Nové Všeobecné nariadenie EÚ o ochrane údajov (GDPR) vstúpi do platnosti 25. mája 2018. V dôsledku toho musia spoločnosti všetkých veľkostí preskúmať zmeny, ktoré GDPR prináša, a identifikovať organizačné a technické dôsledky, ktoré sa ich týkajú. Keďže do stanoveného termínu zostáva menej ako mesiac, mnohé spoločnosti sa stále nepovažujú za „pripravené na GDPR“. Mnohé z nich sa snažia narýchlo implementovať správne politiky bezpečnosti IT a ochrany osobných údajov. Cloud computing a zvýšená úroveň ochrany údajov by mali ísť ruka v ruke. Okrem počiatočných obáv by nové regulačné výzvy mohli potenciálne otvoriť nové príležitosti pre poskytovateľov cloudových služieb aj ich používateľov.
TLDR? Preskočte na šesť kľúčových kritérií…
Úvod
Ochrana údajov a bezpečnosť údajov sa v priebehu digitalizácie čoraz viac dostávajú do popredia záujmu. Sú považované za kľúčovú kvalifikáciu pre úspešné napredovanie na ceste digitálnej transformácie.
Pozadím a cieľom GDPR je harmonizácia medzi členskými krajinami EÚ, aby v zóne EÚ platil jednotný zákon o ochrane údajov a zároveň sa zlepšilo právne postavenie dotknutých osôb. Tu sú niektoré z najdôležitejších zmien vo svetle GDPR:
- Pokuty za porušenie sa výrazne zvyšujú – až do 2 alebo 4 percent ročného obratu v závislosti od závažnosti porušenia.
- Práva dotknutých osôb sa výrazne posilňujú požiadavkami na transparentnosť a informovanie.
- Okrem dobre známych povinností týkajúcich sa ochrany údajov sa zavádzajú nové povinnosti, napríklad pre predvolené nastavenia elektronických zariadení šetrné k súkromiu.
- Nové nariadenie sa vzťahuje aj na spoločnosti, ktoré nemajú sídlo v EÚ, ale zhromažďujú údaje od občanov EÚ.
Výzvy
Rozhodovacie orgány vo firmách a bezpečnostní experti sa teraz pýtajú, aké budú nové pravidlá GDPR. A ako by sa mali pripraviť a realizovať implementáciu GDPR. Okrem toho u vedúcich pracovníkov pre informačnú bezpečnosť (CISO) rezonuje otázka “pripravenosti na GDPR”.
Veľký počet osôb s rozhodovacou právomocou v podnikoch si bude myslieť, že ide o “ďalšie nové nariadenie z Bruselu, ktoré si nikto nikdy nevšimne”. GDPR má však dobré dôvody na to, aby sa bralo do úvahy. Zmeny nariadenia v prvom rade posilnia práva všetkých dotknutých osôb. To môže v budúcnosti viesť k významným finančným sankciám, pokiaľ ide o porušenia ochrany údajov týkajúce sa občanov EÚ.
Okrem potenciálnej materiálnej škody má veľký význam aj potenciálne poškodenie reputácie spoločnosti. Médiá sa snažia zverejňovať problémy s ochranou súkromia. Toto je varovný výstrel pre všetky spoločnosti, ktoré ešte len musia zmobilizovať odborné znalosti potrebné na splnenie nových požiadaviek. Je to preto, že so vstupom GDPR do platnosti v máji 2018 sa pokuty drasticky zvýšia. S pokutami až do výšky 20 miliónov € alebo do 4 % ročného obratu si téma GDPR získala pozornosť na úrovni manažmentu v spoločnostiach všetkých veľkostí.
GDPR v kontexte cloud computingu
Nové nariadenia týkajúce sa ochrany údajov” sú výzvou aj príležitosťou. Kľúčovým ukazovateľom “pripravenosti na GDPR” je prístup k ochrane údajov v rámci spoločností a úroveň poskytovanej ochrany údajov, čo znamená, aké pracovné zaťaženia kritické pre podnikanie, kde a ako fungujú na cloudových infraštruktúrach.
Pre mnohé spoločnosti je GDPR komplexný projekt. Právne, technické a organizačné výzvy, ktoré GDPR prináša, sa doteraz podarilo zosúladiť len čiastočne. Najmä v prípade veľkých migračných projektov v prostredí cloud computingu, v prostredí IoT alebo v scenároch big data ponecháva každodenná obchodná činnosť len málo času na to, aby sme sa zaoberali implementáciou GDPR. Avšak okrem početných implementačných výziev ponúka GDPR aj príležitosť vyniknúť predefinovaním a implementáciou nových stratégií ochrany údajov a bezpečnosti IT, najmä v kontexte cloud computingu.
V dôsledku toho téma cloud computingu vyvoláva v kontexte GDPR mnoho otázok. Z technického hľadiska je cloud computing zmluvou o spracovaní údajov. Používateľ cloudu by si preto mal byť za každých okolností plne vedomý spôsobu, akým poskytovateľ spracováva jeho údaje. Poskytovatelia cloudu a poskytovatelia zdrojov podporujú iba svoje funkcie a sú závislí od právnych požiadaviek zodpovedného orgánu. Inými slovami, poskytovatelia cloudu aj podniky musia spĺňať minimálne právne požiadavky pre každú cloudovú službu podľa GDPR.
Ako využiť potenciálne výzvy, ktoré sa skrývajú za GDPR? Existujú dve hlavné otázky. Na jednej strane musia spoločnosti vedieť, ktorým poskytovateľom cloudu môžu dôverovať. Na druhej strane musia spoločnosti vedieť, aké technické a organizačné opatrenia musia prijať, aby boli “v súlade s GDPR”.
Príležitosti a povinnosti pre CISO – ten správny cloudový partner
Správny cloudový partner môže byť vo svetle GDPR cenným sparingpartnerom. Keďže vďaka svojim odborným znalostiam v oblasti súladu s predpismi a bezpečnosti môže pomôcť vašej spoločnosti stať sa “GDPR-ready”.
Ak uplatňujete multi-cloudovú stratégiu, musíte posúdiť zásady ochrany osobných údajov každého poskytovateľa cloudu. Hybridné a multi-cloudové prístupy sú oveľa komplexnejšie na koordináciu, a preto môžu predstavovať vyššie riziko v oblasti ochrany údajov. Množstvo rôznych poskytovateľov cloudu, najmä v prostredí verejného cloudu, sťažuje CISO zabezpečenie súladu s GDPR. Súlad s GDPR je len taký silný, ako jeho najslabší článok. Napríklad porušenie alebo nesúlad zo strany jediného poskytovateľa cloudu v rámci multi-cloudového nasadenia môže zmariť všetko úsilie o úspešný súlad s GDPR.
Šesť kľúčových kritérií
Nižšie sme uviedli rýchly súbor kritérií, ktoré môžete použiť na vyhodnotenie vašich potenciálnych cloudových partnerov (z hľadiska ich súladu s GDPR):
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]Bezpečnosť a ochrana osobných údajov
Prvým krokom je posúdiť, do akej miery je poskytovateľ schopný splniť vaše požiadavky na bezpečnosť IT. Jedným z jednoduchých spôsobov, ako môžu poskytovatelia cloudu preukázať súlad s bezpečnosťou a “Privacy by Design”, je certifikácia ISO 27001 alebo ISO 27018. Ak nie, môžu to preukázať prostredníctvom vykonaného posúdenia vplyvu na ochranu údajov (DPIA) a/alebo posúdenia bezpečnosti.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Súlad s predpismi CloudSigma
CloudSigma je certifikovaná podľa normy ISO 27001, čo zaručuje, že všetky aspekty našej infraštruktúry a služieb používaných na poskytovanie a správu vášho cloudu sú v súlade s najvyšším štandardom certifikácie ISO v oblasti bezpečnosti a ochrany osobných údajov.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Riadenie rizík
Spoločnosti, ktoré pracujú so širokou škálou kritických údajov, musia poskytnúť dostatočné záruky (v súlade s článkom 28 nariadenia GDPR). Tieto záruky musia preukázať, že prevádzkovateľ používa:
“Iba sprostredkovatelia, ktorí poskytujú dostatočné záruky na prijatie primeraných technických a organizačných opatrení. A to takým spôsobom, aby spracúvanie spĺňalo požiadavky tohto nariadenia a zabezpečilo ochranu práv dotknutej osoby.“”
Preto sa musíte uistiť, že váš poskytovateľ cloudových služieb vykonáva pravidelné audity na účely kontroly. Taktiež hodnotenie a posudzovanie technických a organizačných opatrení na zaručenie bezpečnosti spracúvania. Okrem toho sa musíte uistiť, že cloudový partner udeľuje svojim zákazníkom právo na audit.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Súlad s predpismi CloudSigma
Ako zákazník akejkoľvek cloudovej platformy CloudSigma máte oficiálne právo vykonávať audit bezpečnosti, prevádzky a procesov v súvislosti so službami, ktoré vám poskytujeme.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Umiestnenie údajov
Vždy by ste mali vedieť, kde sa všeobecne nachádzajú vaše údaje. Nie všetci cloudoví partneri vám však poskytujú potrebnú transparentnosť týkajúcu sa umiestnenia cloudu. Upozorňujeme, že sídlo poskytovateľa cloudových služieb nemusí byť nevyhnutne miestom hostingu vašich údajov. Niektoré spoločnosti navyše môžu presúvať vaše údaje medzi rôznymi cloudovými lokalitami na pozadí bez toho, aby vám o tom dali vedieť. Môže to byť súčasťou zmluvných podmienok cloudového partnera. V neposlednom rade môžu poskytovatelia cloudových služieb uchovávať údaje na viacerých miestach. A niektoré z nich môžu byť mimo EHP. Ako prevádzkovateľ údajov musíte definovať cloudovú stratégiu pre viacero krajín, aby ste splnili požiadavky na primeranosť, ako aj zákony o lokalizácii údajov.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Súlad s predpismi CloudSigma
V rámci našich Zmluvných podmienok, je spoločnosť CloudSigma štruktúrovaná tak, aby právne oddelila cloudové lokality podľa krajín. V dôsledku toho každá lokalita podlieha iba miestnemu právnemu rámcu. To všetko pri ponuke 100 % lokálneho cloudového riešenia pre koncových zákazníkov.
Lokality tiež nie sú technicky prepojené a CloudSigma zabezpečuje najvyššiu transparentnosť, pokiaľ ide o presné umiestnenie údajov, ktoré sa nikdy nebudú prenášať medzi cloudovými lokalitami.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Bezpečnostné funkcie
GDPR vyžaduje celý rad záruk ochrany údajov, od šifrovania uchovávaných a prenášaných údajov cez kontrolu prístupu až po pseudonymizáciu a anonymizáciu údajov. Aby ste to dosiahli, vyberte si cloudového partnera, ktorý má na výber dostatok bezpečnostných funkcií. Napríklad – zálohovanie, šifrovanie, politiky kontroly prístupu a iné. Ak váš cloudový partner takéto pravidlá nemá, musíte sa o bezpečnostné funkcie postarať sami.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Súlad s predpismi CloudSigma
Spoločnosť CloudSigma sa snaží poskytovať zákazníkom vysokú úroveň bezpečnosti a ochrany osobných údajov prostredníctvom ponuky funkcií a nástrojov, ktoré im umožňujú zabezpečiť rôzne aspekty ich computingu. Na našom blogu môžu zákazníci nájsť množstvo článkov popisujúcich rôzne bezpečnostné funkcie ako napríklad šifrovanie na úrovni zavádzania systému, politiky kontroly prístupu, dvojstupňové overenie, SSH kľúče a iné.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
Vlastníctvo údajov
Ako zákazník poskytovateľa cloudových služieb ste prevádzkovateľom údajov. To znamená, že si musíte zachovať kontrolu a vlastníctvo nad svojimi vlastnými údajmi. Môžete to dosiahnuť podpísaním Zmluvy o spracovaní údajov s vaším cloudovým partnerom, čím zaručíte, že partner dodržiava požiadavky na ochranu osobných údajov podľa nariadenia GDPR. Môžete si buď vypracovať vlastnú zmluvu, alebo skontrolovať, či váš cloudový partner vytvoril DPA ako štandardnú súčasť Zmluvných podmienok. Výhodou použitia vlastnej zmluvy je, že môžete špecifikovať typ zhromažďovaných osobných údajov a „osobitných“ kategórií údajov. Bez ohľadu na to, či použijete DPA svojho partnera alebo svoju vlastnú, uistite sa, že podmienky jasne stanovujú, že prevádzkovateľ údajov (t. j. vy) vlastní údaje a že sprostredkovateľ údajov (t. j. cloudový partner) nebude údaje zdieľať s tretími stranami.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Súlad s predpismi CloudSigma
Spoločnosť CloudSigma vytvorila Zmluvu o spracovaní údajov (DPA), ktorá zákazníkom umožňuje plniť ich povinnosti vyplývajúce z nariadenia GDPR. Aktualizovali sme príslušné časti našich Zmluvných podmienok a Zásad ochrany osobných údajov tak, aby odkazovali na DPA a boli v súlade s GDPR.
Okrem toho naše štandardné Zásady ochrany osobných údajov sú veľmi transparentným dokumentom, ktorý popisuje akékoľvek zhromažďovanie, uchovávanie a používanie údajov zákazníkov v cloude.
Zákazníci si ponechávajú plný a výhradný prístup k svojim údajom na úrovni súborového systému. Systém CloudSigma nemá prístup ani viditeľnosť do vnútra VM alebo diskov. Systém správy cloudu CloudSigma implementuje rámec riadenia prístupu, ktorý obmedzuje práva a prístup zamestnancov a zároveň zaznamenáva akcie vykonané v systéme.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Vymazanie údajov
Musíte sa uistiť, že po skončení zmluvy s cloudovým partnerom môžete údaje stiahnuť/vymazať. A tiež, že cloudový partner vymaže údaje po ukončení poskytovania služby. Niektorí poskytovatelia cloudových služieb (najmä ak majú certifikáciu ISO) používajú štandardizované pravidlá pre vymazanie údajov po vypršaní platnosti zmluvy. Pokúste sa zistiť, ako dlho trvá poskytovateľovi cloudu vymazanie vašich údajov.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
Súlad s predpismi CloudSigma
V spoločnosti CloudSigma systém automaticky spracováva všetky údaje zákazníkov. To zahŕňa vymazanie diskov, plánované vymazanie zrušených účtov atď.
Spoločnosť CloudSigma nevytvára žiadne kópie údajov z diskov klientov. Jediná kópia sa nachádza v našom cloude, pokiaľ sa zákazník nerozhodne naklonovať disk do iného úložného systému.
In addition, as part of our Zmluvy o spracovaní údajov, môžete požadovať opravu, vymazanie, zablokovanie a/alebo sprístupnenie vašich údajov počas alebo po ukončení používania služby.
[/vc_column]
[/vc_row]
Do akej miery je teda vaša vlastná spoločnosť dnes “pripravená na GDPR”?
Pre viac informácií o spoločnosti CloudSigma a GDPR nás neváhajte kontaktovať na adrese dpo (at) cloudsigma.com.
Zdroje:
Komentáre
Zatiaľ žiadne komentáre. Buďte prvý.