In tempi di collaboration e condivisione dei flussi di lavoro è bene potersi affidare a service provider che possano garantire un elevato grado di protezione, per un business sicuro.
Ciò che oggi si definisce come “sovranità dei dati” si riferisce agli aspetti di gestione, protezione, accesso e disponibilità dei dati. Si tratta di un argomento articolato, che interessa numerosi elementi tecnico-normativi e il modo in cui sono trattate le informazioni che circolano sul Web.
In senso più ampio, con “sovranità dei dati” si intende quell’insieme di attività e meccanismi messi in atto dai Governi nazionali e dalle Comunità continentali per impedire che i dati dei propri cittadini possano essere intercettati e usati indebitamente.
Si intende, quindi, la possibilità di controllare i dati che appartengono alle persone a livello nazionale.
La definizione di politiche di sovranità dei dati nasce per limitare il traffico di informazioni raccolte e analizzate. Le misure messe in atto per limitare la circolazione indiscriminata di informazioni al di fuori dei confini prestabiliti sono diverse. Tali logiche trovano posto all’interno di leggi, decreti e normative, come per esempio il Regolamento generale sulla protezione dei dati (GDPR) nell’Unione europea. Esso definisce la privacy dei dati nell’Unione europea e nello Spazio economico europeo, ma anche le modalità di trasferimento di dati personali da tali regioni.
Perché è importante parlare di sovranità dei dati?
L’intenso interscambio di informazioni in atto a livello globale e la sempre maggiore adozione di strumenti di collaborazione e condivisione rendono prioritaria una gestione dei dati coerente e protetta.
Per capire il reale volume dei dati circolanti possiamo considerare quanto riportato in un recente report della Banca Mondiale. Secondo gli analisti, entro il prossimo anno il traffico Internet globale raggiungerà i 150 TByte/s, con un incremento effettivo di mille volte rispetto a vent’anni fa.
Le modalità di trasmissione delle informazioni tra i diversi soggetti attivi sul mercato, tra le aziende e i differenti service provider, sono attualmente disciplinate da normative specifiche della regione in cui i dati sono stati originati.
Per ciò che riguarda il flusso di dati generato in azienda e circolante al di fuori di essa, imprese e professionisti sono chiamati a rispettare le normative vigenti, garantendo di essere conformi alle leggi di ogni mercato in cui si opera.
Le fondamenta per un business sicuro e protetto
Il cloud rappresenta un abilitatore di business e la sua diffusione non conosce limiti. Proprio l’adozione pervasiva del cloud ha messo in evidenza il tema della “sovranità dei dati”.
Questa tipologia di servizio consente alle imprese di beneficiare di svariate piattaforme e di repository remoti altamente sicuri. Al tempo stesso, però, l’adozione del cloud ha generato elevati volumi di scambio dati tra Paesi e regioni del mondo. Per assicurare una gestione coerente delle informazioni, questi flussi sono spesso bloccati o ammessi, a seconda che un dato Paese offra livelli analoghi di protezione dei dati e rispetti determinati codici di tutela.
Le informazioni di identificazione personale rientrano certamente tra quelle maggiormente soggette a leggi e strutture di governance definite dalla nazione in cui sono acquisite.
Il cloud e la sovranità dei dati
Imprenditori e società sono tenute ad adottare i servizi cloud ponendo particolare attenzione a “dove” sono archiviati i dati e ad adottare misure adeguate per rispettare la legislazione in vigore in quella data regione.
In fase di stipula di contratto, il cliente deve ottenere dal cloud provider solide conferme circa il grado di sicurezza dei servizi erogati e la disponibilità di specifici protocolli per la gestione del dato (archiviazione, protezione, cancellazione…).
Prima di attivare un servizio cloud è dunque opportuno valutare con attenzione il tipo di fornitore, privilegiando provider nazionali e europei. Una simile scelta consente di semplificare l’iter di gestione durante l’intero ciclo di vita dei documenti trattati. Non solo, la disponibilità di un impianto normativo uniforme tra stati e regioni innalza il grado di sicurezza e migliora la privacy del dato.
Diversamente, attivando servizi al di fuori dell’UE, sarà necessario osservare il grado di protezione e le possibilità di intervento di Governi ed enti di sicurezza nazionali, che potrebbero avere accesso ai dati aziendali per scopi di protezione del Paese che ospita il servizio scelto.
Residenza e accesso ai dati
In questo contesto si inserisce il concetto di “residenza dei dati”, da non confondersi con la sovranità dei dati. All’atto pratico, con questa definizione si intende l’effettivo punto geografico di archiviazione di file e documenti. In questo caso, i service provider possono proporre la gestione dei dati in determinati datacenter regionali di proprietà, organizzati per continente o sotto regioni.
In questo modo, il provider si impegna a gestire dati e servizi, per esempio in modalità SaaS, all’interno di determinati confini geografici.
La trasmissione e l’elaborazione dati entro un determinato ambito regionale consente di gestire al meglio il flusso dati e di rispettare con maggiore facilità normative e leggi. In fase di scelta è dunque consigliabile scegliere un fornitore in grado di assicurare la residenza dei dati nella regione di appartenenza e di garantire che tutte le sedi di elaborazione si trovino all’interno della medesima area.
Per un controllo pervasivo e una visibilità a 360° delle attività legate al proprio business d’impresa è poi essenziale che il titolare dei dati abbia ulteriori informazioni circa gli accessi da parte del personale del provider.
Il cliente deve essere dunque informato circa le attività effettuate, per esempio per scopi manutentivi, e devono essere messe in atto tutte le principali cautele per la tutela dei dati (accessi con privilegi minimi, accesso temporaneo con scadenza, controllo degli accessi basato sulla nazionalità). Un service provider che offra robusti sistemi di difesa e controlli proporzionali alla sensibilità dei dati immagazzinati è certamente da preferire.
Servizi Aruba, sovranità e protezione dei dati
Tra i service provider, Aruba propone solide soluzioni per proteggere i dati e garantire la piena compliance normativa alle imprese.
Il Cloud di Aruba si basa infatti su infrastrutture che permettono di mantenere il pieno controllo dei dati immagazzinati e in transito. I processi strutturati garantiscono un accesso sicuro e univoco al titolare dei dati.
Aruba non effettua nessun tipo di commercio di dati verso terzi e non li utilizza per fini propri o di altri.
Non solo, l’azienda promuove attivamente soluzioni per un cloud conforme ai più alti standard, a tutela della privacy. Aruba è tra i provider europei di infrastrutture cloud ad aver dichiarato l’adesione al Codice di Condotta CISPE per la protezione dei dati. È membro fondatore del progetto European Data Infrastructure GAIA-X, sviluppato per sostenere uno standard europeo di gestione e accesso ai dati basato su sicurezza e rispetto della privacy.
Business sicuro
Aruba adotta un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), un elemento addizionale che consente di certificare l’impiego di processi e applicazioni sicure. Il controllo in termini di confidenzialità, integrità e autenticità, consente di minimizzare possibili perdite dati e la manomissione di informazioni a causa di minacce esterne.
La riservatezza dei dati è fondamentale; Aruba, quale società italiana con data center in Italia e in Europa, non è sottoposta all’osservanza di normative USA come il Patriot Act o il FISA (Foreign Intelligence Surveillance Act). Ciò garantisce l’inapplicabilità di norme che, di fatto, avrebbero un impatto importante in materia di privacy e consentirebbero un accesso illimitato da parte di organizzazioni extraeuropee a dati e informazioni.
Come abbiamo visto, la sovranità del dato non è, dunque, un concetto astratto o inapplicabile. Essa rappresenta un fattore importante da considerare quando si scelgono nuovi servizi cloud ed esterni all’azienda. Avere il pieno controllo dei dati significa avere il pieno controllo del proprio business!