Sei solo chiacchiere e distintivo. La prima procedura ufficiale per il GDPR da attuare con DPO e RTD.

Questo articolo è dedicato a Daniela Salzano.
Sei andata via troppo presto. Resti un esempio.

Iniziano ad uscire le LLGG sulla sicurezza, seguiamole e non facciamo spese inutili, investiamo in modelli di gestione e non in hardware inadeguato (solitamente sovradimensionato e non presidiato)

Preferisco non ripetermi, ribadendo che in Europa non si soggiace ad una legge sulla PRIVACY, ma ad una norma che spinge a dotarsi di un modello organizzativo, il GDPR, e che tuttavia utilizzare, o meglio provare a dotarsi di un modello conforme al GDPR senza essersi conformati al regolamento 2014/910 ( eidas ) è del tutto inutile

IIl 13 Giugno 2019 è stato l’ultimo giorno di consultazione delle LLGG sulle sicurezza nel procurement ICT, nell’attesa della definitiva pubblicazione possiamo iniziare a commentare velocemente i contenuti per quanto attiene al documento “strategico” per gli acquisti ICT .

Chiariamo subito una cosa, destinatari delle LLGG sono TUTTE le PPAA, i soggetti coinvolti sono :

RUP

DPO

Amministratori

RTD.

Il capitolo 2 rappresenta il caposaldo dell’enunciato provvedimento, esso si divide in tre fasi procedimentali

  1. azioni da svolgere prima dell’acquisto
  2. azioni da svolgere durante le procedure d’acquisto
  3. azioni da svolgere dopo la stipula

Le azioni da svolgere prima dell’acquisto sono definite AZIONI GENERALI e sono numerate da 1 a 7:

AG1-PROMOZIONE DI COMPETENZA E CONSAPEVOLEZZA
AG2-RACCOGLIERE BUONE PRASSI ED ESPERIENZA
AG3-STABILIRE RUOLI E RESPONSABILITA’
AG4-EFFETTUARE UNA RICOGNIZIONE DI BENI INFORMATICI E SERVIZI
AG5-CLASSIFICAZIONE DI BENI E SERVIZI SOTTO IL PROFILO DELLA SICUREZZA
AG6-DEFINIRE AUDIT E VALUTAZIONE DEL FORNITORE IN MATERIA DI SICUREZZA
AG7-DEFINIRE METODOLOGIA DI AUDIT INTERNO IN MATERIA DI SICUREZZA

Vediamole velocemente.

AG1-PROMOZIONE DI COMPETENZA E CONSAPEVOLEZZA

Ogni pubblica amministrazione deve essere orientata alla gestione del rischio e dotata di persone capaci al gestione del processo di acquisizione dei beni e servizi .

Qualora fosse conclamata, nei fatti, questa carenza, come spesso accaduto in precedenza bisogna prenderne atto ( e non mentire come fatto per le LLGG Agid 2/2017), quindi delegare a figure esterne questi aspetti; una delle figure potrebbe essere il DPO, il supporto RTD o consulenti selezionati proprio per questo scopo.
Nel piano di formazione del GDPR deve essere inserito un percorso di sensibilizzazione alla gestione del rischio.

AG2-RACCOGLIERE BUONE PRASSI ED ESPERIENZA

Semplicemente occorre creare una o più procedure finalizzate alla raccolta di esperienze interne ed esterne da condividere, la c.d. raccolta delle buone prassi.

Riporto un articolo per qualche spunto ed anche l’URL del CERT-PA

IL PTIPA ha spostato la pubblicazione delle LLGG MMS a Dicembre 2019.

https://www.cert-pa.it/

AG3-STABILIRE RUOLI E RESPONSABILITA’

Praticamente l’essenza della compliance e dell’accountability .

Lo strumento di lavoro sarà la matrice RACI-VS, la matrice prende il nome dalle iniziali dei RUOLI che appaiono, nel dettaglio
Responsabile-colui che produce l’effetto
Accontable-colui che approva
Consult-colui che viene consultato per generare il risultato voluto
Inform-colui che viene informato sul risultato

Verifier-colui che verifica tutto quanto sopra
Signatory-Funzione di approvazione del Verifier

AG4-EFFETTUARE UNA RICOGNIZIONE DI BENI INFORMATICI E SERVIZI

Semplicemente si tratta di inventariare gli asset, anche già presenti perchè come più volte detto la prima cosa da fare per proteggere è avere cognizione di cosa PROTEGGERE. Sembra banale? controllate i lavori in giro in ambito GDPR e poi ci confrontiamo.
Inoltre, il principio di CONOSCENZA di cosa possediamo (anche quindi non in proprietà) è un presidio fondamentali delle LLGG sulla sicurezza informatica che attendiamo per Dicembre 2019 e delle LLGG MMS AGID 2/2017 con la nomenclatura ABSC ID 1 e ABSC ID 2.

AG5-CLASSIFICAZIONE DI BENI E SERVIZI SOTTO IL PROFILO DELLA SICUREZZA

Occorre RI-CLASSIFICARE gli asset in funzione della criticità

AG6-DEFINIRE AUDIT E VALUTAZIOEN DEL FORNITORE IN MATERIA DI SICUREZZA

Occorre in funzione della criticità del procurement valutare il fornitore, le procedure le vedremo in un altro post

AG7-DEFINIRE METODOLOGIA DI AUDIT INTERNO IN MATERIA DI SICUREZZA

Certamente dopo aver AUDITATO (EHEHEH) il fornitore esterno occorre anche ascoltare le componenti interne dell’organizzazione e creare correttivi che naturalmente e fisiologicamente deriveranno dal nuovo asset acquistato.

In sintesi per la prima fase, quella prodromica all’attività di procurement, occorrerà stilare una chek list, che riporto

DENOMINAZIONE PA
AZIONEDOMANDEPUNTI
AG1ESISTE UN PIANO AGGIORNATO DI FORMAZIONE SUI TEMI DELLA SICUREZZA ?
ESISTE UN CALENDARIO DI EVENTI PER SENSIBILIZZARE IL PERSONALE SUI RISCHI?
AG2ESISTE UN ARCHIVIO DI BUONE PRASSI ED ESPERIENZE ?
AG3SONO FORMALIZZATI INCARICHI E RESPONSABILITÀ SULLA SICUREZZA DEGLIA ACQUISTI?
SONO DEFINITE LE MATRICI RACI-VS PER LA GESTIONE DEGLI ACQUISTI ?
AG4ESISTE UN INVENTARIO AGGIORNATO DEI BENI INFORMATICI DELL’AMMINISTRAZIONE?
AG5GLI INVENTARI DI CUI AG4 SONO STATI RICLASSIFICATI  IN FUNZIONE DELLA CRITICITÀ?
AG6È DEFINITA UNA METODOLOGIA DI AUDIT  DEI FORNITORI SULLA SICUREZZA ?
AG7È DEFINITA UNA METODOLOGIA DI AUDIT INTERNO SULLA SICUREZZA ?
SOMMATORIA DEI PUNTI ( SI=1, NO=0,IN PARTE = 0.5)
  • Azioni da svolgere durante le procedure d’acquisto

In questa fase la focalizzazione riguarda la criticità dell’asset ( materiale od immateriale) da acquisire.

La criticità può essere valutata sia in termine di costi che di impatto BIA.

Le azioni sono 4 e saranno siglate come AP ( AZIONI PROCUREMENT)

  • AP1 Analisi e classificazione in base ai criteri di sicurezza
  • AP2 Scelta dello strumento d’acquisto più adeguato
  • AP3 Scelta dei requisiti di sicurezza da inserire nel capitolato
  • AP4 Garantire competenze di sicurezza nella commissione di valutazione

AP1 Analisi e classificazione in base ai criteri di sicurezza

In questa fase, collegata intimamente all’AG 5 bisogna vedere e classificare come l’acquisizione IMPATTA sulla struttura organizzativa, in funzione del servizio reso, ma anche in termini finanziari, infatti la classificazione potrebbe anche essere fatta in funzione degli impegni di spesaRilascio di certificati per invalidi con istanza.

Lo strumento operativo può essere rappresentato da una tabella del genere:

QUESITIPESO DA ATTRIBUIRE (da 1 a 5)Risposte SI=1,NO=0,IN
PARTE 0.5
PONDERAZIONE
L’acquisto impatta su servizi critici ?
L’importo rientra nella programmazione ex articolo 21 c.6 del D.lgs 50/16 ?
La durata del contratto da stipulare supera la soglia minima di criticità?
La sede ove verranno erogate le prestazioni da acquisire è critica ?
Complessivamente quanto si ritiene critico l’investimento?

Facendo le ponderazioni per un migliore impatto visivo conviene attribuire i classici tre colori del semaforo per TRI-RIPARTIRE la magnitudo .

AP2 Scelta dello strumento d’acquisto più adeguato

L’Azione Procurement 2 é legata a filo doppio con la 1, in funzione della classificazione di AP1 infatti potrebbe essere conveniente utilizzare il MEPA ( con bassa criticità quindi ) oppure convenzioni od accordi quadro Consip nel caso di criticità maggiore.

Accordi quadro e convenzioni sono maggiormente curati sull’aspetto della sicurezza, qualora non fossero adatti si prosegue con l’Azione Procurement 3.

AP3 Scelta dei requisiti di sicurezza da inserire nel capitolato

Quando l’amministrazione non è soddisfatta da Mepa e Consip, ovviamente spingerà verso livelli di sicurezza superiori , quindi nel rispetto del D.lgs 50/16, della L.55/19, della circ 2/2017 Agid ( ad oggi) e del GDPR inserirà specifiche tecniche ed amministrative per qualificare il servizio e l’offerente, a tal punto è consigliabile prendere spunto dall’allegato A delle LLgSPICT, a titolo di esempio le riporto appresso :

Queste sono le prime sei, in realtà sono 45 . SIGH!!!!

Ma una volta fatto il bando con tanto di lex specialis non possiamo esimerci dall’avere una commissione ex art 77 validissima, infatti la prescrizione dell’Azione Procurement 4 è

AP4 Garantire competenze di sicurezza nella commissione di valutazione

Nelle more e nell’attesa dell’Albo Nazionale dei commissari ( spostato al 31/12/2020) sarà necessario per non inficiare tutte le AG e le AP scegliere un commissario (anche esterno) adatto all’acquisizione.

La tabella riepilogativa delle PA sarà

AZIONEQUESITIRISPOSTE
AP1COME È STATA CLASSIFICATA L’ACQUISIZIONE IN FUNZIONE DELLA CRITICITÀ ( ALTA, BASSA..)
AP2QUALE STRUMENTO DI ACQUISIZIONE È STATO SCELTO ? ( MEPA, AQ, GARA DA ZERO)
AP3 NEL CAPITOLATO SONO STATI INSERITI TUTTI GLI ELEMENTI DI SICUREZZA ANCHE DELL’ALLEGATO A DELLE LLgSPICT?
AP4LA COMMISSIONE GIUDICATRICE HA COMPETENZE IN AMBITO DELLA SICUREZZA?
I REQUISITI DI SICUREZZA SONO CHIARI ED UNIVOCI ?

AZIONI DA SVOLGERE DOPO LA STIPULA DEL CONTRATTO .

O per meglio dire azioni che vanno svolte dal momento della stipula in poi. Sono 13 Azioni e sono collegate alle AG ed alle AP.

Vediamole :

A1 :UTENZE FORNITORI
A2: GESTIONE DISPOSITIVI FORNITORI
A3: GESTIONE ACCESSO RETE
A4: GESTIONE ACCESSO DB/SERVER
A5: STIPULA ACCORDI DI AUTORIZZAZIONE-RISERVATEZZA-CONFIDENZIALITÀ
A6: VERIFICA RISPETTO PRESCRIZIONI DI SICUREZZA NELLO SVILUPPO DELL’APPLICATIVO
A7: MONITORAGGIO UTENZE ED ACCESSI DEL FORNITORE
A8: VERIFICARE LA DOCUMENTAZIONE FINALE DEL PROGETTO
A9: EFFETTUARE IL DEPROVISIONING
A10: AGGIORNARE L’INVENTARIO DEI BENI
A11: EFFETTURAE IL WIPING
A12: MANUTENZIONE DEI BENI
A13: VULNERABILITY ASSESSMENT

A1 UTENZE FORNITORI

L’amministrazione deve inserire nella propria scheda di account management le credenziali di accesso ai dipendenti del fornitore. Anche loro saranno sottoposti alle ricognizione di log


A2 GESTIONE DISPOSITIVI FORNITORI

I requisiti di sicurezza del parco hardware che i fornitori utilizzeranno nell’espletamento dell’appalto devono essere indicati nell’appalto, ad esempio crittografia e policy della password. Quando il fornitore tratta i dati in nome e per conto dell’amministrazione (configurando nei fatti un addendum contrattuale ex articolo 28 DGPR) le cose si semplificano un bel po’. Potrebbe anche essere che per forniture e servizi altamente critici ci sia il divieto assoluto di utilizzazione di hardware del fornitore, in questo caso A2 si attua con il controllo del divieto imposto già dal capitolato.

A3 GESTIONE ACCESSO RETE

L’accesso alla rete deve essere abilitato e configurato per quanto strettamente necessario. Può avvenire con VPN dedicate e gli accessi dovranno essere tracciati anche ai fini dell’audit AG6.


A4 GESTIONE ACCESSO DB/SERVER

Deve essere consentito solo l’accesso ai DB ed ai server dove insiste l’applicazione da fornire o manutenere . Qualora occorresse accedere ad altri DB/SERVER bisogna gestire le eccezioni .

A5 STIPULA ACCORDI DI AUTORIZZAZIONE-RISERVATEZZA-CONFIDENZIALITÀ

E’ strettamente legata alle buone prassi dell’AG 2. Ogni fornitore dovrà consegnare all’amministrazione l’elenco del personale dipendente impegnato sul progetto che sottoscrive la confidenzialità del rapporto. Anche in questo caso conviene fare riferimento all’articolo 28 del GDPR ed anche al 32.

A6 VERIFICA RISPETTO PRESCRIZIONI DI SICUREZZA NELLO SVILUPPO DELL’APPLICATIVO

I requisiti di questa azione possono essere :

  • generici, in questo caso si lascia al fornitore la massima libertà di scelta di tecnologia e modalità operativa, queste caratteristiche vanno valutate dalla commissione giudicatrice ex articolo 77 del D.lgs 50/16
  • specifiche , in questo secondo caso è l’amministrazione a dare dei paletti ( anche in funzione dell’ambiente già in essere nella PA) .


A7 MONITORAGGIO UTENZE ED ACCESSI DEL FORNITORE

Nel caso (non raro) di susseguirsi di diversi dipendenti e collaboratori dei fornitori occorre avere una doppia matrice di riferimento, PROGETTO-FORNITORi e RUOLI-UTENZE. Queste matrici sono prodromiche all’azione 9.


A8 VERIFICARE LA DOCUMENTAZIONE FINALE DEL PROGETTO

Al termine del progetto il fornitore deve rilasciare :

  • documentazione finale del progetto
  • manuale installazione e di configurazione
  • report assessment di sicurezza con le azioni di mitigazione riportate
  • libretto di manutenzione con indicazioni per mantenere adeguatamente sicuro il progetto acquisito , nel dettaglio

+ produttore e versione del software utilizzato ( librerie, CMS, DBMS, firmware etc etc)
+ indicazioni per reperire i bollettini di sicurezza
+ indicazioni ed istruzioni per installare gli aggiornamenti di sicurezza
+ documento EoL

A9 EFFETTUARE IL DEPROVISIONING

L’amministrazione al termine di ogni progetto deve chiedere il deprovisioning delle utenze, nello specifico :

  • deprovisioning delle utenze fisiche del fornitore
  • deprovisioning delle utenze logiche del fornitore
  • deprovisioning delle utenze VPN
  • deprovisioning delle regole Firewall
  • richiedere dichiarazione di cancellazione dei dati dai dispositivi del fornitore

E’ evidente che avendo effettuato l’A7 diviene tutto più semplice.


A10 AGGIORNARE L’INVENTARIO DEI BENI

Nulla di più semplice per chi è ben adoperato all’utilizzo delle procedure AGID, si tratta di utilizzare gli strumenti del DPCM 10.08.15 e LL.GG Agid 2/2017.

  • ABSC 1.1.1 (M) o ABSC 1.1.2 (S)
  • ABSC 2.1.1 (M) o ABSC 2.2.1 (S)
  • ABSC 10.1.1 (M) o ABSC 10.1.2 (A) e ABSC 10.3.1 (M)

A11 EFFETTUARE IL WIPING

Al termine di ogni progetto di sostituzione di hardware devono essere cancellati i dati contenuti sui supporti.

E’ il caso di farsi rilasciare una relazione di distruzione e fare una verifica ispettiva documentata.

A12 MANUTENZIONE DEI BENI

Si tratta di coordinare quanto detto in A8 ( libretto di manutenzione) con gli aggiornamenti CERT-PA

A13 VULNERABILITY ASSESSMENT

Un assessment sulla vulnerabilità va eseguito almeno con cadenza annuale per gli strumenti collegati al web.
Ovviamente la frequenza deve aumentare in funzione della criticità dell’asset.

Le azioni, sinteticamente sono legate con rapporto 1 a molto alle i requisiti di sicurezza dell’appendice D




Ora riporto, come da LLGG AGID una matrice ancora più semplice che mette in relazione l’Azione con il tipo di fornitura

Ancora meglio vedere in funzione dell’impatto le diverse AZIONI ( Generali, Procurement, ed Azioni tout court)

Ora veniamo alla parte più semplice, o forse la più complessa: i requisiti da inserire nei capitolati dietro consiglio dell’Agid, parliamo del già citato allegato D.

Requisiti generali . Tab 5.1

Requisiti specifici ( forniture di servizi di sviluppo) Tab 5.2

Requisiti specifici ( forniture di oggetti connessi in rete ) Tab 5.3

Requisiti specifici ( forniture di servizi di gestione remota ) Tab 5.4

Quando noi siamo gli attacchini degli altri. Le richieste dell’INPS per i contributi IVS dei coltivatori diretti.

Ci siamo…entro il 30 giugno occorre pubblicare le notizie sull’albo pretorio on line del Comune l’elenco mandato dall’INPS per i coltivatori diretti soggetti alla contribuzione IVS.

Qualcuno trova illegittima per PRIVACY questa prassi.

Io come sempre dico che la trasparenza amministrativa viene prima della privacy, e che la pubblicità legale viene prima delle due.

In questo caso l’INPS chiede ai comuni di residenza dei soggetti di dare la massima pubblicità, lo strumento è quello proprio dell’articolo 32 della L. 69/09, ovviamente l’INPS chiede anche la relata di notificazione.

Le norme di riferimento, per chi vuole stare tranquillo, sono l’articolo 124 comma 2 del TUEL ( pubblicità legale di atti non prodotti dall’ente, siamo solo attacchini) e l’articolo 11 L. 9/1963.

Proprio l’articolo 11, dopo aver imposto la pubblicazione ne spiega i motivi, l’opposizione di chiunque ne abbia diritto.

Il problema si sposta sull’adeguatezza dei sistemi informativi tirando in ballo non solo il GDPR ( che resta come si dice a Napoli piatt vacant , cioè vuoto da riempire) , ma anche il Piano triennale ICT per la PA ed il CAD.

Come dovrebbe essere ormai noto, l’albo pretorio on line non deve essere indicizzato dal web e le informazioni dopo 15 giorni devono sparire, i documenti devono avere la firma digitale ( per garantire l’integrità ) ed il sistema deve essere dotato di certificato di sicurezza.

Come sempre in caso di dubbi consultatevi con il vostro DPO ed il vostro RTD

Conversione in legge del DL 32/19. Bisogna avere un caos dentro di sé per partorire una stella danzante…

Qualche giorno e sarà pubblicata in GURI la conversione in legge dello SBLOCCA CANTIERI.

Le novità sono molte, e le semplificazioni sono scomparse ma affronteremo i problemi dopo la pubblicazione in maniera analitica, comunque giusto per sapere cosa ci aspetta vediamo sommariamente il testo definitivo ( anche se non ancora pubblicato)

Primo punto importante , e credo IMPOSSIBILE da rispettare nei termini previsti dalla conversione in legge è ritorno al regolamento unico da effettuarsi entro 180 GG .

Gran parte delle modifiche di cui parleremo hanno il tenore di sospensione della norma generale in via sperimentale fino al 31/12/2020, ed entro il 30/11/2020 si dovrà decidere se diventeranno NORMA oppure se la sperimentazione terminerà .

Torniamo a discutere delle novità :

  • articolo 37 comma 4 del 50/16, sospensione dell’obbligo di CUC per le città non capoluogo ( in aderenza anche a solenni pareri della giurisprudenza) . E’ evidente che una giusta qualificazione della Sa ai sensi dell’articolo 38 del codice dei contratti avrebbe risolto molte problematiche
  • Posssibilità di ricorrere all’appalto integrato
  • Novità sull’albo dei commissari di gara ex articolo 77 comma 3 , già sospeso fino al 14 Luglio sarà ulteriormente sospeso fino al 31/12/20, quindi si applicherà la norma dell’articolo 216 comma 12, letta congiuntamente con il CdS recentissimo del 04/04/12019 n. 3750 che impone il presidente della commissione INTERNO
  • Si ritorna al limite del sub-appalto pari a non più del 40 %
  • Scompare l’inversione procedimentale dell’articolo 36 comma 5 per le procedure negoziate e viene introdotto per le procedure aperte , quindi nella maggior parte dei caso nuovamente pasta sotto e carne sopra


  • Resta confermata l’anticipazione del 20 % anche sulla fornitura di servizi come previsto dall’articolo 35 comma 18 modificato dal DL 32/19
  • Resta confermato il comma 6 bis articolo 36 sui controlli di CONSIP per gli iscritti MEPA

Ai fini dell’ammissione e della permanenza degli operatori economici nei mercati elettronici di cui al comma 6, il soggetto responsabile dell’ammissione verifica l’assenza dei motivi di esclusione di cui all’articolo 80 su un campione significativo di operatori economici. Dalla data di entrata in vigore del decreto di cui all’articolo 81, comma 2, tale verifica sara’ effettuata attraverso la Banca dati nazionale degli operatori economici di cui all’articolo 81, anche mediante interoperabilita’ fra sistemi. I soggetti responsabili dell’ammissione possono consentire l’accesso ai propri sistemi agli operatori economici per la consultazione dei dati, certificati e informazioni disponibili mediante la banca dati di cui all’articolo 81 per la predisposizione della domanda di ammissione e di permanenza ai mercati elettronici

  • Viene però modificata la portata del comma 7 ter dell’articolo 36, in pratica le SA non dovranno “non controllare” i requisiti articolo 80 di tutti gli iscritti al MEPA, ma solo di quelli già RADIOGRAFATI da CONSIP SPA, quindi c’è da aspettarsi un elenco delle aziende VALIDATE dalla CONSIP, a tal fine consiglio di utilizzare , nelle more delle nuove LLGG 4, lo schema proposto qualche tempo addietro che potete trovare qui

Per gli approfondimenti specifici ( i valori degli appalti e le procedure competitive) preferisco attendere visto che ci sarà molto CAOS, alla faccia delle semplificazione e delle stelle partorite di  Nietzsche.
A proposito ho deciso quale sarà la prossima frase di  Nietzsche che mi farò tatuare.

alla prossima

Manuale da adottare per il GDPR

Il manuale allegato è di facile consultazione, deve essere adottato e messo tra i regolamenti ex articolo 12 del D.lgs 33/13.
Contiene le prime quattro procedure e soprattutto la prima procedura che vede coinvolto anche il RTD ( Responsabile Transizione al digitale ) .

NOTA IMPORTANTE : LE PROCEDURE SARANNO di volta in volta aggiornate in un documento separato.

Gli allegati sono scaricabili dal sito www-ca-campania.com area PROCEDURE ed ALLEGATI.

Il manuale permette una migliore gestione per i controlli che dovrà fare il DPO.

Il manuale è scritto per i Comuni ma può essere adattato a tutte le PA ( per le quali valgono tutte le procedure)

Per la formazione specifica ed obbligatoria contattatemi.

Servizi CLOUD PA siti web e software ILLEGALI

Nell’attesa della pubblicazione in Gazzetta delle LL.GG. sulla sicurezza informatica in fase di e procurement ritengo sia importante chiarire alcuni aspetti sui servizi CLOUD obbligatori per le PP.AA.

Sappiamo tutti che dal 1 Aprile tutte le PA devono acquistare solo attraverso fornitori qualificati in CONSIP-AGID , per comodità vi riporto l’elenco degli operatori qualificati, questo molto semplicemente significa che se avete software in cloud ( dopo analizziamo meglio la classificazione ) ed il vostro fornitore non è inserito in questo elenco dobbiamo adeguarci .

24-09-2018IBM ITALIA SPATipo Csilviabellucci@it.ibm.com
12-10-2018Oracle CorporationTipo Cufficio-gare_it@oracle.com
21-11-2018Microsoft CorporationTipo Cmderosa@microsoft.com
05-12-2018Maggioli SpaTipo Bsegreteriacommerciale@maggioli.it
10-12-2018AMAZON WEB SERVICES EMEA SARLTipo Caws-pa-it@amazon.it
11-12-2018SISCOM SPATipo Bcommerciale@siscom.eu
18-12-2018APKAPPA SRLTipo Bcloud@apkappa.it
21-12-2018Aruba S.p.A.Tipo Ccommerciale.cloudpa@staff.aruba.it
21-12-2018Boxxapps S.r.l.Tipo Bemanuele.zanatta@boxxapps.com
21-12-2018CSI PiemonteTipo Cvito.baglio@csi.it
21-12-2018E-SED SOCIETA’ COOPERATIVATipo Bfrancesco.gaoni@e-sed.it
07-01-2019ADS automated data systems SpATipo Badscloud@ads.it
28-01-2019Netalia SrlTipo Cvendite@netalia.it
01-02-2019EX LIBRIS ITALY SRLTipo Binfo-italy@exlibrisgroup.com
05-02-2019Hypergrid srlTipo Cinfo@hypergrid.it
07-02-2019Lombardia Informatica SpaTipo Agiuseppe.ceglie@lispa.it
13-02-2019SALESFORCE.COM EMEA LIMITEDTipo Cpcenci@salesforce.com
21-02-2019Fastweb S.p.A.Tipo Centerprise.cloudpa@fastweb.it
01-03-2019INAZ SRLTipo Bufficiogare@inaz.it
07-03-2019CINECATipo Cdemand.univ@cineca.it
07-03-2019Reevo S.r.lTipo C
13-03-2019Westpole spaTipo Ca.silvi@westpole.it
14-03-2019Enter SrlTipo Csdallera@enter.eu
14-03-2019IRIDEOS spaTipo C
18-03-2019Telecom Italia S.p.A.Tipo Ccsp.pa@telecomitalia.it
19-03-2019CRITICALCASE SRLTipo C
21-03-2019STUDIO AMICA SOC. COOPTipo Bcataldo.lolli@studioamica.it
25-03-2019MEGASP S.R.L.Tipo Bufficiogare@sigmatel.it
29-03-2019GPI SPATipo Bsegreteria.commerciale@gpi.it
29-03-2019SAP SETipo Benzo.pagliaroli@sap.com
30-03-2019ENGINEERING D.HUB S.P.ATipo Cinfo-commerciali@eng.it
05-04-2019Progetti e Soluzioni SPATipo Bcloudpa@progettiesoluzioni.it

Quando diciamo cloud in realtà si apre un mondo avanti, ma per i servizi da acquistare dobbiamo prendere dimestichezza con alcuni concetti fondamentali, anche al fine di chiarire i rapporti contrattuali con i nostri fornitori di software, cosa per la quale ci dovrebbe aiutare il DPO ed il RTD , il C@ronte ed il Giullare per gli amici.

Software as a Service/SaaS
Tra i modelli di servizio offerti dalle piattaforme di Cloud computing, il Software as a Service (SaaS) identifica una classe di servizi fully-managed in cui il gestore del servizio (CSP) si occupa della predisposizione,
configurazione, messa in esercizio e manutenzione dello stesso (utilizzando un’infrastruttura cloud propria o di terzi), lasciando al fruitore del servizio (PA) il solo ruolo di utilizzatore delle funzionalità offerte.
Per intenderci è il classico software che acquistiamo ( o meglio utilizziamo) da operatori evoluti per le questioni lavorative, ad esempio La suite di Google Documents, Drive, Office 365 , il CRM aziendale od anche il CMS .

Platform as a Service/PaaS
Una categoria di servizi cloud in cui le funzionalità cloud offerte sono di tipo programmatico ovvero il CSC (PA)
può amministrare, dispiegare ed eseguire applicazioni Cloud utilizzando uno o più linguaggi di programmazione, uno o più ambienti di sviluppo/esecuzione supportati dal CSP e i relativi componenti software a corredo (code di messaggi, database, ecc.) , il classico esempio di CED avanzati che però preferiscono operare solo sulla programmazione e non sull’infrastruttura, un esempio è il servizio acquistato dal fornitore di HOSTING che mette a disposizione capacità di calcolo , runtime e DB.

Infrastructure as a Service/IaaS
Una categoria di servizi cloud in cui le funzionalità cloud offerte sono di tipo infrastrutturale, tali funzionalità
consentono al CSC ( PA ) di disporre autonomamente in modo programmatico di risorse di computing, di storage e
networking. Si utilizza in pratica solo l’infrastruttura complessa.

Provo a disegnare un grafico per essere più chiaro ( userò GSUITE , quindi un Saas, ahahaha !!!)



Dal grafico è molto più immediato capire la differenza tra Saas, PaaS e IaaS e soprattutto affiancando l’on premise ( il locale) si capisce il perchè dell’urgenza di gestire con strutture qualificate il computo informatico delle PP.AA. come voluto dal Capitolo INFRASTRUTTURE del PTICT 2019-2020, ovviamente c’é di mezzo l’erario , ricordate


CLOUD FIRST
CI VEDIAMO, SULLO STESSO ARGOMENTO PER DISCUTERE DELLE LLGG AGID IN CONSULTAZIONE …
…E RICORDATE SE IL VOSTRO FORNITORE DI CLOUD NON APPARE NELL’ELENCO QUALCHE PROBLEMA C’E’, ANCHE PER IL WEB HOSTING DEL SITO ISTITUZIONALE ( CASISTICA PaaS)