Implementation of the CERN Cloud Policy

Author
fmoura
Type of notice
Alert
Expiry date

Text in French below

There is a global trend towards outsourcing computing services to third party providers via the World Wide Web. Since such “Cloud Services” can be more cost-effective than hosting those on-premises, it can be in CERN’s interest to use them. However, certain aspects of the Cloud Services' “Acceptable Use Policy” related to privacy, data protection & ownership, security need to be carefully assessed and data locality must comply with CERN’s privileges and immunities.

The Cloud Licence Office (CLO) has been established to provide guidance on the purchase and use of cloud services by members of CERN’s personnel, evaluate whether adverse conditions exist and whether the overall risks are acceptable to the Organization, and to authorize any site-wide purchase & usage of Cloud Services.

The CLO works in close contact and in cooperation with the Procurement and Industrial Services group (IPT-PI), the IT Consulting Team and the Software Licence Office (SLO). If needed it liaises with the Computer Security Officer (CSO), the Office of Data Privacy Protection (ODPP) and with the Legal Service.

The CLO operates on the basis of a Policy for Cloud Usage. As per this policy, each of the two categories below is linked with specific obligations:

  • Entreprise Clouds: Require a contract with CERN following previous consultation and approval by the CLO. For this case, please collect the information and documents described in Questions to Enterprise Cloud providers before contacting the CLO.
  • Public Clouds: They can be used by individuals without conclusion of a contract with the service provider if the following criteria are met: no CERN legally protected data involved, confidential data restrictions strictly adhered to with appropriate access controls, and possibility to transfer all CERN data onsite or to another account when required. The usage of public clouds is allowed provided the service is registered in the list of certified public clouds maintained by the CLO. To be added to such list a public cloud must have satisfactorily completed the CERN Self-assessment of Public Clouds.

Cloud Licence Officer: Ignacio Reguero

Deputy: Vincent Nicolas Bippus

Contact: The Cloud Licence Office is reachable via https://cern.service-now.com/service-portal/function.do?name=it-cloud-licence or “cloud-licence-officer@cern.ch”.

Cloud Licence Office Web Site: https://cloud-licence-office.web.cern.ch/

 

Mise en œuvre de la politique d’informatique en nuage du CERN

Il y a une tendance générale à l'externalisation des services informatiques à des fournisseurs tiers via le World Wide Web. Faire appel aux services de fournisseurs de nuages (cloud services) peut en effet s’avérer plus économique que l'hébergement sur site, ce qui peut présenter un certain intérêt pour le CERN. Toutefois, certains aspects de la « politique d'utilisation acceptable » des services en nuages liés à la confidentialité, à la protection et à la propriété des données, et à la sécurité doivent être soigneusement évalués, et la localisation des données se doit d’être conforme aux privilèges et immunités du CERN.

Le bureau des licences de services informatiques en nuages (Cloud Licence Office, CLO) a été créé pour prodiguer des conseils sur l'achat et l'utilisation des services en nuages par les membres du personnel du CERN : il évalue si certaines conditions sont défavorables et si les risques globaux sont acceptables pour l'Organisation, et autorise l’achat et l’utilisation de ces services à l’échelle de l’Organisation.

Le CLO travaille en étroite collaboration avec le groupe Achats et services industriels (IPT-PI), l'équipe de consultants en informatique et le bureau des licences logicielles (SLO). Au besoin, il assure la liaison avec le responsable de la sécurité informatique (CSO), le bureau de protection des données personnelles (ODPP) et le service juridique.

Le CLO fonctionne sur la base de la politique pour l’utilisation de l’informatique en nuage. Conformément à cette politique, chacune des deux catégories ci-dessous doit répondre à des obligations spécifiques :

  • Nuages d'entreprise : ils nécessitent l’établissement d’un contrat avec le CERN à la suite d'une consultation préalable et de l'approbation du CLO. Dans ce cas, veuillez consulter les informations et les documents disponibles sur la page « Questions to Enterprise Cloud providers » (en anglais) avant de contacter le CLO.
  • Nuages ​​publics : ils peuvent être utilisés sans l’établissement d'un contrat avec le fournisseur de services si les critères suivants sont respectés : les données protégées par le CERN ne sont pas concernées, les restrictions sur les données confidentielles sont strictement respectées, il y a possibilité de rapatrier toutes les données du CERN sur site ou sur un autre compte si nécessaire. L'utilisation de nuages publics est autorisée à condition que le service soit enregistré dans la liste des nuages publics certifiés par le CLO. Pour être ajouté à cette liste, un nuage public doit avoir rempli de manière satisfaisante l'auto-évaluation des nuages ​​publics au CERN (en anglais). 

Cloud Licence Officer : Ignacio Reguero

Adjoint : Vincent Nicolas Bippus

Contact : Vous pouvez contacter le Cloud Licence Office sur : https://cern.service-now.com/service-portal/function.do?name=it-cloud-licence ou en écrivant à cloud-licence-officer@cern.ch.

Site Web du Cloud Licence Office : https://cloud-licence-office.web.cern.ch/

Last modified
12 Jun 2018