Cloud e sicurezza. Scenario e prospettive

Documenti analoghi
COSA DIRE ANCORA DEL CLOUD? ASPETTI LEGALI E CONTRATTUALI

Gabriele Faggioli Adjunct Professor MIP, School of Management del Politecnico di Milano

Profili legali e contrattuali nel Cloud. Gabriele Faggioli Adjunct Professor MIP, School of Management del Politecnico di Milano

La sicurezza informatica Elementi legali

Continuità operativa e disaster recovery nella pubblica amministrazione

La gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali

I contratti cloud: cosa chiedere, come scegliere

Profili giuridici del cloud in sanità: dalla digitalizzazione alla privacy

il CLOUD a norma di legge

UNA CONCRETA OPPORTUNITA DI BUSINESS O L APERTURA AL CAOS?

Pubblicata su questo Sito in data 18/04/07 Gazzetta Ufficiale della Repubblica italiana n.99 del 30 aprile 2007

A cura di Giorgio Mezzasalma

ICT SECURITY N. 49 NOVEMBRE 2006 MISURE IDONEE E MISURE MINIME: QUALE SICUREZZA, QUALI RESPONSABILITA. Autore: Daniela Rocca

D. LGS 81/2008. Informazione ai lavoratori

La figura del RAPPRESENTANTE DEI LAVORATORI PER LA SICUREZZA (RLS) IN AZIENDA quali prospettive di collaborazione

Supporto ai fini della gestione della Sicurezza (Legge 81.08) e della gestione Qualità

Rispettare la normativa sulla sicurezza è

La digitalizzazione della Pubblica Amministrazione ed il dato territorlale

PREMESSO CHE: (*) modificata con DGRT 535/2013 e con DGRT 751/2013

Firma Digitale. Informazioni sul servizio ORDINE DEGLI INGEGNERI DELLA PROVINCIA DI GENOVA

Servizi per l Autopubblicazione in formato digitale Condizioni e Termini per la Prestazione dei Servizi

CLOUD SURVEY 2012: LO STATO DEL CLOUD COMPUTING IN ITALIA

PRIVACY E DELLA SICUREZZA (ASPETTI CHE IL CLOUD POTREBBE METTERE IN PERICOLO)

Procedure per l'acquisizione di personale, il conferimento di incarichi e gli appalti

Roma,.. Spett.le. Società Cooperativa EDP La Traccia. Recinto II Fiorentini, n Matera (MT)

REGOLAMENTO SUL TRATTAMENTO DEI DATI PERSONALI

REGOLAMENTO PER LA GESTIONE DEI DIRITTI DI PROPRIETA INTELLETTUALE (emanato con decreto rettorale 5 agosto 2011, n. 786) INDICE

LA PRIVACY DI QUESTO SITO

MANUALE DELLA QUALITÀ Pag. 1 di 6

INFOSECURITY 2005 La privacy nelle PMI Gabriele Faggioli. Milano febbraio 2005

1) PREMESSE 2) OGGETTO DEL CONTRATTO

L AUTORITÀ PER L ENERGIA ELETTRICA IL GAS E IL SISTEMA IDRICO

LO SVILUPPO DELLE COMPETENZE PER UNA FORZA VENDITA VINCENTE

QUALIFICAZIONE, AGGIORNAMENTO, MONITORAGGIO E VALUTAZIONE DEL PERSONALE DEDICATO ALL ATTIVITA ISPETTIVA

COMUNICATO. Vigilanza sugli intermediari Entratel: al via i controlli sul rispetto della privacy

INFORMATIVA PRIVACY GENERALE (REDATTA AI SENSI DELL ART.13 D.LGS. 196/2003)

I modelli di qualità come spinta allo sviluppo

Privacy e Cloud Computing per gli studi professionali e le imprese

L outsourcing e il cloud computing nelle recenti disposizioni di vigilanza prudenziale per le banche di Banca d Italia

PRESTITO PERSONALE Il presente documento non è personalizzato ed ha la funzione di render note le condizioni dell offerta alla potenziale Clientela

Il Contratto di Servizio 2009\2014. SOTTOSCRIZIONE Potenza 1 marzo 2010

Cloud computing: come affrontare le criticità legali e contrattuali. Gabriele Faggioli Legale Adjunct Professor MIP-Politecnico di Milano

La manutenzione come elemento di garanzia della sicurezza di macchine e impianti

AVVISO PUBBLICO PER L INDIVIDUAZIONE DI UN SOGGETTO CUI AFFIDARE IL SEGUENTE SERVIZIO:

Consorzio di Polizia Locale Valle Agno Corso Italia n.63/d Valdagno Vicenza

CAPITOLATI ETICO-SOCIALI ed ECONOMICO-FINANZIARI

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

TUTTI I MUTUI DI CHEBANCA! Condizioni valide al 1 gennaio 2011

LINEE-GUIDA PER L ACQUISTO DI TRATTAMENTI ALL ESTERO (Versione finale 9/XI/05)

Disposizioni per favorire l accesso dei soggetti disabili agli strumenti informatici

Premessa. Di seguito le nostre principali aree aree di intervento

PARTNERSHIP 2014 STUDI PROFESSIONALI. Consulenti. Unione

MANUALE DELLA QUALITÀ SEZIONE 5.1: FUNZIONAMENTO DEL SISTEMA DI GESTIONE PER LA QUALITÀ

Modifiche alla disciplina del Credito al Consumo

La Certificazione ISO 9001:2008. Il Sistema di Gestione della Qualità

REGOLAMENTO PER IL RECLUTAMENTO DEL PERSONALE DIPENDENTE E PER IL CONFERIMENTO DI INCARICHI PROFESSIONALI E COLLABORAZIONI (adottato ai sensi

SOMMARIO. Presentazione... Note sugli autori... Parte Prima IL NUOVO CODICE E GLI ADEMPIMENTI Antonio Ciccia

DELIBERAZIONE N. 30/7 DEL

Laboratorio di Usabilità per attrezzature medicali

Avviso n. 3/ 2008 Sostegno alla presentazione dei piani formativi sul Conto Formazione delle imprese aderenti di dimensioni minori

DIGILAVORANDO RELAZIONE DI ANALISI DEI RISULTATI

1- Corso di IT Strategy

Patrimonio Ambiente e Verde Urbano Attività Produttive e Commerciali

Se si matura il requisito entro il , pensione anticipata e part-time

Il Contratto Base RC Auto nel contesto delle misure di liberalizzazione del settore. Workshop ACB Milano, 4 aprile Avv.

DM.9 agosto 2000 LINEE GUIDA PER L ATTUAZIONE DEL SISTEMA DI GESTIONE DELLA SICUREZZA TITOLO I POLITICA DI PREVENZIONE DEGLI INCIDENTI RILEVANTI

GRANDE INTERESSE DEI CIO ITALIANI VERSO IL CLOUD: TREND RILEVANTE PER IL

Termini di pagamento di giorni anche per i lavori pubblici

Linee guida per l accesso al Fondo di Garanzia PMI da parte dei liberi professionisti

SERVE ANCORA AVERE UN SISTEMA DI QUALITÀ CERTIFICATO?

CAPITOLATO SPECIALE SCHEDA ASSISTENZA TECNICA

Prestito Chirografario Privati. TASSO FISSO Convenzione SISKI

Corso RSPP Modulo C. Ing. Vincenzo Staltieri

IL FONDO ITALIANO D INVESTIMENTO

Domande e risposte sulla legge 10/91

ATTENTATI DI LONDRA: Impatto sui mercati

Associazione Comunità IL GABBIANO ONLUS

Guida alla prevenzione della pirateria software SIMATIC

Padova, 13 gennaio Il cruccio del Provider: ci sono o ci faccio? Marisa Sartori e Mauro Zaniboni

Legge accesso disabili agli strumenti informatici

UNIVERSITÀ DEGLI STUDI DI PAVIA

DEMATERIALIZZAZIONE CLOUD COMPUTING

L amministratore di sistema. di Michele Iaselli

L OUTSOURCING IT: BEST PRACTICE E AUDITING

Incontro informativo LA RIFORMA DEL MERCATO DEL LAVORO. Area Sindacale e Lavoro-Previdenza Confindustria Monza e Brianza Monza, 24 settembre 2012

* al Comitato introdotto con delibera del Comitato Agevolazioni dell

TUTTI I MUTUI DI CHEBANCA! Condizioni valide al 1 luglio 2010

Il Cloud Computing. Lo strumento per un disaster recovery flessibile. Giorgio Girelli. Direttore Generale Actalis 12/10/2012

Assemblea ASSOCOSTIERI. Roma, 4 Luglio 2012

PRINCIPI FONDAMENTALI...

DIREZIONE GENERALE CULTURA FORMAZIONE LAVORO Servizio Formazione Professionale

Progetto ECDL INFORMAZIONI GENERALI

Gli aggiornamenti della normativa italiana e Il Codice dell Amministrazione digitale dlgs 82/05

4. Essere informati sui rischi e le misure necessarie per ridurli o eliminarli;

Nota sullo svolgimento delle prove INVALSI per gli allievi con bisogni educativi speciali

RESPONSABILITA CIVILE PROFESSIONALE QUESTIONARIO

presenta Via Santa Sofia, Milano T.: Fax.: E.:

Sottoscrizione dell accordo

Responsabile di produzione

Transcript:

Cloud e sicurezza. Scenario e prospettive Gabriele Faggioli Presidente Clusit (Associazione Italiana per la Sicurezza Informatica) Adjunct Professor MIP-Politecnico di Milano Membro del Group of Expert in cloud computing contracts (Commissione Europea) 8 luglio 2015

Cloud scenario e prospettive COMMISSIONE EUROPEA - COMUNICATO STAMPA Bruxelles, 27 settembre 2012 Agenda digitale: una nuova strategia per stimolare la produttività delle imprese e della pubblica amministrazione europee attraverso la nuvola informatica (cloud computing) La nuova strategia della Commissione europea che si propone di sfruttare al meglio il potenziale della nuvola informatica in Europa prevede iniziative intese a realizzare entro il 2020 un guadagno netto pari a 2,5 milioni di nuovi posti di lavoro in Europa e un aumento annuo del PIL dell UE corrispondente a 160 miliardi di euro (circa l 1%). Per nuvola informatica si intende la memorizzazione di dati (come file di testo, immagini e video) e di software su elementi remoti ai quali gli utenti accedono via internet utilizzando il dispositivo che preferiscono. Si tratta di una modalità più rapida, economica, flessibile e potenzialmente più sicura rispetto al ricorso a soluzioni informatiche locali.

EU Commission Cloud Computing Strategy Implementation The Commission aims at enabling and facilitating faster adoption of cloud computing throughout all sectors of the economy which can cut ICT costs, and when combined with new digital business practices, can boost productivity, growth and jobs

Cloud scenario e prospettive Alcuni spunti di interesse da analizzare Gruppo di Lavoro Articolo 29 Parere 05/2012 - Cloud Computing La mini guida del Garante del giugno 2012 Proteggere i dati per non cadere dalle nuvole La normativa italiana e comunitaria in materia di trasferimento di dati personali all estero La nuova certificazione ISO 27018 I lavori del Gruppo di esperti della Commissione Europea sul cloud computing e la Survey 2014 condotta dall Osservatorio Cloud & ICT as a Service

Cloud scenario e prospettive Alcuni elementi di riflessione: Al momento non sembra in agenda un intervento normativo specifico Resta fermo l obbligo di dare pieno adempimento alla normativa vigente: occorre di volta in volta affrontare i temi legali e contrattuali sottesi al cloud La gestione della filiera è estremamente complessa soprattutto per i provider di respiro internazionale È necessario effettuare una due diligence preventiva e in corso di rapporto I fornitori devono maturare nello sforzo di creare «trust» con i clienti. I contratti di cloud computing appaiono spesso «unfair» e disincentivanti Come affermato dall On. Soro, il cloud pone problemi di sicurezza molto rilevanti: come per esempio nella Circolare 263/06 aggiornamento luglio 2013 il cloud sembra ancora «fare paura»

Cloud scenario e prospettive I consigli operativi del Garante Il Garante consiglia di fare una valutazione dei rischi, costi e benefici preventiva rispetto all utilizzo di servizi cloud. Ricordando che quasi tutte le altre società che offrono servizi e infrastrutture cloud si avvalgono di aziende leader mondiali, il Garante sottolinea la potenziale riduzione della capacità negoziale di una singola impresa o di una piccola amministrazione pubblica. In questi casi, il Garante consiglia di adottare misure alternative come per esempio il consorziarsi con altri soggetti pubblici o imprese che hanno le medesime esigenze (ad esempio tramite le associazioni di categoria) al fine di ottenere capacità contrattuale maggiore. Secondo il Garante, comunque, anche i fornitori cloud potrebbero trarre nuove opportunità dalla definizione di clausole pro-privacy o da una eventuale preventiva certificazione indipendente sul rispetto della normativa europea sulla protezione dei dati personali per i servizi da loro offerti.

Cloud scenario e prospettive I consigli operativi del Garante Quali sono le misure di sicurezza adottate dal fornitore per proteggere i dati? Chi è il reale fornitore del servizio che si sta acquisendo? Si tratta di una singola società o di un consorzio di imprese? In caso di problemi al collegamento Internet, è comunque possibile continuare a usufruire dei servizi senza l accesso al cloud? In quanto tempo può essere ripristinato il sistema? Esistono piani di emergenza per i servizi essenziali? È possibile che i dati sul cloud possano essere persi o distrutti? Esistono garanzie di riservatezza per i nostri dati nel caso in cui un concorrente condivida gli stessi servizi cloud? In quale Stato sono conservati i dati caricati sulla nuvola? È possibile scegliere di usufruire di server collocati solo in territorio nazionale o in Paesi dell Unione europea? La tecnologia utilizzata dal fornitore di cloud è di tipo proprietario? I dati possono essere esportati facilmente? Nel caso in cui si accerti una violazione o la perdita dei dati, il fornitore garantisce un pronto risarcimento del danno?

Cloud scenario e prospettive Il decalogo del Garante Effettuare una verifica sull affidabilità del fornitore Gli utenti dovrebbero accertare e valutare: l esperienza, la capacità e l affidabilità del fornitore; - la struttura societaria del fornitore, le referenze, le garanzie di legge offerte in ordine alla confidenzialità dei dati e alle misure adottate per assicurare la continuità operativa a fronte di eventuali e imprevisti malfunzionamenti; - Gli utenti dovrebbero valutare, inoltre, le caratteristiche qualitative dei servizi di connettività di cui si avvale il fornitore in termini di capacità e affidabilità; - Il cliente deve valutare l impiego da parte del fornitore di personale qualificato, l adeguatezza delle sue infrastrutture informatiche e di comunicazione, la disponibilità ad assumersi una responsabilità risarcitoria in caso di eventuali falle nel sistema di sicurezza o di interruzioni del servizio Importanza delle certificazioni indipendenti (es. ISO)

Cloud scenario e prospettive Il decalogo del Garante (e dell Opinion 5/2012 Article 29 Data Protection Working Party) Porre attenzione alla clausole contrattuali È importante valutare l idoneità delle condizioni contrattuali per l erogazione del servizio di cloud con particolare riferimento: agli obblighi e alle responsabilità in caso di perdita, distruzione o illecita diffusione dei dati custoditi nella nuvola; alle modalità di esercizio del diritto di recesso; alla possibilità di migrare ad altro fornitore; alla previsione di livelli di servizio e relative penali per l ipotesi di violazione; al trattamento dei dati, e specificamente: accesso ai dati e clausola di riservatezza; Logging ed auditing del trattamento; Misure tecniche ed organizzative volte a garantire la disponibilità, l integrità e la riservatezza dei dati; al subappalto, e in particolare: previo consenso al subappalto da parte del titolare del trattamento; obbligo di informare il titolare dell eventuale modifica dei subappaltatori, a fronte del diritto del titolare di opporsi o risolvere il contratto; responsabilità del fornitore per le violazioni poste in essere dai propri subappaltatori.

L influenza dei contratti Cloud Sono stati analizzati e non vi è stata alcuna criticità 44% 51% Sono stati analizzati e, poiché contenevano previsioni non soddisfacenti, abbiamo provato a negoziarli o non abbiamo stipulato il contratto Sono stati analizzati e, seppur contenenti previsioni non soddisfacenti, il contratto è stato comunque stipulato 4% 1% No, non sono stati analizzati Dalla survey erogata alle PMI: «I contenuti contrattuali hanno influenzato la scelta della sua organizzazione di stipulare o meno un contratto con un fornitore di servizi di Public Cloud?»

La complessità dei contratti Cloud 3% 5% Molto chiari e trasparenti Abbastanza chiari anche se troppo lunghi e complessi 31% In gran parte difficilmente comprensibili 61% Non chiari: troppo lunghi e complessi Dalla survey erogata alle PMI: «La sua organizzazione come giudica i contratti proposti dai fornitori di servizi di Cloud Computing, in merito a trasparenza e chiarezza dei contratti?»

Le clausole contrattuali unfair 5% 4%3% Limitazione di responsabilità in caso di perdita dei dati 22% 37% Diritto alla sospensione del servizio Assenza di obblighi in merito ai termini di intervento in caso di problematiche Assenza o insufficienza dei meccanismi di penalizzazione Tassi di interesse in caso di ritardo dei pagamenti 29% Diritto alla modifica unilaterale del contratto Dalla survey erogata alle PMI: «Nei contratti proposti dai fornitori di Cloud Computing quali sono le clausole che tipicamente la sua organizzazione trova non corrette, in quanto troppo favorevoli al fornitore?»»

Diritto di modifica unilaterale dei termini contrattuali 13% Clausole che attribuiscono al fornitore un diritto di modifica unilaterale delle condizioni generali di contratto e/o delle specifiche tecniche del servizio Assenza di clausole relative alle modificazioni unilaterali 52% Clausole che attribuiscono al fornitore un diritto di modifica unilaterale dei canoni di servizio 35%

La limitazione/esclusione di responsabilità 5% 5%3%3% 5% 8% 14% 27% 30% Clausole di generica esclusione di responsabilità Clausole che limitano il danno risarcibile ai canoni corrisposti nei 12 mesi precedenti Clausole che limitano il danno risarcibile alla minor somma tra un importo predeterminato e i canoni corrisposti per il servizio Clausole che limitano il danno risarcibile all'importo complessivo dei canoni già corrisposti Clausole che limitano il danno risarcibile ai canoni corrisposti nei 6 mesi precedenti Clausole che limitano il danno risarcibile ad un importo predeterminato Assenza di clausole di esclusione o limitazione di responsabilità Clausole che limitano il danno risarcibile ai canoni corrisposti nei 3 mesi precedenti Clausole che limitano il danno risarcibile ai canoni corrisposti nell'ultimo mese di servizio

Il diritto alla sospensione del contratto 18% Clausole che attribuiscono al fornitore il diritto di sospendere il servizio al ricorrere di una o più circostanze contrattualmente determinate Assenza di clausole che prevedano un diritto di sospensione del servizio 27% 55% Clausole che attribuiscono al fornitore il diritto di sospendere il servizio a propria esclusiva discrezione, anche in assenza di una giusta causa

La trasparenza dei siti dei Cloud provider 27% 2% Molto accessibile, è stato sempre trovato tutto quanto di interesse con Sono accessibili, ma sono spesso troppo poche o troppo confuse 6% 65% Sono abbastanza accessibili anche se spesso si è avuto difficoltà a trovare le informazioni necessarie per scegliere Non sono facilmente reperibili, sono troppo tecniche Dalla survey erogata alle PMI: «La sua organizzazione come giudica le informazioni inerenti le tematiche contrattuali che è possibile reperire sui siti dei fornitori dei servizi di Cloud Computing, in merito a trasparenza?»

La reperibilità dei dati Informazione Informazioni sul fornitore Utilizzo di subfornitori (con indicazione di Utilizzo di subfornitori elementi identificativi e di localizzazione Trattamento e e riservatezza dei dati personali Esclusione Esclusioni o limitazione o limitazione di responsabilità di responsabilità del fornitore del fornitore Diritto di recesso a favore del fornitore di Diritto di recesso a favore del fornitore di servizi Cloud servizi cloud Possibilità Possibilità di switching di switching alla cessazione alla cessazione del contratto del contratto e portabilità e portabilità dei dati dei dati Durata del del contratto e e rinnovo tacito Costi del servizio e principali condizioni Costi del servizio e principali condizioni economiche economiche (modalità di pagamento, cadenza Penali SLA Localizzazione geografica dei di data Data center Center 0% 20% 40% 60% 80% 100% Dato non trovato Per nulla reperibile Abbastanza reperibile Molto reperibile Campione 60 servizi Cloud internazionali

La semplicità di comprensione Informazione Informazioni sul fornitore Utilizzo di subfornitori (con indicazione di Costi del servizio e principali condizioni economiche elementi identificativi e di localizzazione Trattamento Localizzazione e riservatezza geografica dei dei dati Data personali Center Esclusioni o limitazione Utilizzo di responsabilità di subfornitori del fornitore Diritto di recesso a favore del fornitore di servizi cloud SLA Possibilità di switching alla cessazione del Durata del contratto e rinnovo tacito contratto e portabilità dei dati Trattamento Durata e del riservatezza contratto dei e rinnovo dati personali tacito Costi del servizio e principali condizioni Esclusione o limitazione di responsabilità del fornitore economiche (modalità di pagamento, cadenza Diritto di recesso a favore del fornitore di servizi Penali Cloud Penali SLA Possibilità di switching alla cessazione del contratto Localizzazione geografica di data center e portabilità dei dati 0% 20% 40% 60% 80% 100% Per nulla reperibile Abbastanza reperibile Molto reperibile Campione 60 servizi Cloud internazionali

La completezza dell informazione Esclusione o limitazione di Informazione responsabilità sul del fornitore Utilizzo di subfornitori (con indicazione di Trattamento e riservatezza dei dati personali elementi identificativi e di localizzazione Trattamento e riservatezza Informazioni dei dati sul personali fornitore Esclusioni o limitazione di responsabilità del SLA fornitore Diritto di recesso a favore del fornitore di Localizzazione servizi geografica cloud dei Data Center Possibilità di switching alla cessazione del Penali contratto e portabilità dei dati Diritto di recesso Durata a del favore contratto del fornitore e rinnovo di servizi tacito Cloud Costi del servizio e principali condizioni Costi del servizio e principali condizioni economiche economiche (modalità di pagamento, cadenza Possibilità di switching alla cessazione del contratto Penali e portabilità dei dati Utilizzo di subfornitori SLA Localizzazione Durata del geografica contratto e di rinnovo data center tacito 0% 20% 40% 60% 80% 100% Per nulla reperibile Abbastanza reperibile Molto reperibile Campione 60 servizi Cloud internazionali

La trasparenza dei siti Informazione Informazioni sul fornitore Utilizzo di subfornitori (con indicazione di Utilizzo di subfornitori elementi identificativi e di localizzazione Trattamento e e riservatezza dei dati personali Esclusione Esclusioni o limitazione o limitazione di responsabilità di responsabilità del fornitore del fornitore Diritto di recesso a favore del fornitore di Diritto di recesso a favore del fornitore di servizi Cloud servizi cloud Possibilità Possibilità di switching di switching alla cessazione alla cessazione del contratto del contratto e portabilità e portabilità dei dati dei dati Durata del del contratto e e rinnovo tacito Costi del servizio e principali condizioni Costi del servizio e principali condizioni economiche economiche (modalità di pagamento, cadenza Penali SLA Localizzazione geografica dei di data Data center Center 0% 20% 40% 60% 80% 100% Dato non trovato Per nulla reperibile Abbastanza reperibile Molto reperibile Campione 60 servizi Cloud internazionali

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back