Cloudflare e la conformità all'APPI

Cloudflare è una società per la sicurezza, le prestazioni e l'affidabilità con sede negli Stati Uniti che offre una vasta gamma di servizi di rete per aziende di tutte le dimensioni e aree geografiche. Aiutiamo a rendere più sicuri i siti Web dei nostri clienti e le applicazioni Internet, miglioriamo le prestazioni delle loro applicazioni critiche per le imprese ed eliminiamo i costi e la complessità della gestione hardware di singole reti. La rete Anycast di Cloudflare, alimentata da oltre 200 server Edge in tutto il mondo, come descritto qui, funge da base su cui possiamo sviluppare e implementare rapidamente i nostri prodotti per i nostri clienti.

Cloudflare non ha accesso né controllo sui dati che i clienti scelgono di trasmettere, indirizzare, scambiare e memorizzare nella cache attraverso la nostra rete globale. In un numero limitato di casi, i prodotti Cloudflare possono essere utilizzati per l'archiviazione di contenuti. A prescindere dai servizi Cloudflare che utilizzino, tuttavia, i nostri clienti sono integralmente responsabili della loro conformità alla legge applicabile e dei loro accordi contrattuali indipendenti in relazione ai dati che scelgono di trasmettere, indirizzare, scambiare, memorizzare nella cache o conservare tramite la rete globale Cloudflare.

I tipi di dati personali che Cloudflare elabora per conto del cliente dipendono da quali servizi Cloudflare vengono implementati. La stragrande maggioranza dei dati che transitano nella rete di Cloudflare rimane sui server Edge di Cloudflare, mentre i metadati relativi a questa attività vengono elaborati per conto dei nostri clienti nel nostro datacenter principale negli Stati Uniti.

Cloudflare mantiene i dati di log sugli eventi sulla nostra rete. Alcuni di questi dati di log includono informazioni sui visitatori e/o utenti autorizzati di domini, reti, siti Web, interfacce di programmazione delle applicazioni (API) o applicazioni del cliente, incluso il prodotto Cloudflare Zero Trust, a seconda dei casi applicabili. Tali metadati contengono dati personali estremamente limitati, il più delle volte sotto forma di indirizzi IP. Elaboriamo questo tipo di informazioni per conto dei nostri clienti nei nostri datacenter principali negli Stati Uniti e in Europa per un periodo di tempo limitato.

Cloudflare considera la sicurezza un elemento fondamentale per garantire la privacy dei dati. Sin dal lancio di Cloudflare nel 2010, abbiamo rilasciato una serie di tecnologie all'avanguardia che migliorano la privacy, generalmente in anticipo rispetto al resto del settore. Tra le altre cose, questi strumenti consentono ai nostri clienti di crittografare facilmente il contenuto delle comunicazioni tramite SSL universale, crittografare i metadati nelle comunicazioni utilizzando DNS-over-HTTPS o DNS-over-TLS e SNI crittografati, e controllare dove sono conservate le loro chiavi SSL o dove viene ispezionato il loro traffico.

Cloudflare mantiene un programma di sicurezza in conformità con gli standard del settore. Il nostro programma di sicurezza include il mantenimento di formali politiche e procedure di sicurezza, la definizione di adeguati controlli di accesso logici e materiali, nonché l'implementazione di salvaguardie tecniche negli ambienti aziendali e di produzione, tra cui la creazione di configurazioni sicure, trasmissione e connessioni protette, registrazione, monitoraggio e tecnologie adeguate per la crittografia dei dati personali.

Tutti i dipendenti di CloudFlare sono soggetti alla formazione sulla privacy e sulla sicurezza delle informazioni e successivamente alla riqualificazione annuale.

Attualmente manteniamo le seguenti certificazioni: conformità ISO 27001, ISO 27701, SOC 2 Type II e PCI DSS Level 1. Manteniamo anche un report SOC 3. Ulteriori informazioni sulle certificazioni qui.

Per visualizzare le misure di sicurezza offerte da Cloudflare per la protezione dei dati personali, inclusi quelli trasferiti dal Giappone agli Stati Uniti, consulta l'Allegato 2 del nostro DPA standard.

Il Data Processing Addendum (DPA) di Cloudflare, che copre i nostri obblighi per l'elaborazione dei dati personali per conto dei nostri clienti ed è integrato per riferimento nel nostro contratto di servizio aziendale e il nostro accordo di abbonamento autonomo, è considerato un equivalente standard per legittimare i trasferimenti transfrontalieri ai sensi dell'articolo 24 dell'APPI. Inoltre:

• Paese di trasferimento: CloudFlare elabora i dati attraverso la sua rete globale e i metadati possono essere archiviati nei nostri datacenter negli Stati Uniti e nell'UE. I trasferimenti al datacenter negli Stati Uniti sono limitati ai metadati del traffico per le zone dei clienti in base alle necessità in modo da fornire molti dei nostri servizi di sicurezza.

• Misure di sicurezza: le misure di sicurezza di Cloudflare sono riportate nell'Allegato 2 del DPA;

• Conferma: CloudFlare convalida regolarmente le nostre misure di sicurezza dimostrate dalle certificazioni che manteniamo, descritte sopra;

• Limitazione dello scopo: elaboriamo i dati personali solo in base alle istruzioni dei nostri clienti: non vendiamo, tratteniamo, utilizziamo o divulghiamo i dati personali per qualsiasi scopo diverso da quello di fornire il servizio CloudFlare e non profiliamo, tracciamo né utilizziamo i dati degli utenti finali dei nostri clienti per scopi di marketing o pubblicità;

• Notifica di violazione: senza indebiti ritardi, CloudFlare notifica ai clienti l'eventuale violazione dei dati personali (come definito nel nostro DPA) e fornisce a tali clienti una ragionevole cooperazione e assistenza in relazione a tale violazione.

• Sottoprocessori: i nostri sottoprocessori includono le nostre filiali, ad eccezione della filiale cinese. Nessun dato dei nostri clienti o della rete globale è accessibile ai dipendenti della nostra filiale cinese.

Gli Stati Uniti non hanno una legge sulla privacy generale a livello nazionale. Adottano invece un approccio alla privacy e alla protezione dei dati specifico per ogni settore. Ad esempio, gli Stati Uniti hanno leggi federali che regolano la privacy delle informazioni sulla salute personale (la Legge sulla portabilità e responsabilità dell'assicurazione sanitaria o "HIPAA"), informazioni elaborate da istituti finanziari (il Gramm-Leach-Bliley Act o "GLBA") e istituzioni educative (il Family Educational Rights and Privacy Act o "Ferpa"). Inoltre, la Federal Trade Commission (FTC) degli Stati Uniti ha mandato per indagare e intraprendere azioni di applicazione per proteggere i consumatori da pratiche commerciali ingiuste e ingannevoli. Questa capacità di FTC è stata utilizzata per intervenire con le aziende che non hanno implementato ragionevoli misure di sicurezza dei dati e hanno informative su privacy e sicurezza materialmente inaccurate o fuorvianti, anche nelle politiche sulla riservatezza.

Cloudflare pubblica un Rapporto sulla trasparenza che riporta in dettaglio le richieste di divulgazione dei dati che riceviamo e in cui spieghiamo come rispondiamo. Come questione generale, se riceviamo una richiesta da qualsiasi agenzia governativa o di applicazione della normativa per i dati dei nostri clienti, ci impegniamo nel nostro DPA che, a meno che non sia legalmente proibito, informeremo ai nostri clienti tale richiesta. I clienti che vengano notificati di una richiesta legale in essere per i loro dati personali possono cercare di intervenire per impedirne la divulgazione. Nel caso in cui dovessimo trovare che tale richiesta presenta un conflitto di legge, ad esempio laddove il soggetto della richiesta sia residente in una giurisdizione non statunitense ci siamo impegnati nel nostro DPA a respingere tali richieste e a procedere per vie legali.

Sezione 702. La Sezione 702 del Foreign Intelligence Surveillance Act (FISA) è un'autorità che consente al governo degli Stati Uniti di richiedere comunicazioni di soggetti non statunitensi situati al di fuori degli Stati Uniti per scopi di intelligence estera. Il governo degli Stati Uniti utilizza la Sezione 702 per raccogliere il contenuto delle comunicazioni attraverso specifici "selettori", come ad es. gli indirizzi e-mail, associati a specifici obiettivi di intelligence estera. Poiché l'autorità viene solitamente utilizzata per raccogliere il contenuto delle comunicazioni, i "provider di servizi di comunicazione elettronica" invitati a conformarsi alla Sezione 702 sono in genere provider di posta elettronica o altri fornitori che hanno accesso al contenuto delle comunicazioni.

Come indicato nel nostro report sulla trasparenza, Cloudflare in genere non ha accesso a questo tipo di contenuti tradizionali dei clienti per i servizi principali. In aggiunta, Cloudflare ha assunto da molti anni un impegno pubblico in virtù del quale non abbiamo mai fornito a nessun governo feed dei contenuti dei nostri clienti che transitano sulla nostra rete e, se ci venisse chiesto di farlo, esauriremmo tutti i mezzi di ricorso al fine di proteggere i nostri clienti da quelle che riteniamo richieste illegali o incostituzionali.

Ordine esecutivo 12333. L'Ordine esecutivo 12333 governa la raccolta di intelligence estera delle agenzie di intelligence statunitensi che hanno come obiettivo soggetti non statunitensi situati al di fuori degli Stati Uniti. L'Ordine Esecutivo 12333 non ha disposizioni per obbligare l'assistenza delle società statunitensi.

Cloudflare si impegna da tempo a richiedere un procedimento legale prima di fornire a qualsiasi ente governativo l'accesso ai dati dei clienti al di fuori di un'emergenza. Pertanto, ai sensi dell'Ordine Esecutivo 12333, non ottemperiamo alle richieste volontarie di dati. Inoltre, Cloudflare è stato leader nell'incoraggiare una maggiore sicurezza per i dati in transito, sia per i contenuti che per i metadati, al fine di proteggere da sguardi indiscreti i dati personali di qualsiasi tipo. Nel 2014, ad esempio, abbiamo lanciato Universal SSL, rendendo la crittografia — che si era dimostrata costosa e complicata — gratuita per tutti i clienti Cloudflare. Nella settimana del lancio, abbiamo raddoppiato le dimensioni del web criptato. A causa del crescente numero di leggi con la crittografia nel mirino, abbiamo persino dichiarato di non aver mai indebolito, compromesso o sovvertito nessuna delle nostre cifrature su richiesta di un governo o di altre terze parti.

CLOUD Act. Il Clarifying Lawful Overseas Use of Data (CLOUD) Act non espande l'autorità investigativa degli Stati Uniti. I severi requisiti per l'applicazione delle normative per ottenere un mandato valido rimangono invariati. Il CLOUD Act si applica anche all'accesso ai contenuti che generalmente non archiviamo, come descritto sopra. È importante notare che l'applicazione delle normative cercherebbe in genere di ottenere dati dall'entità che ha un controllo efficace dei dati (ovvero i nostri clienti) piuttosto che dei provider di cloud.

Il CLOUD Act fornisce ai provider i meccanismi per presentare una petizione a un tribunale per annullare o modificare una richiesta legale che rappresenta un tale conflitto normativo. Tale processo consente inoltre al provider di rivelare l'esistenza della richiesta al governo straniero del cittadino interessato, se tale governo ha sottoscritto un accordo CLOUD Act con gli Stati Uniti. Cloudflare si è impegnata a contestare legalmente qualsiasi ordinanza che costituisca un tale conflitto normativo. Ad oggi, non abbiamo ricevuto ordinanze che a nostro avviso ponessero un simile conflitto.

Infine, tieni presente che il nostro DPA indica che, a meno che non sia legalmente non consentito, informeremo i clienti se siamo in grado di identificare quel processo legale di terze parti che richiede dati personali che elaboriamo per conto di tale cliente aumenta un conflitto normativo. I clienti che vengano notificati di una richiesta legale in essere per i loro dati personali possono cercare di intervenire per impedirne la divulgazione.

Poiché riteniamo che guadagnare e mantenere la fiducia dei clienti sia essenziale, CloudFlare ha messo in atto garanzie di protezione dei dati da ben prima delle modifiche API del 2022. Quando abbiamo pubblicato il nostro primissimo rapporto sulla trasparenza nel 2014 per un procedimento legale ricevuto nel 2013, ci siamo impegnati a richiedere la sussistenza di un procedimento legale prima di fornire a qualsiasi ente governativo dati dei clienti al di fuori di un'emergenza, nonché a fornire ai nostri clienti una notifica di qualsiasi procedimento legale che richieda dati sui loro clienti o relativi alla fatturazione prima di divulgarli, salvo non espressamente vietato per legge. Abbiamo dichiarato pubblicamente di non aver mai consegnato a nessun governo chiavi di crittografia né fornito feed di contenuti in transito nella nostra rete, e di non aver mai installato apparecchiature delle forze dell'ordine sulla nostra rete. Ci siamo inoltre impegnati, nel caso in cui ci fosse stato chiesto di fare una di queste cose, ad "esaurire tutti i mezzi di ricorso al fine di proteggere i nostri clienti da ciò che riteniamo essere richieste illegali o incostituzionali". Sin da quei primi giorni nella storia di Cloudflare, abbiamo ribadito questi impegni due volte l'anno, addirittura ampliandoli, nei nostri Rapporti sulla trasparenza.

Abbiamo anche dimostrato la nostra fiducia nella trasparenza e il nostro impegno nel proteggere i nostri clienti aprendo dei contenziosi, quando necessario. Nel 2013, con l'aiuto della Electronic Frontier Foundation, abbiamo contestato a livello legale una lettera di sicurezza nazionale degli Stati Uniti (NSL, National Security Letter), emessa a livello amministrativo, per proteggere i diritti dei nostri clienti a causa di disposizioni che consentivano al governo di impedirci di divulgare informazioni sulla NSL al cliente interessato. In risposta a tale richiesta, Cloudflare non ha fornito informazioni sui clienti, ma le disposizioni di non divulgazione sono rimaste in vigore fino a quando, nel 2016, un tribunale non ha revocato le restrizioni.

Abbiamo spesso dichiarato la nostra posizione secondo cui qualsiasi governo richiede dati personali che sono in conflitto con le leggi sulla privacy del paese di residenza di una persona dovrebbe essere legalmente contestata. Consulta ad esempio il nostro Rapporto sulla trasparenza e leggi il nostro whitepaper, Politiche di Cloudflare in merito alla privacy dei dati e alle richieste di applicazione della legge, sulle richieste sulle richieste del governo di dati. Coerentemente con la giurisprudenza degli Stati Uniti e i quadri normativi esistenti, Cloudflare può chiedere ai tribunali statunitensi di far decadere una richiesta da parte delle autorità statunitensi di dati personali che si basi su tale conflitto normativo.

Abbiamo aggiornato il nostro DPA standard affinché i clienti ora incorporino anche le misure e le garanzie supplementari sopra descritte come impegni contrattuali. È possibile visualizzare questi impegni contrattuali alla sezione 7 del nostro DPA.