Il CISPE ha da poco pubblicato il primo Codice di Condotta per i providers di infrastrutture cloud: importante conoscerne l’esistenza ed il contenuto sia per i (potenziali) clienti di servizi cloud nella scelta dei servizi di cui intendono avvalersi sia per i fornitori, per valutare se è loro interesse aderirvi.

cloud

In questo nuovo appuntamento della rubrica andiamo a trattare gli aspetti relativi alla sicurezza e segretezza dei dati nei servizi cloud, in relazione anche a contenuti aziendali riservati e a proprietà industriali da tutelare. Ma l’intervenuta pubblicazione da parte del CISPE del primo Code of Conduct for Cloud Infrastructure Service Providers il 27 settembre scorso ci ha spinto ad un cambio di programma. Cos’è, innanzitutto, il CISPE per chi non lo conoscesse? La sigla è l’acronimo di “Cloud Infrastructure Services Providers in Europe” ed è una coalizione di una ventina di providers di infrastrutture cloud operativi in varie nazioni europee.

 

Perché dotarsi di un Codice di condotta?

L’idea del Codice, come dichiarato fin dalla parte introduttiva, nasce dalla considerazione, svolta dai membri del CISPE, che per i clienti che vogliono usare servizi di cloud computing, trattando dati personali, è un elemento fondamentale che l’elaborazione dei dati avvenga da parte del provider del servizio in conformità alla legge europea sulla “data protection”. Dal lato dei providers-fornitori dei servizi cloud, invece, il Codice ha lo scopo di rappresentare uno strumento a cui poter aderire in maniera volontaria, consentendo così di dimostrare ai clienti la rispondenza di uno o più dei loro servizi ai requisiti previsti dal Codice.

 

A quali servizi cloud si rivolge questo codice?
Il Codice si concentra, in particolare, sui servizi cloud resi dagli Iaas Providers, uno dei tre modelli fondamentali di servizi cloud. Si tratta dei providers di Infrastructure-as-a-Service, providers di hardware virtuali o infrastrutture di elaborazione, che vengono chiamati CISPs, ovvero “Cloud Infrastructure Services Providers”. Lo scopo del Codice, nell’ottica dei suoi ideatori, è quello di guidare gli utilizzatori di questo tipo di servizi cloud nel valutare se i servizi di infrastrutture cloud che intendono utilizzare sono adatti per l’elaborazione di dati personali che essi devono e intendono svolgere.

Quali sono i requisiti indicati dal Codice?
La parte fondamentale prescrittiva è contenuta nelle sezioni cinque e sei, dove è indicata, appunto, una serie di requisiti in materia di “data protection” e “transparency”, che i providers aderenti sono tenuti a rispettare come “data processors”, con una particolare attenzione alla sicurezza dei dati processati. Vediamo i fondamentali.

Sotto il profilo della “data protection” (capitolo 5), i providers certificati dal Codice di condotta CISPE:

  • devono offrire ai loro clienti la possibilità di trattare e salvare dati esclusivamente all’interno dell’UE o dello spazio economico europeo: i clienti, così, di questi servizi possono controllare dove vengono fisicamente trattati e salvati i dati.
  • non possono effettuare “profiling” o “data mining”, ovvero l’estrazione di informazione dei clienti, a beneficio proprio o per la rivendita a terzi, ad esempio per attività di marketing, pubblicità o simili: si impegnano, insomma, a non riutilizzare o rivendere i dati.
  • devono operare in conformità ai requisiti indicati dal nuovo Regolamento europeo in materia di data protection.
  • devono stipulare accordi scritti con i loro clienti con clausole bene definite.
  • devono adottare misure di sicurezza adeguate come definite nel Codice.
  • non possono dare incarico ad un subfornitore se non dietro autorizzazione scritta e nel rispetto delle medesime condizioni di cui al contratto principale con il cliente, verso cui il provider principale deve restare, comunque, sempre responsabile.
  • devono garantire che il loro personale operi sotto uno specifico impegno alla riservatezza.
  • devono comunicare al cliente un eventuale data breach, ovvero un trattamento non corretto o errato, senza alcun ritardo.
  • al termine del servizio, devono distruggere o restituire tutti i dati personali al cliente.

Per quanto riguarda, invece, la “transparency” (capitolo 6), vengono indicati, sostanzialmente, sei elementi che il provider deve offrire al cliente per garantire un livello di trasparenza adeguato: un accordo scritto che indirizza la divisione di responsabilità tra il CISP e il cliente in materia di sicurezza del servizio; un alto livello di attenzione alle misure e agli standards di sicurezza che applica al servizio; informazioni chiare sulla struttura e sullo svolgimento del servizio; informazioni sull’esistenza di un programma del CISP di gestione dei rischi; informazioni sulle misure di sicurezza predisposte dal CISP; sufficiente garanzia e possibilità di controllo per il cliente delle informazioni date sulla gestione della sicurezza.

Un CISP può, quindi, dichiarare la sua aderenza al Codice (a norma del capitolo 3) se: i servizi offerti (o alcuni specifici, e in tal caso dovrà dire quali) sono resi in aderenza ai requisiti indicati dal Codice; svolge il servizio in conformità a tutte le normative UE in materia di protezione dei dati (ivi comprese Direttive e il Regolamento generale sulla Data Protection); consente al cliente di scegliere di conservare e trattare i dati interamente dentro lo spazio economico europeo.

Come fare a sapere, infine, se un Provider ha ritenuto di aderire al Codice e, se siete un Provider, come fare a certificare questa adesione? Ai provider di infrastrutture cloud che hanno aderito al Codice e sono, quindi, conformi ai requisiti ivi richiesti è previsto nel Codice che venga assegnato un “Compliance Mark”, un marchio di conferma dell’adesione, ed inoltre che il nominativo dei fornitori aderenti al Codice venga inserito in un registro pubblico del CISPE e indicato sul suo sito internet.

Il Codice CISPE precede l’applicazione del nuovo Regolamento europeo per la protezione dei dati, che, come abbiamo detto, è stato approvato a maggio scorso e diverrà pienamente operativo dal maggio 2018 e conferma l’interesse e l’attenzione fondamentale che i fruitori di servizi cloud e gli operatori del settore devono avere per la protezione dei dati nei servizi cloud.

L'autore

Veronica Morlacchi

Laureata a pieni voti, è iscritta all’Albo degli Avvocati di Busto Arsizio dal 12.11.2004. Si occupa principalmente, nell’interesse di Privati, Professionisti e Aziende, di diritto civile, in particolare responsabilità civile (anche nell’ambito delle nuove tecnologie), persone e famiglia, contratti e immobili. Ha maturato consolidata esperienza in tali materie, in cui ha conseguito master e corsi di perfezionamento. Pubblica mensilmente un Magazine di aggiornamento giurisprudenziale sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor.

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo IPsec (InternetProtocol security) indica un set di protocolli che forniscono sicurezza per il protocollo IP, ad esempio aggiungendo opzioni di...

>

Il termine ISP (Internet Service Provider) indica quelle compagnie o aziende che forniscono la connettività internet agli utenti. Esistono diverse tecnologie...

>

Il termine Load Balancing o Bilanciamento di Carico descrive tutte quelle tecniche utili a distribuire in modo dinamico il carico computazionale...

>

Il termine NsLookup indica uno strumento incluso nella maggior parte dei sistemi operativi, in grado di effettuare il look up...

>

Nel contesto delle infrastrutture IT, il termine Consolidamento descrive la situazione in cui un server fisico viene utilizzato per fare girare...

>
Leggi anche le altre...

Download del giorno

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>

Process Monitor

Process Monitor è uno strumento per il monitoraggio in tempo reale dei processi attivi nel sistema. Permette una interazione...

>

DiskMon

DiskMon è un utile strumento per monitorare e registrare tutte le attività di I/O sul disco di sistemi Windows...

>

Disk2vhd

Disk2vhd è una utiliy gratuita per la migrazione P2V (phisical to virtual) in ambiente virtuale Hyper-V. Permette di convertire...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1