L’AGID (l’Agenzia per l’Italia Digitale) ha avviato, verso la fine del mese di luglio, la procedura di qualificazione dei Cloud Service Provider (CSP) che intendono fornire i loro servizi alla Pubblica Amministrazione. È uno degli step previsti dal Piano triennale per l’informatica pubblica 2017-19 ed è funzionale a consentire alle Pubbliche Amministrazioni di acquistare servizi su cloud esclusivamente dal marketplace che esporrà solo fornitori selezionati dalla stessa AGID.
Trascurando gli aspetti prestazionali, la parte più rilevante della procedura, messa a disposizione da AGID lo scorso 23 luglio, riguarda i parametri che i fornitori di servizi cloud devono garantire per entrare a far parte del marketplace riservato alla PA. AGID, infatti, richiede ai CSP una specifica conformità legislativa descritta in una scheda che, tra le altre caratteristiche, richiede:
-
di indicare la localizzazione dei data center al fine di garantire la conformità al GDPR con particolare riferimento al trasferimento di dati personali in paesi extra UE che devono offrire agli interessati garanzie di tutela analoghe a quelle dell’Unione Europea;
-
di fornire alla PA cliente la possibilità di verificare che la localizzazione dichiarata sia conforme a quella reale;
-
di dichiarare quali tipi di penetration test sono effettuati e con quale periodicità;
-
di applicare meccanismi di autenticazione solidi e, possibilmente, a due fattori cioè basati su qualcosa di più che la semplice password.
Insomma, per le Pubbliche Amministrazioni un passaggio tra le nuvole ma senza rischiare di cadere nel vuoto.