Software e Servizi Cloud sicuri: il modello AgID

In un ecosistema virtuale e delocalizzato, l’esigenza di qualità nei servizi cloud – in termini di sicurezza, resilienza, efficienza e continuità di servizio – è massima. Tuttavia, tra le numerose soluzioni fornite oggi in modalità SaaS (Software as a Service), posizionate su infrastrutture cloud, solo un numero limitato ha già affrontato “by design” tematiche come la sicurezza applicativa, la protezione e la fruibilità dei dati.

Sotto questo profilo, il percorso di qualificazione dei servizi SaaS da parte di AgID (Agenzia per l’Italia Digitale) può rappresentare il volano per lo sviluppo dell’intero comparto, anche in ambito privatistico.

Nei rapporti con la Pubblica Amministrazione (PA) si è giunti a selezionare i provider di piattaforme cloud-based in funzione di adeguate garanzie tecnologiche volte ad assicurare i requisiti minimi necessari per l’erogazione dei servizi digitali pubblici.

AgID ha infatti delineato un percorso di qualificazione (o certificazione) specifico per i fornitori della PA. La qualificazione assicura che i servizi SaaS per il Cloud siano sviluppati e forniti secondo adeguati standard di affidabilità e sicurezza.

Per ottenere la qualifica, i soggetti interessati devono avere i requisiti fissati dalla circolare AgID n. 3 del 9 aprile 2018. Di seguito indichiamo i requisiti principali che i fornitori devono soddisfare per poter essere inseriti nel Marketplace Cloud:

sicurezza applicativa;
disponibilità di un adeguato supporto tecnico per il cliente;
trasparenza e disponibilità di informazioni dettagliate e aggiornate sulle modalità di erogazione del servizio e di esportazione dei dati;
disponibilità di incident report, statistiche e strumenti di monitoraggio;
insieme minimo di livelli di servizio garantiti obbligatori;
protezione dei dati e la portabilità in tutte le fasi di avanzamento della fornitura;
interoperabilità mediante opportune API;
esportabilità dei propri dati in un formato interoperabile verso un’altra piattaforma, per ridurre il rischio di dipendenza esclusiva della PA dal fornitore (lock in).

Il percorso di certificazione

La procedura di qualificazione AgID si articola essenzialmente in tre fasi:

richiesta di qualificazione;
conseguimento della qualificazione;
mantenimento della qualificazione (monitoraggio).

Se la fase 1 costituisce attività di analisi e studio dei requisiti AgID e loro applicazione nel contesto software di interesse, la fase 2 prevede il conseguimento della qualificazione SaaS previa verifica dei requisiti e corretta acquisizione della soluzione sulla piattaforma AgID.

I servizi SaaS che hanno ottenuto la certificazione sono inseriti nel Marketplace Cloud all’interno di un vero e proprio albo che impone alle Pubbliche Amministrazioni fattori tecnici, architetturali e progettuali di assoluta eccellenza circa le piattaforme utilizzate.

Superate le prime due fasi, la terza rappresenta probabilmente la fase più insidiosa, che si declina in un piano di aggiornamento periodico e di manutenzione evolutiva durante tutto il ciclo di vita del software certificato.

L’Agenzia potrà verificare in ogni momento il possesso dei criteri di ammissibilità e dei requisiti previsti per la qualificazione. Le verifiche potranno essere avviate anche sulla base di segnalazioni formali indirizzate da AgID da parte dell’utente (Amministrazione cliente) del servizio SaaS qualificato.

L’aspetto di verifica continuativa è assolutamente rilevante nel contesto dei software SaaS, ove modularità, scalabilità e “logica a servizio” comportano continui aggiornamenti del codice e delle infrastrutture, anche in considerazione di una normativa sempre in evoluzione e di uno scenario IT sempre più esposto a problematiche di sicurezza informatica (cybersecurity).

Compliance al GDPR dei servizi cloud SaaS

L’analisi dei criteri per qualificare i servizi SaaS per il Cloud nella PA (come da “Piano Triennale per l’informatica nella Pubblica Amministrazione”) risulta un ottimo punto di partenza per qualunque provider che voglia avviare un processo di verifica e miglioramento delle soluzioni in uso.

È pur vero che l’elevato spessore tecnico delle attività necessarie, sia da parte dei cloud service provider, sia da parte di analisti e sviluppatori, porta generalmente il fornitore a immettere sul mercato piattaforme dotate intrinsecamente di un substrato progettuale solido e scalabile verso ulteriori criteri di sicurezza e interoperabilità.

Non è così scontato, tuttavia, che tali soluzioni abbiamo implementato correttamente “by default” e “by design” i principi della normativa a protezione dei dati personali (GDPR).

Alla luce delle linee guida AgID sopra richiamate, possiamo infatti affermare, senza timore di essere smentiti, che è oggi assolutamente essenziale – per la competitività stessa del cloud e SaaS provider – assicurare e mantenere nel tempo la compliance al GDPR dei servizi cloud SaaS.

In un precedente contributo abbiamo affrontato il tema del fattore umano nella gestione del rischio. Qui è il caso di evidenziare la crescente importanza di assicurare, tra gli altri, anche servizi di esportazione e portabilità dei dati alla luce di quanto previsto dal GDPR (cfr. Considerando n. 68 e artt. 13 e 20). Troppo spesso questi servizi, laddove esistenti, implicano un effort tecnico fuori misura per l’azienda cliente che ha necessità di cambiare fornitore.

Sul fronte della cybersecurity, inoltre, la stessa AgiD incentiva i “cloud provider” a rendere disponibili strumenti di monitoraggio e reportistica idonei a gestire (e mitigare) i rischi di violazione dei dati e di attacchi informatici.

L’esposizione dei servizi (e dei dati) dovrebbe imporre ai cloud solution provider di documentare in modo adeguato i risultati della necessaria attività di analisi del rischio; e gli utilizzatori dovrebbero essere messi nelle condizioni di valutare le aree critiche del trattamento informativo effettuato tramite questi servizi.

Interoperabilità vs. dipendenza tecnologica

Di recente AgID ha emanato una nuova circolare (la n. 1 del 9 settembre 2020) con la quale è stata definita la “Linea di indirizzo sull’interoperabilità tecnica” da seguire al fine di garantire che i sistemi informativi (delle PPAA) possano dialogare con quelli di altri soggetti, sia pubblici che privati. L’obiettivo è quello di favorire l’implementazione di un Sistema informativo nazionale federato e integrato grazie all’utilizzo di librerie software aperte e documentate, destinate a garantire l’integrazione tra sistemi differenti.

Si tratta senza dubbio di un passaggio epocale.

Se le direttive saranno recepite con il giusto rigore, assisteremo all’eliminazione, dal panorama delle piattaforme software in uso, di tutte quelle soluzioni non in grado di garantire standard di sicurezza robusti, opportuni livelli di servizio garantito, capacità di generare incident report, statistiche e strumenti di analisi e monitoraggio.

La necessità di garantire l’interoperabilità mediante opportune API aperte e con sorgente disponibile, quantomeno per i componenti di interfacciamento imprescindibili, dovrebbe portare all’adozione di librerie e framework adeguati a garantire che piattaforme differenti possano “parlare” tra di loro, facilitando l’adozione di paradigmi di Open Data. Di contro, dovrebbero essere definitivamente abbandonate quelle che, a causa di formati proprietari e chiusi (con specifiche di tracciato non fornite), hanno generato nel tempo una “dipendenza tecnologica” della PA dal proprio fornitore (lock in).

Come richiedere la qualificazione AgID

Per richiedere la qualificazione AgID è necessario presentare domanda utilizzando l’apposita piattaforma disponibile sul sito dell’Agenzia, fornendo le informazioni e la documentazione che attestino la rispondenza ai requisiti definiti nell’allegato A della circolare sulla qualificazione dei servizi SaaS.

Una volta ricevuta la documentazione, AgID verificherà il possesso dei requisiti dichiarati e, in caso di esito positivo, provvederà a inserire il solution provider nel marketplace Cloud della PA.

La vera sfida per il mercato si giocherà sul piano della vigilanza da parte degli organi preposti alla verifica della corretta applicazione delle direttive e norme tecniche. Se analisti e sviluppatori sono già da tempo a conoscenza degli aspetti da affrontare nelle varie fasi di rilascio, dal punto di vista dei fornitori la questione è ad oggi tutt’altro che fluida. Sarà interessante capire come fornitori recepiranno la necessità di investire maggiori risorse nella fase progettuale per implementare principi e linee guida ormai fondamentali per la loro sopravvivenza sul mercato.

Cookie	Durata	Descrizione
_ga	2 years	Il cookie "_ga" viene utilizzato per determinare i visitatori univoci del sito e viene aggiornato a ogni pagina visualizzata. Inoltre, questo cookie viene fornito con un ID univoco che Google Analytics utilizza per garantire la validità e l'accessibilità del cookie come ulteriore misura di sicurezza.
_gat_gtag_UA_55764475_1	1 minute	Impostato da Google per distinguere i visitatori del Sito.
_gid	1 day	Fa parte di Google Universal Analytics e viene utilizzato principalmente per tenere traccia delle visite a qualsiasi sito che utilizza Google Analytics.
__gads	1 year 24 days	Impostato da Google, è un cookie sotto il dominio DoubleClick e tiene traccia del numero di volte in cui gli utenti vedono un annuncio, misura il successo della campagna e calcola le sue entrate. Questo cookie può essere letto solo dal dominio su cui sono impostati e non traccerà alcun dato durante la navigazione su altri siti.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1 year	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Advertisement".
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent per registrare il consenso dell'utente per i cookie nella categoria "Functional/Funzionali".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessary/Necessari".
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Others/Altri".
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Performance/Prestazioni".
viewed_cookie_policy	11 months	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Utilizzato da Google DoubleClick per registrare e produrre resoconti sulle azioni dell'utente sul sito dopo aver visualizzato o cliccato una delle pubblicità dell'inserzionista al fine di misurare l'efficacia di una pubblicità e presentare pubblicità mirata all'utente.
test_cookie	15 minutes	Utilizzato da Google per verificare se il browser dell'utente supporta i cookie.

Software e Servizi Cloud sicuri: il modello AgID

Il percorso di certificazione

Compliance al GDPR dei servizi cloud SaaS

Interoperabilità vs. dipendenza tecnologica

Come richiedere la qualificazione AgID

SOCIAL NETWORK

ULTIMI ARTICOLI

CONTATTI