FAQ – Domande frequenti

In questa sezione sono riportate le domande frequenti circa le procedure operative tramite le quali i fornitori di servizi Cloud sottomettono le richieste di qualificazione (CSP e SaaS) per mezzo della piattaforma dedicata. Per ulteriori approfondimenti in merito alle Circolari AgID n. 2 e n. 3 del 9 aprile 2018 si può fare riferimento alla sezione FAQ presente sul sito cloud.italia.it

Quali sono i soggetti che devono richiedere la qualificazione? SaaS CSP

Devono richiedere la qualificazione (CSP oppure SaaS) tutti i soggetti pubblici e privati che forniscono servizi Cloud destinati alle Pubbliche Amministrazioni. I servizi Cloud sono servizi informatici fruibili secondo i paradigmi IaaS, PaaS, SaaS.

Il fornitore Cloud può trasmettere la richiesta di qualificazione direttamente oppure tramite un soggetto terzo, ossia un soggetto che a vario titolo assume il ruolo di "partner" del fornitore. A titolo esemplificativo, ma non esaustivo, una società che opera in Italia in qualità di rappresentante del fornitore, distributore commerciale, partecipata, controllata, ecc.

Si applica a: Qualilficazione CSP, Qualficazione SaaS

Chi può accedere alla piattaforma di qualificazione? SaaS CSP

Il rappresentante legale del fornitore o del soggetto “partner” accede alla piattaforma tramite la propria utenza SPID e procede alla trasmissione dell’istanza di qualificazione seguendo la procedura guidata e fornendo sotto la propria responsabilità le informazioni richieste e la documentazione necessaria. Si segnala che è consentito l’accesso alla piattaforma anche da parte di soggetti diversi dal rappresentante legale, purché provvisti di un idoneo atto di delega da allegare alla richiesta (tramite upload del relativo documento in formato PDF).

Si applica a: Qualilficazione CSP, Qualficazione SaaS

Occorre richiedere la qualificazione entro il 31 marzo 2019? SaaS CSP

La qualificazione dei servizi Cloud (qualificazione CSP e SaaS) prevede una procedura a sportello, pertanto i fornitori di servizi Cloud possono inoltrare le richieste di qualificazione tramite la piattaforma dedicata in qualsiasi momento. Si precisa che la data del 1 aprile 2019 rappresenta il termine a partire dal quale le Pubbliche Amministrazioni, all’atto della sottoscrizione di nuovi contratti di fornitura relativi a servizi IaaS, PaaS e SaaS, sono tenute ad acquisire esclusivamente servizi Cloud qualificati da AgID e pubblicati nel Cloud Marketplace.

Si applica a: Qualilficazione CSP, Qualficazione SaaS

In quali lingue può essere prodotta la documentazione richiesta? SaaS CSP

Tutta la documentazione di cui viene richiesto l’upload tramite la piattaforma di qualificazione deve essere prodotta in lingua italiana. È ammessa la produzione di documentazione in lingua straniera solo se corredata da idonea traduzione in lingua italiana (anche per estratto, laddove la quantità del testo da tradurre lo richieda). La traduzione non necessita alcuna forma di certificazione/autenticazione (ad es. traduzione giurata) e può pertanto essere predisposta autonomamente dal soggetto richiedente.

Si applica a: Qualilficazione CSP, Qualficazione SaaS

Come si dimostra il possesso delle certificazioni tecniche per la qualificazione CSP? CSP

Si ribadisce innanzitutto che i soggetti interessati devono possedere all’atto della presentazione dell’istanza tutti i requisiti e le certificazioni tecniche indicati negli allegati alle circolari. Ne discende che le certificazioni tecniche devono essere già state conseguite dal fornitore e risultare in corso di validità.

Nello specifico, per la qualificazione CSP le certificazioni tecniche richieste sono le seguenti:

  • certificazione ISO 9001 per la gestione della qualità aziendale,
  • certificazione ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018.

La procedura guidata richiede di fornire gli estremi delle suddette certificazioni e di allegarne una copia in formato PDF (tramite upload del relativo file). Le certificazioni devono essere state rilasciate da organismi nazionali di accreditamento riconosciuti dalla Unione Europea (o dagli enti certificatori da questi accreditati).

Per quanto concerne le tematiche di gestione della configurazione (configuration management) e gestione degli incidenti (incident management) non è richiesto il possesso delle relative certificazioni tecniche. Il fornitore è tenuto comunque a dichiarare e documentare quanto segue:

  • di applicare processi di gestione della configurazione che consentono, mediante procedure standard e relativi tool, il controllo di tutte le componenti rilevanti del servizio in conformità alle buone pratiche presenti nello standard ISO/IEC 20000-2;
  • che i processi adottati per la gestione degli incidenti nell'ambito dell'infrastruttura Cloud (incident & problem management) sono coerenti con quanto raccomandato dagli standard di sicurezza internazionali (p.e. ISO/IEC 27002, ISO/IEC 27035).

A tal proposito la procedura guidata richiede di eseguire l'upload di due documenti descrittivi di come il fornitore gestisce le tematiche del configuration management e incident management.

Si raccomanda di prestare attenzione a quanto specificato nella FAQ "In quali lingue può essere prodotta la documentazione richiesta?" relativamente alla produzione di documentazione in lingua diversa dall'italiano.

Si applica a: Qualilficazione CSP

Nel caso in cui lo stesso servizio SaaS viene erogato tramite due differenti CSP
qualificati, è necessario qualificare due volte il servizio? SaaS

Nel caso di un servizio SaaS che viene erogato avvalendosi di due differenti CSP qualificati, lo stesso dovrà far parte di due distinte procedure di qualificazione. In considerazione di tutte le diverse caratteristiche e specificità tecniche che ne possono derivare, in ciascuna delle due procedure dovranno essere inseriti, di conseguenza, i diversi elementi informativi.

Si applica a: Qualilficazione SaaS

Cosa si intende per interoperabilità con SPID e PagoPA? SaaS

Nell’ambito della procedura di qualificazione dei servizi SaaS vengono acquisite le informazioni circa l’interoperabilità con i servizi pubblici SPID e PagoPA.
Attenzione: non è obbligatorio che i servizi SaaS siano interoperabili con SPID e PagoPA, ma è obbligatorio fornire l’informazione precisa e attendibile sul fatto che lo siano o meno.

Per interoperabilità del servizio SaaS con i servizi SPID e/o PagoPA si intende la possibilità già testata e incorporata nel servizio SaaS di far funzionare il servizio in maniera coordinata e compatibile con i servizi SPID e/o PagoPA. In virtù di questa possibilità la PA acquirente potrà attivare facilmente l’interoperabilità con SPID e/o PagoPA direttamente dal pannello di controllo del servizio SaaS e/o tramite l’upload di opportune configurazioni.

I servizi che in astratto "potrebbero" essere interoperabili con SPID e PagoPA oppure che richiedano ulteriori sviluppi e/o integrazioni per ottenere l’interoperabilità non sono considerati (de-facto) interoperabili secondo la definizione qui richiamata.

Si applica a: Qualilficazione SaaS

Quali sono le certificazioni tecniche richieste per la qualificazione SaaS? SaaS

Si ribadisce innanzitutto che i soggetti interessati devono possedere all’atto della presentazione dell’istanza di qualificazione tutti i requisiti e le certificazioni tecniche indicati nell’Allegato A alla Circolare AgID n. 3 del 9 aprile 2018. Ne consegue che le certificazioni tecniche previste devono essere già state conseguite dal fornitore e risultare in corso di validità.

Nello specifico, per la qualificazione SaaS la certificazione tecnica richiesta è la seguente:

  • certificazione ISO/IEC 27001 estesa con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018.

La procedura guidata richiede di fornire gli estremi della certificazione e di allegarne una copia in formato PDF (tramite upload del relativo file). La certificazione deve essere stata rilasciata da organismi nazionali di accreditamento riconosciuti dalla Unione Europea (o dagli enti certificatori da questi accreditati).

Nota bene: in alternativa alla certificazione ISO/IEC 27001 e relative estensioni, il Fornitore SaaS può effettuare il CSA STAR Self-Assessment con riferimento al servizio che intende qualificare (nella versione denominata CAIQ). In tal caso il Fornitore SaaS è tenuto ad allegare una copia del questionario di Self-Assessment e a renderlo pubblicamente consultabile anche sul proprio sito Web aziendale.

Per avere maggiori informazioni circa il Self-Assessment della Cloud Security Alliance (CSA) si veda: https://cloudsecurityalliance.org/star/self-assessment/ L’adempimento del Self-Assessment deve essere portato a termine seguendo tutti gli step previsti: compilazione del questionario di Self-Assessment e pubblicazione del relativo documento all’interno del CSA STAR Registry.

Per quanto concerne la tematica della gestione della continuità operativa (business continuity), non è richiesto il possesso della relativa certificazione tecnica. Il Fornitore SaaS è tenuto comunque a dichiarare di porre in atto opportune azioni orientate al ripristino dell’operatività del servizio e dei dati da esso gestiti al verificarsi di eventi catastrofici/imprevisti, specificando l’applicazione delle buone pratiche presenti nello standard ISO/IEC 22313.

Si applica a: Qualilficazione SaaS

E’ possibile qualificare applicazioni erogate in modalità ASP oltre ai servizi di tipo SaaS? SaaS

I servizi applicativi offerti secondo la “classica” modalità ASP (Application Service Provider) sono servizi erogati utilizzando infrastrutture informatiche fisicamente messe a disposizione dal fornitore dell’applicazione. Tali servizi sono gestiti con modalità “ad-hoc” come singoli progetti, spesso con caratteristiche diversificate tra loro anche per la presenza di svariate personalizzazioni implementate per i clienti. Di fatto, tali servizi non presentano tutte le caratteristiche ed i vantaggi dei servizi SaaS, pertanto non sono oggetto di qualificazione.

La modalità ASP, risalente ad oltre un ventennio fa, viene oggigiorno utilizzata molto raramente, in quanto sia per i fornitori (che non riescono ad ottenere sufficienti economie sui costi operativi e di gestione) che per gli utilizzatori sono diverse le limitazioni che risultano difficili da superare.

E’ opportuno comunque tenere presente che l’allegato tecnico alla Circolare AgID n.3 del 9 aprile 2018 (“Requisiti per la qualificazione di servizi SaaS per il Cloud della PA”), annovera tra i “Modelli architetturali delle soluzioni SaaS” anche il modello Custom SaaS application che presenta alcune similitudini con l’erogazione secondo la classica modalità ASP. In tal caso, il servizio rientra nel campo di applicazione della Qualificazione SaaS. Si veda l’allegato tecnico alla Circolare per una completa descrizione del modello Custom SaaS application.

I servizi SaaS (Software-as-a-Service), invece, operano su un ambiente di esecuzione “elastico” che consente l'accesso via rete e in modalità “on-demand” ad un insieme condiviso di risorse di calcolo ampiamente configurabili, esposte sotto forma di servizi a vari livelli di granularità. Tali servizi, essendo implementati e gestiti in maniera standardizzata e altamente automatizzata, possono essere rapidamente richiesti, forniti e rilasciati con minimo sforzo gestionale da parte dell’utente e minima interazione con il fornitore. Si riepilogano brevemente le caratteristiche generali dei servizi Cloud:

  • attivazione e utilizzo self-service (su richiesta);
  • accesso remoto e alta disponibilità grazie all’impiego da parte del fornitore di reti a banda larga;
  • assegnazione dinamica di risorse virtuali, ovvero il cliente generalmente non ha né il controllo né la conoscenza dell'esatta locazione fisica delle risorse a lui fornite; tuttavia, il fornitore potrebbe permettere all’utente di specificare dei vincoli sulla locazione delle risorse in termini di area geografica, paese o anche singolo data center;
  • elasticità: le risorse possono essere fornite rapidamente ed elasticamente, ed in alcuni casi anche automaticamente, per incrementare velocemente la capacità di elaborazione e soppotare maggiori carichi, e allo stesso modo possono essere rapidamente rilasciate; dal punto di vista dell'utente le risorse disponibili appaiono illimitate, e possono essere richieste in qualsiasi quantità ed in qualsiasi momento;
  • monitoraggio: i sistemi Cloud controllano ed ottimizzano automaticamente l'utilizzo delle risorse in funzione del tipo di servizio e dell’utilizzo corrente, ciò è molto importante per permettere la gestione di eventuali picchi di richiesta e allo scopo di garantire al cliente la Qualità del Servizio pattuita; l'utilizzo delle risorse è tipicamente monitorato e riportato trasparentemente sia per il fornitore che per il cliente.

Nota bene: giova ricordare che, in base al Piano Triennale per l'informatica nella PA 2019-2021 e al principio Cloud First ivi contenuto, gli Enti della PA devono valutare l'adozione di servizi Cloud prima di ogni altra tecnologia. Di conseguenza, l’Ente dovrà, eventualmente, giustificare la mancata adozione di servizi SaaS in favore dell’acquisizione di servizi applicativi erogati in modalità ASP.

Si applica a: Qualilficazione SaaS