Poskytovatelia cloudových služieb, ktorí si chcú budovať dôveru zákazníkov, obyčajne volia cestu deklarovaných priemyselných a mezinárodných štandardov, správ auditorov a podkladovej dokumentácie. V prípade komerčnej cloudovej služby sa najčastejšie využívajú ISO štandardy, ktoré nájdete v nasledujúcom prehľade.
Seriózni poskytovatelia cloudových služieb vo svojej dokumentácii k zavedeniu ISO štandardov uvádzajú i celkovú bezpečnostnú politiku, zoznam aplikovaných opatrení a popis, akým spôsobom ich zabezpečili. Hlavným bodom je potom správa akreditovaného auditora o súlade so špecifikáciou štandardu a hodnotenie, ako je daný systém riadenia bezpečnosti a kontinuity účinný.
Správy auditorov o účinnosti opatrení
V poslednom období sa v prípade firemných dodávateľov za najrelevantnejšie považujú správy auditorov o riadiacom a kontrolnom mechanizme, tzv. správy SOC (Service Organization Controls). SOC 1 (presnejšie SSAE-16/ISAE 3402) potvrdzujú vhodnosť a účinnosť bezpečnostných opatrení pri plnení deklarovanej bezpečnostnej politiky. SOC 2 (AT101) zase potvrdzuje, že je zaistená bezpečnosť a dostupnosť služieb, integrita spracovania, dôvernosť a ochrana súkromia. V striktnejšom variante Type II musia auditori testovať účinnosť opatrení každoročne počas obdobia minimálne 6 mesiacov v roku. Tieto správy preto môžu poskytnúť naozaj dôveryhodný obraz a posúdenie stavu zabezpečenia u vášho dodávateľa ICT služieb.
Na čo slúžia penetračné testy
Účinným nástrojom overenia úrovne zabezpečenia spracovania údajov sú taktiež penetračné testy. Zákazník cloudových služieb ich môže realizovať prostredníctvom svojich IT špecialistov, alebo zveriť túto úlohu niektorej z akreditovaných spoločností v rámci kódexu „etického hackingu". Spravidla sa testujú zraniteľnosti IT infraštruktúry, sieťové pripojenie, zraniteľnosť webových aplikácií a odolnosť užívateľských účtov voči neautorizovaným útokom. Výsledky penetračných testov musia byť taktiež zdokumentované.
Transparentnosť nadovšetko
Cloudové služby Microsoftu patria k tomu najlepšiemu, čo trh v oblasti zabezpečenia, ochrany súkromia a transparentnosti voči správcom osobných údajov ponúka. Aktuálny zoznam dodržiavaných štandardov, noriem a certifikácií spoločnosť poskytuje na www.microsoft.com/TRUST (následne cez box Compliance). Podkladovú dokumentáciu a všetky správy auditorov o účinnosti opatrení sú k dispozícii po autentizácii účtom cloudovej služby (Azure, Office 365, Dynamics 365) a po akceptovaní podmienok NDA na adrese www.aka.ms/STP.
Zodpovednosť za spracovanie
„Podmienky pre služby online" spoločnosti Microsoft v súčasnosti štandardne obsahujú zmluvné záväzky, ktoré zaisťujú súlad s požiadavkami GDPR na spracovateľa údajov podľa článkov 28, 32 a 33. Spoločne s ďalšími ustanoveniami „podmienok" v oblasti zabezpečenia a ochrany súkromia tak správcovia, teda firmy, organizácie či úrady, dostávajú účinné nástroje na zaistenie súladu s pomocou cloudových služieb.
Na druhej strane je potrebné zohľadniť skutočnosť, že žiadny spracovateľ nie je schopný prevziať plnú zodpovednosť za súlad správcu s nariadením GDPR. Zodpovednosť za GDPR medzi správcom a spracovateľom (poskytovateľom cloudu) bude vždy zdieľaná a bude sa líšiť v prípade modelov poskytovaných služieb IaaS, PaaS, SaaS. Pri zapojení modelu SaaS je zodpovednosť poskytovateľa cloudu najvyššia, pri IaaS je najnižšia. Platí skrátka priama úmernosť: čím viac kontrolných mechanizmov spracovávateľ bude mať, tým väčšiu zodpovednosť bude môcť na seba vziať.
Všetky potrebné opatrenia na ochranu osobných údajov podľa GDPR musia byť nielen deklarované, ale tiež účinne zavedené a pravidelne testované. Microsoft poskytuje nielen záruky za svoj vlastný súlad s nariadením, ale má i široké portfólio produktov a cloudových služieb, ktoré sú na plnenie záväzkov zo strany správcu údajov k dispozícii. Nestačí však mať k dispozícii iba nástroje, ktoré vám môžu pomôcť s plnením záväzkov v súvislosti s GDPR, ale musíte vo vašej organizácii predovšetkým zaistiť ich používanie. Je to podobné ako s bezpečnostným pásom v aute. Pokiaľ ho máte a nepoužívate ho, tak je vám nanič.
Štandardy ISO, ktoré by mali spĺňať komerčné cloudové služby
- ISO/IEC 27001 - definuje požiadavky na zavedenie, udržovanie a neustále zlepšovanie systému a procesov riadenia bezpečnosti informácií s využitím opatrení definovaných v ISO/IEC 27002
- ISO/IEC 27002 - norma obsahuje 114 organizačných a technických opatrení na ochranu aktív proti narušení dôvernosti, integrity a dostupnosti
- ISO/IEC 27017 - sada opatrení špecifických na zabezpečenie systémov cloud computingu, dopĺňa opatrenia uvedené v ISO/IEC 27002
- ISO/IEC 27018 - odporučenie ohľadom ochrany osobných údajov pre poskytovateľov cloudových služieb
- ISO 22301 - definuje požiadavky na plánovanie, zavedenie, prevádzku, monitorovanie a trvalé zlepšovanie systému riadenia kontinuity činností. Tento rámec sa využíva na prípravu na mimoriadne udalosti pre cloudové služby
Ako čo najrýchlejšie splniť požiadavky GDPR? Podrobný návod nájdete TU.
Autori: Zdeněk Jiříček, riaditeľ pre technologické štandardy, Microsoft Česko a Slovensko a Jiří Černý, riaditeľ pre právne záležitosti, Microsoft Česko a Slovensko
V seriály ako prežiť GDPR zatiaľ vyšlo
Ako začať? Zmapujte si terén(1)
Ako zvládnuť správu dát? Čo nepotrebujete, vyhoďte(2)
Ako veľmi sú údaje citlivé? Určite, kto k nim má prístup (3)
Lepšej ochrane dát pomôže cloud a šifrovanie (4)
