Il 25 maggio 2018 è entrato in vigore il Regolamento Europeo Generale sulla Protezione dei Dati (GDPR). Il GDPR tenta di unificare le leggi sulla protezione dei dati in Europa e alcuni dei suoi diritti e protezioni stanno avendo un impatto globale. Questa legge stabilisce un nuovo standard per la protezione dei dati personali della persona e offre agli individui diritti specifici per controllare il loro trattamento.
VMware Cloud on AWS è stato verificato in modo indipendente da Schellman & Company, LLC. per la conformità al Regolamento Generale sulla Protezione dei Dati.
Per spiegarlo nella terminologia del GDPR, quando fornisce servizi ai propri clienti tramite VMware Cloud sull’offerta di servizi AWS, VMware agisce come un elaboratore di dati. I clienti di VMware possono svolgere attività di elaborazione dei dati customer-defined in relazione ai propri dati all’interno dei servizi e, nel farlo, agiscono come responsabili del trattamento dei dati. I responsabili del trattamento dei dati possono nominare solo responsabili dell’elaborazione dei dati che forniscano garanzie sufficienti per attuare misure tecniche e organizzative adeguate per garantire che l’elaborazione soddisfi i requisiti del GDPR.
VMware Cloud on AWS rispetta i seguenti requisiti:
Protezione dei dati personali:
VMware Cloud on AWS è supportato dall’Addendum di VMware Data Processing che stabilisce che VMware rispetterà gli obblighi di elaboratore in base al GDPR e che VMware elaborerà i Dati personali solo in conformità con le istruzioni del Cliente. L’Addendum di VMware Data Processing è disponibile qui.
Le attività di VMware come processore sono definite al suo interno. Inoltre, i Termini di servizio di VMware contengono un Accordo sulla descrizione del servizio e sul livello di servizio, che descrive i ruoli e le responsabilità di VMware come fornitore di servizi di elaborazione e gli obblighi e i diritti dei clienti. Questi documenti legali possono essere trovati qui.
VMware si impegna inoltre ad assistere i propri clienti nell’adempiere agli obblighi previsti dalle leggi applicabili sui dati (incluso il GDPR).
Sicurezza
VMware prende molto sul serio la privacy e la sicurezza dei clienti. VMware impiega esperti di sicurezza e privacy in tutta la società, compresi i team legale e di conformità, l’organizzazione della sicurezza delle informazioni, il VMware Security Engineering, il gruppo Communications & Response (vSECR), il team VMware Security Incident Response (vSIRT) e il Security Operations Center (SOC).
Questi team collaborano collettivamente per creare programmi, politiche e pratiche per aiutare a identificare, prevenire e correggere le vulnerabilità della sicurezza nei nostri prodotti e servizi. Questi programmi sono continuamente rivisti e si evolvono in base alle nostre esperienze, ai cambiamenti nel panorama delle minacce, all’osservazione del settore e alla collaborazione. Il ciclo di vita dello sviluppo del software di VMware è descritto nel Whitepaper sulla sicurezza dei prodotti VMware.
VMware ha inoltre sviluppato pratiche di assistenza che seguono le best practice del settore, tra cui valutazioni periodiche del rischio, revisioni della privacy, rilevamento di intrusioni e minacce, revisioni di accesso degli utenti, monitoraggio continuo della sicurezza e audit di terza parte su vulnerabilità, sicurezza e conformità.
Tutti i dipendenti VMware che gestiscono i dati personali forniti dai clienti a VMware come elaboratore hanno sottoscritto accordi di riservatezza, ricevono regolare formazione sulla sicurezza e sono tenuti a seguire il codice di condotta e le policy di gestione dei dati.
Migrazione dei dati
VMware Cloud on AWS offre ai clienti il pieno controllo delle loro macchine virtuali e del loro contenuto. La documentazione esiste insieme a strumenti e servizi aggiuntivi per facilitare la migrazione dei dati. VMware Cloud on AWS esegue nativamente VMware vSphere il quale memorizza i dati dei clienti in un formato di macchina virtuale ampiamente adottato e vSphere supporta nativamente Open Virtualization Format (OVF), semplificando il download, la clonazione, la migrazione, la copia, il trasferimento o lo spostamento dei carichi di lavoro tra gli ambienti.
Inoltre, il cliente può utilizzare il servizio VMware Hybrid Cloud Extension per migrazioni di massa di immagini di macchine virtuali tra fornitori di cloud. Queste funzionalità semplificano il download, la clonazione, la migrazione, la copia, o il trasferimento dei carichi di lavoro.
Notifica di violazioni
Il VMware Security Incident Response Team (vSIRT) è responsabile dello sviluppo di procedure di gestione delle violazioni e di analisi forensi e gestisce la gestione degli incidenti in VMware. Il team vSIRT viene informato dal Security Operations Center di qualsiasi potenziale violazione e partecipa all’analisi.
Se VMware viene a conoscenza di un incidente di sicurezza su VMware Cloud on AWS, che porta alla divulgazione illecita o all’accesso alle informazioni personali fornite a VMware come elaboratore dei dati, informeremo i clienti senza alcun ritardo e forniremo informazioni relative a una violazione dei dati come ragionevolmente richiesto dai nostri clienti. VMware farà tutto il possibile per aiutare i clienti a mitigare, ove possibile, gli effetti negativi di qualsiasi violazione dei dati personali.
Sub-processori
VMware Cloud on AWS utilizza principalmente Amazon Web Services (AWS) come hosting provider e per i servizi di piattaforma. Tuttavia, VMware potrebbe assumere altre società per fornire determinati servizi per suo conto. VMware ha accordi e meccanismi di trasferimento dei dati in atto con ciascun sub-processore che obbligano il sub-processore a proteggere i dati personali in un modo conforme agli standard stabiliti nel contratto di protezione dei dati.
L’elenco dei sub-processori utilizzati da VMware Cloud on AWS può essere trovato qui.
VMware fornisce inoltre al cliente un meccanismo semplice per monitorare le modifiche al nostro elenco di Sub-processori. Se desideri ricevere notifiche, visita questa pagina.
Trasferimenti internazionali di dati
Il GDPR prevede diversi meccanismi per facilitare il trasferimento di dati personali al di fuori dell’Unione europea. Tali meccanismi mirano a confermare un livello adeguato di protezione o a garantire l’attuazione di adeguate garanzie quando i dati personali sono trasferiti in un paese terzo al di fuori dell’Area economica europea. VMware ha stipulato una clausula di accordo di modello intracompany tra il gruppo di aziende e offre ai clienti la protezione dei dati trasferiti tramite accordi contenenti le clausole contrattuali standard stabilite dalla Commissione europea.
Certificazioni di settore
I clienti di VMware Cloud on AWS si aspettano trasparenza e verifica indipendente dei controlli di sicurezza, privacy e conformità.
VMware Cloud on AWS ha completato il Cloud Security Alliance CAIQ per fornire trasparenza ai controlli e ai processi in atto per proteggere i clienti. È possibile consultare il documento qui.
Il servizio VMware Cloud on AWS è anche soggetto a verifiche regolari, indipendenti da parte di terzi per garantire ai nostri clienti che VMware abbia implementato controlli leader del settore. VMware Cloud on AWS è stato sottoposto a verifica per la maggior parte delle principali certificazioni del settore ISO 27001, ISO 27017, ISO 27018, SOC 1 (SSAE18 / ISAE 3402), SOC 2, SOC 3 e HIPAA.