Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il quadro

I contratti in cloud, sicurezza e riservatezza dei dati: linee guida

Inquadramento giuridico, struttura e contenuti dei contratti di cloud computing. Tutto quello che c’è da sapere su portabilità, riservatezza e sicurezza dei dati sulla base dello standard ISO/IEC 27018 e delle raccomandazioni Enisa

28 Nov 2018

Anna Cardetta

Data Protection Advisor


I contratti di fornitura di servizi di cloud computing pongono particolari problematiche legali.

Innanzitutto è necessario precisare che coinvolgono diversi soggetti:

  • il cloud provider, ovvero il fornitore di servizi cloud
  • il cliente amministratore, ovvero colui che configura i servizi offerti dal cloud provider
  • Il cliente finale dei servizi cloud, che fruisce delle risorse configurate dal cliente amministratore

Non è semplice inquadrare giuridicamente un contratto di cloud computing. Parte della dottrina sostiene la tesi secondo la quale il contratto in oggetto si configurerebbe come un contratto misto, poichè in esso si rintraccerebbero elementi riconducibili all’appalto di servizi[1] (l’offerta di servizi cloud) e al contratto di licenza (le modalità di utilizzo dei prodotti).

Altra dottrina pronunciatasi sul contratto di fornitura di servizi di cloud computing ha ricondotto questo schema contrattuale propriamente alla tipologia contrattuale dell’appalto di servizi osservando come il risultato che attraverso di esso viene conseguito sia affine a quello ottenuto attraverso i contratti di outsourcing. Si rammenta che l’ordinamento giuridico italiano inquadra il contratto di outsourcing nell’ambito dei contratti atipici che vengono diffusamente posti in essere nonostante la mancanza di un modello contrattuale regolamentato e che viene pertanto assimilato al contratto di appalto di servizi.

I contratti di cloud: caratteristiche privacy

I contratti di cloud sono generalmente composti da più sezioni contenenti le condizioni generali del servizio, i livelli qualitativi del servizio (o Service Level Agreement – abbreviato frequentemente in SLA), gli obblighi per le parti e le modalità di trattamento dei dati personali.

In sintesi:

  • la sezione relativa alle condizioni generali di contratto definisce gli aspetti generali del contratto stesso, ovvero durata, corrispettivo, erogazione, risoluzione, recesso
  • la sezione SLA indica nel dettaglio i livelli di servizio che il fornitore si impegna a mantenere
  • la sezione riguardante gli obblighi per le parti definisce le condizioni da rispettare affinché non si verifichi l’interruzione o la sospensione del servizio
  • la Privacy Policy descrive le modalità con cui il provider tratta i dati personali nell’ambito della erogazione del servizio di cloud computing, anche alla luce degli obblighi imposti dal Regolamento UE 2016/679[2]

L’Individuazione del cloud service provider e del contratto di fornitura del servizio di cloud computing sono aspetti di una fase particolarmente importante finalizzata alla selezione dei fornitori (vendor rating) e alla individuazione dell’accordo di servizio adatto alle esigenze aziendali. Occorre sempre assicurarsi che vengano soddisfatte le seguenti condizioni:

  • I dati archiviati sui server del provider devono rimanere sempre di proprietà dell’azienda
  • il fornitore deve essere in grado di dimostrare di imporre adeguati controlli di accesso e garantire che i dati in transito e il caricamento o il trasferimento di file siano protetti con protocolli di crittografia
  • Il fornitore deve sempre concedere la possibilità di scaricare una copia dei dati in qualsiasi momento ed in totale autonomia e dichiarare con la massima trasparenza il luogo fisico dove risiedono i dati
  • Il cliente deve poter monitorare periodicamente la risposta del fornitore alle prestazioni e al rispetto del contratto

Un aspetto di particolare importanza in ambito cloud riguarda la portabilità dei dati.

Per portabilità si intende la possibilità di poter migrare applicazioni e dati da un ambiente cloud ad un altro evitando di rimanere ‘bloccati’ in un determinato provider di infrastrutture cloud (vendor lock-in).

Proprio a questo proposito, nelle ‘Linee-guida sul diritto alla “portabilità dei dati[3]” il Gruppo di Lavoro ex art. 29 (WP 29) fornisce indicazioni sull’interpretazione e sull’attuazione del diritto alla portabilità dei dati introdotto dal Regolamento UE 679/2016 incoraggiando accordi di collaborazione fra provider e associazioni di categoria per la definizione e lo sviluppo di standard e formati interoperabili condivisi.

Riservatezza dei dati e sicurezza nel cloud

Il rischio della perdita del controllo sui dati da parte degli utenti dei servizi cloud rappresenta una grave minaccia per la riservatezza delle informazioni e per i principi fondanti della normativa sulla privacy.

Lo standard ISO/IEC 27018 (Codice di condotta per la protezione delle PII (Personally Identifiable Information) nei servizi di public cloud per i cloud provider) e le raccomandazioni suggerite da Enisa già nella prima versione della pubblicazione ‘Cloud Computing Benefits, risks and recommendations for information security’[4] di fatto rappresentano ottimi strumenti di riferimento per la corretta gestione della riservatezza dei dati e della sicurezza in ambiente cloud.

In particolare, lo standard ISO/IEC 27018, riprendendo gli aspetti esposti nella risoluzione di Madrid[5] del 2009, fornisce precise istruzioni, linee guida e controlli per il trattamento di dati personali in ambiente cloud su rete pubblica.

Di seguito una breve sintesi delle istruzioni, le linee guida e i controlli per il trattamento di dati personali richiamate nello standard in questione:

  • scelta e consenso: il provider deve agevolare l’esercizio dei diritti di accesso, rettifica e/o cancellazione da parte dell’interessato. Per facilitare l’esercizio dei diritti le informazioni rilevanti o le misure tecniche devono essere specificato nel contratto
  • finalità del trattamento: le sole finalità del trattamento sono quelle rese note nel contratto di servizio; finalità pubblicitarie o di marketing diretto presuppongono il consenso esplicito dell’interessato
  • minimizzazione dei dati: file e documenti temporanei devono essere cancellati o distrutti entro un periodo specificato e documentato
  • limitazione all’uso, alla conservazione e alla divulgazione: a meno di espresse disposizioni di legge, la richiesta di divulgazione di dati personali da parte di autorità amministrative o giudiziarie deve essere notificata al cliente in maniera tempestiva. Inoltre la divulgazione di dati personali a terze parti deve essere registrata
  • trasparenza: Il ricorso a subappaltatori da parte del provider deve essere reso noto al cliente del servizio cloud prima del loro utilizzo. Le disposizioni per l’utilizzo dei subappaltatori devono essere riportate in chiaro nel contratto tra il provider e il cliente. Il provider dovrebbe informare il cliente in modo tempestivo di eventuali modifiche previste in questo senso in modo tale da concedergli la possibilità di opporsi a tali modifiche o di risolvere il contratto
  • accountability: il provider deve notificare tempestivamente al cliente le violazioni che comportano perdite, diffusione o modifica dei dati personali (data breach)
  • conformità alla privacy: il provider deve indicare i Paesi in cui potrebbero essere conservati i dati, anche derivanti dall’utilizzo di subappaltatori e indicare specifici accordi contrattuali applicati in merito al trasferimento internazionale di dati. Il provider dovrebbe informare tempestivamente il cliente di eventuali modifiche previste a tale riguardo, in modo da concedergli la possibilità di opporsi o di recedere dal contratto.

Per quanto riguarda l’aspetto della sicurezza, lo standard ISO in esame suggerisce una corposa serie di misure a protezione dei dati personali in ambienti cloud, di seguito sinteticamente elencate:

  • accordi di riservatezza o di non divulgazione tra il provider e i suoi dipendenti e collaboratori
  • limitazione della creazione di materiale cartaceo (comprese le stampe che contengono dati personali)
  • procedure di controllo e registrazione del ripristino dei dati
  • procedura di autorizzazione per i dati personali trasferiti su supporti magnetici al di fuori dei locali aziendali del provider e crittografia dei contenuti
  • divieto di utilizzo di supporti e dispositivi di memorizzazione portatili non crittografati a meno di eccezioni
  • crittografia dei dati che vengono trasmessi sulle reti pubbliche
  • smaltimento sicuro dei materiali cartacei
  • utilizzo di ID univoci per i clienti cloud
  • stesura e aggiornamento sistematico di un registro degli utenti che accedono al sistema e dei relativi profili di accesso
  • gestione degli ID utente e divieto di assegnazione ad altri di quelli non utilizzati o scaduti
  • evidenza dei controlli minimi di sicurezza nei contratti con clienti e subappaltatori
  • garanzia che ogni volta che lo spazio di archiviazione dei dati viene assegnato a un servizio cloud, tutti i dati che precedentemente risiedevano su tale spazio di archiviazione siano stati resi intellegibili.

Le raccomandazioni Enisa

Passando alle raccomandazioni suggerite da Enisa, queste sono suddivisibili in tre macroaree:

  • raccomandazioni a garanzia delle informazioni trattate nel cloud
  • raccomandazioni legate all’aspetto legale
  • raccomandazioni a fini di ricerca.

Tralasciando in questo articolo il commento delle raccomandazioni a fini di ricerca, si riporta una sintesi delle raccomandazioni suggerite in merito alla protezione delle informazioni trattate nel cloud e agli aspetti legali dei contratti di cloud computing.

In merito alle raccomandazioni relative alla protezione delle informazioni e dei dati, Enisa suggerisce l’adozione delle seguenti buone pratiche:

  • valutare il rischio di adottare servizi cloud confrontando i rischi nel mantenere un’architettura tradizionale con i rischi legati alla migrazione a un ambiente di cloud computing
  • confrontare le diverse offerte di servizi cloud presenti sul mercato
  • mantenere i requisiti di garanzia da parte dei fornitori di servizi cloud. Molti fornitori di servizi cloud ricevono dai clienti proposte di revisione della propria infrastruttura e delle proprie politiche. Ciò può creare un onere particolarmente critico per il personale addetto alla sicurezza e aumentare il numero di persone con accesso all’infrastruttura, provocando di fatto un aumento significativo del rischio di attacchi dovuti a un uso improprio di informazioni critiche, furto di dati critici o sensibili ecc. I fornitori devono dunque affrontare questo problema istituendo adeguate politiche per la gestione di tali richieste
  • definire chiaramente la divisione delle responsabilità rilevanti per la sicurezza tra clienti e fornitori, considerando che le linee di tale divisione varieranno notevolmente tra le offerte SaaS e le offerte IaaS. I fornitori di applicazioni IaaS trattano le applicazioni all’interno dell’istanza virtuale del cliente come una “scatola nera” e quindi sono completamente agnostiche per quanto riguarda il funzionamento e la gestione delle applicazioni. L’intero “stack” – applicazione cliente, piattaforma applicativa run time (.Net, Java, Ruby, PHP, ecc.) – viene eseguito sul server dei clienti (sull’infrastruttura provider) ed è gestito dai clienti stessi; i clienti dunque devono essere consapevoli che sono responsabili della sicurezza delle proprie infrastrutture IaaS.

Progettazione e della gestione di applicazioni sicure

Sotto l’aspetto della progettazione e della gestione di applicazioni sicure in cloud, vengono inoltre suggerite le seguenti buoni pratiche:

  • devono essere progettate o incorporate contromisure di sicurezza standard per proteggersi dalle vulnerabilità web più diffuse
  • I clienti sono responsabili dell’aggiornamento delle loro applicazioni in cloud e quindi devono assicurare una idonea strategia per garantire che siano preservate da malware e vulnerabilità
  • I clienti non dovrebbero utilizzare implementazioni personalizzate di autenticazione e autorizzazione, in quanto potrebbero non essere correttamente implementate.

Preme sottolineare che, sebbene sia possibile trasferire una parte dei rischi al fornitore di servizi cloud, a seguito di un incidente di sicurezza con conseguente divulgazione non autorizzata dei dati, la perdita di fiducia dei consumatori e le potenziali sanzioni sarebbero avvertite principalmente dal cliente finale. Dunque, una qualsiasi valutazione del rischio dovrebbe essere decisa sulla base della propensione al rischio dell’organizzazione e dei risparmi finanziari perseguibili grazie ad una adeguata politica di attenuazione del rischio.

Sotto l’spetto della sicurezza operativa, Enisa suggerisce le seguenti raccomandazioni affinché il fornitore garantisca l’utilizzo di controlli appropriati per attenuare il rischio di divulgazione non autorizzata dei dati:

  • definire i controlli host e di rete utilizzati per proteggere i sistemi che ospitano le applicazioni e le informazioni per il cliente finale
  • specificare i controlli utilizzati per la protezione da codice malevolo
  • implementare configurazioni sicure per consentire solo l’esecuzione del codice autorizzato e della funzionalità autorizzate
  • garantire l’utilizzo di adeguate politiche e procedure per il backup. Ciò dovrebbe includere procedure per la gestione di supporti rimovibili e metodi per distruggere in modo sicuro i supporti non più necessari.

Per quanto riguarda gli aspetti legali, le raccomandazioni Enisa evidenziano una prima fondamentale distinzione tra organizzazioni di piccole e medie dimensioni e grandi aziende, in quanto le prime si limiterebbero a scegliere tra una moltitudine di contratti offerti sul mercato, mentre le seconde avrebbero un potere contrattuale più ampio che permetterebbe di poter negoziare le clausole contrattuali con i fornitori di servizi cloud. In ogni caso è necessario prestare particolare attenzione ai diritti e agli obblighi relativi alle notifiche di violazioni della sicurezza, al trasferimento dei dati e alle modifiche che riguardano il controllo e l’accesso. In sintesi:

  • protezione dei dati: occorre prestare attenzione alla scelta di un provider che offra sufficienti misure di sicurezza tecnica e misure organizzative che disciplinino il trattamento dei dati e garantisca il rispetto di tali misure
  • sicurezza dei dati: occorre prestare attenzione alle misure obbligatorie di sicurezza che potenzialmente possono indurre il fornitore di servizi cloud o il cliente a essere soggetto a sanzioni e multe se il contratto non soddisfa tali obblighi
  • trasferimento dei dati: occorre prestare attenzione a quali informazioni sono fornite al cliente sulle modalità di trasferimento dei dati all’interno del cloud proprietario del cloud provider, al di fuori di tale cloud, all’interno e all’esterno dell’Unione Europea
  • accesso alle forze dell’ordine: ogni Paese ha restrizioni e requisiti che prevedono l’accesso ai dati da parte delle forze dell’ordine. Il cliente deve prestare attenzione alle informazioni fornite dal provider in merito ai Paesi in cui i dati possono essere archiviati ed elaborati e valutare eventuali rischi derivanti dalle legislazioni applicabili
  • si dovrebbe garantire che il contratto rispetti i diritti riguardanti la proprietà intellettuale, per quanto possibile, senza compromettere la qualità del servizio offerto
  • assegnazione dei rischi e limitazione di responsabilità: nel riesaminare i rispettivi obblighi contrattuali, le parti dovrebbero porre particolare attenzione agli obblighi che presentano un rischio significativo e prevedere eventuali clausole di risarcimento. Inoltre, tutte le clausole standard riguardanti le limitazioni di responsabilità dovrebbero essere attentamente valutate.

Conclusioni

A conclusione di questa analisi appare evidente come le organizzazioni di qualunque tipologia e dimensione che utilizzano servizi di cloud computing e tecnologie di crescente complessità devono essere in grado di gestire efficacemente piattaforme e applicazioni prestando particolare attenzione agli aspetti legati alla privacy, alla sicurezza e a agli obblighi contrattualmente previsti. Sarebbe dunque auspicabile che tutte le organizzazioni si dotassero di sistemi adeguati e di risorse umane adeguatamente formate e preparate in grado di sfruttare appieno i benefici del cloud computing e di intervenire con efficacia in caso di violazioni di dati o incidenti di sicurezza che possano rappresentare una concreta minaccia per la reputazione aziendale e per i diritti e le libertà degli interessati.

keyboard_arrow_right
keyboard_arrow_left
Il cloud computing rappresenta in ambito IT uno dei settori con il maggior tasso di crescita: negli ultimi anni sempre più aziende pubbliche e private hanno scelto di affidarsi alle infrastrutture cloud based incoraggiate dagli indubbi vantaggi offerti dalle soluzioni proposte dal mercato e dalla facilità di accesso da remoto attraverso smartphone, netbook e tablet.

Secondo una proiezione della multinazionale Gartner Inc. effettuata lo scorso anno, il mercato del cloud computing raggiungerà nel corso del 2018 il valore di oltre 300 miliardi di dollari e, superando tale valore, oltrepasserà i 400 miliardi di dollari nel 2020. Dunque, fino al 2020, il tasso di crescita annuo del mercato del cloud globale si attesterà in media sul +13,4%.

Volgendo lo sguardo all’interno dei confini nazionali, secondo una ricerca condotta da Oracle Corporation, il mercato del cloud computing in Italia è cresciuto senza sosta raggiungendo negli ultimi anni percentuali addirittura superiori alle medie mondiali, registrando nel 2016 un incremento perfino pari al 21,5%.

Il National Institute of Standard and Technology (NIST) ha proposto una definizione di cloud computing divenuta diffusamente accettata: ‘Il Cloud Computing è un modello per abilitare, tramite la rete, l’accesso diffuso, agevole e a richiesta, ad un insieme condiviso e configurabile di risorse di elaborazione (ad esempio reti, server, memoria, applicazioni e servizi) che possono essere acquisite e rilasciate rapidamente e con minimo sforzo di gestione o di interazione con il fornitore di servizi.’

Si distinguono tre diversi tipi di servizi cloud, ciascuno con diversi tipi di asset:

  • Infrastruttura come servizio (IaaS, Infrastructure as a Service): il provider fornisce risorse virtuali in remoto accessibili online (risorse hardware, di rete e di storage). L’utente non ha il controllo dell’infrastruttura ma quello delle applicazioni e delle configurazioni e le risorse vengono istanziate su richiesta o sul bisogno della piattaforma utilizzata. Tra le Iaas più diffuse: Dropbox, Amazon Simple Storage Service.
  • Piattaforma come servizio: (PaaS, Platform as a Service) il fornitore cloud fornisce server applicativi (piattaforme) per l’esecuzione di applicazioni. E’ tuttavia possibile che i provider PaaS forniscano anche middleware e strumenti di sviluppo, offrendo di fatto agli utenti sviluppatori un supporto nell’intero ciclo di vita delle applicazioni web. Esempi di applicazioni in esecuzione in Paas sono gli script PHP e i servlet Java; altri esempi di Paas: Google App Engine, Microsoft Azure.
  • Software come servizio (SaaS, Software as a Service): il fornitore offre software o applicazioni che vengono utilizzati direttamente dall’utente anche da più dispositivi tramite Internet. Sono largamente diffusi e utilizzati come tools di posta elettronica o di gestione documentale; è anche possibile che provider SaaS eseguano le loro applicazioni su IaaS o PaaS di altri provider (ad es. lo streaming video (SaaS) di Netflix viene eseguito su servizi cloud di tipo PaaS / IaaS di Amazon AWS).

Ad ulteriore completezza di esposizione è necessario chiarire la differenza sostanziale tra private cloud e public cloud.

Microsoft definisce cloud privato[6] (o anche cloud aziendale o cloud interno) i ‘servizi di calcolo offerti tramite Internet o una rete interna privata solo a utenti selezionati e non al pubblico generale’. Il cloud computing privato offre alle aziende molti vantaggi, ad esempio ‘funzionalità self-service, scalabilità ed elasticità, con controllo e personalizzazione aggiuntivi forniti da risorse dedicate tramite un’infrastruttura di elaborazione ospitata in locale’. E ancora, ‘i cloud privati offrono un livello elevato di sicurezza e privacy tramite firewall aziendali e hosting interno per garantire che le operazioni e i dati sensibili non siano accessibili a provider di terze parti’. In termini di costi, però, i cloud privati richiedono di fatto le stesse spese di risorse umane, manutenzione e gestione tipici dei tradizionali data center aziendali.

Il cloud pubblico[7], invece, viene definito come ‘servizi di elaborazione offerti da provider di terze parti tramite la rete Internet pubblica e disponibili per chiunque voglia usarli o acquistarli. Questi servizi possono essere gratuiti o venduti on demand per consentire ai clienti di pagare solo per i cicli di CPU, le risorse di archiviazione o la larghezza di banda che utilizzano.’

I servizi in cloud rappresentano una soluzione particolarmente attraente soprattutto per le PMI, poiché i costi di implementazione si rilevano spesso considerevolmente inferiori rispetto a quelli di soluzioni IT tradizionali. Tuttavia questo non rappresenta l’unico vantaggio: gli strumenti di collaboration in cloud, ad esempio, consentono l’accesso ad una pluralità di utenti da postazioni dislocate ovunque e da qualsiasi tipo di dispositivo. La dislocazione geografica si rivela, dunque, una efficace misura di mitigazione del rischio ai disastri naturali (alluvioni, catastrofi) e agli attacchi di tipo Dos (Denial of Service), oltre che, ovviamente, a un contenimento dei costi rispetto ad una infrastruttura distribuita di tipo tradizionale che presupporrebbe l’implementazione e la gestione di siti remoti i cui costi di infrastruttura ricadrebbero interamente sull’azienda. Altra caratteristica del cloud è quella di dover rispondere velocemente a repentine modifiche nell’utilizzo delle risorse o a malfunzionamenti e attacchi informatici: i provider dispongono di grandi data center e di grandi quantità di risorse di riserva (che una PMI non potrebbe permettersi di impiegare in maniera parziale e quindi antieconomica), queste ultime da utilizzare in caso di picchi operativi di particolare intensità o di attacchi di tipo DDos (Distributed Denial of Service, interruzione distribuita del servizio).

_____________________________________________________________

  1. Si veda l’art. 1677 del Codice Civile
  2. le soluzioni cloud rappresentano una esternalizzazione del trattamento e, dunque, i contratti cloud devono prevedere una esplicita definizione dei ruoli privacy e degli impegni del provider quale Responsabile del trattamento in ottemperanza ai requisiti GDPR
  3. Versione emendata e adottata il 5 aprile 2017
  4. https://www.enisa.europa.eu/publications/cloud-computing-risk-assessment
  5. Nell’ambito della 31ma Conferenza Internazionale delle autorità di protezione dati e privacy tenutasi a Madrid nel 2009 , le Autorità Garanti di cinquanta Paesi, data la necessità di definire una serie di principi, standard e procedure a garanzia della tutela della privacy come finalità propria di qualunque ordinamento giuridico, hanno approvato una risoluzione in materia di trattamento dei dati personali finalizzata ad una tutela della privacy standardizzata a livello internazionale e ad agevolare i flussi di dati propri di un mondo globalizzato.
  6. Si veda: https://azure.microsoft.com/it-it/overview/what-is-a-private-cloud/
  7. Si veda https://azure.microsoft.com/it-it/overview/what-is-a-public-cloud/

@RIPRODUZIONE RISERVATA

Articolo 1 di 4