Skip to main content

Bulut Hizmeti Sağlayıcıları için GDPR - Genel Bakış

    Bulut platformları modern işletmeler için giderek daha önemli bir araç haline geldi ve nedenini görmek kolay - 2020'de ABD şirket verilerinin %85'i bulut depolamadaydı ve genel bulut pazar hacminin 2025 yılına kadar 679 milyar dolara ulaşması bekleniyor (Statista, CRN ).

    Ancak şirketler giderek artan sayıda buluta geçiş yaparken, özellikle 2018'de yürürlüğe giren katı GDPR gereksinimleri ışığında bulut depolama veri güvenliği konusunun önemi arttı.

    Bazı işletmeler, kendileri için veri depolamak üzere bir bulut sağlayıcısı kullanarak kendilerini GDPR'ye uymama cezalarına maruz bıraktıklarından endişe duymaktadır.

    Ve bu, üçüncü bir tarafın dahil olduğu düşünüldüğünde anlaşılabilir olsa da, saklanan ve yönetilen verilerin daha az güvenli olması için hiçbir neden yoktur.

    Bulut nedir?

    Basit bir ifadeyle bulut, büyük miktarda veri depolamak için tasarlanmış bir sunucular ağıdır.

    Şirketler bu donanımı internet üzerinden erişebilecekleri kendi verilerini depolamak için kullanabilirler.

    Popüler örnekler Dropbox, Google Cloud ve Amazon Web Hizmetlerini içerir.

    Genel olarak konuşursak, bulut yazılımı üç türe ayrılabilir:

    1. Genel - birden fazla kuruluşa ücretsiz olarak veya kullanım başına ödeme aboneliğiyle sunulan internet tabanlı bir bulut hizmeti
    2. Özel – tek bir şirkete özel şirket içi bulut hizmeti
    3. Hibrit – genel ve özel bulutun bir karışımı

    Genellikle başka bir şekilde de parçalanırlar:

    • Hizmet Olarak Altyapı (IaaS) – bir şirket, bir bulut sağlayıcısının bilgi işlem ve depolama kaynaklarına erişmek için ödeme yapar
    • Hizmet Olarak Yazılım (SaaS) – bir şirket, internet üzerinden talep üzerine yazılıma erişmek için ödeme yapar
    • Hizmet Olarak Platform (PaaS) – şirketlerin bir tarayıcıda uygulamalar oluşturmak için kullanabilecekleri geliştirme ve dağıtım ortamına sahip bir hizmet

    Bulutun Şirketler İçin Faydaları

    Bulut depolama, sınırlı bir fiyata işletmeler için büyük avantajlara sahip olabilir: veri güvenliği ve yönetim maliyetlerini azaltır, iletişimi iyileştirir ve daha iyi ekip çalışmasını hızlandırır.

    İşletmeler ayrıca gelişmiş güvenlikten, BT altyapısı sorunlarından kaynaklanan daha az kesinti süresinden ve büyüdükçe mükemmel ölçeklenebilirlikten yararlanır.

    Birlikte ele alındığında, bulut yazılımı şirketlere çok önemli bir rekabet avantajı sağlayabilecek ekstra esneklik sağlar:

    • %84'ü, kullanıma sunulduğu ilk aylarda operasyonel iyileştirmeler bildiriyor (Multisoft)
    • Küçük ve orta ölçekli işletmeler, üçüncü taraf bulut platformlarını şirket içi bir alternatifi sürdürmekten (Multisoft) %40 daha uygun maliyetli buluyor
    • İşletmelerin %94'ü, verileri buluta taşıdıktan sonra çevrimiçi güvenlikte önemli gelişmeler bildiriyor (Salesforce)

    Bulut Yazılımı GDPR'den Nasıl Etkilendi?

    En önemlisi, şirketlerin %91'i, bulut depolama platformlarının GDPR (Salesforce) gibi devlet gereksinimlerine uyum çalışmalarında çok yardımcı olduğuna inanıyor.

    Uzun süredir güvenlik ön ve merkez olacak şekilde tasarlanmışlardır ve verileri iletirken gelişmiş şifreleme kullanırlar - bu, yetkisiz hiçbir kullanıcının özel bilgilere erişemeyeceği anlamına gelir.

    Bununla birlikte, GDPR, kişisel verilerin bulutta nasıl saklanabileceğini ve işlenebileceğini kalıcı olarak değiştirdi ve EDPS - AB gizlilik gözlemcisi - Amazon'un AWS ve Microsoft'un Azure bulut hizmetinin vatandaş verilerini etkili bir şekilde koruyup korumadığını araştırıyor.

    GDPR'nin bulut hizmeti sağlayıcıları için gereksinimleri aşağıdaki gibidir:

    • Kişisel verilerin işlenmesi için ilkeler geliştirmek
    • Veri işleme sürecinin GDPR'nin 8 veri öznesi hakkına saygı duymasını sağlayın
    • Veri işleme ve kontrol faaliyetlerinde yer alan herkes için tasarım yoluyla gizlilik gereksinimleri oluşturun
    • Veri sahipliği ve veri taşınabilirliği hakkı üzerinde kontroller uygulayın
    • Verilerin gizliliğini sağlayan güvenlik önlemi getirin
    • Verilerin uluslararası taraflara işlenmesi için ilkeler oluşturun
    • Veri ihlallerini yönetmek için politikalar ve prosedürler geliştirin
    • Sözleşmeye dayalı anlaşmaların oluşturulmasına, veri saklama sürelerine ve diğer geçerli gerekliliklere ilişkin politikalar geliştirmek

    Bir Şirketin Bulutta Tutulan Verilere İlişkin Sorumluluğu Nedir?

    Üçüncü taraf güvenlik sorunları, GDPR'nin önemli bir endişesidir ve bunlar, bir üçüncü taraf bulut platformunun bir müşteri işletmesi adına veri depolamasını içerir.

    GDPR, kişisel bilgilerin güvenliği için hesap verebilirlik söz konusu olduğunda "veri denetleyicileri" ve "veri işlemcileri" arasında ayrım yapar.

    Bu bağlamda, işletme veri denetleyicisidir, bulut yazılımı sağlayıcısı ise veri işlemcisidir - bu nedenle işletme, kendi sunucularında depolanıp depolanmadığına bakılmaksızın kişisel verileri güvende tutmaktan sorumludur.

    Bulut Platformu Seçerken Neleri Düşünmeli?

    Buluta geçiş yapmadan önce, şirketlerin kişisel veri akışlarının uygun şekilde haritalandığından emin olmaları ve bir gizlilik etki değerlendirmesi yapmaları tavsiye edilir.

    Bunun merkezinde aşağıdaki hususlar yer alacaktır:

    • Veri egemenliğiGDPR düzenlemeleri, verilerin Avrupa Birliği'nde saklanması gerektiğini şart koşar. Neyse ki, verilerin nerede saklanacağını seçmenize izin veren birçok bulut hizmeti sağlayıcısı var, böylece Avrupa'daki veri merkezlerini kullanan birini seçebilirsiniz.
    • Veri güvenliğiBulut depolama platformunun hangi güvenliği sağladığını kontrol edin ve uçtan uca şifreleme sunan birini seçin. Sonuç olarak, sağlayıcının yeterli güvenlik prosedürlerine sahip olduğundan emin olmanız gerekir.
    • Veri öznelerine saygıAB veri öznelerinin sekiz gizlilik hakkına uyan bir bulut sağlayıcısı seçin – bu bilgiler bulut şirketleri tarafından kolayca sağlanmalıdır.
    • Tasarım gereği ve varsayılan olarak veri korumasıBulut şirketinin, güvenliği tasarımlarına ve prosedürlerine entegre ettiğinden emin olun – örneğin hassas bilgilere erişimi kısıtlayan sıfır bilgi şifrelemesi kullanarak. Bu, herhangi bir veri ihlalinin nihayetinde şirketinizin sorumluluğunda olacağı göz önüne alındığında önemlidir.

    GDPR uyumluluğu, sürekli çalışmayı gerektirir

    Bir şirket verileri buluta geçirdikten sonra, operasyonel prosedürlerin ve süreçlerin GDPR ile uyumlu olmaya devam etmesini sağlamak için düzenli denetimler yapmak akıllıca olacaktır.

    Bulut platformunun verilen herhangi bir güvenlik güvencesine uymaya devam edip etmediğini düzenli olarak kontrol etmeniz de tavsiye edilir.

    Bu çalışma, normalde, hangi seçeneğe gidileceği konusunda herhangi bir karar vermeden önce doğrulanması gereken bağımsız üçüncü taraf gözlemciler veya inceleme siteleri tarafından gerçekleştirilir.