GDPR для поставщиков облачных услуг - обзор

Облачные платформы становятся все более важным инструментом для современного бизнеса, и легко понять, почему - 85% данных американских компаний в 2020 году хранились в облачных хранилищах, а объем рынка публичных облаков к 2025 году достигнет $679 млрд (Statista, CRN).

Однако по мере того, как компании все чаще переходят на облачные технологии, все большее значение приобретает вопрос безопасности данных в облачных хранилищах - особенно в свете строгих требований GDPR, вступивших в силу в 2018 году.

Некоторые компании опасаются, что, используя облачного провайдера для хранения данных, они могут быть оштрафованы за несоблюдение GDPR.

И хотя это вполне понятно, учитывая, что в процессе участвует третья сторона, нет причин, по которым хранение и управление данными обязательно будет менее безопасным.

Что такое облако?

Говоря простым языком, облако - это сеть серверов, предназначенных для хранения огромных объемов данных.

Компании могут использовать это оборудование для хранения собственных данных, доступ к которым они получают через Интернет.

Популярные примеры - Dropbox, Google Cloud и Amazon Web Services.

В целом, облачное программное обеспечение можно разделить на три типа:

1. общедоступное - облачный сервис на базе Интернета, предоставляемый нескольким организациям либо бесплатно, либо по подписке с оплатой за использование.
2. Частный - внутренний облачный сервис, предназначенный для одной компании.
3. Гибридный - смесь публичного и частного облака.

Их также часто разделяют по другому признаку:

• Инфраструктура как услуга (IaaS) - компания платит за доступ к вычислительным ресурсам и ресурсам хранения данных облачного провайдера.
• Программное обеспечение как услуга (SaaS) - компания платит за доступ к программному обеспечению по требованию через Интернет.
• Платформа как услуга (PaaS) - услуга со средой разработки и развертывания, которую компании могут использовать для создания приложений в браузере.

Преимущества облака для компаний

Облачное хранилище может иметь огромные преимущества для предприятий по доступной цене: оно снижает затраты на безопасность и управление данными, улучшает коммуникации и стимулирует лучшую командную работу.

Предприятия также выигрывают от повышенной безопасности, меньшего времени простоя из-за проблем с ИТ-инфраструктурой и отличной масштабируемости по мере роста.

В совокупности облачное программное обеспечение обеспечивает компаниям дополнительную гибкость, которая может дать им решающее конкурентное преимущество:

• 84% отмечают улучшение операционной деятельности в течение первых месяцев после внедрения (Multisoft).
• Малые и средние предприятия считают на 40% более экономически эффективным использование сторонних облачных платформ по сравнению со штатной альтернативой (Multisoft).
• 94% предприятий отмечают значительные улучшения в сфере онлайн-безопасности после переноса данных в облако (Salesforce).

Как повлиял GDPR на облачное программное обеспечение?

Важно отметить, что 91% компаний считают, что облачные платформы хранения данных очень помогли им в работе по обеспечению соответствия государственным требованиям, таким как GDPR (Salesforce).

Они уже давно разработаны с учетом требований безопасности и используют передовое шифрование при передаче данных, что означает, что неавторизованный пользователь не сможет получить доступ к частной информации.

Однако GDPR навсегда изменил порядок хранения и обработки персональных данных в облаке, и EDPS - орган ЕС по контролю за соблюдением конфиденциальности - изучает вопрос о том, насколько эффективно облачные службы Amazon AWS и Microsoft Azure защищают данные граждан.

Требования GDPR к поставщикам облачных услуг следующие:

• Разработать принципы обработки персональных данных
• Обеспечить соблюдение в процессе обработки данных 8 прав субъектов данных, предусмотренных GDPR
• Установить требования по обеспечению конфиденциальности в процессе проектирования для всех, кто участвует в обработке данных и контролирует деятельность по обработке данных
• Внедрить контроль над правом собственности на данные и правом переносимости данных
• Внедрить меры безопасности, обеспечивающие конфиденциальность данных
• Установить принципы обработки данных для международных сторон
• Разработать политику и процедуру управления нарушениями конфиденциальности данных
• Разработать политику в отношении заключения договорных соглашений, сроков хранения данных и других применимых требований.

Какова ответственность компании за данные, хранящиеся в облаке?

Вопросы безопасности третьих сторон являются одной из основных проблем GDPR, и они включают в себя случаи, когда сторонняя облачная платформа хранит данные от имени компании-клиента.

GDPR проводит различие между "контролерами данных" и "обработчиками данных", когда речь идет об ответственности за безопасность личной информации.

В данном контексте предприятие является контролером данных, а поставщик облачного программного обеспечения - обработчиком данных. Это означает, что предприятие несет ответственность за сохранность персональных данных, независимо от того, хранятся они на его собственных серверах или нет.

О чем следует подумать при выборе облачной платформы

Перед миграцией в облако компаниям рекомендуется убедиться в том, что поток персональных данных правильно составлен, и провести оценку воздействия на частную жизнь.

Центральное место в этом процессе занимают следующие соображения:

• Суверенитет данных Правила GDPR предусматривают, что данные должны храниться на территории Европейского союза. К счастью, существует множество поставщиков облачных услуг, которые позволяют выбирать место хранения данных, поэтому вы можете выбрать ту компанию, которая использует центры обработки данных в Европе.
• Безопасность данных Проверьте, какую защиту обеспечивает платформа облачного хранения данных, и выберите ту, которая предлагает сквозное шифрование. В конечном итоге вы должны быть уверены, что провайдер имеет адекватные процедуры безопасности.
• Уважение к субъектам данных Выбирайте облачного провайдера, который соблюдает восемь прав субъектов данных ЕС на конфиденциальность - эта информация должна быть легко предоставлена облачными компаниями.
• Защита данных по замыслу и по умолчанию Убедитесь, что компания-облакодатель интегрировала защиту в свою разработку и процедуры - например, используя шифрование по принципу "нулевого знания", которое ограничивает доступ к конфиденциальной информации. Это очень важно, учитывая, что ответственность за любые нарушения данных в конечном итоге будет лежать на вашей компании.

Соответствие GDPR требует постоянной работы

После того как компания перенесла данные в облако, целесообразно проводить регулярные аудиты, чтобы убедиться, что операционные процедуры и процессы продолжают соответствовать GDPR.

Также рекомендуется регулярно проверять, что облачная платформа продолжает соответствовать всем предоставленным гарантиям безопасности.

Обычно эту работу выполняют независимые сторонние наблюдатели или сайты отзывов, которые следует проверять до принятия решения о выборе варианта.