Adottando servizi cloud, per garantire la sicurezza dei dati raccolti, l’azienda deve porre particolare attenzione nella scelta del Provider e, altresì, nelle Condizioni Generali di servizio.
Il cloud computing è un modello informatico che rende disponibili un insieme eterogeneo di risorse (tra i quali server e storage), attraverso l’invio e l’elaborazione di dati su un server appartenente ad un fornitore di servizi terzo.
Quali sono i vantaggi? Quali elementi devono essere considerati?
Attraverso l’utilizzo di questi servizi, l’azienda beneficia di alti livelli di sicurezza dei dati archiviati, aumenta la rapidità di analisi e di backup dei file e, qualora si tratti di società erogatrici di servizi amministrativi, incrementa anche la propria flessibilità (essendo possibile connettersi al cloud con dispositivi diversi e in località diverse).
Tuttavia, la scelta del Provider e del servizio deve essere vagliata, perché i dati non sono collocati nel server dell’azienda, ma in quello di un fornitore esterno, la cui infrastruttura è spesso condivisa con altri committenti.
L’azienda dovrà valutare con attenzione sia le prestazioni tecniche del Provider di servizi Cloud (che sarà qualificato come Responsabile del trattamento dei dati ex art. 28 Reg. UE 679/2016), sia gli allegati a corredo del contratto di servizi (Terms of Service, SLA (Service Level Agreement), DPA (Data Processing Agreement) e Policy d’uso).
Le 7 valutazioni su cui basare la scelta del Cloud Provider
L’azienda, in qualità di Titolare del trattamento, deve garantire che i dati personali in proprio possesso siano trattati in conformità al GDPR. Per questa ragione, sarà tenuta a valutare con attenzione le caratteristiche del fornitore, essendo responsabile di eventuali violazioni della normativa privacy.
In particolare, l’azienda dovrà valutare:
1) La Governance e Compliance, vagliando la solidità del cloud provider in ambito di cybersecurity e di conformità alle normative privacy. Dovranno essere oggetto di verifica:
- le policy adottate;
- i processi di gestione dei rischi di sicurezza (sia interni, sia esterni in caso di ricorso a subfornitori);
- la sensibilizzazione e la formazione del personale in materia privacy;
- l’ubicazione dei Data Center, perché non sempre indicata in modo trasparente (soprattutto nel caso di sub-fornitori). Inoltre, qualora l’ubicazione sia fuori dall’Unione Europea sarà necessario verificare che il Paese di destinazione garantisca un livello di protezione dei dati equivalente a quello europeo;
- le coperture assicurative in caso di disservizio (come perdita dei dati o temporanea loro indisponibilità)
2) La Business Continuity, consistente nella capacità del Provider di garantire la continuità dei servizi offerti e la disponibilità dei dati. L’azienda deve, quindi, verificare la presenza di diverse soluzioni e procedure tecniche idonee a fronteggiare diversi scenari di crisi, come sistemi di back up o di disaster recovery;
3) Le Infrastructure Security e Host, Middleware, Application Security, analizzando le misure di:
- sicurezza fisica ed ambientale (per esempio: controllo degli accessi fisici, verifica di impianti anticendio, contro l’allagamento o terremoto);
- sicurezza delle reti (come segmentazione, sicurezza perimetrale, accessi remoti sicuri);
- architetture di virtualizzazione (ad esempio la multitenancy, per la segretazione dei dati di clienti diversi);
- sicurezza dei server fisici (verificando l’installazione di antivirus e l’uso di database sicuri):
- segregazione dei dati archiviati dai diversi clienti;
4) L’Identity and Access Managment, cioè sistemi, criteri e procedure che facilitano gli accessi degli utenti, proteggendo al contempo i dati da login non autorizzati. L’azienda, quindi, dovrà verificare le misure adottate per il controllo degli accessi ai sistemi e ai servizi;
5) Le Misure di Data Protection adottate dal fornitore, vagliando la loro idoneità ad assicurare un’adeguata protezione dei dati personali, come:
- sistemi di cifratura dei dati e policy di accesso;
- crittografia dei dati at rest (anche detti “dati a riposo”, perché anche se consultati e modificati raramente, costituiscono un asset aziendale);
- anonimizzazione dei dati negli ambienti di test;
- adozione di adeguati processi di gestione degli incidenti, sia cyber che IT (perché anche un guasto di un software può comportare la perdita di dati). In questo caso l’azienda deve assicurarsi che venga immediatamente comunicato l’incidente e che sia garantito un adeguato supporto;
6) Operation and Monitoring, verificando le procedure di patch management (che correggono, migliorano, aggiornano un programma), gli esiti degli interventi di vulnerability assesment, il tracciamento e monitoraggio dei log e le procedure e gli strumenti per le notifiche degli incidenti di sicurezza;
7) La ripartizione della responsabilità tra cliente e Provider rispetto all’adozione e alla gestione delle misure di sicurezza. Tale criterio varia in base al modello di servizio; pertanto, l’azienda dovrà verificare i documenti tecnici del Provider. A titolo esemplificativo, alcuni modelli di servizio sono IaaS (Infrastructure as a Service), PaaS (Platform as a Service), SaaS (Software as a Service) ed il coinvolgimento del cliente in termini di responsabilità è maggiore nel primo e minore nel terzo.
Le clausole contrattuali da vagliare prima della sottoscrizione del contratto
È opportuno che l’azienda faccia rientrare tra i criteri di scelta del Cloud Provider anche l’analisi delle clausole contrattuali e dei relativi allegati, individuando il fornitore di servizi più adeguato rispetto alla propria attività.
Pertanto, l’azienda dovrà considerare:
1) gli obblighi a carico del fornitore, in particolare:
- la garanzia della continuità del servizio e dell’adozione delle best practices di settore;
- la minimizzazione dei disagi con tempestive comunicazioni e avvisi al cliente;
- la previsione di misure di protezione fisica e ambientale dei Data Center (come l’erogazione continua di energia elettrica, il mantenimento della temperatura costante, la protezione contro i fulmini, adeguati impianti anticendio…);
- l’esistenza di un’adeguata copertura assicurativa per tutta la durata del contratto;
2) gli obblighi a carico del cliente ed eventuali ripartizioni di responsabilità circa la Data Protection;
3) la disciplina inerente la tutela dei dati, verificando l’impegno del fornitore ad adottare adeguate misure di sicurezza, conformi al GDPR, per proteggere i dati;
4) la disciplina dei log di sistema, ossia delle registrazioni sequenziali e cronologiche delle attività eseguite dal sistema informatico oggetto del contratto;
5) i diritti ed obblighi delle parti sussistenti dopo la cessazione dell’efficacia del contratto, come per esempio la previsione di un back up cifrato per una durata massima stabilita che può essere consegnato al Cliente dietro corrispettivo;
6) la nomina a Responsabile del Trattamento ex art. 28 GDPR, nella quale devono essere indicati l’oggetto, la durata e le finalità del trattamento, gli obblighi gravanti sul Responsabile, l’autorizzazione del Titolare alla nomina di sub–responsabili con l’impegno del Responsabile a garantire l’adozione dei medesimi obblighi e delle stesse misure di sicurezza da parte dei subfornitori;
7) le policy d’utilizzo dei servizi a cui il cliente deve attenersi.