Aruba – Web Hosting, Storage e Cloud a prova di GDPR L'offerta di servizi Aruba si arricchisce di nuove funzionalità e caratteristiche per rispondere alle misure di sicurezza previste dal GDPR

Aruba - Web Hosting, Storage e Cloud a prova di GDPR
Questo articolo necessita di una premessa indispensabile: non si tratta di un contenuto sponsorizzato da Aruba; tutto quello che state per leggere è frutto unicamente del libero pensiero dell’autore e né lui né questo sito hanno ricevuto compensi di qualsivoglia tipo.

Ho avuto modo di conoscere Aruba (e utilizzarne i servizi) fin dalla seconda metà degli anni ’90, quando l’azienda era nota come Technorail S.r.l. e non si occupava ancora di web hosting e domain registration. A quei tempi i Data Center di Arezzo e di Bibbiena ancora non esistevano e pochi avrebbero potuto immaginare che di lì a poco il brand avrebbe avuto una crescita esplosiva, diventando prima il principale provider di servizi web in Italia e successivamente uno dei più accreditati e certificati Cloud Provider Europei.

Intendiamoci, non stiamo parlando di un’azienda perfetta o infallibile: esistono a tutt’oggi una serie di alternative altrettanto valide, sia in termini di sicurezza (OVH) che dal punto di vista del pricing, o meglio del rapporto qualità-prezzo (Contabo, Solar VPS, etc.). Al tempo stesso, bisogna riconoscere ad Aruba il grande merito di aver creato e sviluppato – nel corso degli ultimi 20 anni – una realtà tecnologica italiana di grandissimo livello: non soltanto in ambito web hosting e registrazione di nomi di dominio, ma anche come provider di posta elettronica, connettività Internet, web housing & hosting, VPN, Cloud, nonché servizi PEC, SPID e firma digitale.

Questo risultato, certamente degno di nota, è frutto di una serie di sforzi di adeguamento che l’azienda ha compiuto nel corso degli anni per adeguarsi alle varie normative Italiane ed Europee introdotte negli ultimi anni, riassumibili nelle numerose certificazioni e accreditamenti conseguiti.

Certificazioni

  • ISO 9001:2015 per la progettazione, sviluppo ed erogazione di software e servizi di Data Center, soluzioni Cloud e tutti gli altri servizi a corredo (posta elettronica, PEC, conservazione digitale, Smart Card, etc.)
  • ISO 27001:2013 per i servizi di cui sopra.
  • ISO 14001:2015 per i servizi di cui sopra.
  • ISAE 3402:2011 Type II Report, che consiste nella valutazione del sistema dei controlli operanti sui processi aziendali di organizzazioni che erogano servizi e viene rilasciata previa verifica da parte di Auditor indipendenti.
  • ANSI/TIA 942-A-2014: la normativa ANSI/TIA 942-A-2014 valuta la resilienza di un data center, ossia la sua capacità di garantire la continuità dei servizi erogati. I data center di Aruba sono stati certificati al massimo livello (Tier 4Rating 4 dal marzo 2014) tra quelli previsti dalla normativa, risultato che indica la capacità di evitare interruzioni dei servizi anche in presenza di guasti gravi (fault-tolerance).
  • Certificato di Garanzia Energia da Fonte Rinnovabile.

Tutti i certificati sono consultabili pubblicamente in formato elettronico tramite questa pagina.

Accreditamenti

  • Accreditamento eIDAS, acronimo per electronic IDentification Authentication and Signature. E’ il Regolamento Europeo che reca le condizioni per il riconoscimento reciproco in ambito di identificazione elettronica e le regole comuni per le firme elettroniche, l’autenticazione web ed i relativi servizi fiduciari per le transazioni elettroniche.
  • Accreditamento 910/2014: Conformità ai requisiti previsti dal Regolamento (UE) 910/2014 eIDAS per i Prestatori di Servizi Fiduciari Qualificati per servizi di Emissione di validazioni temporali e Autorità di Certificazione in conformità alle Norme ETSI EN 319 401, ETSI EN 319 411-1, ETSI EN 319 411-2, ETSI EN 319 412-1, ETSI EN 319 412-2, ETSI EN 319 412-3, ETSI EN 319 412-5, ETSI EN 319 421, ETSI EN 319 422.
  • Accreditamento ETSI EN 319 401: Conformità alla norma ETSI EN 319 401 per i servizi fiduciari di identificazione digitale SPID.
  • Accreditamento ICANN, acronimo per Internet Corporation for Assigned Names and Numbers, l’ente internazionale che ha la funzione di salvaguardare la stabilità operativa di Internet, promuovere la competizione a livello di mercato dei nomi a dominio, garantire il più elevato livello di rappresentatività della comunità Internet e sviluppare politiche coerenti con il suo mandato tramite processi partecipati e consensuali.

Tutti gli accreditamenti sono consultabili pubblicamente in formato elettronico tramite questa pagina.

Conformità GDPR

Gli sforzi sostenuti da Aruba per garantire la conformità ai principi del GDPR, ben rappresentati da questa infografica interattiva, costituiscono un unicum nel panorama italiano e sono degni di nota anche a livello europeo.

Aruba - Web Hosting, Storage e Cloud a prova di GDPR
Fare click sull’immagine per accedere all’infografica interattiva.

Di seguito riassumiamo alcuni dei punti degni di nota per l’utente che sottoscrive il servizio con a fianco il relativo riferimento GDPR.

Hosting

  • Certificato SSL, il protocollo di sicurezza che consente di evitare la divulgazione non autorizzata o l’accesso ai dati personali trasmessi (GDPR – art. 32, comma 2)
  • Backup giornaliero contro il rischio di perdita accidentale dei dati personali (GDPR – art. 5, comma 1, par. f)
  • Rilevamento malware mediante un servizio di monitoraggio costante delle vulnerabilità del sito e immediata risoluzione (GDPR – art. 32, comma 1, par. d)

E-Mail

  • SMTPS, POP3S, IMAPS: tutti i protocolli di comunicazione sia in entrata sia in uscita sono sicuri, quindi la trasmissione di email ed allegati avviene sempre in maniera crittografata (GDPR – art. 5, comma 1, par. f)
  • AntiVirus e AntiSpam, per ridurre il rischio di vulnerabilità contro attacchi portati da virus o malware o phishing o altre tecniche fraudolente che vengono normalmente veicolate attraverso l’email (Approfondimenti: GDPR – art.1, comma 1)
  • Hardware ridondato, anche a livello di singolo server, ad ulteriore garanzia della resilienza dei sistemi (GDPR – art. 32, comma 1, par. b)

Cloud

  • Possibilità di scegliere dove ospitare i propri dati, grazie a un network di Data Center in Italia e in Europa. (GDPR – Considerando 101)
  • Network ridondato: l’infrastruttura di rete alla quale sono collegati gli host che ospitano le VM è completamente ridondata per garantire il funzionamento della rete in caso di guasto di un apparato (GDPR – Art. 32, comma 1, par. b)
  • Snapshot del server virtuale: è possibile creare copie delle proprie macchine virtuali in un dato punto temporale (GDPR – Art. 32, comma 1, par. c)
  • 2-factor authentication: è possibile accedere al Pannello di Controllo dei servizi di Web Hosting e Cloud tramite un doppio sistema di autenticazione per aumentare il livello di sicurezza nell’accesso (GDPR – Art. 32, comma 1, par. c)
  • Dati all’interno dello Spazio Economico Europeo, in conformità certificata al Codice di Condotta CISPE (GDPR – art. 40)

Private Cloud

  • Storage replicato: ridondanza degli storage su data center diversi nello stesso paese (Italia e Francia) o in paesi diversi (Polonia e Repubblica Ceca) (GDPR – art. 32, comma 1, par. b)
  • Disaster Recovery as a Service: il servizio DRaaS consente di creare repliche di dati nel Private Cloud di Aruba, sfruttando il software Zerto (GDPR – art. 32)
  • Creazione VPN, ovvero di un Virtual Private Network sicuro e criptato sul canale tramite il quale si amministra la piattaforma Private Cloud per evitare di avere furti di dati sulla trasmissione (GDPR – art. 32, comma 2)

Cloud Backup

  • Trasmissione cifrata: trasferimento attraverso canale cifrato SSL per evitare che i dati siano violati tramite intercettazione (GDPR – art. 32, comma 2)
  • Protezione del dato tramite criptaggio AES con possibilità di cifrare il contenuto sullo storage con AES-256 per ridurre il rischio di violazione (GDPR – art. 5, comma 1, par. f)

Cloud Storage

  • Doppia replica dei dati mediante creazione di 2 repliche (3 copie) per ogni file memorizzato: questo riduce i rischio che un dato si perda a causa di un guasto hardware (GDPR – art. 32, comma 1, paragrafo b)
  • Protocollo HTTPS/FTPS: l’accesso ai dati può avvenire tramite un’interfaccia di front-end che distribuisce dati su protocollo HTTPS/FTPS che riduce (o azzera) il rischio di furto dei dati in caso di intercettazione della trasmissione (GDPR – art. 32, comma 2)
  • Sicurezza di accesso ottenuta mediante access control nello strato di back-end non connesso alla rete pubblica per verificare l’autenticità e l’identità dell’utente (GDPR – art. 5, comma1, par. f)

Disaster Recovery

  • Resilienza: ridondanza degli storage su data center diversi dell’infrastruttura Private Cloud per garantire la “resilienza dei sistemi e dei servizi di trattamento” (GDPR – art. 32, comma 1, par. b)
  • Ripristino: passaggio del workload di produzione nel sito di disaster recovery in pochi secondi per “ripristinare tempestivamente la disponibilità e l’accesso dei dati personali” (GDPR – art. 32, comma 1, par. c)
  • Live test: Possibilità di lanciare test con tentativi di recupero da disastro per “valutare regolarmente l’efficacia delle misure tecniche e organizzative” (GDPR – art. 32, comma 1, par. d)

Business Continuity

  • DR geografico: collegamenti ridondati in fibra ottica tra i data center proprietari in Italia (IT1, IT2 e IT3) e interconnessioni multiple tra i data center europei dell’infrastruttura Private Cloud (FR1, CZ1 e PL1) (GDPR – art. 32, comma 1, par. c)
  • Prevenzione: procedure di ripristino preparate preventivamente in base al livello di servizio richiesto e ai “rischi presentati dal trattamento” dei dati personali (GDPR – art. 32, comma 2)
  • Progettualità: interventi di ripristino configurabili a seconda della specifica condizione, “del contesto e delle finalità del trattamento”, oltre alle esigenze infrastrutturali del singolo cliente (GDPR – art. 32, comma 1)
Questo articolo fa parte di una serie di approfondimenti e riflessioni sul GDPR e sulle modalità di applicazione del Nuovo Regolamento Europeo della Protezione dei Dati in Italia, con focus specifico sulla compliance rispetto alla normativa previgente in materia civile e penale. Leggi gli altri articoli.

 

RELATED POSTS

About Ryan

IT Project Manager, Web Interface Architect e Lead Developer di numerosi siti e servizi web ad alto traffico in Italia e in Europa. Dal 2010 si occupa anche della progettazione di App e giochi per dispositivi Android, iOS e Mobile Phone per conto di numerose società italiane.

View all posts by Ryan