10 Domande per valutare un Fornitore di Servizi Cloud

Il passaggio dei tuoi dati o servizi al cloud non è semplice. I dubbi e le domande sono tanti e, se non si è esperti, è difficile scegliere tra le varie offerte di servizi cloud presenti sul mercato.

Qui trovi le principali 10 domande da farti per valutare il fornitore, prima di trasferire i tuoi servizi IT sulla nuvola.
Per ogni domanda trovi anche quelle che devono essere le risposte ideali per valutare la bontà dei servizi offerti dal fornitore.

10 Domande da farti per Valutare un Fornitore di Servizi Cloud

1. Chi è il proprietario dei dati archiviati nel servizio? I dati verranno usati per la realizzazione di offerte pubblicitarie?
E’ importante che tu come cliente mantenga sempre la proprietà e il controllo dei tuoi dati.
Il provider deve gestire i dati solo ed esclusivamente per la gestione tecnica minima necessaria a fornire il servizio acquistato.
Il fornitore dei servizi non deve mai analizzare la posta elettronica o i documenti dei clienti per analisi dei trend di mercato e generare offerte pubblicitarie.

2. Il fornitore include nei propri servizi controlli per la privacy?
Ogni servizio che acquisti sul cloud deve includere dei controlli per la privacy dei tuoi utenti.
Questi controlli devono essere abilitati di default su tutti i servizi. Devi avere comunque, come cliente, la possibilità di attivare e disattivare caratteristiche che influiscono sulla privacy in modo da poter soddisfare specifiche esigenze della tua azienda.

3. Sai dove vengono archiviati i tuoi dati?
Il fornitore dei servizi Cloud deve assicurarti la massima trasparenza su dove sono posizionati i tuoi dati.

4. Quali sono le politiche per la sicurezza adottate dal fornitore e quali caratteristiche vengono offerte per proteggere il servizio da attacchi esterni?
Il fornitore dei servizi deve adottare e rendere pubbliche delle politiche di sicurezza complete ed adeguate.
Le politiche per la sicurezza devono coprire tutti i campi: hardware, software, criteri e controlli, verifiche di revisori indipendenti, oltre alla sicurezza fisica dei data center.

Per quanto riguarda le caratteristiche di sicurezza, il fornitore deve adottatare dei criteri per proteggere le loro informazioni e fornire un servizio a disponibilità elevata.
Allo stesso tempo deve fornire ai clienti degli strumenti che consentano di personalizzare i servizi in base a specifiche esigenze dell’azienda.

5. Hai la possibilità di rimuovere definitivamente i tuoi dati dai server del fornitore?
I dati archiviati sui server del fornitore devono rimanere sempre di esclusiva proprietà del cliente.
Devi quindi conservare su essi ogni diritto, titolarità e interesse.
Il fornitore deve inoltre darti sempre la possibilità di scaricare una copia di tutti i tuoi dati in qualsiasi momento, per qualsiasi motivo ed in totale autonomia.

6. Il fornitore ti informa puntualmente in caso di qualsiasi variazione nel servizio e qualora i dati vengano compromessi?
Il fornitore deve informarti prontamente qualora si dovessero verificare importanti variazioni nel servizio riguardo ad aspetti come sicurezza, privacy e conformità. Devi inoltre avvisarti immediatamente nel caso la sicurezza venga violata e ci siano eventuali casi di accesso non autorizzato ai tuoi dati.

7. Le procedure di trattamento e accesso ai dati dei da parte del fornitore sono chiare e trasparenti?
Il provider dei servizi deve rendere pubblici tutti gli aspetti importanti relativi all’archiviazione dei dati, ad esempio dove sono archiviati in termini di località geografica, chi è autorizzato ad accedervi e come vengono usate queste informazioni internamente.

L’accesso ai dati del cliente deve essere rigorosamente regolamente, controllato e registrato, anche tramite controlli a campione svolti dal fornitore e da terze parti per verificare che tale accesso avvenga solo per scopi appropriati e finalizzati alla fornitura del servizio.
Il fornitore deve darti la possibilità di sapere chi accede ai dati, anche internamente alla tua azienda, rendendoti possibile generare dei report in autonomia o fornendoteli su richiesta.

8. Quale tipo di impegno il fornitore garantisce in merito a sicurezza e privacy?
Esistono diversi standard internazionali di riferimento.
E’ importante valutare se il fornitore è disponibile a sottoscrivere con ogni cliente dei contratto relativi all’elaborazione dei dati o dei Business Associate Agreement (BAA) HIPAA.
Il fornitore deve inoltre essere conforma a standard di riferimendo come la norma ISO 27001, FISMA e Fedramp.

9. In che modo viene assicurata l’affidabilità del servizio?
Il fornitore deve avere delle procedure per garantire ridondanza dei dati, resilienza, servizi distribuiti su più datacenter e monitoraggio.
Questi livelli di affidabilità devono essere definiti contrattualmente e pubblicare periodicamente i dati storici sui livelli effettivi di affidabilità del servizio.

10. Quali sono gli impegni del fornitore in merito alla disponibilità del servizio?
Il provider deve offrire un contratto di servizio che garantisca un livello di servizio adeguato e che preveda delle penali economiche in caso questo non avvenga.
Ormai il livello di operatività garantito dai principali operatori è supeiore al 99,99% di operatività su base annua.