Come mantenere i dati al sicuro nel Cloud?

Una delle domande più frequenti, quando si parla di Cloud Computing, è la seguente: “Come posso sfruttare i benefici del Cloud, garantendo però che i miei dati di business e i dati personali dei miei clienti siano trattati in modo sicuro e conforme alle leggi, e che non vengano utilizzati contro i miei interessi?”

Per rispondere, occorre innanzi tutto capire che cosa è la Sicurezza dei Dati: secondo la norma ISO/IEC 27001 (lo standard internazionale sulla Sicurezza delle Informazioni), i dati e le informazioni, sia personali che di business, di una azienda, vanno trattati all’interno di un Sistema di Gestione che garantisca il soddisfacimento di tre requisiti fondamentali:

  • Riservatezza: le informazioni devono essere accessibili solo ed esclusivamente agli utenti autorizzati ad accedervi;
  • Integrità: le informazioni devono essere corrette e non manipolabili da chi non è autorizzato a farlo, né modificate in modo inaspettato a causa di errori o problemi nel software;
  • Disponibilità: le informazioni devono essere accessibili agli utenti con tempi di accesso e prestazioni dei sistemi adeguate alle esigenze e sufficienti per essere trattate in modo efficace.

Sicurezza e Privacy dei Dati nel Cloud

La legge, e precisamente il D.Lgs. 196/2003 (c.d. Codice della Privacy) ed il Regolamento (UE) 2016/679(GDPR), pone regole molto precise in merito al trattamento dei dati personali, la cui inosservanza comporta, a seconda dei casi, responsabilità di natura civile, penale, amministrativa. Riportiamo di seguito alcuni degli obblighi previsti:

  • Il trattamento dei dati personali è consentito soltanto a soggetti preventivamente nominati “incaricati del trattamento” dal Titolare dei dati stessi;
  • La nomina è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito;
  • Le varie tipologie di dati personali (comuni, sensibili e giudiziari) vanno trattati con procedure diverse, specifiche per ciascuna tipologia, ed espressamente previste dalla legge;
  • La circolazione dei dati personali deve avvenire preferibilmente all’interno dell’Unione europea; il trasferimento, anche temporaneo, verso Paesi terzi è consentito solo in casi particolari. Non tutti i Paesi extraeuropei, infatti, garantiscono un livello adeguato di sicurezza e confidenzialità, e ciò potrebbe comportare un illecito trattamento di dati personali, con conseguenti danni irreparabili per i business a cui i dati sono relativi;
  • È opportuno, pertanto, che i server in Cloud siano dislocati sul territorio Europeo, dove viene garantito per legge un elevato livello di sicurezza dei dati.

È quindi evidente che la fornitura di un servizio in Cloud per la gestione di dati, di business o personali, implica l’assunzione da parte del fornitore del servizio Cloud di rilevanti responsabilità, di carattere sia civile che penale, in ordine al soddisfacimento dei requisiti espressi ed alla conformità alle leggi vigenti. Ove tali responsabilità non siano correttamente e formalmente assunte, ne possono derivare rischi significativi per tutte le parti coinvolte, inclusi i clienti.

Un ulteriore aspetto riguarda la presenza o meno di possibili situazioni di conflitto di interesse: l’utente (in questo caso il Dealer) che affida i propri dati di business e i dati personali dei propri clienti a un fornitore di un servizio in Cloud, dovrebbe sempre domandarsi se tale fornitore ha o meno un qualche tipo di interesse nell’ accedere ed utilizzare tali dati per fini diversi dall’erogazione del servizio Cloud. Ad esempio, casi di questo tipo potrebbero riguardare talune aziende produttrici di hardware o di consumabili, che forniscono anche servizi Cloud di monitoraggio delle stampanti, e potrebbero ipoteticamente avere interesse a conoscere informazioni riguardanti gli utilizzatori finali dei loro prodotti (hardware e/o consumabili), i volumi di utilizzo, le informazioni contrattuali e commerciali, i consumi ed i dati personali dei clienti.

È fondamentale che qualsiasi azienda, prima di affidare i propri dati aziendali e i dati personali dei propri clienti ad un servizio Cloud, si accerti che la loro gestione soddisfi una serie di requisiti minimi:

  • Che la soluzione Cloud che gestisce il servizio garantisca il soddisfacimento dei requisiti di Riservatezza, Integrità e Disponibilità adeguati alla criticità delle informazioni trattate; se il trattamento riguarda dati di business (quali contratti, costi, consumi e simili), la criticità sarà probabilmente molto elevata, in quanto da essi dipende la sopravvivenza dell’azienda.
  • Che il trattamento dei dati personali venga effettuato nel pieno rispetto del D.Lgs. 196/2003 e del Regolamento (UE) 2016/679, in tutti i casi in cui questi siano applicabili; quindi va definito con chiarezza se vengono trattati dati personali dei clienti (ad esempio nominativi, indirizzi email, o altre informazioni personali) oppure solo dati tecnici dei dispositivi, ed assolti gli adempimenti di legge conseguenti.
  • Ove siano trattati dati personali, che il trattamento preferibilmente venga effettuato su server fisicamente dislocati all’ interno del territorio dell’ Unione Europea, e sia garantito un adeguato livello di protezione dei dati.
  • Che il fornitore del servizio Cloud tratti le informazioni in modo distinto e separato da altre attività di business collegate, e che non presenti rischi di possibili conflitti di interesse.

La soluzione MPS Monitor garantisce ampiamente il soddisfacimento di tali requisiti, in quanto:

  • Opera all’interno di un Sistema di Gestione della Sicurezza delle Informazioni che è certificato ISO/IEC 27001:2014, e di conseguenza garantisce il rispetto dei requisiti di Riservatezza, Integrità e Disponibilità;
  • Tratta i dati personali in modo pienamente conforme al D.Lgs. 196/2003 – Codice della Privacy e al Regolamento (UE) 2016/679;
  • È ospitata su sistemi in Cloud fisicamente residenti esclusivamente all’ interno del territorio dell’Unione Europea;
  • L’azienda MPS Monitor srl e le aziende ad essa collegate non svolgono alcun tipo di attività di commercializzazione di hardware o di consumabili da stampa.

Il Team MPS Monitor è a completa disposizione dei Dealer e Clienti interessati ad approfondire le tematiche di Sicurezza e Privacy dei dati, fornendo tutte le informazioni e la documentazione utile a conoscere a fondo queste problematiche.

Prova gratis MPS Monitor sul tuo parco

 

MPS Monitor è partner di


Certificazioni