Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud

on

  • 871 views

Eurocloud Day 2012: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud

Eurocloud Day 2012: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud

Statistics

Views

Total Views
871
Views on SlideShare
871
Embed Views
0

Actions

Likes
1
Downloads
12
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud Presentation Transcript

  • 1. Orientarsi tra i contratti cloud Avv. Cristina Franchi cristina.franchi@mognonpartners.com Avv. Alberto Rigoni alberto.rigoni@mognonpartners.com 23 maggio 2011
  • 2. I contratti dei fornitori• Contratti per adesione – personalizzazione tramite scelta dei servizi• Matrice americana – limitazioni di responsabilità e garanzie – legge applicabile• Contratti con i rivenditori vs clienti finali – responsabilità del rivenditore in assenza di garanzie “back to back”• Contratti “B2B” e accordi con i consumatori avv. Cristina Franchi - avv. Alberto Rigoni 2
  • 3. I problemi chiave• Sicurezza• Privacy• SLA e continuità di servizio• Reversibilità e fine del contratto avv. Cristina Franchi - avv. Alberto Rigoni 3
  • 4. La struttura degli accordi cloud tra il grande operatore e il cliente• Ordini• Contratti• White Papers• Policies• Policies e White Papers possono fare parte integrante dei contratti (ma non sempre!)• Gerarchia tra le fonti contrattuali• Chi è il cliente? – rivenditore – impresa – consumatore avv. Cristina Franchi - avv. Alberto Rigoni 4
  • 5. Informazioni sugli esempi utilizzati• Gli esempi utilizzati sono tutti tratti da materiale pubblicamente disponibile in Internet, ma: le clausole sono state sintetizzate ed estrapolate dal contesto ai fini di presentazione; per valutarne con precisione la portata bisogna leggere tutto il contratto a cui si riferiscono potrebbero non essere corrispondenti alle versioni attualmente disponibili in rete avv. Cristina Franchi - avv. Alberto Rigoni 5
  • 6. La struttura degli accordi: il caso più frequenteLe disposizioni più specifiche prevalgono suquelle più generali – AWS Service Terms prevalgono su AWS Customer Agreement in caso di conflitto – i Termini Ulteriori prevalgono su quelli Universali nei Termini di Servizio Google – il Contratto Online Google Apps prevede che gli ordini prevalgano sul contratto e condizioni reperibili negli URL avv. Cristina Franchi - avv. Alberto Rigoni 6
  • 7. La struttura degli accordi: altre soluzioni• Il Contratto Online Google Apps for business prevede anche che il contratto cartaceo prevalga su quello online• Contratto Google Apps: le condizioni di contratto e qualsiasi URL citato prevalgono su ogni altro documento inclusi gli ordini di acquisto• Microsoft Azure Online Subscription: convivenza di più contratti che compongono l’accordo senza una gerarchia definita avv. Cristina Franchi - avv. Alberto Rigoni 7
  • 8. Sicurezza• Conservazione e integrità dei dati• Accessibilità (continuità di servizio)• Condivisione degli spazi di archiviazione• Protezione dalle intrusioni esterne• Protezione dalle intrusioni “interne”• Cancellazione dei dati• Condivisione delle responsabilità tra fornitore e cliente (back-up) 8
  • 9. Security Policies: GoogleGoogle Security White Paper• Archiviazione con modalità distribuita• Impegno alla sicurezza tramite 10 componenti strategiche tra le quali: – classificazione e archiviazione dei dati per data chunks – team dedicato per la sicurezza organizzativa – valutazione di richieste di disclosure 9
  • 10. Security Policies: AmazonWeb Service Risk and compliance; Security andcompliance center• Enfasi su certificazioni ISO e audit interni e dichiarata volontà di continuo aggiornamento• I controlli forniscono “ragionevole assicurazione” su diversi aspetti tra i quali: – esistenza di procedure per minimizzare gli effetti dei malfunzionamenti – integrità dei dati – accesso logico e fisico limitati nei casi di condivisione 10
  • 11. Security Policies: Microsoft AzurePanoramica tecnica delle funzionalità di protezionedella piattaforma Windows Azure• Piattaforma progettata con più livelli di difesa per contenere il rischio in caso di guasto di un meccanismo di protezione – router di filtraggio – firewall – protezione crittografica dei messaggi – gestione delle patch di protezione del software – monitoraggio – segmentazione della rete 11
  • 12. Responsabilità: impegni contrattuali• Generalmente esclusi i danni indiretti e la perdita di profitti o di danno all’immagine• Google Apps: in nessun caso la responsabilità supererà i 500$• Online Google Apps for business: importo massimo pari a quello pagato dal Cliente nei 12 mesi precedenti all’evento• AWS Customer Agreement: responsabilità del gruppo Amazon limitata all’importo pagato dal Cliente negli ultimi 12 mesi• Microsoft Online Subscription: compatibilmente con la legge applicabile, responsabilità limitata all’importo pagato durante il periodo della licenza o negli ultimi 12 mesi prima della proposizione del reclamo 12
  • 13. Co-responsabilità del cliente• Il cliente è generalmente responsabile per: – riservatezza della password e dell’account – la designazione dei dipendenti autorizzati all’accesso e i limiti dell’autorizzazione – sicurezza, protezione e backup dei dati – eventuale uso della crittografia• Anche il cliente condivide la responsabilità di cercare di minimizzare le probabilità del danno e i suoi effetti• Assicurazione? 13
  • 14. Privacy• Le responsabilità del titolare dei dati nei confronti degli interessati• Dati gestiti da terzi o trasferiti all’estero• Safe Harbour e Model Clauses• Cancellazione dei dati a fine contratto avv. Cristina Franchi - avv. Alberto Rigoni 14
  • 15. La nuova proposta di Regolamento UE• Tendenza all’uniformità nell’UE• Notifica a una sola autorità nazionale• Maggiore responsabilità e obbligo di report per chi tratta i dati• Diritto alla portabilità (facilitata) dei dati• Il responsabile deve notificare i casi di violazione all’autorità entro 24 ore• Sanzioni pecuniarie fino a 2.000.000 di Euro o pari al 2 % del fatturato mondiale avv. Cristina Franchi - avv. Alberto Rigoni 15
  • 16. Privacy: le diverse politiche adottate• Google: – trasparenza nei confronti dei clienti – server in cui risiedono i dati non localizzabili – cookies disattivabili• Amazon: – Safe Harbour – i clienti scelgono l’area geografia in cui risiederanno i dati (US East, US West, EU, Asia Pacific Singapore/Tokyo) – cookies disattivabili• Microsoft: – Safe Harbour – informazioni archiviate in USA o in qualsiasi altro paese dove sia presente Microsoft o i suoi providers – potrà usare cookies avv. Cristina Franchi - avv. Alberto Rigoni 16
  • 17. IPRs dei fornitori• Google: – titolare di tutti i diritti sui servizi – il cliente non può usare i segni distintivi Google salvo specifico accordo• Amazon: – titolare di tutti i diritti sui servizi – il cliente può usare i segni distintivi Amazon secondo le istruzioni ricevute e in relazione all’uso dei servizi• Microsoft: – i prodotti Microsoft sono protetti da copyright avv. Cristina Franchi - avv. Alberto Rigoni 17
  • 18. IPRs dei clienti• Google: – non ha alcun diritto di proprietà intellettuale sul contenuto fatta salva la licenza funzionale alla sua distribuzione (Termini di Servizi di Google)• Amazon: – non ha diritti di proprietà sul contenuto del cliente ma può utilizzarlo per fornire i propri servizi al cliente stesso e agli utenti finali (AWS Customer Agreement)• Microsoft: – non acquista diritti sui dati del cliente che non siano i diritti che il licenziatario concede a Microsoft per il servizio online applicabile (Microsoft Contratto online subscription) avv. Cristina Franchi - avv. Alberto Rigoni 18
  • 19. SLA (Service Level Agreement)• Google Apps sarà disponibile almeno il 99.90 % del temponell’arco di un mese.• AWS farà ogni ragionevole sforzo per mantenere il servizioAmazon EC2 disponibile con una disponibilità minima del99.95% del tempo durante l’anno.• Microsoft Access Control promette una disponibilità delservizio dal 99 al 99,9% su base mensile.In tutti i casi se il livello di servizio non è mantenuto, il Clienteha diritto ad un credito a fronte di futuri pagamenti secondole previsioni contrattuali avv. Cristina Franchi - avv. Alberto Rigoni 19
  • 20. Continuità e fine del servizio• La continuità tecnica con lo stesso provider è sostanzialmente un problema di sicurezza (Security Policy, White Paper)• Il cliente può essere contrattualmente responsabile per le misure aggiuntive di sicurezza e backup• Il fornitore può impegnarsi a consentire/assistere il cliente a riappropriarsi dei dati al momento della risoluzione del contratto• Il fornitore può normalmente terminare il contratto a sua discrezione (con o senza preavviso)• Il cliente può terminare il contratto in qualsiasi momento avv. Cristina Franchi - avv. Alberto Rigoni 20
  • 21. Legge applicabile e giurisdizione• La legge applicabile può comportare una sostanziale differenza nella portata della clausole contrattuali• Limitazione di responsabilità: US vs UE• Privacy: esempio di applicabilità extraterritoriale• Il luogo e le modalità di risoluzione delle controversie implicano costi e oneri molto diversi e possono tradursi in un autentico impedimento a far valere i propri diritti avv. Cristina Franchi - avv. Alberto Rigoni 21
  • 22. Conclusioni• I fornitori di servizi cloud hanno cercato di dare delle risposte documentali ai problemi dei Servizi• Gli accordi sono generalmente composti da una pluralità di documenti e vanno interpretati nel loro insieme• I grandi operatori offrono impegni a prendere misure specifiche (sicurezza) e a rispettare gli SLA piuttosto che garanzie di risultato• Il Cliente deve farsi carico della comprensione delle condizioni contrattuali e dell’adozione delle misure supplementari necessarie o opportune• La privacy è in evoluzione, deve essere gestita• La legge applicabile è determinante per far valere i propri diritti avv. Cristina Franchi - avv. Alberto Rigoni 22