Cordiali saluti.

ciao

comincia qui:
https://catalogocloud.agid.gov.it/

tieni presente che dal 18.01.2023 il riferimento sarà il regolamento cloud

Andrea

Buongiorno @Andrea_Tironi1, il Regolamento Cloud di ACN (articolo 8) dava dodici mesi di tempo a partire dal 15/12/2022 per adeguare i servizi cloud; la domanda quindi è se dal 16/12/2023 tutti i servizi cloud devono essere conformi al Regolamento a prescindere da eventuali istanze di qualificazione…

ACN dovrebbe pubblicare per fine anno una proroga e dei chiarimenti.
Vediamo.

Il processo di qualificazione di un servizio cloud basato su SaaS (Software as a Service) è un insieme di attività volte a verificare che il servizio soddisfi i requisiti di qualità e affidabilità richiesti dall’organizzazione che intende utilizzarlo.

Di seguito sono riportate alcune delle attività che potrebbero essere incluse in un processo di qualificazione di un servizio cloud SaaS:

1. Analisi dei requisiti: in questa fase si raccolgono e si analizzano i requisiti dell’organizzazione per il servizio cloud SaaS, ad esempio in termini di funzionalità, prestazioni, sicurezza e affidabilità.
2. Valutazione dei fornitori: in questa fase si valutano i diversi fornitori di servizi cloud SaaS disponibili sul mercato e si seleziona quello che meglio soddisfa i requisiti dell’organizzazione.
3. Testing del servizio: in questa fase si eseguono test di vario genere (ad esempio test di carico, test di integrazione, test di sicurezza) per verificare che il servizio cloud SaaS soddisfi i requisiti stabiliti.
4. Valutazione del contratto: in questa fase si valuta il contratto di servizio proposto dal fornitore e si verifica che soddisfi i requisiti dell’organizzazione in termini di livelli di servizio, termini di pagamento e clausole di risoluzione dei problemi.
5. Implementazione del servizio: una volta completato il processo di qualificazione, il servizio cloud SaaS può essere implementato nell’ambiente dell’organizzazione.

Il processo di qualificazione di un servizio cloud SaaS è importante per garantire che il servizio soddisfi i requisiti dell’organizzazione e che il suo utilizzo sia sicuro e affidabile.

Ausitn Joy for azure cloud consultants

Buonasera; il comunicato di ACN alla fine è arrivato, ma io non ho ancora capito se per un fornitore SaaS che tratta dati ordinari il regolamento è in vigore e, di conseguenza, se si devono implementare tutti i requisiti definiti al suo interno.

Fino al 18.01.2024 se sei ordinario non hai problemi. Ad Agosto diranno come e perchè cambieranno le cose. Almeno questo sembra emerga dalla comunicazione.

Noi trattiamo dati ordinari, ma non ho capito se non avremo problemi come dici tu; in realtà non ho ancora capito se si applica il regolamento e quindi devono essere implementati i meccanismi di protezione dei dati con crittografia (PR-DS-1 - I dati memorizzati sono protetti.); la comunicazione non chiarisce questo aspetto che impatta molto anche sui dati ordinari. Dobbiamo implementare la crittografia?
Riporto il requisito:

1. Sono definite, anche in relazione alla categoria ID.AM, almeno:
   a. le politiche di sicurezza adottate per la memorizzazione e la protezione dei dati;
   b. i processi, le metodologie e le tecnologie impiegate che concorrono al rispetto delle politiche di sicurezza.
2. Con riferimento alle infrastrutture impiegate per l’erogazione del servizio cloud al trattamento dei dati e dei servizi dell’Amministrazione, fermo restando quanto previstodall’allegato B al Regolamento, requisito SC-SI-PR.DS-1-01 (I dati delle pubbliche amministrazioni, ivi incluse quelli deputati alla sicurezza (quali, a titolo esemplificativo, i sistemi di controllo degli accessi), sono trattati mediante infrastrutture localizzate sul territorio dell’Unione europea. Nelle citate infrastrutture sono ricomprese quelle deputate alle funzioni di business continuity e di disaster recovery, anche se esternalizzate (ad esempio tramite cloud computing), salvo motivate e documentate ragioni di natura normativa o tecnica.), qualora sussistano motivate e documentate limitazioni di carattere tecnico, eventuali metadati necessari per l’erogazione del servizio cloud possono essere trattati mediante l’impiego di infrastrutture fisiche e tecnologiche localizzate al di fuori del territorio dell’Unione europea. In tal caso, i citati metadati non possono contenere, anche in parte, i dati dell’Amministrazione.
3. Con riferimento all’accesso ai dati da parte di entità extra-UE, il soggetto:
   segnala all’Agenzia per la Cybersicurezza Nazionale (ACN) e all’Amministrazione ogni richiesta di accesso a dati o metadati da parte di entità extra-UE;
   4. fornisce accesso a dati dell’Amministrazione o metadati ad entità extra-UE solo a valle di un’autorizzazione esplicita da parte dell’Amministrazione.
   a. Il soggetto garantisce autonomia all’Amministrazione nella gestione delle proprie chiavi crittografiche e, in particolare:
   b. Esiste un documento aggiornato di dettaglio inerente alle procedure di crittografia, alla cifratura e alla gestione delle chiavi, le quali dovranno essere aggiornate almeno su base annuale, e recante un’indicazione puntutale di ruoli e responsabilità.
   c. E’ prevista una verifica periodica di sistemi, politiche e processi di crittografia e gestione delle chiavi in risposta all’aumento dell’esposizione al rischio, valutato mediante audit da eseguire con cadenza almeno annuale o dopo qualsiasi evento di sicurezza.
   d. E’ prevista la generazione di chiavi crittografiche mediante l’utilizzo di librerie crittografiche, con un’indicazione in merito all’algoritmo e al generatore di numeri casuali utilizzati.
   e. E’ prevista la generazione di chiavi crittografiche segrete e private per uno scopo unico.
   Sono previsti meccanismi di rotazione delle chiavi crittografiche secondo il periodo di validità delle stesse, tenendo conto di possibili rischi e requisiti normativi e legali.
   5. Sono presenti processi, procedure e misure tecniche per revocare e rimuovere le chiavi crittografiche prima della fine del loro periodo di validità, quando una chiave è compromessa, o un’entità non fa più parte dell’organizzazione, conformemente a requisiti legali e normativi.
   6. Sono definiti e implementati processi, procedure e misure per la creazione, disattivazione di chiavi al momento della scadenza, eventuali sospensioni e meccanismi di gestione per le chiavi d’accesso a repository.

Mi sa che può risponderti solo ACN.
Comunque penso che anche chi gestisce dati ordinari passerà sotto il controllo di ACN.

Il processo di qualificazione dei servizi cloud diventa di competenza dell’Agenzia per la Cybersicurezza Nazionale (ACN) dal 19 gennaio 2023.

ACN ha previsto un regime transitorio fino al 31 luglio 2023, durante il quale ACN potrà, nell’ambito del processo di vigilanza, revocare la qualifica al venir meno dei requisiti.

Per avviare una nuova qualificazione in regime transitorio le aziende possono comunicare ad ACN, via PEC (acn@pec.acn.gov.it). In caso di verifica positiva, la qualificazione transitoria sarà valida un anno.

Il regime ordinario partirà il 1° agosto 2023 con pubblicazione del nuovo regolamento, che prevede controlli per le qualifiche più elevate di sicurezza. Le istanze verranno inviate attraverso una piattaforma Web.

I dati e i servizi digitali delle pubbliche amministrazioni sono classificati, sulla base della loro caratterizzazione, nelle seguenti tre classi:

1. “strategici”, se la loro compromissione può determinare un pregiudizio alla sicurezza nazionale;
2. “critici”, se la loro compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
3. “ordinari”, qualora la loro compromissione non determini i pregiudizi di cui alle lettere a) e b).

ACN ha definito quattro tipologie di qualificazione dei servizi cloud, qui elencati dalla meno stringente a quella più stringente:

1. livello 1 (QC1), consente di trattare dati e servizi “ordinari”;
2. livello 2 (QC2), consente di trattare dati e servizi “ordinari” e “critici”;
3. livello 3 (QC3), consente di trattare dati e servizi “critici” e “strategici”;
4. livello 4 (QC4), consente di trattare dati e servizi “critici” e “strategici”.

Fino al 18 gennaio 2024, i fornitori già qualificati potranno beneficiare del livello di qualificazione corrispondente al trattamento di dati e ai servizi di natura “ordinaria” (livello 1 - QC1).

I fornitori che trattano dati e servizi “critici” o “strategici” avranno una deroga per il trattamento fino al 30 aprile 2023 ed entro quella data dovranno dichiarare tale fornitura ad ACN.

Rispetto alla qualificazione AgID (Circ. 3 del 09/04/2018), il percorso di qualificazione con ACN (Determina n. 29 del 01/01/2023) è molto più complesso, lungo e oneroso, per il semplice fatto che hanno innalzato i livelli minimi di qualità, sicurezza e affidabilità; per citarne alcuni che riguardano la qualificazione di livello 1 (QC1 - dati ordinari), viene richiesto:

• adottare formalmente il sistema di Gestione dei servizi IT in conformità allo standard ISO/IEC 20000-1:2018;
• il servizio di supporto e assistenza deve essere fornito tutti i giorni dell’anno a qualsiasi orario (24/7/365) e deve essere accessibile almeno tramite recapito telefonico e posta elettronica;
• il servizio di supporto e assistenza deve prevedere inoltre un sistema di risoluzione dei problemi (troubleshooting), garantendone anche l’esposizione tramite API;
• aumentato l’indicatore Disponibilità; percentuale di tempo in un mese in cui il servizio cloud risulta essere accessibile e usabile (valore minimo 99,0%);
• fissato nuovo indicatore Attività di supporto: l’orario in cui il servizio di supporto tecnico è operativo per emergenze (valore minimo 24x7);
• fissato nuovo indicatore Attività di supporto: tempo massimo che intercorre tra la segnalazione di un evento critico e la risposta iniziale (valore minimo <= 1 h);
• fissato nuovo indicatore Minor Release: intervallo di tempo massimo di preavviso per dare comunicazione al cliente di Minor Release (valore minimo 3 giorni);
• fissato nuovo indicatore Major Release: intervallo di tempo massimo di preavviso per dare comunicazione al cliente di Major Release (valore minimo 1 mese);
• fissato nuovo indicatore Backup: numero minimo di test di restore in un anno (valore minimo 1).

Considerazione personale:
Richiedere ad un fornitore di Servizi SaaS - che tratta solo dati dati e servizi digitali classificati come ORDINARI - tutte le misure previste dall’allegato B della determinazione AgID nr. 628/2021 e B2 e C della determinazione ACN n. 307/2022, mi sembra eccessivo per la natura dei dati e dei servizi digitali trattati e temo un aumento di costi per i fornitori e di conseguenza un notevole aumento dei prezzi dei servizi alla PA; senza una reale ragione di sicurezza e qualità del servizio, dato che nella compliance dei fornitori è prevista già l’adozione della Circolare Agid n. 3 del 09/04/2018, il possesso delle certificazioni ISO 9001, ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 e la conformità al GDPR.
Mi trovo invece d’accordo sull’innalzamento delle nuove misure per chi tratta dati e servizi digitali classificati come STRATEGICI e CRITICI.

Io invece vorrei porre l’accento sulle VERIFICHE. Qui si mettono in croce -giustamente- i fornitori SULLA CARTA, ma nessuno va a vedere cosa succede NELLA REALTA’.
Quanti enti -specialmente i piccoli- sanno che c’è l’obbligo? Quanti hanno capito cosa significa l’obbligo di scegliere solo soggetti con caratteristiche determinate? Quanti lo saltano a piè pari nonostante il divieto e si rivolgono a gente non qualificata che fa concorrenza sleale agli altri?
Basterebbe fare un questionario per ogni servizio in cui si chiede agli enti “chi usi per questo servizio?” e mettere in tendina i qualificati e ‘altro’, chiedendo se si sceglie Altro di indicare il nome del prodotto. Quindi andare a prendere per un orecchio il fornitore non qualificato e chiedere “scusa, perchè tu non sei qualificato e vendi cloud alla PA?”, partendo da quelli che hanno più clienti PA.

Ciao Giovanni, trovo molto utile questa tua segnalazione, potresti per favore dirmi dove trovare l’elenco dei livelli minimi di qualità del percorso di qualificazione con ACN (es. servizio di supporto e assistenza deve essere fornito tutti i giorni dell’anno a qualsiasi orario (24/7/365))? Non trovo il corretto riferimento normativo.
Grazie per il tuo aiuto!

Ciao Laura, trovi i riferimenti nell’Allegato 1 alla Determinazione ACN n. 307-2022.
Tieni conto che alcuni livelli minimi, tra cui proprio quello relativo al servizio di supporto e assistenza, sono stati in parte modificati con il successivo Decreto ACN n. 20610 del 28-07-2023.
Spero di essere stato chiaro.