Requisiti per la qualificazione dei CSP: Introduzione

Consultazioni pubbliche Qualificazione dei Cloud Service Provider
1

Il presente documento definisce nel dettaglio i requisiti, di cui all’art. 3 della Circolare, che il Fornitore Cloud e le soluzioni IaaS/PaaS da esso proposte devono rispettare per ottenere la qualificazione da parte di AgID quale “CSP qualificato per il Cloud della PA”. Nella richiesta di qualificazione il Fornitore Cloud può includere uno o più servizi Cloud.

Continua a leggere su: http://cloud-pa.readthedocs.io/it/latest/circolari/CSP/allegato_docs/introduzione.html

2

L’importanza della semplificazione
Ci preme sottolineare la necessità di semplificare al massimo processi e procedure. Ovvero la procedura di qualificazione dovrebbe limitarsi a verificare la capacita’/ volontà del provider a soddisfare i requisiti espressi dalla circolare durante la fase di procurement delle risorse cloud da parte delle amministrazioni.

Di fatto i requisiti descritti dovrebbero intendersi come possibili line guida che la PA adotta per “acquisire” risorse cloud.

Inoltre sempre in un’ottica di semplificazione del processo di certificazione si consiglia di differenziare la certificazione in almento 3 livelli:

  • Servizi Golden Standard: che rispondano ai requisiti “base” di sicurezza ed affidabilità e che siano “compliant” con un modello di erogazione dei servizi di carattere internazionale, quale il NIST, ed un modello di qualità quale l’ISO27001. Ferma restando ovviamente l’aderenza ai requisiti di legge quali la normativa GDPR, il testo unico sulla Privacy, etc, etc.

  • Servizi Platform Ready (per laPA): ovvero servizi che oltre ai servizi std includano pacchetti di servizi “personalizzati per le PA. (e.g. la compatibilità con SPID e PagoPA) e pacchetti di servizi opzionali (e.g. servizi di resilienza quali sotrage, backup, Disaster Recovery. NOTA: si fa notare che, necessitando tali servizi di investimenti “ad hoc” in fase di prima certificazione dovrebbe essere richiesta solamente la disponibilità a realizzarli; lasciando la reale implementazione alla fase successiva della stipula di “contratti quadro” e/o convenzioni

  • Servizi “managed cloud (gold) : ovvero servizi addizionali fortemente personalizzati per le esigenze delle singole PA. Servizi che per loro natura non andrebbero normati in fase di qualifica ma solamente in fase di procurement.

L’approccio proposto, ovvero lo spostamento della prescrittività alla fase di procurement e la differenziazione tra i livelli di qualificazione delle piattaforme, consentirebbe di ottenere i seguenti importanti benefici:

  • una maggiore apertura al mercato, perchè permetterebbe in primo luogo di “approfittare” delle modalità di erogazone dei maggiori player internazionali; modalità che per loro natura sono standard e non modificabili in quanto si rivolgono ad una platea di potenziali clienti molto vasta e differenziata e sfruttano grandi economie di scala.
  • Una maggiore flessibilità per le PA acquirenti. Infatti i servizi cloud sono per loro natura dinamici ed estremamente parcellizzati; pertanto il loro provisioning non può che essere determinato dalle scelte della PA acquirente
  • Una maggiore aderenza alle necessità delle singole PA. Infatti le modalità di acquisto delle risorse cloud protrebbero essere commisurate al tipo di uso necessario alle singole applicazioni (applicazioni critiche dovrebbero richiedere Servizi “Managed Cloud”, mentre soluzioni non critiche potrebbero richiedere servizi “Golden Standard”).
  • di accedere alla innovazione continua proveniente sia dai maggiori player internazionali che dalle start-up.
  • una maggiore responsabilizzazione del fornitore, che potrebbe rispondere in maniera più puntuale a richieste migliorative dell’amministrazione acquirente.

Flessibilità del modello di qualificazione
I servizi cloud si arricchiscono ed evolvono con una velocità straordinaria. Di questa velocità, che vuol dire soprattutto miglioramento della qualità e innovazione continua, deve poter beneficiare tutta la PA.

Per questo riteniamo importante definire un modello di qualificazione che non blocchi il mercato con requisiti definiti a priori, ma che abiliti, piuttosto, le capacità di innovazione dei vari CSP, lasciando loro flessibilità ed elasticità operativa.

A tale proposito suggeriamo da un lato di allungare il periodo di validità della certificazione dai previsti 24 mesi ad almeno 48 mesi. Dall’altro di non obbligare i CSP a comunicare le continue innovazioni relative ai servizi ma richiedere unicamente la loro aderenza a modelli riconosciuti internazionalmente quale ad esempio il NIST.