Il cloud è una realtà in tutte le aziende di una certa dimensione. Che si tratti di ambienti pubblici, privati o ibridi, le organizzazioni hanno adottato negli anni infrastrutture e servizi cloud per ottenere più agilità, scalabilità e capacità di innovazione.
Con il cloud, entra però in gioco un tema che va al di là delle performance e che prende il nome di cloud compliance. Spostare dati, applicazioni e processi su infrastrutture di terze parti (non solo pubbliche, ma anche private hosted), non significa infatti trasferire automaticamente al provider anche gli obblighi normativi, di governance e di controllo.
Nella maggior parte dei casi, infatti, l’azienda continua a rimanere responsabile di ciò che accade ai propri dati e deve quindi essere conforme a una serie di policy, atti normativi e regolamenti.
Come fare, in concreto?
Key Points
- La cloud compliance è un insieme di pratiche e controlli che garantiscono che infrastrutture, dati e servizi cloud rispettino requisiti normativi e di sicurezza.
- Nel cloud, la responsabilità non passa semplicemente al provider: le aziende restano soggette ad aspetti chiave come protezione del dato, accessi e configurazioni.
- Per un modello di compliance sostenibile, le organizzazioni mature aumentano la visibilità sui propri ambienti e integrano sicurezza e automazione direttamente nei processi operativi.
Cloud compliance: a quali regole deve conformarsi un’azienda?
Il cloud non è una zona franca dal punto di vista normativo, tutt’altro. Il tema stesso del cloud sovrano nasce dalla consapevolezza che i dati non possano essere trasferiti e gestiti liberamente su scala globale senza considerare il quadro normativo e giurisdizionale dei Paesi in cui vengono archiviati, elaborati o resi accessibili.
Il fatto che applicazioni e dati siano ospitati nell'infrastruttura di un provider, che magari è distribuita in tutto il mondo, non esclude gli obblighi dell'organizzazione che li utilizza. Cambia il modello operativo e si ridistribuiscono alcune responsabilità, ma la conformità resta in buona parte in capo all'azienda.
Nonostante il quadro cambi in funzione del modello scelto (public, private o hybrid), del settore, del tipo di dati trattati e dei Paesi in cui si opera, esistono tre livelli di cloud compliance.
Normative europee e nazionali: il punto di partenza
Il primo livello è quello degli obblighi di legge. Per le organizzazioni che operano in Europa, il punto di partenza è un mix di normative italiane e continentali tra cui svetta l'immancabile GDPR per la tutela della privacy dei dati.
Sempre nel framework europeo, GDPR si affianca ad atti normativi come la Direttiva NIS 2, il Digital Operational Resilience Act (DORA), il Data Act e l’AI Act; quest’ultimo, in particolare, è destinato a incidere sempre di più da quando il cloud ospita sistemi e modelli di AI.
Requisiti di settore: gli obblighi che dipendono dal business
Esistono poi standard e regolamenti che diventano obbligatori solo per determinate attività economiche, a prescindere da dove risiedono i loro dati. Ecco qualche esempio rilevante:
- PCI DSS per chi gestisce pagamenti elettronici e dati delle carte;
- Good Manufacturing Practice (GMP), che nel settore farmaceutico impongono requisiti sulla qualità dei processi e, sempre più spesso, anche sulla data integrity dei sistemi digitali;
- Hazard Analysis and Critical Control Points (HACCP), che oggi coinvolge spesso anche piattaforme digitali e sistemi cloud di monitoraggio della filiera alimentare.
Framework volontari sempre più determinanti
Esiste poi una terza dimensione della cloud compliance che non deriva direttamente dalla legge, ma dal mercato. Sono framework e certificazioni che servono a dimostrare a clienti, partner e stakeholder che l'organizzazione segue best practice internazionali, a beneficio della propria reputazione e dello sviluppo di business.
Qui gli esempi sono innumerevoli: possiamo citare ISO 27001 per la sicurezza delle informazioni, ISO 27017 per i servizi cloud e SOC 2 per controlli di sicurezza e affidabilità dei servizi digitali.
Di chi è la responsabilità della cloud compliance?
Se un’azienda è soggetta a GDPR, deve rispettare requisiti di settore e magari ha ottenuto certificazioni come ISO 27001, cosa succede quando decide di spostare dati e processi critici nel cloud? La responsabilità passa al provider?
In breve, la risposta è negativa. Da sempre, nel cloud vige un modello di responsabilità condivisa, secondo cui il provider e il cliente sono complementari sul fronte della conformità. Il fatto che il servizio venga erogato da un operatore non significa che l’azienda possa delegargli la responsabilità della sicurezza e della gestione corretta del dato. Significa, invece, che alcune attività vengono trasferite al provider e che altre restano in capo al cliente.
Semplificando, il provider è responsabile della sicurezza dell’infrastruttura cloud, ovvero quella fisica dei data center, la protezione dell’hardware, la resilienza delle reti, la continuità operativa e, nei modelli virtualizzati, la sicurezza dello strato infrastrutturale che separa ambienti e clienti diversi.
L’azienda cliente, invece, resta responsabile della sicurezza nel cloud, cioè del modo in cui utilizza le risorse che il provider o soggetti terzi le mettono a disposizione. Normalmente rimangono in capo all’organizzazione:
- la classificazione e protezione dei dati;
- la gestione delle identità e degli accessi (IAM);
- la configurazione degli ambienti cloud e delle reti;
- la sicurezza delle applicazioni e dei workload;
- le politiche di backup, retention e conservazione del dato.
Come è facile intuire, da questi fattori dipende buona parte della conformità alle normative cui l’azienda è soggetta.
Questo significa che scegliere un cloud provider certificato o altamente sicuro è fondamentale, ma non equivale automaticamente a essere compliant. Un ambiente cloud ospitato nel data center più resiliente del mondo può non essere conforme se, ad esempio, vengono assegnati permessi eccessivi, i dati non sono governati correttamente o mancano controlli adeguati sui processi.
La cloud compliance è quindi un tema di governance: il provider abilita il percorso, ma l’ownership della conformità resta, nella maggior parte dei casi, in capo all’azienda.
Cloud compliance, come fare? I passi per un modello sostenibile nel tempo
Una volta compreso cosa sia la cloud compliance, identificati gli obblighi e chiarito che la responsabilità finale resta (anche) in capo all’azienda, cosa occorre fare per garantire la conformità dei propri ambienti cloud?
Certamente, non esiste una checklist universale. Ogni organizzazione deve definire un percorso ad hoc in funzione non soltanto delle norme cui è soggetta, ma anche del livello di rischio tollerabile e delle tecnologie che sta adottando per proteggersi dal rischio sanzionatorio.
Esistono però dei principi che emergono in quasi tutti i progetti maturi:
- Partire dalla governance
- Ottenere visibilità
- Automatizzare il più possibile i controlli
- Integrare la compliance nei processi operativi, senza considerarla solo una verifica periodica
Definire governance, responsabilità e perimetro normativo
La conformità nasce prima di tutto da decisioni organizzative. Supponendo che l'azienda abbia già identificato i framework, gli obblighi normativi e gli standard a cui è soggetta, il prossimo passo consiste nel definire responsabilità chiare.
Ogni dato critico, applicazione o processo dovrebbe avere uno o più referenti incaricati di governarne aspetti come accessi, retention, classificazione delle informazioni e requisiti di sicurezza. L'obiettivo non è aumentare la burocrazia, ma rendere esplicita l'ownership e garantire che ogni decisione abbia un responsabile chiaro.
Prima ancora di introdurre controlli, è inoltre fondamentale svolgere una valutazione del rischio per capire dove si concentrano realmente vulnerabilità, criticità operative ed eventuali esposizioni che potrebbero tradursi in sanzioni. Solo a partire da questa analisi è possibile definire priorità e investimenti coerenti.
Costruire visibilità attraverso il tagging
Uno dei problemi più comuni negli ambienti cloud è la perdita progressiva di controllo dovuta alla crescita delle risorse. Database, container e workload possono moltiplicarsi fino a rendere difficile capire cosa esiste e quali regole debbano essere applicate.
Assume un ruolo sempre più importante la tecnica del tagging delle risorse, ovvero l'associazione di attributi ai diversi componenti dell'infrastruttura. Per esempio, ogni risorsa dovrebbe essere identificata attraverso informazioni come:
- owner del servizio;
- ambiente di riferimento (sviluppo, test, produzione);
- livello di criticità;
- requisiti normativi applicabili;
In questo modo la compliance smette di vivere in documenti separati, spesso difficili da recuperare e da mantenere aggiornati, e diventa una caratteristica incorporata nelle risorse tecnologiche.
Implementare controlli coerenti con il rischio
Una volta definita la governance e costruita la visibilità, è necessario introdurre controlli coerenti con il contesto normativo e con il livello di rischio associato a ogni processo e risorsa. Il principio guida è semplice: ridurre il più possibile l'esposizione senza compromettere l'operatività.
Tra i meccanismi più diffusi troviamo il Role-Based Access Control (RBAC), che assegna agli utenti esclusivamente i privilegi necessari per svolgere le proprie attività, e la protezione del dato lungo tutto il suo ciclo di vita. In termini pratici, ciò significa implementare crittografia e policy di backup, e conservazione e retention coerenti con obblighi normativi e requisiti di business.
Integrare compliance, sicurezza e automazione nei processi
Questo è probabilmente il passaggio che distingue le organizzazioni mature da quelle che vivono la compliance come un'attività reattiva.
Fino a pochi anni fa il modello dominante prevedeva di sviluppare applicazioni, implementare infrastrutture o avviare nuovi progetti digitali verificandone la conformità solo nelle fasi finali, poco prima del rilascio o della messa in produzione. Questo approccio, come prevedibile, espone l’azienda a rischi evidenti: portare in produzione componenti non conformi oppure dover fermare iniziative dopo mesi di lavoro per correggere problemi emersi troppo tardi.
Oggi le organizzazioni evolute integrano sicurezza e compliance direttamente nei processi di sviluppo del software e di gestione dell'infrastruttura, adottando approcci DevSecOps e logiche di shift left. In altre parole, i controlli vengono anticipati il più possibile e inseriti direttamente nel ciclo di sviluppo del software, traducendosi in attività come scansione automatica del codice e controllo delle policy.
In parallelo assume un ruolo crescente l’osservabilità, che permette di realizzare vere e proprie dashboard di compliance per monitorare in tempo reale lo stato degli ambienti cloud e attivare alert automatici quando emergono comportamenti anomali.
Kirey e la compliance “by design”
In questo articolo, abbiamo visto come la cloud compliance non sia un’attività da affrontare a valle del progetto, ma un elemento che dovrebbe accompagnare ogni scelta lungo l’intero percorso di cloud transformation.
È con questa logica che affianchiamo le aziende nel loro cloud journey, aiutandole a individuare il modello più adatto ai diversi carichi di lavoro e supportandole in tutte le fasi del percorso di modernizzazione del loro software e delle loro infrastrutture.
L’obiettivo non è spingere una tecnologia o un modello cloud specifico, ma costruire un percorso coerente con esigenze operative, requisiti prestazionali e vincoli normativi.
Affianchiamo i clienti nell’analisi del contesto normativo, li aiutiamo a valutare il livello di rischio, identificare eventuali vincoli di sovranità del dato e definire il modello di governance più adeguato. Solo a quel punto prendiamo, insieme al cliente, le decisioni tecnologiche e architetturali più adatte.
Contattaci per scoprire come possiamo accompagnarti nella progettazione, evoluzione e gestione di un ambiente cloud capace di bilanciare obiettivi di business, requisiti di compliance e gestione del rischio.
