Single Blog

I benefici del Cloud Computing sono ormai ben noti, avere le proprie informazioni a portata di mano ovunque è di sicuro il vantaggio principale. Allo stesso tempo il modello del cloud introduce anche ai rischi di sicurezza e privacy, oltre che per i singoli, anche e soprattutto per le aziende. La sicurezza e la privacy nel cloud sono frutto di una integrazione di tecnologie, controlli, processi e politiche.

A regolamentare la sicurezza e la tracciabilità dei dati presenti nelle nuvole virtuali ci sono i requisiti di conformità, che garantiscono il rispetto delle leggi e dei regolamenti che si applicano all’utilizzo del cloud computing.

La compliance consente di valutare la capacità del provider di soddisfare i requisiti di conformità a leggi, regolamenti e standard di riferimento per cliente/aziende. Include tipicamente la conformità alle normative privacy (ad esempio, il GDPR), l’ubicazione geografica dei data center e di conseguenza dei dati, eventuali coperture assicurative nel caso di data breach e la disponibilità a fornire evidenze di conformità a standard e regolamenti.

Il GDPR è il regolamento generale per la protezione dei dati personali 2016/679 (General Data Protection Regulation o GDPR) è la principale normativa europea in materia di protezione dei dati personali.

“Col regolamento europeo si passa da una visione proprietaria del dato, in base alla quale non lo si può trattare senza consenso, ad una visione di controllo del dato, che favorisce la libera circolazione dello stesso rafforzando nel contempo i diritti dell’interessato, il quale deve poter sapere se i suoi dati sono usati e come vengono usati per tutelare lui e l’intera collettività dai rischi insiti nel trattamento dei dati.”

Amazon Web Services, oltre a garantire la propria conformità, offre proposte di compliance a livello Globale ai propri partner e si impegna a garantire servizi e risorse in grado di consentire ai clienti di essere conformi ai requisiti del GDPR applicabili alle loro attività.

Rispetto alla nostra area di riferimento ecco alcune delle compliance messe a disposizione da AWS:

• CISPE (Cloud Infrastructure Services Providers in Europe) è un’unione di leader del cloud computing al servizio di milioni di clienti in Europa. Il Codice di condotta CISPE permette ai clienti di essere certi che il fornitore della loro infrastruttura cloud utilizzi standard appropriati per la protezione dei dati affinché siano conformi all’attuale GDPR.
• Cyber Essentials definisce i controlli tecnici necessari. Il framework di controllo mostra il funzionamento del processo indipendente di controllo per la certificazione Cyber Essentials Plus mediante una valutazione annuale esterna effettuata da un’entità accreditata. A causa della natura regionale della certificazione, l’ambito della certificazione è limitato alle regioni Europa (Irlanda) ed Europa (Londra).
• ISO 9001 delinea un approccio basato sui processi di documentazione e controllo della struttura, delle responsabilità e delle procedure necessarie per ottenere un livello soddisfacente di gestione della qualità all’interno di un’organizzazione.
• ISO/IEC 27001 è uno standard che specifica le best practice per la gestione della sicurezza e i controlli di sicurezza completi in base alle indicazioni sulle best practice dello standard ISO/IEC 27002. La base di questa certificazione è costituita dallo sviluppo e dall’implementazione di un programma di sicurezza rigoroso, ossia di un sistema di gestione della sicurezza informatica che definisca le modalità in cui AWS gestisce con continuità la sicurezza in modo olistico e completo.
• Lo standard PCI DSS si applica alle entità che archiviano, elaborano o trasmettono dati relativi ai titolari di carte di credito (CHD) o dati sensibili di autenticazione (SAD), tra cui esercenti, entità incaricate dell’elaborazione dei dati, acquirenti, autorità emittenti e fornitori di servizi. Lo standard PCI DSS è imposto dalle autorità emittenti delle carte di credito ed è gestito dal Payment Card Industry Security Standards Council.
• I report System and Organization Controls (SOC) sono report analitici di terzi indipendenti che documentano come AWS abbia raggiunto obiettivi e controlli di conformità ottimali. Lo scopo di questi report consiste nell’aiutare i clienti e le loro entità di controllo a raccogliere informazioni sui controlli creati da AWS per supportare operatività e conformità.

Al Summit Digitale 2019 è stato presentato il progetto europeo Gaia-x da parte del governo tedesco. Gaia-x ha come fine quello di stilare obiettivi comuni per un’infrastruttura di dati a livello europeo. Oltre 100 aziende europee e 17 paesi di ricerca fanno già parte dell’iniziativa, e altri player europei ed internazionali verranno invitati a prendere parte al progetto.

“È necessario un ecosistema digitale aperto per consentire alle aziende e ai modelli di business europei di competere a livello globale. Questo ecosistema dovrebbe consentire sia la sovranità digitale degli utenti dei servizi cloud sia la scalabilità dei fornitori di cloud europei.”

Tra i player internazionali che potranno contribuire a sviluppare Gaia-x c’è anche la collaborazione di Amazon Web Services (oltre che altri player come Microsoft, Google, Aruba). Di certo prendere parte a questo progetto rappresenta un punto di svolta per AWS, in maniera particolare per la gestione ed il controllo dei dati che non dovranno essere più spostati oltreoceano, ma potranno essere gestiti all’interno dell’unione Europea.
Tutto questo facilita di gran lunga l’utilizzo della nuvola virtuale da parte di enti pubblici.

Già in passato si era cercato di mettere in pratica progetti simili, infatti nel novembre del 2011 un selezionato gruppo di aziende europee, tra le quali anche l’associazione EuroCloud EU, hanno redatto un rapporto sulla strategia Europea al Cloud Computing. 10 le raccomandazioni e le azioni da intraprendere consegnate alla Vice Presidente per l’Agenda Digitale della Commissione Europea Neelie Kroes. Nel gennaio del 2012 al world Economic Forum di Davos la Vice Presidente Neelie Kroes Kroes fa nascere l’ European Cloud Partnership.
European Cloud Partnership era guidato da rappresentanti del settore IT e delle telecomunicazioni, nonché da responsabili politici del governo europeo (tra i tanti membri compare anche il nome dell’attuale CTO di Amazon Werner Vogels).
Il compito dell’ECP era quello di aiutare a fornire le giuste direzioni per lo sviluppo del Cloud Computing nell’unione Europea Nel febbraio 2014 ha completato un rapporto intitolato “Trusted Cloud Europe”,nel quale veniva delineato un processo per un’efficace partecipazione del settore pubblico e privato allo sviluppo del cloud computing in Europa.
Purtroppo le tracce dell’ECP si perdono nel 2014, quando la Commissione europea invita parti esterne a partecipare a un forum di discussione e completare un sondaggio online in risposta al rapporto.

Si riuscirà ad avere un piano europeo questa volta o anche Gaia-x cadrà nel dimenticatoio?