Obbligo di certificazione per fornitori software e cloud alla PA: cosa serve sapere

Dall’1 aprile 2019 le Pubbliche Amministrazioni che vogliono acquistare soluzioni Cloud possono sceglierle soltanto tra i servizi IaaS, PaaS e SaaS che siano stati qualificati (cioè certificati) dall’Agenzia per l’Italia Digitale (AgID) e pubblicati in un apposito catalogo online, il Cloud Marketplace di AgID.

Si tratta di una scadenza cruciale nel percorso di trasformazione digitale della PA italiana, definito dal Piano Triennale 2019-2021. Piano che introduce un apposito “Modello Cloud della PA”, secondo il quale ogni volta che un ente pubblico voglia comprare nuovi prodotti o servizi ICT deve valutare come prima scelta soluzioni Cloud (principio Cloud First), scegliendo tra le soluzioni che siano presenti nel Cloud Marketplace.

L’obiettivo è che gli enti pubblici possano confrontare e adottare soluzioni Cloud omogenee rispetto a elevati standard di sicurezza, performance e scalabilità, interoperabilità, portabilità e conformità legislativa.

I due percorsi di qualificazione: infrastrutture e SaaS

AgID ha definito due percorsi di qualificazione. Uno riguarda le infrastrutture cloud, e relativi servizi IaaS e PaaS. L’altro è per i servizi SaaS (software as a service), che comunque, per essere qualificati, devono essere erogati da infrastrutture “Cloud della PA”, cioè a loro volta qualificate.

Per entrambi i percorsi sono richiesti Requisiti organizzativi e Requisiti specifici, ovviamente diversi nei due casi. Per le infrastrutture i requisiti organizzativi sono e riguardano la capacità di gestire situazioni critiche e criteri di disaster recovery, la disponibilità di un sistema di gestione di qualità, un servizio di supporto clienti strutturato 24×7, e procedure formali di change management, configuration management, gestione incidenti (sicurezza e infrastruttura), livelli adeguati di trasparenza e semplicità nell’offerta economica. I riferimenti sono gli standard della famiglia ISO/IEC 20000. Anche i Requisiti Specifici sono 13, e riguardano sicurezza, privacy e protezione dei dati personali, performance, scalabilità, interoperabilità, portabilità, conformità legislativa.

Per qualificare i SaaS invece i requisiti organizzativi sono 7 e riguardano servizio clienti, continuo aggiornamento della soluzione, e adozione delle best practice di settore. Quelli specifici sono 13, incentrati su sicurezza, performance, scalabilità, interoperabilità, portabilità, e conformità legislativa.

Aruba Virtual Private Cloud, la scheda tecnica sul marketplace

AgID classifica i CSP qualificati in tre gruppi in base alla possibilità delle infrastrutture di erogare servizi IaaS, SaaS e PaaS: tipo A (servizi Public Cloud Iaas o PaaS), tipo B (SaaS) e tipo C (IaaS, PaaS e SaaS). Tra questi ultimi c’è Aruba, presente nel Cloud Marketplace di AgID con Aruba Virtual Private Cloud e Aruba Cloud Object Storage. Il primo è un servizio IaaS che permette di acquistare quantità variabili di risorse computazionali (vCPU, RAM e HD), di rete (Virtual Lan, Firewall e IP pubblici) e servizi aggiuntivi (Cloud DRaaS e Cloud Bare Metal Backup) e di allocarli attraverso la console web VMware vCloud Director, creando e gestendo in completa autonomia data center virtuali con funzionalità evolute come Firewall perimetrali, Bilanciatori e concentratori VPN.

Aruba Virtual Private Cloud è pensato nell’ottica delle massime prestazioni, con Rete interamente a 10 Gbit/sec, Server con processori ad altissima frequenza e di ultima generazione, Storage ridondato e replicato in modalità sincrona su un data center secondario.

Aruba Cloud Object Storage offre la modalità di storage a oggetti per gestire dati in modo sicuro, flessibile e scalabile sia per archiviazione a lungo termine, sia per distribuzione di file su larga scala. I dati sono replicati tre volte per garantire la massima sicurezza e le API sono compatibili con S3.

SaaS qualificati solo se l’infrastruttura è qualificata

La qualificazione di CSP di tipo C permette ad Aruba l’opportunità strategica – in questo scenario di forte impulso al mercato Cloud per la PA – di rivolgersi sia alle PA stesse, sia ai molti operatori (software house, web agency, sviluppatori, system integrator eccetera) che vogliano qualificare i propri servizi SaaS e PaaS come “Cloud per la PA”.

Come infatti accennato, questi servizi devono essere erogati da infrastrutture a loro volta qualificate. E chiaramente avvalersi di un CSP già qualificato su questo aspetto può comportare importanti risparmi (tempi, costi, mantenimento dei requisiti nel tempo) rispetto a qualificare anche la propria eventuale infrastruttura.

Oltre a ciò, Aruba si rivolge anche direttamente alla pubblica amministrazione con servizi SaaS certificati come Aruba Cloud Backup – con minimizzazione del traffico di rete grazie a backup incrementali con deduplica dei dati e compressione – e Aruba Cloud Monitoring, che analizza il corretto funzionamento di server e servizi inviando notifiche in caso di anomalie.

Scopri l’offerta servizi di Aruba Cloud certificati per la pubblica amministrazione

“Come Aruba continuiamo a supportare la PA e i partner tecnici specializzati, come le software house, per contribuire concretamente al processo di abilitazione di infrastrutture e servizi in Cloud per la PA. – commenta Gabriele Sposato, direttore marketing di Aruba SpA – Finalmente ci sono le condizioni giuste perché il processo di Cloud Enablement acceleri anche in ambito PA. Questo porterà benefici per tutti, in primis per cittadini e imprese”.