Az új EU általános adatvédelmi rendelet (GDPR) 2018. május 25-én lép hatályba. Ennek eredményeként a különböző méretű vállalatoknak át kell tekinteniük a GDPR által előírt változásokat, és azonosítaniuk kell a rájuk vonatkozó szervezeti és technikai következményeket. Kevesebb mint egy hónappal a megszabott határidő előtt sok vállalat még mindig nem tekinthető „GDPR-felkészültnek”. Sokan közülük kapkodva igyekeznek bevezetni a megfelelő IT-biztonsági és adatvédelmi irányelveket. A felhőalapú számítástechnikának és a magasabb szintű adatvédelemnek kéz a kézben kell járnia. A kezdeti bizonytalanságoktól eltekintve az új szabályozási kihívások potenciálisan új lehetőségeket nyithatnak meg mind a felhőszolgáltatók, mind a felhőfelhasználók számára.
TLDR? Ugorjon a hat kulcsfontosságú kritériumra…
Bevezetés
Az adatvédelem és az adatbiztonság a digitalizáció során egyre inkább a figyelem középpontjába kerül. Kulcsfontosságú tényezőnek tekintik őket a digitális transzformáció útjának sikeres követésében.
A GDPR háttere és célja az EU-tagállamok közötti harmonizáció, hogy az EU területén egységes adatvédelmi törvény legyen érvényben, és ezzel egyidejűleg javuljon az érintettek jogi helyzete. Íme néhány a legfontosabb változások közül a GDPR tükrében:
- A jogsértésekért kiszabható bírságok jelentősen növekednek – a jogsértés súlyosságától függően az éves árbevétel akár 2 vagy 4 százalékáig terjedhetnek.
- Az érintett személyek jogai jelentősen megerősödnek az átláthatósági és tájékoztatási követelmények révén.
- A jól ismert adatvédelmi kötelezettségek mellett új kötelezettségek is bevezetésre kerülnek, például az elektronikus eszközök adatvédelmet biztosító alapértelmezett beállításaira vonatkozóan.
- Az új szabályozás azokra a vállalatokra is vonatkozik, amelyek székhelye nem az EU-ban van, de EU-s állampolgárok adatait gyűjtik.
A kihívások
A vállalati döntéshozók és biztonsági szakértők most azt kérdezik maguktól, milyenek lesznek az új GDPR-szabályozások. És hogyan kellene felkészülniük és végrehajtaniuk a GDPR bevezetését. Emellett a “GDPR-felkészültség” kérdése a CISO-k körében is visszhangra talál.
Sok üzleti döntéshozó gondolhatja úgy, hogy ez “csak egy újabb brüsszeli szabályozás, amelyet senki sem fog észrevenni”. A GDPR-t azonban alapos okkal kell komolyan venni. Mindenekelőtt a szabályozás változásai megerősítik az összes érintett jogait. Ez jelentős pénzügyi szankciókhoz vezethet az EU-s állampolgárokat érintő jövőbeli adatvédelmi incidensek esetén.
A potenciális anyagi kár mellett a vállalati hírnév esetleges sérülése is rendkívül jelentős. A média előszeretettel hozza nyilvánosságra az adatvédelmi problémákat. Ez egy figyelmeztető lövés mindazon vállalatok számára, amelyeknek még össze kell gyűjteniük az új követelményeknek való megfeleléshez szükséges szakértelmet. Ez azért van így, mert a GDPR 2018. májusi hatálybalépésével a bírságok drasztikusan emelkednek. Az akár 20 millió eurós vagy az éves árbevétel legfeljebb 4%-át elérő bírságokkal a GDPR témája minden méretű vállalatnál vezetői szintű figyelmet kapott.
GDPR a felhőalapú számítástechnika kontextusában
Az adatvédelemre vonatkozó új szabályozások” egyszerre jelentenek kihívást és lehetőséget. A “GDPR-felkészültség” kulcsfontosságú mutatója a vállalatokon belüli adatvédelmi szemlélet és a biztosított adatvédelem szintje, ami azt jelenti, hogy milyen, hol és hogyan működnek az üzletileg kritikus munkafolyamatok a felhőinfrastruktúrákon.
Sok vállalat számára a GDPR egy összetett projekt. A GDPR által támasztott jogi, technikai és szervezési kihívásokat eddig csak részben sikerült összeegyeztetni. Különösen a felhőalapú számítástechnikai környezetben, az IoT-környezetben vagy a big data forgatókönyvekben megvalósuló nagy migrációs projektek esetében a napi üzletmenet kevés időt hagy a GDPR végrehajtásával való foglalkozásra. Azonban a számos végrehajtási kihívás mellett a GDPR lehetőséget kínál a kiemelkedésre is az új adatvédelmi és IT-biztonsági stratégiák újradefiniálása és megvalósítása révén, különösen a felhőalapú számítástechnika kontextusában.
Ennek eredményeként a felhőalapú számítástechnika témaköre számos kérdést vet fel a GDPR kontextusában. Technikai értelemben a felhőalapú számítástechnika egy adatfeldolgozási szerződés. Ezért a felhőfelhasználónak mindenkor teljes mértékben tisztában kell lennie azzal, hogyan dolgozza fel a szolgáltató az adatait. A felhőszolgáltatók és az erőforrás-szolgáltatók csak a saját funkcióikat támogatják, és a felelős hatóság jogi követelményeitől függenek. Más szóval, mind a felhőszolgáltatóknak, mind a vállalkozásoknak meg kell felelniük a minimális jogi követelményeknek minden egyes felhőszolgáltatás esetében a GDPR értelmében.
Hogyan lehet kihasználni a GDPR mögött rejlő potenciális kihívásokat? Két fő kérdés merül fel. Egyrészt a vállalatoknak tudniuk kell, mely felhőszolgáltatókban bízhatnak meg. Másrészt a vállalatoknak tudniuk kell, milyen technikai és szervezési intézkedéseket kell tenniük ahhoz, hogy “GDPR-megfelelőek” legyenek.
Lehetőségek és kötelezettségek a CISO-k számára – a megfelelő felhőpartner
A megfelelő felhőpartner értékes sparring partner lehet a GDPR fényében. Mivel a megfelelőség és a biztonság terén szerzett szakértelmükkel segíthetnek vállalatának “GDPR-felkészültté” válni.
Ha multi-cloud stratégiát alkalmaz, fel kell mérnie az egyes felhőszolgáltatók adatvédelmi irányelveit. A hibrid és multi-cloud megközelítések koordinálása sokkal összetettebb, ezért nagyobb adatvédelmi kockázatot jelenthetnek. A különböző felhőszolgáltatók sokasága, különösen a nyilvános felhőkörnyezetben, megnehezíti a CISO-k számára a GDPR-megfelelőség biztosítását. A GDPR-megfelelőség csak olyan erős, mint a leggyengébb láncszem. Például egyetlen felhőszolgáltató általi jogsértés vagy meg nem felelés egy multi-cloud környezetben meghiúsíthatja a sikeres GDPR-megfelelőségre irányuló összes erőfeszítést.
Hat kulcsfontosságú kritérium
Az alábbiakban összegyűjtöttünk néhány gyors kritériumot, amelyek segítségével értékelheti potenciális felhőpartnereit (a GDPR-megfelelőségük szempontjából):
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]Biztonság és adatvédelem
Az első lépés annak felmérése, hogy a szolgáltató milyen mértékben képes megfelelni az Ön IT-biztonsági követelményeinek. A felhőszolgáltatók egyik egyszerű módja a biztonságnak és a “Privacy by Design” (beépített adatvédelem) elvének való megfelelés igazolására az ISO 27001 vagy ISO 27018 tanúsítvány megléte. Ha nem rendelkeznek ilyennel, ezt egy elvégzett adatvédelmi hatásvizsgálat (DPIA) és/vagy biztonsági értékelés révén bizonyíthatják.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma megfelelőség
A CloudSigma ISO 27001 tanúsítvánnyal rendelkezik, biztosítva, hogy az Ön felhőjének kiszolgálására és kezelésére használt infrastruktúránk és szolgáltatásaink minden szempontból megfeleljenek a legmagasabb ISO tanúsítási szabványnak a biztonság és az adatvédelem terén.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Kockázatkezelés
A kritikus adatok széles körével dolgozó vállalatoknak megfelelő garanciákat kell nyújtaniuk (a GDPR rendelet 28. cikkével összhangban). Ezeknek a garanciáknak bizonyítaniuk kell, hogy az adatkezelő a következőket alkalmazza:
„Kizárólag olyan adatfeldolgozók, amelyek megfelelő garanciákat nyújtanak a megfelelő technikai és szervezési intézkedések végrehajtására. És oly módon, hogy az adatkezelés megfeleljen e rendelet követelményeinek, és biztosítsa az érintett jogainak védelmét.”
Ezért meg kell bizonyosodnia arról, hogy felhőszolgáltatója rendszeres auditokat végez az ellenőrzés érdekében. Valamint a technikai és szervezési intézkedések értékelését és pontozását az adatkezelés biztonságának garantálása érdekében. Emellett meg kell győződnie arról is, hogy a felhőpartner biztosítja az auditálási jogot az ügyfelei számára.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma megfelelőség
A CloudSigma bármely felhőplatformjának ügyfeleként Ön hivatalosan jogosult arra, hogy biztonsági, működési és folyamat-auditokat végezzen az általunk nyújtott szolgáltatásokkal kapcsolatban.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Adatok helye
Mindig tudnia kellene, hogy általánosságban hol találhatók az adatai. Ennek ellenére nem minden felhőpartner biztosítja a szükséges átláthatóságot a felhőalapú helyszínekkel kapcsolatban. Vegye figyelembe, hogy a felhőszolgáltató székhelye nem feltétlenül egyezik meg az adatai tárolási helyével. Emellett egyes vállalatok a háttérben, az Ön tudta nélkül mozgathatják az adatait a különböző felhőhelyszínek között. Ez részét képezheti a felhőpartner Általános Szerződési Feltételeinek is. Végül, de nem utolsósorban, a felhőszolgáltatók több helyszínen is tárolhatnak adatokat. És ezek közül néhány az EGT-n kívül is lehet. Adatkezelőként több országra kiterjedő felhőstratégiát kell meghatároznia, hogy megfeleljen a megfelelőségi követelményeknek, valamint az adatlokalizációs törvényeknek.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma megfelelőség
Az Általános Szerződési Feltételeink részeként a CloudSigma úgy épül fel, hogy jogilag országonként elkülöníti a felhőhelyszíneket. Ennek eredményeként minden egyes helyszínre kizárólag a helyi jogi keretek vonatkoznak. Mindezt úgy, hogy 100%-ban helyi felhőmegoldást kínál a végfelhasználók számára.
A helyszínek technikailag sincsenek összekapcsolva, és a CloudSigma a legmagasabb szintű átláthatóságot biztosítja a pontos adathelyszínt illetően, amely soha nem kerül átvitelre a felhőhelyszínek.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Biztonsági funkciók
A GDPR számos adatvédelmi garanciát követel meg, a tárolt és a továbbított adatok titkosításától kezdve a hozzáférés-szabályozáson át az adatok álnevesítéséig és anonimizálásáig. Ennek elérése érdekében válasszon olyan felhőpartnert, amely elegendő biztonsági funkciót kínál. Például – biztonsági mentés, titkosítás, hozzáférés-szabályozási irányelvek és egyebek. Ha a felhőpartnerének nincs ilyen irányelve, akkor magának kell gondoskodnia a biztonsági funkciókról.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma megfelelőség
A CloudSigma arra törekszik, hogy magas szintű biztonságot és adatvédelmet nyújtson az ügyfelek számára olyan funkciók és eszközök választékával, amelyek lehetővé teszik számukra a számítástechnikai környezetük különböző aspektusainak biztosítását. Blogunkon az ügyfelek számos cikket találhatnak, amelyek bemutatják a különböző biztonsági funkciókat, mint például a boot szintű titkosítás, hozzáférés-szabályozási irányelvek, kétlépcsős azonosítás, SSH-kulcsok és egyebek.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
Adattulajdon
Egy felhőszolgáltató ügyfeleként Ön az Adatkezelő. Ez azt jelenti, hogy meg kell őriznie az ellenőrzést és a tulajdonjogot a saját adatai felett. Ezt úgy érheti el, ha Adatfeldolgozási Megállapodást (DPA) ír alá felhőpartnerével, garantálva, hogy a partner betartja a GDPR szerinti adatvédelmi követelményeket. Megírhatja saját megállapodását is, vagy ellenőrizheti, hogy felhőpartnere készített-e DPA-t a Szolgáltatási Feltételek standard részeként. A saját megállapodás használatának előnye, hogy meghatározhatja a gyűjtött személyes adatok és a „különleges” adatok típusát. Függetlenül attól, hogy partnere DPA-ját vagy a sajátját használja, győződjön meg arról, hogy a feltételek egyértelműen kimondják: az Adatkezelő (azaz Ön) tulajdonolja az adatokat, és az Adatfeldolgozó (azaz a felhőpartner) nem osztja meg azokat harmadik felekkel.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Megfelelőség
A CloudSigma létrehozott egy Adatfeldolgozási Megállapodást (DPA), amely lehetővé teszi az ügyfelek számára, hogy megfeleljenek a GDPR-kötelezettségeiknek. Frissítettük a Szolgáltatási Feltételeink és az Adatvédelmi Szabályzatunk vonatkozó részeit, hogy hivatkozzanak a DPA-ra és megfeleljenek a GDPR-nak.
Emellett a standard Adatvédelmi Szabályzatunk egy rendkívül átlátható dokumentum, amely leírja az ügyféladatok felhőben történő összes gyűjtését, tárolását és felhasználását.
Az ügyfelek kizárólagos és teljes hozzáféréssel rendelkeznek adataikhoz a fájlrendszer szintjén. A CloudSigma rendszerének nincs hozzáférése vagy rálátása a virtuális gépekre vagy meghajtókra. A CloudSigma felhőkezelő rendszere olyan hozzáférés-vezérlési keretrendszert alkalmaz, amely korlátozza a munkatársak jogait és hozzáférését, valamint naplózza a rendszeren végrehajtott műveleteket.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Adatok törlése
Meg kell bizonyosodnia arról, hogy miután a felhőpartnerével kötött szerződése véget ért, letöltheti/törölheti az adatokat. Valamint arról is, hogy a felhőpartner törli az adatokat, miután megszüntette a szolgáltatást. Egyes felhőszolgáltatók (különösen, ha ISO-tanúsítvánnyal rendelkeznek) szabványosított szabályzatot alkalmaznak az adatok törlésére a szerződés lejárta után. Próbálja meg kideríteni, mennyi időbe telik, amíg a felhőszolgáltató törli az adatait.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Megfelelőség
A CloudSigma-nál a rendszer automatikusan kezeli az összes ügyféladatot. Ez magában foglalja a meghajtók törlését, az elavult fiókok ütemezett törlését stb.
A CloudSigma nem készít másolatot az ügyfelek meghajtóadatiról. Az egyetlen másolat a mi felhőnkben található, kivéve, ha az ügyfél úgy dönt, hogy klónozza a meghajtót egy másik tárolórendszerre.
Ezenkívül az Adatfeldolgozási Megállapodásunk részeként kérheti adatai helyesbítését, törlését, zárolását és/vagy elérhetővé tételét a szolgáltatás használatának megszüntetése során vagy azt követően.
[/vc_column]
[/vc_row]
Tehát mennyire “GDPR-felkészült” ma az Ön saját vállalata?
Kérjük, forduljon hozzánk bizalommal a dpo (at) cloudsigma.com címen a CloudSigma-val és a GDPR-ral kapcsolatos további információkért.
Források:
Hozzászólások
Még nincsenek hozzászólások. Legyen Ön az első.