Download

Download

Per scaricare il whitepaper “Sicurezza tecnico-legale in Cloud” inserisci i tuoi dati

Parte tecnica

Il Cloud Computing, nelle sue diverse declinazioni (Infrastruttura, Platform, Software, Desktop as a Service, ecc.) è la tecnologia che oramai da anni sta rivoluzionando l’approccio alle soluzioni informatiche nelle aziende e nella vita privata di tutte le persone ma …

Quanto è Sicuro il Cloud Computing?

E’ la prima domanda che le aziende si pongono nel momento in cui si rendono conto di essere destinate a perdereil contatto “fisico” con i propri dati.

Quando si parla di sicurezza in Cloud gli argomenti da trattare sono svariati, iniziano dall’area tecnica per concludersi in quella legale.

L’aperitivo innovativo, organizzato da zero12 lo scorso 25 Marzo, ha perseguito lo scopo fornire una visione ben precisa sul tema della Sicurezza in Cloud trattando diversi argomenti, quali:

  • Ownership del dato
  • Cancellazione del dato dall’ambiente in cloud
  • Fog Computing
  • Access Control
  • Monitoring
  • Incident management & Rischio della perdita dei dati
  • Lock-In & Portability
  • Attacchi informatici
  • Shared Responsability

mentre alcuni di questi argomenti hanno un impatto più prettamentelegale, altri assumono risvolti in ambitotecnico, dove

il Cloud rappresenta un tassello importante per le aziende che vogliono raggiungere livelli di sicurezza elevati e notevolmente superiori rispetto aquanto potrebbero fare attraversosoluzioni on-premises.

E’ fondamentale che le aziende comprendano che attraversoil Cloud la sicurezza non si ottienesolamente demandando le attività ad altri ma anchecondividendo le responsabilità con il Cloud Provider.

Infatti, per chi utilizza Infrastrutture as a Service, ci sono delle attività che vengono demandate al Cloud Provider mentre altre rimangono acarico all’azienda.

Come si può vedere dall’immagine precedente, la somma di queste diverse attività permette di realizzare soluzioni estremamente sicure che uniscono le certificazioni internazionali del Cloud Provider a quelle della singola azienda.

La shared responsability e tutti gli altri argomenti sono stati approfonditi durante l’Aperitivo Innovativo.

Parte legale

Il Cloud è un’insieme di modalità di fruizione dei servizi informatici che favoriscono l’utilizzo e l’erogazione di software e la possibilità di conservare ed elaborare ingenti quantità di dati, senza doversi necessariamente dotare né di computer, né di hardware avanzati.

La gestione dei dati tramite Cloud è indubbiamente vantaggiosa e conveniente, ma impone una riflessione sulla normativa in materia privacy e sui diritti che con essa il legislatore intende tutelare; infatti, essendo un sistema che permette la gestione dei dati mediante la collocazione di essi in un server esterno, si pone la problematica della tutela della riservatezza dei dati ivi contenuti.

La problematica è di ampio raggio, in quanto le aziende che usufruiscono del servizio Cloud sono sempre più numerose in ogni parte del mondo ed i server predisposti per il contenimento dei dati sono collocati in Paesi Ue ed extra Ue. Per tale ragione la normativa di riferimento non è solamente italiana, bensì anche europea, ed impone un’attenta analisi dei soggetti coinvolti e dei rispettivi adempimenti.

Nel contributo in esame, preliminarmente sarà analizzato il sistema delle fonti e la normativa del Codice della Privacy (d.lgs 196/2003) in materia di trattamento dei dati e sarà proposta un’ attenta analisi delle caratteristiche proprie delle diverse tipologie di dati (personali, identificativi, sensibili, anonimi). Susseguentemente verranno analizzate le caratteristiche dei soggetti che operano nel mondo Cloud e gli adempimenti (ad esempio: consenso, informativa, verifica preliminare) che costoro sono chiamati a rispettare per operare nel rispetto della legalità. Infine verrà fornita una panoramica sulle tutela che i vari Paesi, in cui sono collocati i server, sono in grado di offrire.

Accenniamo qui brevemente ad alcuni aspetti, che verranno ampiamente trattati nell’intervento in oggetto, sui quali gli operatori nel mondo Cloud devono prestare particolarmente attenzione:

1) Il Responsabile del trattamento dei dati è obbligato a fornire al Titolare un elenco completo degli Incaricati. Tale lista può essere consultata in qualsiasi momento dall’Interessato.

2) Il Titolare del trattamento dei dati personali è obbligato a far firmare all’Interessato l’informativa (art .13 d.lgs. 196/2003) unitamente al consenso (art. 23 d.lgs 196/2003).

3) Il Titolare del trattamento deve informarsi sullo Stato in cui è collocato fisicamente il server. Se esso si trova in un paese extra UE in cui non è garantito un adeguato livello di protezione dei dati, il Titolare può scegliere due rimedi alternativi di tutela. Costui può optare per la predisposizione di contratti con clausole ad hoc volte a garantire la riservatezza dei dati, oppure deve apporre al contratto standard le Binding corporate rules (clausole predisposte ad hoc dall’UE).

4) Il Titolare del trattamento deve analizzare con molta attenzione le previsioni contrattuali inerenti la legge applicabile in caso di controversia tra le parti e le garanzie in caso di perdita dei dati.

Compila il form per vedere la versione integrale del video!