L'articolo 32 del GDPR recita che il titolare deve "mettere in atto misure adeguate per garantire la sicurezza dei dati". In particolare, impone di garantire integrità, riservatezza, resilienza e disponibilità dei sistemi che gestiscono i dati. Nello stesso Regolamento, poi, è indicato come la conformità dei sistemi a certificazioni o codici di condotta particolari (come quelli sulla Business Continuity), attenui il rischio di data breach. Queste indicazioni dovrebbero spingere, quindi, il Titolare del trattamento a scegliere piattaforme tecnologiche e servizi che assicurino adeguati standard di sicurezza (meglio se oggetto di certificazioni), che gli permetteranno di poter dimostrare che la sua condotta è tesa a garantire la conformità al GDPR anche in caso di violazioni.

Il cloud offre, oggi, un'ampia varietà di strategie di protezione dei dati. Si parte dal Backup as a Service (BaaS), dove la nuvola rappresenta il target delle attività di replica sincrona o asincrona on demand, senza includere quindi risorse di elaborazione o di rete per il ripristino delle applicazioni. Si prosegue poi con il RaaS, il Recovery as a Service, dove si ricrea nella nuvola un ambiente funzionante che comprende oltre allo storage anche la rete e le capacità computazionali. Ma ci si può spingere fino al DRaaS (Disaster Recovery as a Service) dove alle funzionalità RaaS si aggiungono le attività di consulenza e i piani per il ripristino dell'operatività a seguito di un'interruzione non pianificata. 

 

GDPR: il valore di un'infrastruttura sicura

Un'infrastruttura IT altamente sicura è un buon punto di partenza per garantirsi la conformità al GDPR. Le offerte "as a service" non mancano, suddivise tra servizi cloud IaaS (Infrastructure as a Service) e Data Center Software Defined. La possibilità di utilizzare un'infrastruttura costantemente aggiornata e correttamente dimensionata, gestita da personale adeguatamente formato, permette all'organizzazione di minimizzare i rischi di potenziali interruzioni non pianificate e sgrava l'azienda da tutte le attività di aggiornamento e manutenzione, complicate e costose. I servizi cloud, però, non sono tutti uguali. Fondamentale rivolgersi a provider in grado di garantire la confidenzialità, l'integrità e la protezione dei dati, specie se si tratta di dati personali. E soprattutto, fondamentale rivolgersi a provider che operano attraverso strutture che risiedono sul territorio UE (meglio ancora, se in Italia, in ottemperanza alla direttiva 95/46/CE).
Ecco quali sono le certificazioni da privilegiare nella scelta del fornitore di servizi infrastrutturali:

  • ISO 9001: per la gestione della qualità
  • ISO 27001: per la gestione in sicurezza degli asset aziendali
  • ISO 27018: per la protezione dei dati personali nel cloud
  • Tier IV Uptime Institute: per la garanzia della massima ridondanza del data center, quella utile ad assicurare una disponibilità dei servizi pari al 99,995%, che corrispondono a 0,8 ore di interruzione l'anno
  • ANSI-TIA 942: per la garanzia della resilienza del data center, ovvero la sua capacità di assicurare la continuità dei servizi erogati
  • CSA STAR (Security, Trust & Assurance Registry): per la security assurance dei servizi cloud

Le certificazioni permetteranno al Titolare del trattamento di poter dimostrare di aver seguito i dettami imposti dal GDPR anche nel caso estremo in cui si verifichi un data breach.

GDPR e Backup as a Service (BaaS)

Le offerte BaaS (Backup as a Service) dei dati e delle applicazioni assicurano all'organizzazione una ripartenza rapida dell'operatività nell'eventualità infelice di un data breach. Nel BaaS il cloud viene utilizzato come infrastruttura di protezione dei dati da errori umani, disservizi dei sistemi IT o attacchi esterni. Il cloud backup è una procedura di salvataggio altamente efficiente e veloce, che permette di copiare (e, nel caso, ripristinare facilmente) i dati relativi a singoli file, macchine virtuali o interi sistemi IT aziendali con la garanzia delle migliori performance. La possibilità di conservare una replica dei record all'interno di un "datacenter" cloud altamente sicuro e ridondato senza dover sostenere i costi necessari per attrezzarlo permette alle organizzazioni di recuperare facilmente l'operatività anche nel caso di corruzione o perdita completa dello storage in produzione.
Così facendo ci si assicura anche la compliance al GDPR che, all'articolo 30, impone "la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico".

 

GDPR Business Continuity e Disaster Recovery as a Service (DRaaS)

È l'articolo 30 del GDPR (nel disciplinare la "sicurezza del trattamento") che fa riferimento alla possibilità di mettere in atto tutte le misure tecniche e organizzative adeguate per garantire "la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali". Il riferimento è, quindi, alla cosiddetta continuità operativa o Business Continuity, di cui il Disaster Recovery è un elemento essenziale.
Il Disaster Recovery rappresenta la capacità di ripristinare l'operatività dei sistemi IT anche nel caso in cui il data center aziendale sperimenti un'inattività, legata a errori umani, calamità naturali (incendi, terremoti, alluvioni) o attacchi intenzionali. Oggi questa opportunità è resa più accessibile ed economica grazie alle opzioni di Disaster Recovery nel cloud (DRaaS, Disaster recovery as a Service). Una tipologia di servizi che ha il vantaggio di essere estremamente granulare e personalizzabile, per cui ogni minimo dettaglio dell'offerta potrà essere deciso e creato in completa autonomia. Il provider, oltre a garantire la disponibilità di un piano operativo completo e preciso in caso di interruzione del servizio del data center principale, solitamente assicura anche la verifica periodica (attraverso attività di testing) dell'efficacia dei processi di Disaster Recovery, così che nulla sia lasciato al caso. La possibilità di sfruttare l'infrastruttura altamente sicura del cloud provider permette di salvare e proteggere i file e i dati (specie quelli personali, oggetto di una tutela "maggiorata" con il GDPR) contribuendo a garantire la compliance al GDPR.