Il 25 maggio 2018 è entrato in vigore in tutti i Paesi dell’Unione Europea il GDPR, cioè il General Data Protection Regulation. Trattasi di un nuovo regolamento sulla protezione dei dati che mette al centro la sicurezza delle persone, ne riconosce il diritto all’oblio e le informa in maniera chiara, esaustiva e trasparente sul trattamento delle loro informazioni.
L’obiettivo del nuovo regolamento è quello di armonizzare le diverse direttive europee attraverso regole precise su come mantenere e conservare i dati. Il GDPR prevede anche l’istituzione di una nuova figura aziendale, il Data Protection Officer, che avrà il compito di gestire queste dinamiche.
Prima che il GDPR entrasse effettivamente in vigore, diverse associazioni ed organizzazioni di service provider avevano tentato di anticipare la regolamentazione in termini di sicurezza e protezione dei dati.
Tra queste c’è sicuramente il CISPE di cui Aruba è uno dei fondatori al cui interno si possono trovare oltre 20 dei maggiori provider internazionali che si occupano di Cloud. Il CISPE ha redatto un Codice di Condotta che ha quindi già previsto degli aspetti che poi sono stati riproposti con l’entrata in vigore del GDPR.
Un Codice di Condotta che nella sostanza rispecchia gli obiettivi del regolamento europeo e cioè ridare ai cittadini il controllo dei loro dati personali. Realtà come ARUBA, dunque, non effettuano il data mining o tracciare i profili dei clienti per attività di marketing o altri scopi.
Aruba, quindi, già prima dell’entrata in vigore del GDPR, ha potuto garantire ai suoi clienti la massima sicurezza in materia di trattamento dei dati. I servizi cloud che rispettano queste norme sono identificati dal marchio di garanzia “CISPE service-declared”, che permette di testimoniare ai clienti la garanzia su come sono trattati i loro dati e che i data center si trovano all’interno dei confini dell’Unione Europea.
Il network di Aruba offre ai clienti la possibilità di scegliere tra 3 data center in italia e altri 5 in Europa (Francia, Germania, Repubblica Ceca, Regno Unito e Polonia). I clienti che cercano un’infrastruttura cloud sicura e rispettosa delle nuove normative possono quindi attivare i loro servizi nei data center che desiderano. Saranno i clienti, infatti, a scegliere in quali Paesi debbano essere localizzati e mantenuti i propri dati.
Aruba è, inoltre, una S.p.A. con sede in Italia. Dunque, tutti i dati anagrafici ed amministrativi sono gestiti esclusivamente all’interno del Paese in base alle leggi italiane ed europee vigenti.
A rimarcare l’affidabilità delle infrastrutture cloud di Aruba è la certificazione ISO 27001 che certifica il rispetto di precisi standard di sicurezza nella gestione dei dati e l’alto livello di sicurezza delle infrastrutture.
Servizi Aruba Cloud in ottica GDPR
Aruba offre ai suoi clienti una serie di soluzioni per garantire la sicurezza del trattamento dei dati personali degli utenti come previsto dall’articolo 32 del GDPR. Regolamento che obbliga a garantire integrità, resilienza e disponibilità dei sistemi. In ambito cloud, l’azienda offre diverse soluzioni “GDPR Ready”: Cloud Backup, Disaster Recovery e Business Continuity.
Cloud Backup
Trattasi di un servizio che offre ai clienti la possibilità di creare backup automatizzati e rispondere alle specifiche misure di sicurezza in base alle normative previste dal GDPR (art. 4, comma 12 e art. 5, comma 1, par. f) ed in conformità a quanto previsto anche dal CISPE.
Tutti i backup sono programmabili con cadenza oraria, giornaliera, settimanale o in base ad orari personalizzati. I dati saranno mantenuti sempre all’interno del data center di riferimento con accesso esclusivo dal proprio account di backup. Il trasferimento dei dati avviene attraverso un canale cifrato SSL per evitare la divulgazione non autorizzata o l’accesso ai dati personali trasmessi. Il dato contenuto sullo storage è protetto attraverso un sistema di cifratura AES-256 per garantire un’adeguata sicurezza dei dati personali.
Disaster Recovery as a Service
Trattasi di un servizio che permette di proteggere la propria infrastruttura sia all’interno della propria azienda che sul Cloud di Aruba. In sostanza, questo servizio permette di creare repliche dei dati per proteggerli come previsto dal GDPR (art. 32, comma 1, paragrafi b, c, d).
I clienti potranno gestire questo servizio attraverso un pannello web che permette di accedere ai server attraverso una connessione sicura. I clienti potranno, poi, creare piani e politiche di Disaster Recovery selezionando il sito primario (sorgente) e il sito secondario (destinazione) a scelta tra le infrastrutture virtuali VMware on-premise o i Data Center della società abilitati al Private Cloud.
Sono tre i cardini principali di questo servizio: “resilienza”, “ripristino” e “live test”. Aruba garantisce ridondanza degli storage su data center diversi dell’infrastruttura Private Cloud per garantire la resilienza dei sistemi e dei servizi di trattamento. La società garantisce anche il passaggio del workload di produzione nel sito di disaster recovery in pochi secondi per ripristinare tempestivamente la disponibilità e l’accesso ai dati personali. Infine, Aruba offre anche la possibilità di lanciare test con tentativi di recupero da disastro per valutare regolarmente l’efficacia delle misure tecniche e organizzative.
Business Continuity
I clienti Aruba possono fare affidamento su di un network europeo di data center che consente di organizzare i processi di Disaster Recovery e di continua operatività per far fronte ad ogni tipo di eventualità, come previsto dalla normativa del GDPR (art. 32, comma 1 – art. 32, comma 1, paragrafo c – art. 32, comma 2).
Tutti i data center italiani, infatti, sono ridondanti in fibra ottica e sono previste interconnessioni multiple tra i data center europei dell’infrastruttura private Cloud. Sono previste, inoltre, procedure di ripristino preparate preventivamente in base al livello del servizio richiesto e ai rischi presentati dal trattamento dei dati personali. Infine, la società prevede interventi di ripristino configurabili in base alle specifiche condizioni del contesto e della finalità del trattamento, oltre alle esigenze infrastrutturali di ogni singolo cliente.