Richiesta Informazioni su sicurezza Informatica

#1

Buongiorno, riporto quanto previsto da AGID:
“A decorrere dal 1 aprile 2019, le Amministrazioni Pubbliche potranno acquisire esclusivamente servizi IaaS, PaaS e SaaS qualificati da AgID e pubblicati nel Cloud Marketplace.
Il precedente termine del 31 dicembre 2018 è stato prorogato con determina del Direttore Generale AgID n. 408 del 19 dicembre 2018”

In relazione alla possibilità di aderire al progetto utilizzandolo in SaaS, quali garanzie possono essere fornite? E’ in atto un vs processo di certificazione? Oltre alla richieste delle certificazioni AGID si segnala inoltre che il GDPR prevede da parte del Titolare la verifica di adeguata capacità del fornitore della soluzione (Responsabile) .Quali informazione e garanzie procedurali e tecnologiche potete fornire? Come verrebbe gestita la nomina a responsabile esterno?
Ringrazio

0 Likes

Documenti GDPR pre-firmati ad uso da parte di aderenti WhistleblowingPA
#2

Gentile LuLa,

in merito alle normative relative al Cloud Marketplace, ci stiamo lavorando realizzando le checklist di cui all’indirizzo https://cloud.italia.it/projects/cloud-italia-circolari/it/latest/circolari/SaaS/circolare_qualificazione_SaaS_v_4.12.27.html .

Abbiamo anche effettuato una richiesta ad Agid per alcuni chiarimenti e supporto specifico per l’accreditamento e pubblicazione all’interno del Cloud Marketplace, anche in considerazione della gratuità del servizio.

Per quanto attiene alla qualifica in corso di richiesta sarà per fornitore di Servizi SaaS, che dovrà portare la società no-profit Whistleblowing Solutions Impresa Sociale SRL ad essere iscritta fra i fornitori SaaS accreditati qui https://cloud.italia.it/marketplace/supplier/market/index_SaaS.html (attualmente ci sono solo grandissime aziende).

Il nostro fornitore di servizi infrastrutturali (IaaS, ovvero il server Linux su cui gira il software GlobaLeaks configurato per WhistleblowingPA) è Seeweb che già dispone di un ampio numero di certificazioni https://www.seeweb.it/azienda/certificazioni .

Facendo una fotografia ad “oggi”, parrebbe che solo grandissime aziende fornitori di servizi IT si sono già accreditate, ci sarà quindi nei prossimi mesi una “corsa” per le migliaia di realtà di più piccola dimensione organizzativa all’accreditamento.

Da un veloce controllo dei requisiti per l’accreditamento SaaS direi che ci siamo, non ci sono sostanziali cose da modificare lato software, ma un po’ di carta da scrivere e qualche procedura, che provvederemo non solo a realizzare ma anche a pubblicare nella sua interezza online, secondo la filosofia di completa trasparenza che il progetto GlobaLeaks nonché il partner di WhistleblowingPA Transparency International Italia persegue (oltre a potere raccogliere suggerimenti su come avere un meccanismo di continuous improvement). :slight_smile:

Forniremo su questo thread del forum i necessari aggiornamenti, man mano che rilasciamo il tutto.

In termini di adeguata capacità del fornitore secondo i criteri del GDPR, questa è la prima volta che ci viene richiesto, ma potremmo produrre un documentino ad-hoc che documenta l’estensiva esperienza e capacità dal 2012 ad oggi nella realizzazione e produzione di sistemi tecnologici di whistleblowing (siamo infatti gli sviluppatori e manutentori del software opensource GlobaLeaks, usato come prototipo alla base del software in riuso da ANAC), operando per WhistleblowingPA assieme a Transparency International Italia che è certamente la realtà maggiormente autorevole e competente in questa materia in tutto lo scenario nazionale.
Ritiene che potrebbe essere utile un documento così, così da pubblicarlo sul sito web del progetto?

In termini di Sicurezza il software ha principi di security by design e addirittura ha test di intrusione effettuati da società esterne che pubblichiamo inclusivi di report di dettaglio, così da consentire a terzi di effettuare una valutaizone indipendente del livello di sicurezza del medesimo tramite propri specialisti (finora di tutte le soluzioni, anche commerciali, quando il software è stato soggetto a comparazione è sempre risultato quello con il miglior punteggio) https://github.com/globaleaks/GlobaLeaks/wiki/Penetration-Tests .

In termini di GDPR compliance all’atto dell’iscrizione, tramite sottoscrizione elettronica, viene condiviso fra le parti il presente agreement https://www.whistleblowing.it/privacy/ .

Talune amministrazioni, per proprie esigenze documentali e/o di interpretazione contrattuale (vedi: richiedere un contratto firmato da potere archiviare), ci richiedono di avere un documento di nomina firmato e controfirmato, in tal caso vi possiamo inviare il template già con le firme solo da controfirmare.

Se vuole può collegarsi alla nostra chat di supporto, sul canale #globaleaks-support-it, dove potere ulteriormente approfondire eventuali aspetti. Per accedere https://slack.hermescenter.org

Grazie mille per l’interessamento nel progetto WhistleblowingPA e speriamo che possa essere d’aiuto al suo ente per il contrasto alla corruzione!

A presto!

Saluti
Fabio

0 Likes

#3

Salve, è possibile vedere il template già con le firme solo da controfirmare citato?

Grazie molte.

0 Likes

#4

Ciao,

abbiamo pubblicato questo post con documenti pre-firmati, su cui vi invitiamo a proseguire la discussione per quanto attiene alla compliance GDPR:

Documenti GDPR pre-firmati ad uso da parte di aderenti WhistleblowingPA

Seguiranno su questo thread quelle per quanto concerne la compliance Agid/SAAS in-progress.

0 Likes