Cos'è la sovranità dei dati?

La sovranità dei dati si riferisce al fatto che i dati sono soggetti alle leggi e ai regolamenti pertinenti per la loro ubicazione fisica. Ciò può significare dati in archiviazione, elaborazione o trasmissione, indipendentemente dalla posizione fisica di un'organizzazione.

Tutti i dati archiviati, elaborati e trasmessi all'interno di un paese, stato, regione o giurisdizione sono vincolati dalle leggi e dai regolamenti pertinenti in merito all'uso dei dati e alla protezione della privacy. Le leggi sulla sovranità dei dati sono state create per proteggere e governare individui, organizzazioni e governi. Le normative sulla protezione dei dati includono norme sulla gestione dei dati sanitari personali, livelli di sicurezza dei dati per le informazioni del settore pubblico e l'istituzione dell'archiviazione locale dei dati per le società straniere.

La residenza dei dati è il luogo in cui i dati si trovano fisicamente. La sovranità dei dati è il modo in cui le leggi di un luogo si applicano ai dati che esistono fisicamente all'interno di quel luogo. Sia la sovranità che la residenza dei dati sono particolarmente importanti nel cloud computing e nei servizi cloud, dove è possibile archiviare i dati in qualsiasi parte del mondo. 

Tutta l’archiviazione, le istanze e i servizi cloud vengono eseguiti su macchine fisiche collegate a una posizione geografica specifica. A causa di questi diversi ambienti normativi, le organizzazioni devono considerare in modo critico dove risiedono le loro istanze cloud e dove vengono eseguiti i servizi cloud. La sovranità dei dati di queste archiviazioni e istanze è una decisione molto importante.

La sovranità dei dati rientra in genere nella funzione di governance, rischio e conformità del programma legale e di sicurezza informatica di un'organizzazione.

L'AWS Digital Sovereignty Pledge è il nostro impegno nell'offrire a tutti i clienti AWS il set più avanzato di controlli e funzionalità di sovranità disponibili nel cloud. Offriamo la flessibilità di scegliere come e dove eseguire i carichi di lavoro per la localizzazione dei dati.

L'AWS Digital Sovereignty Pledge delinea quattro aree chiave in cui AWS sta investendo in funzionalità per aiutare i clienti a soddisfare i loro requisiti di sovranità digitale in evoluzione.

Controlla dove risiedono i dati

Le organizzazioni devono essere sempre in grado di scegliere dove far risiedere i propri dati. AWS ha sempre dato ai clienti la possibilità di scegliere dove far risiedere i propri dati, con regioni AWS e zone di disponibilità in Nord America, Sud America, Europa, Medio Oriente, Africa, Asia Pacifico, Australia e Nuova Zelanda.

Quando una regione AWS non è sufficientemente vicina per soddisfare le esigenze di residenza dei dati, AWS offre varie offerte di infrastrutture distribuite che offrono un'esperienza cloud coerente all'interno di un confine geografico. Con Regioni AWS, AWS Local Zones, Zone locali AWS dedicate, AWS Outposts e AWS Wavelength, hai la possibilità di eseguire i carichi di lavoro ovunque debbano risiedere.

Controllo sull'accesso ai dati

Le organizzazioni devono disporre di protezioni per impedire l'accesso non autorizzato ai dati. Ad esempio, AWS Nitro System è progettato per applicare restrizioni in modo che nessuno, incluso chiunque in AWS, possa accedere ai carichi di lavoro dei clienti su EC2. Le autorizzazioni e le restrizioni di accesso devono essere create per garantire il massimo livello di protezione dei dati, a seconda del tipo di dati.

Funzionalità di crittografia dei dati

Le organizzazioni devono essere in grado di crittografare i dati in transito, a riposo e in memoria. I dati organizzativi dovrebbero utilizzare la crittografia per impostazione predefinita, con l'opzione di una crittografia più avanzata, se lo si desidera. Tutti i servizi AWS supportano già la crittografia, e la maggior parte supporta anche la crittografia con chiavi gestite dal cliente che sono inaccessibili ad AWS.

Resilienza nel cloud

Le organizzazioni devono essere in grado di raggiungere la sovranità digitale senza il rischio di perdita di dati. Il controllo sui dati e l'elevata disponibilità sono considerazioni fondamentali per la sovranità dei dati, che richiedono alle organizzazioni di mitigare in modo proattivo il rischio di perdita dei dati. Ciò consente di sostenere le operazioni anche in caso di eventi imprevisti. Attualmente, AWS offre la più alta disponibilità di rete di qualsiasi altro provider cloud. Ogni regione AWS si compone di più zone di disponibilità (AZ), che sono suddivisioni completamente isolate dell’intera infrastruttura. Per isolare in modo più efficace ogni problematica e giungere ad una maggiore disponibilità, è possibile suddividere le applicazioni in più zone di disponibilità all'interno della stessa Regione AWS.

Comprendere e integrare i requisiti di sovranità dei dati è fondamentale per mantenere la conformità. Ecco alcune considerazioni da fare quando si inizia il viaggio verso la sovranità:

Piano per la conformità nella localizzazione dei dati

La conformità con la legge inizia con la comprensione delle normative che regolano le operazioni dell'organizzazione. Queste leggi e regolamenti sui dati possono riguardare le aree geografiche di attività dell’azienda, i tipi di dati archiviati ed elaborati (ad esempio, sanitari, finanziari), i dati dei clienti e dei dipendenti e la durata di conservazione dei registri di raccolta dei dati.

Ricerca e comunica con gli enti di regolamentazione e le forze dell'ordine competenti per assicurarti di creare sistemi conformi e di essere a conoscenza del processo in caso di segnalazione di non conformità.

Non tutte le aziende hanno a disposizione un esperto di sovranità dei dati. La collaborazione con un consulente di conformità può essere utile per rimanere aggiornati sull'evoluzione delle normative. 

Implementa controlli di accesso granulari

La residenza dei dati può essere compromessa se solo un utente copia i dati in un'altra posizione fisica. Per prevenire questa situazione, inizia con la gestione delle identità e degli accessi basata sulle migliori pratiche e implementa rigorosi controlli di accesso privilegiati per amministratori con privilegi elevati. 

Per aiutarti ad automatizzare e monitorare le posizioni di archiviazione, crittografare i dati e applicare i guardrail di residenza dei dati, puoi usare AWS Control Tower. La libreria di controllo AWS Control Tower contiene un gruppo di controlli di sovranità digitale. Questi controlli possono applicare configurazioni di sovranità dei dati, prevenire azioni, rilevare modifiche alle risorse, applicare restrizioni di accesso granulari, abilitare la crittografia predefinita e fornire funzionalità di resilienza.

Sviluppa la resilienza per i sistemi mission-critical

La continuità aziendale in caso di emergenza dipende da sistemi di backup e failover affidabili. Per rispettare le normative sulla sovranità dei dati, questi sistemi devono risiedere nella stessa regione per mantenere la stessa sovranità dei dati delle operazioni tipiche.

Sviluppare la resilienza per i sistemi mission-critical significa distribuire i dati su più zone di disponibilità per una localizzazione rafforzata dei dati.

Per i clienti che eseguono carichi di lavoro on-premises o per casi d'uso remoti, è possibile utilizzare i servizi AWS che forniscono funzionalità specifiche per il supporto continuo durante le interruzioni della rete e l'elaborazione e l’archiviazione remote. Questi servizi includono AWS Outposts e Amazon EKS Anywhere.

Trova un partner cloud che offra trasparenza e garanzie

Non solo la scelta della posizione dei dati è una decisione importante, ma le organizzazioni devono anche poter contare sul fatto che i sistemi del proprio provider di servizi cloud siano realmente conformi alle norme sulla sovranità dei dati della giurisdizione. Rivolgiti a un esperto di conformità e consulta il team di conformità del provider per garantirne la sicurezza.

AWS ha sempre dato la priorità alla scelta dei clienti rispetto alla loro sovranità dei dati, consentendo il pieno controllo della posizione e del movimento dei loro dati. Fin dal primo giorno, l'approccio sovereign-by-design di AWS ci ha fatto guadagnare la fiducia dei clienti, che sono tra le organizzazioni più attente alla sicurezza dei dati e alla privacy al mondo.

Mantenere una mappa aggiornata del panorama attuale dei dati è essenziale per mantenere un'architettura dei dati conforme. Prendere in considerazione l'implementazione di quanto segue:

Ordinare e proteggere i dati sensibili

La protezione dei dati sensibili implica controlli integrati, tra cui etichettatura, gestione delle identità e degli accessi, crittografia, isolamento e regole per i dati sensibili a riposo, in transito e in fase di elaborazione. 

Scegliere la residenza dei dati in base alle leggi applicabili

Scegliere le posizioni dei dati più adatte alle proprie esigenze in base alla ricerca sulle operazioni aziendali, sui clienti e sui tipi di dati. Tenere presente che le esigenze di localizzazione dei dati possono cambiare man mano che l’attività cambia e la sovranità dei dati potrebbe risentirne.

Scegliere un provider cloud affidabile

Controllando rigorosamente i provider di cloud pubblico, è possibile guadagnare fiducia nelle garanzie di sovranità dei dati. Scegliere un fornitore con operazioni consolidate nella posizione dati prescelta. 

Restare aggiornati sugli obblighi di conformità

Le leggi e le normative relative ai dati cambiano continuamente. È necessario assicurarsi di rimanere aggiornati con le normative più recenti, anticipare i nuovi requisiti e rispettare gli obblighi di rendicontazione. Scegliere un delegato all'interno dell’organizzazione o di un'azienda partner che sarà responsabile di rimanere aggiornato sulle modifiche delle leggi. Creare una politica interna di protezione dei dati in linea con i propri obblighi.

Diverse località geografiche in tutto il mondo hanno leggi e regolamenti molto diversi in materia di archiviazione, elaborazione e gestione dei dati. Le giurisdizioni possono sovrapporsi, aggiungendo ulteriori livelli di normative sui dati per l'archiviazione e la gestione dei dati. Ad esempio, Spagna, Francia e altri paesi dell'UE hanno leggi interne che regolano la sovranità dei dati, ma devono anche rispettare le leggi dell'UE. Anche settori altamente regolamentati, come l'assistenza sanitaria e la finanza, hanno normative diverse. Alcuni paesi hanno leggi indigene sulla sovranità dei dati relative ai diritti delle popolazioni indigene. 

Condurre attività extraterritoriali può avere implicazioni per i requisiti di governance dei dati. Ad esempio, le aziende australiane devono rispettare il GDPR quando trattano i dati dei cittadini dell'UE. 

Per le organizzazioni con più entità registrate a livello globale, la sovranità dei dati e la conformità alle diverse normative extraterritoriali diventano estremamente complesse.

Tutte le organizzazioni, grandi e piccole, devono considerare attentamente la sovranità dei dati per assicurarsi di mantenere la conformità ai propri obblighi legali relativi alla gestione dei dati. Le considerazioni sulla sovranità dei dati si intensificano per le operazioni transfrontaliere, le società multinazionali e le organizzazioni che operano in settori altamente regolamentati. Rifletti su come gestisci l'archiviazione dei dati, come trasferisci i dati e come li elabori.

È importante scegliere un provider di servizi cloud che comprenda appieno la sovranità dei dati. Il provider cloud deve fornire protezioni dei dati integrate per i propri clienti in base ai requisiti regionali e offrire un'ampia gamma di controlli di governance dei dati, identità digitale e gestione degli accessi, sicurezza dei dati e controlli della privacy.

Esplora la Sovranità digitale in AWS per ulteriori informazioni, case study e ultimi aggiornamenti dei prodotti in quest'area critica di sicurezza, identità e conformità.