Il 26 Giugno sono state presentate dalla Commissione Europea le “New guidelines to help EU businesses use the Cloud”, aventi lo scopo di fornire un aiuto e un supporto per le imprese che intendano avvalersi di servizi in cloud.
E’ noto infatti che, nonostante la consapevolezza dei profili di criticità legati ai servizi in cloud, spesso le imprese (e soprattutto le PMI) non hanno una forza contrattuale tale da poter negoziare le clausole proposte dai fornitori, il cui contenuto talvolta non è definito in modo chiaro e non comprende, o considera solo in modo superficiale, aspetti invece centrali per la gestione del servizio, quali ad esempio quelli legati alla sicurezza o alla disponibilità dei dati immessi nei sistemi in cloud.
Ma non solo. Talvolta, nel considerare i servizi offerti dai diversi fornitori, si riscontrano differenze di varia natura nei contenuti dell’accordo proposto, che investono perfino la terminologia adoperata, generando in tal modo difficoltà notevoli per l’impresa interessata al servizio che intenda effettuare una comparazione delle soluzioni presenti sul mercato.
Proprio per tale motivo, al fine di superare detti limiti, far accrescere la fiducia delle imprese e agevolare la loro scelta nella fase di valutazione dei servizi, sono state elaborate, peraltro anche con la partecipazione di alcune società che operano nel settore, le Linee Guida in esame, in cui viene espressamente indicato, come strumento da adottare per raggiungere gli obiettivi perseguiti, quello della standardizzazione dei Service Level Agreements (SLA), ossia di quella parte del contratto in cui vengono definiti gli aspetti tecnici e giuridici relativi al servizio offerto.
In particolare, un primo aspetto di rilievo affrontato nel documento presentato dalla Commissione, è legato alla necessità di predisporre i Service Level Agreements con un linguaggio chiaro, comune, accessibile a livello globale, che segua le evoluzioni tecnologiche delle soluzioni innovative proposte, rivolte, appunto, ad un “pubblico globale”, cui deve essere garantita la possibilità di confrontare i diversi servizi offerti. Così, al punto 2 delle Linee Guida, intitolato “Cloud SLA Vocabulary” vengono fornite le definizioni di importanti concetti in materia di cloud, cui i fornitori dovranno attenersi e ai quali le imprese potranno far riferimento in sede di valutazione e scelta del servizio cloud di interesse.
L’utilizzo di terminologia comune nei Cloud Service Legal Agreements è solo uno degli aspetti considerati. Ed infatti, nelle Linee Guida, si evidenzia che, sempre al fine di garantire una facile comparazione dei diversi servizi offerti ed accrescere la fiducia delle imprese interessate ad aderirvi, si rende necessario considerare e descrivere all’interno dei Service Level Agreements alcuni elementi fondamentali, quali: la disponibilità e l’affidabilità dei servizi cloud, la qualità dell’assistenza fornita dal provider dei servizi, l’ottimizzazione della gestione dei dati conservati in cloud, i livelli di sicurezza.
I profili analizzati hanno certamente notevole rilievo perché le Linee Guida, nell’indicare gli elementi che dovranno essere ricompresi all’interno dei SLA, precisano altresì i criteri e le specifiche che dovranno essere considerati.
A tal proposito, ad esempio, in ordine alla gestione dei dati, le Linee Guida contengono specifiche indicazioni in ordine alle operazioni di cancellazione (che dovranno interessare tutti i server in cui i dati siano stati conservati, dovendosi infatti garantire la totale eliminazione di ogni file riferito all’utilizzatore del servizio una volta cessata la finalità perseguita) ed ai profili del trasferimento dei dati all’estero (per cui si richiede al fornitore di indicare nel dettaglio il luogo di allocazione dei server utilizzati per offrire il servizio, così da consentire all’impresa di effettuare le opportune valutazioni).
I requisiti e gli aspetti esaminati sono solo alcuni di quelli che dovranno essere considerati in fase di redazione dei Cloud Service Level Agreements, in base ai criteri e alle specifiche espressamente indicati nelle stesse Linee Guida, alcuni dei quali dovranno comunque essere valutati avendo riguardo al servizio cloud concretamente offerto.
In attesa del prossimo passo, ossia quello di testare le indicazioni contenute nel documento presentato dalla Commissione con le aziende e, in particolare, con le piccole e medie imprese interessate ai servizi cloud, deve certamente ritenersi positiva l’iniziativa che ha condotto all’elaborazione delle Linee Guida esaminate. Linee Guida che, secondo quanto espressamente dichiarato dal Vice Presidente della Commissione, Viviane Reding, “accresceranno la fiducia delle aziende e dei cittadini europei nei nuovi servizi di cloud”, potendosi pertanto rinvenire quello stesso spirito che guida altre iniziative europee, quale quella della riforma in materia di protezione dei dati personali attraverso l’adozione del Regolamento Europeo, ancora in fase di approvazione.
Pubblicato su IP Security Magazine n. 12 Giugno 2014 e su A&S Italy n. 28 Agosto 2014