Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

dati personali

Il cloud diventa più sicuro, col Gdpr e il Cispe: ecco perché

Utilizzare il cloud oggi è molto sicuro, grazie al GDPR ma anche a un’iniziativa lanciata dai principali provider Ue per ridare ai cittadini il controllo dei loro dati e semplificare il quadro normativo per il commercio internazionale, con un codice di condotta che si candida a standard di settore. Vediamo di che si tratta

12 Ott 2018

Daniele Rigitano

Cyber Security Specialist @ Computer Emergency Response Team


Gli utenti dei servizi cloud possono finalmente controllare dove vengono fisicamente trattati e salvati i loro dati, con la certezza che il gestore non li riutilizzerà o rivenderà. Due i fattori di svolta: il GDPR e il Cispe.

L’incremento della tutela del dato nel cloud è dovuto in gran parte all’introduzione del nuovo regolamento europeo, il GDPR. Già nel 2016, nell’ottica del pieno raggiungimento della conformità al futuro GDPR, i maggiori fornitori di servizi cloud europei hanno lanciato un’iniziativa volta a dare soluzioni concrete che siano in linea con gli obblighi normativi: il Cloud Infrastructure Services Providers in Europe (CISPE).

Cos’è il Cispe

Il Cispe è una coalizione formata già da un paio di anni, composta da oltre 25 cloud provider attivi in tutta Europa. Lo scopo che ha portato a tale intesa, consiste nell’aver presentato il primo Codice di Condotta (CoC) per la protezione di dati che prevede la possibilità, per i clienti di provider di infrastrutture Cloud, di trattare e salvare esclusivamente dati all’interno di territori UE/SEE[1].

Quanto esposto evolve il concetto della sicurezza dei dati de facto, rafforzandolo tramite la certezza di una sicurezza dei dati garantita de iure.

Ai sensi del Codice di Condotta Cispe, i provider di infrastrutture Cloud aderenti non potranno inoltre in alcun modo effettuare alcun tipo di data mining sulla parte di virtual storage assegnata ai vari clienti.

Vi è quindi la concreta certezza che nessuno tenterà di tracciare un profilo dei dati memorizzati per attività di marketing, pubblicitarie o simili, per scopi personali o per la rivendita a soggetti terzi.

L’obiettivo principale del Cispe è quello di ridare ai cittadini il controllo dei propri dati personali e di semplificare il contesto normativo per il commercio internazionale unificando la regolamentazione all’interno dell’UE.

Non a caso Cispe unisce i principali provider di infrastrutture cloud di varie entità con sede o che operano in più di 15 paesi europei.

Il cloud computing

La diffusione dei servizi cloud facilita l’accesso a dati e informazioni ovunque il titolare si trovi. Si può, ad esempio, visualizzare un documento o scaricare un file a prescindere dal luogo, senza essere dipendente da un pc o altro dispositivo fisico in particolare.

Un utente poco pratico potrebbe erroneamente considerare il concetto di cloud limitatamente all’erogazione dei servizi di “virtual storage”, poiché effettivamente è stato questo il primo utilizzo che si è fatto di questo servizio.

La dematerializzazione della semplice pen drive, tramite questi servizi aleatori[2], non è l’unico concetto di cloud. Nonostante a livello End-User sia la modalità di utilizzo più diffusa, a livello Enterprise vi sono ulteriori varianti di modelli di servizio remoti:

  • SaaS (Software as a Service): la disponibilità remota di applicazioni informatiche nella quale l’utente finale non ha bisogno di conoscenze informatiche specifiche per utilizzare le applicazioni o i servizi. Alcuni esempi sono le webmail, i servizi messi a disposizione della P.A., i social network, etc…
  • PaaS (Platform as a Service): la possibilità di utilizzare piattaforme informatiche remote. In questo caso, il fornitore del servizio si occupa dell’infrastruttura hardware, mentre sarà cura del cliente installare il S.O. ed occuparsi di sviluppare la sua applicazione.
  • IaaS (Infrastructure as a Service): la possibilità di disporre di vere e proprie infrastrutture remote. Il provider offre un hardware virtuale (CPU, RAM, spazio di storage e schede di rete) e quindi la flessibilità di un’infrastruttura fisica, senza l’onere per il cliente della gestione dell’hardware. Alcuni esempi sono i server virtuali di Aruba.

In ognuno degli scenari presentati, i file sono archiviati su dispositivi o infrastrutture di proprietà (o comunque nella disponibilità, nel caso di contratti di sub-fornitura) del fornitore del servizio cloud.

La proprietà intrinseca del file, quindi del dato, rimane del titolare, ossia del cliente del provider, il quale può decidere di trasferirlo su un server altrui, consapevole o meno della collocazione fisica di quest’ultimo.

Vi è altresì la possibilità di effettuare delle copie (backup) volte a garantire un alto livello di fruizione del servizio (disponibilità) e riparare ipotesi di manomissioni, perdite e violazioni – quando si opta per soluzioni di disaster recovery e business continuity.

CISPE, la coalizione

Come accennato, nel 2016 lo scenario descritto è cambiato, grazie alla creazione della coalizione Cloud Infrastructure Services Providers in Europe.

Tramite l’alleanza tra i maggiori fornitori di servizi europei è stata licenziata la versione aggiornata del Codice di Condotta (CoC) per la protezione di dati, l’erogazione dei servizi ed i termini di utilizzo delle infrastrutture Cloud.

La redazione finale del testo, supervisionata dal Board del Cispe e dal CCTF (Code of Conduct Task Force) è stata effettuata presso il Data Center di Aruba in provincia di Bergamo di recente costruzione.

Le varie fasi della stesura hanno visto al centro della discussione la corretta interpretazione del punto di vista dei Garanti Privacy Europei.

I feedback ottenuti, tramite le preziose indicazioni su come migliorare ulteriormente il Codice da parte del gruppo Working Party Article 29 (WP29)[3] ed i specifici commenti dei Garanti interpellati hanno permesso il raggiungimento di un buon grado di maturità del Codice, che è ormai al varco per la validazione finale.

Il testo offre la possibilità di processare tutti i dati esclusivamente in Europa e un espresso divieto di rivendere o riutilizzare i dati delle aziende clienti. Ottenuto il definitivo via libera del WP29, Cispe si è candidato prepotentemente a diventare lo standard di riferimento per tutti i fornitori del segmento.

I vantaggi del Codice di Condotta

Il Codice offre vantaggi sia ai clienti che ai provider di servizi di infrastrutture Cloud:

  • offre risposte concrete alle crescenti domande ed esigenze dei clienti in tutta Europa, in conformità a quanto richiesto dal GDPR;
  • chiarisce la ripartizione della responsabilità tra il cliente e i provider di servizi di infrastrutture cloud;
  • risolve il problema della proprietà e del possesso, garantendo perfetta aderenza all’articolo L’articolo 32, comma 2 e l’articolo 5, comma 1, paragrafo f, sulla trasmissione e la storicizzazione cifrata del dato;
  • definisce ulteriormente i requisiti per il Cispe, basati sulla natura del trattamento dei dati effettuato dal Cispe stesso;
  • richiede al Cispe trasparenza nel soddisfare questi requisiti, fornendo le basi per una cooperazione reciprocamente vantaggiosa tra Cispe e cliente

Servizi ‘a prova di Cispe’

Tutti i servizi di infrastrutture Cloud che rispettano il Codice di Condotta Cispe figurano sul registro pubblico Cispe, disponibile all’indirizzo www.cispe.cloud/PublicRegister, e saranno facilmente riconoscibili grazie al marchio di conformità.

MarchioCISPE

Il marchio di conformità certifica quindi l’aderenza agli standard ed alle buone pratiche volte a proteggere i dati dei clienti e rispettare le leggi europee sulla protezione dei dati.

Come fare per entrare nella coalizione

Un fornitore di servizi che vuole entrare a far parte della coalizione, non deve far altro che compilare e presentare una dichiarazione di aderenza, dichiarando la conformità dei propri servizi[4] alle le linee guida del Codice di Condotta. L’attuale forma della dichiarazione di aderenza è contenuta nell’allegato B del codice stesso.

Il richiedente provvederà a pubblicare e mantenere una versione aggiornata nel tempo della propria dichiarazione di aderenza, e delle proprie linee guida sull’aderenza al codice sul registro pubblico Cispe.

La dichiarazione di aderenza conferma che il servizio è conforme ai Requisiti del Codice.

Vi sono 2 modi per presentare tale dichiarazione:

  • tramite certificazione da parte di un revisore indipendente di terze parti;
  • tramite autovalutazione.

Un segretario, nominato dal consiglio di amministrazione del Cispe, valuterà e notificherà entro 40 giorni lavorativi dal ricevimento da parte della Segreteria della documentazione se l’aderenza è completa.

In caso contrario, la segreteria può richiedere al fornitore di servizi eventuale ulteriore documentazione e/o informazioni necessarie per la positiva riuscita della pratica.

A seguito della buona riuscita di tale procedura, il fornitore sarà pubblicato sul Registro Pubblico Cispe entro 10 giorni e potrà utilizzare il marchio di conformità.

L’adesione, così ottenuta, deve essere rinnovata ogni anno.

Conclusioni

In conclusione, si può affermare che i clienti di provider di servizi Cloud possono finalmente controllare dove vengono fisicamente trattati e salvati i loro dati, con la certezza che il gestore non li riutilizzerà o rivenderà.

Trasferimento e copia permettono il mantenimento della proprietà e del possesso[5]: vi è la garanzia che i dati vengono trasmessi tramite connessione sicura end-to-end e memorizzati tramite crittografia AES.

Quanto detto è la risposta a un’esigenza che secondo numerosi sondaggi è condivisa dal 90% dei cittadini europei, che hanno chiesto per lungo tempo gli stessi diritti di protezione dati in tutta Europa[6].

Il documento Cispe intende raggiungere l’obiettivo di assicurare ai cittadini il pieno controllo dei propri dati personali e semplificare il contesto normativo per il commercio internazionale, unificando la regolamentazione all’interno dell’Unione Europea.

Il codice di condotta Cispe ed il marchio di conformità, assegnato ai provider di servizi Cloud conformi alle normative UE, testimoniano anche l’impegno da parte dei provider nel mantenere il massimo livello di protezione dei dati e la loro adesione a pratiche aderenti ai principi dell’Unione Europea.

Questo significa che i fornitori garantiscono ai propri clienti che i dati trasferiti sul Cloud siano memorizzati nello stesso paese di appartenenza; in alternativa in data center di paesi dell’UE all’interno dello Spazio economico europeo più Islanda, Liechtenstein e Norvegia.

Risultati immagini per aruba cloud services

Per quanto riguarda i fornitori Italiani, il nostro maggior esponente, nonché socio fondatore, è Aruba.

Aruba ha recentemente commentato la sua partecipazione, sottolineando la sua adesione fin dalla prima ora al progetto Cispe. Ha inoltre dichiarato che i propri servizi di Private Cloud, Public Cloud, Cloud Backup e Cloud Object Storage rispettano ampiamente i requisiti richiesti dal codice di condotta.

L’articolo è parte di un progetto di comunicazione editoriale che Agendadigitale.eu sta sviluppando con il partner Aruba

________________________________________________________

  1. http://aru.ba/coalizionecispe
  2. La porzione di spazio di memorizzazione che molti fornitori di servizi, non facenti parte del CISPE (o comunque prima della sua entrata in vigore), concedono ai propri clienti è contenuta in server dei quali l’utente finale non ha alcuna evidenza della reale localizzazione geografica.
  3. l’organismo indipendente incaricato di vagliare le richieste di approvazione dei codici provenienti dall’industria
  4. Un fornitore può richiedere di aderire alla coalizione anche per un sottoinsieme dei suoi servizi. Riceveranno quindi il marchio solo i servizi approvati dall’ufficio di segreteria del CISPE.
  5. GDPR: L’articolo 32, comma 2 e l’articolo 5, comma 1, paragrafo f, richiedono che la trasmissione dei dati sia cifrata per evitare la divulgazione non autorizzata o l’accesso ai dati personali trasmessi e che il dato debba essere protetto attraverso il criptaggio AES-256 come misura adeguata di sicurezza.
  6. Fonte – Aruba http://aru.ba/providercispe

@RIPRODUZIONE RISERVATA

Articolo 1 di 4