GDPR e AWS: il cloud conforme alla normativa europea

GDPR e AWS: il cloud conforme alla normativa europea

Con l’entrata in vigore del Regolamento Generale sulla protezione dei dati (GDPR) , i provider di cloud che operano in Europa si sono allineati al Codice di condotta proposto dal CISPE (Cloud Infrastructure Services Provider in Europe), ente che riunisce i fornitori europei di cloud.

L’adesione al Codice significa rispettare lo standard di protezione delle direttive europee, quindi accordarsi pienamente al GDPR.

Il principale impegno che i provider devono mantenere è il non accedere o utilizzare dati dei clienti per propri scopi, come ad esempio, data mining, profilazione o direct marketing.

Amazon Web Services ha pienamente aderito al Codice del Cispe e ha sottolineato che tutti i suoi servizi saranno conformi entro il 25 maggio 2018 quando la normativa entrerà in vigore.
Inoltre, ha comunicato che Amazon EC2 , Amazon S3 , Amazon RDS , AWS Identity e Access Management, AWS CloudTrail e Amazon Elastic Block Storage sono già pienamente conformi al codice di condotta.
Con queste dichiarazioni il provider rassicura la clientela europea che il suo ambiente è sicuro e conforme.

La sicurezza in casa Amazon è stata ed è una priorità. Da sempre offre un elevato livello di protezione in tutto il mondo nel rispetto delle normative di ogni paese.
Ha ottenuto numerose certificazioni e accreditamenti riconosciuti a livello internazionale. Fra questi bisogna almeno citare ISO 27017 per la sicurezza e ISO 27018 per la privacy del cloud, PCI DSS Level 1 e SOC 1, SOC 2 e SOC 3.

D’altronde non potrebbe essere altrimenti. Nella clientela annovera grandi aziende, istituzioni pubbliche, agenzie governative, fornitori di servizi finanziari impegnate nella gestione di dati sensibili e ovviamente la privacy e la sicurezza dei dati deve essere assicurata al massimo livello.

Avere controllo e proprietà dei contenuti è per queste imprese e istituzioni un fattore imprescindibile. Per rispondere a questa necessità il provider assicura ai propri utenti una strumentazione semplice e efficace che consenta di determinare dove i dati sono localizzati e memorizzati, e in grado di permettere la protezione di informazioni in transito e gestire l’accesso ai servizi e alle risorse.
Inoltre, implementa anche controlli scrupolosi e sofisticati, sia tecnici sia fisici, per impedire accessi non autorizzati e divulgazione di dati riservati.

Accessi, Storage e Sicurezza in AWS

Per cominciare, comprendiamo meglio le policy in ambito di accesso, storage, sicurezza e divulgazione. Non ci stancheremo mai abbastanza di affermare che sono i clienti a gestire l’accesso ai contenuti della loro utenza e ai servizi e alle risorse di AWS. Sono loro a decidere quali modalità scegliere per la protezione dei dati della propria clientela.

Per assolvere al meglio questi compiti, il provider mette a disposizione diverse funzionalità di alto livello tecnologico, ad esempio AWS CloudTrail e offre strumenti per l’accesso, crittografia e registrazione di log.

E’ importante rassicurare sul fatto che AWS non accede ai contenuti dei clienti nè li divulga nè li utilizza per nessun motivo, secondo quanto previsto dalle normative vigenti.

In fatto di storage in cloud, sono i clienti stessi a scegliere le regioni in cui vorranno archiviare i propri contenuti e per nessun motivo questi dati potranno essere trasferiti senza che vi sia consenso o non rispettando regolamenti o normative.
AWS ha sviluppato un programma di controlli di sicurezza che utilizza best practice universalmente riconosciute per la protezione di dati e privacy, per consentire ai clienti di creare, gestire e utilizzare un ambiente sicuro.

Il provider non divulgherà i contenuti se non richiesto dalla legislazione vigente o da ordinanze legali vincolanti emesse da un’autorità normativa o statale. Inoltre la sua politica prevede che i contenuti possano essere divulgati esclusivamente previa notifica in modo da consentire la massima tutela.

FAQ di riepilogo per il GDPR

1. Come vengono definiti i contenuti?
AWS divide i contenuti in due diverse categorie: contenuti del cliente e informazioni sull’account.
Per contenuti del cliente si intende prodotti software, dati, testi, audio, video o immagini trasferiti per l’elaborazione dal cliente o dagli utenti finali, lo storage o l’hosting in servizi AWS in connessione all’account del cliente. Tutte le attività di elaborazione risultanti dall’utilizzo dei servizi AWS da parte del cliente o degli utenti finali. Vengono invece definiti “informazioni sull’account” i dati personali forniti dal cliente per la creazione o l’amministrazione di un account come ad esempio nomi, cognomi, numeri di telefono, indirizzi e-mail e informazioni di fatturazione associati all’account del cliente.

2. I dati dei miei clienti rimangono in mio possesso?
Sì. Mantieni la titolarità dei tuoi contenuti e scegli elaborarli, immagazzinarli o conservare in hosting. AWS non accede ai contenuti né li utilizza per nessun motivo secondo quanto previsto dalle normative vigenti o naturalmente secondo necessità. I contenuti non saranno utilizzati a scopo pubblicitario o di marketing.

3. Chi controlla i dati dei miei clienti?
Sei tu a controllarli. AWS ti permette di determinare dove memorizzare i contenuti selezionando anche il tipo di storage e l’area geografica dove conservarli e di scegliere il loro livello di sicurezza con strumenti di crittografia avanzata per le informazioni in transito e inattive, e ti offre la possibilità di gestire le chiavi di crittografia. Inoltre, ti permette di gestire l’accesso della tua clientela a contenuti e a servizi e a risorse AWS grazie policy di controllo.

4. Dove verranno memorizzati i contenuti dei miei clienti?
Sei tu a scegliere la regione o le regioni in cui memorizzare i dati dei tuoi clienti. I data center di AWS sono progettati in cluster e dislocati in diverse aree in tutto il mondo. Se desideri hai la possibilità di replicare e eseguire il backup dei contenuti in più di una regione. Amazon non potrà né trasferire né replicare tali contenuti al di fuori della regione o delle regioni che hai scelto, fatto salvo quanto previsto dalle normative vigenti o secondo necessità.

Comments are closed.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi