Skip to main content

GDPR для постачальників хмарних послуг – огляд

Хмарні платформи стають дедалі важливішим інструментом для сучасного бізнесу, і легко зрозуміти чому – 85% даних американських компаній у 2020 році було в хмарному сховищі, а обсяг ринку загальнодоступних хмар до 2025 року досягне 679 мільярдів доларів (Statista, CRN ).

Але оскільки компанії постійно переходять у хмару, питання безпеки даних хмарного сховища стає все більш важливим, особливо у світлі жорстких вимог GDPR, які набули чинності у 2018 році.

Деякі компанії занепокоєні тим, що піддаються штрафам за невідповідність GDPR, використовуючи хмарного постачальника для зберігання даних.

І хоча це зрозуміло, враховуючи, що в ньому задіяна третя сторона, немає причин, чому дані, які зберігаються та керуються, були б менш безпечними.

Що таке Хмара?

Простіше кажучи, хмара — це мережа серверів, призначена для зберігання величезних обсягів даних.

Компанії можуть використовувати це обладнання для зберігання власних даних, які доступні їм через Інтернет.

Популярні приклади включають Dropbox, Google Cloud та Amazon Web Services.

Загалом, хмарне програмне забезпечення можна розділити на три типи:

  1. Громадський – хмарний сервіс на основі Інтернету, який надається кільком організаціям безкоштовно або з платою за використання підписки
  2. Private – внутрішня хмарна служба, призначена для однієї компанії
  3. Гібрид – поєднання публічної та приватної хмари

Їх часто також розбивають іншим способом:

  • Infrastructure-as-a-Service (IaaS) – компанія платить за доступ до обчислювальних ресурсів і ресурсів зберігання даних хмарного постачальника
  • Software-as-a-Service (SaaS) – компанія платить за доступ до програмного забезпечення на вимогу через Інтернет
  • Platform-as-a-Service (PaaS) – сервіс із середовищем розробки та розгортання, який компанії можуть використовувати для створення додатків у браузері

Переваги хмари для компаній

Хмарне сховище може мати величезні переваги для підприємств за обмежену ціну: воно зменшує безпеку даних і витрати на керування, покращує зв’язок та сприяє кращій командній роботі.

Підприємства також виграють від підвищеної безпеки, менше простоїв через проблеми ІТ-інфраструктури та відмінну масштабованість у міру зростання.

У сукупності хмарне програмне забезпечення надає компаніям додаткову гнучкість, яка може дати їм важливу конкурентну перевагу:

  • 84% повідомляють про покращення роботи протягом перших місяців впровадження (Multisoft)
  • Малі та середні підприємства вважають, що використовувати сторонні хмарні платформи на 40% вигідніше, ніж підтримувати внутрішню альтернативу (Multisoft)
  • 94% компаній повідомляють про значні покращення безпеки в Інтернеті після перенесення даних у хмару (Salesforce)

Як GDPR вплинуло на хмарне програмне забезпечення?

Важливо те, що 91% компаній вважають, що платформи хмарного сховища дуже допомагають у дотриманні державних вимог, таких як GDPR (Salesforce).

Вони вже давно розроблені з безпекою на передній панелі та в центрі, використовуючи розширене шифрування під час передачі даних, що означає, що жоден неавторизований користувач не може отримати доступ до приватної інформації.

Тим не менш, GDPR назавжди змінив спосіб зберігання та обробки персональних даних у хмарі, і EDPS – захисник конфіденційності ЄС – досліджує, чи ефективно захищають дані громадян AWS Amazon та хмарна служба Microsoft Azure.

Вимоги GDPR до постачальників хмарних послуг такі:

  • Розробити принципи обробки персональних даних
  • Переконайтеся, що процес обробки даних поважає 8 прав суб’єктів даних GDPR
  • Встановіть вимоги щодо конфіденційності задумом для всіх, хто бере участь у обробці даних та діяльності з контролю
  • Запровадити контроль за правом власності на дані та правом на перенесення даних
  • Запровадити заходи безпеки, які забезпечують конфіденційність даних
  • Встановити принципи обробки даних міжнародним сторонам
  • Розробити політику та процедуру боротьби з порушеннями даних
  • Розробити політику щодо укладення договірних угод, періодів зберігання даних та інших відповідних вимог

Яка відповідальність компанії за дані, що зберігаються в хмарі?

Проблеми безпеки сторонніх розробників є основною проблемою GDPR, зокрема, коли стороння хмарна платформа зберігає дані від імені клієнтського бізнесу.

GDPR розрізняє «контролерів даних» і «обробників даних», коли йдеться про відповідальність за безпеку особистої інформації.

У цьому контексті компанія є контролером даних, тоді як постачальник хмарного програмного забезпечення є обробником даних, що означає, що компанія несе відповідальність за збереження персональних даних, незалежно від того, зберігаються вони на власних серверах чи ні.

На що звернути увагу при виборі хмарної платформи

Перед переходом у хмару компаніям рекомендується переконатися, що їхній потік персональних даних належним чином сплановано, і провести оцінку впливу на конфіденційність.

Основними для цього будуть наступні міркування:

  • Положення про суверенітет данихGDPR передбачають, що дані повинні зберігатися в Європейському Союзі. На щастя, є багато постачальників хмарних послуг, які дозволяють вибирати, де зберігатимуться дані, тож ви можете вибрати той, який використовує центри обробки даних у Європі.
  • Безпека данихПеревірте, який захист має платформа хмарного сховища, і виберіть той, який пропонує наскрізне шифрування. Зрештою, ви повинні бути впевнені, що постачальник має відповідні процедури безпеки.
  • Повага до суб’єктів данихВиберіть постачальника хмарних даних, який дотримується восьми прав на конфіденційність суб’єктів даних ЄС – цю інформацію мають легко надавати хмарні компанії.
  • Захист даних за проектом і за замовчуваннямПереконайтеся, що хмарна компанія інтегрувала безпеку в свої конструкції та процедури – наприклад, за допомогою шифрування zer0-knowledge, яке обмежує доступ до конфіденційної інформації. Це важливо, оскільки будь-які порушення даних в кінцевому підсумку лягатимуть на вашу компанію

Відповідність GDPR вимагає постійної роботи

Після того, як компанія перемістила дані в хмару, доцільно проводити регулярні перевірки, щоб переконатися, що операційні процедури та процеси продовжують відповідати GDPR.

Також рекомендується регулярно перевіряти, чи хмарна платформа продовжує відповідати всім наданим гарантіям безпеки.

Цю роботу зазвичай виконують незалежні сторонні сторожі або оглядові сайти, які повинні бути перевірені, перш ніж приймати рішення про те, який варіант вибрати.