Scegliere applicativi software in cloud: quali domande porsi

È veloce, comodo, lo raggiungi facilmente ovunque tu sia e costa meno che avere hardware e software in casa: il Cloud è la soluzione adottata da molte aziende negli ultimi anni.

Nel concreto, significa utilizzare applicativi software che sono posti in server raggiungibili via internet e fruibili anche dai vari tablet e smartphone che maneggiamo quotidianamente.

Il Cloud non è solo di “moda” ma permette anche di gestire in modo più agevole le attività aziendali e fornisce soluzioni, anche “mobile”, difficili da ottenere con altre tecnologie. Per questo motivo, non è vietato usare il cloud né va demonizzato, ma va piuttosto affrontato coscientemente sapendo che porta con sé una serie di domande a cui bisogna dare risposta. È importante che queste domande siano poste prima di sottoscrivere il contratto con il fornitore!

1. I server in cloud sono all’estero in Paesi extraeuropei?

La localizzazione del server su cui vengono trattati i dati è il primo punto da valutare. Nel momento in cui stiamo trattando dei dati ho tre possibilità:

• Il server è in Italia: il trattamento dei dati non richiede nessun adempimento;
• Il server è in un paese della Comunità Europea: vale il trattato di Schengen, ribadito dal nuovo Regolamento Europeo, che permette la libera circolazione dei dati. Per questo motivo io posso scegliere un server posizionato in un qualsiasi paese europeo ma devo adempiere a due obblighi: il primo è comunicare agli interessati che i loro dati usciranno dai confini nazionali, il secondo è quello di provvedere alla notifica al Garante.
• Il server è in un paese extraeuropeo. La soluzione è altamente sconsigliata. Onde poter scegliere questa soluzione è necessario che siano assicurate dal fornitore misure di sicurezza pari o superiori a quelle che si avrebbero nei paesi europei. Vi sono vari ostacoli. Per prima cosa bisogna vedere se il paese extraeuropeo è nella lista dei paesi considerati affidabili, quindi bisogna verificare se vengono adottate le misure previste dalla Commissione Europea (prima vi era il safe harbour dichiarato illegittimo dalla Corte Europea, ora vi è il Privacy Shield ovvero lo scudo UE-USA per la privacy). Verificato che sia tutto in regola (Ma lo sarà veramente? Chi controlla?) rimangono due ulteriori obblighi: il primo comunicare agli interessati che i loro dati usciranno dai confini nazionali, il secondo è quello di provvedere alla notifica al Garante.

2. Si conosce quali siano le misure di sicurezza adottate dal fornitore per proteggere i dati?

Il Titolare del trattamento, nel momento in cui si avvale di un Responsabile per gestire i dati, ha sempre l’obbligo di indicare le misure di sicurezza e verificare che siano rispettate. Pertanto, è necessario chiedere dettagliate informazioni al fornitore del servizio su questo punto.

3. E’ stato verificato chi è il reale fornitore del servizio che si sta acquisendo capendo se è una singola società o un consorzio di imprese?

Spesso le aziende comprano un servizio in cloud da un fornitore che vende loro non solamente lo spazio su internet ma anche il servizio da utilizzare (un applicativo, un servizio di backup, la posta elettronica, …). Pertanto chi vende, ha spesso ulteriori subfornitori per la parte sistemistica legata al server connesso ad internet. A sua volta questo potrebbe affidare i servizi sistemistici sui suoi server ad altre società …. E’ necessario conoscere ed identificare tutti gli attori della catena.

4. In caso di problemi al collegamento Internet, è comunque possibile continuare a usufruire dei servizi senza l’accesso al cloud?

È la legge di Murphy: la connettività viene a mancare nel momento critico in cui è indispensabile. Cosa succede in quei casi? Probabilmente è difficile avere uguali sistemi in casa se si è andati in cloud ma si potrebbe pensare a soluzioni informatiche tampone che memorizzano i dati in locale per poi sincronizzare il tutto quando torna la connettività.

5. Si conosce in quanto tempo può essere ripristinato il sistema?

Che tipo di garanzie mi fornisce il fornitore in caso di down dei suoi sistemi? Esistono delle penali?

6. Esistono piani di emergenza per i servizi essenziali?

In ogni modo, è sempre importante pensare a delle procedure per gestire in altro modo l’attività aziendale.

7. È stato valutato l’impatto aziendale che si avrebbe se i dati sul cloud andassero persi o distrutti?

I dati non sono da noi. Se il fornitore o uno della filiera fallisse? Se fosse attaccato da un pirata informatico? Se avesse dei problemi legati ad un evento fisico (terremoto, incendio, alluvione, …). I dati delle aziende hanno un valore elevatissimo ed è meglio predisporre adeguate misure di backup con varie tipologie di frequenza (per maggiori garanzie temporali) e vari punti di stoccaggio (per delocalizzare sul territorio il rischio).

8. Esistono garanzie di riservatezza per i nostri dati nel caso in cui un concorrente condivida gli stessi servizi cloud?

Chi offre un servizio alla mia azienda in cloud, offrirà lo stesso servizio anche ai miei concorrenti. Quali sono le logiche a garanzia della sicurezza dei miei dati aziendali? Chi e come gestisce i criteri di accesso e le politiche di password? Vi è possibilità di accedere facilmente alla mia password?

9. La tecnologia utilizzata dal fornitore di cloud è di tipo “proprietario”? I dati possono essere esportati facilmente?

Sposare un servizio in cloud significa pensare prima a come divorziare dallo stesso. È necessario avere un accordo “prematrimoniale” che ci permetta di utilizzare, al bisogno, una “exit strategy” veloce e sicura, già definita a monte.

10. Nel caso in cui si accerti una violazione o la perdita dei dati, il fornitore garantisce un pronto risarcimento del danno?

Il tema del “data breach” non è più un tema da sottovalutare. Con il nuovo Regolamento Europeo 2016/679 sulla Privacy ogni violazione dei dati deve essere segnalata al Garante e in alcuni casi anche agli interessati. Questo significa almeno due cose: la prima che devo essere certo che il mio fornitore mi comunichi un data breach in tempi veloci e certi per adempiere alle richieste del Garante, la seconda che abbia la capacità economica o assicurativa di rispondere alle richieste di risarcimento danno che potrebbero essere richieste alla mia azienda.