Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud

Avv. Cristina [email protected]

Avv. Alberto [email protected]

23 maggio 2011

Orientarsi tra i contratti cloud

I contratti dei fornitori

• Contratti per adesione– personalizzazione tramite scelta dei servizi

• Matrice americana– limitazioni di responsabilità e garanzie– limitazioni di responsabilità e garanzie

– legge applicabile

• Contratti con i rivenditori vs clienti finali– responsabilità del rivenditore in assenza di garanzie “back to back”

• Contratti “B2B” e accordi con i consumatori

2avv. Cristina Franchi - avv. Alberto Rigoni

I problemi chiave

• Sicurezza

• Privacy

• SLA e continuità di servizio

• Reversibilità e fine del contratto • Reversibilità e fine del contratto


La struttura degli accordi cloud tra il grande La struttura degli accordi cloud tra il grande

operatore e il cliente

• Ordini

• Contratti

• White Papers

• Policies

• Policies e White Papers possono fare parte integrante dei contratti (ma non sempre!)

• Policies e White Papers possono fare parte integrante dei contratti (ma non sempre!)

• Gerarchia tra le fonti contrattuali

• Chi è il cliente?– rivenditore

– impresa

– consumatore


Informazioni sugli esempi utilizzati

• Gli esempi utilizzati sono tutti tratti da materiale

pubblicamente disponibile in Internet, ma:

� le clausole sono state sintetizzate ed estrapolate dal

contesto ai fini di presentazione; per valutarne con contesto ai fini di presentazione; per valutarne con

precisione la portata bisogna leggere tutto il

contratto a cui si riferiscono

� potrebbero non essere corrispondenti alle versioni

attualmente disponibili in rete


La struttura degli accordi: il caso più

frequente

Le disposizioni più specifiche prevalgono su

quelle più generali

– AWS Service Terms prevalgono su AWS Customer

Agreement in caso di conflittoAgreement in caso di conflitto

– i Termini Ulteriori prevalgono su quelli Universali

nei Termini di Servizio Google

– il Contratto Online Google Apps prevede che gli

ordini prevalgano sul contratto e condizioni

reperibili negli URL


La struttura degli accordi: altre soluzioni

• Il Contratto Online Google Apps for business

prevede anche che il contratto cartaceo prevalga

su quello online

• Contratto Google Apps: le condizioni di contratto • Contratto Google Apps: le condizioni di contratto

e qualsiasi URL citato prevalgono su ogni altro

documento inclusi gli ordini di acquisto

• Microsoft Azure Online Subscription: convivenza

di più contratti che compongono l’accordo senza

una gerarchia definita


Sicurezza

• Conservazione e integrità dei dati

• Accessibilità (continuità di servizio)

• Condivisione degli spazi di archiviazione

• Protezione dalle intrusioni esterne• Protezione dalle intrusioni esterne

• Protezione dalle intrusioni “interne”

• Cancellazione dei dati

• Condivisione delle responsabilità tra fornitore e cliente (back-up)

8

Security Policies: Google

Google Security White Paper

• Archiviazione con modalità distribuita

• Impegno alla sicurezza tramite 10 componenti

strategiche tra le quali:strategiche tra le quali:

– classificazione e archiviazione dei dati per data

chunks

– team dedicato per la sicurezza organizzativa

– valutazione di richieste di disclosure

9

Security Policies: Amazon

Web Service Risk and compliance; Security and compliance center

• Enfasi su certificazioni ISO e audit interni e dichiarata volontà di continuo aggiornamento

I controlli forniscono “ragionevole assicurazione” • I controlli forniscono “ragionevole assicurazione” su diversi aspetti tra i quali:

– esistenza di procedure per minimizzare gli effetti dei malfunzionamenti

– integrità dei dati

– accesso logico e fisico limitati nei casi di condivisione

10

Security Policies: Microsoft Azure

Panoramica tecnica delle funzionalità di protezione della piattaforma Windows Azure

• Piattaforma progettata con più livelli di difesa per contenere il rischio in caso di guasto di un meccanismo di protezionemeccanismo di protezione– router di filtraggio

– firewall

– protezione crittografica dei messaggi

– gestione delle patch di protezione del software

– monitoraggio

– segmentazione della rete

11

Responsabilità: impegni contrattuali

• Generalmente esclusi i danni indiretti e la perdita di profitti o di danno all’immagine

• Google Apps: in nessun caso la responsabilità supererà i 500$

• Online Google Apps for business: importo massimo pari a quello pagato dal Cliente nei 12 mesi precedenti all’eventoquello pagato dal Cliente nei 12 mesi precedenti all’evento

• AWS Customer Agreement: responsabilità del gruppo Amazon limitata all’importo pagato dal Cliente negli ultimi 12 mesi

• Microsoft Online Subscription: compatibilmente con la legge applicabile, responsabilità limitata all’importo pagato durante il periodo della licenza o negli ultimi 12 mesi prima della proposizione del reclamo

12

Co-responsabilità del cliente

• Il cliente è generalmente responsabile per:

– riservatezza della password e dell’account

– la designazione dei dipendenti autorizzati all’accesso e i limiti dell’autorizzazione

– sicurezza, protezione e backup dei dati– sicurezza, protezione e backup dei dati

– eventuale uso della crittografia

• Anche il cliente condivide la responsabilità di cercare di minimizzare le probabilità del danno e i suoi effetti

• Assicurazione?

13

Privacy

• Le responsabilità del titolare dei dati nei

confronti degli interessati

• Dati gestiti da terzi o trasferiti all’estero

• Safe Harbour e Model Clauses• Safe Harbour e Model Clauses

• Cancellazione dei dati a fine contratto


La nuova proposta di Regolamento UE

• Tendenza all’uniformità nell’UE

• Notifica a una sola autorità nazionale

• Maggiore responsabilità e obbligo di report per chi tratta i datichi tratta i dati

• Diritto alla portabilità (facilitata) dei dati

• Il responsabile deve notificare i casi di violazione all’autorità entro 24 ore

• Sanzioni pecuniarie fino a 2.000.000 di Euro o pari al 2 % del fatturato mondiale


Privacy: le diverse politiche adottate

• Google: – trasparenza nei confronti dei clienti

– server in cui risiedono i dati non localizzabili

– cookies disattivabili

• Amazon:– Safe Harbour– Safe Harbour

– i clienti scelgono l’area geografia in cui risiederanno i dati (US East, US West, EU, Asia Pacific Singapore/Tokyo)

– cookies disattivabili

• Microsoft:– Safe Harbour

– informazioni archiviate in USA o in qualsiasi altro paese dove sia presente Microsoft o i suoi providers

– potrà usare cookies


IPRs dei fornitori

• Google:

– titolare di tutti i diritti sui servizi

– il cliente non può usare i segni distintivi Google salvo specifico accordo

• Amazon:• Amazon:

– titolare di tutti i diritti sui servizi

– il cliente può usare i segni distintivi Amazon secondo le istruzioni ricevute e in relazione all’uso dei servizi

• Microsoft:

– i prodotti Microsoft sono protetti da copyright


IPRs dei clienti

• Google: – non ha alcun diritto di proprietà intellettuale sul contenuto

fatta salva la licenza funzionale alla sua distribuzione (Termini di Servizi di Google)

• Amazon:– non ha diritti di proprietà sul contenuto del cliente ma può – non ha diritti di proprietà sul contenuto del cliente ma può

utilizzarlo per fornire i propri servizi al cliente stesso e agli utenti finali (AWS Customer Agreement)

• Microsoft:– non acquista diritti sui dati del cliente che non siano i diritti

che il licenziatario concede a Microsoft per il servizio online applicabile (Microsoft Contratto online subscription)


SLA (Service Level Agreement)

• Google Apps sarà disponibile almeno il 99.90 % del tempo nell’arco di un mese.

• AWS farà ogni ragionevole sforzo per mantenere il servizio Amazon EC2 disponibile con una disponibilità minima del 99.95% del tempo durante l’anno. 99.95% del tempo durante l’anno.

• Microsoft Access Control promette una disponibilità del servizio dal 99 al 99,9% su base mensile.

In tutti i casi se il livello di servizio non è mantenuto, il Cliente ha diritto ad un credito a fronte di futuri pagamenti secondo le previsioni contrattuali


Continuità e fine del servizio

• La continuità tecnica con lo stesso provider è sostanzialmente un problema di sicurezza (Security Policy, White Paper)

• Il cliente può essere contrattualmente responsabile per le misure aggiuntive di sicurezza e backup

• Il fornitore può impegnarsi a consentire/assistere il • Il fornitore può impegnarsi a consentire/assistere il cliente a riappropriarsi dei dati al momento della risoluzione del contratto

• Il fornitore può normalmente terminare il contratto a sua discrezione (con o senza preavviso)

• Il cliente può terminare il contratto in qualsiasi momento


Legge applicabile e giurisdizione

• La legge applicabile può comportare una

sostanziale differenza nella portata della clausole

contrattuali

• Limitazione di responsabilità: US vs UE• Limitazione di responsabilità: US vs UE

• Privacy: esempio di applicabilità extraterritoriale

• Il luogo e le modalità di risoluzione delle

controversie implicano costi e oneri molto diversi

e possono tradursi in un autentico impedimento

a far valere i propri diritti


Conclusioni

• I fornitori di servizi cloud hanno cercato di dare delle risposte documentali ai problemi dei Servizi

• Gli accordi sono generalmente composti da una pluralità di documenti e vanno interpretati nel loro insieme

• I grandi operatori offrono impegni a prendere misure specifiche (sicurezza) e a rispettare gli SLA piuttosto che specifiche (sicurezza) e a rispettare gli SLA piuttosto che garanzie di risultato

• Il Cliente deve farsi carico della comprensione delle condizioni contrattuali e dell’adozione delle misure supplementari necessarie o opportune

• La privacy è in evoluzione, deve essere gestita

• La legge applicabile è determinante per far valere i propri diritti


Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud

Technology

Transcript of Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud