Da oggi Microsoft è il primo grande fornitore di servizi cloud al mondo ad adottare lo standard internazionale per la privacy sulla “nuvola”. La norma si chiama Iso/Iec 27018, è del 2014 e stabilisce una serie comune di linee guida e procedure per implementare misure che proteggano le informazioni d’identificazione personale, in inglese personally identifiable information o Pii. Tutto in conformità a quanto già stabilito in materia di riservatezza dallo standard Iso/Iec 29100 per il cloud pubblico.
I prodotti di Redmond con i titoli necessari per aderire pienamente a questo quadro normativo sono, oltre a Microsoft Azure, anche Office 365 e le soluzioni di Crm online di Dynamics. Tutti questi servizi sono stati certificati in modo indipendente dal British Standards Institute, il primo ente di normazione al mondo, mentre l’istituto francese Bureau Veritas ha dichiarato conforme agli standard Microsoft Intune, la piattaforma di cloud lanciata nel 2011 e dedicata alle piccole e medie imprese.
L’aderenza alle norme internazionali rappresenta ovviamente un vantaggio per i clienti e, in questi casi, dovrebbe far dormire sonni tranquilli agli utenti che vivono con maggiore ansia la protezione dei dati personali. In modo particolare, l’Iso 27018 assicura che il colosso statunitense elaborerà soltanto le informazioni concesse dal cliente, senza archiviare altro che non sia stato dichiarato in anticipo. Inoltre, gli eventuali spostamenti di dati verranno comunicati in tempo reale, così come l’eventuale condivisione di informazioni con altre aziende. Tra le altre cose, un punto forte riguarda la pubblicità: da Redmond comunicano che nessun dato verrà mai utilizzato per fini commerciali.
E nel campo della sicurezza? Lo standard Iso 27018 fornisce un numero rilevante di tutele per la protezione delle informazioni: assicura ad esempio restrizioni ben definite sulla loro gestione, incluse limitazioni sulla trasmissione con rete pubblica o sull’archiviazione in dispositivi trasportabili. In aggiunta, il quadro normativo obbliga tutte le persone che gestiscono i dati, quindi anche i dipendenti del provider, a sottoscrivere un obbligo di riservatezza.
L’Iso 27018 è applicabile alle organizzazioni di qualsiasi tipo e dimensione, comprese le aziende pubbliche e private, gli enti pubblici e quelli non profit che gestiscono informazioni personali utilizzando la “nuvola”.