La sicurezza di un servizio di CLOUD PUBBLICO è realizzata da diversi fattori:

  1. la sicurezza del data center che eroga il servizio
  2. la sicurezza delle procedure di accesso del personale del fornitore ai dati
  3. l'affidabilità del fornitore e dei processi di erogazione del servizio
  4. la sicurezza della connessione e del trasporto dei dati
  5. la sicurezza del device client con cui si visualizzano ed elaborano le informazioni presso i clienti

I servizi forniti da operatori pluricertificati come Microsoft, Google, IBM e Telcomitalia, hanno normalmente assolto gli obblighi di certificazione più comuni per operare in questo settore, senza cui non potrebbe essere proposto alcun servizio commerciale di gestione di dati e applicazioni di terzi sui propri data center.

E' da notare che mentre gli operatori professionali hanno aderito alle certificazioni, normalmente i  datacenter interni alle aziende non hanno altrettante certificazioni e la loro sicurezza dipende dalla scelta aziendale di investire o meno in modo adeguato per questo aspetto.

 

 

I punti 1, 2 e 3 sono normati dalle certificazioni che nel caso di Microsoft sono raccolte e descritte nel Trust Center e sono:

     ISO 27001: Lo  Standard ISO 27001: 2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione  (Information Security Management System - ISMS). Lo standard è stato creato e pubblicato nell'ottobre 2005 a fini certificativi, in modo da costituire, assieme alla sua linea guida ISO/IEC 17799:2005, un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione sostituisce la norma inglese BS 7799 - Information Security Management System ISMS, che sinora è stata la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni.

 

 Safe Harbor: L'Unione europea, attraverso la direttiva comunitaria sulla protezione dei dati, della privacy ha regole più severe di Stati Uniti e in molti altri paesi. Per far rispettare queste regole, l'Unione europea vieta in maniera generale i dati personali di attraversare le frontiere in altri paesi, eccetto in circostanze in cui il trasferimento è stato legittimato da un meccanismo riconosciuto, come il "Safe Harbor" certificazione descritto di seguito.
Per consentire il flusso continuo di informazioni richieste dal business internazionale, la Commissione Europea ha raggiunto un accordo con il Dipartimento del Commercio statunitense, che consentono a organizzazioni degli Stati Uniti può autocertificare la conformità ai principi Safe Harbor, che traccia liberamente ai requisiti della direttiva.
Per un business per trasferire legalmente dati dall'UE agli USA, la società statunitense o di altre organizzazioni devono certificare pubblicamente che si conformi ai principi di Safe Harbor, che allineano alle norme comunitarie in materia di privacy. Microsoft Online Services in grado di trasferire dati dall'UE agli Stati Uniti per il trattamento perché Microsoft è certificata Safe Harbor.

SAS 70 type 2: Dichiarazione sulle norme di revisione No.70 (SAS 70) è uno standard di audit redatto da American Institute of Certified Public Accountants (AICPA) ed è orientata verso le organizzazioni di servizio. Organizzazioni di servizi sono in genere soggetti che forniscono servizi di outsourcing che hanno un impatto sull'ambiente di controllo dei loro clienti. Esempi di organizzazioni di servizio sono crediti di assicurazione medica e di processori, ha ospitato centri dati, fornitori di servizi applicativi (ASP) e fornitori di sicurezza gestita. In vigore dal 15 GIUGNO 2011, SSAE 16 (Dichiarazione sulle norme per gli impegni di attestazione n. 16) sostituisce SAS 70 come standard per fornire una verifica indipendente della conformità con controllo di un'organizzazione di servizi. Entrambe le 70 verifiche SSAE 16 e SAS sono verifiche indipendenti del rispetto controlli di sicurezza e l'efficacia dei controlli di sicurezza. SAS 70/SSAE 16 audit vengono effettuati una volta all'anno. Il rapporto di verifica prodotto include un parere del controlli da parte terzi esterni. Maggiori informazioni riguardo agli standard e tipi di verifiche possono essere trovate sul www.aicpa.org

FISMA:La Federal InformationSecurity ManagementAct del2002 ("FISMA", 44 USC §3541,e segg.)È una legge federale degli Stati Uniti promulgata nel 2002 cometitolo III del regolamento E-Government Act del 2002 (Pub.L. 107-347, 116Stat. 2899). L'attoha riconosciuto l'importanzadella sicurezza delle informazioni per gli interessieconomici edi sicurezzanazionale degli StatiUniti. L'attodispone che ogni agenziafederaledi sviluppare, documentare e implementare unagenziaa livello diprogramma per fornire sicurezza delle informazioni per i sistemi che supportano le operazioni e le attività dell'agenzia, compresi quelli fornitio gestiti da un'altra agenzia, imprenditore, o altra fonte.
FISMA ha portatol'attenzione all'interno del governo federale perla sicurezza informatica ed esplicitamente sottolineato un "risk-based per la politica economica della sicurezza". FISMA richiede funzionari del programma di agenzia, il Chief Information Officer, e gli ispettorigenerali (IG) per condurre revisioni annuali.

Per quanto riguarda la sicurezza del trasporto il protocollo https garantisce la crittografia dei dati trasferiti ed è lo stesso che si utilizza negli accessi ai conti correnti online, mentre ovviamente il client da cui si accede deve essere protetto da filewall, antivirus ed antispam. Solo così si garantisce un buon livello di sicurezza nell'utilizzo dei srvizi di cloud computing pubblico.

Per saperne di più contattateci