La protezione dei dati ha un valore fondamentale per Oracle, come abbiamo visto approfondendo il cloud distribuito e i Realm per assicurare la sovranità dei dati alle aziende. Ma l’azienda va anche oltre, per assicurare che i dati dei clienti restino protetti. Mauro Costantini, Esperto Sicurezza e Compliance Cloud, Oracle EMEA, ci spiega infatti che il cloud provider porta la protezione dati fin dentro alle applicazioni aziendali.
Oracle e la protezione dei dati dentro le applicazioni aziendali
Costantini ci spiega che anche nel modello di servizio SaaS, proteggere i dati e gestire gli accessi ha un valore fondamentale. Ma anche la conformità normativa e la privacy sono fattori importanti nella scelta delle strategie e dei processi di sicurezza. Oracle presta grande attenzione a questi temi per soddisfare le richieste di sicurezza e privacy dei clienti, anche in settori diversi tra loro. In particolare, riconosce la “forte caratterizzazione delle applicazioni cloud in base ai settori verticali di appartenenza, in quanto ci sono mercati fortemente regolamentati – un esempio per tutti, quello dei servizi finanziari – che richiedono un’ampia scelta di servizi di sicurezza e soluzioni di hosting”.
Il panorama normativo europeo che riguarda i flussi di dati dei clienti, sia privati che pubblici, è in continua evoluzione. Pertanto, diventa fondamentale adottare un approccio flessibile. Con livelli di sicurezza personalizzabili per adattarsi alle misure di sicurezza sempre nuove e mutevoli imposte dalle autorità e dal mercato. L’Europa sta perseguendo l’autonomia tecnologica e la sovranità digitale per i dati e le infrastrutture.
Oracle, ci spiega Costantini, offre soluzioni che consentono di controllare e limitare il flusso dei dati all’interno dell’Unione Europea, includendo sia l’elaborazione dei dati che i metadati associati. Questo modello operativo è in linea con le linee guida europee e offre ai clienti un vantaggio competitivo combinando soluzioni cloud innovative e conformità normativa, come GDPR, EPDB e la sentenza Schrems II. Ad esempio, attraverso la soluzione EU Sovereign Cloud, Oracle fornisce hosting per applicazioni cloud che gestiscono vari processi aziendali e offre elementi infrastrutturali e di piattaforma per garantire un unico modello operativo europeo, indipendentemente dai diversi modelli di servizio iPSaaS.
Proteggi i tuoi dati con Bitdefender, Leader in Cybersecurity
Un approccio Zero Trust
Le nuove linee guida cloud italiane ed europee si concentrano sul controllo dei dati e sull’autonomia digitale. Nell’ambito delle applicazioni SaaS, l’accesso ai dati è strategico. E richiede strumenti che permettano ai clienti di controllare completamente chi, dove e quando accede ai dati, oltre a fornire strumenti di auditing per dimostrare le attività passate.
Costantini ci spiega che Oracle adotta un approccio alla sicurezza basato sul principio del Zero Trust, che garantisce che tutti gli accessi degli utenti, sia interni che esterni alla rete, siano autenticati, autorizzati e convalidati. Il Cloud Service Provider monitora l’accesso all’ambiente del cliente e registra i dati di sicurezza. Riguardo a server, applicazioni, dispositivi di rete e altre componenti dell’infrastruttura.
Oracle Break Glass
Un elemento unico nel suo genere offerto di Oracle è la soluzione di controllo degli accessi denominata Oracle Break Glass. Per accedere a un’istanza SaaS, gli operatori cloud devono richiedere le credenziali di accesso tramite un sistema di gestione delle identità. Le credenziali devono sottostare ai principi di “need to know”, “segregation of duties” e “least privilege”.
Costantini spiega: “Il rilascio delle credenziali è soggetto alle approvazioni di chi si occupa della gestione operativa di Oracle, ma in aggiunta i clienti SaaS saranno inclusi nei processi di approvazione e rilascio credenziali. Il cliente si vedrà recapitare una richiesta di approvazione di accesso all’istanza cloud. Queste credenziali saranno soggette a una scadenza configurabile in 24 o 48 ore, dopo di che saranno re-settati i permessi e cancellate le password e account”.
Inoltre, Oracle si distingue introducendo la possibilità di crittografare i dati con una chiave di cifratura generata dal cliente (Master Key) e archiviata su un dispositivo HSM (Hardware Security Module) certificato secondo gli standard di settore FIPS 142 Livello 3. Ciò consente ai clienti di gestire il processo di crittografia dell’istanza SaaS attraverso un pannello di controllo delle chiavi. Questi controlli di sicurezza rispettano le linee guida della sentenza Schrems II, dell’EPDB e soddisfano i requisiti specifici del GDPR.
Compliance e sostenibilità
Oracle considera la conformità continua agli standard internazionali e locali come una priorità. Infatti, ha un team dedicato al monitoraggio dell’evoluzione delle normative di conformità e svolge analisi per individuare gli elementi tecnologici necessari per soddisfare tali requisiti. In questo modo, semplifica l’adozione del cloud da parte dei clienti privati e pubblici e ottenendo le certificazioni rilevanti per i mercati locali e internazionali.
Oracle è stata qualificata nel marketplace dell’AgID (Agenzia per l’Italia Digitale) sia per l’infrastruttura che per le applicazioni dei servizi. In conformità con la strategia pubblicata dall’ACN (Agenzia per la Cybersicurezza Nazionale), ha “ereditato” le certificazioni per l’infrastruttura, la piattaforma e le applicazioni (IaaS, PaaS e SaaS) per il regime transitorio. Inoltre, sta lavorando per aggiornare tali qualifiche secondo la nuova piattaforma dell’ACN.
Oracle ha inoltre posto grande enfasi sul tema ESG (Environmental, Social, and Governance) integrandolo nelle proprie iniziative strategiche nel campo del cloud, garantendo il rispetto dei principi di sostenibilità delineati dalle linee guida dell’UE. Dal punto di vista normativo, tra i vari controlli richiesti, l’ottenimento delle certificazioni ISO 14001 e ISO 50001, che riguardano gli standard ESG, è uno dei principali obiettivi.
Infine, Oracle ha sviluppato un framework che coinvolge tutte le applicazioni aziendali per la raccolta, il coordinamento e la razionalizzazione delle metriche ESG aziendali. Questo framework include specifiche dashboard supportate dall’intelligenza artificiale, al fine di facilitare la trasformazione ESG dei propri clienti.
Potete trovare ulteriori informazioni sul sito di Oracle.