privacy nel cloud

Oggi ti parlo della privacy nel Cloud, ovvero cosa deve essere scritto su di un contratto di erogazione di servizi Cloud in tutte le varie declinazioni (IaaS, Paas, SaaS), fino alle applicazioni di Disaster Recovery On the Cloud (DRaaS) oppure di Virtual Desktop, per essere certi che sia assicurata e tutelata la privacy dei dati che affidi al tuo provider.

Privacy nel Cloud : Gli aspetti importanti

Vedremo che questo si traduce in tre macro aspetti :

  • La titolarità del dato
  • Il controllo dell’accesso al dato in Cloud
  • La conservazione/distruzione del dato presso il Datacenter che eroga il servizio.

Il mio dato è solo mio.

Anche se un’altra Azienda, (nella fattispecie il Cloud Provider), detiene il tuo dato all’interno del proprio Datacenter, questo non significa che possa farne ciò che vuole.

Il dato resta di tua proprietà, ed il fornitore può accedervi solo in forma aggregata per attività di manteinance e di backup.

Accesso al dato ? sicuro e controllato!

Hai identificato il servizio di Server o Datacenter Virtuale che fa per te, hai scelto e dimensionato lo storage più adatto alle tue esigenze.

Bene, prima di firmare controlla che sul contratto venga riportato che :

  • E’ possibile accedere al dato in modalità sicura tramite VPN oppure tramite MPLS, tecnologia con la quale un accesso di rete privata viene dedicato esclusivamente al tuo cloud; soluzione più performante e sicura (ovviamente più costosa..), ma se il tuo budget lo consente la consiglio vivamente.
  • E’ garantita la segregazione dei dati di ogni singolo cliente. Anche se stiamo parlando di piattaforme virtuali e condivise, il provider deve garantirti l’impiego di processi e tecnologie allo “stato dell’arte” per assicurare la separazione dei dati della tua azienda da quelli degli altri clienti che utilizzano la piattaforma. L’espressione “stato dell’arte” è cruciale : significa che il provider deve continuamente aggiornare e migliorare le tecnologie ed i processi con quanto di meglio offre il mercato. (Ritorniamo su di un tipico vantaggio del cloud : non preoccuparti tu degli aggiornamenti e delle migliorie, lascia che sia il fornitore a farlo…).
  • Il fornitore si impegna a non trasferire i dati all’esterno del SEE (Spazio Economico Europeo): è pratica piuttosto diffusa, per garantire la continuità di servizio, trasferire dati oppure creare copie degli stessi su Datacenter posizionati in diverse parti del mondo, dove la legislazione è differente e sarà certamente più difficile (se non impossibile) far valere i tuoi diritti e tutelare la privacy dei dati. (Ne parlo più diffusamente in questo post)
  • E’ disponibile periodicamente un log degli accessi alla piattaforma, in modo tale che controllando i dati di accesso tu possa identificare accessi o tentativi sospetti.

privacy nel cloud

Al sicuro.. oppure distrutto !

Ed ecco il tema della data retention…

La materia è talmente complessa che sulle modalità di mantenimento/distruzione dei dati elettronici si stanno confrontando i legislatori di mezzo mondo; mi limito ad indicarti alcuni passaggi importanti, che ti consiglio di verificare in fase contrattuale :

  • Anche per questa materia, il provider è tenuto ad utilizzare ogni accorgimento, tecnologia e processo sempre aggiornato per ridurre al minimo il rischio di furto e/o di perdita accidentale del dato.
  • Ed in caso di disdetta ? Il fornitore deve indicare chiaramente sul contratto la tempistica con la quale si impegna a distruggere totalmente i tuoi dati nel caso di interruzione del rapporto di fornitura. In altre parole, dopo che avrai spostato i tuoi servizi altrove, il tuo vecchio provider è tenuto (i tempi standard sono di 60-90 giorni) a distruggere integralmente i tuoi dati, (questo è comodo anche per te, che potrai contare su di una copia dei tuoi dati al sicuro durante la transizione).
  • Sempre in caso di disdetta, deve essere garantita la restituzione dei dati su supporti e formati precedentemente concordati
  • Se invece hai problemi stringenti di privacy, assicurati che potrai concordare la distruzione immediata dei tuoi dati.

Ovviamente, anche se la fiducia è fondamentale, non puoi lasciare al buon cuore del fornitore che tutto fili liscio.

Per questo esistono quindi apposite certificazioni, come la ISO 27001, che, come dice Wikipedia (leggi qui la voce completa) :

Lo Standard ISO/IEC 27001:2005 (Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti) è una normainternazionale che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall’inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

Enti indipendenti, oltre a rilasciare la certificazione, controllano periodicamente che i parametri di sciurezza e di gestione vengano rispettati.

Verifica quindi che il tuo provider sia disponibile a garantirti le procedure e gli accordi contrattuali discussi sopra, oltre ad essere in possesso della certificazione ISO 27001.

La materia è veramente ampia e complessa, ma seguendo questi semplici punti potrai comunque dormire sonni tranquilli, per altri informazioni contattami qui.