GDPR
GDPR
Autor: Microsoft

7 kroků, jak přežít GDPR: Jsou opatření účinná? Napoví audit (7)

GDPR
GDPR
Autor: Microsoft

Vaše firma není jako správce osobních údajů povinna pouze zavést vhodná technická a organizační opatření. Musí být také schopna doložit, že údaje zpracovává skutečně v souladu s požadavky nařízení GDPR. K tomu slouží takzvané provozní záznamy, které jsme probrali v minulém díle. V posledním díle si řekneme, jak ověřit, zda jsou zavedená opatření účinná. Děje se tak na základě pravidelných testů a posudků.

Poskytovatelé cloudových služeb, kteří chtějí skutečně budovat důvěru zákazníků, jdou obvykle cestou deklarovaných průmyslových a mezinárodních standardů, auditních zpráv a podkladové dokumentace. Pro komerční cloudové služby se nejčastěji využívá ISO standardů, které najdete v přehledu níže.

Seriózní poskytovatelé cloudových služeb ve svojí dokumentaci k zavedení ISO standardů uvádějí i celkovou bezpečnostní politiku, seznam aplikovaných opatření a popis, jak jich bylo dosaženo. Hlavním bodem je pak zpráva akreditovaného auditora o souladu se specifikací standardu a hodnocení, jak je daný systém řízení bezpečnosti a kontinuity účinný.

Auditní zprávy o účinnosti opatření

Za nejrelevantnější se v poslední době u firemních dodavatelů považují auditní zprávy o řídicím a kontrolním mechanismu, tzv. zprávy SOC (Service Organization Controls). SOC 1 (přesněji také SSAE-16/ISAE 3402) dokládá vhodnost a účinnost bezpečnostních opatření pro naplnění deklarované bezpečnostní politiky. SOC 2 (AT101) zase potvrzuje, že je zajištěná bezpečnost a dostupnost služeb, integrity zpracování, důvěrnosti a ochrany soukromí.

V přísnější variantě Type II musí auditoři testovat účinnost opatření každoročně po dobu minimálně 6 měsíců v roce. Tyto zprávy proto mohou poskytnout opravdu důvěryhodný obraz a posouzení stavu zabezpečení u vašeho dodavatele ICT služeb.

Co jsou penetrační testy

Účinným nástrojem ověření úrovně zabezpečení zpracování údajů jsou dále penetrační testy. Zákazník cloudových služeb je může provést prostřednictvím svých IT specialistů, nebo pověřit jejich provedením některou z akreditovaných společností v rámci kodexu „etického hackingu“. Testují se zpravidla zranitelnosti IT infrastruktury, síťového připojení, zranitelnosti webových aplikací a odolnost vůči neautorizovaným útokům na uživatelské účty. Výsledky penetračních testů se opět dokládají zprávou.

Transparentnost především

Cloudové služby Microsoftu patří k tomu nejlepšímu, co trh v oblasti zabezpečení, ochrany soukromí a transparentnosti vůči správcům osobních údajů nabízí. Aktuální seznam dodržovaných standardů, norem a certifikací poskytuje společnost na www.microsoft.com/TRUST (dále přes box Compliance). Podkladová dokumentace a všechny auditní zprávy o účinnosti opatření jsou k dispozici po autentizaci účtem cloudové služby (Azure, Office 365, Dynamics 365) a po akceptaci podmínek NDA na adrese www.aka.ms/STP.

Odpovědnost za zpracování

„Podmínky pro služby online“ společnosti Microsoft nyní standardně obsahují smluvní závazky, které zajišťují soulad s požadavky GDPR na zpracovatele údajů podle článků 28, 32 a 33. Společně s dalšími ustanoveními „podmínek“ v oblasti zabezpečení a ochrany soukromí tak správci, tedy firmy, organizace či úřady, dostávají účinné nástroje pro zajištění souladu s pomocí cloudových služeb.

Standardy ISO, jež by měly splňovat komerční cloudové služby
ISO/IEC 27001 definuje požadavky na zavedení, udržování a neustálé zlepšování systému a procesů řízení bezpečnosti informací s využitím opatření definovaných v ISO/IEC 27002
ISO/IEC 27002 norma obsahuje 114 organizačních a technických opatření pro ochranu aktiv proti narušení důvěrnosti, integrity a dostupnosti
ISO/IEC 27017 sada opatření specifických pro zabezpečení systémů cloud computingu, doplňuje opatření uvedená v ISO/IEC 27002
ISO/IEC 27018 doporučení ohledně ochrany osobních údajů pro poskytovatele cloudových služeb
ISO 22301 definuje požadavky pro plánování, zavedení, provoz, monitorování a trvalé zlepšovaní systému řízení kontinuity činností. Tento rámec se využívá pro připravenost na mimořádné události pro cloudové služby

Na druhé straně je třeba zohlednit skutečnost, že žádný zpracovatel není schopen převzít plnou odpovědnost za soulad správce s nařízením GDPR. Odpovědnost za GDPR mezi správcem a zpracovatelem (poskytovatelem cloudu) bude vždy sdílená a bude se lišit v případě modelů poskytovaných služeb IaaS, PaaS, SaaS. Při zapojení modelu SaaS je odpovědnost poskytovatele cloudu nejvyšší, při IaaS je nejnižší. Platí tedy přímá úměra: čím více kontroly převezme zpracovatel, tím větší břímě na sebe bude schopen převzít.

Všechna nutná opatření pro ochranu osobních údajů podle GDPR musí být nejen deklarována, ale také účinně zavedena a pravidelně testována. Microsoft poskytuje nejen záruky za svůj vlastní soulad s nařízením, ale i široké portfolio produktů a cloudových služeb, které jsou pro naplnění závazků ze strany správce údajů k dispozici.

Nestačí však pouze mít k dispozici nástroje, které vám mohou pomoci se splněním GDPR závazků, ale hlavně ve vaší organizaci zajistit jejich používání. Je to podobné jako s bezpečnostním pásem v autě. Pokud ho máte a nepoužíváte, tak je vám k ničemu.

Jak co nejrychleji splnit požadavky GDPR? Podrobný návod najdete ZDE.

V seriálu Jak přežít GDPR vyšlo:

(1) Zmapujte si terén

(2) Jak uřídit data? Co nepotřebujete, vyhoďte

(3) Jak jsou údaje citlivé? Určete, kdo k nim může

(4) K lepší ochraně dat pomůžou cloud a šifrování

(5) Jak detekovat útok a zvládat bezpečnostní incidenty

(6) Jak vést provozní záznamy? Neplýtvejte časem

Autoři:

Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko

Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko



Čtěte také

 Volby v Polsku, ilustrační foto

Právo a spravedlnost ovládlo polské parlamentní volby, zřejmě bude dál vládnout

Polská vládnoucí strana Právo a spravedlnost (PiS) získala v nedělních parlamentních…

před 3 hodinami

 Překladiště Lovosice

Situace českých exportérů se meziročně zhoršila, vyplývá z průzkumu. Budoucnost vidí pesimisticky

Situace českých exportérů se meziročně zhoršila a budoucí vývoj hodnotí spíše…

před 3 hodinami

 Výroba letadel Airbus

Přijde Trumpův nálet? Tento týden může vypuknout americko-evropská obchodní válka

Stalo se to, na co se čekalo téměř patnáct let. Spojené státy vyhrály mezinárodní…

před 3 hodinami

 Nakupování online, ilustrační foto

Zlatá horečka: Česko má podle JP Morgan nejrychleji rostoucí online trh v Evropě

Pozornost velkých světových internetových hráčů se upírá na Česko. Podle průzkumu banky…

před 3 hodinami

Praha  Svoz komunálního odpadu - ilustrační foto

Svoz komunálního odpadu v Praze zdraží o 30 procent. Město tím získá 220 milionů korun

Svoz komunálního odpadu v Praze podraží o 30 procent. Změnu znění vyhlášky o svozu odpadu…

před 4 hodinami

 Ministr zahraničí Tomáš Petříček

Zastavte invazi do Sýrie, vyzval Petříček Turecko

Ministr zahraničí Tomáš Petříček (ČSSD) dnes zopakoval tureckému velvyslanci, že…

před 5 hodinami

Sdílení

Líbí se Vám tento článek?
Sdílejte ho

Finance
Jak pomůže dětem v exekuci novela insolvenčního zákona?
Jak s námi operátoři jednají? Vata to tedy není
Kdy se bude zase měnit čas a na kterou stranu posunout na podzim ručičku?
Svátek Všech Svatých a Dušičky, aneb proč to není státní svátek?
Jak se bude počítat důchod v roce 2020?
Auta
Země elektromobilů. V Norsku mizí čerpací stanice
Kvalitní moderní ojetý vůz šetří vaši kapsu a je bezpečnější
Fiat Talento modelový rok 2020
Kupé Škoda 763 bylo rychlejší než auta VB. Skončilo fiaskem, přispělo však ke vzniku Favoritu
DB Schenker posiluje pozici v logistice pro automobilový průmysl
Hry pro příležitostné hráče