Requisiti per la qualificazione di servizi SaaS: Requisiti specifici

I requisiti specifici riguardano le seguenti tematiche:

  • sicurezza,
  • performance e scalabilità,
  • interoperabilità e portabilità.

Continua a leggere su: http://cloud-pa.readthedocs.io/it/latest/circolari/SaaS/allegato_docs/requisiti-specifici.html

RCL2: Le modalità di trattamento dei dati personali sono strettamente legate alle modalità con il quale il software SaaS opera al di sopra dell’infrastruttura del Public Cloud Provider. Si richiede se questo requisito debba essere rispettato dal public cloud provider oppure limitatamente al fornitore SaaS che opera direttamente al di sopra
RCL4: La responsabilità di dove i dati vengono memorizzati è attribuita al fornitore SaaS che opera la piattaforma IaaS/PaaS sottostante. Sebbene il Cloud provider permetta di scegliere regione e zona di collocamento della risorsa, è responsabilità della soluzione SaaS selezionare e documentare la più opportuna
RCL6: Questo appare un requisito molto generico per cui è complesso definire a priori l’adempimento a una seria di regole o leggi non ben definite. La risposta potrebbe essere negativa per certi settori e positiva per altri.

RS2: Il Cloud Provider effettua controlli di sicurezza in modo che il codice, una volta nella piattaforma, non venga attaccato da eventuali malware.
Il Cloud provider dispone inoltre di strumenti intelligenti per penetration testing, la scansione di vulnerabilità dei sistemi operativi e strumenti per la gestione e l’applicazione di patch. Si richiede se il Cloud Provider, nel caso in cui fornisca l’infrastruttura a supporto della soluzione SaaS soprastante, debba garantire anche controlli sul codice sorgente dell’eventuale fornitore SaaS prima che questo venga inserito nella piattaforma cloud.
RS3 e RS4: Si richiede se il Cloud Provider, nella veste di fornitore IaaS/PaaS, debba essere garante anche dei software (terze parti e non) utilizzati dal fornitore SaaS. Questi requisiti potrebbero essere modificati evidenziando le caratteristiche di sicurezza dei Public Cloud Provider in generale e non del codice software della soluzione SaaS sopra installata.
RS17: Il Cloud Provider, in qualità di fornitore di piattaforma IaaS/PaaS a supporto di una generica soluzione SaaS, non ha visibilità sull’implementazione della soluzione SaaS stessa. Il Cloud Provider fornisce una piattaforma scalabile, veloce e affidabile per permettere al fornitore SaaS di ottenere performance ottimali, così come strumenti per il monitoring e analisi dei tempi di latenza per troubleshooting del software stesso. Per quanto riguarda la gestione di incidenti e le tempistiche, sarebbe preferibile quantificare questi come valori di SLA offerti dal Public Cloud Provider e di servizi di supporto offerti.
RS21: Il Cloud Provider pubblica normalmente “Release Notes” relative ai suoi prodotti dopo aver effettuato qualsiasi modifica o miglioramento su di essi. Si richiede come sia possibile che il Public Cloud Provider possa fornire delle specifiche Release Notes in merito al software SaaS non direttamente controllato.

RPS1: Sarebbe preferibile indicare questo requisito in termini di SLA offerti dal Cloud Provider
RPS3 e RPS4: Il Cloud Provider, per quanto riguarda le soluzioni IaaS/PaaS, fornisce numerose funzionalità e strumenti per creare piani di recupero e Disaster Recovery, così come la possibilità di ridondanza dati in maniera multizonale e multiregionale. Sarebbe dunque preferibile indicare questi requisiti in termini di ridondanza geografica dei dati, alta affidabilità della piattaforma e funzionalità di back-up delle varie soluzioni di storage.
RPS5, RPS6, RPS7, RPS9:Il Cloud Provider fornisce funzionalità di autoscaling per le sue soluzioni IaaS e PaaS, in modo da garantire al fornitore SaaS di poter gestire anche alti volumi di traffico. Per permettere al fornitore SaaS di ottenere il massimo delle performance dalla sua applicazione, il Cloud Provider fornisce una piattaforma scalabile, veloce e affidabile per permettere al fornitore SaaS di ottenere performance ottimali, così come strumenti per il monitoring e analisi dei tempi di latenza per troubleshooting del software stesso. Sarebbe dunque piu’ mirato indicare questi requisiti in termini di scalabilità della piattaforma/infrastruttura e gestione di picchi di utilizzazione di risorse o di richieste (in caso di PaaS).
RPS13: Il Cloud Provider ha il compito di fornire le risorse al fornitore SaaS indipendentemente dal tipo di client utilizzato.
SLI12, SLI13, SLI14, SLI15, SLI19, SLI20: Il Cloud provider fornisce diversi programmi di Supporto che garantiscono un tempo massimo di risposta e una dashboard che descrive lo stato della piattaforma e un elenco degli incidenti. Sarebbe preferibile indicare queste richieste in termini di SLA dei servizi e prodotti offerti dal Cloud Service Provider.

Requisiti di Qualificazione
Per la qualificazione di un CSP SaaS, si richiede se è sufficiente far riferimento, in termini di compatibilità, ad un solo CSP PaaS/IaaS già qualificato in Cloud PA o se, invece, la compatibilità debba essere obbligatoriamente intesa per tutti i CSP PaaS/IaaS già qualificati.