La sovranità digitale può essere definita come la capacità di uno Stato di controllare tutte le risorse digitali, da un punto di vista economico, sociale e politico, libero da terzi o influenze esterne. In breve, promuove la libertà di scelta e ci consente di essere meno dipendenti da infrastrutture, piattaforme e punti di accesso a Internet non europei.
La sovranità dei dati estende questa nozione alle organizzazioni. Determina la loro capacità di proteggere i propri dati da possibili interferenze, in particolare quando si tratta di sicurezza dei dati. Inoltre, consente loro di agire in modo indipendente, soprattutto nei settori strategici per il loro sviluppo. Il rispetto delle normative europee, che limitano la possibilità di trasferire dati personali al di fuori dell’Unione Europea, è una garanzia della sovranità dei dati.
Oggi dobbiamo affrontare la concorrenza globale e una crescita esponenziale dei volumi di dati sensibili e strategici utilizzati nel cloud. Un numero crescente di organizzazioni europee sono già consapevoli dell’importanza di governare i propri sistemi IT e i dati che gestiscono. I rischi delle azioni di intelligence economica non europee – e delle interferenze derivanti da dipendenze incontrollate con alcuni dei loro fornitori di servizi cloud – sono ora riconosciuti. Ciò rappresenta un rischio sia per la protezione dei dati, sia per la capacità di sviluppare i principali attori britannici ed europei. Ciò rende più difficile competere a livello internazionale nell’arena digitale. Difendendo la sovranità dei dati, agiamo per tutelare la libertà di scelta di amministrazioni, aziende e cittadini.
Cloud Europeo: grandi sfide per l’Europa e cinque scenari dagli impatti significativi al 2027-2030
Nel maggio 2021, KPMG ha pubblicato un libro bianco basato su dati e informazioni provenienti da un'ampia varietà di fonti, comprese oltre 250 interazioni con decisori pubblici e privati in Europa. La conclusione è che la migrazione al cloud è diventata un processo obbligatorio e sia la sicurezza che la sovranità dei dati sono le principali preoccupazioni dei decisori. Inoltre, l’attuale paradigma del mercato cloud europeo non sembra essere sostenibile. Sono stati identificati cinque scenari, con diversi vantaggi prevedibili.
Come fa OVHcloud a garantire il rispetto della sovranità dei dati dei suoi clienti?
“In OVHcloud crediamo che la capacità di esercitare la nostra sovranità digitale sia fondamentale per garantire la libertà dei nostri utenti. Questo per mantenere il controllo sul nostro futuro, preservare la sicurezza del lavoro e sostenere i nostri valori europei. Queste sono le sfide di un Trusted Cloud, che garantisce la tutela della sovranità dei dati strategici appartenenti a Stati, aziende e cittadini. Resteremo fedeli alla promessa originaria di Internet: rendere il mondo digitale uno spazio di libertà, autonomia e innovazione collettiva”.
Un puro player cloud francese, impegnato nell'ecosistema digitale europeo
Un cloud sovrano è innanzitutto un cloud di un fornitore che si impegna a non utilizzare in alcun modo i dati dei propri clienti. Questo impegno è insito nella proposta di valore di OVHcloud in quanto attore puro e specialista del cloud, senza attività in altre aree che possano competere con i suoi clienti. In questo contesto, OVHcloud sta costruendo un’offerta cloud affidabile per contribuire a proteggere la sovranità industriale.
OVHcloud è fortemente coinvolta negli sforzi condotti dalle autorità pubbliche europee e dalle associazioni professionali in difesa della sovranità digitale in Europa. OVHcloud è membro fondatore delle associazioni CISPE (Cloud Infrastructure Services Providers in Europe) e del progetto GAIA-X e contribuisce attivamente a queste iniziative europee. Il loro scopo è garantire la sicurezza, l’interoperabilità, la trasparenza e la fiducia necessarie per un utilizzo corretto dei dati. Nel 2020, OVHcloud ha lanciato il programma Open Trusted Cloud, con l'obiettivo di co-creare un ecosistema di soluzioni SaaS e PaaS in un cloud aperto, reversibile e affidabile, con tutti gli attori digitali coinvolti. Queste iniziative mirano a sfruttare il potenziale dei nostri ecosistemi europei e a incoraggiare i circoli etici.
Clienti europei protetti dalle interferenze delle autorità straniere
OVHcloud implementa misure tecniche e organizzative che mirano a proteggere i dati ospitati dai suoi clienti con sede nell'UE dalle interferenze delle autorità esterne all'Unione Europea. Tecnicamente, nessuna entità OVHcloud o partner terzo di OVHcloud può gestire – e quindi accedere – alle infrastrutture che ospitano i suddetti dati. Questa regola si applica anche ai paesi extra-UE che non dispongono di un livello di protezione dei dati sufficiente e in linea con quelli vigenti all’interno dell’Unione Europea.
Ad esempio, gli Stati Uniti non sono più considerati un Paese con un livello di protezione adeguato, dopo l’invalidazione del “Privacy Shield” da parte della sentenza Schrems II della Corte di Giustizia dell’Unione Europea del 16 luglio 2020. Di conseguenza, il Le entità americane di OVHcloud non sono coinvolte nella fornitura di servizi ai clienti europei di OVHcloud e non hanno la capacità tecnica di accedere ai dati da loro ospitati nei data center europei di OVHcloud. Di conseguenza, queste entità statunitensi non hanno il controllo sui dati archiviati in questi data center e non possono rispondere favorevolmente alle richieste delle autorità statunitensi di divulgare i dati.
Solo i soggetti situati all'interno dell'Unione Europea, o in paesi il cui livello di protezione è stato oggetto di una decisione di adeguatezza da parte della Commissione Europea – in particolare il Canada – possono, secondo i termini di servizio in vigore, partecipare allo svolgimento dei servizi forniti a I clienti europei di OVHcloud e intervengono tecnicamente sulle infrastrutture su cui ospitano i loro dati.
Pieno rispetto delle normative, delle libertà e dei diritti fondamentali europei
Dal punto di vista organizzativo, il Gruppo OVHcloud è un gruppo europeo in cui gli enti commerciali europei, così come gli enti che possono intervenire sulle infrastrutture di hosting di OVHcloud situate all'interno dell'UE e utilizzate dai suoi clienti europei, rientrano nella giurisdizione esclusiva degli Stati membri dell'Unione Europea o degli Stati che sono stati oggetto di una decisione di adeguatezza della Commissione Europea. Tali entità sono controllate da OVH Groupe SAS, una società di diritto francese, senza alcun legame di dipendenza con alcuna entità o organizzazione soggetta alla giurisdizione di stati che non garantiscono un livello adeguato di protezione dei dati.
Potrebbero essere avanzate richieste da parte di autorità extra-UE (governative, amministrative, giudiziarie o altro) per la comunicazione di dati ospitati da un cliente OVHcloud europeo in un datacenter situato all'interno dell'Unione Europea. In questo caso, OVHcloud è pienamente in grado di opporsi a tali richieste, in conformità con la sua politica di gestione delle richieste delle autorità e con le disposizioni dell'articolo 48 del GDPR, se non vengono eseguite in conformità con un accordo internazionale, come ad esempio un trattato di assistenza giudiziaria in vigore tra il paese richiedente e lo/gli Stato/i membro/i dell’Unione europea interessato/i.
Inoltre, per i clienti che desiderano trattare i dati affidati a OVHcloud esclusivamente in Europa, OVHcloud sta implementando un'opzione secondo la quale solo entità europee sono coinvolte nella realizzazione del servizio. Ciò esclude qualsiasi altra entità, comprese le entità situate in paesi extra UE che la Commissione Europea ritiene abbiano un livello di protezione adeguato.
Conforme ai più severi standard di sicurezza e ai benchmark sovrani
In OVHcloud non viene concesso l'accesso ai dati dei clienti, a meno che il cliente non lo richieda o dia il suo consenso e quando richiesto, ad esempio durante gli interventi del team di supporto o le operazioni di manutenzione. L’azienda garantisce la piena tracciabilità di queste azioni, garantendo la sovranità dei dati.
Il SecNumCloud Security Visa, ottenuto da OVHcloud all'inizio del 2021, offre ai clienti certificati di servizi cloud la garanzia che sceglieranno soluzioni con un livello di sicurezza e affidabilità verificato dall'ANSSI (l'Agenzia nazionale francese per la sicurezza dei sistemi informativi). OVHcloud fornisce i propri servizi cloud anche alle amministrazioni francesi (UGAP), britanniche (G-Cloud) e italiane (AgID), nonché alle istituzioni della Commissione Europea (DPS 1 MC5). La società è inoltre coinvolta nei lavori in corso dell’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) sulla certificazione della sicurezza informatica per i servizi cloud.
OVHcloud sta inoltre lavorando per soddisfare le esigenze e i requisiti degli Operatori di vitale importanza e degli Operatori di servizi essenziali che, nell'ambito delle loro procedure di licenza basate, devono condurre analisi dei rischi e implementare numerose regole di sicurezza. Infatti, la documentazione di OVHcloud, basata sull'implementazione di diversi standard e benchmark (ISO 27001, ISO 27701, SecNumCloud, HDS, SOC, CSA Star, PCI-DSS e altri), consente ai clienti di condurre la propria analisi dei rischi accedendo in modo trasparente alle misure e l'organizzazione messa in atto da OVHcloud per garantire la protezione dei propri dati.
Controllo esteso della catena di subappalto e delle dipendenze tecnologiche
Da oltre 20 anni OVHcloud sviluppa un modello di business integrato che le consente di controllare completamente la propria catena del valore. Si tratta della costruzione e della gestione di data center, della progettazione di server e rack informatici nello stabilimento di Croix (Hauts-de-France) e della gestione di una rete in fibra spenta alimentata da OVHcloud. Con questo livello di controllo logistico sulla catena di fornitura, si può garantire ulteriormente la sovranità di dati e servizi. Limita inoltre le dipendenze tecnologiche dai subappaltatori e dai fornitori di OVHcloud. La capacità dell'azienda di sostenere lo sviluppo delle attività dei propri clienti è stata dimostrata durante la crisi sanitaria del 2020. A differenza di alcuni concorrenti che dipendono maggiormente dai propri fornitori, OVHcloud ha evitato interruzioni delle scorte.
OVHcloud è unico anche perché integra nei suoi prodotti tecnologie e standard di mercato open source, aperti e reversibili. Queste piattaforme rispettano la sovranità dei dati dei clienti fin dalla progettazione e sono gestite end-to-end da OVHcloud senza l'intervento di subappaltatori esterni. OVHcloud garantisce che gli editori di software dietro gli elementi tecnologici delle sue soluzioni offrano una sovranità garantita.
Fatti salvi termini e condizioni di servizio specifici, OVHcloud garantisce che i partner coinvolti nella manutenzione della soluzione promettono di intervenire solo da paesi dell'UE, o con un livello di protezione dei dati equivalente a quello in vigore all'interno dell'Unione Europea, e di rispettare le normative europee . Con il pieno controllo sui suoi prodotti e l'altissima integrazione dei servizi di terze parti, OVHcloud è in grado di garantire che la sovranità dei dati dei suoi clienti sia completamente protetta. L’obiettivo di tutto ciò è promuovere un cloud affidabile, nel pieno rispetto della sovranità dei dati del Regno Unito e dell’Europa.