Jak může pomoci poskytovatel cloudových služeb

Transkript

1 Jak může pomoci poskytovatel cloudových služeb Zdeněk Jiříček, National Technology Officer Microsoft s.r.o. This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

2 Cloud, kterému můžete věřit V Microsoftu nepovažujeme vaši důvěru za samozřejmost Velice vážně bereme náš závazek chránit naše zákazníky ve světě cloudu. Žijeme ve standardech a postupech vedoucí k získání vaší důvěry. Spolupracujeme s průmyslem a regulátory, abychom vybudovali důvěru v cloud ekosystém. Firmy a uživatelé začnou používat technologie pouze pokud jim mohou věřit. Satya Nadella

3 Jak může zpracování v cloudu pomoci? Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20) Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost Reflektovat smluvní požadavky na zpracovatele (čl. 28) Pořizování záznamů o činnostech zpracování (čl. 30 bod 2.) Zabezpečení zpracování osobních údajů (čl. 32) Implementace pseudonymizace a šifrování dat (čl. 25, 32) Pomoc při šetření a ohlašování bezpečnostních incidentů (čl. 33, 34) Modelové posouzení vlivu na ochranu os. údajů DPIA (čl. 35) Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)

4 Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) případné pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů

5 Co může zaručit Microsoft Abychom usnadnili vaši cestu k dodržení požadavků GDPR, zaručujeme vám, že naše cloudové služby budou s GDPR zcela v souladu, a to nejpozději 25. května 2018, kdy toto nařízení vstoupí v účinnost. Sdílíme naše zkušenosti při implementaci a dodržování komplexních právních předpisů. Ve spolupráci s našimi partnery jsme připraveni pomoci se zajišťováním souladu s GDPR ať už v oblasti přípravy či aktualizace interních dokumentů, procesů, technologií či školení zaměstnanců.

6 Požadavek Smluvní podmínky dle čl. 28 Zabezpečení zpracování čl. 32 Místo uložení dat Místo zpracování dat Použití a zpřístupnění zákaznických dat Řešení OST - Podmínky pro služby online od září 2017 má standardně novou přílohu č. 4 řeší explicitně soulad s články 28, 32 a 33 GDPR. Obsahuje Podmínky ochrany osobních údajů a zabezpečení (str. 7 a dále) OST Příloha 4 GDPR, dále část zabezpečení Bezp. opatření, průmyslové certifikace / standardy a auditní zprávy vše zahrnuto v OST Rozcestník: Trust Center Celé auditní zprávy a dokumenty jsou na Service Trust Platform ( ) OST odst. Umístění pro uchování neaktivních zákaznických dat Může nastat v jistých případech i mimo EU. Řešení GDPR čl. 46 Standardní smluvní doložky o ochraně údajů přijaté EC (viz potvrzení EC a vyjádření ÚOOÚ). Zahrnuty jako příloha č. 3 OST. Podrobnosti viz oblast Privacy, Where your data is located, Who can access your data OST Příloha 4 GDPR, OST str. 7, Použití zákaznických dat, Zveřejnění (zpřístupnění) zákaznických dat

7 Požadavek Smluvní podmínky dle čl. 28 Zabezpečení zpracování čl. 32 Místo uložení dat Místo zpracování dat Použití a zpřístupnění zákaznických dat Řešení OST - Podmínky pro služby online od září 2017 má standardně novou přílohu č. 4 řeší explicitně soulad s články 28, 32 a 33 GDPR. Obsahuje Podmínky ochrany osobních údajů a zabezpečení (str. 7 a dále) OST Příloha 4 GDPR, dále část zabezpečení Bezp. opatření, průmyslové certifikace / standardy a auditní zprávy vše zahrnuto v OST Rozcestník: Trust Center Celé auditní zprávy a dokumenty jsou na Service Trust Platform ( ) OST odst. Umístění pro uchování neaktivních zákaznických dat Může nastat v jistých případech i mimo EU. Řešení GDPR čl. 46 Standardní smluvní doložky o ochraně údajů přijaté EC (viz potvrzení EC a vyjádření ÚOOÚ). Zahrnuty jako příloha č. 3 OST. Podrobnosti viz oblast Privacy, Where your data is located, Who can access your data OST Příloha 4 GDPR, OST str. 7, Použití zákaznických dat, Zveřejnění (zpřístupnění) zákaznických dat

8 Jak uchopit GDPR 1 Mapujte Zjistěte, jaké osobní údaje máte a kde se nacházejí 2 Spravujte Rozhodujte o způsobech využití a udělení přístupu k osobním údajům 3 Chraňte Zaveďte bezpečnostní opatření k předcházení, detekování a zvládání bezpečnostních incidentů 4 Dokumentujte Uchovávejte požadovanou dokumentaci, vč. žádostí týkajících se správy osobních údajů či případů porušení zabezpečení

9 1 Mapujte: Co všechno hledat: Inventarizace: Příklady řešení Microsoft Azure Microsoft Azure Data Catalog Enterprise Mobility + Security (EMS) Microsoft Cloud App Security Dynamics 365 Audit Data & User Activity Reporting & Analytics Office & Office 365 Data Loss Prevention Advanced Data Governance Office 365 ediscovery SQL Server and Azure SQL Database SQL Query Language Windows & Windows Server Windows Search, Windows PowerShell

10 2 Spravujte: Správa dat: Kategorizace dat: Příklady řešení Microsoft Azure Azure Active Directory Rights Management Services Azure Role-Based Access Control (RBAC) Enterprise Mobility + Security (EMS) Azure Information Protection Dynamics 365 Security Concepts Office & Office 365 Advanced Data Governance Journaling (Exchange Online) Windows & Windows Server Microsoft Data Classification Toolkit

11 3 Chraňte: Příklady řešení Prevence proti hrozbám: Detekce a zvládání bezpečnostních incidentů: Microsoft Azure Azure Key Vault, Azure Security Center Azure Storage Service Encryption Enterprise Mobility + Security (EMS) Azure Active Directory Premium Microsoft Intune Office & Office 365 Advanced Threat Protection Threat Intelligence SQL Server and Azure SQL Database Transparent data encryption Always Encrypted Windows & Windows Server Windows Defender Advanced Threat Protection Windows Hello Device Guard / Credential Guard

12 4 Dokumentujte: Příklady řešení Microsoft Trust Center Service Trust Portal Provozní záznamy Dokumentace Microsoft Azure Azure Auditing & Logging Microsoft Azure Monitor Enterprise Mobility + Security (EMS) Azure Information Protection Dynamics 365 Reporting & Analytics Office & Office 365 Service Assurance Office 365 Audit Logs Customer Lockbox Windows & Windows Server Windows Defender Advanced Threat Protection

13 Shared responsibility rozdělení rolí mezi správcem a zpracovatelem obecně ===

14 Beginning your General Data Protection Regulation (GDPR) journey Whitepaper 31 stran Metodika 4 kroků + nástroje i v češtině

15

16

17 Od analýzy rizik k DPIA Čl. 35: nutné posouzení vlivu pro zpracování s vysokým rizikem (DPIA Data Protection Impact Assesment) Jak může pomoci Zpracovatel osobních údajů: 1. Hodnocení rizik určitého typu zpracování osobních údajů Metodika dle VoKB, ISO 27005, ISO rizika porušení důvěrnosti, integrity, dostupnosti a ztráty os. údajů Dále rizika ztráty kontroly a nesouladu s regulatorními požadavky pro správce Pro ZoKB: rozsah analýzy rizik pokrývá požadavky VoKB č. 316/2014 Sb. 2. Nastavení adekvátních technických a organiz. bezp. opatření 3. Charakteristika zbytkových rizik pro Správce

18 Minimální obsah Posouzení vlivu (DPIA) Viz GDPR čl. 35 odst. 7, a dok. WP29 Vodítka k DPIA (web ÚOOÚ) a) systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce; b) posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů; c) posouzení rizik pro práva a svobody subjektů údajů d) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením. Dopracují správci osobních údajů včetně bezp. opatření u sebe Podklad: Vzorová analýza rizik zpracování osobních údajů v Azure / Office 365

19 Modelové analýzy rizik a scénáře pro DPIA GDPR prezentace a zdroje v CZ: k dispozici modelové analýzy rizik pro zákazníky (v češtině): Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.) Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.) Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

20 Ukázka z procesu hodnocení rizik C I A T (důvěrnost, integrita, dostupnost, ztráta aktiv) 23. února 20I7

21 Znalecký posudek ústavu CETAG:.. splňuje požadavky na vhodná opatření a záruky, včetně bezpečnostních opatření a mechanismů, které je správce osobních údajů povinen přijmout v souladu s čl. 32 a čl. 35 odst. 7 nařízení,... pro zpracování zvláštních kategorií osobních údajů

22

23

24 Privacy by Design (čl. 25, 32) Pseudonymizace, šifrování, minimalizace Další nebo citlivé osobní údaje v cloudu B Pseudonymizace: údaje nemohou být přiřazeny konkrét. subjektu bez dodatečných informací... ty uchovat odděleně vč. / tech / org. opatření... tak, že nebudou zpětně přiřazeny dané osobě Způsob zpracování dat v cloudu Základní identifikační údaje subjektu dat v cloudu A Key Vault Privátní cloud správce dat Řízení přístupu a logování událostí Ochrana šifrováním volby z pohledu zpracování v cloudu: 1) Klíče ve správě zpracovatele; zákazník má auditovatelnost přístupu z logů 2) Klíče využívá aplikace v cloudu, ale jsou pod výhradní kontrolou správce 3) Klíče v perimetru správce (dešifrovaná data se vyskytují pouze u správce)

25 Přenesení části odpovědnosti na zpracovatele Nástroje k ochraně důvěrnosti, integrity a dostupnosti osobních údajů 5. Nástroje pro vysokou dostupnost a odolnost 2. Zabezpečení koncových zařízení 3. Řízení přístupu, zabezpečení identit Správa identit v cloudových službách s integrací do on-premise snižuje rizika slabých hesel 1. Ochrana dat (důvěrnost, integrita) 4. Nástroje pro kontrolu a auditovatelnost Kontrola pomocí certifikací a auditů třetích stran. Provozní logy a další kontrolní nástroje. 6. Zvládání bezp. incidentů Zabezpečení zařízení, informací, a uživatel. identit Ochrana dat v úložišti a při přenosu Brzká detekce bezpečnostních incidentů, Threat Intelligence

26 REGIONAL INDUSTRY US GOV GLOBAL Certifikace a podklady: Microsoft Trust Center Repository: ISO ISO ISO ISO ISO 9001 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Self-Assessment CSA STAR Certification CSA STAR Attestation Moderate JAB P-ATO High JAB P-ATO DoD DISA SRG Level 2 DoD DISA SRG Level 4 DoD DISA SRG Level 5 SP FIPS Section 508 VPAT ITAR CJIS IRS 1075 PCI DSS Level 1 CDSA MPAA FACT UK Shared Assessments FISC Japan HIPAA / HITECH Act HITRUST GxP 21 CFR Part 11 MARS-E IG Toolkit UK FERPA GLBA FFIEC Argentina PDPA EU Model Clauses UK G-Cloud China DJCP China GB China TRUCS Singapore MTCS Australia IRAP/CCSL New Zealand GCIO Japan My Number Act ENISA IAF Japan CS Mark Gold Spain ENS Spain DPA India MeitY Canada Privacy Laws Privacy Shield Germany IT Grundschutz workbook

27 GDPR Compliance Zjednodušení cesty k souladu Posouzení rizik a realizace opatření Využití expertních znalostí

28 Zdroje k GDPR: Microsoft Corp hlavní stránka: microsoft.com/gdpr Prezentace a zdroje v češtině: aka.ms/jaknagdpr Microsoft Trust Center microsoft.com/trust Service Trust Platform podklady k certifikacím, auditní zprávy: aka.ms/stp (vyžaduje log-in, NDA level)

29 Děkuji Vám za pozornost Zdeněk Jiříček This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.