GDPR
GDPR
Autor: Microsoft

7 kroků, jak přežít GDPR: Jsou opatření účinná? Napoví audit (7)

GDPR
GDPR
Autor: Microsoft

Vaše firma není jako správce osobních údajů povinna pouze zavést vhodná technická a organizační opatření. Musí být také schopna doložit, že údaje zpracovává skutečně v souladu s požadavky nařízení GDPR. K tomu slouží takzvané provozní záznamy, které jsme probrali v minulém díle. V posledním díle si řekneme, jak ověřit, zda jsou zavedená opatření účinná. Děje se tak na základě pravidelných testů a posudků.

Poskytovatelé cloudových služeb, kteří chtějí skutečně budovat důvěru zákazníků, jdou obvykle cestou deklarovaných průmyslových a mezinárodních standardů, auditních zpráv a podkladové dokumentace. Pro komerční cloudové služby se nejčastěji využívá ISO standardů, které najdete v přehledu níže.

Seriózní poskytovatelé cloudových služeb ve svojí dokumentaci k zavedení ISO standardů uvádějí i celkovou bezpečnostní politiku, seznam aplikovaných opatření a popis, jak jich bylo dosaženo. Hlavním bodem je pak zpráva akreditovaného auditora o souladu se specifikací standardu a hodnocení, jak je daný systém řízení bezpečnosti a kontinuity účinný.

Auditní zprávy o účinnosti opatření

Za nejrelevantnější se v poslední době u firemních dodavatelů považují auditní zprávy o řídicím a kontrolním mechanismu, tzv. zprávy SOC (Service Organization Controls). SOC 1 (přesněji také SSAE-16/ISAE 3402) dokládá vhodnost a účinnost bezpečnostních opatření pro naplnění deklarované bezpečnostní politiky. SOC 2 (AT101) zase potvrzuje, že je zajištěná bezpečnost a dostupnost služeb, integrity zpracování, důvěrnosti a ochrany soukromí.

V přísnější variantě Type II musí auditoři testovat účinnost opatření každoročně po dobu minimálně 6 měsíců v roce. Tyto zprávy proto mohou poskytnout opravdu důvěryhodný obraz a posouzení stavu zabezpečení u vašeho dodavatele ICT služeb.

Co jsou penetrační testy

Účinným nástrojem ověření úrovně zabezpečení zpracování údajů jsou dále penetrační testy. Zákazník cloudových služeb je může provést prostřednictvím svých IT specialistů, nebo pověřit jejich provedením některou z akreditovaných společností v rámci kodexu „etického hackingu“. Testují se zpravidla zranitelnosti IT infrastruktury, síťového připojení, zranitelnosti webových aplikací a odolnost vůči neautorizovaným útokům na uživatelské účty. Výsledky penetračních testů se opět dokládají zprávou.

Transparentnost především

Cloudové služby Microsoftu patří k tomu nejlepšímu, co trh v oblasti zabezpečení, ochrany soukromí a transparentnosti vůči správcům osobních údajů nabízí. Aktuální seznam dodržovaných standardů, norem a certifikací poskytuje společnost na www.microsoft.com/TRUST (dále přes box Compliance). Podkladová dokumentace a všechny auditní zprávy o účinnosti opatření jsou k dispozici po autentizaci účtem cloudové služby (Azure, Office 365, Dynamics 365) a po akceptaci podmínek NDA na adrese www.aka.ms/STP.

Odpovědnost za zpracování

„Podmínky pro služby online“ společnosti Microsoft nyní standardně obsahují smluvní závazky, které zajišťují soulad s požadavky GDPR na zpracovatele údajů podle článků 28, 32 a 33. Společně s dalšími ustanoveními „podmínek“ v oblasti zabezpečení a ochrany soukromí tak správci, tedy firmy, organizace či úřady, dostávají účinné nástroje pro zajištění souladu s pomocí cloudových služeb.

Standardy ISO, jež by měly splňovat komerční cloudové služby
ISO/IEC 27001 definuje požadavky na zavedení, udržování a neustálé zlepšování systému a procesů řízení bezpečnosti informací s využitím opatření definovaných v ISO/IEC 27002
ISO/IEC 27002 norma obsahuje 114 organizačních a technických opatření pro ochranu aktiv proti narušení důvěrnosti, integrity a dostupnosti
ISO/IEC 27017 sada opatření specifických pro zabezpečení systémů cloud computingu, doplňuje opatření uvedená v ISO/IEC 27002
ISO/IEC 27018 doporučení ohledně ochrany osobních údajů pro poskytovatele cloudových služeb
ISO 22301 definuje požadavky pro plánování, zavedení, provoz, monitorování a trvalé zlepšovaní systému řízení kontinuity činností. Tento rámec se využívá pro připravenost na mimořádné události pro cloudové služby

Na druhé straně je třeba zohlednit skutečnost, že žádný zpracovatel není schopen převzít plnou odpovědnost za soulad správce s nařízením GDPR. Odpovědnost za GDPR mezi správcem a zpracovatelem (poskytovatelem cloudu) bude vždy sdílená a bude se lišit v případě modelů poskytovaných služeb IaaS, PaaS, SaaS. Při zapojení modelu SaaS je odpovědnost poskytovatele cloudu nejvyšší, při IaaS je nejnižší. Platí tedy přímá úměra: čím více kontroly převezme zpracovatel, tím větší břímě na sebe bude schopen převzít.

Všechna nutná opatření pro ochranu osobních údajů podle GDPR musí být nejen deklarována, ale také účinně zavedena a pravidelně testována. Microsoft poskytuje nejen záruky za svůj vlastní soulad s nařízením, ale i široké portfolio produktů a cloudových služeb, které jsou pro naplnění závazků ze strany správce údajů k dispozici.

Nestačí však pouze mít k dispozici nástroje, které vám mohou pomoci se splněním GDPR závazků, ale hlavně ve vaší organizaci zajistit jejich používání. Je to podobné jako s bezpečnostním pásem v autě. Pokud ho máte a nepoužíváte, tak je vám k ničemu.

Jak co nejrychleji splnit požadavky GDPR? Podrobný návod najdete ZDE.

V seriálu Jak přežít GDPR vyšlo:

(1) Zmapujte si terén

(2) Jak uřídit data? Co nepotřebujete, vyhoďte

(3) Jak jsou údaje citlivé? Určete, kdo k nim může

(4) K lepší ochraně dat pomůžou cloud a šifrování

(5) Jak detekovat útok a zvládat bezpečnostní incidenty

(6) Jak vést provozní záznamy? Neplýtvejte časem

Autoři:

Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko

Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko



Čtěte také

 Výroba elektromotorů ve firmě Sopo

Jede stator, elektromotor. Modletická firma Sopo vyrábí komponenty pro formule 1

Česká firma Sopo vyrábí elektromotory pro vozy formule 1 nebo technologické obry Miele…

před 2 hodinami

 Jan Hamáček a Andrej Babiš odcházejí ze schůzky s prezidentem Milošem Zemanem v Lánech

Poslední zhasne. Kdysi hrdá značka „socdem“ je v troskách

Tak špatně na tom ČSSD nebyla třicet let. Tradiční české straně hrozí úpadek.

před 2 hodinami

 Logo ČSSD

Křížová cesta socialismu. První sociální demokraté by do pekla zřejmě poslali své nástupce

První sociální demokraté zažili jen šikanu a věznění. Dnes by jim nejspíš vadili víc…

před 2 hodinami

 Šéfka CZC.cz Jitka Dvořáková

Digi Česko. Spanilé jízdy internetových obchodů míří do Německa, Rakouska a na Balkán

Velkým českým internetovým hráčům začalo být doma těsno a začínají expandovat po Evropě.…

před 2 hodinami

Události  Skládka - ilustrační foto

Návrhy odpadových zákonů: tisíce připomínek, žádný potlesk

Za extrémně dlouho připravované návrhy odpadových zákonů si ministerstvo životního…

před 2 hodinami

 Ilustrace k eseji Pravda a cháska

Esej: Pravda a cháska

Donald Trump má jednoduchý modus operandi, jejž nejlépe vystihuje výraz „fuck you". Zlý…

před 3 hodinami

Sdílení

Líbí se Vám tento článek?
Sdílejte ho

Finance
Kdy je možné vyplatit ze společnosti s ručením omezeným podíl na zisku?
Zrušili nebo zpozdili vám let? Požádejte o odškodné
Potíže s dodavatelem energií: Kde vám pomůžou?
Jaké doklady vyřídit při bourání starého domu?
Nemějte strach z předmanželské smlouvy
Auta
Bentley představuje Flying Spur v provedení First Edition.…
Je opravdu dieselový Mercedes stejně čistý jako elektromobil? Samozřejmě, že ne
Vstříc elektromobilitě. Británie chce zavést povinnost dobíjecí stanice do každého domu
Která značka má nejvěrnější zákazníky? Podle J.D. Power Lexus a Subaru
Chevrolet Corvette C8 má po premiéře. Zde je 8 věcí, které byste měli o „americkém Ferrari“ vědět
Hry pro příležitostné hráče