Conservazione digitale dei documenti in cloud: ecco le regole | Agenda Digitale

La guida

Conservazione digitale dei documenti in cloud: ecco le regole

Approfondiamo la normativa di riferimento per capire come funziona la conservazione dei documenti in cloud, un tema che risulta essere non particolarmente chiaro: utili per comprendere la situazione le Linee guida Agid

17 Mar 2021
Giovanni Manca

consulente, Anorc

bonus bancomat 2020

A livello istituzionale non è particolarmente chiaro il tema della conservazione digitale dei documenti in cloud. Le strategie per il digitale della pubblica amministrazione indirizzate in modo istituzionale dal Piano Triennale per l’informatica ribadiscono al fine del raggiungimento di numerosi obiettivi il principio della razionalizzazione dei centri di elaborazione dati (Data Center o CED) partendo in modo più volte ribadito dal concetto di “cloud first” cioè il concetto secondo il quale le pubbliche amministrazioni devono, in via prioritaria, adottare il paradigma cloud prima di qualsiasi altra opzione tecnologica per la definizione di nuovi progetti e per la progettazione dei nuovi servizi nell’ambito di nuove iniziative da avviare.

Conservazione dei documenti in cloud, cosa dice la normativa

In linea con questo requisito le “Linee Guida sulla formazione, gestione e conservazione dei documenti informatici” emesse recentemente da AgID e pienamente in vigore dal 7 giugno 2021 ribadiscono e specializzano questo principio. Nel paragrafo 4.8 dedicato alle Infrastrutture delle sopra citate Linee Guida si stabilisce che: “Le componenti tecnologiche hardware e software utilizzate dai sistemi di conservazione delle Pubbliche Amministrazioni e dei conservatori sono segregate logicamente. Qualora i servizi di conservazione siano erogati in modalità cloud, il servizio deve essere qualificato come previsto dalla Circolare Agid n. 3 del 9 aprile 2018 e, conseguentemente, essere presente nel “Catalogo dei servizi Cloud per la PA qualificati” pubblicato sul sito di Agid”.

WEBINAR
[WEBINAR, 13 maggio] Una piattaforma per aiutare a crescere e migliorare le esigenze dei dipendenti
Istruzione
Networking

Conservazione dei documenti, ecco tutte le regole nelle linee guida Agid

Il concetto che risulta di complessa comprensione è quello dell’erogazione in modalità cloud dei servizi di conservazione. Questo perché il termine cloud include molti concetti architetturali, alcuni dei quali di non immediata collocazione nell’ambito delle regole per i servizi di conservazione digitale.

A questo punto ricordiamo cos’è il cloud citando la definizione pubblicata dal Dipartimento per la trasformazione digitale: “Il cloud computing (in italiano nuvola informatica), più semplicemente cloud, è un modello di infrastrutture informatiche che consente di disporre, tramite internet, di un insieme di risorse di calcolo (ad es. reti, server, risorse di archiviazione, applicazioni software) che possono essere rapidamente erogate come servizio. Questo modello consente di semplificare drasticamente la gestione dei sistemi informativi, sia eliminando la gestione relativa ad applicativi fruibili direttamente online, sia trasformando le infrastrutture fisiche in servizi virtuali fruibili in base al consumo di risorse”.

Conservazione accreditata Agid in cloud? Ma le norme vanno rifatte, ecco perché

In questa sede ci concentriamo sui concetti di IaaS ovvero Infrastructure-as-a-service e di SaaS ovvero Software-as-a-service in quanto associabili all’erogazione di servizi di conservazione digitale dei documenti informatici. Il fornitore di servizi di conservazione digitale può disporre di propri sistemi infrastrutturali o avvalersi del supporto di soggetti terzi come i cosiddetti cloud provider. In ogni caso bisogna tralasciare perché fuorvianti nell’analisi tutte le questioni che nel servizio di conservazione esulano strettamente dai temi infrastrutturali ovvero potenza di calcolo (RAM), memoria dinamica operativa (RAM) e memorizzazione dei dati (storage).

Come funzionano i servizi di conservazione

Se il conservatore utilizza questi servizi usufruendo di un fornitore esterno potrà disporre di infrastrutture dedicate ed esclusive. Queste infrastrutture sono allocate presso un CED in modo ben identificabile sia sul piano fisico che logico. E’ pressoché certo che ci si avvale di Virtual Computing tramite Virtual Machines dove le allocazioni di CPU e RAM possono o no essere dedicate al singolo fornitore di servizi. Il principio è quello del Virtual Server Hosting. I sistemi sono segregati logicamente altrimenti non si ha la conformità con le citate Linee Guida. Discorso analogo è fattibile per i sistemi di memorizzazione che, sempre per soddisfare, le Linee Guida sono dedicati al singolo servizio.

I servizi di conservazione utilizzano anche specifico software che per essere contestualizzato nel principio del cloud deve essere di tipo SaaS. In questo senso il software utilizzato per la conservazione deve essere basato su applicazioni “multi-tenant”, cioè noleggiabili da più utenti contemporaneamente, con codice non dedicato al cliente ma uguale per tutti. Il fornitore di servizi di conservazione può anche avere i propri sistemi in un proprio CED sia in termini fisici che logici. In questo caso l’elemento discriminante per questa analisi è se la conservazione viene commercializzata in modalità Virtual Server Computing (VSC) o cloud computing perché il requisito delle Linee Guida si riferisce al conservatore e quindi diventa fondamentale valutare come quest’ultimo offre commercialmente il suo servizio.

I requisiti

La descrizione prodotta fino a questo ci consente di ipotizzare delle risposte ai requisiti richiesti dalle Linee Guida. Un servizio è erogato in cloud se contrattualmente viene offerto “a consumo” cioè se il fornitore dei servizi di conservazione offre IaaS e SaaS senza licenze d’uso dedicate e con la segregazione esclusivamente logica per cliente di CPU, RAM e Storage. Nei casi che il servizio di conservazione viene offerto “a corpo” cioè volume dei dati da conservare per un determinato periodo di tempo è difficile valutare a priori se si parla di VSC o Cloud. Questo perché il cloud è realizzato mediante VSC; la differenza sta nel modo con il quale il servizio viene erogato contrattualmente. Questo aspetto può essere valutato solo caso per caso. Qualora la valutazione determina che si tratta di un servizio cloud sarà allora indispensabile essere presenti nel “Catalogo dei servizi Cloud per la PA qualificati” pubblicato sul sito di Agid. Le Linee Guida stabiliscono che la presenza nel catalogo sia obbligatoria anche per chi fornisce servizi a soggetti privati.

Allo stato dell’arte alcuni soggetti accreditati per i servizi di conservazione (l’istituto dell’accreditamento è comunque abrogato dal 7 giugno 2021) sono presenti nel catalogo sopra indicato. Questa può anche essere una scelta di natura commerciale visto che comunque si tratta di certificazioni ISO 27001 estese a requisiti di infrastrutture cloud e protezione dei dati personali. Un chiarimento istituzionale che descriva cosa è VSC e cosa cloud computing sarebbe estremante utile perché le due cose sono tecnicamente confinanti e nel contesto dei servizi di conservazione il confine non è univocamente definito.

CLICCA QUI per scaricare il White Paper:"La guida per gestire i documenti e contratti nel "NEW NORMAL"

@RIPRODUZIONE RISERVATA

Articolo 1 di 4