Yeni AB Genel Veri Koruma Tüzüğü (GDPR) 25 Mayıs 2018'de yürürlüğe girecek. Sonuç olarak, her ölçekten şirket GDPR tarafından getirilen değişiklikleri gözden geçirmeli ve kendilerine özgü kurumsal ve teknik etkileri belirlemelidir. Belirlenen son tarihe bir aydan az bir süre kalmışken, birçok şirket henüz “GDPR'ye hazır” olarak kabul edilmiyor. Birçoğu doğru BT güvenliği ve gizlilik politikalarını uygulamak için acele ediyor. Bulut bilişim ve artan veri koruma düzeyi el ele gitmelidir. Bazı ilk endişelerin yanı sıra, yeni düzenleyici zorluklar hem bulut sağlayıcıları hem de bulut kullanıcıları için potansiyel olarak yeni fırsatlar sunabilir.
TL;DR? Atlayın altı temel kritere…
Giriş
Dijitalleşme sürecinde veri koruma ve veri güvenliği giderek daha fazla ilgi odağı haline geliyor. Bunlar, dijital dönüşüm yolunda başarıyla ilerlemek için temel bir nitelik olarak kabul ediliyor.
GDPR'nin arka planı ve amacı, AB üyesi ülkeler arasında uyumlaştırma sağlamaktır; böylece AB bölgesi için tek tip bir veri koruma yasası geçerli olacak ve aynı zamanda ilgili kişilerin yasal durumu iyileştirilecektir. İşte GDPR ışığında en önemli değişikliklerden bazıları:
- İhlal cezaları önemli ölçüde artırıldı – ihlalin ciddiyetine bağlı olarak yıllık gelirin yüzde 2 veya 4'üne kadar.
- Etkilenen kişilerin hakları, şeffaflık ve bilgilendirme yükümlülükleri ile önemli ölçüde güçlendirilmiştir.
- Veri korumaya ilişkin bilinen yükümlülüklerin yanı sıra, örneğin elektronik cihazların gizlilik dostu varsayılan ayarları gibi yeni yükümlülükler getirilmektedir.
- Yeni düzenleme, merkezi AB'de olmayan ancak AB vatandaşlarından veri toplayan şirketler için de geçerlidir.
Zorluklar
Kurumsal karar alıcılar ve güvenlik uzmanları artık yeni GDPR düzenlemelerinin nasıl olacağını kendilerine soruyorlar. Ve GDPR'nin uygulanmasına nasıl hazırlanmaları ve bunu nasıl yürütmeleri gerektiğini. Ayrıca, “GDPR'ye hazır olma” sorusu Bilgi Güvenliği Üst Yöneticileri (CISO'lar) arasında yankı buluyor.
Çok sayıda ticari karar alıcı, bunun “Brüksel'den gelen ve hiç kimsenin fark etmeyeceği yeni bir düzenleme daha” olduğunu düşünecektir. Ancak, GDPR'nin dikkate alınması için iyi nedenleri var. Her şeyden önce, düzenleme değişiklikleri ilgili herkesin haklarını güçlendirecektir. Bu durum, gelecekte AB vatandaşlarını etkileyen veri ihlalleri söz konusu olduğunda önemli mali yaptırımlara yol açabilir.
Potansiyel bir maddi zararın yanı sıra, kurumsal itibara gelebilecek potansiyel bir zarar da büyük önem taşımaktadır. Medya kuruluşları gizlilik sorunlarını duyurmak için can atıyor. Bu, yeni gereksinimlere uymak için gereken uzmanlığı henüz ortaya koymamış tüm şirketler için bir uyarı atışıdır. Çünkü GDPR'nin Mayıs 2018'de yürürlüğe girmesiyle birlikte para cezaları büyük ölçüde artacaktır. 20 milyon €'ya veya yıllık cironun %4'üne varan para cezalarıyla GDPR konusu, her ölçekteki şirket için yönetim düzeyinde dikkat çekmiştir.
Bulut bilişim bağlamında GDPR
Veri korumaya ilişkin yeni düzenlemeler” hem bir zorluk hem de bir fırsattır. “GDPR'ye hazır olma” durumunun temel bir göstergesi, şirketler içindeki veri koruma zihniyeti ve sağlanan veri koruma düzeyidir; bu da iş açısından kritik iş yüklerinin bulut altyapılarında neyi, nerede ve nasıl çalıştırdığı anlamına gelir.
Birçok şirket için GDPR karmaşık bir projedir. GDPR'nin beraberinde getirdiği yasal, teknik ve organizasyonel zorluklar şimdiye kadar yalnızca kısmen uyumlu hale getirilebilmiştir. Özellikle bulut bilişim ortamındaki, IoT ortamındaki veya büyük veri senaryolarındaki büyük geçiş projelerinde, günlük işler GDPR'nin uygulanması konusunda endişelenmeye çok az zaman bırakmaktadır. Bununla birlikte, çok sayıda uygulama zorluğunun yanı sıra GDPR, özellikle bulut bilişim bağlamında yeni veri koruma ve BT güvenliği stratejilerini yeniden tanımlayarak ve uygulayarak öne çıkma fırsatı da sunmaktadır.
Sonuç olarak, bulut bilişim konusu GDPR bağlamında birçok soruyu gündeme getirmektedir. Teknik açıdan bulut bilişim bir veri işleme sözleşmesidir. Bu nedenle, bulut kullanıcısı sağlayıcının verilerini işleme şeklinin her an tam olarak farkında olmalıdır. Bulut sağlayıcıları ve kaynak sağlayıcıları yalnızca kendi işlevlerini destekler ve sorumlu makamın yasal gerekliliklerine bağlıdır. Başka bir deyişle, hem bulut sağlayıcıları hem de işletmeler GDPR kapsamındaki her bir bulut hizmeti için minimum yasal gereklilikleri karşılamalıdır.
GDPR'nin arkasındaki potansiyel zorluklardan nasıl yararlanılır? İki ana soru bulunmaktadır. Bir yandan, şirketlerin hangi bulut sağlayıcılarına güvenebileceklerini bilmeleri gerekir. Diğer yandan, şirketlerin “GDPR uyumlu” olabilmek için hangi teknik ve organizasyonel önlemleri almaları gerektiğini bilmeleri gerekir.
CISO'lar için fırsatlar ve yükümlülükler – doğru bulut ortağı
Doğru bulut ortağı, GDPR ışığında değerli bir fikir ortağı olabilir. Çünkü uyumluluk ve güvenlik konusundaki uzmanlıklarıyla şirketinizin “GDPR'ye hazır” hale gelmesine yardımcı olabilirler.
Çoklu bulut stratejisi uyguluyorsanız, her bir bulut sağlayıcısının veri koruma politikalarını değerlendirmeniz gerekir. Hibrit ve çoklu bulut yaklaşımlarının koordine edilmesi çok daha karmaşıktır ve bu nedenle daha yüksek bir veri koruma riski oluşturabilir. Özellikle genel bulut ortamındaki çok sayıda farklı bulut sağlayıcısı, CISO'ların GDPR uyumluluğunu sağlamasını zorlaştırmaktadır. GDPR uyumluluğu ancak en zayıf halkası kadar güçlüdür. Örneğin, çoklu bulut dağıtımı içindeki tek bir bulut sağlayıcısının ihlali veya uyumsuzluğu, başarılı bir GDPR uyumluluğu için gösterilen tüm çabaları baltalayabilir.
Altı Temel Kriter
Aşağıda, potansiyel bulut ortaklarınızı (GDPR uyumlulukları açısından) değerlendirmek için kullanabileceğiniz hızlı bir kriter listesi hazırladık:
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]Güvenlik ve Gizlilik
İlk adım, sağlayıcının BT güvenliği gereksinimlerinize ne ölçüde uyabildiğini değerlendirmektir. Bulut sağlayıcılarının güvenliğe ve “Tasarım Yoluyla Gizlilik” ilkesine uyduklarını kanıtlamalarının kolay bir yolu, ISO 27001 veya ISO 27018 sertifikasına sahip olmalarıdır. Aksi takdirde, bunu gerçekleştirilen bir veri koruma etki değerlendirmesi (DPIA) ve/veya bir güvenlik değerlendirmesi yoluyla kanıtlayabilirler.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Uyumluluğu
CloudSigma, ISO 27001 sertifikalıdır ve bulutunuzu sunmak ve yönetmek için kullanılan altyapımızın ve hizmetlerimizin tüm yönlerinin güvenlik ve veri gizliliği ile ilgili en yüksek ISO sertifikasyon standardına uygun olmasını sağlar.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Risk Yönetimi
Çok çeşitli kritik verilerle çalışan şirketler (GDPR Yönetmeliği Madde 28 uyarınca) yeterli güvenceler sağlamalıdır. Bu güvenceler, veri sorumlusunun şunları kullandığını kanıtlamalıdır:
“Yalnızca uygun teknik ve organizasyonel tedbirleri uygulamak için yeterli güvenceleri sağlayan veri işleyenler. Ve işleme faaliyetinin bu Yönetmeliğin gerekliliklerini karşılayacağı ve veri sahibinin haklarının korunmasını sağlayacağı şekilde.”
Bu nedenle, bulut sağlayıcınızın inceleme için düzenli denetimler gerçekleştirdiğinden emin olmanız gerekir. Ayrıca, işlemenin güvenliğini garanti altına almak için teknik ve organizasyonel tedbirlerin puanlanması ve değerlendirilmesi de gereklidir. Ek olarak, bulut ortağının müşterilerine denetim hakkı tanıdığından emin olmanız gerekir.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Uyumluluğu
Herhangi bir CloudSigma bulut platformunun müşterisi olarak, resmi olarak yetkilisiniz size sunduğumuz hizmetlerle ilgili güvenlik, operasyon ve süreç denetimleri gerçekleştirmeye.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Veri Konumu
Verilerinizin genel konumunun neresi olduğunu her zaman bilmelisiniz. Yine de tüm bulut ortakları size bulut konumlarıyla ilgili gerekli şeffaflığı sağlamaz. Bulut sağlayıcısının genel merkezinin, verilerinizin barındırıldığı konumla aynı olmayabileceğini unutmayın. Ek olarak, bazı şirketler verilerinizi arka planda size haber vermeden farklı bulut konumları arasında taşıyabilir. Bu durum, bulut ortağının Hizmet Şartları'nın bir parçası olabilir. Son olarak, bulut hizmeti sağlayıcıları verileri birden fazla konumda depolayabilir. Ve bunlardan bazıları EEA dışında olabilir. Bir Veri Sorumlusu olarak, yeterlilik gerekliliklerine ve veri yerelleştirme yasalarına uymak için çok ülkeli bir bulut stratejisi belirlemeniz gerekir.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Uyumluluğu
Bizim Hizmet Şartları belgemizin bir parçası olarak, CloudSigma bulut konumlarını ülkelere göre yasal olarak ayıracak şekilde yapılandırılmıştır. Sonuç olarak, her bir konum yalnızca yerel yasal çerçeveye tabidir. Tüm bunlar sunulurken, nihai müşteriler için %100 yerel bir bulut çözümü sağlanmaktadır.
Konumlar teknik olarak da birbirine bağlı değildir ve CloudSigma, kesin veri konumu konusunda en yüksek şeffaflığı sağlar; bu veriler hiçbir zaman şu alanlar arasında aktarılmaz: bulut konumları.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Güvenlik Özellikleri
GDPR, durağan ve iletim halindeki verilerin şifrelenmesinden erişim kontrollerine, verilerin takma adlaştırılması (pseudonymization) ve anonimleştirilmesine kadar bir dizi veri koruma önlemi gerektirir. Bunu başarmak için, aralarından seçim yapabileceğiniz yeterli güvenlik özelliklerine sahip bir bulut ortağı seçin. Örneğin – yedekleme, şifreleme, erişim kontrol politikaları ve diğerleri. Bulut ortağınızın böyle bir politikası yoksa, güvenlik özellikleriyle kendiniz ilgilenmeniz gerekir.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Uyumluluğu
CloudSigma, müşterilerine bilgi işlem süreçlerinin çeşitli yönlerini güvence altına almalarına olanak tanıyan özellik ve araç seçenekleriyle yüksek düzeyde güvenlik ve gizlilik sunmaya çalışır. Blogumuzda müşterilerimiz, güvenlik özelliklerini açıklayan birçok makale bulabilirler; örneğin önyükleme seviyesinde şifreleme, erişim kontrol politikaları, iki adımlı doğrulama, SSH anahtarları ve diğerleri.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
Veri Sahipliği
Bir bulut sağlayıcısının müşterisi olarak Veri Sorumlusunuz (Data Controller). Bu, kendi verilerinizin kontrolünü ve mülkiyetini elinizde tutmanız gerektiği anlamına gelir. Bunu, bulut ortağınızla bir Veri İşleme Sözleşmesi (DPA) imzalayarak, ortağınızın GDPR uyarınca veri gizliliği koruma gereksinimlerine uymasını garanti altına alarak sağlayabilirsiniz. Kendi sözleşmenizi taslak haline getirebilir veya bulut ortağınızın Hizmet Şartlarının standart bir parçası olarak bir DPA oluşturup oluşturmadığını kontrol edebilirsiniz. Kendinizinkini kullanmanın avantajı, toplanan kişisel veri türünü ve “özel” verileri belirleyebilmenizdir. Ortağınızın DPA'sını veya kendinizinkini kullanmanız fark etmeksizin, şartların Veri Sorumlusunun (yani sizin) verilerin sahibi olduğunu ve Veri İşleyicinin (yani bulut ortağının) verileri üçüncü taraflarla paylaşmayacağını açıkça belirttiğinden emin olun.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Uyumluluğu
CloudSigma, Veri İşleme Sözleşmesi (DPA) oluşturmuştur; bu sözleşme müşterilerin GDPR yükümlülüklerine uymalarını sağlar. Hizmet Şartları ve Gizlilik Politikası belgelerimizin ilgili bölümlerini, DPA'ya atıfta bulunacak ve GDPR'ye uyacak şekilde güncelledik.
Buna ek olarak, standart Gizlilik Politikamız, buluttaki müşteri verilerinin tüm toplanma, saklanma ve kullanılma şekillerini açıklayan son derece şeffaf bir belgedir.
Müşteriler, verilerine dosya sistemi düzeyinde tam ve tek yetkili erişime sahiptir. CloudSigma sisteminin sanal makinelerin (VM) veya sürücülerin içine erişimi veya görünürlüğü yoktur. CloudSigma bulut yönetim sistemi, çalışan haklarını ve erişimini sınırlayan ve sistem üzerinde gerçekleştirilen işlemleri günlüğe kaydeden (loglayan) bir erişim kontrol çerçevesi uygular.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Verileri Silme
Bulut ortağınızla olan sözleşmeniz sona erdiğinde verileri indirebileceğinizden/silebileceğinizden emin olmanız gerekir. Ayrıca, hizmeti sonlandırdığınızda bulut ortağınızın verileri sileceğinden de emin olmalısınız. Bazı bulut sağlayıcıları (özellikle ISO sertifikasına sahip olduklarında), sözleşme bitiminden sonra verileri silmek için standartlaştırılmış bir politika kullanırlar. Bulut sağlayıcısının verilerinizi silmesinin ne kadar sürdüğünü öğrenmeye çalışın.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma Uyumluluğu
CloudSigma'da sistem tüm müşteri verilerini otomatik olarak işler. Buna sürücü silme, kullanım dışı bırakılan hesaplar için planlanmış silme vb. dahildir.
CloudSigma, müşteri sürücü verilerinin kopyalarını almaz. Müşteri sürücüyü başka bir depolama sistemine kopyalamayı (klonlamayı) seçmediği sürece tek kopya bizim bulutumuzdadır.
Ayrıca, Veri İşleme Sözleşmemizin bir parçası olarak, hizmet kullanımınızın sonlandırılması sırasında veya sonrasında verilerinizin düzeltilmesini, silinmesini, engellenmesini ve/veya kullanıma sunulmasını talep edebilirsiniz.
[/vc_column]
[/vc_row]
Peki, kendi şirketiniz bugün ne kadar “GDPR'ye hazır”?
CloudSigma ve GDPR hakkında daha fazla bilgi için lütfen dpo (at) cloudsigma.com adresinden bizimle iletişime geçmekten çekinmeyin.
Kaynaklar:
Yorumlar
Henüz yorum yapılmamış. İlk siz olun.