Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ESPERTO RISPONDE

Servizi in cloud: è corretto adottare le misure di sicurezza del fornitore?

31 Lug 2018

Guglielmo Troiano

avvocato, P4I


DOMANDA

Il fornitore di servizi in cloud, nominato responsabile del trattamento dei dati, mi impone le misure di sicurezza da lui prestabilite. È corretto?

M.P.

RISPOSTA

Per rispondere occorre considerare il modello di deployment nonché la tipologia di cloud utilizzato. Difatti, le misure di sicurezza devono essere calate nel caso concreto partendo dai modelli di cloud di cui si può usufruire (SaaS, PaaS, IaaS).

In generale, quanto più il provider si allontana dalla gestione (e dal trattamento) dei dati, tanto più sarà sgravato da responsabilità e adempimenti.

Nello specifico, nel modello IaaS, in cui il provider ha un’azione davvero limitata, è principalmente il titolare che ha sottoscritto il servizio a dover adottare tutte le misure di sicurezza per garantire che il trattamento dei dati avvenga in modo sicuro. In questo caso il provider si limita a fornire l’infrastruttura e non entra nel merito di come questa venga utilizzata dal titolare. Il titolare, quindi, si deve occupare di garantire tutte le misure di sicurezza adeguate, per esempio, con l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati particolari (sensibili).

Nel modello all’estremo opposto rispetto all’IaaS, il modello SaaS, è principalmente il provider che deve garantire le misure di sicurezze. Il fornitore, per esempio, si dovrà occupare di mettere a disposizione degli utenti un sistema di autenticazione ed uno di autorizzazione che includa un set predefinito di ruoli, autorizzazioni e regole di business.

Il provider ed il titolare/utente del servizio cloud devono quindi operare, ove possibile, in modo coordinato per assicurare l’applicazione di tutte le misure di sicurezza adeguate, fermo restando che vi è un differente regime di responsabilità nell’attuazione di ciascuna misura in capo all’uno o all’altro soggetto, in relazione a ciascun modello di cloud.

Mandate i vostri quesiti ai nostri esperti

Quesiti legal: espertolegal@cybersecurity360.it

Quesiti tecnologici: espertotech@cybersecurity360.it

@RIPRODUZIONE RISERVATA

Articolo 1 di 5