Nowe unijne ogólne rozporządzenie o ochronie danych (RODO) wejdzie w życie 25 maja 2018 r. W rezultacie firmy każdej wielkości muszą przeanalizować zmiany wprowadzone przez RODO i zidentyfikować specyficzne dla nich konsekwencje organizacyjne i techniczne. Na niecały miesiąc przed wyznaczonym terminem wiele firm wciąż nie jest uznawanych za „gotowe na RODO”. Wiele z nich gorączkowo stara się wdrożyć odpowiednie polityki bezpieczeństwa IT i ochrony prywatności. Przetwarzanie w chmurze i zwiększony poziom ochrony danych powinny iść w parze. Pomijając początkowe obawy, nowe wyzwania regulacyjne mogą potencjalnie otworzyć nowe możliwości zarówno dla dostawców chmury, jak i jej użytkowników.
TLDR? Przejdź do sześciu kluczowych kryteriów…
Wprowadzenie
Ochrona danych i bezpieczeństwo danych coraz częściej znajdują się w centrum uwagi w procesie cyfryzacji. Są one uważane za kluczowe kwalifikacje w skutecznym podążaniu ścieżką cyfrowej transformacji.
Tłem i celem RODO jest harmonizacja przepisów między krajami członkowskimi UE, tak aby w strefie UE obowiązywało jednolite prawo ochrony danych, a jednocześnie poprawiła się sytuacja prawna osób, których dane dotyczą. Oto niektóre z najważniejszych zmian w świetle RODO:
- Kary za naruszenia zostały znacznie podwyższone – do 2 lub 4 procent rocznego przychodu, w zależności od wagi naruszenia.
- Prawa osób, których dane dotyczą, zostały znacznie wzmocnione dzięki wymogom dotyczącym przejrzystości i informacji.
- Oprócz dobrze znanych obowiązków w zakresie ochrony danych, wprowadzane są nowe obowiązki, na przykład dotyczące przyjaznych dla prywatności ustawień domyślnych urządzeń elektronicznych.
- Nowe rozporządzenie ma zastosowanie również do firm, które nie mają siedziby w UE, ale gromadzą dane obywateli UE.
Wyzwania
Decydenci korporacyjni i eksperci ds. bezpieczeństwa zadają sobie teraz pytanie, jak będą wyglądać nowe przepisy RODO. Oraz jak powinni się przygotować i przeprowadzić wdrożenie RODO. Ponadto kwestia “gotowości na RODO” rezonuje wśród dyrektorów ds. bezpieczeństwa informacji (CISO).
Wielu decydentów biznesowych pomyśli, że to “kolejna nowa regulacja z Brukseli, której nikt nigdy nie zauważy”. Istnieją jednak ważne powody, dla których należy wziąć RODO pod uwagę. Przede wszystkim zmiany w przepisach wzmocnią prawa wszystkich zainteresowanych. Może to prowadzić do znacznych sankcji finansowych w przypadku przyszłych naruszeń danych dotyczących obywateli UE.
Oprócz potencjalnych szkód materialnych, ogromne znaczenie ma również potencjalny uszczerbek na reputacji firmy. Media chętnie nagłaśniają kwestie związane z prywatnością. To strzał ostrzegawczy dla wszystkich firm, które muszą jeszcze zgromadzić wiedzę specjalistyczną wymaganą do spełnienia nowych wymogów. Wynika to z faktu, że wraz z wejściem w życie RODO w maju 2018 r. kary drastycznie wzrosną. Z karami sięgającymi do 20 mln euro lub do 4% rocznego obrotu, temat RODO zyskał uwagę na szczeblu zarządzania w firmach każdej wielkości.
RODO w kontekście przetwarzania w chmurze
Nowe regulacje dotyczące ochrony danych” są zarówno wyzwaniem, jak i szansą. Kluczowym wskaźnikiem “gotowości na RODO” jest podejście do ochrony danych w firmach oraz zapewniany poziom ochrony danych, co oznacza: co, gdzie i jak krytyczne dla biznesu obciążenia robocze działają w infrastrukturach chmurowych.
Dla wielu firm RODO to złożone przedsięwzięcie. Wyzwania prawne, techniczne i organizacyjne, jakie niesie ze sobą RODO, zostały dotychczas pogodzone jedynie częściowo. Szczególnie w przypadku dużych projektów migracyjnych w środowisku chmury obliczeniowej, w środowisku IoT lub w scenariuszach big data, codzienna działalność pozostawia niewiele czasu na martwienie się o wdrożenie RODO. Jednak oprócz licznych wyzwań wdrożeniowych, RODO oferuje również możliwość wyróżnienia się poprzez przedefiniowanie i wdrożenie nowych strategii ochrony danych i bezpieczeństwa IT, szczególnie w kontekście chmury obliczeniowej.
W rezultacie temat chmury obliczeniowej budzi wiele pytań w kontekście RODO. Z technicznego punktu widzenia chmura obliczeniowa to umowa powierzenia przetwarzania danych. Dlatego użytkownik chmury powinien być przez cały czas w pełni świadomy sposobu, w jaki dostawca przetwarza jego dane. Dostawcy chmury i dostawcy zasobów wspierają jedynie swoje funkcje i są zależni od wymogów prawnych odpowiedzialnego organu. Innymi słowy, zarówno dostawcy chmury, jak i przedsiębiorstwa muszą spełniać minimalne wymogi prawne dla każdej usługi chmurowej zgodnie z RODO.
Jak wykorzystać potencjalne wyzwania stojące za RODO? Istnieją dwa główne pytania. Z jednej strony firmy muszą wiedzieć, którym dostawcom chmury mogą zaufać. Z drugiej strony firmy muszą wiedzieć, jakie środki techniczne i organizacyjne muszą podjąć, aby być “zgodnymi z RODO”.
Szanse i obowiązki dla CISO – odpowiedni partner chmurowy
Odpowiedni partner chmurowy może być cennym partnerem do dyskusji w świetle RODO. Dzięki swojej wiedzy specjalistycznej w zakresie zgodności i bezpieczeństwa może pomóc Twojej firmie stać się “gotową na RODO”.
Jeśli stosujesz strategię multi-cloud, musisz ocenić politykę ochrony danych każdego dostawcy chmury. Podejścia hybrydowe i multi-cloud są znacznie bardziej skomplikowane w koordynacji, a zatem mogą stwarzać wyższe ryzyko dla ochrony danych. Mnogość różnych dostawców chmury, szczególnie w środowisku chmury publicznej, utrudnia CISO zapewnienie zgodności z RODO. Zgodność z RODO jest tylko tak silna, jak najsłabsze ogniwo. Na przykład naruszenie lub brak zgodności ze strony jednego dostawcy chmury w ramach wdrożenia multi-cloud może zaprzepaścić wszelkie wysiłki na rzecz pomyślnego osiągnięcia zgodności z RODO.
Sześć kluczowych kryteriów
Poniżej przedstawiamy krótki zestaw kryteriów, które można wykorzystać do oceny potencjalnych partnerów chmurowych (pod kątem ich zgodności z RODO):
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]Bezpieczeństwo i prywatność
Pierwszym krokiem jest ocena, w jakim stopniu dostawca jest w stanie spełnić Twoje wymagania dotyczące bezpieczeństwa IT. Jednym z prostych sposobów, w jaki dostawcy chmury mogą wykazać zgodność z bezpieczeństwem i zasadą „Privacy by Design” (ochrony prywatności w fazie projektowania), jest posiadanie certyfikatu ISO 27001 lub ISO 27018. Jeśli go nie posiadają, mogą to wykazać poprzez przeprowadzoną ocenę skutków dla ochrony danych (DPIA) i/lub ocenę bezpieczeństwa.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Zgodność CloudSigma
CloudSigma posiada certyfikat ISO 27001, co zapewnia, że wszystkie aspekty naszej infrastruktury i usług wykorzystywanych do dostarczania i zarządzania Twoją chmurą są zgodne z najwyższym standardem certyfikacji ISO w odniesieniu do bezpieczeństwa i prywatności danych.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Zarządzanie ryzykiem
Firmy, które pracują z szerokim zakresem danych krytycznych, muszą zapewnić wystarczające gwarancje (zgodnie z art. 28 rozporządzenia RODO). Gwarancje te muszą dowodzić, że administrator danych stosuje:
“Wyłącznie podmioty przetwarzające zapewniające wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. I to w taki sposób, aby przetwarzanie spełniało wymogi niniejszego rozporządzenia i zapewniało ochronę praw osób, których dane dotyczą.”
Dlatego musisz upewnić się, że Twój dostawca chmury przeprowadza regularne audyty w celu weryfikacji. Ponadto dokonuje oceny i ewaluacji środków technicznych i organizacyjnych w celu zagwarantowania bezpieczeństwa przetwarzania. Dodatkowo musisz upewnić się, że partner chmurowy przyznaje swoim klientom prawo do audytu.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Zgodność CloudSigma
Jako klient dowolnej platformy chmurowej CloudSigma, jesteś oficjalnie uprawniony do przeprowadzania audytów bezpieczeństwa, operacji i procesów w odniesieniu do usług, które Ci świadczymy.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Lokalizacja danych
Zawsze powinieneś znać ogólną lokalizację swoich danych. Jednak nie wszyscy partnerzy chmurowi zapewniają niezbędną przejrzystość w odniesieniu do lokalizacji chmury. Pamiętaj, że siedziba dostawcy chmury niekoniecznie musi być miejscem hostowania Twoich danych. Ponadto niektóre firmy mogą przenosić Twoje dane między różnymi lokalizacjami chmurowymi w tle, bez informowania Cię o tym. Może to wynikać z Warunków świadczenia usług partnera chmurowego. Na koniec warto dodać, że dostawcy usług chmurowych mogą przechowywać dane w wielu lokalizacjach. Niektóre z nich mogą znajdować się poza EOG. Jako administrator danych musisz zdefiniować wielokrajową strategię chmurową, aby zachować zgodność z wymogami dotyczącymi adekwatności oraz przepisami dotyczącymi lokalizacji danych.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Zgodność CloudSigma
W ramach naszych Warunków świadczenia usług, struktura CloudSigma pozwala na prawne rozdzielenie lokalizacji chmury według krajów. W rezultacie każda lokalizacja podlega wyłącznie lokalnym ramom prawnym. Wszystko to przy jednoczesnym oferowaniu w 100% lokalnego rozwiązania chmurowego dla klientów końcowych.
Lokalizacje nie są również technicznie połączone, a CloudSigma zapewnia najwyższą przejrzystość w odniesieniu do dokładnej lokalizacji danych, które nigdy nie zostaną przesłane między lokalizacjami chmurowymi.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Funkcje bezpieczeństwa
RODO wymaga szeregu zabezpieczeń ochrony danych, od szyfrowania danych w spoczynku i w transmisji, przez kontrolę dostępu, aż po pseudonimizację i anonimizację danych. Aby to osiągnąć, wybierz partnera chmurowego, który oferuje wystarczająco dużo funkcji bezpieczeństwa do wyboru. Na przykład – kopie zapasowe, szyfrowanie, polityki kontroli dostępu i inne. Jeśli Twój partner chmurowy nie posiada takiej polityki, musisz sam zadbać o funkcje bezpieczeństwa.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Zgodność CloudSigma
CloudSigma dąży do zapewnienia klientom wysokiego poziomu bezpieczeństwa i prywatności dzięki szerokiej gamie funkcji i narzędzi pozwalających im zabezpieczyć różne aspekty ich środowiska obliczeniowego. Na naszym blogu klienci mogą znaleźć wiele artykułów opisujących różne funkcje bezpieczeństwa, takie jak szyfrowanie na poziomie rozruchu, polityki kontroli dostępu, weryfikacja dwuetapowa, klucze SSH i inne.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
Własność danych
Jako klient dostawcy chmury jesteś Administratorem Danych. Oznacza to, że musisz zachować kontrolę i własność nad własnymi danymi. Możesz to osiągnąć, podpisując Umowę powierzenia przetwarzania danych (DPA) ze swoim partnerem chmurowym, aby zagwarantować, że partner przestrzega wymogów ochrony prywatności danych zgodnie z RODO. Możesz sporządzić własną umowę lub sprawdzić, czy Twój partner chmurowy przygotował DPA jako standardową część Warunków świadczenia usług. Zaletą korzystania z własnej umowy jest to, że możesz określić rodzaj gromadzonych danych osobowych oraz danych „szczególnych”. Niezależnie od tego, czy korzystasz z DPA swojego partnera, czy z własnej, upewnij się, że warunki jasno określają, że Administrator Danych (czyli Ty) jest właścicielem danych, a Podmiot Przetwarzający (czyli partner chmurowy) nie będzie udostępniał danych stronom trzecim.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Zgodność CloudSigma
CloudSigma stworzyła Umowę powierzenia przetwarzania danych (DPA), która umożliwia klientom wywiązanie się z ich obowiązków wynikających z RODO. Zaktualizowaliśmy odpowiednie części naszych Warunków świadczenia usług i Polityki prywatności, aby odnosiły się do DPA i były zgodne z RODO.
Ponadto nasza standardowa Polityka prywatności to bardzo przejrzysty dokument opisujący wszelkie procesy gromadzenia, przechowywania i wykorzystywania danych klientów w chmurze.
Klienci zachowują pełny, wyłączny dostęp do swoich danych na poziomie systemu plików. System CloudSigma nie ma dostępu ani wglądu do wnętrza maszyn wirtualnych ani dysków. System zarządzania chmurą CloudSigma wdraża strukturę kontroli dostępu, która ogranicza uprawnienia i dostęp pracowników, a także rejestruje działania podejmowane w systemie.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Usuwanie danych
Musisz upewnić się, że po zakończeniu umowy z partnerem chmurowym możesz pobrać/usunąć dane. A także, że partner chmurowy usunie dane po zakończeniu świadczenia usługi. Niektórzy dostawcy chmury (szczególnie ci posiadający certyfikat ISO) stosują ustandaryzowaną politykę usuwania danych po wygaśnięciu umowy. Spróbuj dowiedzieć się, ile czasu zajmuje dostawcy chmury usunięcie Twoich danych.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Zgodność CloudSigma
W CloudSigma system automatycznie zarządza wszystkimi danymi klientów. Obejmuje to usuwanie dysków, zaplanowane usuwanie wycofanych kont itp.
CloudSigma nie tworzy kopii danych z dysków klientów. Jedyna kopia znajduje się w naszej chmurze, chyba że klient zdecyduje się sklonować dysk do innego systemu pamięci masowej.
Ponadto, w ramach naszej Umowy powierzenia przetwarzania danych, możesz żądać poprawienia, usunięcia, zablokowania i/lub udostępnienia swoich danych w trakcie lub po zakończeniu korzystania z usługi.
[/vc_column]
[/vc_row]
W jakim stopniu Twoja własna firma jest dziś “gotowa na RODO”?
W celu uzyskania dalszych informacji na temat CloudSigma i RODO prosimy o kontakt pod adresem dpo (at) cloudsigma.com.
Źródła:
Komentarze
Brak komentarzy. Bądź pierwszy.