Avrei alcune domande e osservazioni relative ai requisiti legati alla sicurezza espressi nell’allegato A:
http://cloud-pa.readthedocs.io/it/latest/circolari/SaaS/allegato_a_qualificazione_SaaS_v6.html
RS7 - Il Fornitore SaaS deve mettere in atto misure di network e domain isolation (firewall, ACL, controller di dominio) per mantenere l’isolamento tra i diversi domini applicativi.
Nell’ambito delle funzionalità messe a disposizione dal Cloud SPC, o comunque dettagliate nei requisiti per i Cloud per le PA, chi si occupa del software quali meccanismi ha a disposizione per controllare elementi infrastrutturali come quelli citati in questo requisito (firewall) e, se vogliamo, anche nei requisiti RS6 e RS8?
RS9 - …devono essere inclusi meccanismi per bloccare il traffico di rete da e verso URL presenti in una blacklist…
Il traffico di rete non ha un URL di provenienza, casomai un indirizzo IP, e più in generale “traffico di rete” e “URL” afferiscono a livelli dello stack ISO/OSI differenti. Se posso dare un suggerimento, riformulerei in maniera differente.
RS14 - Il Fornitore SaaS deve garantire che non si possano verificare abusi nell’uso delle funzionalità dell’applicazione e nell’accesso ai dati (eventualmente in grado di compromettere la sicurezza)
Dal momento che è a carico del fornitore SaaS occuparsi della sicurezza dell’intera supply chain relativa all’applicazione, e che purtroppo gli 0-day esistono (https://it.wikipedia.org/wiki/0-day), la garanzia dell’assenza di qualunque possibilità, seppur remota, che un malintenzionato con sufficienti risorse e conoscenze possa effettuare degli abusi mi sembra utopica. Sbaglio?
Potete chiarire questi dubbi?
Grazie
