Negli ultimi anni, la fornitura di servizi cloud è diventata una componente essenziale per molte aziende e organizzazioni di tutto il mondo. La capacità di archiviare, gestire e elaborare dati su piattaforme cloud offre numerosi vantaggi, tra cui scalabilità, flessibilità, e riduzione dei costi. Tuttavia, l’adozione del cloud computing comporta anche importanti considerazioni in termini di sicurezza, privacy e conformità normativa.
È fondamentale che le aziende considerino questi obblighi di conformità al GDPR fin dall’inizio nella scelta dei servizi di cloud computing e del relativo provider.
Tipologie di servizi cloud
I servizi cloud possono essere suddivisi in tre categorie principali:
- Infrastructure as a Service (IaaS): fornisce infrastrutture IT virtualizzate, come server, storage e reti. Gli utenti possono affittare queste risorse e gestirle come se fossero proprie, senza doversi preoccupare della gestione fisica dell’hardware.
- Platform as a Service (PaaS): offre piattaforme che permettono agli sviluppatori di creare, testare e distribuire applicazioni. PaaS include strumenti e servizi per lo sviluppo, come database e server web, senza la necessità di gestire l’infrastruttura sottostante.
- Software as a Service (SaaS): fornisce applicazioni software attraverso Internet. Gli utenti accedono ai software tramite un browser web, eliminando la necessità di installare e mantenere applicazioni localmente.
Le caratteristiche fondamentali del cloud computing
Quando si discute delle caratteristiche del cloud computing, spesso ci si riferisce al cloud pubblico, anche se non è l’unica forma di utilizzo di questa tecnologia. Nel caso del cloud pubblico, l’intera infrastruttura è gestita dal provider, eliminando la necessità per le aziende di investire in hardware, software e personale specializzato. Questo aspetto è cruciale sia dal punto di vista economico che per la difficoltà di reperire risorse qualificate sul mercato. Tuttavia, questo non si applica al cloud privato, che è gestito internamente dall’azienda, ma torna rilevante nel caso del cloud privato ospitato.
Una delle caratteristiche principali del cloud è la sua elasticità e scalabilità, che permettono alle aziende di adattarsi automaticamente alle variazioni nella domanda di risorse (come picchi stagionali, promozioni speciali, o situazioni di crisi). Inoltre, il cloud offre una modalità di utilizzo self-service, riducendo la necessità di coinvolgere il personale IT, che può anche essere assente in alcuni casi, come nell’acquisto di un servizio SaaS da parte di una divisione aziendale specifica.
Il ruolo dei provider di servizi cloud
I provider di servizi cloud sono i principali attori della trasformazione dell’IT verso i modelli cloud. Questi provider, grazie a risorse dedicate, competenze specialistiche, certificazioni ed esperienza, offrono alle aziende la possibilità di sfruttare il cloud per favorire la crescita del business.
Esempi notevoli sono Amazon, Microsoft, Google e IBM, che mettono a disposizione infrastrutture e piattaforme di servizi sia a livello infrastrutturale che applicativo.
Questi provider supportano ambienti di sviluppo basati su risorse cloud, migrazione di applicazioni e fornitura di risorse infrastrutturali (IaaS: compute, storage, network).
Anche per il cloud privato ospitato, il provider si occupa della resilienza dell’infrastruttura, delle prestazioni e di servizi essenziali come la continuità operativa e la cybersecurity, erogati rigorosamente as-a-service.
Le caratteristiche da considerare nella scelta di un cloud provider
Quando si sceglie un provider cloud, ci sono alcune caratteristiche fondamentali da considerare:
Reputazione solida e stabilità finanziaria
- Verificare che il provider abbia una solida posizione finanziaria e una buona reputazione.
- Informarsi su eventuali partner, leggere recensioni e cercare confronti diretti con clienti attuali o passati.
Affidabilità del servizio
- Il provider dovrebbe dimostrare il rispetto delle best practice e degli standard di settore, spesso certificati.
- È essenziale che il provider fornisca report sulle prestazioni in modo trasparente e offra un supporto amministrativo adeguato alle esigenze specifiche dell’azienda.
Chiarezza operativa
- I processi di distribuzione, gestione e aggiornamento di software e applicazioni devono essere semplificati.
- Verificare che il provider supporti anche il modello di cloud ibrido, per poterlo implementare successivamente se necessario.
Elevati standard di sicurezza e gestione dei dati
- Scegliere un provider che garantisca audit periodici del sistema di gestione, applicazione di patch e protezione di tutti i sistemi.
- Verificare la conformità alle normative sulla privacy, come il GDPR, e la capacità di proteggere i dati con crittografia e gestione delle identità.
- Assicurarsi che il provider adotti misure di sicurezza fisica nei data center e disponga di piani di ripristino documentabili.
Collocazione geografica adeguata
- La posizione dei data center è importante per garantire una buona User Experience e rispettare le normative locali sulla sicurezza e conformità.
- Allocare i dati in un data center geograficamente vicino agli utenti può migliorare le prestazioni delle applicazioni.
Introduzione alla ISO 27018 e alla sicurezza nel cloud
La ISO/IEC 27018 fornisce linee guida per la protezione delle informazioni personali (PII) in ambienti di cloud computing pubblici. La sua adozione aiuta le aziende a garantire che i fornitori di servizi cloud (CSP) adottino misure adeguate per proteggere i dati personali, rispettando le normative e garantendo la fiducia degli utenti.
Con l’adozione crescente del cloud computing, la protezione dei dati personali è diventata una preoccupazione primaria per le aziende. La ISO 27018 si concentra specificamente sulla protezione delle PII nel cloud pubblico, fornendo un quadro per la gestione della privacy e della sicurezza dei dati. Aderendo a questo standard, i CSP possono dimostrare il loro impegno verso la protezione delle PII, facilitando le aziende nella scelta di fornitori affidabili.
La scelta del cloud provider e la conformità al GDPR
Oggi, i servizi cloud sono utilizzati da aziende e organizzazioni di ogni tipo e dimensione, gestendo spesso grandi quantità di dati personali, compresi quelli sensibili. Pertanto, il titolare del trattamento dei dati deve scegliere con attenzione il provider di servizi cloud, rispettando il principio di accountability. Questo principio non solo richiede di conformarsi alle normative sulla privacy (incluso il GDPR, le normative nazionali e i pareri delle autorità competenti), ma anche di poter dimostrare tale conformità.
Principio di accountability e proattività: gli obblighi specifici
Il principio di accountability implica che il titolare del trattamento deve adottare un approccio proattivo per rispettare la normativa, implementando misure tecniche e organizzative adeguate in base alla propria struttura, ai costi e allo stato dell’arte tecnologico.
Trasparenza
Il titolare del trattamento deve essere trasparente con gli interessati, informandoli che i loro dati saranno trasmessi e trattati da un provider cloud. Questo deve essere chiaramente indicato nell’informativa sulla privacy.
Responsabilità del Cloud Provider
Il cloud provider, agendo come responsabile del trattamento, tratta i dati personali per conto del titolare e secondo le modalità prescritte dall’art. 28 del GDPR. Questo articolo richiede che il titolare scelga un responsabile che offra sufficienti garanzie per implementare misure tecniche e organizzative adeguate.
Due diligence e valutazione del provider
Prima di concludere un contratto di cloud computing, il titolare del trattamento deve condurre una due diligence per verificare se il provider è in grado di rispettare la normativa sulla protezione dei dati. Questo include l’analisi del ciclo di vita dei dati e la gestione dei server utilizzati, compresa la loro ubicazione geografica.
Ubicazione dei Server
È essenziale conoscere l’ubicazione geografica dei server principali e di backup. Se i server si trovano fuori dall’UE, è necessario rispettare specifiche basi giuridiche per il trasferimento dei dati, come le decisioni di adeguatezza della Commissione europea o le garanzie adeguate, come l’adesione del provider a un codice di condotta.
Sicurezza fisica e dei dati
Il titolare del trattamento deve valutare se le misure di sicurezza adottate dal provider siano conformi al GDPR e alle proprie policy di sicurezza. Questo include la verifica delle certificazioni come SOC 2, SSAE 16 per la protezione fisica e ISO/IEC 27701:2019 per la protezione dei dati personali.
Crittografia
È cruciale che il provider utilizzi la crittografia per garantire che solo il legittimo proprietario possa accedere ai dati.
Audit e certificazioni
Il titolare non deve affidarsi solo alle certificazioni e alla documentazione fornita, ma deve includere nei contratti la possibilità di effettuare audit di seconda parte per verificare l’efficacia delle misure di sicurezza implementate.
Service Level Agreements (SLA) e Data Protection Agreements (DPA)
Per i provider di grandi dimensioni con un forte potere contrattuale, è essenziale definire con precisione gli SLA e verificare se il livello di servizio sia compatibile con le strategie aziendali e le policy di sicurezza. È utile stabilire dei DPA per garantire un livello di protezione dei dati personali in linea con gli obiettivi aziendali e prevedere penali per violazioni delle clausole.
Data breach
Il GDPR impone ai titolari del trattamento di notificare le violazioni dei dati personali entro 72 ore. È cruciale vincolare il provider a comunicare qualsiasi violazione entro un termine inferiore, ad esempio 24 ore, per consentire al titolare di condurre rapide indagini tecniche. Solo il titolare del trattamento può determinare se l’incidente costituisca una violazione dei dati personali, ma il provider può aiutare nella gestione operativa dell’incidente.
Gestione dei sub-responsabili
Il titolare del trattamento deve informarsi sui sub-fornitori del provider, che devono essere esplicitamente autorizzati. Questo è importante, specialmente se i sub-fornitori sono ubicati in giurisdizioni diverse, il che può complicare la gestione legale in caso di controversie.
Il decalogo per scegliere il fornitore giusto sulla base della ISO 27018
Per scegliere un fornitore di servizi cloud che offra adeguate garanzie e misure tecniche robuste, le aziende dovrebbero seguire un decalogo basato sui principi della ISO 27018 e sulle migliori pratiche di sicurezza nel cloud. Ecco i dieci punti fondamentali da considerare:
Verifica della Certificazione ISO 27018
Dettagli: la prima cosa da verificare è se il CSP ha ottenuto la certificazione ISO 27018. Questa certificazione dimostra che il fornitore ha implementato misure specifiche per la protezione delle PII e aderisce alle linee guida internazionali di sicurezza e privacy.
Azione: richiedere copia del certificato ISO 27018 e verificare la sua validità attraverso l’organismo di certificazione che l’ha rilasciato.
Valutazione delle misure di sicurezza
Dettagli: un fornitore di servizi cloud deve implementare robuste misure di sicurezza per proteggere i dati dei clienti. Queste misure includono la crittografia, il controllo degli accessi, la gestione delle vulnerabilità e la prevenzione delle intrusioni.
Azione: richiedere dettagli specifici sulle misure di sicurezza adottate dal CSP e valutarne l’efficacia e l’adeguatezza rispetto alle esigenze aziendali.
Trasparenza nei processi di gestione dei dati
Dettagli: la trasparenza è fondamentale per instaurare la fiducia tra l’azienda e il fornitore di servizi cloud. Il CSP deve essere chiaro riguardo ai processi di gestione dei dati, comprese le modalità di raccolta, elaborazione, archiviazione e condivisione delle PII.
Azione: richiedere documentazione dettagliata sui processi di gestione dei dati e verificare che siano conformi alle normative sulla protezione dei dati applicabili.
Gestione dei diritti degli interessati
Dettagli: la ISO 27018 richiede che i CSP facilitino l’esercizio dei diritti degli interessati, come l’accesso, la rettifica, la cancellazione e la portabilità dei dati personali.
Azione: valutare le procedure messe in atto dal CSP per gestire le richieste degli interessati e assicurarsi che siano efficaci e conformi alle leggi sulla protezione dei dati.
Conformità alle normative locali e internazionali
Dettagli: oltre alla conformità alla ISO 27018, è importante che il CSP rispetti anche le normative sulla protezione dei dati, come il GDPR in Europa o il CCPA in California.
Azione: verificare la conformità del CSP alle normative specifiche del settore e della nazione in cui l’azienda opera.
Affidabilità e continuità del servizio
Dettagli: la disponibilità e l’affidabilità del servizio sono essenziali per garantire la continuità delle operazioni aziendali. Il CSP deve avere piani di continuità operativa e di disaster recovery ben definiti.
Azione: richiedere dettagli sui piani di continuità e disaster recovery e valutare la loro adeguatezza in base alle esigenze aziendali.
Audit e monitoraggio continui
Dettagli: gli audit regolari e il monitoraggio continuo delle misure di sicurezza aiutano a identificare e correggere tempestivamente eventuali vulnerabilità o violazioni.
Azione: verificare se il CSP sottopone regolarmente le proprie infrastrutture a audit di sicurezza indipendenti e quali strumenti di monitoraggio utilizza.
Gestione dei contratti e degli SLA
Dettagli: gli accordi contrattuali e i Service Level Agreements (SLA) devono definire chiaramente le responsabilità del CSP e dell’azienda cliente in termini di sicurezza dei dati, tempi di risposta, e livelli di servizio garantiti.
Azione: esaminare attentamente i contratti e gli SLA per assicurarsi che coprano tutte le esigenze di sicurezza e operatività dell’azienda.
Formazione e consapevolezza
Dettagli: la formazione continua del personale del CSP sulle pratiche di sicurezza e privacy è cruciale per mantenere un alto livello di protezione dei dati.
Azione: richiedere informazioni sui programmi di formazione e sensibilizzazione sulla sicurezza che il CSP implementa per i suoi dipendenti.
Valutazione della reputazione e delle referenze
Dettagli: la reputazione del CSP e le referenze di altri clienti possono fornire indicazioni preziose sulla qualità dei servizi e sulla capacità di gestire i dati in modo sicuro e conforme.
Azione: raccogliere feedback e referenze da altre aziende che utilizzano i servizi del CSP e valutare la reputazione del fornitore nel settore.
I vantaggi della conformità alle normative
Il cloud computing rappresenta una svolta epocale per le aziende di tutte le dimensioni, offrendo vantaggi significativi in termini di efficienza, scalabilità e flessibilità operativa. Tuttavia, per trarre pienamente beneficio da queste tecnologie, è cruciale scegliere attentamente il cloud provider, considerando aspetti come la reputazione, l’affidabilità del servizio, la chiarezza operativa, gli standard di sicurezza e la posizione geografica dei data center.
La conformità alle normative, in particolare al GDPR, è un elemento chiave che deve guidare la selezione del provider. Le aziende devono assicurarsi che il provider scelto non solo rispetti le normative sulla protezione dei dati, ma che sia anche in grado di dimostrare tale conformità attraverso certificazioni e audit indipendenti. Inoltre, un’attenta valutazione delle misure di sicurezza implementate e la capacità del provider di supportare modelli di cloud ibrido possono fornire ulteriore garanzia di protezione e flessibilità.
Conclusioni
In sintesi, il passaggio al cloud richiede una pianificazione strategica e una valutazione approfondita dei potenziali fornitori per garantire che le soluzioni adottate non solo rispondano alle esigenze operative e di business, ma anche a quelle normative e di sicurezza. Solo così le aziende potranno sfruttare appieno il potenziale del cloud computing, mantenendo al contempo la fiducia e la sicurezza dei propri dati.