Il CISPE ha da poco pubblicato il primo Codice di Condotta per i providers di infrastrutture cloud: importante conoscerne l’esistenza ed il contenuto sia per i (potenziali) clienti di servizi cloud nella scelta dei servizi di cui intendono avvalersi sia per i fornitori, per valutare se è loro interesse aderirvi.

cloud

In questo nuovo appuntamento della rubrica andiamo a trattare gli aspetti relativi alla sicurezza e segretezza dei dati nei servizi cloud, in relazione anche a contenuti aziendali riservati e a proprietà industriali da tutelare. Ma l’intervenuta pubblicazione da parte del CISPE del primo Code of Conduct for Cloud Infrastructure Service Providers il 27 settembre scorso ci ha spinto ad un cambio di programma. Cos’è, innanzitutto, il CISPE per chi non lo conoscesse? La sigla è l’acronimo di “Cloud Infrastructure Services Providers in Europe” ed è una coalizione di una ventina di providers di infrastrutture cloud operativi in varie nazioni europee.

 

Perché dotarsi di un Codice di condotta?

L’idea del Codice, come dichiarato fin dalla parte introduttiva, nasce dalla considerazione, svolta dai membri del CISPE, che per i clienti che vogliono usare servizi di cloud computing, trattando dati personali, è un elemento fondamentale che l’elaborazione dei dati avvenga da parte del provider del servizio in conformità alla legge europea sulla “data protection”. Dal lato dei providers-fornitori dei servizi cloud, invece, il Codice ha lo scopo di rappresentare uno strumento a cui poter aderire in maniera volontaria, consentendo così di dimostrare ai clienti la rispondenza di uno o più dei loro servizi ai requisiti previsti dal Codice.

 

A quali servizi cloud si rivolge questo codice?
Il Codice si concentra, in particolare, sui servizi cloud resi dagli Iaas Providers, uno dei tre modelli fondamentali di servizi cloud. Si tratta dei providers di Infrastructure-as-a-Service, providers di hardware virtuali o infrastrutture di elaborazione, che vengono chiamati CISPs, ovvero “Cloud Infrastructure Services Providers”. Lo scopo del Codice, nell’ottica dei suoi ideatori, è quello di guidare gli utilizzatori di questo tipo di servizi cloud nel valutare se i servizi di infrastrutture cloud che intendono utilizzare sono adatti per l’elaborazione di dati personali che essi devono e intendono svolgere.

Quali sono i requisiti indicati dal Codice?
La parte fondamentale prescrittiva è contenuta nelle sezioni cinque e sei, dove è indicata, appunto, una serie di requisiti in materia di “data protection” e “transparency”, che i providers aderenti sono tenuti a rispettare come “data processors”, con una particolare attenzione alla sicurezza dei dati processati. Vediamo i fondamentali.

Sotto il profilo della “data protection” (capitolo 5), i providers certificati dal Codice di condotta CISPE:

  • devono offrire ai loro clienti la possibilità di trattare e salvare dati esclusivamente all’interno dell’UE o dello spazio economico europeo: i clienti, così, di questi servizi possono controllare dove vengono fisicamente trattati e salvati i dati.
  • non possono effettuare “profiling” o “data mining”, ovvero l’estrazione di informazione dei clienti, a beneficio proprio o per la rivendita a terzi, ad esempio per attività di marketing, pubblicità o simili: si impegnano, insomma, a non riutilizzare o rivendere i dati.
  • devono operare in conformità ai requisiti indicati dal nuovo Regolamento europeo in materia di data protection.
  • devono stipulare accordi scritti con i loro clienti con clausole bene definite.
  • devono adottare misure di sicurezza adeguate come definite nel Codice.
  • non possono dare incarico ad un subfornitore se non dietro autorizzazione scritta e nel rispetto delle medesime condizioni di cui al contratto principale con il cliente, verso cui il provider principale deve restare, comunque, sempre responsabile.
  • devono garantire che il loro personale operi sotto uno specifico impegno alla riservatezza.
  • devono comunicare al cliente un eventuale data breach, ovvero un trattamento non corretto o errato, senza alcun ritardo.
  • al termine del servizio, devono distruggere o restituire tutti i dati personali al cliente.

Per quanto riguarda, invece, la “transparency” (capitolo 6), vengono indicati, sostanzialmente, sei elementi che il provider deve offrire al cliente per garantire un livello di trasparenza adeguato: un accordo scritto che indirizza la divisione di responsabilità tra il CISP e il cliente in materia di sicurezza del servizio; un alto livello di attenzione alle misure e agli standards di sicurezza che applica al servizio; informazioni chiare sulla struttura e sullo svolgimento del servizio; informazioni sull’esistenza di un programma del CISP di gestione dei rischi; informazioni sulle misure di sicurezza predisposte dal CISP; sufficiente garanzia e possibilità di controllo per il cliente delle informazioni date sulla gestione della sicurezza.

Un CISP può, quindi, dichiarare la sua aderenza al Codice (a norma del capitolo 3) se: i servizi offerti (o alcuni specifici, e in tal caso dovrà dire quali) sono resi in aderenza ai requisiti indicati dal Codice; svolge il servizio in conformità a tutte le normative UE in materia di protezione dei dati (ivi comprese Direttive e il Regolamento generale sulla Data Protection); consente al cliente di scegliere di conservare e trattare i dati interamente dentro lo spazio economico europeo.

Come fare a sapere, infine, se un Provider ha ritenuto di aderire al Codice e, se siete un Provider, come fare a certificare questa adesione? Ai provider di infrastrutture cloud che hanno aderito al Codice e sono, quindi, conformi ai requisiti ivi richiesti è previsto nel Codice che venga assegnato un “Compliance Mark”, un marchio di conferma dell’adesione, ed inoltre che il nominativo dei fornitori aderenti al Codice venga inserito in un registro pubblico del CISPE e indicato sul suo sito internet.

Il Codice CISPE precede l’applicazione del nuovo Regolamento europeo per la protezione dei dati, che, come abbiamo detto, è stato approvato a maggio scorso e diverrà pienamente operativo dal maggio 2018 e conferma l’interesse e l’attenzione fondamentale che i fruitori di servizi cloud e gli operatori del settore devono avere per la protezione dei dati nei servizi cloud.

L'autore

Veronica Morlacchi

Laureata a pieni voti, è iscritta all’Albo degli Avvocati di Busto Arsizio dal 12.11.2004. Si occupa principalmente, nell’interesse di Privati, Professionisti e Aziende, di diritto civile, in particolare responsabilità civile (anche nell’ambito delle nuove tecnologie), persone e famiglia, contratti e immobili. Ha maturato consolidata esperienza in tali materie, in cui ha conseguito master e corsi di perfezionamento. Pubblica mensilmente un Magazine di aggiornamento giurisprudenziale sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor.

banner5

fb icon evo twitter icon evo

Parola del giorno

Don't be Evil è uno slogan interno di Google, ideato da due dipendenti Paul Buccheit e Amit Patel, nell'ottica di...

>

ZOPE è l'acronimo di Z Object Publishing Environment e indica un Web Server open source sviluppato in Python, che permette agli...

>

Il termine Bezel descrive l'involucro esterno (o scocca) di un computer, monitor o di un qualsiasi dispositivo di calcolo. La valutazione...

>

Il termine Random Forest è un costrutto utilizzato nell'ambito della Intelligenza Artificiale e al machine learning. Nello specifico si tratta di...

>

La cifratura (o crittografia) RSA è una tecnica di cifratura dati detta "a chiave pubblica" e sviluppata dalla RSA Data...

>
Leggi anche le altre...

Download del giorno

DiskMon

DiskMon è un utile strumento per monitorare e registrare tutte le attività di I/O sul disco di sistemi Windows...

>

Disk2vhd

Disk2vhd è una utiliy gratuita per la migrazione P2V (phisical to virtual) in ambiente virtuale Hyper-V. Permette di convertire...

>

CurrPorts

CurrPorts è un'utility in grado di mostrare in tempo reale tutte le porte TCP/UDP aperte sulla macchina dove...

>

MailPass View

Lo strumento MailPass View di Nirsoft permette di recuperare e mostrare le password salvate nei principali client di...

>

WebBrowserPass Tool

Lo strumento WebBrowserPass Tool di Nirsoft è un semplice software in grado di mostrare in chiaro le password...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • GURU advisor: numero 13 -  marzo 2017

    GURU advisor: numero 13 - marzo 2017

  • GURU advisor: numero 12 -  gennaio 2017

    GURU advisor: numero 12 - gennaio 2017

  • GURU advisor: numero 11 -  ottobre 2016

    GURU advisor: numero 11 - ottobre 2016

  • GURU advisor: numero 10 - 8 agosto 2016

    GURU advisor: numero 10 - 8 agosto 2016

  • GURU advisor: numero 9 - 29 Giugno 2016

    GURU advisor: numero 9 - 29 Giugno 2016

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1