Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali

Transcript

1 Rischi, sicurezza, analisi legale del passaggio al cloud PARTE 4: Protezione, diritti, e obblighi legali

2 PARTE 4 SOMMARIO 1. Specificazione del contesto internazionale 2. Oltre gli accordi di protezione

3 1. SPECIFICAZIONE DEL CONTESTO INTERNAZIONALE

4 Specificazione del contesto internazionale Le sfide legali nell'ambito del cloud computing sono: legge applicabile competenza e risoluzione delle controversie protezione dati responsabilità quadro contrattuale portabilità dei dati interoperabilità preoccupazioni relative ai consumatori

5 Specificazione del contesto internazionale Diritto applicabile: In assenza di un accordo contrattuale tra consumatori e provider Cloud, si possono applicare una serie di leggi, anche in conflitto Una pratica comune è quello di determinare contrattualmente la legge applicabile I negoziati sono necessari per raggiungere un accordo, con spesso conseguente applicazione della legge di un paese terzo per garantire la neutralità

6 Specificazione del contesto internazionale GIURISDIZIONE E RISOLUZIONE DELLE CONTROVERSIE Quando sorgono conflitti tra le parti e non sitrova una soluzione condivisa entra in gioco la risoluzione delle controversie Il punto è la scelta il tribunale è il meccanismo di ricorso più adeguato nel cloud computing. il percorso di arbitrato, che se più costoso, offre un processo decisionale più veloce, fatto da esperti (in parte scelti) e una procedura a porte chiuse.

7 Specificazione del contesto internazionale PROTEZIONE DEI DATI In un ambiente cloud, i dati personali e non personali possono essere trattati. La crittografia consente a un cliente cloud di garantirgli che i dati personali gestiti dal servizio sono accessibili solo da soggetti autorizzati che hanno la chiave corretta. Se la cifratura viene usata come misura tecnica per proteggere i dati, è importante garantire la sicurezza della chiave. Un accordo di gestione delle chiavi è fondamentale per mantenere il livello di crittografia ben protetto.

8 Specificazione del contesto internazionale RESPONSABILITA ' Consumatori o utenti finali, devono disporre dei mezzi adeguati per richiedere e ottenere il risarcimento dal loro fornitore in caso di incidenti.

9 Specificazione del contesto internazionale QUADRO CONTRATTUALE Il quadro contrattuale è altamente raccomandato e spesso è presentato come un prerequisito per andare avanti con il cloud computing da diverse autorità sulla privacy dei dati. I fornitori di cloud avanzano i loro termini e condizioni spesso non soddisfacendo le esigenze dei consumatori Nel processo di gara, è importante indicare chiaramente le principali tematiche contrattuali e le specifiche esigenze dei consumatori

10 Specificazione del contesto internazionale PORTABILITA : come può un consumatore essere sicuro che se vuole passare a un altro provider di servizi cloud non rimangano sue tracce nel provider di servizi cloud originale? La soluzione sta nello stipulare chiaramente nel contratto cloud le varie circostanze (fallimento, cessazione, etc.) e le modalità di trasferimento.

11 Specificazione del contesto internazionale INTEROPERABILITA Come spostare facilmente i carichi di lavoro e dati da un fornitore di cloud a un altro o tra cloud pubblici e privati? Anche la collaborazione tra i fornitori di servizi e sistemi IT va inserita nel quadro contrattuale

12 Specificazione del contesto internazionale PROPRIETA INTELLETTUALE E RISERVATEZZA Le questioni su Proprietà intellettuale e riservatezza vanno affrontate con un quadro contrattuale adeguato nel rapporto tra consumatori e provider Cloud. Un linguaggio appropriato nei confronti dell'utente finale lo aiuta a capire le questioni che riguardano privacy e riservatezza (ad esempio, la messa a punto delle politiche sulla privacy e le linee guida).

13 2. OLTRE GLI ACCORDI DI PROTEZIONE

14 Oltre gli accordi di protezione Ci sono una varietà di forme di accordi di cloud computing. Da semplici accordi standardizzati a contratti aritcolati in termini e condizioni. Alcuni accordi sono proposti dal provider; altri dalle agenzie secondo i propri termini legali. C'è un insieme di questioni giuridiche che dovrebbero essere considerati in un contratto di cloud computing.

15 Oltre gli accordi di protezione Non tutte le questioni giuridiche sono rilevanti nel contratto, dipende dall'agenzia e dai fornitori. Le condizioni standard offerti dai servizi di cloud computing potrebbero non soddisfare tutti i requisiti di legge di un'agenzia. Il numero e il tipo di requisiti possono avere un impatto sul modello di prezzo e di consegna.

16 Oltre gli accordi di protezione Le questioni giuridiche fondamentali descritte in questo settore possono essere classificate nelle seguenti categorie : protezione delle informazioni responsabilità gestione delle prestazioni conclusione dell accordo risoluzione delle controversie altre questioni legali

17 PRIVACY: Oltre gli accordi di protezione protezione delle informazioni Si consiglia di adottare misure contrattuali per garantire che i fornitori di servizi non agiscano o si impegnino in pratiche che violerebbero i principi sull Informazione e la Privacy. Le agenzie dovrebbero garantire che al prestatore è contrattualmente vietato utilizzare i dati per gli scopi del fornitore - come pubblicità o altri servizi commerciali.

18 SICUREZZA: Oltre gli accordi di protezione protezione delle informazioni Le agenzie dovrebbero sviluppare una valutazione globale dei rischi e prendere una decisione informata circa l'idoneità di adottare una soluzione basata sul cloud, valutando le protezioni di sicurezza appropriate che richiede. misure che è opportuno inserire in un accordo livello di sicurezza e crittografia livello dei protocolli di sicurezza di accesso requisiti per la sanificazione o la cancellazione dei dati nei supporti danneggiati stoccaggio dei pacchetti separati di dati obbligo per il fornitore di informare immediatamente l agenzia in caso di incidenti di sicurezza o intrusioni nell accesso ai dati requisiti per il provider di memorizzare i dati in modo da impedire che altri clienti del fornitore possano accedere ai dati dell'agenzia specifici requisiti di sicurezza in funzione della natura del servizio e la sensibilità dei dati

19 Oltre gli accordi di protezione protezione delle informazioni CONFIDENZIALITÀ: Un'agenzia può avere obblighi di tipo contrattuale, stragiuduziale o legale per mantenere particolari informazioni riservate. Pertanto, è importante che questi obblighi vengano trasmessi al fornitore Le agenzie devono prendere in considerazione in un accordo: replica di eventuali obblighi imposti all'agenzia per contratto o legge requisiti per garantire che il provider è a conoscenza del livello di riservatezza richiesto e si impegna a proteggere i dati in modo appropriato

20 Oltre gli accordi di protezione protezione delle informazioni REQUISITI PER LA GESTIONE DEI REGISTRI: Le agenzie devono includere controlli e protezioni (ad esempio, attraverso un accordo con il fornitore di servizi di cloud) che corrispondono al valore dei record e affrontare i rischi del cloud computing per i registri di un'agenzia Le agenzie devono prendere in considerazione in un accordo: limitando le sedi / paesi in cui i dati delle agenzie possono essere tenuti diritto di verificare la conformità del provider con l'accordo dove tecnicamente disponibile, il diritto per l'agenzia di monitorare in remoto l'accesso ai propri dati e dove questo non è possibile, la richiesta al fornitore di mantenere un registro di controllo di accesso ai dati dell'agenzia e disporre il registro all'agenzia su richiesta.

21 Oltre gli accordi di protezione protezione delle informazioni COMPENSAZIONI PER PERDITA DI DATI O USO IMPROPRIO: E 'possibile che i dati vadano persi in modo permanente da un servizio di cloud computing c'è sempre il rischio di un uso improprio dei dati da parte dei dipendenti disonesti del fornitore o di complicazioni da parte di soggetti esterni. L'agenzia deve determinare nell'accordo con il fornitore di servizi di cloud di: imporre al fornitore di essere responsabile di perdite indirette o conseguenti includere un indennizzo da parte del provider in relazione alla perdita di dati o all uso improprio come conseguenza di negligenza, illecito o errore volontariamente o omissione del fornitore o del suo personale

22 Oltre gli accordi di protezione protezione delle informazioni SUBAPPALTATORI: Una componente fondamentale da garantire per una protezione adeguata delle informazioni è l obbligo, in accordo con il fornitore, che eventuali subappaltatori del provider sono tenuti a rispettare gli stessi requisiti del provider.

23 INDENNITA : Oltre gli accordi di protezione responsabilità Un indennità è una promessa giuridicamente vincolante con cui una parte si impegna ad accettare il rischio di perdita o danno che all altra parte potrebbe accadere. In alcuni contratti di servizio di cloud computing il fornitore richiede un indennizzo da parte dell'agenzia. Questi di solito possono includere indennità per : Violazione dei diritti di terzi (inclusa la vita privata e i diritti di proprietà intellettuale) da parte del provider a seguito del trattamento di dati di terze parti forniti dall'agenzia qualsiasi perdita o danno derivante dall'uso del servizio da parte dell'agenzia violazione del contratto da parte dell'agenzia.

24 Oltre gli accordi di protezione risultati di gestione LIVELLI DEL SERVIZIO: I livelli di servizio sono un mezzo importante per garantire che un fornitore soddisfi il livello di servizio previsto dall'agenzia. Ciò è particolarmente importante poiché il servizio di cloud computing risulta fondamentale sia per il funzionamento di un agenzia che per i clienti dell'agenzia.

25 Oltre gli accordi di protezione risultati di gestione TEMPI DI RISPOSTA: Quando si verifica un'interruzione totale o parziale del servizio, sarà importante per permettere contrattualmente al provider di indagare e, se ciò è nel dominio del fornitore, di risolvere l'interruzione non appena possibile. Un agenzia può chiedere di classificare i tempi di risposta in base alla gravità del guasto.

26 Oltre gli accordi di protezione risultati di gestione FLESSIBILITA DEL SERVIZIO: Uno dei vantaggi principali di un modello di servizi di cloud computing è che offre una flessibilità del servizio con la possibilità di scalare facilmente in su o in giù il livello di servizio a seconda delle esigenze delle agenzie. Le questioni chiave da considerare sono: fare in modo che il modello di prezzo sia adatto - se la domanda dell'agenzia per il servizio sale o scende, sarà richiesto all'agenzia di pagare prezzi più elevati (su una base per unità) per il cambiamento di scala del servizio? L accordo consente variazioni delle richieste dell'agenzia che possono essere facilmente implementate o richiede un processo di negoziazione lungo in termini di tempo?

27 Oltre gli accordi di protezione risultati di gestione CONTINUITÀ OPERATIVA E RECUPERO DI EMERGENZA: sarà spesso una considerazione critica negli accordi di servizi di cloud computing vista la considerazione che un'agenzia può avere quando si interrompe l accesso a tale servizio. Le agenzie devono quindi prendere in considerazione anche le protezioni nel loro accordo con il fornitore garantendo che il provider dispone di un sito di disaster recovery geograficamente separato garantendo che il provider è in grado di operare nel caso in cui l'alimentazione elettrica manchi garantendo che la business continuity è un requisito rigoroso che è richiesto il piano di continuità operativa e recupero di emergenza presentato per commenti e approvazione da parte della agenzia limitare il diritto per il provider di sospendere il servizio assicurare che le interruzioni di manutenzione programmata dei sistemi di provider non si verifichino nell orario che l'agenzia richiede per l'accesso e l'uso del sistema

28 Oltre gli accordi di protezione decisioni sulla cessazione RISOLUZIONE PER CONVENIENZA E COMMISSIONI ESTINZIONE ANTICIPATA Considerare l inclusione di una clausola di rescissione anticipata del contratto che permette all'agenzia di risolvere o recedere il contratto in qualsiasi momento e per qualsiasi motivo RISOLUZIONE PER DEFAULT Un'agenzia deve assicurarsi che abbia il diritto di rescindere per default nel caso in cui il fornitore non soddisfi i requisiti che figurano nel contratto ragionevolmente. DIRITTO DEL FORNITORE DI INTERROMPERE I provider di solito trovano una disposizione per risolvere il contratto In relazione a tale diritto, l'agenzia dovrebbe prevedere un periodo sufficientemente lungo di preavviso prima che la scadenza abbia effetto, per consentire all'agenzia di trovare un fornitore alternativo adatto.

29 Oltre gli accordi di protezione risoluzione delle controversie E 'importante essere chiari su come saranno risolte le possibili controversie che potranno sorgere in relazione al contratto di cloud computing. Le agenize dovranno assicurare: Che l'accordo affermi quale paese (e giurisdizione) e leggi si applicano al contratto quale giudice può giudicare le controversie circa l'accordo (la scelta delle disposizioni di legge) se siano previsti meccanismi di risoluzione delle controversie alternativi quali l'arbitrato.