GDPR לספקי שירותי ענן - סקירה כללית

פלטפורמות ענן הפכו לכלי חשוב יותר ויותר עבור עסקים מודרניים, וקל להבין מדוע - 85% מנתוני החברה בארה"ב היו באחסון בענן בשנת 2020 ונפח שוק הענן הציבורי צפוי להגיע ל-679 מיליארד דולר עד 2025 (Statista, CRN ).

אבל, ככל שחברות עושות את ההגירה לענן במספרים הולכים וגדלים, הנושא של אבטחת נתונים באחסון בענן גדל בחשיבותו - במיוחד לאור דרישות GDPR מחמירות שנכנסו לתוקף ב-2018.

חלק מהעסקים מודאגים מכך שהם פותחים את עצמם לקנסות אי ציות ל-GDPR על ידי שימוש בספק ענן כדי לאחסן עבורם נתונים.

ולמרות שזה מובן בהתחשב בכך שצד שלישי מעורב, אין סיבה שהנתונים המאוחסנים ומנוהלים יהיו בהכרח פחות מאובטחים.

מהו הענן?

במילים פשוטות, הענן הוא רשת של שרתים שנועדה לאחסן כמויות אדירות של נתונים.

חברות יכולות להשתמש בחומרה זו כדי לאחסן את הנתונים שלהן, הנגישים להן דרך האינטרנט.

דוגמאות פופולריות כוללות Dropbox, Google Cloud ושירותי אינטרנט של אמזון.

בגדול, ניתן לסווג תוכנות ענן לשלושה סוגים:

1. ציבורי - שירות ענן מבוסס אינטרנט המועבר לארגונים מרובים, בחינם או עם מנוי בתשלום לפי שימוש
2. פרטי – שירות ענן פנימי המוקדש לחברה בודדת
3. היברידי – תערובת של ענן ציבורי ופרטי

לעתים קרובות הם מפורקים בדרך אחרת:

• Infrastructure-as-a-Service (IaaS) - חברה משלמת כדי לגשת למשאבי המחשוב והאחסון של ספק ענן
• Software-as-a-Service (SaaS) - חברה משלמת כדי לגשת לתוכנה לפי דרישה דרך האינטרנט
• Platform-as-a-Service (PaaS) - שירות עם סביבת פיתוח ופריסה שחברות יכולות להשתמש בה כדי לבנות אפליקציות בדפדפן

יתרונות הענן לחברות

לאחסון בענן יכולים להיות יתרונות עצומים עבור ארגונים במחיר מוגבל: הוא מפחית את עלויות אבטחת הנתונים וניהול, משפר את התקשורת ומזרז עבודת צוות טובה יותר.

עסקים גם נהנים מאבטחה משופרת, פחות זמן השבתה כתוצאה מבעיות בתשתית IT, ומדרגיות מעולה ככל שהם גדלים.

ביחד, תוכנת ענן מספקת לחברות את הגמישות הנוספת שיכולה להעניק להן יתרון תחרותי מכריע:

• 84% מדווחים על שיפורים תפעוליים במהלך החודשים הראשונים של ההיכרות (Multisoft)
• ארגונים קטנים ובינוניים מוצאים שזה משתלם ב-40% להשתמש בפלטפורמות ענן של צד שלישי מאשר תחזוקה של חלופה פנימית (Multisoft)
• 94% מהעסקים מדווחים על שיפורים משמעותיים באבטחה מקוונת לאחר העברת נתונים לענן (Salesforce)

כיצד הושפעה תוכנת ענן מ-GDPR?

באופן מכריע, 91% מהחברות מאמינות שפלטפורמות אחסון בענן היו עזר רב בעבודת הציות שלהן לדרישות ממשלתיות, כמו GDPR (Salesforce).

הם תוכננו זה מכבר עם אבטחה בחזית ובמרכז, תוך שימוש בהצפנה מתקדמת בעת העברת נתונים - כלומר, אף משתמש לא מורשה אינו מסוגל לגשת למידע פרטי.

עם זאת, GDPR שינה לצמיתות את האופן שבו ניתן לאחסן ולעבד נתונים אישיים בענן, וה-EDPS – כלב השמירה על הפרטיות של האיחוד האירופי – חוקר האם AWS של אמזון ושירות הענן Azure של מיקרוסופט מגנות ביעילות על נתוני אזרחים.

הדרישות של GDPR לספקי שירותי ענן הן כדלקמן:

• לפתח עקרונות לעיבוד נתונים אישיים
• ודא שהתהליך לעיבוד נתונים מכבד את 8 זכויות נושא הנתונים של ה-GDPR
• קבע דרישות לפרטיות לפי עיצוב לכל מי שמעורב בפעילויות עיבוד נתונים ובקרה
• הטמעת בקרות על בעלות על נתונים וזכות ניידות נתונים
• הצג אמצעי אבטחה המבטיחים את פרטיות הנתונים
• קבע עקרונות לעיבוד נתונים לגורמים בינלאומיים
• לפתח מדיניות ונוהל לניהול פרצות מידע
• לפתח מדיניות בנוגע לכינון הסכמים חוזיים, תקופות שמירת נתונים ודרישות רלוונטיות אחרות

מהי האחריות של חברה לנתונים המוחזקים בענן?

בעיות אבטחה של צד שלישי מהוות דאגה מרכזית של GDPR, ואלה כוללים כאשר פלטפורמת ענן של צד שלישי מאחסנת נתונים מטעם עסק לקוח.

GDPR מבחין בין "בקרי נתונים" ו"מעבדי נתונים" בכל הנוגע לאחריות לאבטחת המידע האישי.

בהקשר זה, העסק הוא בקר הנתונים, בעוד שספק תוכנת הענן הוא מעבד הנתונים - כלומר, העסק אחראי אפוא לשמור על בטיחות הנתונים האישיים, ללא קשר אם הם מאוחסנים בשרתים שלו או לא.

על מה לחשוב בעת בחירת פלטפורמת ענן

לפני המעבר לענן, מומלץ לחברות לוודא שזרימת הנתונים האישיים שלהן ממופה כראוי ולבצע הערכת השפעה על הפרטיות.

המרכזיים לכך יהיו השיקולים הבאים:

• ריבונות נתוניםתקנות GDPR קובעות כי נתונים חייבים להיות מאוחסנים באיחוד האירופי. למרבה המזל, ישנם ספקי שירותי ענן רבים המאפשרים לך לבחור היכן מאוחסנים נתונים, כך שתוכל לבחור אחד שמשתמש במרכזי נתונים באירופה.
• אבטחת נתוניםבדוק איזו אבטחה יש לפלטפורמת האחסון בענן, ובחר אחת שמציעה הצפנה מקצה לקצה. בסופו של דבר, אתה צריך להיות מרוצה שלספק יש נהלי אבטחה נאותים.
• כיבוד נושאי מידעבחר ספק ענן שמקפיד על שמונה זכויות הפרטיות של נושאי מידע באיחוד האירופי - מידע זה צריך להיות מסופק בקלות על ידי חברות ענן.
• הגנה על נתונים לפי תכנון וכברירת מחדלודא שחברת הענן שילבה אבטחה בעיצוב ובנהלים שלה - למשל על ידי שימוש בהצפנה zer0-knowledge המגבילה את הגישה למידע רגיש. זה חשוב בהתחשב בכך שכל הפרת נתונים תהיה בסופו של דבר באחריות החברה שלך

תאימות GDPR מחייבת עבודה מתמשכת

ברגע שחברה העבירה נתונים לענן, חכם לבצע ביקורות סדירות כדי להבטיח שהנהלים והתהליכים התפעוליים ממשיכים לעמוד ב-GDPR.

כמו כן, מומלץ לבדוק באופן קבוע שפלטפורמת הענן ממשיכה לעמוד בכל הבטחות האבטחה שניתנו.

עבודה זו מבוצעת בדרך כלל על ידי כלבי שמירה עצמאיים של צד שלישי או אתרי ביקורת, אשר יש לאמתם לפני קבלת החלטה כלשהי לגבי איזו אפשרות ללכת.