Zaufanie do chmury: nowe rozwiązania dają dostęp do lepszych zabezpieczeń

aktualizacja: 17.11.2015, 21:00
Foto: 123RF

Najczęściej podnoszonym problemem przy przejściu na chmurę była zmiana odpowiedzialności. W sytuacji, kiedy część zadań została przesunięta do zewnętrznego dostawcy, odpowiedzialność została rozłożona pomiędzy użytkownika i jego działy a dostawcę.

Ta odpowiedzialność jest regulowana na dwa sposoby – przepisami prawa, które określają ramy użycia chmury, oraz umowami pomiędzy użytkownikiem a dostawcą chmury.

Standardy międzynarodowego transferu danych

Certyfikaty bezpieczeństwa, takie jak ISO 27001, wprowadzenie fizycznych ograniczeń lokalizacji do określonego obszaru, szyfrowanie danych podczas przesyłania i w spoczynku, ochrona danych osobowych zgodna z ISO 27018 stanowią już obowiązującą normę.

Dla przykładu: dzięki takiemu podejściu klienci firmy Microsoft nie zostali dotknięci wyrokiem Trybunału Sprawiedliwości Unii Europejskiej, który zanegował umowę Safe Harbour z 2000 roku dotyczącą przekazywania danych osobowych pomiędzy Unią Europejską a Stanami Zjednoczonymi. W usługach Microsoftu, takich jak Office 365 czy Azure, od lat stosuje się w umowie standardowe europejskie klauzule dające adekwatny poziom ochrony danych po obu stronach Atlantyku.

28 krajów Unii Europejskiej utworzyło Grupę Roboczą art. 29

Ten rodzaj zabezpieczenia prawnego jest wprost zapisany w polskiej ustawie o ochronie danych osobowych jako odpowiedni. Usługi chmurowe firmy Microsoft – np. Office 365, CRM Online czy Azure – zostały niezależnie zweryfikowane jako zgodne z tą normą.

Dodajmy, że Grupa Robocza Art.29, złożona z przedstawicieli organów odpowiedzialnych za ochronę prywatności we wszystkich 28 krajach Unii Europejskiej uznała, że realizacja unijnych klauzul umownych w chmurowych umowach Microsoftu spełnia wysokie standardy międzynarodowego transferu danych w chmurze.

Co więcej, jeśli dostępu do danych zażądają organy rządowe, najpierw zostają powiadomieni o tym klienci, chyba że zabrania tego prawo.

Microsoft stworzył również zespół do spraw zgodności z przepisami, który ocenia każdy taki wniosek i jest uprawniony do odrzucania nieuzasadnionych żądań.

Jak budować zaufanie?

Umieszczając dane w chmurze, powierzamy je innemu podmiotowi, co oznacza, że zaufanie do instytucji przetwarzającej te dane zyskuje dla klientów fundamentalne znaczenie.

Szczególnie istotna jest gwarancja dostawcy, że dane klienta należą tylko i wyłącznie do niego. Klient ma prawo zawsze wiedzieć, gdzie znajdują się dane, kto ma do nich dostęp i jak są używane.

Zaufanie do chmury jest budowane w oparciu o trzy elementy. Dotyczą one:

zgodności z lokalnymi przepisami,

zapewnienia klientom pełnej kontroli nad własnymi danymi

najwyższego poziomu ochrony, jakiego większość organizacji nie osiągnęłaby, wykorzystując własne rozwiązania.

Dostawca powinien zapewniać kilka warstw ochrony, zapewniając bezpieczeństwo na poziomie:

danych,

aplikacji,

hosta,

sieci

urządzeń fizycznych.

Szczególnie ważne jest nieustanne rozszerzanie zakresu szyfrowania we wszystkich usługach oraz umożliwienie klientom stosowania ich własnych mechanizmów szyfrowania danych.

Współpraca z regulatorami

Zgodność z przepisami ma szczególne znaczenie w branżach ściśle regulowanych, takich jak usługi finansowe. Firmy oferujące usługi w chmurze muszą aktywnie współpracować z regulatorami w Polsce i z podobnymi instytucjami z rynków europejskich w celu zapewnienia maksymalnej zgodności z normami i regulacjami prawnymi.

Microsoft opracował program zgodności dla swoich klientów, dając im gwarancję, że dysponują zabezpieczeniami klasy korporacyjnej. Jest jednym z nielicznych podmiotów, które mają jedyny międzynarodowy standard prywatności w chmurze.

Firma gwarantuje, że w jej korporacyjnych usługach chmurowych nie ma reklam, zachowując przy tym pełną przejrzystość odnośnie do sposobu wykorzystywania danych klientów.

Jeśli klient zrezygnuje z wybranych usług chmurowych, ma pełne prawo – i możliwości techniczne – przenieść swoje dane w wybrane miejsce.

Zagadnienia zaufania do chmury obliczeniowej oraz uwarunkowania prawne związane z wprowadzaniem usług cloud computing w organizacjach zostaną poruszone w trakcie konferencji Trusted Cloud Day 2015, która odbędzie się 26 listopada w Klubie The View przy ulicy Twardej 18 w Warszawie. Więcej informacji na stronie trustedcloud.pl.

Artykuł powstał przy współpracy z Dfusion Communications

Komentarz dnia
Żródło: Rzeczpospolita

Żadna część jak i całość utworów zawartych w dzienniku nie może być powielana i rozpowszechniana lub dalej rozpowszechniana w jakiejkolwiek formie i w jakikolwiek sposób (w tym także elektroniczny lub mechaniczny lub inny albo na wszelkich polach eksploatacji) włącznie z kopiowaniem, szeroko pojętę digitalizację, fotokopiowaniem lub kopiowaniem, w tym także zamieszczaniem w Internecie - bez pisemnej zgody Gremi Media SA. Jakiekolwiek użycie lub wykorzystanie utworów w całości lub w części bez zgody Gremi Media SA lub autorów z naruszeniem prawa jest zabronione pod groźbą kary i może być ścigane prawnie.

Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami "Regulaminu korzystania z artykułów prasowych" [Poprzednia wersja obowiązująca do 30.01.2017]. Formularz zamówienia można pobrać na stronie www.rp.pl/licencja.

POLECAMY

KOMENTARZE