10 Domande da porsi prima di affidarsi al Cloud

10 Domande da porsi prima di affidarsi al Cloud

Negli ultimi anni abbiamo assistito alla diffusione dell’utilizzo su vasta scala dei servizi di cloud computing.

L’emergenza sanitaria che abbiamo affrontato negli ultimi due anni, ha ulteriormente velocizzato la migrazione sulla nuvola da parte di moltissime aziende, e molte altre che si trovano a fare i conti con infrastrutture ormai obsolete, stanno valutando questa alternativa.

Scegliere il cloud provider giusto non è cosa da poco.

Ci sono diversi aspetti da valutare: l’efficienza, la sicurezza, la compliance dei servizi attualmente sul mercato.

Noi di Onbit supportiamo i nostri clienti nella scelta dei possibili strumenti utilizzati per il trattamento dei dati, valutando insieme a loro, il rapporto costi/benefici, in termini di efficienza, sicurezza e di compliance alle normative vigenti sulla tutela dei dati.

 

Ecco le dieci domande che ogni Titolare dovrebbe porsi se decide di migrare i suoi dati in cloud:

 

1. Quali dati portiamo sulla nuvola?

 

Il titolare del Trattamento deve essere consapevole della natura dei dati che migrano sul cloud al fine di mettere in atto misure di sicurezza adeguate.

 

2. Qual è la tipologia di servizio più adeguata alla mia azienda?

 

Considerato che il cloud computing può assumere caratteristiche e funzionalità le più varie, la scelta del servizio dovrebbe essere ancorata ad una esigenza comprovata, oggettiva, ad una opzione che migliori sensibilmente efficienza e/o efficacia e sicurezza delle attività aziendali.

 

3. Quale cloud provider scegliere, dove si trovano il suo stabilimento e i suoi server?

 

Non è possibile trascurare l’ubicazione dei nostri dati aziendali, bisogna sempre valutare la possibilità di un trasferimento di dati all’estero adeguato ai requisiti previsti dalla normativa.

 

4. Il trattamento dei dati della mia azienda sarà affidato a dei subfornitori?

 

Il Titolare deve conoscere l’identità dei soggetti che costituiscono la “catena di responsabilità” in relazione ai servizi acquistati, per decidere se è affidabile e sicura.

 

5. Quanto è (cyber)sicuro il servizio offerto?

 

Il cloud provider è tenuto a fornire l’elenco delle misure di sicurezza tecniche e organizzative, volte a garantire integrità, riservatezza e disponibilità dei dati, nonché la continuità operativa del servizio.

 

6. Il cloud provider è accessibile e trasparente?

 

Il cloud provider deve fornire tutte le informazioni utili al Titolare del trattamento per valutare la sua affidabilità, mettendo a disposizione tutta la documentazione necessaria al fine di garantire quanto richiesto dalla normativa, nonché per accertare la sua trasparenza e disponibilità nel rapporto con il cliente.

 

7. Quali garanzie sono prestate dal cloud provider a scanso di trattamenti abusivi o successivi alla fine del contratto?

 

Un fattore essenziale nella gestione dei rapporti con il cloud provider è sicuramente la regolamentazione delle attività legate alle finalità del contratto in essere e quelle connesse alla fine rapporto.

Il cloud provider dovrà garantire che le finalità concordate siano rispettate per tutta la durata del contratto e che al termine di questo procederà alla restituzione e alla cancellazione di tutti i dati comprovandone l’esecuzione al Titolare.

 

8. Il cloud provider ha predisposto un’analisi dei rischi?

 

Nel processo di valutazione del cloud provider, il Titolare del trattamento è tenuto a conoscere i risultati emersi dall’analisi dei rischi, e dall’eventuale DPIA (Data Protection Impact Assessment), svolta dal fornitore.

Solo dopo aver conosciuto i rischi connessi all’esternalizzazione del trattamento ed aver valutato l’accettabilità di questo potrà procedere con la scelta.

 

9. Le condizioni/clausole del contratto sono idonee ed esaustive?

 

Il contratto con il cloud provider dovrà essere redatto alla luce dell’art. 28, e dovrà rispettare i requisiti minimi previsti dalla normativa.

Ma considerata la complessità del rapporto in questione sarà necessario l’integrazione di contenuti al fine di formalizzare le clausole e le garanzie che siano emerse in fase precontrattuale, legate alla tipologia di trattamenti coinvolti e ai rischi connessi.

 

10. Gli incaricati che gestiranno i trattamenti sul cloud sono stati istruiti e formati in materia di protezione dati?

 

La formazione dei soggetti incaricati al trattamento, non è solo un obbligo per il Titolare del trattamento, ma è da considerarsi come misura di sicurezza.

Pertanto, il Titolare del trattamento dovrà fornire le istruzioni necessarie all’utilizzo del cloud in termini di efficienza e di sicurezza, programmando sessioni formative dedicate e fornendo tutto il supporto necessario ai soggetti incaricati.

 

Se anche tu stai pensando di portare i tuoi dati sulla nuvola, e vuoi fare la scelta migliore per la tua azienda, non esitare a contattarci per una consulenza, saremo felici di supportarti con la nostra esperienza e professionalità!