Il CISPE ha da poco pubblicato il primo Codice di Condotta per i providers di infrastrutture cloud: importante conoscerne l’esistenza ed il contenuto sia per i (potenziali) clienti di servizi cloud nella scelta dei servizi di cui intendono avvalersi sia per i fornitori, per valutare se è loro interesse aderirvi.

cloud

In questo nuovo appuntamento della rubrica andiamo a trattare gli aspetti relativi alla sicurezza e segretezza dei dati nei servizi cloud, in relazione anche a contenuti aziendali riservati e a proprietà industriali da tutelare. Ma l’intervenuta pubblicazione da parte del CISPE del primo Code of Conduct for Cloud Infrastructure Service Providers il 27 settembre scorso ci ha spinto ad un cambio di programma. Cos’è, innanzitutto, il CISPE per chi non lo conoscesse? La sigla è l’acronimo di “Cloud Infrastructure Services Providers in Europe” ed è una coalizione di una ventina di providers di infrastrutture cloud operativi in varie nazioni europee.

 

Perché dotarsi di un Codice di condotta?

L’idea del Codice, come dichiarato fin dalla parte introduttiva, nasce dalla considerazione, svolta dai membri del CISPE, che per i clienti che vogliono usare servizi di cloud computing, trattando dati personali, è un elemento fondamentale che l’elaborazione dei dati avvenga da parte del provider del servizio in conformità alla legge europea sulla “data protection”. Dal lato dei providers-fornitori dei servizi cloud, invece, il Codice ha lo scopo di rappresentare uno strumento a cui poter aderire in maniera volontaria, consentendo così di dimostrare ai clienti la rispondenza di uno o più dei loro servizi ai requisiti previsti dal Codice.

 

A quali servizi cloud si rivolge questo codice?
Il Codice si concentra, in particolare, sui servizi cloud resi dagli Iaas Providers, uno dei tre modelli fondamentali di servizi cloud. Si tratta dei providers di Infrastructure-as-a-Service, providers di hardware virtuali o infrastrutture di elaborazione, che vengono chiamati CISPs, ovvero “Cloud Infrastructure Services Providers”. Lo scopo del Codice, nell’ottica dei suoi ideatori, è quello di guidare gli utilizzatori di questo tipo di servizi cloud nel valutare se i servizi di infrastrutture cloud che intendono utilizzare sono adatti per l’elaborazione di dati personali che essi devono e intendono svolgere.

Quali sono i requisiti indicati dal Codice?
La parte fondamentale prescrittiva è contenuta nelle sezioni cinque e sei, dove è indicata, appunto, una serie di requisiti in materia di “data protection” e “transparency”, che i providers aderenti sono tenuti a rispettare come “data processors”, con una particolare attenzione alla sicurezza dei dati processati. Vediamo i fondamentali.

Sotto il profilo della “data protection” (capitolo 5), i providers certificati dal Codice di condotta CISPE:

  • devono offrire ai loro clienti la possibilità di trattare e salvare dati esclusivamente all’interno dell’UE o dello spazio economico europeo: i clienti, così, di questi servizi possono controllare dove vengono fisicamente trattati e salvati i dati.
  • non possono effettuare “profiling” o “data mining”, ovvero l’estrazione di informazione dei clienti, a beneficio proprio o per la rivendita a terzi, ad esempio per attività di marketing, pubblicità o simili: si impegnano, insomma, a non riutilizzare o rivendere i dati.
  • devono operare in conformità ai requisiti indicati dal nuovo Regolamento europeo in materia di data protection.
  • devono stipulare accordi scritti con i loro clienti con clausole bene definite.
  • devono adottare misure di sicurezza adeguate come definite nel Codice.
  • non possono dare incarico ad un subfornitore se non dietro autorizzazione scritta e nel rispetto delle medesime condizioni di cui al contratto principale con il cliente, verso cui il provider principale deve restare, comunque, sempre responsabile.
  • devono garantire che il loro personale operi sotto uno specifico impegno alla riservatezza.
  • devono comunicare al cliente un eventuale data breach, ovvero un trattamento non corretto o errato, senza alcun ritardo.
  • al termine del servizio, devono distruggere o restituire tutti i dati personali al cliente.

Per quanto riguarda, invece, la “transparency” (capitolo 6), vengono indicati, sostanzialmente, sei elementi che il provider deve offrire al cliente per garantire un livello di trasparenza adeguato: un accordo scritto che indirizza la divisione di responsabilità tra il CISP e il cliente in materia di sicurezza del servizio; un alto livello di attenzione alle misure e agli standards di sicurezza che applica al servizio; informazioni chiare sulla struttura e sullo svolgimento del servizio; informazioni sull’esistenza di un programma del CISP di gestione dei rischi; informazioni sulle misure di sicurezza predisposte dal CISP; sufficiente garanzia e possibilità di controllo per il cliente delle informazioni date sulla gestione della sicurezza.

Un CISP può, quindi, dichiarare la sua aderenza al Codice (a norma del capitolo 3) se: i servizi offerti (o alcuni specifici, e in tal caso dovrà dire quali) sono resi in aderenza ai requisiti indicati dal Codice; svolge il servizio in conformità a tutte le normative UE in materia di protezione dei dati (ivi comprese Direttive e il Regolamento generale sulla Data Protection); consente al cliente di scegliere di conservare e trattare i dati interamente dentro lo spazio economico europeo.

Come fare a sapere, infine, se un Provider ha ritenuto di aderire al Codice e, se siete un Provider, come fare a certificare questa adesione? Ai provider di infrastrutture cloud che hanno aderito al Codice e sono, quindi, conformi ai requisiti ivi richiesti è previsto nel Codice che venga assegnato un “Compliance Mark”, un marchio di conferma dell’adesione, ed inoltre che il nominativo dei fornitori aderenti al Codice venga inserito in un registro pubblico del CISPE e indicato sul suo sito internet.

Il Codice CISPE precede l’applicazione del nuovo Regolamento europeo per la protezione dei dati, che, come abbiamo detto, è stato approvato a maggio scorso e diverrà pienamente operativo dal maggio 2018 e conferma l’interesse e l’attenzione fondamentale che i fruitori di servizi cloud e gli operatori del settore devono avere per la protezione dei dati nei servizi cloud.

L'autore

Veronica Morlacchi

Laureata a pieni voti in giurisprudenza, è Avvocato Cassazionista, iscritta all’Albo degli Avvocati di Busto Arsizio dal 2004 e all’Albo degli Avvocati abilitati al Patrocinio davanti alla Corte di Cassazione e alle altre Giurisdizioni superiori. Si occupa principalmente, nell’interesse di Privati, Professionisti, Aziende ed Enti pubblici, di diritto civile, in particolare responsabilità civile e risarcimento danni, diritto delle nuove tecnologie e privacy, contratti, persone e famiglia. Ha conseguito un master in Responsabilità civile e un corso di perfezionamento in Tecniche di redazione dei contratti e, da ultimo, si è perfezionata in Data Protection e Data Governance all'Università degli Studi di Milano e in Strategie avanzate di applicazione del GDPR. Pubblica periodici aggiornamenti e articoli nelle materie di cui si occupa sul suo sito www.studioavvmorlacchi.it e da giugno 2016 collabora con Guru Advisor

banner5

fb icon evo twitter icon evo

Parola del giorno

L'acronimo SoC  (System on a Chip) nasce per descrivere quei circuiti integrati che, all'interno di un singolo chip fisico, contengono un...

>

YAML è un formato utilizzato per serializzare (ovvero salvare oggetti su supporti di memoria ad accesso seriale) dati, in modo...

>

Il termine Edge Computing descrive, all'interno di infrastrutture cloud-based, l'insieme di dispositivi e di tecnologie che permettono l'elaborazione dei dati ai...

>

L'acronimo FPGA  (Field Programmable Gate Array), descrive quei dispositivi hardware formati da un circuito integrato e con funzionalità programmabili tramite...

>

Il termine Agentless (computing) descrive operazioni dove non è necessaria la presenza e l'esecuzione di un servizio software (demone o...

>
Leggi anche le altre...

Download del giorno

Fiddler

Fiddler è un server proxy che può girare in locale per consentire il debug delle applicazioni e il...

>

Adapter Watch

Adapter Watch è uno strumento che permette di visualizzare un riepilogo completo e dettagliato delle informazioni riguardanti una determinata...

>

DNS DataView

DNS Lookup  è un tool a interfaccia grafica per effettuare il lookup DNS dal proprio PC, sfruttando i...

>

SolarWinds Traceroute NG

SolarWinds Traceroute NG è un tool a linea di comando per effettuare traceroute avanzati in ambiente Windows...

>

Network Inventory Advisor

Network Inventory Advisor  è uno strumento che permette di scansionare la rete e acquisire informazioni riguardanti tutti i...

>
Tutti i Download del giorno...

Archivio numeri

  • GURU advisor: numero 21 - maggio 2019

    GURU advisor: numero 21 - maggio 2019

  • GURU advisor: numero 20 - dicembre 2018

    GURU advisor: numero 20 - dicembre 2018

  • GURU advisor: numero 19 - luglio 2018

    GURU advisor: numero 19 - luglio 2018

  • GURU advisor: numero 18 - aprile 2018

    GURU advisor: numero 18 - aprile 2018

  • GURU advisor: numero 17 - gennaio 2018

    GURU advisor: numero 17 - gennaio 2018

  • GURU advisor: numero 16 - ottobre 2017

    GURU advisor: numero 16 - ottobre 2017

  • GURU advisor: numero 15 - luglio 2017

    GURU advisor: numero 15 - luglio 2017

  • GURU advisor: numero 14 - maggio 2017

    GURU advisor: numero 14 - maggio 2017

  • 1
  • 2
  • 3
  • Teslacrypt: rilasciata la chiave

    Gli sviluppatori del temuto ransomware TeslaCrypt hanno deciso di terminare il progetto di diffusione e sviluppo e consegnare al pubblico la chiave universale per decifrare i file. Read More
  • Proxmox 4.1 sfida vSphere

    Proxmox VE (da qui in avanti semplicemente Proxmox) è basato sul sistema operativo Debian e porta con sé vantaggi e svantaggi di questa nota distribuzione Linux: un sistema operativo stabile, sicuro, diffuso e ben collaudato. Read More
  • Malware: risvolti legali

    tutti i virus e in particolare i più recenti Ransomware, che rubano i vostri dati e vi chiedono un riscatto, violano la legge. Vediamo insieme come comportarsi, per capire anche se e quando bisogna sporgere denuncia. Read More
  • 1