Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Guida alla conformità al GDPR per container e cloud

Chi in passato si è occupato di progettare o gestire ambienti cloud in qualunque modo, conoscerà probabilmente molto bene il regolamento generale per la protezione dei dati  o GDPR. Il GDPR, entrato in vigore nel 2018, è stato uno dei quadri di conformità più importanti e più recenti ad essere pubblicato. Come tale, è stato pensato espressamente tenendo conto del cloud computing, a differenza dei quadri di conformità precedenti (come l’HIPAA e il PCI DSS).

Il GDPR, ovviamente, non impedisce alle imprese di eseguire workload nel cloud, ma stabilisce una serie di regole che esse devono seguire per ospitare applicazioni o dati nel cloud. In questo articolo, spieghiamo cosa comporta il GDPR per il cloud computing, quali aziende devono rispettare i suoi requisiti e come proteggere gli ambienti cloud promuovendo la conformità al GDPR.

Cos’è il GDPR?

Il GDPR è un regolamento dell’Unione europea pensato per proteggere i diritti alla privacy digitale. Regola il modo in cui le aziende archiviano e trattano i cosiddetti “dati personali,” definiti nell’articolo 4 come:

Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Dove si applica il GDPR?

Sebbene il GDPR sia un regolamento dell’Unione europea, presenta vaste implicazioni per le aziende in tutto il mondo.

Ciò avviene perché il GDPR si applica a tutte le imprese che raccolgono o trattano dati personali di residenti nell’UE, indipendentemente dal fatto che esse abbiano sede all’interno o all’esterno dell’UE o che utilizzino o meno infrastrutture basate nell’Unione per archiviare o trattare i dati personali. Se un sito web è ospitato su un server in California o se si esegue una app SaaS da un data center in Giappone, si potrebbe comunque essere soggetti al GDPR se alcuni residenti UE utilizzano il sito o la app nonostante l’azienda di riferimento non sia presente nell’Unione europea.

È inoltre importante osservare che, diversamente da altri quadri di conformità, il GDPR non prevede esenzioni per le piccole imprese. Si applica a tutte le entità, a prescindere dalle loro dimensioni. Semplifica alcune procedure di conformità per le aziende con meno di 250 dipendenti, tuttavia non le esenta dai requisiti chiave.

Quali sono i requisiti previsti dal GDPR?

Il testo completo del GDPR è abbastanza lungo. Tuttavia, i suoi punti chiave, riepilogati nell’articolo 5, si riassumono in sette principi chiave da rispettare quando si archiviano o si trattano dati personali:

  • Liceità, correttezza e trasparenza: Le aziende devono dichiarare in modo trasparente come utilizzano i dati personali e devono gestirli secondo modalità che il GDPR considera ragionevoli in base alla legge vigente.
  • Limitazione della finalità: Le aziende devono utilizzare i dati per finalità specifiche e limitate, non possono raccogliere i dati personali e archiviarli in modo indefinito o per nessuna ragione.
  • Minimizzazione dei dati: Le aziende devono limitare la raccolta dei dati personali al minimo necessario per raggiungere i propri obiettivi commerciali.
  • Esattezza: Le aziende devono impegnarsi a garantire che i dati che raccolgono e archiviano siano esatti e devono offrire ai propri utenti la possibilità di correggerli se non accurati.
  • Limitazione della conservazione: Le aziende non devono conservare i dati personali per un tempo superiore al necessario.
  • Integrità e riservatezza (sicurezza): Le aziende devono adottare tutte le ragionevoli misure di sicurezza per evitare l’abuso o l’accesso non autorizzato ai dati personali.
  • Responsabilizzazione: Le aziende devono essere in grado di dimostrare la loro aderenza ai principi del GDPR.

Sebbene questi principi definiscano il come del GDPR, il GDPR stesso non è molto specifico sul come tali principi debbano essere applicati. Ad esempio, non indica esattamente per quanto tempo le organizzazioni possono conservare i dati, ma si limita a stabilire il principio di una limitazione ragionevole della loro conservazione. Allo stesso modo, non specifica esattamente in che modo bisogna proteggere gli ambienti che contengono i dati sensibili, si limita ad affermare che le organizzazioni devono adottare tutte le misure ragionevoli per proteggerli.

Quindi, il GDPR lascia di fatto alle organizzazioni il compito di determinare in che modo i principi debbano essere tradotti nella pratica. Le migliori prassi per la conformità al GDPR, dunque, variano notevolmente da azienda ad azienda, in base ai tipi di workload che utilizzano. 

Cosa comporta la non conformità al GDPR?

Il GDPR è piuttosto chiaro sulle sanzioni per la mancata conformità. Possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo di un’impresa, a seconda di quale cifra sia maggiore. È bene osservare che tali sanzioni vengono imposte per ogni caso di inosservanza, il che vuol dire che un’impresa potrebbe trovarsi a pagare più volte se i regolatori rilevano più casi di non conformità.

Tuttavia, le sanzioni previste dal GDPR vengono valutate in base alla gravità della non conformità ed è possibile applicare sanzioni minori. Dal momento che il GDPR è ancora piuttosto recente, le sanzioni sono state applicate in un numero limitato di casi, quindi non è possibile al momento dimostrare quanto incidano le sanzioni in base alle diverse circostanze specifiche. Comunque, si è già verificato qualche caso eclatante, come la multa di 636 milioni di euro comminata ad Amazon.

Migliori prassi per la conformità al GDPR

Dal momento che il GDPR non indica in modo specifico come debbano essere applicati i suoi principi, non esistono regole immediate che consentano di ottenere e gestire un ambiente cloud conforme. Tuttavia, ecco alcune migliori prassi standard da seguire.

Utilizzare un cloud conforme al GDPR

Innanzi tutto, è bene assicurarsi che il provider del cloud gestisca la propria infrastruttura in maniera conforme alle disposizioni del GDPR. Tutti i principali cloud assicurano la conformità di molti loro servizi, quindi questo non dovrebbe rappresentare un problema, seppure sia sempre meglio fare qualche ricerca per stabilire se il provider in questione abbia avuto problemi di conformità nel passato.

Rendere anonimi i dati

Anche se l’anonimizzazione dei dati archiviati o trattati nel cloud non garantisce che i dati personali non verranno esposti agli accessi non autorizzati, questa è una migliore prassi per mitigare il rischio di problemi di conformità con il GDPR.

Utilizzare policy durante tutto il ciclo di vita dei dati

Molti cloud pubblici forniscono strumenti di gestione del ciclo di vita in grado, ad esempio, di eliminare automaticamente i dati dopo un certo tempo. È bene valutare l’utilizzo di questi strumenti per applicare il principio di limitazione della conservazione del GDPR senza dover ricorrere a processi di eliminazione manuali.

Crittografare i dati nel cloud

Crittografare i bucket di archiviazione, i database e altri archivi sul cloud è una migliore prassi che consente di mitigare il rischio di esposizione dei dati personali. Si potrebbero anche crittografare le connessioni di rete che trasferiscono i dati sensibili e limitare la loro portata di trasferimento all’interno dell’ambiente cloud o tra il cloud e ubicazioni esterne.

Applicare tag e classificare le risorse cloud

È possibile utilizzare i sistemi di assegnazione di tag o di etichette offerti dal provider del cloud per classificare e organizzare le risorse. Sebbene il mancato utilizzo di questi strumenti non rappresenti un problema di conformità, i tag possono ridurre il rischio di archiviazione o elaborazione accidentale dei dati sensibili in un punto dell’ambiente cloud, che può rappresentare un serio problema su ambienti cloud molto estesi condivisi da più utenti o team.

Applicare il controllo degli accessi al cloud

È possibile utilizzare gli strumenti IAM offerti dal provider cloud per limitare quali utenti, applicazioni e servizi possono accedere ai dati personali nel cloud. Ugualmente, è possibile scansionare automaticamente le configurazioni IAM per rilevare sviste che potrebbero portare ad accessi non autorizzati, quali regole IAM che consentono a chiunque su Internet di visualizzare dati che non dovrebbero essere pubblici.

Conformità dei container al GDPR

Le prassi descritte si applicano teoricamente a qualunque tipo di workload basato sul cloud. Tuttavia, esistono alcuni aspetti aggiuntivi da considerare quando si lavora in ambienti basati su container.

Scansione delle immagini dei container

La scansione delle immagini dei container aiuta a individuare malware, vulnerabilità e altri rischi potenzialmente presenti sulle immagini dei container. Se si eseguono container, la loro scansione fa parte dei controlli di sicurezza ragionevoli che devono essere effettuati per garantire la conformità al GDPR.

Registri di controllo

Se si utilizza Kubernetes, è possibile sfruttare i suoi registri di controllo per rilevare potenziali problemi di sicurezza in un ambiente containerizzato. I registri di controllo possono aiutare a dimostrare l’adempimento delle proprie responsabilità come richiesto dal GDPR. Potrebbero anche essere considerati un controllo di sicurezza di base che un’impresa è tenuta ad applicare.

Gestione dei dati nei container

Gestire i dati personali può rivelarsi particolarmente impegnativo quando si lavora con i container. In alcuni casi, i dati personali potrebbero prima esistere all’interno dei container e poi potrebbero essere spostati in un luogo esterno, ad esempio un volume di archiviazione di Kubernetes. È importante crittografare i dati personali che passano attraverso i diversi livelli dell’infrastruttura di un container. Bisognerebbe inoltre crittografare e proteggere le connessioni di rete tra container e microservizi, ad esempio utilizzando strumenti quali le service mesh.

Strumento RBAC per i container

Mentre gli strumenti IAM sono utili per applicare controlli degli accessi generici sull’ambiente, mancano della granularità di strumenti quali RBAC di Kubernetes e i contesti di protezione per rendere sicuri i container in modo specifico. È necessario sfruttare qualunque strumento specifico per il controllo degli accessi ai container disponibile per l’ambiente in uso al fine di aumentare la conformità al GDPR.

Conclusione

Sebbene il GDPR abbia enormi implicazioni relative al modo in cui le imprese in tutto il mondo utilizzano il cloud e i container, rispettare le sue regole è fattibile. Per fare questo, è necessario comprendere i principi di conformità e sicurezza che il GDPR vuole applicare e poi determinare quali strumenti e quali prassi è possibile adottare in un ambiente specifico per soddisfare i requisiti del GDPR.