GDPR Tipy a triky v cloudu. Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

Transkript

1 GDPR Tipy a triky v cloudu Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

2

3 Vymezení rolí dle GDPR Správce: Zpracovatel: Subjekt (osobních) údajů:

4 Sdílená odpovědnost Správce - Zpracovatel Řízení rizik na straně Správce Kategorizace údajů a stanovení politik ochrany Odpovědnost On-Prem IaaS PaaS SaaS Kategorizace údajů a politiky ochrany Ochrana koncových zařízení Sdílené řízení rizik Správa identit a řízení přístupu k údajům Řízení rizik na straně Zpracovatele Fyzická bezpečnost a infrastruktura datových center Správa identit a řízení přístupu k údajům Bezpečnost aplikací Síťová infrastruktura v datových centrech Virtuální stroje (VM) Shared responsibility Microsoft whitepaper Fyzická bezpečnost Zákazník cloudu Provozovatel cloudových služeb

5 Dotaz Má zpracovatel-x nějakou certifikaci, že jsou jeho cloudové služby v souladu s GDPR? Odpověď Co se týče SW produktů a cloudových služeb, není zatím v ČR / SR žádné schéma certifikace pro GDPR (dle čl ), které by bylo schváleno úřadem (ÚOOÚ). Zpracovatel může zatím pouze garantovat soulad s požadavky GDPR na něj kladenými. (Tj. články 28, 32, 33 a některé další závazky). Může zpracovatel-x jako poskytovatel cloudových služeb garantovat, že moje organizace (správce) bude v souladu s GDPR? Zpracovatel může pouze smluvně garantovat soulad s požadavky na něj kladenými dle GDPR. Zpracovatel musí odpovídat za opatření při zpracování údajů, které smluvně akceptoval. Zpracovatel nemůže odpovídat za celý rozsah povinností, které GDPR klade na správce osobních údajů. 5

6 Online Services Terms (OST) Podmínky pro služby online Podmínky ochrany osobních údajů a zabezpečení od str. 7 Ochrana osobních údajů str. 8 deklarace plnění podmínek GDPR a další závazky Závazek užití dat pouze pro poskytování služeb (ne pro reklamní nebo jiné komerční účely) Závazek neposkytnutí dat třetím stranám kromě vyjmenovaných situací a procesů Oznámení incidentu zákazníkovi; poskytnutí podrobných informací o incidentu Použití dodavatelů (pouze za účelem poskytování služeb, odpovědnost Microsoftu) Umístění pro uchování dat a jurisdikce smlouvy EU; zpracování dat možné WW Vyjmenovaná bezpečnostní opatření (v členění ISO 27001) Závazek pokračovat v certifikacích ISO / a auditech SOC 1 & 2 Příloha 3: Standardní smluvní doložky dle Rozhodnutí Komise 2010/87/EU Příloha 4: Obecné nařízení GDPR Evropské unie Splnění povinností zpracovatele dle článků 28, 32 a 33 plus některé další závazky OST: SLA:

7

8 Předávání údajů do třetích zemí (čl ) Fakticky je nutné rozlišit mezi místem uložení a místem zpracování údajů Zpracování údajů je mnohem širší pojem (zpřístupnění přenosem, náhledy ) Microsoft: Místo uložení zákaznických dat v EU (OST str. 12) Místo zpracování může výjimečně nastat i mimo EU (servisní zásahy, provozní logy) Volný pohyb osobních údajů v EU (čl. 1) Základ Digitálního jednotného trhu EU Ošetření předávání do třetích zemí dle GDPR: Založené na rozhodnutí o odpovídající ochraně (čl. 45) EHP a další země Založené na vhodných zárukách (čl. 46) zde Standardní smluvní doložky EU dodatečné právní záruky na straně zpracovatele OST příloha č. 3 Znění těchto smluvních doložek Microsoft bylo ověřeno EC (2014)

9 Jak může zpracování v cloudu pomoci? Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20) Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost Reflektovat smluvní požadavky na zpracovatele (čl. 28) Pořizování záznamů o činnostech zpracování (čl. 30 bod 2.) Zabezpečení zpracování osobních údajů (čl. 32) Implementace pseudonymizace a šifrování dat (čl. 25, 32) Pomoc při šetření a ohlašování bezpečnostních incidentů (čl. 33, 34) Modelové posouzení vlivu na ochranu os. údajů DPIA (čl. 35) Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)

10 Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) případné pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů

11 REGIONAL INDUSTRY US GOV GLOBAL Aktuální seznam certifikací a standardů: ISO ISO ISO ISO ISO 9001 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Self-Assessment CSA STAR Certification CSA STAR Attestation Moderate JAB P-ATO High JAB P-ATO DoD DISA SRG Level 2 DoD DISA SRG Level 4 DoD DISA SRG Level 5 SP FIPS Section 508 VPAT ITAR CJIS IRS 1075 PCI DSS Level 1 CDSA MPAA FACT UK Shared Assessments FISC Japan HIPAA / HITECH Act HITRUST GxP 21 CFR Part 11 MARS-E IG Toolkit UK FERPA GLBA FFIEC Argentina PDPA EU Model Clauses UK G-Cloud China DJCP China GB China TRUCS Singapore MTCS Australia IRAP/CCSL New Zealand GCIO Japan My Number Act ENISA IAF Japan CS Mark Gold Spain ENS Spain DPA India MeitY Canada Privacy Laws Privacy Shield Germany IT Grundschutz workbook

12 Kde najdeme Security & Privacy controls OST Podmínky pro služby Online seznam bezp. opatření: OST str : seznam bezp. opatření ve struktuře ISO 27001:2013 OST str. 12: závazek pokračovat s průmyslovými certifikacemi Trust Center: Členění podle: Rolí Risk / Compliance / Security / BDM Principů Security / Transparency / Privacy Odtud More reports. : O365 Service Assurance Service Trust Platform (user credentials) také aka.ms/stp Repository podkladů k certifikacím: Compliance Reports (ISO 27k a SOC reports) Trust documents (security whitepapers)

13 Dohled nad stavem zvolených opaření v reálném čase blog; Main page; 2 min video

14 Jak uchopit GDPR 1 Mapujte Zjistěte, jaké osobní údaje máte a kde se nacházejí 2 Spravujte Rozhodujte o způsobech využití a udělení přístupu k osobním údajům 3 Chraňte Zaveďte bezpečnostní opatření k předcházení, detekování a zvládání bezpečnostních incidentů 4 Dokumentujte Uchovávejte požadovanou dokumentaci, vč. žádostí týkajících se správy osobních údajů či případů porušení zabezpečení

15 Modelové analýzy rizik a scénáře pro DPIA Stránky GDPR konference: k dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.) Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR 2) Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.) 3) Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

16 Modelové analýzy rizik a scénáře pro DPIA Stránky GDPR konference z 04/2017: k dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.) Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR 2) Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.) 3) Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

17 Threat Intelligence Audit Logs Intune Active Directory Log Analytics ediscovery Azure Security Center Data Log Data Loss Prevention Cloud App Security Key Vault Data Classification Threat Detection Windows Hello Bitlocker Credential Guard Information Protection Transparent Data Encryption Always Encrypted

18 Migrace zpracování do Office 365 / Azure IaaS Využití vlastností Office 365 E3

19 Funkce Azure OMS, O365 E5, Win 10 ATP, EMS, M365 E5 Nové aplikace v Azure PaaS, Dynamics 365 Partnerská řešení pro GDPR (KPCS Atom, Xeelo )

20

21

22 Přenesení části odpovědnosti na zpracovatele Nástroje k ochraně důvěrnosti, integrity a dostupnosti osobních údajů 5. Nástroje pro vysokou dostupnost a odolnost 2. Zabezpečení koncových zařízení 3. Řízení přístupu, zabezpečení identit Správa identit v cloudových službách s integrací do on-premise snižuje rizika slabých hesel 1. Ochrana dat (důvěrnost, integrita) 4. Nástroje pro kontrolu a auditovatelnost Kontrola pomocí certifikací a auditů třetích stran. Provozní logy a další kontrolní nástroje. 6. Zvládání bezp. incidentů Zabezpečení zařízení, informací, a uživatel. identit Ochrana dat v úložišti a při přenosu Brzká detekce bezpečnostních incidentů, Threat Intelligence

23 Cloud - ochrana dat šifrováním Microsoft Azure Ochrana dat při přenosu Nástroje zákazníka RMS, S/MIME nativně OME O365 Msg Encryp. AIP - živ. cyklus ochrany PGP atd. manuálně SQL Server TDE / CLE SQL Always Encrypted RMS SDK; Client side encrypt. 3rd Party.. SafeNet, CloudLink RMS, S/MIME Na aplikační úrovni Nástroje poskytované cloud. službou Per-File Encryption Advanced Encryption Nativní služba Azure Key Vault Azure Disk Encryption (VHD) StorSimple; Azure SSE (blobs) Protokol SSL/TLS Nově: Perfect Forward Secrecy (PFS) Data v úložišti Bitlocker Šifrování AES-256 Destrukce NIST Bitlocker (volba zákazníka) Šifrování AES-256 Destrukce NIST

24 Zdroje k GDPR: GDPR hlavní stránka: microsoft.com/gdpr a česká verze: Prezentace a vzorové analýzy rizik v češtině: aka.ms/jaknagdpr Microsoft Trust Center microsoft.com/trust Service Trust Platform podklady k certifikacím, auditní zprávy: aka.ms/stp (vyžaduje log-in, NDA level)

25 Děkuji Vám za pozornost Zdeněk Jiříček This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

26 Dodatky 26

27 Annex A: rozčlenění dopadů na subjekty údajů ve 4 úrovních: 1 - Negligible PII principals either will not be affected or may encounter a few inconveniences, which they will overcome without any problem (time spent re-entering information, annoyances, irritations, etc.). 2 - Limited PII principals may encounter significant inconveniences, which they will be able to overcome despite a few difficulties (extra costs, denial of access to business services, fear, lack of understanding, stress, minor physical ailments, etc.). 3 - Significant PII principals may encounter significant consequences, which they should be able to overcome albeit with serious difficulties (misappropriation of funds, blacklisting by banks, property damage, loss of employment, subpoena, worsening of state of health, etc.). 4 - Maximum PII principals may encounter significant, or even irreversible, consequences, which they may not overcome (financial distress such as unserviceable debt or inability to work, long-term psychological or physical ailments, death, etc.).

28 (Uvedené příklady je třeba posuzovat s ohledem na konkrétní obsah a možné dopady) Podráždění jednotlivce, likvidace nevyžádané pošty, potřeba znovu vyplnit formulář po ztrátě dat Potíže, které však lze poměrně snadno překonat: Zvýšené náklady, odmítnutí některé z komerčních služeb, obavy, nedorozumění Vážné potíže. Diskriminace: blacklisting většinou bank. Vznik vysokého finančního závazku. Ztráta zaměstnání. Vyloučení v rodině, v místě bydliště. Subjekt se setká s velikými, až nepřekonatelnými obtížemi. Osobní bankrot nesplatitelný dluh. Ohrožení života (nesprávná medikace). Dlouhodobé duševní nebo fyzické onemocnění. Zdroj: ISO/IEC 29134:2017 (PIA Guidelines), publikováno 1 Jun 2017

29 nízkým vysokým Strukturovaná data / LoB Systems Nestrukt. data / / Dokumenty Azure + M365 E5 + Win10 WDATP M365 E5 + Windows 10 WDATP Azure + M365 E3 M365 E3 29

30 GDPR - výkon práv subjektů údajů obecně Vlastnosti aplikace musí umožnit výkon práv subjektů údajů dle článků 12 až 20: Právo na informace o zpracování Právo na přístup k osobním údajům Právo na opravu osobních údajů Právo na výmaz Právo na omezení zpracování Právo na přenositelnost údajů (i přímo správce -> jiný správce) Právo vznést námitku Právo nebýt předmětem rozhodnutí, založeného výhradně na automatizovaném zpracování, které má pro subjekt údajů právní účinky