compliance

Fornitura di servizi cloud e conformità al Gdpr: guida per le aziende



Indirizzo copiato

La fornitura di servizi cloud è una componente essenziale per le aziende. Tuttavia, l’adozione del cloud comporta considerazioni in termini di sicurezza e conformità normativa, in particolare al GDPR. Le aziende devono valutare con attenzione i provider per garantire la protezione dei dati e la compliance

Pubblicato il 9 lug 2024

Paola Zanellati

Responsabile Protezione dei Dati – DPO Consulente Privacy



Businessman’s,Hands,Display,Large,Online,Data,On,Cloud,To,Analyze
iaas

Negli ultimi anni, la fornitura di servizi cloud è diventata una componente essenziale per molte aziende e organizzazioni di tutto il mondo. La capacità di archiviare, gestire e elaborare dati su piattaforme cloud offre numerosi vantaggi, tra cui scalabilità, flessibilità, e riduzione dei costi. Tuttavia, l’adozione del cloud computing comporta anche importanti considerazioni in termini di sicurezza, privacy e conformità normativa.

È fondamentale che le aziende considerino questi obblighi di conformità al GDPR fin dall’inizio nella scelta dei servizi di cloud computing e del relativo provider.

Tipologie di servizi cloud

I servizi cloud possono essere suddivisi in tre categorie principali:

  • Infrastructure as a Service (IaaS): fornisce infrastrutture IT virtualizzate, come server, storage e reti. Gli utenti possono affittare queste risorse e gestirle come se fossero proprie, senza doversi preoccupare della gestione fisica dell’hardware.
  • Platform as a Service (PaaS): offre piattaforme che permettono agli sviluppatori di creare, testare e distribuire applicazioni. PaaS include strumenti e servizi per lo sviluppo, come database e server web, senza la necessità di gestire l’infrastruttura sottostante.
  • Software as a Service (SaaS): fornisce applicazioni software attraverso Internet. Gli utenti accedono ai software tramite un browser web, eliminando la necessità di installare e mantenere applicazioni localmente.

Le caratteristiche fondamentali del cloud computing

Quando si discute delle caratteristiche del cloud computing, spesso ci si riferisce al cloud pubblico, anche se non è l’unica forma di utilizzo di questa tecnologia. Nel caso del cloud pubblico, l’intera infrastruttura è gestita dal provider, eliminando la necessità per le aziende di investire in hardware, software e personale specializzato. Questo aspetto è cruciale sia dal punto di vista economico che per la difficoltà di reperire risorse qualificate sul mercato. Tuttavia, questo non si applica al cloud privato, che è gestito internamente dall’azienda, ma torna rilevante nel caso del cloud privato ospitato.

Una delle caratteristiche principali del cloud è la sua elasticità e scalabilità, che permettono alle aziende di adattarsi automaticamente alle variazioni nella domanda di risorse (come picchi stagionali, promozioni speciali, o situazioni di crisi). Inoltre, il cloud offre una modalità di utilizzo self-service, riducendo la necessità di coinvolgere il personale IT, che può anche essere assente in alcuni casi, come nell’acquisto di un servizio SaaS da parte di una divisione aziendale specifica.

Il ruolo dei provider di servizi cloud

I provider di servizi cloud sono i principali attori della trasformazione dell’IT verso i modelli cloud. Questi provider, grazie a risorse dedicate, competenze specialistiche, certificazioni ed esperienza, offrono alle aziende la possibilità di sfruttare il cloud per favorire la crescita del business.

Esempi notevoli sono Amazon, Microsoft, Google e IBM, che mettono a disposizione infrastrutture e piattaforme di servizi sia a livello infrastrutturale che applicativo.

Questi provider supportano ambienti di sviluppo basati su risorse cloud, migrazione di applicazioni e fornitura di risorse infrastrutturali (IaaS: compute, storage, network).

Anche per il cloud privato ospitato, il provider si occupa della resilienza dell’infrastruttura, delle prestazioni e di servizi essenziali come la continuità operativa e la cybersecurity, erogati rigorosamente as-a-service.

Le caratteristiche da considerare nella scelta di un cloud provider

Quando si sceglie un provider cloud, ci sono alcune caratteristiche fondamentali da considerare:

Reputazione solida e stabilità finanziaria

    • Verificare che il provider abbia una solida posizione finanziaria e una buona reputazione.
    • Informarsi su eventuali partner, leggere recensioni e cercare confronti diretti con clienti attuali o passati.

    Affidabilità del servizio

      • Il provider dovrebbe dimostrare il rispetto delle best practice e degli standard di settore, spesso certificati.
      • È essenziale che il provider fornisca report sulle prestazioni in modo trasparente e offra un supporto amministrativo adeguato alle esigenze specifiche dell’azienda.

      Chiarezza operativa

        • I processi di distribuzione, gestione e aggiornamento di software e applicazioni devono essere semplificati.
        • Verificare che il provider supporti anche il modello di cloud ibrido, per poterlo implementare successivamente se necessario.

        Elevati standard di sicurezza e gestione dei dati

          • Scegliere un provider che garantisca audit periodici del sistema di gestione, applicazione di patch e protezione di tutti i sistemi.
          • Verificare la conformità alle normative sulla privacy, come il GDPR, e la capacità di proteggere i dati con crittografia e gestione delle identità.
          • Assicurarsi che il provider adotti misure di sicurezza fisica nei data center e disponga di piani di ripristino documentabili.

          Collocazione geografica adeguata

            • La posizione dei data center è importante per garantire una buona User Experience e rispettare le normative locali sulla sicurezza e conformità.
            • Allocare i dati in un data center geograficamente vicino agli utenti può migliorare le prestazioni delle applicazioni.

            Introduzione alla ISO 27018 e alla sicurezza nel cloud

            La ISO/IEC 27018 fornisce linee guida per la protezione delle informazioni personali (PII) in ambienti di cloud computing pubblici. La sua adozione aiuta le aziende a garantire che i fornitori di servizi cloud (CSP) adottino misure adeguate per proteggere i dati personali, rispettando le normative e garantendo la fiducia degli utenti.

            Con l’adozione crescente del cloud computing, la protezione dei dati personali è diventata una preoccupazione primaria per le aziende. La ISO 27018 si concentra specificamente sulla protezione delle PII nel cloud pubblico, fornendo un quadro per la gestione della privacy e della sicurezza dei dati. Aderendo a questo standard, i CSP possono dimostrare il loro impegno verso la protezione delle PII, facilitando le aziende nella scelta di fornitori affidabili.

            La scelta del cloud provider e la conformità al GDPR

            Oggi, i servizi cloud sono utilizzati da aziende e organizzazioni di ogni tipo e dimensione, gestendo spesso grandi quantità di dati personali, compresi quelli sensibili. Pertanto, il titolare del trattamento dei dati deve scegliere con attenzione il provider di servizi cloud, rispettando il principio di accountability. Questo principio non solo richiede di conformarsi alle normative sulla privacy (incluso il GDPR, le normative nazionali e i pareri delle autorità competenti), ma anche di poter dimostrare tale conformità.

            Principio di accountability e proattività: gli obblighi specifici

            Il principio di accountability implica che il titolare del trattamento deve adottare un approccio proattivo per rispettare la normativa, implementando misure tecniche e organizzative adeguate in base alla propria struttura, ai costi e allo stato dell’arte tecnologico.

            Trasparenza

            Il titolare del trattamento deve essere trasparente con gli interessati, informandoli che i loro dati saranno trasmessi e trattati da un provider cloud. Questo deve essere chiaramente indicato nell’informativa sulla privacy.

            Responsabilità del Cloud Provider

            Il cloud provider, agendo come responsabile del trattamento, tratta i dati personali per conto del titolare e secondo le modalità prescritte dall’art. 28 del GDPR. Questo articolo richiede che il titolare scelga un responsabile che offra sufficienti garanzie per implementare misure tecniche e organizzative adeguate.

            Due diligence e valutazione del provider

            Prima di concludere un contratto di cloud computing, il titolare del trattamento deve condurre una due diligence per verificare se il provider è in grado di rispettare la normativa sulla protezione dei dati. Questo include l’analisi del ciclo di vita dei dati e la gestione dei server utilizzati, compresa la loro ubicazione geografica.

            Ubicazione dei Server

            È essenziale conoscere l’ubicazione geografica dei server principali e di backup. Se i server si trovano fuori dall’UE, è necessario rispettare specifiche basi giuridiche per il trasferimento dei dati, come le decisioni di adeguatezza della Commissione europea o le garanzie adeguate, come l’adesione del provider a un codice di condotta.

            Sicurezza fisica e dei dati

            Il titolare del trattamento deve valutare se le misure di sicurezza adottate dal provider siano conformi al GDPR e alle proprie policy di sicurezza. Questo include la verifica delle certificazioni come SOC 2, SSAE 16 per la protezione fisica e ISO/IEC 27701:2019 per la protezione dei dati personali.

            Crittografia

            È cruciale che il provider utilizzi la crittografia per garantire che solo il legittimo proprietario possa accedere ai dati.

            Audit e certificazioni

            Il titolare non deve affidarsi solo alle certificazioni e alla documentazione fornita, ma deve includere nei contratti la possibilità di effettuare audit di seconda parte per verificare l’efficacia delle misure di sicurezza implementate.

            Service Level Agreements (SLA) e Data Protection Agreements (DPA)

            Per i provider di grandi dimensioni con un forte potere contrattuale, è essenziale definire con precisione gli SLA e verificare se il livello di servizio sia compatibile con le strategie aziendali e le policy di sicurezza. È utile stabilire dei DPA per garantire un livello di protezione dei dati personali in linea con gli obiettivi aziendali e prevedere penali per violazioni delle clausole.

            Data breach

            Il GDPR impone ai titolari del trattamento di notificare le violazioni dei dati personali entro 72 ore. È cruciale vincolare il provider a comunicare qualsiasi violazione entro un termine inferiore, ad esempio 24 ore, per consentire al titolare di condurre rapide indagini tecniche. Solo il titolare del trattamento può determinare se l’incidente costituisca una violazione dei dati personali, ma il provider può aiutare nella gestione operativa dell’incidente.

            Gestione dei sub-responsabili

            Il titolare del trattamento deve informarsi sui sub-fornitori del provider, che devono essere esplicitamente autorizzati. Questo è importante, specialmente se i sub-fornitori sono ubicati in giurisdizioni diverse, il che può complicare la gestione legale in caso di controversie.

            Il decalogo per scegliere il fornitore giusto sulla base della ISO 27018

            Per scegliere un fornitore di servizi cloud che offra adeguate garanzie e misure tecniche robuste, le aziende dovrebbero seguire un decalogo basato sui principi della ISO 27018 e sulle migliori pratiche di sicurezza nel cloud. Ecco i dieci punti fondamentali da considerare:

            Verifica della Certificazione ISO 27018

            Dettagli: la prima cosa da verificare è se il CSP ha ottenuto la certificazione ISO 27018. Questa certificazione dimostra che il fornitore ha implementato misure specifiche per la protezione delle PII e aderisce alle linee guida internazionali di sicurezza e privacy.

            Azione: richiedere copia del certificato ISO 27018 e verificare la sua validità attraverso l’organismo di certificazione che l’ha rilasciato.

            Valutazione delle misure di sicurezza

            Dettagli: un fornitore di servizi cloud deve implementare robuste misure di sicurezza per proteggere i dati dei clienti. Queste misure includono la crittografia, il controllo degli accessi, la gestione delle vulnerabilità e la prevenzione delle intrusioni.

            Azione: richiedere dettagli specifici sulle misure di sicurezza adottate dal CSP e valutarne l’efficacia e l’adeguatezza rispetto alle esigenze aziendali.

            Trasparenza nei processi di gestione dei dati

            Dettagli: la trasparenza è fondamentale per instaurare la fiducia tra l’azienda e il fornitore di servizi cloud. Il CSP deve essere chiaro riguardo ai processi di gestione dei dati, comprese le modalità di raccolta, elaborazione, archiviazione e condivisione delle PII.

            Azione: richiedere documentazione dettagliata sui processi di gestione dei dati e verificare che siano conformi alle normative sulla protezione dei dati applicabili.

            Gestione dei diritti degli interessati

            Dettagli: la ISO 27018 richiede che i CSP facilitino l’esercizio dei diritti degli interessati, come l’accesso, la rettifica, la cancellazione e la portabilità dei dati personali.

            Azione: valutare le procedure messe in atto dal CSP per gestire le richieste degli interessati e assicurarsi che siano efficaci e conformi alle leggi sulla protezione dei dati.

            Conformità alle normative locali e internazionali

            Dettagli: oltre alla conformità alla ISO 27018, è importante che il CSP rispetti anche le normative sulla protezione dei dati, come il GDPR in Europa o il CCPA in California.

            Azione: verificare la conformità del CSP alle normative specifiche del settore e della nazione in cui l’azienda opera.

            Affidabilità e continuità del servizio

            Dettagli: la disponibilità e l’affidabilità del servizio sono essenziali per garantire la continuità delle operazioni aziendali. Il CSP deve avere piani di continuità operativa e di disaster recovery ben definiti.

            Azione: richiedere dettagli sui piani di continuità e disaster recovery e valutare la loro adeguatezza in base alle esigenze aziendali.

            Audit e monitoraggio continui

            Dettagli: gli audit regolari e il monitoraggio continuo delle misure di sicurezza aiutano a identificare e correggere tempestivamente eventuali vulnerabilità o violazioni.

            Azione: verificare se il CSP sottopone regolarmente le proprie infrastrutture a audit di sicurezza indipendenti e quali strumenti di monitoraggio utilizza.

             Gestione dei contratti e degli SLA

            Dettagli: gli accordi contrattuali e i Service Level Agreements (SLA) devono definire chiaramente le responsabilità del CSP e dell’azienda cliente in termini di sicurezza dei dati, tempi di risposta, e livelli di servizio garantiti.

            Azione: esaminare attentamente i contratti e gli SLA per assicurarsi che coprano tutte le esigenze di sicurezza e operatività dell’azienda.

            Formazione e consapevolezza

            Dettagli: la formazione continua del personale del CSP sulle pratiche di sicurezza e privacy è cruciale per mantenere un alto livello di protezione dei dati.

            Azione: richiedere informazioni sui programmi di formazione e sensibilizzazione sulla sicurezza che il CSP implementa per i suoi dipendenti.

            Valutazione della reputazione e delle referenze

            Dettagli: la reputazione del CSP e le referenze di altri clienti possono fornire indicazioni preziose sulla qualità dei servizi e sulla capacità di gestire i dati in modo sicuro e conforme.

            Azione: raccogliere feedback e referenze da altre aziende che utilizzano i servizi del CSP e valutare la reputazione del fornitore nel settore.

            I vantaggi della conformità alle normative

            Il cloud computing rappresenta una svolta epocale per le aziende di tutte le dimensioni, offrendo vantaggi significativi in termini di efficienza, scalabilità e flessibilità operativa. Tuttavia, per trarre pienamente beneficio da queste tecnologie, è cruciale scegliere attentamente il cloud provider, considerando aspetti come la reputazione, l’affidabilità del servizio, la chiarezza operativa, gli standard di sicurezza e la posizione geografica dei data center.

            La conformità alle normative, in particolare al GDPR, è un elemento chiave che deve guidare la selezione del provider. Le aziende devono assicurarsi che il provider scelto non solo rispetti le normative sulla protezione dei dati, ma che sia anche in grado di dimostrare tale conformità attraverso certificazioni e audit indipendenti. Inoltre, un’attenta valutazione delle misure di sicurezza implementate e la capacità del provider di supportare modelli di cloud ibrido possono fornire ulteriore garanzia di protezione e flessibilità.

            Conclusioni

            In sintesi, il passaggio al cloud richiede una pianificazione strategica e una valutazione approfondita dei potenziali fornitori per garantire che le soluzioni adottate non solo rispondano alle esigenze operative e di business, ma anche a quelle normative e di sicurezza. Solo così le aziende potranno sfruttare appieno il potenziale del cloud computing, mantenendo al contempo la fiducia e la sicurezza dei propri dati.

            EU Stories - La coesione innova l'Italia

            Tutti
            Analisi
            Video
            Iniziative
            Social
            Programmazione europ
            Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
            Interventi
            Riccardo Monaco e le politiche di coesione per il Sud
            Iniziative
            Implementare correttamente i costi standard, l'esperienza AdG
            Finanziamenti
            Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
            Formazione
            Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
            Interviste
            L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
            Interviste
            La ricerca e l'innovazione in Campania: l'ecosistema digitale
            Iniziative
            Settimana europea delle regioni e città: un passo avanti verso la coesione
            Iniziative
            Al via il progetto COINS
            Eventi
            Un nuovo sguardo sulla politica di coesione dell'UE
            Iniziative
            EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
            Iniziative
            Parte la campagna di comunicazione COINS
            Interviste
            Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
            Analisi
            La politica di coesione europea: motore della transizione digitale in Italia
            Politiche UE
            Il dibattito sul futuro della Politica di Coesione
            Mobilità Sostenibile
            L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
            Iniziative
            Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
            Politiche ue
            Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
            Finanziamenti
            Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
            Analisi
            Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
            Politiche UE
            Innovazione locale con i fondi di coesione: progetti di successo in Italia
            Programmazione europ
            Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
            Interventi
            Riccardo Monaco e le politiche di coesione per il Sud
            Iniziative
            Implementare correttamente i costi standard, l'esperienza AdG
            Finanziamenti
            Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
            Formazione
            Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
            Interviste
            L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
            Interviste
            La ricerca e l'innovazione in Campania: l'ecosistema digitale
            Iniziative
            Settimana europea delle regioni e città: un passo avanti verso la coesione
            Iniziative
            Al via il progetto COINS
            Eventi
            Un nuovo sguardo sulla politica di coesione dell'UE
            Iniziative
            EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
            Iniziative
            Parte la campagna di comunicazione COINS
            Interviste
            Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
            Analisi
            La politica di coesione europea: motore della transizione digitale in Italia
            Politiche UE
            Il dibattito sul futuro della Politica di Coesione
            Mobilità Sostenibile
            L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
            Iniziative
            Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
            Politiche ue
            Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
            Finanziamenti
            Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
            Analisi
            Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
            Politiche UE
            Innovazione locale con i fondi di coesione: progetti di successo in Italia

            Articoli correlati

            Articolo 1 di 4