Vinitaly 2014 - La sostenibilità ambientale della filiera vinicola Intervento...
Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud
1. Orientarsi tra i contratti cloud Avv. Cristina Franchi
cristina.franchi@mognonpartners.com
Avv. Alberto Rigoni
alberto.rigoni@mognonpartners.com
23 maggio 2011
2. I contratti dei fornitori
• Contratti per adesione
– personalizzazione tramite scelta dei servizi
• Matrice americana
– limitazioni di responsabilità e garanzie
– legge applicabile
• Contratti con i rivenditori vs clienti finali
– responsabilità del rivenditore in assenza di garanzie “back to back”
• Contratti “B2B” e accordi con i consumatori
avv. Cristina Franchi - avv. Alberto Rigoni 2
3. I problemi chiave
• Sicurezza
• Privacy
• SLA e continuità di servizio
• Reversibilità e fine del contratto
avv. Cristina Franchi - avv. Alberto Rigoni 3
4. La struttura degli accordi cloud tra il grande
operatore e il cliente
• Ordini
• Contratti
• White Papers
• Policies
• Policies e White Papers possono fare parte integrante dei
contratti (ma non sempre!)
• Gerarchia tra le fonti contrattuali
• Chi è il cliente?
– rivenditore
– impresa
– consumatore
avv. Cristina Franchi - avv. Alberto Rigoni 4
5. Informazioni sugli esempi utilizzati
• Gli esempi utilizzati sono tutti tratti da materiale
pubblicamente disponibile in Internet, ma:
le clausole sono state sintetizzate ed estrapolate dal
contesto ai fini di presentazione; per valutarne con
precisione la portata bisogna leggere tutto il
contratto a cui si riferiscono
potrebbero non essere corrispondenti alle versioni
attualmente disponibili in rete
avv. Cristina Franchi - avv. Alberto Rigoni 5
6. La struttura degli accordi: il caso più
frequente
Le disposizioni più specifiche prevalgono su
quelle più generali
– AWS Service Terms prevalgono su AWS Customer
Agreement in caso di conflitto
– i Termini Ulteriori prevalgono su quelli Universali
nei Termini di Servizio Google
– il Contratto Online Google Apps prevede che gli
ordini prevalgano sul contratto e condizioni
reperibili negli URL
avv. Cristina Franchi - avv. Alberto Rigoni 6
7. La struttura degli accordi: altre soluzioni
• Il Contratto Online Google Apps for business
prevede anche che il contratto cartaceo prevalga
su quello online
• Contratto Google Apps: le condizioni di contratto
e qualsiasi URL citato prevalgono su ogni altro
documento inclusi gli ordini di acquisto
• Microsoft Azure Online Subscription: convivenza
di più contratti che compongono l’accordo senza
una gerarchia definita
avv. Cristina Franchi - avv. Alberto Rigoni 7
8. Sicurezza
• Conservazione e integrità dei dati
• Accessibilità (continuità di servizio)
• Condivisione degli spazi di archiviazione
• Protezione dalle intrusioni esterne
• Protezione dalle intrusioni “interne”
• Cancellazione dei dati
• Condivisione delle responsabilità tra fornitore
e cliente (back-up)
8
9. Security Policies: Google
Google Security White Paper
• Archiviazione con modalità distribuita
• Impegno alla sicurezza tramite 10 componenti
strategiche tra le quali:
– classificazione e archiviazione dei dati per data
chunks
– team dedicato per la sicurezza organizzativa
– valutazione di richieste di disclosure
9
10. Security Policies: Amazon
Web Service Risk and compliance; Security and
compliance center
• Enfasi su certificazioni ISO e audit interni e
dichiarata volontà di continuo aggiornamento
• I controlli forniscono “ragionevole assicurazione”
su diversi aspetti tra i quali:
– esistenza di procedure per minimizzare gli effetti dei
malfunzionamenti
– integrità dei dati
– accesso logico e fisico limitati nei casi di condivisione
10
11. Security Policies: Microsoft Azure
Panoramica tecnica delle funzionalità di protezione
della piattaforma Windows Azure
• Piattaforma progettata con più livelli di difesa per
contenere il rischio in caso di guasto di un
meccanismo di protezione
– router di filtraggio
– firewall
– protezione crittografica dei messaggi
– gestione delle patch di protezione del software
– monitoraggio
– segmentazione della rete
11
12. Responsabilità: impegni contrattuali
• Generalmente esclusi i danni indiretti e la perdita di profitti
o di danno all’immagine
• Google Apps: in nessun caso la responsabilità supererà i
500$
• Online Google Apps for business: importo massimo pari a
quello pagato dal Cliente nei 12 mesi precedenti all’evento
• AWS Customer Agreement: responsabilità del gruppo
Amazon limitata all’importo pagato dal Cliente negli ultimi
12 mesi
• Microsoft Online Subscription: compatibilmente con la
legge applicabile, responsabilità limitata all’importo pagato
durante il periodo della licenza o negli ultimi 12 mesi prima
della proposizione del reclamo
12
13. Co-responsabilità del cliente
• Il cliente è generalmente responsabile per:
– riservatezza della password e dell’account
– la designazione dei dipendenti autorizzati all’accesso e
i limiti dell’autorizzazione
– sicurezza, protezione e backup dei dati
– eventuale uso della crittografia
• Anche il cliente condivide la responsabilità di
cercare di minimizzare le probabilità del danno e i
suoi effetti
• Assicurazione?
13
14. Privacy
• Le responsabilità del titolare dei dati nei
confronti degli interessati
• Dati gestiti da terzi o trasferiti all’estero
• Safe Harbour e Model Clauses
• Cancellazione dei dati a fine contratto
avv. Cristina Franchi - avv. Alberto Rigoni 14
15. La nuova proposta di Regolamento UE
• Tendenza all’uniformità nell’UE
• Notifica a una sola autorità nazionale
• Maggiore responsabilità e obbligo di report per
chi tratta i dati
• Diritto alla portabilità (facilitata) dei dati
• Il responsabile deve notificare i casi di violazione
all’autorità entro 24 ore
• Sanzioni pecuniarie fino a 2.000.000 di Euro o
pari al 2 % del fatturato mondiale
avv. Cristina Franchi - avv. Alberto Rigoni 15
16. Privacy: le diverse politiche adottate
• Google:
– trasparenza nei confronti dei clienti
– server in cui risiedono i dati non localizzabili
– cookies disattivabili
• Amazon:
– Safe Harbour
– i clienti scelgono l’area geografia in cui risiederanno i dati (US East, US
West, EU, Asia Pacific Singapore/Tokyo)
– cookies disattivabili
• Microsoft:
– Safe Harbour
– informazioni archiviate in USA o in qualsiasi altro paese dove sia
presente Microsoft o i suoi providers
– potrà usare cookies
avv. Cristina Franchi - avv. Alberto Rigoni 16
17. IPRs dei fornitori
• Google:
– titolare di tutti i diritti sui servizi
– il cliente non può usare i segni distintivi Google salvo
specifico accordo
• Amazon:
– titolare di tutti i diritti sui servizi
– il cliente può usare i segni distintivi Amazon secondo
le istruzioni ricevute e in relazione all’uso dei servizi
• Microsoft:
– i prodotti Microsoft sono protetti da copyright
avv. Cristina Franchi - avv. Alberto Rigoni 17
18. IPRs dei clienti
• Google:
– non ha alcun diritto di proprietà intellettuale sul contenuto
fatta salva la licenza funzionale alla sua distribuzione
(Termini di Servizi di Google)
• Amazon:
– non ha diritti di proprietà sul contenuto del cliente ma può
utilizzarlo per fornire i propri servizi al cliente stesso e agli
utenti finali (AWS Customer Agreement)
• Microsoft:
– non acquista diritti sui dati del cliente che non siano i diritti
che il licenziatario concede a Microsoft per il servizio
online applicabile (Microsoft Contratto online subscription)
avv. Cristina Franchi - avv. Alberto Rigoni 18
19. SLA (Service Level Agreement)
• Google Apps sarà disponibile almeno il 99.90 % del tempo
nell’arco di un mese.
• AWS farà ogni ragionevole sforzo per mantenere il servizio
Amazon EC2 disponibile con una disponibilità minima del
99.95% del tempo durante l’anno.
• Microsoft Access Control promette una disponibilità del
servizio dal 99 al 99,9% su base mensile.
In tutti i casi se il livello di servizio non è mantenuto, il Cliente
ha diritto ad un credito a fronte di futuri pagamenti secondo
le previsioni contrattuali
avv. Cristina Franchi - avv. Alberto Rigoni 19
20. Continuità e fine del servizio
• La continuità tecnica con lo stesso provider è
sostanzialmente un problema di sicurezza (Security
Policy, White Paper)
• Il cliente può essere contrattualmente responsabile per
le misure aggiuntive di sicurezza e backup
• Il fornitore può impegnarsi a consentire/assistere il
cliente a riappropriarsi dei dati al momento della
risoluzione del contratto
• Il fornitore può normalmente terminare il contratto a
sua discrezione (con o senza preavviso)
• Il cliente può terminare il contratto in qualsiasi
momento
avv. Cristina Franchi - avv. Alberto Rigoni 20
21. Legge applicabile e giurisdizione
• La legge applicabile può comportare una
sostanziale differenza nella portata della clausole
contrattuali
• Limitazione di responsabilità: US vs UE
• Privacy: esempio di applicabilità extraterritoriale
• Il luogo e le modalità di risoluzione delle
controversie implicano costi e oneri molto diversi
e possono tradursi in un autentico impedimento
a far valere i propri diritti
avv. Cristina Franchi - avv. Alberto Rigoni 21
22. Conclusioni
• I fornitori di servizi cloud hanno cercato di dare delle risposte
documentali ai problemi dei Servizi
• Gli accordi sono generalmente composti da una pluralità di
documenti e vanno interpretati nel loro insieme
• I grandi operatori offrono impegni a prendere misure
specifiche (sicurezza) e a rispettare gli SLA piuttosto che
garanzie di risultato
• Il Cliente deve farsi carico della comprensione delle condizioni
contrattuali e dell’adozione delle misure supplementari
necessarie o opportune
• La privacy è in evoluzione, deve essere gestita
• La legge applicabile è determinante per far valere i propri
diritti
avv. Cristina Franchi - avv. Alberto Rigoni 22