GDPR e Cloud Computing – Sfide e opportunità

Il nuovo Regolamento generale sulla protezione dei dati dell'UE (GDPR) entrerà in vigore il 25 maggio 2018. Di conseguenza, le aziende di tutte le dimensioni devono esaminare le modifiche introdotte dal GDPR e identificare le implicazioni organizzative e tecniche specifiche per loro. A meno di un mese dalla scadenza imposta, molte aziende non sono ancora considerate "pronte per il GDPR". Molte di esse si affannano a implementare le giuste politiche di sicurezza IT e privacy. Il cloud computing e un maggiore livello di protezione dei dati dovrebbero andare di pari passo. A parte qualche timore iniziale, le nuove sfide normative potrebbero potenzialmente aprire nuove opportunità sia per i fornitori di servizi cloud che per gli utenti del cloud.

TLDR? Salta ai sei criteri chiave…

Introduzione

La protezione e la sicurezza dei dati sono sempre più al centro dell'attenzione nel corso della digitalizzazione. Sono considerate un requisito chiave per intraprendere con successo il percorso di trasformazione digitale.

Il contesto e l'obiettivo del GDPR sono l'armonizzazione tra i paesi membri dell'UE, in modo che una legge uniforme sulla protezione dei dati sia valida per la zona UE e, allo stesso tempo, venga migliorata la posizione giuridica degli interessati. Ecco alcune delle modifiche più importanti alla luce del GDPR:

• Le sanzioni per le violazioni sono notevolmente aumentate – fino al 2 o al 4 percento del fatturato annuo, a seconda della gravità della violazione.
• I diritti delle persone interessate sono notevolmente rafforzati dagli obblighi di trasparenza e informazione.
• Oltre ai noti obblighi in materia di protezione dei dati, vengono introdotti nuovi obblighi, ad esempio per l'impostazione predefinita rispettosa della privacy dei dispositivi elettronici.
• Il nuovo regolamento si applica anche alle aziende che non hanno sede nell'UE ma che raccolgono dati di cittadini dell'UE.

Le sfide

I decisori aziendali e gli esperti di sicurezza si chiedono ora come saranno le nuove regole del GDPR. E come dovrebbero prepararsi e condurre l'implementazione del GDPR. Inoltre, la questione della “prontezza al GDPR” risuona tra i Chief Information Security Officer (CISO).

Un gran numero di decisori aziendali penserà che si tratti di “un'ennesima nuova regolamentazione da Bruxelles di cui nessuno si accorgerà mai”. Tuttavia, ci sono ottimi motivi per tenere conto del GDPR. Innanzitutto, le modifiche normative rafforzeranno i diritti di tutti gli interessati. Ciò può portare a sanzioni finanziarie significative in caso di future violazioni dei dati che coinvolgono i cittadini dell'UE.

Oltre a un potenziale danno materiale, anche un potenziale danno alla reputazione aziendale è di grande importanza. I media sono pronti a pubblicizzare i problemi di privacy. Questo è un colpo di avvertimento per tutte le aziende che devono ancora mettere in campo le competenze necessarie per conformarsi ai nuovi requisiti. Questo perché con l'entrata in vigore del GDPR a maggio 2018, le sanzioni aumenteranno drasticamente. Con multe fino a € 20 milioni o fino al 4% del fatturato annuo, il tema del GDPR ha ricevuto attenzione a livello dirigenziale per le aziende di tutte le dimensioni.

Il GDPR nel contesto del cloud computing

Le nuove normative in materia di protezione dei dati” sono sia una sfida che un'opportunità. Un indicatore chiave per la “prontezza al GDPR” è la mentalità di protezione dei dati all'interno delle aziende e il livello di protezione dei dati fornito, il che significa cosa, dove e come i carichi di lavoro critici per il business operano sulle infrastrutture cloud.

Per molte aziende, il GDPR è un progetto complesso. Le sfide legali, tecniche e organizzative introdotte dal GDPR sono state finora conciliate solo parzialmente. In particolare nel caso di grandi progetti di migrazione in ambienti di cloud computing, in ambienti IoT o in scenari di big data, l'attività quotidiana lascia poco tempo per preoccuparsi dell'attuazione del GDPR. Tuttavia, oltre alle numerose sfide di implementazione, il GDPR offre anche l'opportunità di eccellere ridefinendo e implementando nuove strategie di protezione dei dati e di sicurezza IT, specialmente nel contesto del cloud computing.

Di conseguenza, il tema del cloud computing solleva molte domande nel contesto del GDPR. In termini tecnici, il cloud computing è un contratto di elaborazione dei dati. Pertanto, l'utente del cloud dovrebbe essere sempre pienamente consapevole del modo in cui il fornitore elabora i suoi dati. I fornitori di cloud e i fornitori di risorse supportano solo le proprie funzioni e dipendono dai requisiti legali dell'autorità responsabile. In altre parole, sia i fornitori di cloud che le aziende devono soddisfare i requisiti legali minimi per ciascun servizio cloud ai sensi del GDPR.

Come sfruttare le potenziali sfide alla base del GDPR? Ci sono due domande principali. Da un lato, le aziende devono sapere di quali fornitori di cloud possono fidarsi. Dall'altro, le aziende devono sapere quali misure tecniche e organizzative devono adottare per essere “conformi al GDPR”.

Opportunità e obblighi per i CISO – il partner cloud giusto

Il partner cloud giusto può essere un prezioso sparring partner alla luce del GDPR. Poiché con la sua esperienza in materia di conformità e sicurezza può aiutare la tua azienda a diventare “pronta per il GDPR”.

Se si applica una strategia multi-cloud, è necessario valutare le politiche di protezione dei dati di ciascun fornitore di cloud. Gli approcci ibridi e multi-cloud sono molto più complessi da coordinare e quindi possono presentare un rischio maggiore per la protezione dei dati. La moltitudine di diversi fornitori di cloud, in particolare nell'ambiente del cloud pubblico, rende difficile per i CISO garantire la conformità al GDPR. La conformità al GDPR è forte solo quanto l'anello più debole. Ad esempio, una violazione o la non conformità da parte di un singolo fornitore di cloud all'interno di una distribuzione multi-cloud può vanificare tutti gli sforzi per una conformità al GDPR di successo.

Sei criteri chiave

Di seguito abbiamo elencato un rapido insieme di criteri che puoi utilizzare per valutare i tuoi potenziali partner cloud (in termini di conformità al GDPR):

Sicurezza e privacy

Il primo passo consiste nel valutare in quale misura il fornitore sia in grado di soddisfare i requisiti di sicurezza IT. Un modo semplice con cui i fornitori di cloud possono dimostrare la conformità alla sicurezza e alla “Privacy by Design” è essere certificati ISO 27001 o ISO 27018. In caso contrario, possono dimostrarlo tramite una valutazione d'impatto sulla protezione dei dati (DPIA) effettuata e/o una valutazione della sicurezza.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformità CloudSigma

CloudSigma è certificata ISO 27001, garantendo che tutti gli aspetti della nostra infrastruttura e dei servizi utilizzati per fornire e gestire il tuo cloud siano conformi al più elevato standard di certificazione ISO in relazione alla sicurezza e alla privacy dei dati.
[/vc_column] [/row]

Gestione del rischio

Le aziende che lavorano con un'ampia gamma di dati critici devono fornire garanzie sufficienti (in conformità con l'Articolo 28 del Regolamento GDPR). Queste garanzie devono dimostrare che il titolare del trattamento dei dati utilizza:

“Solo i responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate. E in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.”

Pertanto, è necessario assicurarsi che il proprio fornitore di servizi cloud conduca audit regolari per la revisione. Inoltre, la valutazione e la stima delle misure tecniche e organizzative per garantire la sicurezza del trattamento. Inoltre, è necessario assicurarsi che il partner cloud conceda il di ritto di audit ai propri clienti.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformità CloudSigma

In qualità di cliente di qualsiasi piattaforma cloud CloudSigma, hai ufficialmente il diritto di eseguire audit di sicurezza, operativi e dei processi in relazione ai servizi che ti forniamo.
[/vc_column] [/vc_row]

Posizione dei dati

Dovresti sempre conoscere la posizione generale dei tuoi dati. Tuttavia, non tutti i partner cloud offrono la trasparenza necessaria in merito alle posizioni cloud. Tieni presente che la sede del fornitore cloud potrebbe non coincidere necessariamente con il luogo di hosting dei tuoi dati. Inoltre, alcune aziende potrebbero spostare i tuoi dati tra diverse posizioni cloud in background, a tua insaputa. Questo potrebbe far parte dei Termini di servizio del partner cloud. Ultimo ma non meno importante, i fornitori di servizi cloud possono memorizzare i dati in più posizioni. E alcune di queste potrebbero trovarsi al di fuori del SEE. In qualità di Titolare del trattamento, è necessario definire una strategia cloud multi-paese per rispettare i requisiti di adeguatezza e le leggi sulla localizzazione dei dati.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformità CloudSigma

Come parte dei nostri Termini di servizio, CloudSigma è strutturata in modo da separare legalmente le posizioni cloud per paese. Di conseguenza, ciascuna posizione è soggetta esclusivamente al quadro giuridico locale. Il tutto offrendo una soluzione cloud locale al 100% per i clienti finali.
Inoltre, le posizioni non sono interconnesse tecnicamente e CloudSigma garantisce la massima trasparenza riguardo all'esatta posizione dei dati, che non verranno mai trasferiti tra posizioni cloud.
[/vc_column] [/vc_row]

Funzionalità di sicurezza

Il GDPR richiede una serie di tutele per la protezione dei dati, dalla crittografia a riposo e in transito ai controlli di accesso, fino alla pseudonimizzazione e all'anonimizzazione dei dati. Per ottenere questo risultato, scegli un partner cloud che offra un numero sufficiente di funzionalità di sicurezza tra cui scegliere. Ad esempio – backup, crittografia, politiche di controllo degli accessi e altro. Se il tuo partner cloud non dispone di tale politica, dovrai occuparti personalmente delle funzionalità di sicurezza.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformità CloudSigma

CloudSigma si impegna a fornire un elevato livello di sicurezza e privacy per i clienti, con una selezione di funzionalità e strumenti che consentono loro di proteggere i diversi aspetti del loro computing. Sul nostro blog i clienti possono trovare diversi articoli che descrivono le varie funzionalità di sicurezza come la crittografia a livello di avvio, le politiche di controllo degli accessi, la verifica in due passaggi, le chiavi SSH e altro.
[/vc_column] [/vc_row]

La mia

Proprietà dei dati

In qualità di cliente di un provider cloud, sei il Titolare del Trattamento dei Dati. Ciò significa che devi mantenere il controllo e la proprietà dei tuoi dati. Puoi ottenere questo risultato firmando un Accordo sul Trattamento dei Dati con il tuo partner cloud per garantire che il partner rispetti i requisiti di protezione della privacy dei dati previsti dal GDPR. Puoi redigere il tuo accordo personale o verificare se il tuo partner cloud ha creato un DPA come parte standard dei Termini di Servizio. Il vantaggio di utilizzare il proprio è che è possibile specificare il tipo di dati personali e di dati “particolari” raccolti. Indipendentemente dal fatto che tu utilizzi il DPA del tuo partner o il tuo, assicurati che i termini stabiliscano chiaramente che il Titolare del Trattamento (ovvero tu) possiede i dati e che il Responsabile del Trattamento (ovvero il partner cloud) non condividerà i dati con terze parti.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformità CloudSigma

CloudSigma ha creato un Accordo sul Trattamento dei Dati (DPA), che consente ai clienti di adempiere ai propri obblighi GDPR. Abbiamo aggiornato le parti pertinenti dei nostri Termini di Servizio e dell'Informativa sulla Privacy per fare riferimento al DPA e per conformarci al GDPR.
Inoltre, la nostra Informativa sulla Privacy standard è un documento molto trasparente che descrive tutta la raccolta, l'archiviazione e l'utilizzo dei dati dei clienti nel cloud.
I clienti mantengono l'accesso esclusivo e completo ai propri dati a livello di file system. Il sistema CloudSigma non ha accesso o visibilità all'interno delle VM o delle unità. Il sistema di gestione cloud di CloudSigma implementa un framework di controllo degli accessi che limita i diritti e l'accesso dei dipendenti, oltre a registrare le azioni intraprese sul sistema.
[/vc_column] [/vc_row]

Eliminazione dei dati

Devi assicurarti che, una volta terminato il contratto con il partner cloud, tu possa scaricare/cancellare i dati. E anche che il partner cloud elimini i dati una volta terminato il servizio. Alcuni provider cloud (specialmente se certificati ISO) utilizzano policy standardizzate per l'eliminazione dei dati dopo la scadenza del contratto. Cerca di scoprire quanto tempo impiega il provider cloud per eliminare i tuoi dati.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformità CloudSigma

In CloudSigma, il sistema gestisce automaticamente tutti i dati dei clienti. Ciò include l'eliminazione delle unità, l'eliminazione pianificata per gli account obsoleti, ecc.
CloudSigma non effettua copie dei dati delle unità dei clienti. L'unica copia si trova nel nostro cloud, a meno che il cliente non scelga di clonare l'unità su un altro sistema di archiviazione.
Inoltre, come parte del nostro Accordo sul Trattamento dei Dati, potresti richiedere la correzione, l'eliminazione, il blocco e/o la messa a disposizione dei tuoi dati durante o dopo la cessazione dell'utilizzo del servizio.
[/vc_column] [/vc_row]

Quindi, quanto è la tua azienda “pronta per il GDPR” oggi?

Non esitare a contattarci all'indirizzo dpo (at) cloudsigma.com per ulteriori informazioni su CloudSigma e il GDPR.

Fonti:

• Crisp Research
• Cloud Industry Forum
• BrightTALK
• ScienceDirect