Media i internet

Zaufanie do chmury: nowe rozwiązania dają dostęp do lepszych zabezpieczeń

123RF
Najczęściej podnoszonym problemem przy przejściu na chmurę była zmiana odpowiedzialności. W sytuacji, kiedy część zadań została przesunięta do zewnętrznego dostawcy, odpowiedzialność została rozłożona pomiędzy użytkownika i jego działy a dostawcę.

Ta odpowiedzialność jest regulowana na dwa sposoby – przepisami prawa, które określają ramy użycia chmury, oraz umowami pomiędzy użytkownikiem a dostawcą chmury.

Standardy międzynarodowego transferu danych

Certyfikaty bezpieczeństwa, takie jak ISO 27001, wprowadzenie fizycznych ograniczeń lokalizacji do określonego obszaru, szyfrowanie danych podczas przesyłania i w spoczynku, ochrona danych osobowych zgodna z ISO 27018 stanowią już obowiązującą normę.

Dla przykładu: dzięki takiemu podejściu klienci firmy Microsoft nie zostali dotknięci wyrokiem Trybunału Sprawiedliwości Unii Europejskiej, który zanegował umowę Safe Harbour z 2000 roku dotyczącą przekazywania danych osobowych pomiędzy Unią Europejską a Stanami Zjednoczonymi. W usługach Microsoftu, takich jak Office 365 czy Azure, od lat stosuje się w umowie standardowe europejskie klauzule dające adekwatny poziom ochrony danych po obu stronach Atlantyku.

28 krajów Unii Europejskiej utworzyło Grupę Roboczą art. 29

Ten rodzaj zabezpieczenia prawnego jest wprost zapisany w polskiej ustawie o ochronie danych osobowych jako odpowiedni. Usługi chmurowe firmy Microsoft – np. Office 365, CRM Online czy Azure – zostały niezależnie zweryfikowane jako zgodne z tą normą.

Dodajmy, że Grupa Robocza Art.29, złożona z przedstawicieli organów odpowiedzialnych za ochronę prywatności we wszystkich 28 krajach Unii Europejskiej uznała, że realizacja unijnych klauzul umownych w chmurowych umowach Microsoftu spełnia wysokie standardy międzynarodowego transferu danych w chmurze.

Co więcej, jeśli dostępu do danych zażądają organy rządowe, najpierw zostają powiadomieni o tym klienci, chyba że zabrania tego prawo.

Microsoft stworzył również zespół do spraw zgodności z przepisami, który ocenia każdy taki wniosek i jest uprawniony do odrzucania nieuzasadnionych żądań.

Jak budować zaufanie?

Umieszczając dane w chmurze, powierzamy je innemu podmiotowi, co oznacza, że zaufanie do instytucji przetwarzającej te dane zyskuje dla klientów fundamentalne znaczenie.

Szczególnie istotna jest gwarancja dostawcy, że dane klienta należą tylko i wyłącznie do niego. Klient ma prawo zawsze wiedzieć, gdzie znajdują się dane, kto ma do nich dostęp i jak są używane.

Zaufanie do chmury jest budowane w oparciu o trzy elementy. Dotyczą one:

zgodności z lokalnymi przepisami,

zapewnienia klientom pełnej kontroli nad własnymi danymi

najwyższego poziomu ochrony, jakiego większość organizacji nie osiągnęłaby, wykorzystując własne rozwiązania.

Dostawca powinien zapewniać kilka warstw ochrony, zapewniając bezpieczeństwo na poziomie:

danych,

aplikacji,

hosta,

sieci

urządzeń fizycznych.

Szczególnie ważne jest nieustanne rozszerzanie zakresu szyfrowania we wszystkich usługach oraz umożliwienie klientom stosowania ich własnych mechanizmów szyfrowania danych.

Współpraca z regulatorami

Zgodność z przepisami ma szczególne znaczenie w branżach ściśle regulowanych, takich jak usługi finansowe. Firmy oferujące usługi w chmurze muszą aktywnie współpracować z regulatorami w Polsce i z podobnymi instytucjami z rynków europejskich w celu zapewnienia maksymalnej zgodności z normami i regulacjami prawnymi.

Microsoft opracował program zgodności dla swoich klientów, dając im gwarancję, że dysponują zabezpieczeniami klasy korporacyjnej. Jest jednym z nielicznych podmiotów, które mają jedyny międzynarodowy standard prywatności w chmurze.

Firma gwarantuje, że w jej korporacyjnych usługach chmurowych nie ma reklam, zachowując przy tym pełną przejrzystość odnośnie do sposobu wykorzystywania danych klientów.

Jeśli klient zrezygnuje z wybranych usług chmurowych, ma pełne prawo – i możliwości techniczne – przenieść swoje dane w wybrane miejsce.

Zagadnienia zaufania do chmury obliczeniowej oraz uwarunkowania prawne związane z wprowadzaniem usług cloud computing w organizacjach zostaną poruszone w trakcie konferencji Trusted Cloud Day 2015, która odbędzie się 26 listopada w Klubie The View przy ulicy Twardej 18 w Warszawie. Więcej informacji na stronie trustedcloud.pl.

Artykuł powstał przy współpracy z Dfusion Communications

Źródło: Rzeczpospolita

REDAKCJA POLECA

NAJNOWSZE Z RP.PL