Cloud computing. Lecito. Il lato chiaro della nuvola.

Nelle discussioni di questi giorni, nei titoli di articoli di portali e riviste online e negli incontri non ultimo quello di ieri a Milano uno dei problemi principali e inibitori dell'adozione del Cloud sembra essere il tema della privacy dei dati.

Appena arrivato al 1st Global Cloud Computing organizzato da Business International Francesco Pizzetti, presidente dell'Autorità garante della privacy ha ben rappresentato che i nostri dati, una volta affidati a servizi cloud, sono archiviati in computer lontani, in altri paesi e che questo pone un problema di tipo giuridico.

Chi adotta servizi erogati nel Cloud deve analizzare i rischi e le garanzie contrattuali che il Cloud Solution Provider prevede.  

Me è proprio vero che il Cloud computing è illecito? Che la nuvola ha un lato oscuro? 

Come è possibile bilanciare i benefici del Cloud in termini di velocità, innovazione e costo con il rischio e il dovere di gestire la privacy e garantire i terzi e noi stessi rispetto le informazioni che archiviamo - mail, documenti, file - su servizi nella nuvola?

Vi consiglio di leggere con attenzione il post che bene sintetizza il quadro attuale direttamente da http://www.iavvocato.eu/?p=510#25. Giusto per evitare il vecchio problema del gioco del telefono. 

Sicuramente se state valutando un servizio nella nuvola può essere un rifermento. Un Post che aiuta a comprendere il problema della Privacy e a scegliere con maggiore sicurezza il Cloud che garantisce i propri utilizzatori.

E' ben chiaro che una delle domande da porsi è: il Cloud Solution Provider (i.e. Google, Amazon, Dropobox,...) conserva i miei dati fuori dalla UE? Se la risposta è positiva prima di cominciare a valutare l'offerta è necessario verificare se ha sottoscritto Safe Harbour.

Perchè Safe Harbour? La decisione adottata dalla Commissione europea la quale individua un livello di protezione adeguato a quello vigente nell’ambito dell’Unione Europea in Paesi terzi ai fini della tutela della vita privata o dei diritti e delle libertà fondamentali della persona deve essere esplicita e documentata. Ad oggi la stessa Commissione ha reputato di poter esprimere un giudizio positivo di adeguatezza nei confronti di Australia, Canada, Argentina, Ungheria, Svizzera, Isola di Man, Guernsey e Stati Uniti limitatamente al programma Safe Harbor.

La Camera di commercio americana mette a disposizione un link al quale è possibile verificare quali aziende sono in regola e dunque “affidabili” sotto il profilo della tutela della privacy Europea.

Verificato questo requisito le altre parole chiave su cui ruota la scelta dal punto di vista della sicurezza sono: Certificazione e sicurezza dei DataCenter, Riservatezza dei dati, Localizzazione dei dati, Data Liberation, Trasparenza.

Ovviamente la risposta non è sempre scontata. 

Per esempio Google non dichiara dove i dati degli utenti vengono conservati. Dalla Security White Paper si può verificare che il Google File System (GFS) nella sua architettura prevede che la singola informazione (mail, docs, contact) venga distributita su sistemi presenti su più Datacenter. In Europa è presente solo un datacenter di Google in Belgio (St Ghislain, Belgium) e quindi sicuramente i dati degli utenti dei propri servizi vengono trasferiti negli altri datacenter americani (Berkeley County, SC, Council Bluffs, IA, Lenoir, NC, The Dalles, OR). I servizi di Google sono utilizzabili perchè Google ha sottoscritto Safe Harbour.

Amazon permette di decidere in quale Datacenter attivare i propri server. E' quindi il cliente a decidere se mantenere le informazioni in Europa o in altri continenti. Qualora si decida di creare una infrastruttura che utilizzi sia i datacenter Europei che quelli Americani per esigenze tecniche è possibile perchè Amazon ha sottoscritto il SafeHarbour. 

DropBox pur utilizzando i server Amazon non permette di scegliere in quale datacenter i dati possono essere salvati. DropBox non ha sottoscritto SafeHarbour.