إن اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR) الجديدة ستدخل حيز التنفيذ في 25 مايو 2018. ونتيجة لذلك، يجب على الشركات من جميع الأحجام مراجعة التغييرات الصادرة عن GDPR وتحديد الآثار التنظيمية والفنية الخاصة بها. ومع بقاء أقل من شهر على الموعد النهائي المحدد، لا تزال العديد من الشركات لا تُعتبر "جاهزة للائحة GDPR". وتتسابق الكثير منها لتطبيق سياسات أمن تكنولوجيا المعلومات والخصوصية المناسبة. يجب أن يسير الحوسبة السحابية والمستوى المتزايد لحماية البيانات جنبًا إلى جنب. وبصرف النظر عن بعض المخاوف المبكرة، فإن التحديات التنظيمية الجديدة قد تفتح آفاقًا لفرص جديدة لمقدمي الخدمات السحابية ومستخدمي السحاب على حد سواء.
هل النص طويل جدًا؟ انتقل إلى المعايير الستة الرئيسية…
مقدمة
تسلط الأضواء بشكل متزايد على حماية البيانات وأمن البيانات في مسار التحول الرقمي. ويُنظر إليهما كعنصر أساسي للنجاح في المضي قدمًا في مسار التحول الرقمي.
إن خلفية وهدف لائحة GDPR هو تحقيق التوافق بين الدول الأعضاء في الاتحاد الأوروبي، بحيث يسري قانون موحد لحماية البيانات في منطقة الاتحاد الأوروبي وفي الوقت نفسه يتم تحسين الموقف القانوني للأشخاص المعنيين. وفيما يلي بعض من أهم التغييرات في ظل لائحة GDPR:
- تمت زيادة الغرامات المفروضة على الانتهاكات بشكل كبير – لتصل إلى 2 أو 4 بالمائة من الإيرادات السنوية، اعتمادًا على خطورة الانتهاك.
- تم تعزيز حقوق الأفراد المتضررين بشكل كبير من خلال متطلبات الشفافية والمعلومات.
- بالإضافة إلى الالتزامات المعروفة المتعلقة بحماية البيانات، تم إدخال التزامات جديدة، على سبيل المثال الإعدادات الافتراضية الصديقة للخصوصية للأجهزة الإلكترونية.
- تنطبق اللائحة الجديدة أيضًا على الشركات التي لا يقع مقرها في الاتحاد الأوروبي ولكنها تجمع بيانات من مواطني الاتحاد الأوروبي.
التحديات
يتساءل صناع القرار في الشركات وخبراء الأمن الآن عن الشكل الذي ستكون عليه لوائح GDPR الجديدة. وكيف ينبغي عليهم الاستعداد لتنفيذ لائحة GDPR وإجرائه. بالإضافة إلى ذلك، يتردد صدى سؤال “الجاهزية للائحة GDPR” لدى مسؤولي أمن المعلومات الرئيسيين (CISOs).
سيعتقد عدد كبير من صناع القرار في قطاع الأعمال أن هذه “مجرد لائحة جديدة أخرى من بروكسل لن يلاحظها أحد على الإطلاق”. ومع ذلك، هناك أسباب وجيهة لأخذ لائحة GDPR بعين الاعتبار. أولاً وقبل كل شيء، ستعمل تغييرات اللائحة على تعزيز حقوق جميع المعنيين. ويمكن أن يؤدي هذا إلى عقوبات مالية كبيرة عندما يتعلق الأمر بانتهاكات البيانات في المستقبل التي تؤثر على مواطني الاتحاد الأوروبي.
بالإضافة إلى الأضرار المادية المحتملة، فإن الضرر المحتمل الذي قد يلحق بسمعة الشركة يكتسب أيضًا أهمية كبيرة. وتعمل وسائل الإعلام على نشر قضايا الخصوصية. وتعد هذه طلقة تحذيرية لجميع الشركات التي لم توفر بعد الخبرة اللازمة للامتثال للمتطلبات الجديدة. وذلك لأنه مع دخول لائحة GDPR حيز التنفيذ في مايو 2018، ستتم زيادة الغرامات بشكل كبير. ومع فرض غرامات تصل إلى 20 مليون يورو أو ما يصل إلى 4% من حجم المبيعات السنوي، حظي موضوع GDPR بالاهتمام على مستوى الإدارة للشركات من جميع الأحجام.
لائحة GDPR في سياق الحوسبة السحابية
إن اللوائح الجديدة المتعلقة بحماية البيانات” تمثل تحديًا وفرصة في آن واحد. ويعد المؤشر الرئيسي لـ “الجاهزية للائحة GDPR” هو عقلية حماية البيانات داخل الشركات ومستوى حماية البيانات المقدم، مما يعني ما هي أعباء العمل الحساسة للأعمال وأين وكيف تعمل على البنى التحتية السحابية.
بالنسبة للعديد من الشركات، يُعد GDPR مشروعاً معقداً. فالتحديات القانونية والتقنية والتنظيمية التي يفرضها GDPR لم يتم التوفيق بينها إلا جزئياً حتى الآن. ولا سيما في حالة مشاريع الهجرة الكبيرة في بيئة الحوسبة السحابية، أو بيئة IoT، أو سيناريوهات البيانات الضخمة (big data)، فإن الأعمال اليومية لا تترك سوى القليل من الوقت للقلق بشأن تنفيذ GDPR. ومع ذلك، بالإضافة إلى تحديات التنفيذ العديدة، يتيح GDPR أيضاً الفرصة للتميز من خلال إعادة تحديد وتنفيذ استراتيجيات جديدة لحماية البيانات وأمن IT، خاصة في سياق الحوسبة السحابية.
ونتيجة لذلك، يثير موضوع الحوسبة السحابية العديد من الأسئلة في سياق GDPR. من الناحية التقنية، تُعد الحوسبة السحابية عقداً لمعالجة البيانات. وبالتالي، يجب أن يكون مستخدم السحابة على دراية كاملة بالطريقة التي يعالج بها المزود بياناته في جميع الأوقات. ولا يدعم مزودو السحابة ومزودو الموارد سوى وظائفهم ويعتمدون على المتطلبات القانونية للسلطة المسؤولة. وبعبارة أخرى، يجب على كل من مزودي السحابة والشركات تلبية الحد الأدنى من المتطلبات القانونية لكل خدمة سحابية بموجب GDPR.
كيف يمكن الاستفادة من التحديات المحتملة الكامنة وراء GDPR؟ هناك سؤالان رئيسيان. فمن ناحية، تحتاج الشركات إلى معرفة مزودي السحابة الذين يمكنهم الوثوق بهم. ومن ناحية أخرى، تحتاج الشركات إلى معرفة التدابير التقنية والتنظيمية التي يجب عليها اتخاذها لكي تكون “متوافقة مع GDPR”.
الفرص والالتزامات لـ CISOs – الشريك السحابي المناسب
يمكن للشريك السحابي المناسب أن يكون شريكاً قيماً في ضوء GDPR. حيث يمكنه، بفضل خبرته في مجالي الامتثال والأمن، مساعدة شركتك على أن تصبح “جاهزة لـ GDPR”.
إذا كنت تطبق استراتيجية السحابة المتعددة (multi-cloud)، فأنت بحاجة إلى تقييم سياسات حماية البيانات الخاصة بكل مزود سحابي. إن تنسيق النهج الهجين والمتعدد السحابة أكثر تعقيداً بكثير، وبالتالي قد ينطوي على مخاطر أعلى لحماية البيانات. إن تعدد مزودي السحابة المختلفين، لا سيما في بيئة السحابة العامة، يجعل من الصعب على CISOs ضمان الامتثال لـ GDPR. فالامتثال لـ GDPR قوي بقدر قوة الحلقة الأضعف فيه فقط. على سبيل المثال، يمكن أن يؤدي حدوث خرق أو عدم امتثال من جانب مزود سحابي واحد ضمن بيئة السحابة المتعددة إلى تقويض جميع الجهود المبذولة لتحقيق امتثال ناجح لـ GDPR.
ستة معايير رئيسية
لقد أدرجنا أدناه مجموعة سريعة من المعايير التي يمكنك استخدامها لتقييم شركائك السحابيين المحتملين (من حيث امتثالهم لـ GDPR):
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]الأمن والخصوصية
الخطوة الأولى هي تقييم مدى قدرة المزود على الامتثال لمتطلبات أمن IT الخاصة بك. إحدى الطرق السهلة التي يمكن لمزودي السحابة من خلالها إثبات الامتثال للأمن و“الخصوصية بالتصميم” (Privacy by Design) هي الحصول على شهادة ISO 27001 أو ISO 27018. وإذا لم يكن الأمر كذلك، فيمكنهم إثبات ذلك من خلال إجراء تقييم تأثير حماية البيانات (DPIA) و/أو تقييم أمني.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
امتثال CloudSigma
إن CloudSigma حاصلة على شهادة ISO 27001، مما يضمن توافق جميع جوانب بنيتنا التحتية وخدماتنا المستخدمة لتقديم وإدارة سحابتك مع أعلى معايير شهادات ISO فيما يتعلق بالأمن وخصوصية البيانات.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
إدارة المخاطر
يجب على الشركات التي تعمل مع مجموعة واسعة من البيانات الحساسة تقديم ضمانات كافية (وفقاً للمادة 28 من لائحة GDPR). ويجب أن تثبت هذه الضمانات أن مراقب البيانات يستخدم:
“فقط الجهات المعالجة التي تقدم ضمانات كافية لتنفيذ التدابير الفنية والتنظيمية المناسبة. وبطريقة تلبي بها المعالجة متطلبات هذه اللائحة وتضمن حماية حقوق صاحب البيانات.”
وبالتالي، يتعين عليك التأكد من أن مزود الخدمة السحابية الخاص بك يجري عمليات تدقيق منتظمة للمراجعة. وأيضاً، تقييم وتقدير التدابير الفنية والتنظيمية لضمان أمن المعالجة. بالإضافة إلى ذلك، تحتاج إلى التأكد من أن الشريك السحابي يمنح عملائه الحق في إجراء التدقيق.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
امتثال CloudSigma
بصفتك عميلاً لأي من منصات CloudSigma السحابية، فإنك مخول رسمياً لإجراء تدقيق على الأمن والعمليات والإجراءات فيما يتعلق بالخدمات التي نقدمها لك.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
موقع البيانات
يجب أن تعرف دائماً الموقع العام لبياناتك. ومع ذلك، لا يوفر لك جميع الشركاء السحابيين الشفافية اللازمة المتعلقة بالمواقع السحابية. يرجى ملاحظة أن المقر الرئيسي لمزود الخدمة السحابية قد لا يكون بالضرورة هو موقع استضافة بياناتك. بالإضافة إلى ذلك، قد تقوم بعض الشركات بنقل بياناتك بين مواقع سحابية مختلفة في الخلفية، دون إعلامك بذلك. قد يكون هذا جزءاً من شروط الخدمة الخاصة بالشريك السحابي. وأخيراً وليس آخراً، قد يقوم مقدمو الخدمات السحابية بتخزين البيانات في مواقع متعددة. وقد يكون بعضها خارج المنطقة الاقتصادية الأوروبية (EEA). وبصفتك مراقباً للبيانات، يتعين عليك تحديد استراتيجية سحابية متعددة البلدان للالتزام بمتطلبات الكفاية وقوانين توطين البيانات.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
امتثال CloudSigma
كجزء من شروط الخدمة الخاصة بنا، تم تصميم هيكلية CloudSigma للفصل القانوني بين المواقع السحابية حسب البلد. ونتيجة لذلك، يخضع كل موقع للإطار القانوني المحلي فقط. كل هذا مع تقديم حل سحابي محلي بنسبة 100% للعملاء النهائيين.
كما أن المواقع ليست مترابطة تقنياً، وتضمن CloudSigma أعلى درجات الشفافية فيما يتعلق بالموقع الدقيق للبيانات والذي لن يتم نقله أبداً بين المواقع السحابية.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
ميزات الأمان
تتطلب اللائحة العامة لحماية البيانات (GDPR) مجموعة من ضمانات حماية البيانات، بدءاً من التشفير أثناء السكون وأثناء النقل إلى ضوابط الوصول إلى إخفاء الهوية المستعار للبيانات وإخفاء الهوية بالكامل. ولتحقيق ذلك، اختر شريكاً سحابياً لديه ميزات أمان كافية للاختيار من بينها. على سبيل المثال – النسخ الاحتياطي، والتشفير، وسياسات التحكم في الوصول وغيرها. إذا لم يكن لدى شريكك السحابي مثل هذه السياسة، فستحتاج إلى تولي مسؤولية ميزات الأمان بنفسك.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
امتثال CloudSigma
تسعى CloudSigma جاهدة لتقديم درجة عالية من الأمان والخصوصية للعملاء مع مجموعة مختارة من الميزات والأدوات التي تتيح لهم تأمين الجوانب المختلفة لحوسبتهم. يمكن للعملاء العثور في مدونتنا على عدد من المقالات التي تصف ميزات الأمان المختلفة مثل التشفير على مستوى الإقلاع, ، وسياسات التحكم في الوصول، والتحقق بخطوتين، ومفاتيح SSH وغيرها.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
ملكية البيانات
بصفتك عميلاً لمزود خدمة سحابية، فإنك تعتبر مراقب البيانات (Data Controller). وهذا يعني أنه يجب عليك الحفاظ على التحكم في بياناتك الخاصة وملكيتها. يمكنك تحقيق ذلك من خلال توقيع اتفاقية معالجة البيانات (Data Processing Agreement) مع شريكك السحابي لضمان التزام الشريك بمتطلبات حماية خصوصية البيانات وفقًا للائحة العامة لحماية البيانات (GDPR). يمكنك إما صياغة اتفاقيتك الخاصة، أو التحقق مما إذا كان شريكك السحابي قد أنشأ اتفاقية معالجة بيانات (DPA) كجزء قياسي من شروط الخدمة. تكمن ميزة استخدام اتفاقيتك الخاصة في أنه يمكنك تحديد نوع البيانات الشخصية والبيانات "الخاصة" التي يتم جمعها. وبغض النظر عما إذا كنت تستخدم اتفاقية معالجة البيانات الخاصة بشريكك أو اتفاقيتك الخاصة، تأكد من أن الشروط تنص بوضوح على أن مراقب البيانات (أي أنت) يملك البيانات وأن معالج البيانات (أي الشريك السحابي) لن يشارك البيانات مع أطراف ثالثة.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
امتثال CloudSigma
لقد أنشأت CloudSigma اتفاقية معالجة البيانات (DPA)، والتي تمكن العملاء من الامتثال لالتزاماتهم بموجب اللائحة العامة لحماية البيانات (GDPR). لقد قمنا بتحديث الأجزاء ذات الصلة من وثائق شروط الخدمة وسياسة الخصوصية الخاصة بنا للإشارة إلى اتفاقية معالجة البيانات (DPA) والامتثال للائحة العامة لحماية البيانات (GDPR).
بالإضافة إلى ذلك، فإن سياسة الخصوصية القياسية لدينا هي وثيقة شفافة للغاية تصف جميع عمليات جمع وتخزين واستخدام بيانات العملاء في السحابة.
يحتفظ العملاء بالوصول الكامل والحصري إلى بياناتهم على مستوى نظام الملفات. لا يملك نظام CloudSigma إمكانية الوصول أو الرؤية داخل الأجهزة الافتراضية (VMs) أو محركات الأقراص. يطبق نظام إدارة السحابة في CloudSigma إطار عمل للتحكم في الوصول يحد من حقوق الموظفين وصلاحيات وصولهم، بالإضافة إلى تسجيل الإجراءات التي يتم اتخاذها على النظام.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
حذف البيانات
يتعين عليك التأكد من أنه بمجرد انتهاء عقدك مع الشريك السحابي، يمكنك تنزيل/مسح البيانات. وأيضًا أن الشريك السحابي سيقوم بحذف البيانات بمجرد إنهاء الخدمة. يستخدم بعض مزودي الخدمات السحابية (خاصة عندما يكونون معتمدين بموجب معيار ISO) سياسة موحدة لحذف البيانات بعد انتهاء صلاحية العقد. حاول معرفة الوقت الذي يستغرقه مزود الخدمة السحابية لحذف بياناتك.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
امتثال CloudSigma
في CloudSigma، يتعامل النظام تلقائيًا مع جميع بيانات العملاء. ويشمل ذلك حذف محركات الأقراص، والحذف المجدول للحسابات المهملة، وما إلى ذلك.
لا تحتفظ CloudSigma بنسخ من بيانات محرك أقراص العميل. النسخة الوحيدة موجودة في سحابتنا ما لم يقرر العميل استنساخ محرك الأقراص إلى نظام تخزين آخر.
بالإضافة إلى ذلك، وكجزء من اتفاقية معالجة البيانات الخاصة بنا، قد تطلب تصحيح بياناتك و/أو حذفها و/أو حظرها و/أو إتاحتها أثناء أو بعد إنهاء استخدامك للخدمة.
[/vc_column]
[/vc_row]
إذن، ما مدى جاهزية شركتك الخاصة لتكون “متوافقة مع GDPR” اليوم؟
لا تتردد في الاتصال بنا على dpo (at) cloudsigma.com للحصول على مزيد من المعلومات حول CloudSigma واللائحة العامة لحماية البيانات (GDPR).
المصادر:
التعليقات
لا توجد تعليقات بعد. كن أول من يعلق.