Fattura elettronica, sfida sicurezza

Fattura elettronica, sfida sicurezza
L’interscambio dei documenti de materializzati nella piattaforma Agid comporta nuove policy di sicurezza per la gestione delle fatture nel cloud computing. Pronta la nuova certificazione ISO/IEC 27018:2014
Giammaria Stefania

Giornalista pubblicista, si interessa di sociologia della comunicazione multimediale e di strategie del canale ICT Leggi tutto

Uno dei temi che interesseranno lo sviluppo della fatturazione elettronica e che sapranno darci indicazioni attendibili sul futuro del processo di dematerializzazione documentale è, senza dubbio, la sicurezza dei documenti che saranno interscambiati dagli utenti all’interno della piattaforma Agid.

Chi, nelle ultime settimane, ha richiamato l’attenzione degli addetti ai lavori sulla nuova sfida che riguarderà la modalità del public cloud è Antonello Soro, presidente dell’Autorità Garante per la protezione dei dati personali, che in occasione del Security Summit 2015 svoltosi recentemente a Milano ha ricordato al pubblico come “la protezione dei dati e delle reti è un fattore abilitante del Sistema generale del Paese ma anche delle singole aziende, nonché dei privati cittadini. Quello che oggi comunemente viene definito ‘semplice furto di identità’ è in realtà un reato molto grave, potenzialmente in grado di mettere a rischio gli interessi, la salute, finanche la vita delle persone. Difendere i dati significa difendere la vita delle persone”.

Prima, però, vengono le garanzie per l’incolumità delle informazioni che dovranno essere prestate agli uffici pubblici e alle imprese che a partire dal prossimo mese di aprile ricorreranno alla fattura elettronica.

Ѐ per questo motivo che, già dalla scorsa estate, l’International Organization for Standardization ha emanato la nuova certificazione ISO/IEC 27018:2014, che consentirà a tutti i fornitori di servizi di public cloud computing di adeguarsi alla normativa comunitaria in tema di sicurezza dei dati personali.

 

Nuovi standard di sicurezza per il public cloud computing

 

 

La finalità di ISO/IEC 27018:2014 è la creazione di un set di regole, procedure e controlli attraverso cui i fornitori di servizi Cloud possano agire in qualità di data processor, assicurando il rispetto degli obblighi di legge in materia di trattamento dei dati personali.

La nuova certificazione specifica le best practices già esistenti in materia di security policy, sicurezza organizzativa, fisica ed ambientale, gestione della continuità operativa, controllo degli accessi e sicurezza del personale, stabilendo una serie di misure e controlli ulteriori, che riguardano i seguenti punti:

– Il fornitore, in qualità di Responsabile del trattamento, dovrà prevedere strumenti idonei a consentire e facilitare l’esercizio, da parte dell’interessato, dei propri diritti di accesso, rettifica e cancellazione nei confronti del Titolare del trattamento. In relazione alle finalità del trattamento, il fornitore dovrà garantire la rispondenza del trattamento alle sole finalità rese note al cliente in sede di contrattualizzazione del servizio, in particolare assicurando che i dati non verranno trattati per finalità che esulano quelle indicate dal cliente, né per finalità di marketing diretto o pubblicitarie, salvo che non vi sia esplicito consenso dell’interessato; consenso che, in ogni caso, non potrà mai costituire una condicio sine qua non imposta dal fornitore per la fruizione del servizio.

– Salvo eventuale divieto previsto per legge, la richiesta di divulgazione di dati personali proveniente da autorità amministrative o giudiziarie dovrà essere tempestivamente notificata al Cloud service consumer.

– Relativamente alla materia del subappalto, lo Standard prevede, in maniera particolarmente incisiva, il diritto del cliente a conoscere, ancor prima di iniziare a fruire del servizio, l’intera catena degli eventuali subfornitori, i Paesi ove essi sono stabiliti, la localizzazione dei data center da essi utilizzati nonché gli obblighi degli stessi in relazione al trattamento dei dati. E’, inoltre, riconosciuto al cliente il diritto di opporsi ad eventuali codifiche della catena dei subfornitori, ovvero di risolvere il contratto.

– Il fornitore dovrà tempestivamente inviare notifica al cliente ogni violazione di dati personali da cui si derivata una perdita, distruzione, alterazione, divulgazione o accesso abusivo, al fine di consentire al Titolare ed eventualmente agli interessati di darne a loro volta notizia alle Autorità di controllo, nel rispetto dei tempi previsti dalla legge.

– Il contratto di servizio dovrà approntare una policy di transfer back che dettagli le modalità di restituzione, trasferimento e/o cancellazione dei dati detenuti dal fornitore alla cessazione degli effetti del contratto medesimo.

– In relazione alle misure di sicurezza delle informazioni, sarebbe opportuno che tutto il personale del fornitore e degli eventuali subfornitori fosse vincolato da specifici accordi di riservatezza, ricevesse adeguata formazione, accedesse ai dati mediante specifiche operazioni di autenticazione e logging.

 

 

 

Antonello Soro Privacycloud computing sicurezzapublic cloud computingSecurity summit 2015
// Data pubblicazione: 26.03.2015
Condividi:
 

Dedagroup, quando l’ICT italiana conquista gli Usa

Dedagroup, quando l’ICT italiana conquista gli Usa
Per una volta è un gruppo tricolore doc a fare shopping negli States e a esportare competenze e tecnologia, a caccia dell’enorme mercato delle Credit Unions
Aldo Ascenti

Giornalista esperto di tecnologia e divulgazione scientifica, è attivo da vent'anni nel settore dell'editoria specializzata. Ha diretto testate di carta e di bit, consumer e b2b, fondato blog di tecn... Leggi tutto

Con la crisi che sembra finalmente arrivata ai titoli di coda, può anche capitare di imbattersi in storie del tutto inattese, come quella di un’industria italiana che sceglie di competere in Usa pur non occupandosi di vini, formaggi, vestiti o motori.
Se poi questa industria è un system integrator specializzato in finanza e pubblica amministrazione, abituato a lottare con la burocrazia più farraginosa del mondo, l’idea che possa progettare un modello di business vincente per gli Stati Uniti, dove regna la semplicità anglosassone, è ancora più sorprendente.
Invece è quello che è accaduto a Dedagroup, nono gruppo IT a capitale italiano nel nostro Paese, che affonda le sue radici agli albori dell’era dell’informatica, fondendo e federando diverse aziende cresciute nei pionieristici anni ’80. Oggi il gruppo realizza oltre € 200 milioni di fatturato e, come hanno fatto in tanti durante la crisi, ha guardato oltre i confini nazionali, in particolar modo con soluzioni dedicate al settore bancario.

Messico, la porta dell’America

Armata dell’esperienza acquisita sul territorio nazionale con gli istituti di credito cooperativo, e dopo aver esplorato il Vecchio Continente e il Medio Oriente, l’azienda ha cercato un bacino più ampio dove espandersi liberamente con un orizzonte di lungo periodo. Per questo è sbarcata in Messico, un territorio con caratteristiche uniche, ad alto tasso di crescita ma con solo il 25% della popolazione che si rivolge alle banche, con un’età media di 28 anni, una scolarizzazione elevata, al livello di quella italiana, e una formidabile concentrazione di sviluppatori software.
Il Messico aveva però un altro punto di interesse per Dedagroup, la contiguità di interessi e lo stretto rapporto con gli Stati Uniti, una miniera inesauribile di potenziali clienti, con oltre 14 mila istituti bancari.
La sfida di aggredire un simile mercato non è stata comunque presa alla leggera, come ha confermato l’AD del gruppo, Gianni Camisa. “Chi fa questo mestiere sa che quello che si deve vendere è la fiducia nell’interlocutore e la competenza di chi opera nel settore da tanti anni.” Da qui la strategia che molti hanno tentato e pochi sono riusciti a portare avanti: comprare un’azienda americana del settore che consentisse di guadagnare la fiducia dei clienti statunitensi.

Un’acquisizione strategica

Difficile capire con certezza come Dedagroup abbia prevalso su grandi gruppi americani nell’acquisizione del 70% di Epl. Di certo non è stato solo un problema economico, visto che i competitor avevano in questo senso mezzi sicuramente più convincenti. Quel che è evidente è che le due società parlano un linguaggio molto simile, a partire dalla lunga storia, che nel caso di Epl Inc risale addirittura al 1977. Ma quel che più conta è che Epl mantiene come soci diverse Credit Unions, corrispondenti americane delle nostre banche di credito cooperativo. Con la sua suite i-Power, Epl segue 85 clienti, e dispone di due data center in Georgia e Texas. Con tutta probabilità l’apporto di capitali e tecnologie italiane le garantirà ampie prospettive di crescita, in un mercato potenziale immenso.
Secondo Alessandro Pocher, responsabile del business internazionale del gruppo italiano, le sinergie tra i-Power e la soluzione BankUp di Dedagroup, porteranno vantaggi in tre mondi diversi, quello dei clienti italiani con velleità internazionali, quello latinoamericano e quello delle Credit Unions statunitensi. Una prospettiva davvero niente male per quella che trentacinque anni fa era solo una piccola srl trentina.

// Data pubblicazione: 25.03.2015
Condividi: