Meta-navigazione

Informazioni base sui certificati cloud

Informazioni base sui certificati cloud

Che cosa deve offrire un provider cloud affidabile


I certificati cloud sono un indice di qualità e sicurezza. Ma solo audit regolari forniscono informazioni affidabili su tutti gli aspetti rilevanti, dalla gestione delle password al Disaster Recovery.


Testo: Urs Binder,




Fidati, ma ricontrolla. Questo detto russo è perfetto per quanto riguarda la sicurezza e l’affidabilità dei provider e dei servizi cloud. Prendiamo ad esempio un’impresa commerciale: I dati anagrafici e le operazioni dei clienti devono essere trattati in modo confidenziale e in nessun caso devono arrivare nelle mani sbagliate, altrimenti si perdono i clienti. I calcoli dei prezzi e gli accordi con i fornitori devono riguardare esclusivamente le parti coinvolte. Lo stesso vale per i dossier personali e i dati relativi ai salari. Non può succedere che i sistemi informatici non funzionino per giornate intere o che i dati vadano persi. I sistemi informatici sono troppo importanti per l’azienda


Naturalmente tutto questo vale anche se i sistemi sono ospitati nel centro di calcolo aziendale interno. Chi tuttavia affida il suo IT completamente o in parte al cloud, ha bisogno della garanzia che anche il provider abbia adottato tutte le misure necessarie in termini di sicurezza informatica, protezione dei dati e disponibilità dei sistemi.


Certificazione dei centri di calcolo e dei servizi cloud

I certificati forniscono una prova dell’affidabilità dei provider dei servizi cloud, dei loro centri di calcolo e dei singoli servizi cloud. Quattro esempi:

 

  • «Star Audit ECSA» e «Star Audit Swiss» con caratteristiche aggiuntive specifiche per la Svizzera di eurocloud.org. Al momento, tuttavia, il sito web ECSA elenca soltanto pochi provider certificati.
  • Il certificato «Trusted Cloud» di TÜV Rheinland conferma che è stata superata una lunga serie di test su tutti gli aspetti rilevanti. Noti provider SaaS come Salesforce.com oppure box.com sono certificati.
  • Il certificato Tier IV dell’Uptime Institute, considerato il massimo riconoscimento di qualità al mondo, garantisce la disponibilità, l’efficienza e la sicurezza dei centri di calcolo. Il data center di Swisscom a Wankdorf è stato il primo in Svizzera a ricevere questo certificato nel 2014.
  • Per le piattaforme PaaS come Swisscom Application Cloud esiste un certificato della Cloud Foundry Foundation.

 

Queste certificazioni considerano norme e disposizioni per diversi settori di progettazione e funzionamento dei centri di calcolo, integrate da caratteristiche e controlli specifici per il cloud in termini di affidabilità e funzionalità.


Tuttavia i certificati si riferiscono sempre e solo a un momento specifico, non forniscono una sorveglianza continua dei sistemi e dei servizi e non tengono conto dei singoli clienti, dei servizi forniti e delle esigenze individuali.



Tobias Langbein

Tobias Langbein, Security Architect nel Swisscom


Trasparenza e visibilità

Quello che aiuterebbe davvero i clienti cloud, sarebbero però degli audit regolari, sostiene Tobias Langbein, Security Architect di Swisscom: «L’obiettivo è dare al cliente trasparenza e visibilità su tutte le caratteristiche di sistema.» Il provider che può fornirle offre alla clientela un duplice vantaggio: «Il cliente si convince della qualità e dell’adeguata realizzazione dei servizi e delle misure di sicurezza. E con la certificazione e i report può dimostrare di soddisfare i propri obblighi di diligenza.


Come provider di servizi cloud, Swisscom poggia su quattro pilastri:

  • Tutta l’azienda è certificata ISO 27001: questa norma garantisce la presenza e il mantenimento di un Information Security Management System documentato e descrive in che modo i criteri di sicurezza vengono valutati e trattati.
  • Un report esterno sulle infrastrutture secondo SOC2/ISAE3402: un sistema di controllo verifica e documenta regolarmente diversi aspetti, quali l’esecuzione di backup e l’assegnazione dei privilegi di amministratore. Alla fine del periodo di reporting il cliente riceve il rapporto da uno dei revisori dei conti «Big 4», che valutano il sistema di controllo e le misurazioni effettuate in modo indipendente.
  • Il Business Continuity Report, anch’esso prodotto da un audit esterno: dimostra l’attuazione di misure di Disaster Recovery per le applicazioni particolarmente critiche per l’attività. In questo modo al cliente viene dato conto del rispetto delle caratteristiche prestazionali promesse, ad esempio il tempo necessario per il ripristino del servizio in caso di guasto o la durata massima di una perdita di dati.
  • Il Security Reporting informa sulla sicurezza dei Managed Services, concentrandosi in particolare sul patch management, sulle misure anti malware e sull’hardening dei sistemi. Il cliente ha la garanzia che i Managed Services siano gestiti con la massima sicurezza possibile.





Cloud & Data Center Services


Siamo pronti ad affiancarvi con le nostre eccellenti soluzioni IT per Data Center e Cloud.

 

Vai all'offerta




Maggiori informazioni