Se da un lato la digitalizzazione dei documenti legali è una risorsa in termini di efficienza, molti professionisti hanno dei dubbi in merito alla loro sicurezza.
In effetti, è lecito chiedersi se sia sicuro archiviare dei documenti sensibili come i contratti di un’azienda su cloud. Di seguito riportiamo qualche domanda da porsi per garantire la sicurezza dei propri dati contrattuali in cloud.
Il Cloud: di cosa si tratta?
Attualmente molti servizi digitali sono accessibili tramite il cosiddetto “cloud”, una risorsa online a cui è possibile accedere con una connessione internet. Il cloud si contrappone ai software locali che vengono installati dagli utenti sui propri computer.
Le soluzioni legaltech, nonché alcuni strumenti per le aziende come i sistemi CRM, sono spesso ospitati su cloud. Questa funzionalità viene anche definita Software as a Service (SaaS).
Vantaggi e rischi del Cloud
La fama dei software in cloud è dovuta ai notevoli vantaggi offerti da quest’ultimo. In particolare:
- Il cloud non richiede alcuna installazione complessa, in quanto è il fornitore del servizio a occuparsene: solitamente le aziende clienti non devono far altro che creare un account.
- Il cloud consente di accedere ai dati ovunque e da qualsiasi supporto, agevolando notevolmente il lavoro da remoto (smart working, collaboratori distribuiti in varie sedi).
- La condivisione dei documenti e la collaborazione sono facilitate: gli scambi interminabili di e-mail o il rischio di perdere qualcosa sono solo un lontano ricordo.
Da ultimo, questi strumenti sono generalmente molto semplici da usare, con interfacce intuitive che non necessitano di grandi competenze tecniche. L’obiettivo è che il maggior numero possibile di collaboratori riesca a utilizzare il cloud quotidianamente senza difficoltà.
Come qualsiasi tecnologia, il cloud non è esente da rischi. Il timore più comune delle aziende riguarda la sicurezza dei dati: non essendo archiviati sul proprio computer, sono davvero protetti?
In primo luogo, bisogna tenere presente che il database in cloud è configurabile: le aziende non sono obbligate ad accordare gli stessi diritti di accesso a tutti i collaboratori. La protezione dei dati dipende, dunque, in gran parte dalle proprie scelte personali. Le tecnologie SaaS sono inoltre soggette a norme di sicurezza sempre più rigorose.
In ogni caso, prima di decidere di archiviare e gestire i propri contratti con un software in cloud, è opportuno porsi qualche domanda importante.
5 domande da porsi per proteggere i propri dati contrattuali in Cloud
#1 – L’infrastruttura è sicura?
L’infrastruttura è lo “scheletro” di un sistema informativo: comprende il server, la rete, i software utilizzati e, ovviamente, i database. Alla base della sicurezza dei dati c’è la sicurezza dell’infrastruttura del software SaaS. È pertanto possibile chiedere al proprio partner:
- se esista un sistema di prevenzione delle intrusioni a livello di rete
- se abbia attuato delle misure anti-flooding per evitare di “inondare” la rete
- se l’architettura sia multi-tier, ovvero eseguita da diversi componenti, per isolare i dati e ridurre il rischio di fuga
Tutti questi elementi sono importanti per determinare la resistenza di un servizio in cloud a eventuali attacchi. Consentono anche di prevedere i rischi di fuga o di perdita di dati.
#2 – Come vengono effettuati i backup?
I backup sono un elemento chiave della protezione dei dati. Consistono semplicemente nel creare copie periodiche dei dati contrattuali per disporre di una copia di emergenza in caso di uso improprio, alterazione o perdita dei dati.
Prima di adottare una soluzione legaltech è quindi importante conoscerne la politica di backup e di recupero dei dati, il cui obiettivo deve essere quello di riuscire a recuperare i dati nello stato in cui erano inizialmente, prima di un’eventuale perdita o corruzione. Si consiglia generalmente di verificare due aspetti:
- l’RTO (il tempo di ripristino di un servizio dopo un incidente a livello di dati)
- l’RPO (il ciclo o frequenza di backup)
#3 – I dati sono cifrati?
La cifratura dei dati è l’operazione con la quale i dati vengono convertiti da un formato leggibile a un formato criptato a partire da una chiave. La cifratura deve essere integrata dalla protezione del protocollo, che impedisce a qualsiasi malintenzionato di leggere i dati in circolazione tra i computer e il software SaaS. DiliTrust, ad esempio, garantisce tale sicurezza tramite il protocollo TLS 1.2 (Transport Layer Security).
Per quanto riguarda la cifratura dei dati in caso di fuga, consente di renderli contrattuali illeggibili e del tutto inutilizzabili. In DiliTrust, la cifratura dei dati è presente in ogni stadio della loro circolazione e viene ottenuta attraverso delle chiavi specifiche di ciascun documento. Il servizio di gestione delle chiavi di cifratura è ospitato su un’infrastruttura separata che garantisce un ulteriore livello di sicurezza.
#4 – Come farò a gestire i diritti di accesso?
La sicurezza intrinseca allo strumento di gestione dei contratti non è sufficiente per proteggere i dati. Senza una gestione completamente sicura dei diritti di accesso ai documenti, questi rimangono vulnerabili.
Per una protezione ottimale della base contrattuale, i diritti di accesso devono essere compartimentati in modo che nessun collaboratore possa accedere a documenti di cui non ha bisogno. All’inizio è meglio adottare un approccio più severo ai diritti di accesso, lasciando eventualmente la possibilità di ampliarli caso per caso se le esigenze dovessero mutare.
Come la maggior parte dei software in cloud, DiliTrust garantisce una gestione attenta delle autorizzazioni di accesso, per team e per utente. Tali diritti possono essere applicati a tutte le fasi del ciclo di vita del contratto, dalla creazione al monitoraggio.
#5 – Come è organizzato il mio software provider?
Consigliamo infine di informarsi sul proprio software provider: come si organizza quotidianamente per garantire la sicurezza dello strumento? Nella pratica, questo aspetto riguarda:
- la frequenza di conduzione degli audit
- l’ottenimento di certificazioni
- le pratiche operative aziendali
Più un fornitore effettua audit periodici e completi, e più è aggiornato in termini di penetration test, maggiormente sarà garantita la sicurezza delle sue soluzioni software. Ovviamente ciò non impedisce di effettuare anche i propri audit.
Desideri saperne di più sul nostro approccio alla sicurezza? Contattaci!
? Ti potrebbe interessare:
