GDPR και Cloud Computing – Προκλήσεις και Ευκαιρίες

Ο νέος Γενικός Κανονισμός για την Προστασία Δεδομένων της ΕΕ (GDPR) θα τεθεί σε ισχύ στις 25 Μαΐου 2018. Ως εκ τούτου, οι εταιρείες όλων των μεγεθών πρέπει να επανεξετάσουν τις αλλαγές που επιφέρει ο GDPR και να προσδιορίσουν τις οργανωτικές και τεχνικές επιπτώσεις που αφορούν ειδικά αυτές. Με λιγότερο από έναν μήνα πριν από την επιβεβλημένη προθεσμία, πολλές εταιρείες δεν θεωρούνται ακόμη “GDPR-ready”. Πολλές από αυτές αγωνίζονται να εφαρμόσουν τις κατάλληλες πολιτικές ασφάλειας πληροφορικής και προστασίας της ιδιωτικότητας. Το cloud computing και το αυξημένο επίπεδο προστασίας δεδομένων θα πρέπει να συμβαδίζουν. Εκτός από κάποιες αρχικές ανησυχίες, οι νέες κανονιστικές προκλήσεις θα μπορούσαν ενδεχομένως να ανοίξουν νέες ευκαιρίες τόσο για τους παρόχους cloud όσο και για τους χρήστες cloud.

TLDR? Μεταβείτε στα έξι βασικά κριτήρια…

Εισαγωγή

Η προστασία δεδομένων και η ασφάλεια δεδομένων βρίσκονται όλο και περισσότερο στο επίκεντρο της προσοχής κατά την πορεία της ψηφιοποίησης. Θεωρούνται βασικό προσόν για την επιτυχή πορεία προς τον ψηφιακό μετασχηματισμό.

Το υπόβαθρο και ο στόχος του GDPR είναι η εναρμόνιση μεταξύ των κρατών μελών της ΕΕ, ώστε να ισχύει ένας ενιαίος νόμος για την προστασία των δεδομένων στην ευρωπαϊκή ζώνη και ταυτόχρονα να βελτιωθεί η νομική θέση των ενδιαφερομένων. Ακολουθούν μερικές από τις σημαντικότερες αλλαγές υπό το πρίσμα του GDPR:

• Τα πρόστιμα για παραβάσεις αυξάνονται σημαντικά – έως και 2 ή 4 τοις εκατό των ετήσιων εσόδων, ανάλογα με τη σοβαρότητα της παράβασης.
• Τα δικαιώματα των επηρεαζόμενων ατόμων ενισχύονται σημαντικά από τις απαιτήσεις διαφάνειας και ενημέρωσης.
• Εκτός από τις γνωστές υποχρεώσεις σχετικά με την προστασία των δεδομένων, εισάγονται νέες υποχρεώσεις, για παράδειγμα για τη φιλική προς την ιδιωτικότητα προεπιλεγμένη ρύθμιση των ηλεκτρονικών συσκευών.
• Ο νέος κανονισμός ισχύει επίσης για εταιρείες που δεν έχουν την έδρα τους στην ΕΕ αλλά συλλέγουν δεδομένα από πολίτες της ΕΕ.

Οι Προκλήσεις

Τα στελέχη λήψης αποφάσεων των επιχειρήσεων και οι ειδικοί σε θέματα ασφάλειας αναρωτιούνται τώρα πώς θα είναι οι νέοι κανονισμοί του GDPR. Και πώς θα πρέπει να προετοιμάσουν και να πραγματοποιήσουν την εφαρμογή του GDPR. Επιπλέον, το ερώτημα της “GDPR-readiness” απασχολεί έντονα τους Υπεύθυνους Ασφάλειας Πληροφοριών (CISOs).

Ένας μεγάλος αριθμός υπευθύνων λήψης αποφάσεων στις επιχειρήσεις θα σκεφτεί ότι πρόκειται για “έναν ακόμη νέο κανονισμό από τις Βρυξέλλες που κανείς δεν θα προσέξει ποτέ”. Ωστόσο, υπάρχουν καλοί λόγοι για να ληφθεί υπόψη ο GDPR. Πρώτα απ' όλα, οι αλλαγές στον κανονισμό θα ενισχύσουν τα δικαιώματα όλων των ενδιαφερομένων. Αυτό μπορεί να οδηγήσει σε σημαντικές οικονομικές κυρώσεις όταν πρόκειται για μελλοντικές παραβιάσεις δεδομένων που επηρεάζουν πολίτες της ΕΕ.

Εκτός από μια πιθανή υλική ζημία, μια πιθανή ζημία στην εταιρική φήμη είναι επίσης εξαιρετικά σημαντική. Τα μέσα ενημέρωσης επιδιώκουν να δημοσιοποιούν ζητήματα ιδιωτικότητας. Αυτό είναι ένα προειδοποιητικό καμπανάκι για όλες τις εταιρείες που δεν έχουν ακόμη επιστρατεύσει την τεχνογνωσία που απαιτείται για τη συμμόρφωση με τις νέες απαιτήσεις. Αυτό συμβαίνει επειδή με την έναρξη ισχύος του GDPR τον Μάιο του 2018, τα πρόστιμα θα αυξηθούν δραστικά. Με πρόστιμα έως 20 εκατομμύρια € ή έως και 4% του ετήσιου κύκλου εργασιών, το θέμα του GDPR έχει προσελκύσει την προσοχή σε επίπεδο διοίκησης για εταιρείες όλων των μεγεθών.

Ο GDPR στο πλαίσιο του cloud computing

Οι νέοι κανονισμοί σχετικά με την προστασία δεδομένων” αποτελούν τόσο πρόκληση όσο και ευκαιρία. Ένας βασικός δείκτης για την “GDPR readiness” είναι η νοοτροπία προστασίας δεδομένων εντός των εταιρειών και το επίπεδο προστασίας δεδομένων που παρέχεται, δηλαδή το τι, πού και πώς λειτουργούν οι κρίσιμες για την επιχείρηση εργασίες σε υποδομές cloud.

Για πολλές εταιρείες, ο GDPR αποτελεί ένα περίπλοκο έργο. Οι νομικές, τεχνικές και οργανωτικές προκλήσεις που επιφέρει ο GDPR έχουν μέχρι στιγμής διευθετηθεί μόνο εν μέρει. Ιδιαίτερα στην περίπτωση μεγάλων έργων μετάβασης στο περιβάλλον του cloud computing, στο περιβάλλον του IoT ή σε σενάρια big data, η καθημερινή επιχειρηματική δραστηριότητα αφήνει λίγο χρόνο για ενασχόληση με την εφαρμογή του GDPR. Ωστόσο, εκτός από τις πολυάριθμες προκλήσεις υλοποίησης, ο GDPR προσφέρει επίσης την ευκαιρία για διάκριση μέσω του επανακαθορισμού και της εφαρμογής νέων στρατηγικών προστασίας δεδομένων και ασφάλειας πληροφορικής (IT), ιδίως στο πλαίσιο του cloud computing.

Ως εκ τούτου, το θέμα του cloud computing εγείρει πολλά ερωτήματα στο πλαίσιο του GDPR. Με τεχνικούς όρους, το cloud computing είναι μια σύμβαση επεξεργασίας δεδομένων. Συνεπώς, ο χρήστης του cloud θα πρέπει να γνωρίζει πλήρως και ανά πάσα στιγμή τον τρόπο με τον οποίο ο πάροχος επεξεργάζεται τα δεδομένα του. Οι πάροχοι υπηρεσιών cloud και οι πάροχοι πόρων υποστηρίζουν μόνο τις λειτουργίες τους και εξαρτώνται από τις νομικές απαιτήσεις της υπεύθυνης αρχής. Με άλλα λόγια, τόσο οι πάροχοι cloud όσο και οι επιχειρήσεις πρέπει να πληρούν τις ελάχιστες νομικές απαιτήσεις για κάθε υπηρεσία cloud βάσει του GDPR.

Πώς να επωφεληθείτε από τις πιθανές προκλήσεις πίσω από τον GDPR; Υπάρχουν δύο κύρια ερωτήματα. Από τη μία πλευρά, οι εταιρείες πρέπει να γνωρίζουν ποιους παρόχους cloud μπορούν να εμπιστευτούν. Από την άλλη πλευρά, οι εταιρείες πρέπει να γνωρίζουν ποια τεχνικά και οργανωτικά μέτρα πρέπει να λάβουν προκειμένου να είναι “συμβατές με τον GDPR”.

Ευκαιρίες και υποχρεώσεις για τους CISOs – ο κατάλληλος συνεργάτης cloud

Ο κατάλληλος συνεργάτης cloud μπορεί να αποτελέσει έναν πολύτιμο σύμμαχο υπό το πρίσμα του GDPR. Καθώς με την τεχνογνωσία του στη συμμόρφωση και την ασφάλεια μπορεί να βοηθήσει την εταιρεία σας να γίνει “έτοιμη για τον GDPR”.

Εάν εφαρμόζετε μια στρατηγική multi-cloud, πρέπει να αξιολογήσετε τις πολιτικές προστασίας δεδομένων κάθε παρόχου cloud. Οι υβριδικές και multi-cloud προσεγγίσεις είναι πολύ πιο περίπλοκες στον συντονισμό και, ως εκ τούτου, ενδέχεται να παρουσιάζουν υψηλότερο κίνδυνο για την προστασία των δεδομένων. Η πληθώρα διαφορετικών παρόχων cloud, ιδίως στο περιβάλλον του δημόσιου cloud, δυσκολεύει τους CISOs να διασφαλίσουν τη συμμόρφωση με τον GDPR. Η συμμόρφωση με τον GDPR είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της. Για παράδειγμα, μια παραβίαση ή μη συμμόρφωση από έναν μόνο πάροχο cloud στο πλαίσιο μιας multi-cloud υλοποίησης μπορεί να υπονομεύσει όλες τις προσπάθειες για μια επιτυχημένη συμμόρφωση με τον GDPR.

Έξι Βασικά Κριτήρια

Παρακάτω έχουμε καταγράψει ένα σύντομο σύνολο κριτηρίων που μπορείτε να χρησιμοποιήσετε για να αξιολογήσετε τους πιθανούς συνεργάτες σας στο cloud (όσον αφορά τη συμμόρφωσή τους με τον GDPR):

Ασφάλεια και Ιδιωτικότητα

Το πρώτο βήμα είναι να αξιολογήσετε σε ποιο βαθμό ο πάροχος είναι σε θέση να συμμορφωθεί με τις απαιτήσεις ασφάλειας πληροφορικής (IT) που έχετε θέσει. Ένας εύκολος τρόπος με τον οποίο οι πάροχοι cloud μπορούν να αποδείξουν τη συμμόρφωσή τους με την ασφάλεια και το “Privacy by Design” είναι να διαθέτουν πιστοποίηση ISO 27001 ή ISO 27018. Εάν όχι, μπορούν να το αποδείξουν μέσω μιας διενεργηθείσας εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων (DPIA) ή/και μιας αξιολόγησης ασφάλειας.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Συμμόρφωση CloudSigma

Η CloudSigma είναι πιστοποιημένη κατά ISO 27001, διασφαλίζοντας ότι όλες οι πτυχές της υποδομής και των υπηρεσιών μας που χρησιμοποιούνται για την παροχή και τη διαχείριση του cloud σας συμμορφώνονται με το υψηλότερο πρότυπο πιστοποίησης ISO όσον αφορά την ασφάλεια και το απόρρητο των δεδομένων.
[/vc_column] [/row]

Διαχείριση Κινδύνου

Οι εταιρείες που εργάζονται με ένα ευρύ φάσμα κρίσιμων δεδομένων πρέπει να παρέχουν επαρκείς εγγυήσεις (σύμφωνα με το Άρθρο 28 του Κανονισμού GDPR). Αυτές οι εγγυήσεις πρέπει να αποδεικνύουν ότι ο υπεύθυνος επεξεργασίας δεδομένων χρησιμοποιεί:

“Μόνο εκτελούντες την επεξεργασία που παρέχουν επαρκείς διαβεβαιώσεις για την εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων. Και κατά τρόπο ώστε η επεξεργασία να πληροί τις απαιτήσεις του παρόντος κανονισμού και να διασφαλίζει την προστασία των δικαιωμάτων του υποκειμένου των δεδομένων.”

Επομένως, πρέπει να βεβαιωθείτε ότι ο πάροχος cloud που χρησιμοποιείτε διενεργεί τακτικούς ελέγχους για την αναθεώρηση. Επίσης, βαθμολόγηση και αξιολόγηση των τεχνικών και οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας. Επιπλέον, πρέπει να βεβαιωθείτε ότι ο συνεργάτης cloud παρέχει το δικαίωμα ελέγχου στους πελάτες του.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Συμμόρφωση CloudSigma

Ως πελάτης οποιασδήποτε πλατφόρμας cloud της CloudSigma, έχετε επίσημα το δικαίωμα να πραγματοποιείτε έλεγχο ασφάλειας, λειτουργιών και διαδικασιών σε σχέση με τις υπηρεσίες που σας παρέχουμε.
[/vc_column] [/vc_row]

Τοποθεσία Δεδομένων

Θα πρέπει πάντα να γνωρίζετε τη γενική τοποθεσία των δεδομένων σας. Ωστόσο, δεν παρέχουν όλοι οι συνεργάτες cloud την απαραίτητη διαφάνεια σχετικά με τις τοποθεσίες cloud. Σημειώστε ότι η έδρα του παρόχου cloud ενδέχεται να μην είναι απαραίτητα η τοποθεσία φιλοξενίας των δεδομένων σας. Επιπλέον, ορισμένες εταιρείες ενδέχεται να μεταφέρουν τα δεδομένα σας μεταξύ διαφορετικών τοποθεσιών cloud στο παρασκήνιο, χωρίς να σας ενημερώσουν. Αυτό μπορεί να αποτελεί μέρος των Όρων Χρήσης του συνεργάτη cloud. Τέλος, οι πάροχοι υπηρεσιών cloud ενδέχεται να αποθηκεύουν δεδομένα σε πολλαπλές τοποθεσίες. Και ορισμένες από αυτές ενδέχεται να βρίσκονται εκτός του ΕΟΧ. Ως Υπεύθυνος Επεξεργασίας Δεδομένων, πρέπει να ορίσετε μια στρατηγική cloud πολλαπλών χωρών για να συμμορφώνεστε με τις απαιτήσεις επάρκειας καθώς και με τους νόμους περί εντοπιότητας των δεδομένων.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Συμμόρφωση CloudSigma

Ως μέρος των Όρων Χρήσης, η CloudSigma είναι δομημένη έτσι ώστε να διαχωρίζει νομικά τις τοποθεσίες cloud ανά χώρα. Ως αποτέλεσμα, κάθε τοποθεσία υπόκειται αποκλειστικά στο τοπικό νομικό πλαίσιο. Όλα αυτά προσφέροντας παράλληλα μια 100% τοπική λύση cloud για τους τελικούς πελάτες.
Οι τοποθεσίες επίσης δεν είναι τεχνικά διασυνδεδεμένες και η CloudSigma εξασφαλίζει την υψηλότερη διαφάνεια σχετικά με την ακριβή τοποθεσία των δεδομένων, τα οποία δεν θα μεταφερθούν ποτέ μεταξύ τοποθεσιών cloud.
[/vc_column] [/vc_row]

Χαρακτηριστικά Ασφαλείας

Ο GDPR απαιτεί μια σειρά από εγγυήσεις προστασίας δεδομένων, από την κρυπτογράφηση σε αδράνεια και κατά τη μεταφορά έως τους ελέγχους πρόσβασης και την ψευδωνυμοποίηση και ανωνυμοποίηση δεδομένων. Για να το επιτύχετε αυτό, επιλέξτε έναν συνεργάτη cloud που διαθέτει αρκετά χαρακτηριστικά ασφαλείας για να επιλέξετε. Για παράδειγμα – αντίγραφα ασφαλείας, κρυπτογράφηση, πολιτικές ελέγχου πρόσβασης και άλλα. Εάν ο συνεργάτης cloud που χρησιμοποιείτε δεν διαθέτει τέτοια πολιτική, πρέπει να φροντίσετε εσείς οι ίδιοι για τα χαρακτηριστικά ασφαλείας.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Συμμόρφωση CloudSigma

Η CloudSigma προσπαθεί να παρέχει υψηλό βαθμό ασφάλειας και ιδιωτικότητας για τους πελάτες με μια επιλογή χαρακτηριστικών και εργαλείων που τους επιτρέπουν να ασφαλίζουν τις διάφορες πτυχές του υπολογιστικού τους περιβάλλοντος. Στο ιστολόγιό μας οι πελάτες μπορούν να βρουν μια σειρά από άρθρα που περιγράφουν τα διάφορα χαρακτηριστικά ασφαλείας όπως κρυπτογράφηση σε επίπεδο εκκίνησης, πολιτικές ελέγχου πρόσβασης, επαλήθευση δύο βημάτων, κλειδιά SSH και άλλα.
[/vc_column] [/vc_row]

Mi

Ιδιοκτησία Δεδομένων

Ως πελάτης ενός παρόχου cloud, είστε ο Υπεύθυνος Επεξεργασίας Δεδομένων (Data Controller). Αυτό σημαίνει ότι πρέπει να διατηρείτε τον έλεγχο και την ιδιοκτησία των δικών σας δεδομένων. Μπορείτε να το επιτύχετε αυτό υπογράφοντας ένα Συμφωνητικό Επεξεργασίας Δεδομένων (Data Processing Agreement - DPA) με τον συνεργάτη σας στο cloud, ώστε να διασφαλίσετε ότι ο συνεργάτης συμμορφώνεται με τις απαιτήσεις προστασίας του απορρήτου των δεδομένων σύμφωνα με τον GDPR. Μπορείτε είτε να συντάξετε το δικό σας είτε να ελέγξετε αν ο συνεργάτης σας στο cloud έχει δημιουργήσει ένα DPA ως τυπικό μέρος των Όρων Παροχής Υπηρεσιών. Το πλεονέκτημα της χρήσης του δικού σας είναι ότι μπορείτε να καθορίσετε τον τύπο των προσωπικών δεδομένων και των «ειδικών» δεδομένων που συλλέγονται. Ανεξάρτητα από το αν χρησιμοποιείτε το DPA του συνεργάτη σας ή το δικό σας, βεβαιωθείτε ότι οι όροι αναφέρουν σαφώς ότι ο Υπεύθυνος Επεξεργασίας Δεδομένων (δηλαδή εσείς) είναι ο ιδιοκτήτης των δεδομένων και ότι ο Εκτελών την Επεξεργασία Δεδομένων (δηλαδή ο συνεργάτης cloud) δεν θα κοινοποιήσει τα δεδομένα σε τρίτους.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Συμμόρφωση CloudSigma

Η CloudSigma έχει δημιουργήσει ένα Συμφωνητικό Επεξεργασίας Δεδομένων (DPA), το οποίο επιτρέπει στους πελάτες να συμμορφώνονται με τις υποχρεώσεις τους βάσει του GDPR. Έχουμε ενημερώσει τα σχετικά μέρη των Όρων Παροχής Υπηρεσιών και της Πολιτικής Απορρήτου μας ώστε να αναφέρονται στο DPA και να συμμορφώνονται με τον GDPR.
Επιπλέον, η τυπική μας Πολιτική Απορρήτου είναι ένα εξαιρετικά διαφανές έγγραφο που περιγράφει όλη τη συλλογή, αποθήκευση και χρήση των δεδομένων των πελατών στο cloud.
Οι πελάτες διατηρούν πλήρη και αποκλειστική πρόσβαση σε επίπεδο συστήματος αρχείων στα δεδομένα τους. Το σύστημα της CloudSigma δεν έχει πρόσβαση ή ορατότητα στο εσωτερικό των VMs ή των δίσκων. Το σύστημα διαχείρισης cloud της CloudSigma εφαρμόζει ένα πλαίσιο ελέγχου πρόσβασης που περιορίζει τα δικαιώματα και την πρόσβαση των εργαζομένων, καθώς και καταγράφει τις ενέργειες που πραγματοποιούνται στο σύστημα.
[/vc_column] [/vc_row]

Διαγραφή Δεδομένων

Πρέπει να βεβαιωθείτε ότι μόλις λήξει το συμβόλαιό σας με τον συνεργάτη cloud, μπορείτε να κατεβάσετε/διαγράψετε τα δεδομένα. Επίσης, ότι ο συνεργάτης cloud θα διαγράψει τα δεδομένα μόλις τερματίσετε την υπηρεσία. Ορισμένοι πάροχοι cloud (ειδικά όταν είναι πιστοποιημένοι κατά ISO) χρησιμοποιούν τυποποιημένη πολιτική για τη διαγραφή δεδομένων μετά τη λήξη του συμβολαίου. Προσπαθήστε να μάθετε πόσος χρόνος χρειάζεται για να διαγράψει ο πάροχος cloud τα δεδομένα σας.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Συμμόρφωση CloudSigma

Στην CloudSigma, το σύστημα χειρίζεται αυτόματα όλα τα δεδομένα των πελατών. Αυτό περιλαμβάνει τη διαγραφή δίσκων, την προγραμματισμένη διαγραφή για καταργημένους λογαριασμούς κ.λπ.
Η CloudSigma δεν κρατά αντίγραφα των δεδομένων των δίσκων των πελατών. Το μοναδικό αντίγραφο βρίσκεται στο cloud μας, εκτός εάν ο πελάτης επιλέξει να κλωνοποιήσει τον δίσκο σε άλλο σύστημα αποθήκευσης.
Επιπλέον, ως μέρος του Συμφωνητικού Επεξεργασίας Δεδομένων, μπορείτε να ζητήσετε τη διόρθωση, διαγραφή, δέσμευση ή/και διάθεση των δεδομένων σας κατά τη διάρκεια ή μετά τον τερματισμό της χρήσης της υπηρεσίας σας.
[/vc_column] [/vc_row]

Πόσο “έτοιμη για τον GDPR” είναι η δική σας εταιρεία σήμερα;

Μη διστάσετε να επικοινωνήσετε μαζί μας στο dpo (at) cloudsigma.com για περισσότερες πληροφορίες σχετικά με την CloudSigma και τον GDPR.

Πηγές:

• Crisp Research
• Cloud Industry Forum
• BrightTALK
• ScienceDirect