Sicurezza del servizio
Crittografia, isolamento del tenant, protezione del dato in transito e a riposo, gestione delle chiavi.
Conformità · Cloud per la PA italiana
Qualificazione dei servizi cloud per la pubblica amministrazione.
Requisiti tecnici, organizzativi e di sicurezza per fornitori di servizi cloud destinati alla PA italiana. Inquadramento previsto dall'Agenzia per la Cybersicurezza Nazionale e dall'Agenzia per l'Italia Digitale.
Contesto
A chi si applica
Fornitori di servizi cloud (CSP) e fornitori di servizi SaaS che intendano vendere o erogare servizi a enti della pubblica amministrazione italiana, secondo le categorie e i livelli previsti dal quadro nazionale di qualificazione vigente. Il quadro normativo è in evoluzione: l'inquadramento puntuale viene definito nello scoping in base alla data di avvio e al perimetro di servizio.
Cosa copre l'assessment
Cosa copre l'assessment
Governance e organizzazione
Ruoli, responsabilità, processi documentati, formazione e gestione del personale con accesso al dato PA.
Localizzazione e sovranità del dato
Posizione fisica delle risorse, residenza legale dei dati, controlli sulle giurisdizioni di accesso.
Continuità e resilienza
Business continuity, disaster recovery, SLA, gestione delle crisi.
Supply chain
Subfornitori, dipendenze tecnologiche, valutazione del rischio terzi.
Audit e tracciabilità
Log, evidenze, procedure di verifica e supporto agli audit dell'ente cliente.
Lo stesso metodo
Stessa metodologia, applicata alla norma specifica.
La parte di metodologia comune a tutte le certificazioni — la piattaforma open-source, i documenti consegnati, il modello di maturità 0–5, le fasi del lavoro — è descritta una volta nella pagina principale di Conformità.
Hai una scadenza da affrontare su questa norma?
Partiamo da uno scoping: classificazione dell'organizzazione, perimetro, persone responsabili, disponibilità delle evidenze già esistenti. Da lì si dimensiona il resto.