Gdpr - servizi esternalizzati in cloud

GDPR – servizi esternalizzati in cloud

Riprendendo il tema GDPR trattato in un precedente articolo, è necessario focalizzare l’attenzione sulla conformità offerta dai servizi cloud.

Le nuove tecnologie legate allo sviluppo delle applicazioni tendono spesso ad esternalizzare i dati, appoggiandosi a servizi cloud.

Questo tipo di soluzione porta, nella quasi totalità dei casi, alla perdita di controllo in termini di sicurezza e di conformità nei confronti del GDPR.

Le soluzioni cloud dei maggiori player mondiali si sono adeguate agli standard di sicurezza imposti dalla nuova normativa europea, utilizzando ad esempio standard di certificazione riconsciuti a livello internazionale (es. ISO 27001 e ISO 27018).

Soluzioni cloud-ibride

Le soluzioni “cloud-ibride” sono tutte quelle architetture offerte da numerosi vendor e che possiamo considerare come una sorta di cloud on-premise, ovvero la persistenza del dato viene effettuata all’interno di server-farm più o meno di proprietà. In pratica, le funzionalità degli applicativi vengono affidate a server che non utilizzano soluzioni cloud “brandizzate” (come Microsoft Azure, Amazon Aws, ecc…), bensì soluzioni cloud di brand minori.

Recentemente ho dovuto analizzare in maniera approfondita gli aspetti legati al posizionamento dei dati all’interno di un servizio cloud-on-premise che un fornitore aveva messo a disposizione.

Focus

La mia attenzione si è focalizzata sui seguenti aspetti:

  • l’applicazione di limitazioni sull’accesso ai dati da altri servizi offerti dallo stesso fornitore. Inutile fornire tutti i permessi a tutti gli utenti. Meglio differenziare;
  • individuare i servizi di storage, la tipologia dei dati memorizzati e le forme contrattuali messe in atto dal fornitore per ottemperare al GDPR;
  • definire una exit-strategy nel caso di rottura contrattuale con il fornitore

L’exit-strategy non è sicuramente da sottovalutare: pur essendo molto propositivo nell’utilizzo di soluzioni cloud, sono piuttosto scettico nell’utilizzo di soluzioni che non siano brandizzate dai maggiore player mondiali.

Questione di standard e policy di sicurezza.

Questione di certificazioni. L’accesso controllato ad aree del disco deve essere garantito oltre che con la soluzione locali anche tramite la presenza di log.

Legarsi ad un fornitore potrebbe non essere la soluzione ottimale a lungo termine: riprendere il possesso dei propri dati potrebbe non essere un’operazione così semplice.

Definire una exit-strategy consente di riappropiarsi dei propri dati in caso di problemi con il vendor di servizi cloud

Quando abbiamo a che fare con soluzioni, definiamole cloud-ibride, è necessario sviluppare una politica interna per la conservazione del dato, fornendo eventualmente la possibilità di accesso anche utilizzatori esterni.

Che tipo di dato dovrà essere trattato?

Trattando dati sensibili, essi dovranno essere conservati impostando sistemi in grado di cifrarli. La possibilità di decrittazione potrà avvenire solo con chiavi software conservate da soggetti abilitati.

Il testo della normativa europea (in lingua italiana) è disponibile al seguente link.

Pubblicato da

Andrea Merlin

Laureato in informatica, diversi corsi di specializzazione legati allo Sviluppo Software e alla Computer forensics. Appassionato di nuove tecnologie, amo la programmazione, la Business Intelligence e tematiche legate alla Privacy.Sempre alla ricerca di nuove idee, stimoli … e progetti da seguire!Amo trascorrere il tempo libero in Val Borbera, un piccolo angolo del Piemonte, in provincia di Alessandria.