Cloud sicuro: perché la qualifica AgID è importante per PA e Aziende?
Sommario
Sai veramente cosa accade ai dati della tua Azienda quando passano dal Cloud delle Pubbliche Amministrazioni? Quali sono le regole che la PA deve utilizzare per garantirne la sicurezza? E queste regole possono essere applicate anche alle Aziende?
La qualifica AgID per i servizi Cloud utilizzati dalla Pubblica Amministrazione è una risposta concreta a queste importanti domande.
Ma cos’è veramente la qualifica AgID (molto spesso anche chiamata, erroneamente, certificazione AgID)? E perché ha grande valore per la PA, i cittadini e tutte le imprese italiane?
I tuoi dati e le tue applicazioni sempre disponibili e al sicuro. Scopri il Cloud tutto italiano Vianova
PA e digitale: una grande opportunità per cittadini e imprese
La trasformazione digitale del settore pubblico semplifica la vita dei cittadini e porta molti vantaggi e opportunità di crescita economica anche alle imprese.
Basti pensare all’utilità di servizi come lo Spid, la fattura elettronica, la firma digitale, la conservazione digitale dei documenti.
I vantaggi della digitalizzazione sono molteplici:
- meno burocrazia e pratiche più veloci
- più trasparenza e disponibilità di informazioni in tempo reale
- possibilità di accesso ai dati della PA da qualunque device in maniera protetta
- riduzione di costi e sprechi per la gestione dei documenti fisici
- più opportunità di collaborazione per la fornitura di servizi alla PA (app, software, consulenze ecc), anche per le PMI.
La trasformazione digitale in corso, facilitata dal Cloud, richiede una sempre maggiore attenzione all’affidabilità dei servizi e alla sicurezza dei dati.
Perché è importante scegliere un Cloud sicuro?
Prestazioni più elevate per i servizi informatici, riduzione dei costi per hardware, storage, licenze software e consumi energetici, accesso facilitato ai documenti ovunque ci si trovi, più servizi online per cittadini e imprese.
Il Cloud sta cambiando il modo di lavorare, sia nelle aziende private, sia negli enti pubblici
I servizi Cloud non sono però tutti uguali, soprattutto quando si tocca il tema della sicurezza.
Quando sono nel Cloud, i dati della tua Azienda vengono memorizzati ed elaborati da potenti server ospitati nei Data Center sicuri dei provider. Questi server che erogano servizi “virtuali” devono lavorare senza interruzioni, fornire prestazioni adeguate ed essere protetti da attacchi informatici.
Un servizio Cloud affidabile e sicuro si distingue perché rispetta standard qualitativi stabiliti a livello internazionale per quanto riguarda:
- la protezione dei dati degli utenti
- la disponibilità delle informazioni
- la continuità del servizio
- l’integrabilità con altri servizi
Per questo pubbliche amministrazioni e aziende devono affidarsi a provider professionali, in possesso di infrastrutture efficienti e certificate, che possano garantire elevati livelli di sicurezza e affidabilità.
Solo i fornitori qualificati AgID possono offrire garanzie in questo senso.
Cos’è la qualifica AgID per il Cloud?
L’AgID, Agenzia per l’Italia Digitale, è un ente gestito dalla Presidenza del Consiglio che ha il compito di contribuire alla diffusione delle tecnologie dell’informazione e della comunicazione, favorendo l’innovazione e la crescita economica.
La strategia delineata da AgID prevede che le pubbliche amministrazioni adottino il principio del Cloud-first, cioè diano la precedenza al Cloud, per i loro progetti di digitalizzazione e per la scelta di software e applicazioni.
Grazie al Cloud, le pubbliche amministrazioni potranno fornire servizi informatici più efficienti e aggiornati.
Inoltre potranno abbandonare i loro Data Center fisici – strutture che sono costose, inefficienti, energivore e vulnerabili – per spostare i loro progetti sul Cloud, affidandosi quindi a provider esterni qualificati.
Questi provider, per poter lavorare con le PA, devono seguire un percorso di qualificazione finalizzato a dimostrare che i servizi di cloud computing da loro erogati sono sicuri, efficienti e affidabili.
Alla fine del percorso i provider ottengono la qualifica di CSP, Cloud Service Provider.
Per aiutare le imprese interessate a ottenere le qualifiche esiste anche un elenco di certificatori qualificati AgID.
La qualifica AgID è obbligatoria?
I fornitori Cloud che vogliono fornire servizi Cloud alle Pubbliche Amministrazioni devono essere qualificati da AgID e pubblicati nel Cloud Marketplace.
Il rispetto di questa regola, resa obbligatoria a partire da aprile 2019, è importante per gli enti pubblici, ma anche per le imprese che forniscono servizi informatici alle PA. Ad esempio, una software house che sviluppa app utilizzate dalla PA, deve appoggiarsi a un fornitore Cloud qualificato (o essere a sua volta un Cloud Service Provider qualificato).
Cos’è il Cloud Marketplace AgID e come funziona?
Il Cloud Marketplace è un catalogo pubblico consultabile da tutti su un sito internet dedicato.
Per ogni servizio o fornitore qualificato, l’ente o l’azienda interessata può consultare una scheda dedicata che riporta livelli di servizio, caratteristiche e costi dei servizi forniti.
Gli acquisti dei servizi da parte degli enti pubblici non possono essere effettuati direttamente sul Marketplace.
Le PA devono seguire le consuete indicazioni del Codice degli appalti e quindi acquistare attraverso strumenti come il mercato elettronico della PA di Consip (MEPA).
Come si ottiene la qualifica AgID?
Il processo di qualifica è molto severo. Il provider deve sottoporre preventivamente i servizi e l’infrastruttura alla procedura di qualificazione AgID.
Oltre alle caratteristiche funzionali (backup, ridondanza, ecc) vengono analizzati:
- gli standard tecnologici e di sicurezza adottati, le politiche di accesso alle informazioni e i meccanismi di autenticazione
- gli approcci utilizzati per la protezione dei dati in transito da e verso le reti interne ed esterne
- il superamento di analisi effettuate con tool di penetration test
- i livelli di conformità dei Data Center (standard di sicurezza, conformità e localizzazione)
- la presenza di certificazioni – ISO 9001, 27001 e relative estensioni 27017 e 27018
- la sicurezza e l’efficienza dei processi di attivazione e disattivazione Clienti
- i livelli di servizio garantiti
- la disponibilità 24 ore su 24 di un supporto tecnico
- la conformità alle indicazioni sul GDPR, il regolamento dell’Unione Europea in materia di trattamento dei dati personali e di privacy
- gli standard di progettazione e gestione, nonché le procedure e metodi per la gestione tempestiva di ogni cambiamento dell’infrastruttura Cloud
- il rispetto delle best-practices anche su aspetti di gestione di management (IEC20000).
Al fine di ottenere la qualifica AgID è inoltre utile avere un codice di condotta che offra ai dipendenti dell’Azienda indicazioni sui comportamenti da tenere al fine di proteggere l’infrastruttura tecnologica, i dati e le informazioni dell’Azienda e dei suoi Clienti.
Perché la qualifica AgID è importante per tutte le Imprese?
I dati sono sempre più importanti per le imprese e i sistemi per proteggerli sono sempre più sofisticati.
Anche per i servizi Cloud le aziende private hanno bisogno di garanzie.
Sapere che il proprio fornitore Cloud ha ottenuto la qualifica AgID ha quindi un valore aggiunto molto importante per tutte le imprese, anche al di fuori della PA.
Innanzitutto la qualifica viene riconosciuta esclusivamente ai provider che garantiscono performance elevate, sicurezza, affidabilità e interoperabilità (cioè la possibilità di migrare tutti i propri dati, o una parte di essi, da un servizio a un altro senza impedimenti).
Ma c’è di più. Tra i requisiti essenziali per ottenere la qualifica ci sono infatti anche la certificazione ISO 27001 e le sue estensioni 27017 e 27018.
Questa certificazione, rilasciata in base a standard internazionali e aggiornata con accurate verifiche periodiche, dimostra che il provider applica le best practice per quanto riguarda la sicurezza delle informazioni e la protezione dei dati aziendali e personali.
Un grande valore per chi deve scegliere un servizio Cloud, in ottica di continuità del servizio, disaster recovery, cyber security e GDPR.
Infografica
Perché il Cloud fa crescere le imprese
Per scaricare questo contenuto e ricevere altre notizie sul mondo TLC iscriviti alla nostra Newsletter