Este software-ul cloud conform cu GDPR? Un ghid pentru agenții de marketing

Platformele cloud au devenit un instrument din ce în ce mai important pentru companiile moderne și este ușor de înțeles de ce - 85% din datele companiilor americane se aflau în stocare în cloud în 2020, iar volumul pieței de cloud public este așteptat să atingă 679 de miliarde de dolari până în 2025 (Statista, CRN).

Dar, pe măsură ce companiile fac migrarea către cloud într-un număr tot mai mare, problema securității datelor stocate în cloud a crescut în importanță - în special în lumina cerințelor stricte ale GDPR care au intrat în vigoare în 2018.

Unele întreprinderi sunt îngrijorate că se expun la amenzi de neconformitate cu GDPR dacă folosesc un furnizor de cloud pentru a stoca date pentru ele.

Și, deși acest lucru este de înțeles, având în vedere că este implicată o terță parte, nu există niciun motiv pentru care datele stocate și gestionate ar fi neapărat mai puțin sigure.

Ce este cloud-ul?

În termeni simpli, cloud-ul este o rețea de servere concepute pentru a stoca cantități uriașe de date.

Companiile pot utiliza acest hardware pentru a-și stoca propriile date, care le sunt accesibile prin intermediul internetului.

Printre exemplele populare se numără Dropbox, Google Cloud și Amazon Web Services.

În linii mari, software-ul în cloud poate fi clasificat în trei tipuri:

1. Public - un serviciu cloud bazat pe internet furnizat mai multor organizații, fie gratuit, fie cu un abonament cu plată la utilizare
2. Privat - un serviciu cloud intern dedicat unei singure companii
3. Hibrid - un amestec de cloud public și privat

De asemenea, acestea sunt adesea defalcate și într-un alt mod:

• Infrastructure-as-a-Service (IaaS) - o companie plătește pentru a avea acces la resursele de calcul și de stocare ale unui furnizor de servicii cloud
• Software-as-a-Service (SaaS) - o companie plătește pentru a avea acces la software la cerere pe internet.
• Platform-as-a-Service (PaaS) - un serviciu cu un mediu de dezvoltare și implementare pe care companiile îl pot folosi pentru a crea aplicații într-un browser.

Avantajele cloud-ului pentru companii

Stocarea în cloud poate avea avantaje uriașe pentru întreprinderi la un preț conținut: reduce costurile de securitate și gestionare a datelor, îmbunătățește comunicarea și catalizează o mai bună muncă în echipă.

De asemenea, companiile beneficiază de o securitate sporită, de mai puține timpii morți din cauza problemelor de infrastructură IT și de o scalabilitate excelentă pe măsură ce se dezvoltă.

Luate împreună, software-ul în cloud oferă companiilor un plus de flexibilitate care le poate oferi un avantaj competitiv crucial:

• 84% raportează îmbunătățiri operaționale în primele luni de la introducere (Multisoft)
• Întreprinderile mici și mijlocii consideră că este cu 40% mai rentabil să utilizeze platforme cloud de la terți decât să mențină o alternativă internă (Multisoft)
• 94% dintre întreprinderi raportează îmbunătățiri substanțiale în ceea ce privește securitatea online după migrarea datelor în cloud (Salesforce).

Cum a fost influențat software-ul cloud de GDPR?

În mod esențial, 91% dintre companii consideră că platformele de stocare în cloud au fost de mare ajutor în activitatea de conformare la cerințele guvernamentale, precum GDPR (Salesforce).

Acestea au fost concepute de mult timp cu securitatea în prim-plan, utilizând criptarea avansată la transmiterea datelor - ceea ce înseamnă că niciun utilizator neautorizat nu poate accesa informații private.

Acestea fiind spuse, GDPR a schimbat permanent modul în care datele personale pot fi stocate și procesate în cloud, iar AEPD - organismul de supraveghere a confidențialității din UE - investighează dacă serviciul de cloud AWS de la Amazon și Azure de la Microsoft protejează eficient datele cetățenilor.

Cerințele GDPR pentru furnizorii de servicii cloud sunt următoarele:

• Elaborarea de principii pentru prelucrarea datelor cu caracter personal
• Să se asigure că procesul de prelucrare a datelor respectă cele 8 drepturi ale persoanelor vizate de GDPR
• Să stabilească cerințe privind confidențialitatea prin proiectare pentru orice persoană implicată în activitățile de prelucrare și control al datelor
• Să implementeze controale privind dreptul de proprietate asupra datelor și dreptul de portabilitate a datelor
• Introduceți măsuri de securitate care să asigure confidențialitatea datelor
• Stabilește principii pentru prelucrarea datelor către părți internaționale
• Elaborarea de politici și proceduri de gestionare a încălcărilor de date
• Elaborarea de politici privind stabilirea acordurilor contractuale, a perioadelor de păstrare a datelor și a altor cerințe aplicabile

Care este responsabilitatea unei companii pentru datele deținute în cloud?

Problemele de securitate ale terților reprezintă o preocupare majoră a GDPR, iar acestea includ situațiile în care o platformă cloud terță parte stochează date în numele unei întreprinderi client.

GDPR face distincție între "operatori de date" și "procesatori de date" atunci când vine vorba de responsabilitatea pentru securitatea informațiilor personale.

În acest context, afacerea este controlorul de date, în timp ce furnizorul de software cloud este procesatorul de date - ceea ce înseamnă că afacerea este, prin urmare, responsabilă pentru păstrarea în siguranță a datelor cu caracter personal, indiferent dacă acestea sunt stocate pe propriile servere sau nu.

La ce trebuie să vă gândiți atunci când alegeți o platformă cloud

Înainte de a migra în cloud, este recomandabil ca întreprinderile să se asigure că fluxul lor de date cu caracter personal este corect cartografiat și să efectueze o evaluare a impactului asupra confidențialității.

În centrul acestei evaluări se vor afla următoarele considerente:

• Suveranitatea datelor Reglementările GDPR stipulează că datele trebuie stocate în Uniunea Europeană. Din fericire, există mulți furnizori de servicii cloud care vă permit să alegeți unde sunt stocate datele, astfel încât puteți selecta unul care utilizează centre de date în Europa.
• Securitateadatelor Verificați ce măsuri de securitate are în vigoare platforma de stocare în cloud și alegeți una care oferă criptare end-to-end. În cele din urmă, trebuie să fiți convins că furnizorul dispune de proceduri de securitate adecvate.
• Respectul față de persoanele vizate Alegeți un furnizor de cloud care respectă cele opt drepturi la confidențialitate ale persoanelor vizate din UE - aceste informații ar trebui să fie furnizate cu ușurință de către companiile de cloud.
• Protecția datelor prin concepție și implicit Asigurați-vă că societatea de cloud computing a integrat securitatea în concepția și procedurile sale - de exemplu, prin utilizarea unui sistem de criptare de tip "zer0-knowledge" care restricționează accesul la informațiile sensibile. Acest lucru este esențial, având în vedere că orice încălcare a securității datelor va fi în cele din urmă responsabilitatea companiei dvs.

Conformitatea cu GDPR necesită o activitate continuă

Odată ce o companie a migrat datele în cloud, este înțelept să efectueze audituri periodice pentru a se asigura că procedurile și procesele operaționale continuă să fie conforme cu GDPR.

De asemenea, este recomandabil să se verifice în mod regulat dacă platforma cloud continuă să respecte toate asigurările de securitate oferite.

În mod normal, această activitate este efectuată de către organisme de supraveghere sau site-uri de recenzii independente ale unor terțe părți, care ar trebui verificate înainte de a lua orice decizie cu privire la opțiunea pe care să o alegeți.