AWS Security Blog
AWS achieves QI2/QC2 qualification to host critical data and workloads from the Italian Public Administration
Amazon Web Service (AWS) is pleased to announce that it has achieved the QI2/QC2 qualification level, set out by the Italian National Cybersecurity Agency (ACN) in Determination No. 307/2022, for AWS cloud infrastructure and 130 AWS cloud services. The scope of this qualification level includes the management of Critical data and workloads for Italian public administration customers. Customers and partners who manage workloads identified as Critical, according to the rules set out in ACN Determination No. 307/2022, can now benefit from the qualification achieved by AWS.
Obtaining the ACN QI2/QC2 qualification for managing critical data and workloads means that AWS meets the 366 requirements for security, processing capacity, infrastructure reliability, and scalability of cloud services, including being certified according to security and compliance standards such as ISO 9001, ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, Cloud Security Alliance – Star Level 2, ISO 22301, and ISO 20000.
Qualification of cloud infrastructure and services is an integral part of the Italian Cloud Strategy, issued by the Department for Digital Transformation and ACN. The strategy contains guidelines for migrating data and digital services of the Italian Public Administration to the cloud.
The Italian Cloud Strategy starts from the principle that public administrations manage data and workloads that operate at different levels of criticality. When migrating from an on-premises solution to the cloud, public administrations must identify which risk class their workloads and data belong to.
ACN has identified the following three classes of data in relation to the damage that could be caused to the country in the event of a breach in terms of confidentiality, integrity, and availability.
- Ordinary: Data and services whose deterioration does not cause the interruption of the state service nor, in any case, harm the economic and social wellbeing of the country.
- Critical: Data and services whose compromise could compromise the maintenance of important functions for society, health, safety, and the economic and social wellbeing of the country.
- Strategic: Data and services that, if compromised, can have an impact on national security.
Different levels of criticality require different levels of qualification according to the following scheme.
Thanks to the presence of the AWS Europe (Milan) Region since April 2020, and the new QI2/QC2 qualification obtained by AWS, our customers and partners can now feel confident to develop innovative cloud services that manage the critical workloads of the Italian Public Administration that run on AWS cloud infrastructure. The qualification obtained by AWS will be available on the ACN Cloud Market Place in the next weeks.
Our customers can refer to the AWS QI2/QC2 qualification to confirm that the AWS control environment is designed and implemented appropriately. By receiving the qualification to manage Critical workloads, AWS demonstrates our commitment to meet the highest security expectations for cloud service providers set out by ACN.
As always, we value your feedback and questions. Reach out to the AWS Compliance team through the Contact Us page. To learn more about our other compliance and security programs, see AWS Compliance Programs.
If you have feedback about this post, submit comments in the Comments section below. If you have questions about this post, contact AWS Support.
Want more AWS Security news? Follow us on Twitter.
Italian version
AWS ottiene la qualifica QI2/QC2 per ospitare dati e carichi di lavoro critici della Pubblica Amministrazione italiana
Amazon Web Service (AWS) è lieta di annunciare di aver ottenuto il livello di qualificazione QI2/QC2, stabilito dall’Agenzia per la Cybersicurezza Nazionale (ACN) nella Determina n. 307/2022, per la sua infrastruttura cloud e 130 servizi cloud. La qualificazione QI2/QC2 è necessaria per poter eseguire, su cloud pubblico, dati e dei workload identificati come CRITICI per i clienti della pubblica amministrazione italiana. I clienti e i partner di AWS che gestiscono carichi di lavoro identificati come critici, secondo le regole stabilite nella Determinazione ACN n. 307/2022, possono ora beneficiare della qualifica ottenuta da AWS.
Conseguire la qualifica QI2/QC2 della ACN, per la gestione di dati e carichi di lavoro critici, significa che AWS soddisfa 366 requisiti di sicurezza, capacità di elaborazione, affidabilità dell’infrastruttura e scalabilità dei servizi cloud, incluso il possesso di certificazioni e standard di sicurezza e conformità quali ISO 9001, ISO/IEC 27001:2013, ISO/IEC 27017:2015, ISO/IEC 27018:2019, Cloud Security Alliance – Star Level 2, ISO 22301 e ISO 2000.
La qualificazione dell’infrastruttura e dei servizi cloud è parte integrante della Strategia Cloud Italiana, emessa dal Dipartimento per la Trasformazione Digitale e da ACN. La Strategia contiene le linee guida per la migrazione dei dati e dei servizi digitali della Pubblica Amministrazione italiana verso il cloud.
La Strategia Cloud italiana si sviluppa sul principio che le pubbliche amministrazioni gestiscono dati e carichi di lavoro che operano a diversi livelli di criticità. Nel processo di migrazione dei loro dati/workload da on-premise al cloud, le pubbliche amministrazioni devono identificare a quale classe di criticità appartengono i loro workload e i loro dati.
La Strategia Cloud italiana ha identificato tre classi sulla base del danno che una loro compromissione, in termini di confidenzialità, integrità e disponibilità, provocherebbe al sistema Paese.
Tali classi sono:
- Ordinario: dati e servizi la cui compromissione non provochi l’interruzione di servizi dello Stato o, comunque, un pregiudizio per il benessere economico e sociale del Paese
- Critico: dati e servizi la cui compromissione potrebbe determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese
- Strategico: dati e servizi la cui compromissione può avere un impatto sulla sicurezza nazionale.
Livelli di criticità diversi richiedono differenti livelli di qualifica della infrastruttura e dei servizi cloud che li ospiteranno.
Grazie alla presenza della regione italiana di AWS Europe (Milano), fin da aprile 2020, e grazie alla nuova qualifica QI2/QC2 ottenuta da AWS i nostri clienti e i nostri partner possono sviluppare servizi cloud innovativi che gestiscono i carichi di lavoro critici della Pubblica Amministrazione italiana e mandarli in esecuzione sull’infrastruttura cloud AWS. La qualifica ottenuta da AWS sarà disponibile su ACN Cloud Market Place nelle prossime settimane.
Infine, i nostri clienti possono fare riferimento alla qualifica QI2/QC2 di AWS per confermare che l’ambiente di controllo AWS è progettato e implementato in modo appropriato e in linea con i requisiti di qualità, sicurezza e resilienza previsti da ACN. Ricevendo la qualifica per la gestione dei carichi di lavoro CRITICI, AWS dimostra il suo impegno a soddisfare le più elevate aspettative di sicurezza per i fornitori di servizi cloud stabilite da ACN.
Come sempre, apprezziamo il tuo feedback e le tue domande. Contatta il team di conformità di AWS tramite la pagina Contattaci. Per ulteriori informazioni sugli altri nostri programmi di conformità e sicurezza, consulta AWS Compliance Programs.