Riporto ed integro dal mio messaggio già pubblicato sul forum (Requisiti di sicurezza per la qualificazione dei servizi SaaS per il Cloud della PA) dubbi e questioni su alcuni requisiti relativi alla sicurezza.
RS7 - Il Fornitore SaaS deve mettere in atto misure di network e domain isolation (firewall, ACL, controller di dominio) per mantenere l’isolamento tra i diversi domini applicativi
Il fonitore SaaS per potersi occupare di elementi infrastrutturali come quelli citati in questo requisito ha bisogno di avere a disposizione i mezzi per farlo.
In altre parole, occorre che i requisiti a cui deve aderire il cloud della PA (Cloud SPC, PSN e CSP) esplicitino l’obbligo di mettere chi si occupa unicamente della parte applicativa in condizione di poter soddisfare questo punto e, se vogliamo, anche i requisiti RS6 e RS8.
RS9 - …devono essere inclusi meccanismi per bloccare il traffico di rete da e verso URL presenti in una blacklist…
Il traffico di rete non ha un URL di provenienza, casomai un indirizzo IP, e non ha necessariamente un URL di destinazione.
Ritengo debba essere chiarito cosa si intende esattamente con la dicitura “traffico di rete da URL”.
Per quanto riguarda il filtro su URL di destinazione, va chiarito se per il traffico di rete che non è associato a risorse identificabili tramite URL, siano necessarie blacklist e se sì, basate su cosa.
RS14 - Il Fornitore SaaS deve garantire che non si possano verificare abusi […] nell’accesso ai dati (eventualmente in grado di compromettere la sicurezza)
Dal momento che è a carico del fornitore SaaS occuparsi della sicurezza dell’intera supply chain relativa all’applicazione, e che purtroppo gli 0-day esistono (https://it.wikipedia.org/wiki/0-day2), la garanzia dell’assenza di qualunque possibilità, seppur remota, che un malintenzionato con sufficienti risorse e conoscenze possa effettuare degli abusi mi sembra, purtroppo, utopica.
Quello che si può realisticamente richiedere al fornitore SaaS potrebbe essere il corretto mantenimento del software in termini di patch di sicurezza, che devono essere tempestivamente applicate qualora vengano rese note vulnerabilità su uno degli elementi che fanno parte della soluzione.