cristina franchi, alberto rigoni - orientarsi tra i contratti cloud
DESCRIPTION
Eurocloud Day 2012: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloudTRANSCRIPT
![Page 1: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/1.jpg)
Avv. Cristina [email protected]
Avv. Alberto [email protected]
23 maggio 2011
Orientarsi tra i contratti cloud
![Page 2: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/2.jpg)
I contratti dei fornitori
• Contratti per adesione– personalizzazione tramite scelta dei servizi
• Matrice americana– limitazioni di responsabilità e garanzie– limitazioni di responsabilità e garanzie
– legge applicabile
• Contratti con i rivenditori vs clienti finali– responsabilità del rivenditore in assenza di garanzie “back to back”
• Contratti “B2B” e accordi con i consumatori
2avv. Cristina Franchi - avv. Alberto Rigoni
![Page 3: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/3.jpg)
I problemi chiave
• Sicurezza
• Privacy
• SLA e continuità di servizio
• Reversibilità e fine del contratto • Reversibilità e fine del contratto
3avv. Cristina Franchi - avv. Alberto Rigoni
![Page 4: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/4.jpg)
La struttura degli accordi cloud tra il grande La struttura degli accordi cloud tra il grande
operatore e il cliente
• Ordini
• Contratti
• White Papers
• Policies
• Policies e White Papers possono fare parte integrante dei contratti (ma non sempre!)
• Policies e White Papers possono fare parte integrante dei contratti (ma non sempre!)
• Gerarchia tra le fonti contrattuali
• Chi è il cliente?– rivenditore
– impresa
– consumatore
4avv. Cristina Franchi - avv. Alberto Rigoni
![Page 5: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/5.jpg)
Informazioni sugli esempi utilizzati
• Gli esempi utilizzati sono tutti tratti da materiale
pubblicamente disponibile in Internet, ma:
� le clausole sono state sintetizzate ed estrapolate dal
contesto ai fini di presentazione; per valutarne con contesto ai fini di presentazione; per valutarne con
precisione la portata bisogna leggere tutto il
contratto a cui si riferiscono
� potrebbero non essere corrispondenti alle versioni
attualmente disponibili in rete
5avv. Cristina Franchi - avv. Alberto Rigoni
![Page 6: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/6.jpg)
La struttura degli accordi: il caso più
frequente
Le disposizioni più specifiche prevalgono su
quelle più generali
– AWS Service Terms prevalgono su AWS Customer
Agreement in caso di conflittoAgreement in caso di conflitto
– i Termini Ulteriori prevalgono su quelli Universali
nei Termini di Servizio Google
– il Contratto Online Google Apps prevede che gli
ordini prevalgano sul contratto e condizioni
reperibili negli URL
6avv. Cristina Franchi - avv. Alberto Rigoni
![Page 7: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/7.jpg)
La struttura degli accordi: altre soluzioni
• Il Contratto Online Google Apps for business
prevede anche che il contratto cartaceo prevalga
su quello online
• Contratto Google Apps: le condizioni di contratto • Contratto Google Apps: le condizioni di contratto
e qualsiasi URL citato prevalgono su ogni altro
documento inclusi gli ordini di acquisto
• Microsoft Azure Online Subscription: convivenza
di più contratti che compongono l’accordo senza
una gerarchia definita
7avv. Cristina Franchi - avv. Alberto Rigoni
![Page 8: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/8.jpg)
Sicurezza
• Conservazione e integrità dei dati
• Accessibilità (continuità di servizio)
• Condivisione degli spazi di archiviazione
• Protezione dalle intrusioni esterne• Protezione dalle intrusioni esterne
• Protezione dalle intrusioni “interne”
• Cancellazione dei dati
• Condivisione delle responsabilità tra fornitore e cliente (back-up)
8
![Page 9: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/9.jpg)
Security Policies: Google
Google Security White Paper
• Archiviazione con modalità distribuita
• Impegno alla sicurezza tramite 10 componenti
strategiche tra le quali:strategiche tra le quali:
– classificazione e archiviazione dei dati per data
chunks
– team dedicato per la sicurezza organizzativa
– valutazione di richieste di disclosure
9
![Page 10: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/10.jpg)
Security Policies: Amazon
Web Service Risk and compliance; Security and compliance center
• Enfasi su certificazioni ISO e audit interni e dichiarata volontà di continuo aggiornamento
I controlli forniscono “ragionevole assicurazione” • I controlli forniscono “ragionevole assicurazione” su diversi aspetti tra i quali:
– esistenza di procedure per minimizzare gli effetti dei malfunzionamenti
– integrità dei dati
– accesso logico e fisico limitati nei casi di condivisione
10
![Page 11: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/11.jpg)
Security Policies: Microsoft Azure
Panoramica tecnica delle funzionalità di protezione della piattaforma Windows Azure
• Piattaforma progettata con più livelli di difesa per contenere il rischio in caso di guasto di un meccanismo di protezionemeccanismo di protezione– router di filtraggio
– firewall
– protezione crittografica dei messaggi
– gestione delle patch di protezione del software
– monitoraggio
– segmentazione della rete
11
![Page 12: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/12.jpg)
Responsabilità: impegni contrattuali
• Generalmente esclusi i danni indiretti e la perdita di profitti o di danno all’immagine
• Google Apps: in nessun caso la responsabilità supererà i 500$
• Online Google Apps for business: importo massimo pari a quello pagato dal Cliente nei 12 mesi precedenti all’eventoquello pagato dal Cliente nei 12 mesi precedenti all’evento
• AWS Customer Agreement: responsabilità del gruppo Amazon limitata all’importo pagato dal Cliente negli ultimi 12 mesi
• Microsoft Online Subscription: compatibilmente con la legge applicabile, responsabilità limitata all’importo pagato durante il periodo della licenza o negli ultimi 12 mesi prima della proposizione del reclamo
12
![Page 13: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/13.jpg)
Co-responsabilità del cliente
• Il cliente è generalmente responsabile per:
– riservatezza della password e dell’account
– la designazione dei dipendenti autorizzati all’accesso e i limiti dell’autorizzazione
– sicurezza, protezione e backup dei dati– sicurezza, protezione e backup dei dati
– eventuale uso della crittografia
• Anche il cliente condivide la responsabilità di cercare di minimizzare le probabilità del danno e i suoi effetti
• Assicurazione?
13
![Page 14: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/14.jpg)
Privacy
• Le responsabilità del titolare dei dati nei
confronti degli interessati
• Dati gestiti da terzi o trasferiti all’estero
• Safe Harbour e Model Clauses• Safe Harbour e Model Clauses
• Cancellazione dei dati a fine contratto
14avv. Cristina Franchi - avv. Alberto Rigoni
![Page 15: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/15.jpg)
La nuova proposta di Regolamento UE
• Tendenza all’uniformità nell’UE
• Notifica a una sola autorità nazionale
• Maggiore responsabilità e obbligo di report per chi tratta i datichi tratta i dati
• Diritto alla portabilità (facilitata) dei dati
• Il responsabile deve notificare i casi di violazione all’autorità entro 24 ore
• Sanzioni pecuniarie fino a 2.000.000 di Euro o pari al 2 % del fatturato mondiale
15avv. Cristina Franchi - avv. Alberto Rigoni
![Page 16: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/16.jpg)
Privacy: le diverse politiche adottate
• Google: – trasparenza nei confronti dei clienti
– server in cui risiedono i dati non localizzabili
– cookies disattivabili
• Amazon:– Safe Harbour– Safe Harbour
– i clienti scelgono l’area geografia in cui risiederanno i dati (US East, US West, EU, Asia Pacific Singapore/Tokyo)
– cookies disattivabili
• Microsoft:– Safe Harbour
– informazioni archiviate in USA o in qualsiasi altro paese dove sia presente Microsoft o i suoi providers
– potrà usare cookies
16avv. Cristina Franchi - avv. Alberto Rigoni
![Page 17: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/17.jpg)
IPRs dei fornitori
• Google:
– titolare di tutti i diritti sui servizi
– il cliente non può usare i segni distintivi Google salvo specifico accordo
• Amazon:• Amazon:
– titolare di tutti i diritti sui servizi
– il cliente può usare i segni distintivi Amazon secondo le istruzioni ricevute e in relazione all’uso dei servizi
• Microsoft:
– i prodotti Microsoft sono protetti da copyright
17avv. Cristina Franchi - avv. Alberto Rigoni
![Page 18: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/18.jpg)
IPRs dei clienti
• Google: – non ha alcun diritto di proprietà intellettuale sul contenuto
fatta salva la licenza funzionale alla sua distribuzione (Termini di Servizi di Google)
• Amazon:– non ha diritti di proprietà sul contenuto del cliente ma può – non ha diritti di proprietà sul contenuto del cliente ma può
utilizzarlo per fornire i propri servizi al cliente stesso e agli utenti finali (AWS Customer Agreement)
• Microsoft:– non acquista diritti sui dati del cliente che non siano i diritti
che il licenziatario concede a Microsoft per il servizio online applicabile (Microsoft Contratto online subscription)
18avv. Cristina Franchi - avv. Alberto Rigoni
![Page 19: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/19.jpg)
SLA (Service Level Agreement)
• Google Apps sarà disponibile almeno il 99.90 % del tempo nell’arco di un mese.
• AWS farà ogni ragionevole sforzo per mantenere il servizio Amazon EC2 disponibile con una disponibilità minima del 99.95% del tempo durante l’anno. 99.95% del tempo durante l’anno.
• Microsoft Access Control promette una disponibilità del servizio dal 99 al 99,9% su base mensile.
In tutti i casi se il livello di servizio non è mantenuto, il Cliente ha diritto ad un credito a fronte di futuri pagamenti secondo le previsioni contrattuali
19avv. Cristina Franchi - avv. Alberto Rigoni
![Page 20: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/20.jpg)
Continuità e fine del servizio
• La continuità tecnica con lo stesso provider è sostanzialmente un problema di sicurezza (Security Policy, White Paper)
• Il cliente può essere contrattualmente responsabile per le misure aggiuntive di sicurezza e backup
• Il fornitore può impegnarsi a consentire/assistere il • Il fornitore può impegnarsi a consentire/assistere il cliente a riappropriarsi dei dati al momento della risoluzione del contratto
• Il fornitore può normalmente terminare il contratto a sua discrezione (con o senza preavviso)
• Il cliente può terminare il contratto in qualsiasi momento
20avv. Cristina Franchi - avv. Alberto Rigoni
![Page 21: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/21.jpg)
Legge applicabile e giurisdizione
• La legge applicabile può comportare una
sostanziale differenza nella portata della clausole
contrattuali
• Limitazione di responsabilità: US vs UE• Limitazione di responsabilità: US vs UE
• Privacy: esempio di applicabilità extraterritoriale
• Il luogo e le modalità di risoluzione delle
controversie implicano costi e oneri molto diversi
e possono tradursi in un autentico impedimento
a far valere i propri diritti
21avv. Cristina Franchi - avv. Alberto Rigoni
![Page 22: Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud](https://reader033.vdocumenti.com/reader033/viewer/2022052901/556ff917d8b42a84618b4908/html5/thumbnails/22.jpg)
Conclusioni
• I fornitori di servizi cloud hanno cercato di dare delle risposte documentali ai problemi dei Servizi
• Gli accordi sono generalmente composti da una pluralità di documenti e vanno interpretati nel loro insieme
• I grandi operatori offrono impegni a prendere misure specifiche (sicurezza) e a rispettare gli SLA piuttosto che specifiche (sicurezza) e a rispettare gli SLA piuttosto che garanzie di risultato
• Il Cliente deve farsi carico della comprensione delle condizioni contrattuali e dell’adozione delle misure supplementari necessarie o opportune
• La privacy è in evoluzione, deve essere gestita
• La legge applicabile è determinante per far valere i propri diritti
22avv. Cristina Franchi - avv. Alberto Rigoni