La sicurezza software (lato sistemistico ed applicativo), viene garantita da Opencontent, che ha sviluppato la piattaforma Opencity, provvedendo sia alle regolari procedure di manutenzione sistemistica sia agli obblighi di legge previsti per i servizi esposti su web tra cui le regole AgId in merito allo Standard Transport Layer Security (che prevede l’accesso al sito e ai servizi mediante protocollo https). Come previsto dalle regole AgId per l’assegnazione dei domini, il sito dell’ente è ospitato nel suo dominio istituzionale; ai servizi dell’ente è riservato un sotto dominio. L’accesso ai server da parte del personale tecnico di Opencontent avviene esclusivamente via protocollo di sicurezza criptato (Secure Shell – SSH) ed esclusivamente con chiavi di accesso individuali e crittografate (quindi non via password), passando attraverso un server bastion dedicato al solo accesso SSH. La versione SaaS di OpenCity Italia qualificata AgId secondo la normativa vigente è progettata per essere resa disponibile su diverse piattaforme cloud e usa normalmente il servizio AWS (Amazon Web Services). La sicurezza dell’infrastruttura fisica garantita da Amazon rispetta rigidissimi standard internazionali.
Tutti i server e servizi sono protetti da servizio firewall, al quale si aggiunge la presenza di protezione da attacchi DDos più comuni a livello di rete e di trasporto a siti Web o applicazioni.
È effettuato su base quotidiana il backup dei dati e dell’applicazione fornita: garantendo un backup con operazione dedicata al quale sono da aggiungere i backup automatici immediati conseguenti alla ridondanza geografica (dei server, del database, dello storage).
Agli strumenti ordinari di controllo e monitoraggio dei servizi (tra questi, nagios, con notifiche 24×7 via email ed sms) si aggiungono strumenti specifici offerti dal cloud AWS (il servizio cloudwatch), essenziali sia per l’identificazione di colli di bottiglia o anomalie nell’uso di risorse, sia per misurare effetti nel cambio di configurazioni.
La piattaforma viene aggiornata con patch di sicurezza rilasciate da Opencontent. Tutto il traffico internet, sia per dati pubblici che privati, è protetto da certificati SSL, la cui attivazione, installazione, mantenimento e rinnovo è totalmente a carico di Opencontent. Per il traffico SSL TLS si fa uso dei protocolli crittografici di più alto livello di sicurezza. Oltre alla protezione SSL è prevista la protezione antivirus ed antispam.
Sono effettuati periodicamente: il monitoraggio automatico dell’infrastruttura, dell’availability di tutti i servizi e degli eventuali tentativi di intrusione; il test di ripristino dell’infrastruttura (ogni 6 mesi) e verifiche per accertarsi che siano corrette ed efficienti le procedure di ripristino dei dati (disaster recovery). SLA dell’architettura: 99,5%; banda minima garantita: 100 Mbps; spazio di storage garantito: 1200 Gigabyte. I server offriranno una ridondanza completa ad ogni livello attraverso un modello N+1.
Secondo una visione di evoluzione tecnologica e miglioramento continuo, il team di OpenCity Italia analizza i feedback provenienti dalla community, dai partner, dai clienti e dagli utenti e li indirizza attraverso una roadmap pubblica e un insieme di attività visibili su GitLab. Supporta inoltre gli enti che usano la piattaforma nella realizzazione di test e nella pubblicazione dei propri piani di miglioramento tecnologico del sito e dei servizi (questa attività include anche i test e gli interventi richiesti dal capitolato tecnico per i fondi PNRR per lo sviluppo dei siti e dei servizi digitali basati su Lighthouse performance scoring).
Aspetti normativi
L’approccio di OpenCity rispetta ampiamente i requisiti minimi di sicurezza per le pubbliche amministrazioni definito di Agid
Aspetti tecnologici
Oltre agli aspetti citati in precedenza, OpenCity aderisce all’Open Web Application Security Project e ha ottenuto la certificazione internazionale OWASP.