Новый Общий регламент по защите данных ЕС (GDPR) вступит в силу 25 мая 2018 года. В результате компании всех размеров должны изучить изменения, внесенные GDPR, и определить организационные и технические последствия, характерные именно для них. Менее чем за месяц до установленного срока многие компании все еще не считаются «готовыми к GDPR». Многие из них спешно внедряют надлежащие политики ИТ-безопасности и конфиденциальности. Облачные вычисления и повышенный уровень защиты данных должны идти рука об руку. Помимо некоторых первоначальных опасений, новые регуляторные требования потенциально могут открыть новые возможности как для облачных провайдеров, так и для пользователей облачных услуг.
TLDR? Пропустить к шести ключевым критериям…
Введение
Защита и безопасность данных все чаще оказываются в центре внимания в процессе цифровизации. Они рассматриваются как ключевая квалификация для успешного продвижения по пути цифровой трансформации.
Предпосылкой и целью GDPR является гармонизация между странами-членами ЕС, чтобы в зоне ЕС действовал единый закон о защите данных и в то же время улучшалось правовое положение затронутых лиц. Вот некоторые из наиболее важных изменений в свете GDPR:
- Штрафы за нарушения значительно увеличены – до 2 или 4 процентов от годового дохода, в зависимости от тяжести нарушения.
- Права затронутых лиц значительно укрепляются благодаря требованиям к прозрачности и предоставлению информации.
- В дополнение к уже известным обязательствам по защите данных вводятся новые обязательства, например, по обеспечению конфиденциальности по умолчанию в настройках электронных устройств.
- Новый регламент также распространяется на компании, которые не базируются в ЕС, но собирают данные граждан ЕС.
Вызовы
Руководители компаний и эксперты по безопасности сейчас задаются вопросом, какими будут новые правила GDPR. И как им следует готовиться и осуществлять внедрение GDPR. Кроме того, вопрос о “готовности к GDPR” волнует директоров по информационной безопасности (CISO).
Большое количество руководителей бизнеса подумают, что это “еще одно новое постановление из Брюсселя, которого никто никогда не заметит”. Однако у GDPR есть веские причины для того, чтобы его принимали во внимание. Прежде всего, изменения в регламенте укрепят права всех заинтересованных сторон. Это может привести к значительным финансовым санкциям, когда речь пойдет о будущих утечках данных, затрагивающих граждан ЕС.
Помимо потенциального материального ущерба, огромное значение имеет и возможный ущерб для корпоративной репутации. Средства массовой информации стремятся предать огласке проблемы с конфиденциальностью. Это предупредительный выстрел для всех компаний, которым еще только предстоит привлечь необходимые экспертные знания для соответствия новым требованиям. Дело в том, что с вступлением в силу GDPR в мае 2018 года штрафы резко увеличатся. С введением штрафов в размере до € 20 million или до 4% от годового оборота тема GDPR привлекла внимание руководства компаний любого масштаба.
GDPR в контексте облачных вычислений
Новые правила в отношении защиты данных” представляют собой как вызов, так и возможность. Ключевым показателем “готовности к GDPR” является отношение к защите данных внутри компаний и обеспечиваемый уровень защиты данных, что означает, какие критически важные для бизнеса рабочие нагрузки, где и как выполняются в облачных инфраструктурах.
Для многих компаний GDPR представляет собой сложный проект. Юридические, технические и организационные проблемы, вызванные GDPR, до сих пор были решены лишь частично. Особенно в случае крупных проектов миграции в среде облачных вычислений, в среде IoT или в сценариях больших данных повседневная деятельность оставляет мало времени для беспокойства о внедрении GDPR. Однако, помимо многочисленных проблем с внедрением, GDPR также предлагает возможность преуспеть за счет переопределения и внедрения новых стратегий защиты данных и ИТ-безопасности, особенно в контексте облачных вычислений.
В результате тема облачных вычислений вызывает множество вопросов в контексте GDPR. С технической точки зрения облачные вычисления представляют собой договор на обработку данных. Следовательно, пользователь облака должен всегда полностью осознавать, как провайдер обрабатывает его данные. Облачные провайдеры и поставщики ресурсов лишь поддерживают свои функции и зависят от юридических требований ответственного органа. Иными словами, как облачные провайдеры, так и предприятия должны соответствовать минимальным юридическим требованиям для каждого облачного сервиса в соответствии с GDPR.
Как извлечь выгоду из потенциальных проблем, связанных с GDPR? Существует два основных вопроса. С одной стороны, компаниям необходимо знать, каким облачным провайдерам они могут доверять. С другой стороны, компаниям необходимо знать, какие технические и организационные меры они должны предпринять, чтобы быть “соответствующими требованиям GDPR”.
Возможности и обязательства для CISO – правильный облачный партнер
Правильный облачный партнер может стать ценным спарринг-партнером в свете GDPR. Поскольку благодаря своему опыту в области комплаенса и безопасности он может помочь вашей компании стать “готовой к GDPR”.
Если вы применяете мультиоблачную стратегию, вам необходимо оценить политику защиты данных каждого облачного провайдера. Гибридные и мультиоблачные подходы гораздо сложнее координировать, и поэтому они могут представлять более высокий риск для защиты данных. Множество различных облачных провайдеров, особенно в среде публичного облака, затрудняет для CISO обеспечение соответствия требованиям GDPR. Соответствие GDPR прочно настолько, насколько прочно его самое слабое звено. Например, нарушение или несоблюдение требований со стороны одного облачного провайдера в рамках мультиоблачного развертывания может свести на нет все усилия по успешному обеспечению соответствия GDPR.
Шесть ключевых критериев
Ниже мы привели краткий набор критериев, которые вы можете использовать для оценки ваших потенциальных облачных партнеров (с точки зрения их соответствия требованиям GDPR):
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]Безопасность и конфиденциальность
Первым шагом является оценка того, в какой степени провайдер способен соответствовать вашим требованиям к ИТ-безопасности. Один из простых способов для облачных провайдеров продемонстрировать соответствие требованиям безопасности и принципу «проектируемой конфиденциальности» (Privacy by Design) — это наличие сертификата ISO 27001 или ISO 27018. В противном случае они могут подтвердить это с помощью проведенной оценки воздействия на защиту данных (DPIA) и/или оценки безопасности.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Соответствие требованиям CloudSigma
CloudSigma сертифицирована по стандарту ISO 27001, что гарантирует, что все аспекты нашей инфраструктуры и услуг, используемых для предоставления и управления вашим облаком, соответствуют высочайшему стандарту сертификации ISO в отношении безопасности и конфиденциальности данных.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Управление рисками
Компании, работающие с широким спектром критически важных данных, должны предоставить достаточные гарантии (в соответствии со статьей 28 Регламента GDPR). Эти гарантии должны подтверждать, что контроллер данных использует:
“Только обработчики, предоставляющие достаточные гарантии для реализации надлежащих технических и организационных мер. И таким образом, чтобы обработка соответствовала требованиям настоящего Регламента и обеспечивала защиту прав субъекта данных.”
Следовательно, вам необходимо убедиться, что ваш облачный провайдер проводит регулярные аудиты для проверки. Также необходимы оценка и анализ технических и организационных мер для гарантирования безопасности обработки. Кроме того, вам нужно убедиться, что облачный партнер предоставляет своим клиентам право на проведение аудита.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Соответствие требованиям CloudSigma
Как клиент любой облачной платформы CloudSigma, вы официально имеете право проводить аудит безопасности, операций и процессов в отношении услуг, которые мы вам предоставляем.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Местоположение данных
Вы всегда должны знать общее местоположение ваших данных. Тем не менее, не все облачные партнеры обеспечивают необходимую прозрачность в отношении облачных локаций. Обратите внимание, что штаб-квартира облачного провайдера не обязательно является местом хостинга ваших данных. Кроме того, некоторые компании могут перемещать ваши данные между различными облачными локациями в фоновом режиме, не сообщая вам об этом. Это может быть частью Условий обслуживания облачного партнера. И последнее, но не менее важное: поставщики облачных услуг могут хранить данные в нескольких местах. И некоторые из них могут находиться за пределами ЕЭЗ. Как Контролер данных, вам необходимо определить многонациональную облачную стратегию, чтобы соответствовать требованиям адекватности, а также законам о локализации данных.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Соответствие требованиям CloudSigma
В рамках наших Условий обслуживания, CloudSigma структурирована таким образом, чтобы юридически разделять облачные локации по странам. В результате каждая локация подчиняется исключительно местному законодательству. При этом для конечных клиентов предлагается 100% локальное облачное решение.
Локации также технически не связаны между собой, и CloudSigma гарантирует максимальную прозрачность в отношении точного местоположения данных, которые никогда не будут передаваться между облачными локациями.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Функции безопасности
GDPR требует целого ряда мер по защите данных: от шифрования при хранении и передаче до контроля доступа, псевдонимизации и анонимизации данных. Чтобы добиться этого, выберите облачного партнера, который предлагает достаточный выбор функций безопасности. Например – резервное копирование, шифрование, политики контроля доступа и другие. Если у вашего облачного партнера нет такой политики, вам придется позаботиться о функциях безопасности самостоятельно.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Соответствие требованиям CloudSigma
CloudSigma стремится обеспечить высокий уровень безопасности и конфиденциальности для клиентов с помощью набора функций и инструментов, позволяющих им защитить различные аспекты своих вычислений. В нашем блоге клиенты могут найти ряд статей, описывающих различные функции безопасности, такие как шифрование на уровне загрузки, политики контроля доступа, двухэтапная верификация, ключи SSH и другие.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Ми
Владение данными
Как клиент облачного провайдера вы являетесь Контролером данных. Это означает, что вы должны сохранять контроль и право собственности на свои собственные данные. Вы можете добиться этого, подписав Соглашение об обработке данных со своим облачным партнером, чтобы гарантировать, что партнер соблюдает требования по защите конфиденциальности данных в соответствии с GDPR. Вы можете составить свое собственное соглашение или проверить, создал ли ваш облачный партнер DPA в качестве стандартной части Условий обслуживания. Преимущество использования собственного соглашения заключается в том, что вы можете указать тип собираемых персональных данных и «специальных» данных. Независимо от того, используете ли вы DPA вашего партнера или свое собственное, убедитесь, что в условиях четко указано, что Контролер данных (то есть вы) владеет данными, а Обработчик данных (то есть облачный партнер) не будет передавать данные третьим лицам.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Соответствие требованиям CloudSigma
Компания CloudSigma создала Соглашение об обработке данных (DPA), которое позволяет клиентам выполнять свои обязательства по GDPR. Мы обновили соответствующие разделы наших Условий обслуживания и Политики конфиденциальности, чтобы они ссылались на DPA и соответствовали требованиям GDPR.
Кроме того, наша стандартная Политика конфиденциальности представляет собой очень прозрачный документ, описывающий весь процесс сбора, хранения и использования данных клиентов в облаке.
Клиенты сохраняют полный единоличный доступ к своим данным на уровне файловой системы. Система CloudSigma не имеет доступа или видимости внутри виртуальных машин или дисков. Система управления облаком CloudSigma реализует структуру контроля доступа, ограничивающую права и доступ сотрудников, а также регистрирует действия, выполняемые в системе.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Удаление данных
Вам необходимо убедиться, что после окончания действия вашего контракта с облачным партнером вы сможете скачать или стереть данные. А также в том, что облачный партнер удалит данные после прекращения вами использования услуги. Некоторые облачные провайдеры (особенно сертифицированные по стандарту ISO) используют стандартизированную политику удаления данных после истечения срока действия контракта. Постарайтесь узнать, сколько времени требуется облачному провайдеру для удаления ваших данных.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Соответствие требованиям CloudSigma
В CloudSigma система автоматически обрабатывает все данные клиентов. Это включает в себя удаление дисков, запланированное удаление устаревших учетных записей и т. д.
CloudSigma не делает копий данных с дисков клиентов. Единственная копия находится в нашем облаке, если только клиент не решит клонировать диск в другую систему хранения.
Кроме того, в рамках нашего Соглашения об обработке данных, вы можете потребовать исправления, удаления, блокировки и/или предоставления доступа к вашим данным во время или после прекращения использования услуг.
[/vc_column]
[/vc_row]
Итак, насколько ваша собственная компания сегодня “готова к GDPR”?
Пожалуйста, свяжитесь с нами по адресу dpo (at) cloudsigma.com для получения дополнительной информации о CloudSigma и GDPR.
Источники:
Комментарии
Комментариев пока нет. Будьте первым.