Key4biz

‘Cosa cambia per i Cloud provider con il GDPR’. Intervista a Valerio Vertua (CSA Italy)

Il Gdpr, pienamente, efficace dal 25 maggio scorso è il regolamento di riferimento in Europa sulla protezione dei dati personali e nonostante non faccia, esplicitamente, riferimento al Cloud anche quest’infrastruttura deve esserne, obbligatoriamente, conforme, come ci spiega Valerio Vertua, cofondatore e vicepresidente di CSA Italy, l’associazione che si occupa della sicurezza sul cloud.

Key4biz. Il Gdpr, pienamente, efficace dal 25 maggio cosa prevede per il cloud?

Valerio Vertua. Il Regolamento Ue non lo cita mai, ma lo prende in considerazione indirettamente in numerosi punti proprio perché anche i cloud provider devono rispettare:

Key4biz. Un cloud provider come può mostrare al cliente di essere 100% conforme al Gdpr?

Valerio Vertua. Oltre a quanto già detto, il Titolare dei dati dovrebbe verificare, in caso di cloud provider Usa, se questo applichi l’accordo EU-U.S. Privacy Shield, un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea ad organizzazioni residenti negli Stati Uniti. Allo stesso tempo si deve valutare, in linea più generale, l’adozione delle misure di sicurezza, perché fondamentalmente il cloud si può definire, provocatoriamente, come “il computer di un altro”, per cui occorre prestare attenzione ad usarlo in modo consapevole rispettando appunto le norme sulla protezione dei dati previsti dal GDPR.

Key4biz. In Italia esiste una normativa di riferimento sul cloud?

Valerio Vertua. Non esiste, al momento, una normativa specifica.

Key4biz. E la Pa, per esempio, quale cloud sceglie se non vi è una normativa di riferimento?

Valerio Vertua. A mio parere, il trend è il cloud ibrido. Ossia un cloud con una componente pubblica, per esempio dati immagazzinati nelle infrastrutture dei più noti player del settore, e altri dati, quelli più “delicati”, archiviati o gestiti in cloud privati. Penso che il cloud ibrido sia l’unica vera soluzione praticabile dalla Pa perché affidarsi esclusivamente a un cloud pubblico potrebbe comportare un alto rischio di vulnerabilità.

Key4biz. Di cosa si occupa CSA Italy?

Valerio Vertua. CSA Italy, una associazione no-profit, è una costola dell’associazione internazionale di Cloud Security Alliance, e si occupa della sicurezza sul cloud. Realizziamo report e linee guida sul tema (Cloud Security Guidance) con lo scopo di promuovere l’utilizzo di buone pratiche per la sicurezza del cloud computing. Prossimamente CSA punta a presentare ai Garanti privacy europei un codice di condotta sul cloud e sta ultimando l’aggiornamento del PLA (Privacy Level Agrrement) ovvero un documento-guida che suggerisce ai cloud provider extra UE, ma anche UE, come essere conformi al Gdpr. Inoltre noi, come CSA Italy, ci dedichiamo ad attività di ricerca, alla formazione e alla sensibilizzazione nell’utilizzo il più sicuro possibile di tutte le forme di cloud computing. Sottolineo il “più sicuro possibile” perché non esiste il cloud sicuro al 100%. Va sempre considerato sicuro in base a quali possano essere le potenziali minacce che vado ad analizzare rispetto al trattamento che viene operato.

Key4biz. E lei per il suo studio a quale cloud provider si è affidato?

Valerio Vertua. Ho scelto una soluzione europea (ubicata in Svizzera con server ubicati all’interno dell’UE) che mi garantisca la cifratura end-to-end in modo tale che il cloud provider non possa conoscere il contenuto dei miei dati, in più si accede attraverso la doppia autenticazione: oltre a user e password occorre digitare un codice che può arrivare all’utente via Sms, meglio se via email o in modo ancora più sicuro attraverso la generazione mediante un’apposita app; in questo ultimo caso, il codice OTP (One Time Password) cambia a ogni accesso e dopo il suo utilizzo non è più valido. In sostanza si tratta di un’autentificazione a due passaggi: vero, fa perdere alcuni secondi di tempo, ma almeno adotto, a costo zero, una misura tecnica organizzativa per proteggere meglio il trattamento dei dati.

Exit mobile version