Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Standard Contrattuali per il Cloud Computing
AIEA - 31 gennaio 2013
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Cloud Security Alliance
• avvocato - Ordine degli Avvocati di Milano
• settori di attività prevalente: diritto tributario, diritto societario, diritto dell’informatica e delle nuove tecnologie
• perfezionato in Computer Forensics ed Investigazioni Digitali - Università degli Studi di Milano
• co-fondatore e componente del consiglio direttivo di CSA Italy Chapter (www.cloudsecurityalliance.it/)
• vice-presidente di DFA - Digital Forensics Alumni (www.perfezionisti.it/)
Valerio Vertua
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Cloud Security Alliance Italy Chapter Associazione no-profit di diritto italiano (costituzione nel 2011)
86 soci regolarmente iscritti (+430 membri nel LinkedIn group CSA Italy Chapter)
Soci Affiliati:
Sponsor:
Collaborazioni:
3 Gruppi di Ricerca
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
CSA Italy Chapter - Attività 2012 Gruppi di Ricerca avviati:
Traduzioni delle Guide CSA - Coordinatore: Moreno Carbone – Sponsored by
Portabilità, Interoperabilità e Sicurezza Applicativa - Coordinatore: Matteo Cavallini – In collaboration with
– Sponsored by Privacy & Cloud Coordinatore: Valerio Vertua - Sponsored by
Promuovere le certificazioni professionali gestite da CSA
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
!"#$%&'(
!)*+#,(
-.*"#/((
0%%1(
!%%2(
2%%2(
3455)6#&.((
Modelli di utilizzo e di servizio
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Normativa - Fonti
• Codice Amministrazione Digitale (CAD) (d.lgs. n. 82/2005)
• Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003)
• Responsabilità amministrativa degli Enti (d.lgs. n. 231/2001)
• Contratto
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
• applicabilità ai privati (art. 3, comma 3)
• documento informatico - firma digitale (capo II)
• formazione, riproduzione e conservazione dei documenti informatici (capo III - artt. 40, 43-44)
• trasmissione informatica dei documenti (capo IV)
CAD (d.lgs. n. 82/2005)
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Codice “Privacy” (d.lgs. n. 196/2003)
• Abrogazione DPS • Misure di sicurezza • Misure minime
• Accesso - Conservazione - Cancellazione dei dati
• Trasferimento dei dati all’estero• Paese UE (cfr. artt. 37 e 42)
• Paesi extra-UE (cfr. artt. 37 e 43)
• trasferimento verso paesi che assicurano un livello di protezione adeguato - Usa: Safe Harbor
• adozione clausole contrattuali tipo approvate dalla Commissione UE
• Illeciti penali - amministrativi e Responsabilità civile
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Resp. amministrativa Enti (d.lgs. 231/2001)
• Destinatari:• Enti con personalità giuridica• Società ed associazioni ed imprese individuali• Enti pubblici economici• Enti pubblici non economici (s.p.a. con 49% capitale privato)
• Esclusi:• Stato – enti pubb. territoriali – enti con funzioni di rilievo costituzionali
• Soggetti • posizione apicale• posizione subordinata (consulenti)
• Reati presupposto • reati informatici • reati in materia di proprietà intellettuale
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Aspetti contrattuali (generalità 1/2)
• modello “classico” e modello “Cloud”
• unico contratto complesso
• contratto atipico misto • condizioni generali• termini di servizio• allegati tecnici
• bassa negoziabilità del contratto (standardizzazione)
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Aspetti contrattuali (generalità 2/2)
• gestione dei dati• ubicazione dei dati• accessibilità e fruibilità dei dati• conservazione e cancellazione dei dati• sicurezza e privacy
• contratto di durata• affidabilità Fornitore Servizio Cloud• durata - rinnovo• lock-in• way-out
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Aspetti contrattuali (clausole 1/3)
• legge applicabile e giurisdizione competente
• disciplina della proprietà intellettuale e industriale
• gestione dei dati e protezione degli stessi• indicazione esplicita ubicazione geografica dei server• subappalto/subfornitura/subcontratto• divieto esplicito di cessione del contratto• diritti di verifica adozione misure di sicurezza• obbligo segnalazione violazioni di sicurezza e perdita dati• eventuali certificazioni (es. ISO/IEC 27001 - CCSK)
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Aspetti contrattuali (clausole 2/3)
• assistenza e livelli di servizio (c.d. SLA)• performance garantite• misurazione e verificabilità• procedure di Disaster Recovery e Backup dati• incidental management• sospensione del servizio• penali
• responsabilità contrattuali• risoluzione per inadempimento per mancato rispetto di
standard di sicurezza• clausole di esclusione da responsabilità• limiti all’oggetto del contratto• limiti, a priori, sul risarcimento del danno
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Aspetti contrattuali (clausole 3/3)
• nomina Responsabile• nomina Responsabile esterno del trattamento con
mansioni di Amministratore di sistema• indicazione persona/e per verifica annuale alle attività
svolte dal fornitore di servizi Cloud
• clausole Way-Out• chiarezza e semplicità nelle procedure• riconsegna dei dati su supporto e formato
predeterminato• cancellazione dati (wiping)
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Cloud Security Alliance Italy ChapterTitolo: Cloud Computing Standard Contractual Clauses (CCSCC): Standard contrattuali come Fattori abilitanti per i servizi cloud.
Data di emissione: 12 settembre 2012
Gruppo di ricerca:ing. Gloria Marcoccio - team leader (www.glory.it)avv. Simone Colangeli - ricercatoreing. Marco Liberati - ricercatore
Sponsor:
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Oggetto dello studio
set minimo di clausole standard (checklist)
fattori Cloud Computing (cloud net - cloud service - utente - data - caratteristica contrattuale ecc.)
profili di Servizio Cloud Computing
CSA Italy Chapter - CCSCC
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
• Legge applicabile
• Giurisdizione - Arbitrato
• Limiti al potere del Provider di modificare i termini contrattuali
• Uso accettabile del Servizio - Inadempimento del contratto
• Sicurezza
• Privacy
• Cancellazione dei dati
• Riconsegna dei dati
• Accesso ai dati dopo la fine del contratto
• Responsabilità del Cliente -risarcimento
• Responsabilità del Provider - risarcimento
• Portabilità dei dati
• SLA
CSA Italy Chapter - CCSCC
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
CSA Italy Chapter - CCSCC
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
CSA Italy Chapter - CCSCC
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
CSA Italy Chapter - CCSCCCloud factor category! Cloud factor detail!
Social network services for Consumers!
Type of Cloud Net ! private! n!Type of Cloud Net ! public! n!Type of Cloud Net ! community! n!Type of Cloud Net ! hybrid! y!Type of Cloud Service! SaaS! y!Type of Cloud Service! PaaS! n!Type of Cloud Service! IaaS! n!Type of Cloud Service! Multilayered! n!Type of Customer! Consumer! y!Type of Customer! Professional-SME! n!Type of Customer! Professional- Corporate! n!Type of Customer! Public Admin.! n!Type of Supplier! SME! n!Type of Supplier! Corporate! y!Contract chars ! Negotiable ! n!Contract chars ! Not Negotiable! y!Contract chars ! Not charged service! y!Contract chars ! Charged service! n!Type of Data! personal! y!Type of Data! sensitive! n!Type of Data! judicial! n!Type of Data! critical ! n!Type of Data! anonymous! n!Type of Data! other! n!Type of Processing/Sector! HR! n!Type of Processing/Sector! administrative-accounting! n!Type of Processing/Sector! technical! n!Type of Processing/Sector! information society services! y!Type of Processing/Sector! VAS! n!Type of Processing/Sector! purchasing! n!Type of Processing/Sector! selling! n!Type of Processing/Sector! others! n!Data Subject! Customer's subscribers! n!Data Subject! Customer's personnel! n!
Data Subject!Social networks users and persons concerned! y!
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
CSA Italy Chapter - CCSCC
Caso d’uso = Cloud Profile 1: Social network services for Consumers
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
CSA Italy Chapter - CCSCC
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
CSA Italy Chapter - CCSCC
Caso d’uso = Cloud Profile 4: Professional using PaaS for technical processing
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
CSA Italy Chapter - CCSCC
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
Conclusioni• Analisi strategica delle proprie necessità
• Seria compliance • Adozione modello organizzativo adeguato• Informativa e Consenso trattamento dei dati
• Affidabilità del fornitore di servizi Cloud
• Analisi dell’offerta del fornitore di servizi Cloud• Controllo di gestione dei dati • Clausole di Way-Out
• Internet Service Provider
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
• Web: www.cloudsecurityalliance.it
• Email: [email protected]
• LinkedIn: Cloud Security Alliance, Italy Chapter
• Twitter: @CSA_Italy
CSA Italy Chpater - Info
Copyright © 2012 Cloud Security Alliance Italy Chapter www.cloudsecurityalliance.it
GRAZIE
Valerio Vertua
Legal & Privacy Director
+39 02 2664771
+39 06 92958839 +39 06 92941118 www.cloudsecurityalliance.it cloudsecurityalliance.org