Cloudflare e la conformità al Privacy Act

Cloudflare è una società di sicurezza, prestazioni e affidabilità con sede negli Stati Uniti con operazioni globali, incluso un ufficio in Australia che offre un'ampia gamma di servizi di rete ad aziende di tutte le dimensioni e in tutte le aree geografiche. Aiutiamo a rendere più sicuri i siti Web dei nostri clienti e le applicazioni Internet, miglioriamo le prestazioni delle loro applicazioni critiche per le imprese ed eliminiamo i costi e la complessità della gestione hardware di singole reti. La rete globale di Cloudflare, alimentata da oltre 200 server Edge in tutto il mondo, come descritto qui, funge da base su cui possiamo sviluppare e implementare rapidamente i nostri prodotti per i nostri clienti.

Cloudflare non ha accesso né controllo sui dati che i clienti scelgono di trasmettere, indirizzare, scambiare e memorizzare nella cache attraverso la nostra rete globale. In un numero limitato di casi, i prodotti Cloudflare possono essere utilizzati per l'archiviazione di contenuti. A prescindere dai servizi Cloudflare che utilizzino, tuttavia, i nostri clienti sono integralmente responsabili della loro conformità alla legge applicabile e dei loro accordi contrattuali indipendenti in relazione ai dati che scelgono di trasmettere, indirizzare, scambiare, memorizzare nella cache o conservare tramite la rete globale Cloudflare.

I tipi di dati personali che Cloudflare elabora per conto del cliente dipendono da quali servizi Cloudflare vengono implementati. La stragrande maggioranza dei dati che transitano nella rete di Cloudflare rimane sui server Edge di Cloudflare, mentre i metadati relativi a questa attività vengono elaborati per conto dei nostri clienti nel nostro datacenter principale negli Stati Uniti e in Europa.

Cloudflare mantiene i dati di log sugli eventi sulla nostra rete. Alcuni di questi dati di log includono informazioni sui visitatori e/o utenti autorizzati di domini, reti, siti Web, interfacce di programmazione delle applicazioni (API) o applicazioni del cliente, incluso il prodotto Cloudflare Zero Trust, a seconda dei casi applicabili. Tali metadati contengono dati personali estremamente limitati, il più delle volte sotto forma di indirizzi IP. Elaboriamo questo tipo di informazioni per conto dei nostri clienti nei nostri datacenter principali negli Stati Uniti e in Europa per un periodo di tempo limitato.

Cloudflare considera la sicurezza un elemento fondamentale per garantire la privacy dei dati. Sin dal lancio di Cloudflare nel 2010, abbiamo rilasciato una serie di tecnologie all'avanguardia che migliorano la privacy, generalmente in anticipo rispetto al resto del settore. Tra le altre cose, questi strumenti consentono ai nostri clienti di crittografare facilmente il contenuto delle comunicazioni tramite SSL universale, crittografare i metadati nelle comunicazioni utilizzando DNS-over-HTTPS o DNS-over-TLS e SNI crittografati, e controllare dove sono conservate le loro chiavi SSL o dove viene ispezionato il loro traffico.

Cloudflare mantiene un programma di sicurezza in conformità con gli standard del settore. Il nostro programma di sicurezza include il mantenimento di formali politiche e procedure di sicurezza, la definizione di adeguati controlli di accesso logici e materiali, nonché l'implementazione di salvaguardie tecniche negli ambienti aziendali e di produzione, tra cui la creazione di configurazioni sicure, trasmissione e connessioni protette, registrazione, monitoraggio e tecnologie adeguate per la crittografia dei dati personali.

Attualmente manteniamo le seguenti certificazioni: conformità ISO 27001, ISO 27701, ISO 27018, SOC 2 Type II e PCI DSS Level 1. Puoi leggere ulteriori informazioni sulle nostre certificazioni e sui report qui.

Per visualizzare le misure di sicurezza offerte da Cloudflare per la protezione dei dati personali, inclusi quelli trasferiti dall'Australia agli Stati Uniti, consulta l'Allegato 2 del nostro DPA standard.

Con il Privacy Act, le organizzazioni che cercano di divulgare informazioni personali a un destinatario al di fuori dell'Australia devono garantire che il destinatario sia conforme agli APP. Il Data Processing Addendum (DPA) di Cloudflare, che copre i nostri obblighi per l'elaborazione dei dati personali per conto dei nostri clienti ed è integrato per riferimento nel nostro contratto di servizio aziendale e il nostro accordo di abbonamento autonomo, è considerato un passo ragionevole dall'Office of the Australian Information Commissioner ("OAIC") per legittimare i trasferimenti transfrontalieri, secondo i 13 APP.

In accordo con le linee guida emanate dall'OAIC, il nostro DPA rispetta gli APP e descrive:

• Le categorie dei dati trasferiti;

• I meccanismi di gestione dei reclami;

• Il piano di risposta alla violazione dei dati;

• Adeguate tutele tecniche e operative.

Cloudflare ha pubblicato il suo primissimo rapporto sulla trasparenza nel 2014 per un procedimento legale ricevuto nel 2013 e ci siamo impegnati a richiedere la sussistenza di un procedimento legale prima di fornire a qualsiasi ente governativo dati dei clienti al di fuori di un'emergenza, nonché a fornire ai nostri clienti una notifica di qualsiasi procedimento legale che richieda dati sui loro clienti o relativi alla fatturazione prima di divulgarli, salvo non espressamente vietato per legge. Abbiamo dichiarato pubblicamente di non aver mai consegnato a nessun governo chiavi di crittografia né fornito feed di contenuti in transito nella nostra rete, e di non aver mai installato apparecchiature delle forze dell'ordine sulla nostra rete. Ci siamo inoltre impegnati, nel caso in cui ci fosse stato chiesto di fare una di queste cose, ad "esaurire tutti i mezzi di ricorso al fine di proteggere i nostri clienti da ciò che riteniamo essere richieste illegali o incostituzionali". Sin da quei primi giorni nella storia di Cloudflare, abbiamo ribadito questi impegni due volte l'anno, addirittura ampliandoli, nei nostri Rapporti sulla trasparenza.

Abbiamo anche dimostrato la nostra fiducia nella trasparenza e il nostro impegno nel proteggere i nostri clienti aprendo dei contenziosi, quando necessario. Nel 2013, con l'aiuto della Electronic Frontier Foundation, abbiamo contestato a livello legale una lettera di sicurezza nazionale degli Stati Uniti ("NSL"), emessa a livello amministrativo, per proteggere i diritti dei nostri clienti a causa di disposizioni che consentivano al governo di impedirci di divulgare informazioni sulla NSL al cliente interessato. In risposta a tale richiesta, Cloudflare non ha fornito informazioni sui clienti, ma le disposizioni di non divulgazione sono rimaste in vigore fino a quando, nel 2016, un tribunale non ha revocato le restrizioni.

Abbiamo spesso dichiarato la nostra posizione secondo cui qualsiasi governo richiede dati personali che sono in conflitto con le leggi sulla privacy del paese di residenza di una persona dovrebbe essere legalmente contestata. Consulta ad esempio il nostro Rapporto sulla trasparenza e leggi il nostro whitepaper, Politiche di Cloudflare in merito alla privacy dei dati e alle richieste di applicazione della legge, sulle richieste sulle richieste del governo di dati. Coerentemente con la giurisprudenza degli Stati Uniti e i quadri normativi esistenti, Cloudflare può chiedere ai tribunali statunitensi di far decadere una richiesta da parte delle autorità statunitensi di dati personali che si basi su tale conflitto normativo.

Abbiamo aggiornato il nostro DPA standard affinché i clienti ora incorporino anche le misure e le garanzie supplementari sopra descritte come impegni contrattuali. È possibile visualizzare questi impegni contrattuali alla sezione 7 del nostro DPA.

Cloudflare ha sviluppato la Data Localization Suite, che aiuta le aziende a ottenere i vantaggi in termini di prestazioni e sicurezza della rete globale di Cloudflare, semplificando al contempo l'impostazione di regole e controlli ai margini su dove sono archiviati e protetti i loro dati.

La Data Localization Suite include alcune offerte esistenti con delle nuove funzionalità:

• Servizi regionali. Cloudflare ha datacenter in più di 200 città in oltre 100 Paesi. Regional Services, insieme alla nostra soluzione Geo Key Manager, consente ai clienti di scegliere le posizioni del datacenter in cui sono archiviate le chiavi TLS e dove avviene la terminazione TLS. Il traffico viene ingerito a livello globale, applicando le attenuazioni DDoS L3/L4, mentre le funzioni di sicurezza, prestazioni e affidabilità (come WAF, CDN, mitigazione DDoS, ecc.) vengono servite solo nei datacenter Cloudflare designati.

• Keyless SSL. Keyless SSL consente al cliente di archiviare e gestire le proprie chiavi private SSL per l'utilizzo con Cloudflare. I clienti possono impiegare una varietà di sistemi per il loro keystore, tra cui moduli di sicurezza hardware ("HSM"), server virtuali e hardware con Unix/Linux e Windows, ospitato in ambienti controllati dai clienti.

• Geo key Manager. Cloudflare ha una base clienti veramente internazionale e abbiamo imparato che clienti di tutto il mondo hanno requisiti normativi, giuridici e profili di rischio diversi per quanto concerne il posizionamento delle chiavi private. Con questa filosofia in mente, abbiamo deciso di progettare un sistema molto flessibile per decidere dove conservare le chiavi. Geo Key Manager permette ai clienti di limitare l'esposizione delle proprie chiavi private a determinate località. È simile a Keyless SSL, ma invece di dover eseguire un server chiave all'interno dell'infrastruttura, Cloudflare ospita i server chiave nelle posizioni preferite del cliente.