Un decalogo e uno standard ISO per la migrazione sul cloud

Un decalogo e uno standard ISO per la migrazione sul cloud

Con il Clusit approfondiamo gli aspetti di normativa legale che permettono di compiere una scelta consapevole al momento della valutazione di un fornitore di servizio di cloud computing

di Andrea Bai pubblicato il nel canale Server e Workstation
 

Il nuovo standard ISO 27018

E' interessante osservare che esistono già due standard dedicati alla gestione della sicurezza delle informazioni, ovvero l'ISO/IEC 27001 e ISO/IEC 27002. Ancor più interessante è invece la pubblicazione avvenuta nell'agosto del 2014 del nuovo standard ISO/IEC 27018 che si rivolge in maniera esplicita ai fornitori di servizi di public cloud.

La definizione dello standard ha avuto il dichiarato scopo di stabilire una serie di regole, procedure e controlli tramite i quali i fornitori di servizi cloud possano garantire il rispetto degli adempimenti di legge per quanto riguarda il trattamento dei dati personali e per fornire ai clienti un sistema di comparazione affinché possano esercitare i diritti di verifica rispetto ai livelli di adempimento dichiarati dal fornitore.

All'interno dello standard ISO 27018 si ritrovano le best practice già stabilite dallo standard ISO 27002 in materia di politiche di sicurezza, sicurezza organizzativa, fisica e ambientale, nonché di gestione della continuità operativa e controllo degli accessi. Il nuovo standard introduce però una serie di nuove misure che seppur non destinate a trasformarsi in clausole contrattuali contribuiscono a definire un quadro molto chiaro che permette ai service provider che dovessero decidere di aderire e rispettare lo standard IOS 27018 di offrire un valore aggiunto distintivo rispetto alla concorrenza.

Tra le nuove misure inserite nell’ISO 27018, da segnalare in particolare le seguenti:

-Il fornitore, in qualità di responsabile del trattamento, deve prevedere strumenti idonei a consentire e facilitare l’esercizio, da parte dell’interessato, dei propri diritti di accesso, rettifica e cancellazione nei confronti del Titolare del trattamento.

-In relazione alle finalità del trattamento, il fornitore deve garantire la rispondenza del trattamento alle sole finalità rese note al cliente in sede di contrattualizzazione del servizio, in particolare assicurando che i dati non verranno trattati per finalità che esulano quelle indicate dal cliente, né per finalità di marketing diretto o pubblicitarie, salvo che non vi sia esplicito consenso dell’interessato; consenso che, in ogni caso, non potrà mai costituire una condicio sine qua non imposta dal fornitore per la fruizione del servizio.

-Salvo eventuale divieto previsto per legge, la richiesta di divulgazione di dati personali proveniente da autorità amministrative o giudiziarie deve essere tempestivamente notificata all’utente del servizio cloud.

-Relativamente alla materia del subappalto lo Standard prevede, in maniera particolarmente incisiva, il diritto del cliente a conoscere, ancor prima di iniziare a fruire del servizio, l’intera catena degli eventuali subfornitori, i Paesi ove essi sono stabiliti, la localizzazione dei data center da essi utilizzati nonché gli obblighi degli stessi in relazione al trattamento dei dati. E’, inoltre, riconosciuto al cliente il diritto di opporsi ad eventuali codifiche della catena dei subfornitori, ovvero di risolvere il contratto.

-Il fornitore deve tempestivamente notificare al cliente ogni violazione di dati personali da cui sia derivata una perdita, distruzione, alterazione, divulgazione o accesso abusivo, al fine di consentire al Titolare ed eventualmente agli interessati di darne a loro volta notizia alle Autorità di controllo, nel rispetto dei tempi previsti dalla legge.

-Il contratto di servizio dovrà approntare una policy di transfer back che dettagli le modalità di restituzione, trasferimento e/o cancellazione dei dati detenuti dal fornitore alla cessazione degli effetti del contratto medesimo.

-In relazione alle misure di sicurezza delle informazioni, sarebbe opportuno che tutto il personale del fornitore e degli eventuali subfornitori fossero vincolati da specifici accordi di riservatezza, ricevesse adeguata formazione, accedesse ai dati mediante specifiche operazioni di autenticazione.

E' quindi evidente come il nuovo standard permetta di disporre di un quadro di riferimento molto chiaro sul quale è possibile costruire una certificazione di qualità, misura utile per orientarsi consapevolmente nella scelta di un fornitore di servizi cloud.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^