Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud
-
Upload
fondazione-cuoa -
Category
Technology
-
view
649 -
download
0
description
Transcript of Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud
Avv. Cristina [email protected]
Avv. Alberto [email protected]
23 maggio 2011
Orientarsi tra i contratti cloud
I contratti dei fornitori
• Contratti per adesione– personalizzazione tramite scelta dei servizi
• Matrice americana– limitazioni di responsabilità e garanzie– limitazioni di responsabilità e garanzie
– legge applicabile
• Contratti con i rivenditori vs clienti finali– responsabilità del rivenditore in assenza di garanzie “back to back”
• Contratti “B2B” e accordi con i consumatori
2avv. Cristina Franchi - avv. Alberto Rigoni
I problemi chiave
• Sicurezza
• Privacy
• SLA e continuità di servizio
• Reversibilità e fine del contratto • Reversibilità e fine del contratto
3avv. Cristina Franchi - avv. Alberto Rigoni
La struttura degli accordi cloud tra il grande La struttura degli accordi cloud tra il grande
operatore e il cliente
• Ordini
• Contratti
• White Papers
• Policies
• Policies e White Papers possono fare parte integrante dei contratti (ma non sempre!)
• Policies e White Papers possono fare parte integrante dei contratti (ma non sempre!)
• Gerarchia tra le fonti contrattuali
• Chi è il cliente?– rivenditore
– impresa
– consumatore
4avv. Cristina Franchi - avv. Alberto Rigoni
Informazioni sugli esempi utilizzati
• Gli esempi utilizzati sono tutti tratti da materiale
pubblicamente disponibile in Internet, ma:
� le clausole sono state sintetizzate ed estrapolate dal
contesto ai fini di presentazione; per valutarne con contesto ai fini di presentazione; per valutarne con
precisione la portata bisogna leggere tutto il
contratto a cui si riferiscono
� potrebbero non essere corrispondenti alle versioni
attualmente disponibili in rete
5avv. Cristina Franchi - avv. Alberto Rigoni
La struttura degli accordi: il caso più
frequente
Le disposizioni più specifiche prevalgono su
quelle più generali
– AWS Service Terms prevalgono su AWS Customer
Agreement in caso di conflittoAgreement in caso di conflitto
– i Termini Ulteriori prevalgono su quelli Universali
nei Termini di Servizio Google
– il Contratto Online Google Apps prevede che gli
ordini prevalgano sul contratto e condizioni
reperibili negli URL
6avv. Cristina Franchi - avv. Alberto Rigoni
La struttura degli accordi: altre soluzioni
• Il Contratto Online Google Apps for business
prevede anche che il contratto cartaceo prevalga
su quello online
• Contratto Google Apps: le condizioni di contratto • Contratto Google Apps: le condizioni di contratto
e qualsiasi URL citato prevalgono su ogni altro
documento inclusi gli ordini di acquisto
• Microsoft Azure Online Subscription: convivenza
di più contratti che compongono l’accordo senza
una gerarchia definita
7avv. Cristina Franchi - avv. Alberto Rigoni
Sicurezza
• Conservazione e integrità dei dati
• Accessibilità (continuità di servizio)
• Condivisione degli spazi di archiviazione
• Protezione dalle intrusioni esterne• Protezione dalle intrusioni esterne
• Protezione dalle intrusioni “interne”
• Cancellazione dei dati
• Condivisione delle responsabilità tra fornitore e cliente (back-up)
8
Security Policies: Google
Google Security White Paper
• Archiviazione con modalità distribuita
• Impegno alla sicurezza tramite 10 componenti
strategiche tra le quali:strategiche tra le quali:
– classificazione e archiviazione dei dati per data
chunks
– team dedicato per la sicurezza organizzativa
– valutazione di richieste di disclosure
9
Security Policies: Amazon
Web Service Risk and compliance; Security and compliance center
• Enfasi su certificazioni ISO e audit interni e dichiarata volontà di continuo aggiornamento
I controlli forniscono “ragionevole assicurazione” • I controlli forniscono “ragionevole assicurazione” su diversi aspetti tra i quali:
– esistenza di procedure per minimizzare gli effetti dei malfunzionamenti
– integrità dei dati
– accesso logico e fisico limitati nei casi di condivisione
10
Security Policies: Microsoft Azure
Panoramica tecnica delle funzionalità di protezione della piattaforma Windows Azure
• Piattaforma progettata con più livelli di difesa per contenere il rischio in caso di guasto di un meccanismo di protezionemeccanismo di protezione– router di filtraggio
– firewall
– protezione crittografica dei messaggi
– gestione delle patch di protezione del software
– monitoraggio
– segmentazione della rete
11
Responsabilità: impegni contrattuali
• Generalmente esclusi i danni indiretti e la perdita di profitti o di danno all’immagine
• Google Apps: in nessun caso la responsabilità supererà i 500$
• Online Google Apps for business: importo massimo pari a quello pagato dal Cliente nei 12 mesi precedenti all’eventoquello pagato dal Cliente nei 12 mesi precedenti all’evento
• AWS Customer Agreement: responsabilità del gruppo Amazon limitata all’importo pagato dal Cliente negli ultimi 12 mesi
• Microsoft Online Subscription: compatibilmente con la legge applicabile, responsabilità limitata all’importo pagato durante il periodo della licenza o negli ultimi 12 mesi prima della proposizione del reclamo
12
Co-responsabilità del cliente
• Il cliente è generalmente responsabile per:
– riservatezza della password e dell’account
– la designazione dei dipendenti autorizzati all’accesso e i limiti dell’autorizzazione
– sicurezza, protezione e backup dei dati– sicurezza, protezione e backup dei dati
– eventuale uso della crittografia
• Anche il cliente condivide la responsabilità di cercare di minimizzare le probabilità del danno e i suoi effetti
• Assicurazione?
13
Privacy
• Le responsabilità del titolare dei dati nei
confronti degli interessati
• Dati gestiti da terzi o trasferiti all’estero
• Safe Harbour e Model Clauses• Safe Harbour e Model Clauses
• Cancellazione dei dati a fine contratto
14avv. Cristina Franchi - avv. Alberto Rigoni
La nuova proposta di Regolamento UE
• Tendenza all’uniformità nell’UE
• Notifica a una sola autorità nazionale
• Maggiore responsabilità e obbligo di report per chi tratta i datichi tratta i dati
• Diritto alla portabilità (facilitata) dei dati
• Il responsabile deve notificare i casi di violazione all’autorità entro 24 ore
• Sanzioni pecuniarie fino a 2.000.000 di Euro o pari al 2 % del fatturato mondiale
15avv. Cristina Franchi - avv. Alberto Rigoni
Privacy: le diverse politiche adottate
• Google: – trasparenza nei confronti dei clienti
– server in cui risiedono i dati non localizzabili
– cookies disattivabili
• Amazon:– Safe Harbour– Safe Harbour
– i clienti scelgono l’area geografia in cui risiederanno i dati (US East, US West, EU, Asia Pacific Singapore/Tokyo)
– cookies disattivabili
• Microsoft:– Safe Harbour
– informazioni archiviate in USA o in qualsiasi altro paese dove sia presente Microsoft o i suoi providers
– potrà usare cookies
16avv. Cristina Franchi - avv. Alberto Rigoni
IPRs dei fornitori
• Google:
– titolare di tutti i diritti sui servizi
– il cliente non può usare i segni distintivi Google salvo specifico accordo
• Amazon:• Amazon:
– titolare di tutti i diritti sui servizi
– il cliente può usare i segni distintivi Amazon secondo le istruzioni ricevute e in relazione all’uso dei servizi
• Microsoft:
– i prodotti Microsoft sono protetti da copyright
17avv. Cristina Franchi - avv. Alberto Rigoni
IPRs dei clienti
• Google: – non ha alcun diritto di proprietà intellettuale sul contenuto
fatta salva la licenza funzionale alla sua distribuzione (Termini di Servizi di Google)
• Amazon:– non ha diritti di proprietà sul contenuto del cliente ma può – non ha diritti di proprietà sul contenuto del cliente ma può
utilizzarlo per fornire i propri servizi al cliente stesso e agli utenti finali (AWS Customer Agreement)
• Microsoft:– non acquista diritti sui dati del cliente che non siano i diritti
che il licenziatario concede a Microsoft per il servizio online applicabile (Microsoft Contratto online subscription)
18avv. Cristina Franchi - avv. Alberto Rigoni
SLA (Service Level Agreement)
• Google Apps sarà disponibile almeno il 99.90 % del tempo nell’arco di un mese.
• AWS farà ogni ragionevole sforzo per mantenere il servizio Amazon EC2 disponibile con una disponibilità minima del 99.95% del tempo durante l’anno. 99.95% del tempo durante l’anno.
• Microsoft Access Control promette una disponibilità del servizio dal 99 al 99,9% su base mensile.
In tutti i casi se il livello di servizio non è mantenuto, il Cliente ha diritto ad un credito a fronte di futuri pagamenti secondo le previsioni contrattuali
19avv. Cristina Franchi - avv. Alberto Rigoni
Continuità e fine del servizio
• La continuità tecnica con lo stesso provider è sostanzialmente un problema di sicurezza (Security Policy, White Paper)
• Il cliente può essere contrattualmente responsabile per le misure aggiuntive di sicurezza e backup
• Il fornitore può impegnarsi a consentire/assistere il • Il fornitore può impegnarsi a consentire/assistere il cliente a riappropriarsi dei dati al momento della risoluzione del contratto
• Il fornitore può normalmente terminare il contratto a sua discrezione (con o senza preavviso)
• Il cliente può terminare il contratto in qualsiasi momento
20avv. Cristina Franchi - avv. Alberto Rigoni
Legge applicabile e giurisdizione
• La legge applicabile può comportare una
sostanziale differenza nella portata della clausole
contrattuali
• Limitazione di responsabilità: US vs UE• Limitazione di responsabilità: US vs UE
• Privacy: esempio di applicabilità extraterritoriale
• Il luogo e le modalità di risoluzione delle
controversie implicano costi e oneri molto diversi
e possono tradursi in un autentico impedimento
a far valere i propri diritti
21avv. Cristina Franchi - avv. Alberto Rigoni
Conclusioni
• I fornitori di servizi cloud hanno cercato di dare delle risposte documentali ai problemi dei Servizi
• Gli accordi sono generalmente composti da una pluralità di documenti e vanno interpretati nel loro insieme
• I grandi operatori offrono impegni a prendere misure specifiche (sicurezza) e a rispettare gli SLA piuttosto che specifiche (sicurezza) e a rispettare gli SLA piuttosto che garanzie di risultato
• Il Cliente deve farsi carico della comprensione delle condizioni contrattuali e dell’adozione delle misure supplementari necessarie o opportune
• La privacy è in evoluzione, deve essere gestita
• La legge applicabile è determinante per far valere i propri diritti
22avv. Cristina Franchi - avv. Alberto Rigoni