Protezione dei dati nel cloud

Protezione dei dati nel cloud

Scritto da Ana Canteli l’8 ottobre 2021

La protezione dei dati è una responsabilità per tutte le organizzazioni, siano esse pubbliche o private; che abbiano o meno finalità di profitto. E la sicurezza dei dati è una preoccupazione comune a tutte. Inoltre, le informazioni di natura sensibile sono spesso regolamentate da disposizioni legislative speciali, che obbligano le entità a conservare tali dati su piattaforme ospitate nel Paese.

D’altra parte, l’uso efficiente delle risorse – massimizzare i risultati e minimizzare i costi – è all’ordine del giorno, per cui poche organizzazioni possono escludere l’uso dei servizi di archiviazione cloud. I servizi di cloud computing, infatti, sono uno strumento legittimo, accessibile e legale per continuare l’attività dell’organizzazione nell’era della trasformazione digitale.

I servizi di cloud computing consentono alle organizzazioni che scelgono questa soluzione di massimizzare la gestione delle risorse legate all’elaborazione delle informazioni. In questo caso, l’ente beneficiario dei servizi cloud non ha bisogno di investire in infrastrutture, ma le noleggia dal fornitore, con la garanzia che quest’ultimo si impegnerà a mantenere le condizioni di servizio concordate in ogni momento.

In un ambiente di cloud computing, la gestione delle informazioni è praticamente nelle mani del cliente che contratta i servizi cloud, i quali possono includere funzionalità per la gestione di database, documenti, email, ecc., a seconda delle esigenze dell’organizzazione. Quest’ultima accede ai propri dati tramite Internet, in base al modello di servizio cloud sottoscritto, che può essere di diversi tipi:

• Cloud pubblico: quando il fornitore e il cliente mantengono un rapporto puramente contrattuale, aperto a qualsiasi tipo di organizzazione: ditte individuali, PMI, grandi aziende, ecc.

• Cloud privato: il fornitore offre servizi di cloud computing, dimostrando di essere responsabile del mantenimento del servizio in ogni momento, senza la collaborazione di terzi, anche se può essere implementato da altre aziende che agiscono sotto la supervisione del fornitore.

• Cloud ibrido: quando il fornitore offre alcuni servizi pubblicamente e altri privatamente. Ad esempio, un’orchestrazione di risorse cloud e server per consentire a un’organizzazione che gestisce grandi volumi di dati in determinati periodi dell’anno di bilanciare la propria infrastruttura per assorbire l’elevata domanda stagionale.

A seconda del modello utilizzato, i dati potrebbero non trovarsi realmente nelle mani del fornitore cloud. Inoltre, aspetti come la proprietà dei dati, la manutenzione e la gestione del supporto fisico delle informazioni, dei processi e delle comunicazioni possono essere affidati a terzi. A loro volta, i fornitori possono trovarsi dentro o fuori il Paese del cliente, compatibilmente con l’offerta di servizi di hosting cloud a basso costo. Questo può essere ottenuto attraverso metodologie di ottimizzazione delle risorse come l’offshoring, la condivisione delle risorse, la mobilità o tramite ulteriore esternalizzazione.

Di conseguenza, l’organizzazione responsabile della protezione dei dati personali potrebbe non sapere dove si trovano i propri dati, non avere un controllo diretto su di essi (accesso, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione e decisioni individuali automatizzate). Tuttavia, se tali informazioni contengono dati personali, devono essere conformi alle disposizioni del GDPR dell’UE.

Un altro aspetto da considerare è la portabilità: le soluzioni cloud possono o meno essere aperte alla portabilità. Più è semplice per l’organizzazione trasferire le proprie informazioni da un fornitore cloud a un altro, maggiore sarà la portabilità offerta dal fornitore. È fondamentale ricordare che il rapporto con il provider di archiviazione cloud può essere interrotto in qualsiasi momento; non solo dal cliente ma anche dal fornitore, magari a causa di modifiche nelle caratteristiche dei servizi.

In questo senso, OpenKM Cloud, software as a service, è l’opzione di OpenKM per il cloud computing nel suo formato di cloud pubblico. Include funzionalità complete di esportazione, in modo che il cliente possa estrarre tutta la sua documentazione, senza giustificazioni e senza dover richiedere servizi aggiuntivi al fornitore. Con OpenKM il cliente è al 100% possessore e proprietario delle sue informazioni. I server OpenKM si trovano nell’UE, così che il cliente abbia tutte le garanzie del quadro normativo europeo, oltre alla conformità legale del proprio Paese. Il contratto dei servizi cloud include le clausole di garanzia richieste dall’articolo 28 del GDPR.

Ecco perché l’infrastruttura di archiviazione dati e di elaborazione nel cloud in Europa è di vitale importanza per garantire la piena autonomia delle organizzazioni. In questo modo, i dati generati in Europa rimangono in Europa, si garantisce il rispetto rigoroso delle leggi dell’UE e le organizzazioni europee non dipendono da aziende straniere che potrebbero utilizzare i loro dati per ottenere benefici all’estero.