sabato 5 febbraio 2022

Qualificazione dei servizi cloud delle PA

Glauco Rampogna (un Idraulico della privacy) mi ha segnalato la pubblicazione degli atti per qualificare i servizi cloud delle PA:
- https://innovazione.gov.it/notizie/articoli/cloud-pa-online-gli-atti-per-classificare-dati-e-servizi-e-qualificare-i-servizi/.

Provo a fare un brevissimo riassunto (attenzione che il titolo della pagina è leggermente fuorviante, visto che parla di classificazione, che si trova in altri documenti, e non cita il cloud).

Un documento riguarda la predisposizione dell'elenco e della classificazione di dati e di servizi delle PA e prevede un questionario. Non so come accedere al questionario e immagino sia a disposizione solo delle PA.

Un altro documento riporta, nell'allegato A2, i "livelli minimi di sicurezza" per i servizi cloud delle PA. Mi sembra molto interessante e credo, come ho già detto altrove, che sia utile confrontarsi con questi criteri anche se non si erogano servizi cloud per le PA.

Nello stesso documento è presente un Allegato B2, con riportate le "caratteristiche di qualità, sicurezza, performance, scalabilità, interoperabilità e portabilità dei servizi cloud per la PA".

Il tutto serve per poi classificare i servizi cloud e le infrastrutture cloud per la PA.

I documenti fanno spesso riferimento al "Regolamento", ossia al ""Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione". Il nome è in effetti un po' lungo e non aiuta. Comunque si trova qui:
- https://trasparenza.agid.gov.it/archivio28_provvedimenti-amministrativi_0_12 3065_725_1.html.

In esso sono riportati criteri di classificazione dei dati e dei servizi digitali (articolo 3, comma 3). Purtroppo mi erano sfuggiti a dicembre, ma li trovo interessanti perché, in sostanza, prevedono una classificazione molto semplice in 3 livelli e non prevede etichettatura. Mi viene da pensare che potrebbero essere usati come base di partenza per la classificazione (e la non-etichettatura) anche dalle organizzazioni non della PA.

Una nota di demerito: gli allegati che ho richiamato sopra sono in un pdf che non permette né la ricerca né il copia-incolla. Spero che, in un'ottica di miglioramento generale della sicurezza, vengano presto messi a disposizione in un altro formato.

Nessun commento:

Posta un commento