Abbiamo approfondito in un recente articolo del blog l’importanza dell’adozione dei servizi in cloud per Aziende, Pubbliche Amministrazioni e Studi Professionali.
Dopo aver presentato le grandi famiglie di Cloud e illustrato come il Cloud Computing garantisca una serie di benefici tecnici ed economici, proponiamo alcuni dettagli fondamentali da tenere a mente nella scelta del Cloud Service Provider, alla luce del GDPR
Cloud Computing in sintesi
Il Cloud Computing è un vero e proprio sistema di erogazione di risorse informatiche, tra le quali l’archiviazione, l’elaborazione e la trasmissione di dati.
Uno dei principali vantaggi garantiti dall’adozione di questo sistema riguarda propriamente l’abolizione degli spazi fisici di archiviazione e dei costi ad esso connessi.
Ma non solo. Nell’epoca della digital transformation e dello smart working, la possibilità di accesso e consultazione dei documenti in qualsiasi luogo e momento rappresenta un fattore fondamentale.
Ecco perché oggi il Cloud rappresenta uno dei concetti di maggior interesse.
Ragionando ora in ottica di sicurezza e prevenzione, appare chiaro che consegnare i propri dati ad un Cloud Service Provider (CSP) significa affidare a terzi qualcosa di estremante prezioso e importante, senza averne le redini fisiche in mano.
Come fare quindi a trovare un fornitore Cloud affidabile?
Che cos’è un provider di servizi Cloud
Se ti stai chiedendo che cos’è un provider di servizi Cloud, immagina di abitare in una casa in affitto.
Come coinquilino, devi pagare al proprietario un canone mensile per usufruire degli spazi e di alcuni servizi (acqua, riscaldamento, etc…)
Funziona allo stesso modo per le realtà che scelgono un servizio Cloud: si affidano a un Cloud Service Provider – erogatore di servizi – per “l’affitto” di uno spazio di archiviazione, usufruibile tramite internet.
Si tratta di una decisione apparentemente semplice ma che, come anticipato nel paragrafo precedente, richiede particolare attenzione e riguardo, specie in ottica Privacy.
Andiamo nel dettaglio, scoprendo perché.
Cloud Computing e GDPR
Affidare a terzi i sistemi che ospitano le informazioni incrementa in qualche modo il livello di rischio poiché viene mene il controllo diretto di quello che accade.
Bisogna porre particolare attenzione a come saranno trattati e conservati i dati in Cloud:
lato GDPR (Regolamento Europeo Privacy 679/2016) risulta fondamentale garantire la riservatezza dei dati condivisi.
La pubblica Amministrazione, lo Studio Professionale oppure l’Azienda che decide di trasferire i dati “nella nuvola” deve inoltre preoccuparsi di alcuni adempimenti burocratici come ad esempio la nomina del fornitore come “Responsabile del trattamento”.
In caso di mancati adempimenti il Titolare del Trattamento sarà chiamato a rispondere dell’eventuale illecito.
L’articolo 25 del GDPR e il legame con il Cloud
Nell’adottare un sistema di Cloud Computing deve essere tenuto a mente uno dei principi base del GDPR: La Privacy by design, ovvero la “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita” – nell’articolo 25 del GDPR
Nello specifico il paragrafo 2 dell’articolo prevede che: «Il titolare del trattamento metta in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica».
Comprendiamo quindi come il Titolare resti sempre e comunque responsabile dei dati trattati nell’ambito della propria attività, pur affidandoli all’esterno, con una forte necessità di selezione qualificata e di supervisione dei fornitori.
Diventa quindi indispensabile rivolgersi a Cloud Service Provider professionali, verificando la quantità e la tipologia di dati che si intende esternalizzare prima che avvenga il passaggio.
A cosa porre attenzione per la scelta del Cloud Service Provider
Prima di optare per una tipologia specifica di servizio Cloud è opportuno che il Titolare individui con precisione la quantità e la tipologia di dati che intende esternalizzare, consapevole dell’importanza degli oneri e delle conseguenze a tale scelta.
Quali sono i term of use a cui porre attenzione nella scelta del CSP? Quali sono i consigli da seguire?
- Effettuare una verifica sull’affidabilità del fornitore del servizio: i dati sono una fonte di primaria importanza, indipendentemente dal business di settore;
- Verificare quali siano le misure di sicurezza adattate dal fornitore per la protezione da virus e da malintenzionati: quali procedure sono adottate per prevenire attacchi hacker o altri pericoli informatici? Dovrebbero essere più efficaci rispetto a quelli adottati dal singolo utente;
- Verificare la tecnologia utilizzata dal fornitore, il livello di aggiornamento dei sistemi, la qualità della ridondanza, la disponibilità di Piani di Disaster Recovery e gli SLA garantiti (tempi di risposta).
- Chiedere di conoscere le procedure di recupero e messa a disposizione dei dati (back up e ridondanza) in caso di furto, danneggiamento o perdita dei dati e quantificare internamente l’impatto economico che un eventuale evento negativo potrebbe comportare;
- Verificare quale tipo di assicurazione su eventuali danni viene garantita;
- Verificare la collocazione dei server. È bene conoscere in quale Stato/Stati risiederanno i dati, definendo soprattutto se la collocazione sarà in Europa o Extra Europa. Il GDPR pone particolare attenzione al trasferimento di dati poiché viene ritenuta un’attività potenzialmente rischiosa.
- Verificare l’eventuale Certificazione ISO 27001, volta a garantire che i dati dei Clienti conservati in cloud siano sicuri e protetti. In particolar modo, definisce gli attori coinvolti nel Cloud, la suddivisione delle responsabilità tra fornitore e clienti, la rimozione / assegnazione delle attività alla cessazione di un contratto, la protezione e separazione degli ambienti virtuali dei diversi, lo svolgimento di attività amministrative e procedure connesse con l’ambiente cloud, il monitoraggio delle attività del cliente all’interno dell’ambiente cloud.
