AGID: è attiva la piattaforma per qualificarsi come fornitori di servizi Cloud per la pubblica amministrazione

Diritto

AGID: è attiva la piattaforma per qualificarsi come fornitori di servizi Cloud per la pubblica amministrazione

Dal prossimo 20 novembre, le pubbliche amministrazioni potranno acquistare servizi Cloud esclusivamente dai fornitori inseriti nel Cloud Marketplace della PA. Il fornitore che intenderà certificarsi per erogare i servizi Cloud o certificare la propria infrastruttura Cloud per fornire servizi SaaS tramite la stessa dovrà risultare inserito tra i CSP qualificati.

La piattaforma per l’invio delle domande finalizzate ad ottenere la qualificazione come Cloud Service Provider della Pubblica Amministrazione è online ed è attiva.

I soggetti pubblici e privati interessati ad ottenere la certificazione potranno iscriversi al marketplace della PA come fornitori di servizi cloud sicuri, efficaci ed efficienti in favore della pubblica amministrazione, ma prima dovranno dimostrare di possedere una serie di requisiti di tipo organizzativo, di sicurezza, di performance, scalabilità, interoperabilità e portabilità stabiliti nella circolare AGID n. 2 del 9 aprile 2018 ed ottenere la certificazione come fornitori qualificati per la p.a., inviando le domande mediante la piattaforma dedicata.

Tra i requisiti organizzativi, gli interessati ad ottenere la qualificazione dovranno dimostrare di disporre:

di un servizio di supporto clienti strutturato ed in grado di coprire le esigenze operative che possono manifestarsi nel contesto dell’erogazione dei servizi proposti;
di un processo maturo e affidabile in grado di assicurare un continuo aggiornamento del software relativo alle soluzioni fornite in modalità SaaS e
dimostrare di aver adottato "best-practice" del settore, nonché delle linee guida il cui contenuto è descritto nell’allegato tecnico alla circolare n. 2 cit. per quanto riguarda lo sviluppo, la configurazione e la manutenzione del software utilizzato per implementare i servizi erogati.

Tra i requisiti di sicurezza invece si richiede di disporre di misure concrete che garantiscano il continuo aggiornamento dei sistemi e di procedure in grado di risolvere situazioni di emergenza e di essere certificati secondo lo standard ISO/IEC 27001 esteso con i controlli degli standard ISO/IEC 27017 e ISO/IEC 27018; in alternativa, l’interessato dovrà dimostrare di aver effettuato il CSA STAR Self-Assessment (Cloud Security Alliance), comunicare la documentazione relativa ad AGID e renderla disponibile sul proprio sito web.

Il percorso di certificazione dei fornitori di servizi cloud per la p.a. e fornitori di Servizi SaaS (Software as a Service) rientra nell’obiettivo finale della p.a. di creare un marketplace dei servizi cloud per la pubblica amministrazione in cui i fornitori iscritti rispecchiano standard omogenei di sicurezza, efficienza e stabilità elevati.

Come presentare la domanda per ottenere la qualificazione

Gli interessati che intendano ottenere la qualificazione potranno accedere alla “piattaforma” dal sito di AGID esclusivamente autentificandosi con SPID. La qualificazione CSP consente di erogare servizi IaaS e PaaS oppure di qualificare la propria infrastruttura Cloud affinchè possa essere impiegata quale infrastruttura di base (utilizzata direttamente oppure da parte di altri fornitori) per l’erogazione di servizi SaaS.

La Circolare AgID n. 2/2018 definisce a tal proposito tre diverse tipologie per la qualificazione CSP:

Tipo A - per erogare servizi Cloud appartenenti alle classi IaaS e/o PaaS;
Tipo B - per ottenere l'abilitazione dell'infrastruttura Cloud ad erogare servizi SaaS (direttamente oppure rendendo utilizzabile la propria infrastruttura Cloud ad altri provider);
Tipo C - che comprende entrambe le prerogative previste nei punti precedenti.

La procedura guidata consente di inserire fino a quattro servizi IaaS e fino a quattro servizi PaaS nella medesima domanda di qualificazione. Per un numero maggiore di servizi, l’interessato dovrà invece inviare una nuova richiesta di qualificazione, ripetendo l’iter di qualificazione secondo le indicazioni contenute nella procedura guidata della piattaforma.

La richiesta di qualificazione (istanza), le dichiarazioni contenute nella stessa e la documentazione inserita costituiscono una "dichiarazione sostituiva di atto di notorietà" resa ai sensi dell'art. 47 del DPR n. 445/2000.

La trasmissione dell’istanza e dei documenti richiesti può essere effettuata direttamente dall’interessato o avvenire anche tramite soggetti terzi delegati; in questi casi, l’istante, definito soggetto partner, dovrà produrre opportuna delega che lo autorizzi ad agire in nome e per conto del fornitore ai sensi della normativa vigente. La procedura per la qualificazione CSP e/o la qualificazione SaaS si conclude con la corretta acquisizione tramite la piattaforma dedicata della richiesta di qualificazione. AGID effettuerà gli opportuni controlli e le verifiche necessarie su dichiarazioni e documentazione. I CSP e i servizi IaaS, PaaS e SaaS che otterranno la qualificazione da AgID saranno inseriti nel Cloud Marketplace.

Presto sarà disponibile anche la piattaforma per la qualificazione come fornitori di servizi Saas per le PA (per maggiori informazioni in merito, si rimanda alla Circolare Agid n. 3/2018).