GDPR dla dostawców usług w chmurze - przegląd

Platformy chmurowe stają się coraz ważniejszym narzędziem dla nowoczesnych firm i łatwo dostrzec dlaczego - 85% danych firmowych w USA znajdowało się w chmurze w 2020 r., a wielkość rynku chmury publicznej ma osiągnąć 679 mld USD do 2025 r. (Statista, CRN).

Jednak w miarę jak firmy dokonują migracji do chmury w coraz większej liczbie, kwestia bezpieczeństwa danych przechowywanych w chmurze zyskała na znaczeniu - szczególnie w świetle surowych wymogów GDPR, które weszły w życie w 2018 roku.

Niektóre firmy obawiają się, że otwierają się na grzywny za niezgodność z GDPR, korzystając z usług dostawcy chmury do przechowywania danych dla nich.

I chociaż jest to zrozumiałe, biorąc pod uwagę, że zaangażowana jest strona trzecia, nie ma powodu, dla którego dane przechowywane i zarządzane byłyby koniecznie mniej bezpieczne.

Co to jest chmura?

Mówiąc najprościej, chmura to sieć serwerów przeznaczonych do przechowywania ogromnych ilości danych.

Firmy mogą wykorzystywać ten sprzęt do przechowywania własnych danych, do których mają dostęp przez Internet.

Popularnymi przykładami są Dropbox, Google Cloud i Amazon Web Services.

Ogólnie rzecz biorąc, oprogramowanie w chmurze można podzielić na trzy rodzaje:

1. Publiczne - internetowa usługa w chmurze dostarczana wielu organizacjom za darmo lub z subskrypcją płatną za każde użycie
2. Prywatna - wewnętrzna usługa w chmurze przeznaczona dla jednej firmy
3. Hybrydowe - połączenie chmury publicznej i prywatnej.

Często są one również dzielone w inny sposób:

• Infrastructure-as-a-Service (IaaS) - firma płaci za dostęp do zasobów obliczeniowych i pamięci masowej dostawcy chmury
• Software-as-a-Service (SaaS) - firma płaci za dostęp do oprogramowania na żądanie przez Internet
• Platform-as-a-Service (PaaS) - usługa zawierająca środowisko programistyczne i wdrożeniowe, które firmy mogą wykorzystać do tworzenia aplikacji w przeglądarce.

Korzyści z chmury dla firm

Przechowywanie danych w chmurze może przynieść przedsiębiorstwom ogromne korzyści za niewielką cenę: zmniejsza bezpieczeństwo danych i koszty zarządzania, usprawnia komunikację i katalizuje lepszą pracę zespołową.

Firmy korzystają również z większego bezpieczeństwa, mniejszej liczby przestojów spowodowanych problemami z infrastrukturą IT oraz doskonałej skalowalności w miarę rozwoju.

Łącznie, oprogramowanie w chmurze zapewnia firmom dodatkową elastyczność, która może dać im kluczową przewagę konkurencyjną:

• 84% zgłasza usprawnienia operacyjne w ciągu pierwszych miesięcy od wprowadzenia (Multisoft)
• Małe i średnie przedsiębiorstwa uważają, że korzystanie z platform chmurowych innych firm jest o 40% bardziej opłacalne niż utrzymywanie własnej alternatywy (Multisoft)
• 94% firm zgłasza znaczną poprawę bezpieczeństwa online po migracji danych do chmury (Salesforce)

Jak GDPR wpłynęło na oprogramowanie w chmurze?

Co najważniejsze, 91% firm uważa, że platformy przechowywania danych w chmurze były bardzo pomocne w zapewnieniu zgodności z wymogami rządowymi, takimi jak GDPR (Salesforce).

Od dawna są one projektowane z myślą o bezpieczeństwie, wykorzystując zaawansowane szyfrowanie podczas przesyłania danych, co oznacza, że żaden nieupoważniony użytkownik nie jest w stanie uzyskać dostępu do prywatnych informacji.

Niemniej jednak GDPR trwale zmieniło sposób przechowywania i przetwarzania danych osobowych w chmurze, a Inspektor Ochrony Danych - organ nadzorujący ochronę prywatności w UE - bada, czy usługi chmurowe AWS firmy Amazon i Azure firmy Microsoft skutecznie chronią dane obywateli.

Wymagania GDPR wobec dostawców usług w chmurze są następujące:

• Opracowanie zasad przetwarzania danych osobowych
• Zapewnienie, że proces przetwarzania danych jest zgodny z 8 prawami osób, których dane dotyczą, określonymi w GDPR
• Ustanowienie wymogów dotyczących ochrony prywatności w fazie projektowania dla każdego, kto jest zaangażowany w przetwarzanie danych i działania kontrolne
• Wdrożenie kontroli nad własnością danych i prawem do przenoszenia danych
• Wprowadzenie środków bezpieczeństwa, które zapewnią prywatność danych
• ustanowienie zasad przetwarzania danych na rzecz podmiotów międzynarodowych
• opracowanie polityki i procedury zarządzania przypadkami naruszenia danych
• Opracowanie polityki dotyczącej zawierania umów, okresów przechowywania danych i innych stosownych wymagań.

Jaka jest odpowiedzialność firmy za dane przechowywane w chmurze?

Kwestie bezpieczeństwa stron trzecich są głównym problemem GDPR i obejmują sytuacje, w których platforma chmurowa strony trzeciej przechowuje dane w imieniu firmy klienta.

GDPR rozróżnia pomiędzy "administratorami danych" i "przetwarzającymi dane", jeśli chodzi o odpowiedzialność za bezpieczeństwo danych osobowych.

W tym kontekście firma jest administratorem danych, podczas gdy dostawca oprogramowania w chmurze jest przetwarzającym dane - co oznacza, że firma jest odpowiedzialna za zapewnienie bezpieczeństwa danych osobowych, niezależnie od tego, czy są one przechowywane na jej własnych serwerach, czy nie.

O czym należy pomyśleć przy wyborze platformy chmury?

Przed migracją do chmury, zaleca się, aby firmy upewniły się, że przepływ danych osobowych jest odpowiednio zmapowany i przeprowadziły ocenę wpływu na prywatność.

Kluczowe znaczenie będą tu miały następujące kwestie:

• Suwerenność danych Przepisy GDPR stanowią, że dane muszą być przechowywane w Unii Europejskiej. Na szczęście istnieje wielu dostawców usług w chmurze, którzy pozwalają na wybór miejsca przechowywania danych, więc można wybrać takiego, który korzysta z centrów danych w Europie.
• Bezpieczeństwo danych Sprawdź, jakie zabezpieczenia posiada platforma przechowywania danych w chmurze i wybierz taką, która oferuje szyfrowanie end-to-end. Ostatecznie musisz być zadowolony, że dostawca ma odpowiednie procedury bezpieczeństwa na miejscu.
• Szacunek dla osób, których dane dotyczą Wybierz dostawcę chmury, który przestrzega ośmiu praw prywatności osób, których dane dotyczą w UE - informacje te powinny być łatwo dostępne w firmach oferujących chmury.
• Ochrona danych już w fazie projektowania i domyślnie Należy upewnić się, że firma świadcząca usługi w chmurze włączyła bezpieczeństwo do swojego projektu i procedur - na przykład poprzez zastosowanie szyfrowania zerowej wiedzy, które ogranicza dostęp do wrażliwych informacji. Jest to kluczowe, biorąc pod uwagę, że za wszelkie przypadki naruszenia danych będzie ostatecznie odpowiedzialna Twoja firma.

Zgodność z GDPR wymaga ciągłej pracy

Po przeniesieniu przez firmę danych do chmury rozsądnie jest przeprowadzać regularne audyty, aby upewnić się, że procedury i procesy operacyjne nadal są zgodne z GDPR.

Wskazane jest również regularne sprawdzanie, czy platforma chmury nadal spełnia wszelkie złożone zapewnienia dotyczące bezpieczeństwa.

Ta praca jest zwykle wykonywana przez niezależne organizacje nadzorujące lub witryny przeglądowe, które powinny być sprawdzone przed podjęciem decyzji o wyborze opcji.