Magazine

Cloud della PA, il processo di qualificazione dei fornitori

01/04/2019
Cloud service provider e PA
EnterprisePMIProfessionistiPubblica Amministrazione
Il passo in avanti che da Aprile è richiesto alle Pubbliche Amministrazioni, visto in questo articolo, è quello di scegliere il cloud, con particolare attenzione ai servizi in uso, applicando quanto imposto e acquisendo esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace.
L’obbligo previsto nasce dalla necessità di sfruttare appieno i vantaggi del cloud: le amministrazioni dovranno valutare in prima istanza la presenza di servizi SaaS nel Marketplace Cloud che rispondono alle proprie esigenze e, solo in seconda istanza, prendere in considerazione soluzioni PaaS e infine IaaS.

Cosa significa rispettare la norma? Quali sono le implicazioni per le software house e gli sviluppatori che interagiscono con le Pubbliche Amministrazioni?

Ad oggi il Cloud della PA rappresenta un vettore efficace per la semplificazione dei rapporti tra la Pubblica Amministrazione e i cittadini, una piattaforma a elevato potenziale che contribuirà inoltre ad ampliare l’offerta stessa dei servizi.
In più, nel lungo periodo, contribuirà alla crescita e allo svecchiamento del Sistema Paese.
L’introduzione di un simile modello e la discontinuità che esso porta con sé possono costituire fattori di disorientamento per alcuni fornitori. Per continuare a interfacciarsi con la PA e assicurarsi l’opportunità di far parte dell’intero processo è fondamentale avere compreso appieno le regole e i requisiti del processo di qualificazione.
 
L’utilizzo della piattaforma di qualificazione avviene tramite autenticazione SPID. Per procedere con la sottomissione delle richieste di qualificazione non è indispensabile possedere un’utenza SPID associata alla persona giuridica. È sufficiente utilizzare un’utenza SPID di tipo “personale” associata al legale rappresentante dell’Azienda oppure a un suo delegato, tramite procura speciale o generale.
 
I fornitori SaaS possono scegliere di erogare i propri servizi tramite un’infrastruttura Cloud già qualificata come CSP, Cloud Service Provider. In questo contesto, il fornitore è tenuto a dichiarare formalmente attraverso quale dei CSP qualificati saranno erogati i propri servizi SaaS.
 
L’istanza di qualificazione SaaS include l’identificazione del CSP qualificato e la fornitura dettagliata dell’anagrafica del fornitore. Tale anagrafica può coincidere con quella del CSP e può essere omessa se il fornitore è già qualificato come Cloud Service Provider nel marketplace. Lo stesso vale se il fornitore è già qualificato come fornitore SaaS e sta inoltrando una richiesta addizionale.
Per ciascun servizio qualificato è poi importante evidenziare informazioni e requisiti riguardanti la portabilità dei dati, la scalabilità, l’interoperabilità (anche con i servizi SPID e PagoPA), le performance e i costi operativi.
La security rientra senza dubbio tra gli aspetti cruciali che riguardano l’intero processo di qualificazione; pertanto i fornitori dovranno comprovare l’esecuzione dei test OWASP (Open Web Application Security Project) e segnalare il possesso della certificazione ISO/IEC 27001.

In questo contesto, qual è il ruolo dei Cloud Service Provider?

I CSP qualificati ricoprono un ruolo fondamentale sia perché forniscono la PA attraverso le proprie infrastrutture, sia perché interagiscono con tutti coloro che vogliono far parte del market place e devono necessariamente essere qualificati da AgID.

Aruba S.p.A. rientra fra i Cloud Service Provider di tipo C qualificati da AgID per erogare servizi cloud alle Pubbliche Amministrazioni. Proprio l’agilità infrastrutturale e la “capacità di ascolto” ne qualificano il ruolo rispetto agli sviluppatori, sia PaaS che SaaS, di tutte le dimensioni, presenti sul territorio.
 
Con Aruba, i fornitori SaaS e PaaS possono distribuire i propri prodotti una volta qualificati appoggiandosi direttamente sulle piattaforme Infrastructure-as-a-Service di Aruba a bollino AgID.
L’azienda, in qualità di CSP di tipo C, in grado cioè di erogare servizi IaaS, PaaS e SaaS tramite le proprie infrastrutture, si pone come player di riferimento e ancora una volta come vero abilitatore della trasformazione digitale in Italia. Forte della qualifica ottenuta, Aruba è al fianco della PA, ma anche di tutti i fornitori, software house, system integrator che intendono fornire la Pubblica Amministrazione.
 
Per quanto attiene al processo di qualificazione per i fornitori SaaS, AgID ha evidenziato con grande precisione quali dovranno essere i requisiti base da soddisfare.
È necessario garantire una elevata sicurezza applicativa, in termini di gestione dei dati, sicurezza di rete e aggiornamento rispetto alle vulnerabilità note.
In più è importante garantire un adeguato supporto tecnico per il cliente, utilizzando un approccio multicanale, con prefissati e garantiti orari di reperibilità. Servono inoltre trasparenza e disponibilità di informazioni dettagliate e aggiornate sulle modalità di erogazione del servizio e di esportazione dei dati.
Considerando l’importanza della cybersecurity e della capacità di monitorare e intervenire in tempo reale in caso di attacchi, è richiesta inoltre la capacità di elaborare e rendere disponibili incident report, statistiche e strumenti di controllo delle risorse utilizzate, dei costi e dei livelli di servizio.
Al fine di garantire continuità operativa e performance adeguate anche all’aumentare del carico delle piattaforme operative, è necessario assicurare un determinato livello di “qualità del servizio”. Questo parametro include solitamente svariati indicatori, dai servizi garantiti obbligatori, alla disponibilità dei servizi stessi, alle tempistiche di risposta dell’assistenza tecnica; il tutto in aggiunta ai livelli di servizio proposti dal fornitore (larghezza di banda, tempi di ripristino del servizio e altre metriche relative alla capacità di elaborazione).
 

Cosa offre Aruba per semplificare il processo di qualifica che un fornitore deve compiere per essere presente nel market place? 

Aruba Virtual Private Cloud è un servizio IaaS che permette di acquistare quantità variabili di risorse computazionali (vCPU, RAM e HD), di rete (Virtual LAN, Firewall e IP pubblici) e servizi aggiuntivi (Cloud DRaaS e Cloud Bare Metal Backup) e di allocarli attraverso la console web VMware vCloud Director. Ciò permette di creare e gestire autonomamente interi data center Virtuali, incluse le funzionalità avanzate di firewall perimetrali, bilanciatori e concentratori VPN.
Il servizio erogato è stato progettato per assicurare le massime performance possibili; per fare ciò è abilitato interamente su reti 10 Gbps e impiega server con processori di ultima generazione, con un clock ad elevata frequenza e il supporto multi-core e per istruzioni avanzate x64. Non solo, per garantire prestazioni e sicurezza contemporaneamente, gli array storage utilizzati sono ridondati e replicati in modalità sincrona su data center secondari. In questo modo, anche in caso di importanti calamità ed eventi catastrofici, dati e servizi risulteranno protetti e attivi.
 
Una simile infrastruttura permette di abilitare infrastrutture virtuali tailor made, più o meno complesse, utilizzando le risorse computazionali e di rete acquistate in modo flessibile. La modifica di tali risorse può avvenire in modo dinamico, secondo uno schema di upgrade o downgrade che prevede costi chiari e sempre verificabili da parte del cliente. In pratica, il costo delle risorse prenotate è sempre prevedibile in anticipo e non subisce variazioni se non precedentemente sottoscritte. Secondo una logica self-service è possibile modificare i parametri desiderati in qualsiasi momento, intervenendo attraverso il "pannello di controllo Cloud”.
 
All’atto pratico, l’intera procedura è schematizzabile secondo tre direttrici. Il primo step prevede la scelta delle risorse Private Cloud desiderate e successivamente la creazione dell’infrastruttura VMware vCloud Director. La configurazione e gestione di quanto creato è sempre possibile tramite architettura VMware.
Tra i vantaggi, oltre al dimensionamento su misura e alla prevedibilità dei costi, già descritti, Aruba Virtual Private Cloud assicura una totale autonomia di gestione, nonché una grande versatilità in tempo reale.
L’infrastruttura così generata permette grande flessibilità e tempi di risposta contenuti, risultando adeguata per l’esecuzione di ogni tipo di codice sviluppato da terze parti.


Prodotto menzionato
Risorsa 1
Soluzioni Enterprise
Scopri