menu di navigazione del network

Qualificazione dei Cloud Service Provider

Il documento rappresenta lo schema della Circolare AgID sui “Criteri per la qualificazione dei Cloud Service Provider per la PA”. Lo schema della circolare è in consultazione e aperto ai commenti fino al 1 Marzo 2018.

Confindustria Digitale e Confindustria Servizi Innovativi e Tecnologici desiderano esprimere apprezzamento per l’occasione che viene offerta di contribuire alla definizione delle circolari AgID “Criteri per la qualificazione dei Cloud Service Provider per la PA” e “Criteri per la qualificazione di servizi SaaS per il Cloud della PA”.
Troviamo particolarmente apprezzabile la volontà espressa da AgID e Team per la Trasformazione Digitale di voler condurre un’operazione di trasparenza e collaborazione con il mercato nella definizione delle modalità di realizzazione del Cloud della PA.
Per questo offriamo alcune indicazioni e raccomandazioni, di metodo e di merito, per contribuire alla definizione di un Cloud della PA ispirato ai più elevati standard internazionali, capace di rispondere alle esigenze di apertura ed innovazione che appaiono provenire da tutti i settori del paese.

1. Allineamento con gli standard internazionali
Condividiamo il fatto che le circolari SaaS e CSP facciano riferimento a standard ed architetture cloud che saranno determinate dall’AgID secondo le migliori pratiche internazionali.
• Sotto questo punto di vista, però, desideriamo sottolineare che alcuni passaggi dei testi delle due circolari sembrano orientati più a logiche di “application hosting” che non ad una vera e propria “architettura cloud”, e questo andrebbe evitato per non snaturare il concetto stesso di Sw as a Service.
• Ad esempio, i requisiti di accesso e controllo alle componenti dell’infrastruttura non appaiono congruenti alle architetture cloud prevalentemente utilizzate, nelle quali una soluzione SaaS (già altamente ottimizzata) non prevede generalmente controlli specifici sul layer tecnologico sottostante.

2. L’importanza della semplificazione
Un altro aspetto che ci preme sottolineare è la necessità di semplificare al massimo processi, procedure e requisiti, distinguendo, ad esempio, quelli relativi al software applicativo rispetto a quelli che riguardano l’infrastruttura o il software di base.
La semplificazione dovrebbe riguardare anche la procedura di qualificazione che dovrebbe limitarsi a verificare il possesso dei requisiti essenziali, spostando, di fatto, la prescrittività alla fase di procurement.
Solo alcuni requisiti, infatti, dovrebbero essere obbligatori e semplificata la dichiarazione e la gestione delle operazioni da parte del fornitore.
• Ad esempio si dovrebbe permettere al CSP di dichiarare la propria compliance rispetto al solo standard certificabile (ISO 27001), lasciandogli la possibilità di specificare a quali best practice internazionali egli è in grado di allineare le proprie prassi operative.
• Similmente il profilo della localizzazione dei data center dovrebbe essere considerato nell’ottica dello spirito di apertura del mercato e degli orientamenti espressi a livello comunitario, e quindi non dovrebbe prevedersi alcun obbligo di localizzazione a livello nazionale né datacenter dedicati a singole p.a., salvo lasciare alla negoziazione contrattuale l’eventuale possibilità di ipotizzare DC dedicati a cluster tematici. In quest’ottica, andrebbe anche chiarito che l’utilizzo di data center o consociate estere ai fini della fornitura del cloud non costituisce subappalto.
• E ancora, nel caso di problemi rilevati durante la fase di istruttoria per la qualificazione di soluzioni saaS, sarebbe opportuno dare un tempo congruo all’azienda (prima della eventuale comunicazione di esito negativo o negativo con riserva) per permetterle di adottare le opportune correzioni e investimenti necessari.
La necessità di trasferire la prescrittività alla fase di procurement è motivata dal fatto che i servizi cloud sono per loro natura dinamici e il loro provisioning non può che essere determinato dalle scelte della PA acquirente.
• Il caso tipico è la resilienza che è una caratteristica non determinabile a priori ma che deve emergere dalle esigenze specifiche del cliente. La responsabilità del CSP è quella di fornire tutti gli strumenti necessari ma è il cliente che deve indicare qual è il modello di resilienza per lui ottimale.
Lo spostamento della prescrittività alla fase di procurement consentirebbe di ottenere:
• una maggiore apertura al mercato, perchè permetterebbe di non escludere l’innovazione continua che può arrivare da aziende e start-up;
• una maggiore responsabilizzazione del fornitore, che potrebbe rispondere in maniera più puntuale a richieste migliorative dell’amministrazione acquirente.
La semplificazione dovrebbe riguardare anche le operazioni necessarie al mantenimento della qualificazione.
• Nel caso di perdita dei criteri di ammissibilità, ad esempio, prima di procedere alla revoca, sarebbe utile offrire al fornitore la possibilità di mettere in atto azioni correttive in tempi ragionevoli.
• Nel caso di revoca della qualificazione, inoltre, per salvaguardare l’operatività del Cliente, sarebbe auspicabile evitare di procedere alla risoluzione anticipata del Contratto, ma adottare opportune modalità per cercare di mantenere il contratto stesso fino alla scadenza naturale.
• Dovrebbe essere previsto anche un periodo di phase out, necessario per garantire la continuità del servizio anche nel caso di swap operativo da un ambiente di erogazione ad un altro.
La semplificazione della qualificazione avrebbe inoltre un effetto positivo perchè permetterebbe di ridurre al massimo il carico amministrativo sulle aziende e sugli organi amministrativi deputati al controllo delle operazioni.
• Si chiede, a tale proposito, che la procedura di qualificazione possa essere pubblica e aperta senza comportare oneri aggiuntivi per i fornitori in quanto essa prevede già importanti investimenti per le aziende che partecipano e devono mantenerla nel tempo.
Sotto il profilo della comunicazione, sarebbe preferibile evitare l’utilizzo di livelli di classificazione che possano in qualche modo comunicare un implicito giudizio di valore sulla bontà delle soluzioni proposte.
• Per questo, anzichè la tradizionale classificazione gold-silve-bronze, sarebbe opportuno utilizzare titoli “parlanti” che possano comunicare l’oggetto dei servizi contenuti nelle varie classi.
• Infine sarebbe auspicabile un allineamento complessivo tra il sistema di qualificazione di AgID e gli altri sistemi di qualificazione (come, ad esempio, quello relativo alle certificazioni regionali).

3. Necessità di un adeguato “modello” di procurement
Uno dei temi chiave alla base dello sviluppo del Cloud della PA è la creazione di un adeguato modello di cooperazione e coesistenza tra i diversi elementi del modello (SPC Lotto 1, PSN, CSP qualificati).
• Siccome le informazioni utili per capire quale potrebbe essere il punto di equilibrio del sistema arriveranno dal censimento ancora in corso, riteniamo potrebbe essere utile nel frattempo un tavolo di confronto per capire quali potrebbero gli scenari e i possibili modelli di cooperazione.
Il cloud, essendo un servizio, prevede una pianificazione, ma può comportare anche la necessità di “andare in continuità” su un servizio esistente. Sotto questo punto di vista, il MEPA, diversamente dagli attuali strumenti di procurement, tra cui le convenzioni e contratti quadro già attivi, potrebbe non offrire le necessarie caratteristiche di completezza, flessibilità e adattabilità, in quanto, essendo uno strumento di acquisto “puntuale”, sembra più adatto ad acquisti di tipo “one shot”.
• A tal fine potrebbe essere più opportuno estendere il modello di procurement attuale, attraverso l’evoluzione dei contratti quadro e convenzioni in modo da consentire alle diverse PA di scegliere il servizio e il fornitore più adatto alle proprie esigenze da un insieme che sia il più ampio possibile (es. come nel caso del modello adottato in UK).
• In questo scenario potrebbe essere utile prevedere un modello di supporto al decision taking che non si limiti a dare visibilità alle diverse offerte di servizio ma possa facilitare, attraverso l’utilizzo di tecnologie adeguate, scelte di approvvigionamento coerenti ai modelli evolutivi previsti dal Piano Triennale.

4. Velocità, apertura e cooperazione sono fondamentali
I servizi cloud si arricchiscono ed evolvono con una velocità straordinaria. Di questa velocità, che vuol dire soprattutto miglioramento della qualità e innovazione continua, deve poter beneficiare tutta la PA.
Per questo riteniamo importante definire un modello di qualificazione che non blocchi il mercato con requisiti definiti a priori, ma che abiliti, piuttosto, le capacità di innovazione dei vari CSP, lasciando loro flessibilità ed elasticità operativa.
• Siamo convinti che non sia nell’interesse della PA costringere tutte le aziende, grandi e piccole, ad uniformarsi alle stesse modalità operative e di comunicazione.
• L’elemento fondante dell’approccio cloud non è una presunta omogeneità dei servizi ma la qualità e la sostenibilità delle diverse soluzioni, che richiedono, evidentemente, modalità operative altamente specializzate ed ottimizzate.
• Le aziende, infine, dovrebbero avere un minimo lasso di tempo, dalla pubblicazione della circolare in Gazzetta Ufficiale, per poter predisporre il percorso di qualificazione.
Un mercato del Cloud della PA “aperto” significa anche rapporti chiari tra gli operatori che potrebbero essere chiamati ad interagire nella erogazione di servizi complessi.
Sotto questo punto di vista, per garantire apertura e dinamicità al cloud della PA, sarebbe auspicabile lasciare la più ampia flessibilità ai fornitori nella gestione dei rapporti con partner terzi nell’erogazione dei servizi ai vari livelli e quindi nella definizione dei relativi profili contrattuali e delle correlate responsabilità.
• Le circolari, ad esempio, non chiariscono a sufficienza le modalità contrattuali che occorrerà implementare tra SaaS Provider e CSP qualificato coinvolti nella erogazione di un determinato servizio.

5. Possibilità di una nuova collaborazione tra pubblico e privato
Crediamo che le alte finalità del progetto Cloud della PA richiedano, infine, una nuova capacità di dialogo e di collaborazione tra pubblico e privato.
Per questo, come rappresentanti delle aziende del settore ICT, ci rendiamo disponibili a partecipare ad un tavolo di lavoro congiunto AgID-mercato (aperto quindi a tutte le rappresentanze del settore in Italia) per provare a delineare insieme le direttrici di un progetto di trasformazione sistemica attorno al Piano Triennale e nello specifico al tema del Cloud della PA.

Riteniamo importante ribadire la necessità di un modello di qualificazione caratterizzato da flessibilità ed elasticità operativa, che non dia pertanto luogo a regole eccessivamente rigide e requisiti definiti a priori, ma che abiliti le capacità di innovazione dei vari Service Provider. Ciò si rende necessario soprattutto alla luce della rapidità dell’evoluzione tecnologica e della dimensione globale dei protagonisti del mercato del cloud.

A tal fine sarebbe utile prevedere una semplificazione delle procedure di qualificazione, che dovrebbero limitarsi alla verifica dei requisiti essenziali (es. compliance del data center rispetto allo standard certificabile ISO 27001), lasciando quindi alla fase contrattuale la definizione di ulteriori prescrizioni. Il differimento della fase prescrittiva consentirebbe un generale miglioramento del servizio offerto, sia in considerazione della natura intrinsecamente on-demand dell’offerta cloud sia perchè darebbe luogo ad una maggiore responsabilizzazione del fornitore di fronte a richieste migliorative del CSC.

Analogamente, i CSP dovrebbero poter disporre di flessibilità nella gestione dei rapporti con partner terzi, inclusa la definizione dei profili contrattuali e delle relative responsabilità, così da garantire la massima trasparenza nelle relazioni commerciali.

Sarebbe infine auspicabile un allineamento complessivo tra il sistema di qualificazione di AgID e gli altri sistemi di qualificazione - come ad esempio quelli regionali - soprattutto con riferimento ai requisiti di natura “infrastrutturale” quali, ad esempio, specifiche indicazioni sulla sede del data center o la previsione di data center dedicati

Eventuali richieste di Datacenter dislocati in Italia, ad una distanza massima da un determinato loco o dedicati alla PA, metterebbero fuori gioco i provider di Cloud Pubblico inibendo alla PA italiana la scelta e l’innovazione garantita dai provider di Cloud Pubblico internazionali.