I servizi di hosting trattano moltissimi dati personali, e questa è una materia molto delicata nell’epoca dei Big Data, che vede confluire verso i server grandissime quantità di informazioni di ogni genere a velocità estrema.
Negli ultimi anni si sono verificate molte circostanze che hanno messo in evidenza i rischi cui possano essere sottoposti i nostri dati se gestiti male. Potremmo pensare a:
- sfruttamento e rivendita di dati da parte di aziende;
- assoggettamento di dati personali a legislazioni straniere che offrono meno garanzie di riservatezza;
- perdita di dati a causa di malfunzionamenti, guasti hardware e mancanza di opportuni backup;
- furto di dati dovuti alle cosiddette data breach;
- divulgazione di dati personali ad opera di malware.
Questi sono solo alcuni dei gravi fatti di cui si è avuto notizia, ed Aruba si impegna ad offrire un servizio all’altezza delle esigenze tanto da poterlo classificare come GDPR Ready. Vediamo nel dettaglio cosa significa.
Cos’è il GDPR e come viene applicato
Con il termine GDPR (General Data Protection Regulation) si indica il Regolamento UE 2016/679 che determina tutte le norme concernenti il trattamento dei dati personali e la loro circolazione, venendo recepito dalla legislazione italiana mediante il D.Lgs. 10 agosto 2018, n. 101.
Quando diciamo che Cloud Hosting di Aruba Business è un servizio GDPR Ready, vogliamo evidenziare che è stato corredato di una serie di misure di protezione e sicurezza in buona parte rese possibili proprio dalle grandi potenzialità del Cloud che permette di realizzare rapidi scambi di informazioni tra data center lontani a livello geografico.
Gli spunti normativi di riferimento in tale ambito sono principalmente due: gli articoli 5 e 32 del GDPR intitolati, rispettivamente, “Principi applicabili al trattamento di dati personali” e “Sicurezza del trattamento”.
In Cloud Hosting tali principi prendono corpo in:
- Adozione di Certificati SSL: l’impiego di tale tipo di certificati risponde ad esigenze determinanti quali il contrasto alla lettura di frodo delle informazioni trasmesse e l’opposizione ad attacchi informatici;
- Hardware ridondato e replica asincrona: i dati non devono solo essere protetti ma anche ben custoditi. Per questo è necessario applicare principi di ridondanza per cui si generi almeno una copia di ogni dato memorizzato. Ciò va attuato sia a livello di singolo sistema facendo in modo che il guasto di un componente hardware non determini il blocco della macchina sia a livello generale attuando copie di sicurezza dei dati da un data center ad un altro. Quest’ultimo aspetto dimostra come servizi di questo genere attuati da grandi realtà distribuite nel territorio offrano maggiori garanzie di sicurezza mettendo i dati al sicuro da eventi naturali o disastri di vario genere;
- Backup giornaliero: si tratta di un qualcosa di fondamentale che completa quanto detto al punto precedente. Affinché si tragga davvero vantaggio dalle misure di sicurezza adottate è importante che tutti i documenti ed i dati salvati vengano regolarmente messi al sicuro;
- Rilevamento malware: si tratta di una delle maggiori minacce cui i dati sono sottoposti. Sotto il termine malware passa qualsiasi software malevolo (virus, worm, trojan, ransomware, etc.) che si insinua in maniera subdola a livello di sistema operativo sia passando attraverso dati sia sfruttando falle in applicativi come i più noti CMS. Tale battaglia si combatte mediante l’uso di appositi sistemi di prevenzione ma anche con l’aggiornamento dei sistemi operativi e l’individuazione costante delle vulnerabilità: tali minacce sono tanto più facili da debellare quanto più rapidamente si viene a conoscenza della loro esistenza e delle tecniche individuate per la risoluzione.
Aruba è tra l’altro un’azienda certificata secondo lo standard ISO 27001, aspetto che risulta determinante nell’assicurare che tutte le discipline applicate alla gestione dei dati rispondano alle leggi italiane ed europee. Chi usufruisce dei servizi offerti da Aruba è pertanto padrone dei propri dati, che saranno comunque trattati esclusivamente in data center italiani.
