Microsoft a nařízení GDPR Ladka Poláková Partner Sales Executive Cloud
Smluvní vztah Správce - Zpracovatel Správce (zákazník) má povinnost zajistit, že zpracování osobních údajů bude probíhat v souladu s GDPR Splnění celé řady požadavků a zajištění souladu s GDPR může zákazník částečně přenést na svého dodavatele jakožto zpracovatele Microsoft garantuje: Prověřená bezpečnostní opatření (fyzická bezpečnost, kontrola a logování přístupu, závazek mlčenlivosti zaměstnanců, ISO, HIPAA a další certifikace bezpečnosti) Pravidelné audity data center a vnitřních procesů (min. 1x ročně, nezávislí auditoři) Zavedené procesy reakce na bezpečnostních incidenty a notifikace v případě bezpečnostního incidentu Kontrolovaná správa záložních kopií (neexistence černých kopií), řízení kontinuity Bezpečné přenosy dat do zahraničí (Standardní smluvní doložky EU)
Co mohou zákazníci udělat už teď? 1 2 3 4 5 Mapovat Kontrolovat Chránit Dokumentovat Prověřovat Zjistit, jaké osobní údaje mají a kde se nacházejí. Rozhodovat o způsobech využití a přístupu k osobním údajům. Zavést bezpečnostní kontroly k předcházení, detekování a řešení hrozeb a bezpečnostních incidentů. Vyřizovat žádosti týkající se osobních údajů a uchovávejte požadovanou dokumentaci. Analyzovat data a systémy, udržovat soulad s požadavky a snižovat riziko.
Připravujeme se na GDPR spolu se zákazníky Cílem Microsoftu je usnadnit naplnění požadavků GDPR prostřednictvím inteligentních technologií, inovací a vzájemné spolupráce. Můžeme pomoci vytvořit bezpečnější prostředí, zjednodušit dodržení požadavků GDPR a poskytneme zákazníkům nezbytné nástroje a prostředky. Příprava na GDPR
Od analýzy rizik k DPIA GDPR: nutné posouzení vlivu (DPIA Data Protection Impact Assesment) pro zpracování s vysokým rizikem Zpracovatel: jak nejlépe vyhovět správci i regulátorovi 1. Modelová analýza rizik určitého typu zpracování osobních údajů Hodnotíme rizika porušení důvěrnosti, integrity a dostupnosti osobních údajů Dále rizika souladu s regulatorními požadavky pro správce (vč. ZoKB/VoKB) 2. Nastavení adekvátních bezp. opatření 3. Charakteristika zbytkových rizik pro správce K dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) zdravotnická dokumentace, 2) spisová služba v cloudu Azure 3) osobní údaje v Office 365 (Email, SharePoint, S4B) Testujeme formát vzorového posouzení vlivu (DPIA) s ÚOOÚ
Prvky Privacy by Design : Pseudonymizace, šifrování, minimalizace Propojení oddělených záznamů subjektu dat jedinečným, bezvýznamovým identifikátorem Další nebo citlivé osobní údaje v cloudu B Způsob zpracování dat v cloudu Základní identifikační údaje subjektu dat v cloudu A Key Vault Privátní cloud správce dat Řízení přístupu a logování událostí Ochrana šifrováním volby z pohledu zpracování v cloudu: 1) Klíče v perimetru správce (dešifrovaná data pouze uvnitř organizace) 2) Klíče využívá aplikace v cloudu, ale jsou pod výhradní kontrolou správce 3) Klíče ve správě zpracovatele; zákazník má auditovatelnost přístupu z logů
Administrátor cloudu žádá přístup Office 365 / Azure Datacenter Network Udělení dočasného přístupu: Jen metadata? (poštovní obálka) Obsah dat? Microsoft firemní síť Smluvní nastavení podmínek, za kterých může administrátor cloudu dostat přístup na zákaznická data. Lock Box udělí nutné zvýšení práv administrátora k provedení úkonu. Auditovatelné logováním. Prověrky administrátorů: 1. Kontrola trestního rejstříku 2. Kontrola zadlužení a referencí ze zaměstnání 3. Musí projít bezpečnostním školením 7
Přenesení části odpovědnosti na zpracovatele Nástroje k ochraně důvěrnosti, integrity a dostupnosti osobních údajů 5. Nástroje pro vysokou dostupnost a odolnost 2. Zabezpečení koncových zařízení 3. Řízení přístupu, zabezpečení identit Správa identit v cloudových službách s integrací do on-premise snižuje rizika slabých hesel 1. Ochrana dat (důvěrnost, integrita) 4. Nástroje pro kontrolu a auditovatelnost Kontrola pomocí certifikací a auditů třetích stran. Provozní logy a další kontrolní nástroje. 6. Zvládání bezp. incidentů Zabezpečení zařízení, informací, a uživatel. identit Ochrana dat v úložišti a při přenosu Brzká detekce bezpečnostních incidentů, Threat Intelligence
Government National Worldwide Certifikace a pokladová dokumentace nyní přístupné na Microsoft Trust Center www.microsoft.com/trust ISO ISO ISO Cloud Controls SOC 1 (SSAE 16) SOC 2 (AT101) 27001 27017 27018 Matrix Type II Type II PCI DSS Level 1 * Content Delivery and Security Association * HIPAA / HITECH European Union Model Clauses ENISA IAF EU-U.S. Privacy Shield Spain ENS Singapore MTCS Level 3 Australian Signals Directorate New Zealand GCIO Japan Financial Services China MLPS*, TRUCS*, GB 18030* Section 508 VPAT United Kingdom G-Cloud FedRAMP JAB P-ATO FIPS 140-2 21 CFR FERPA DISA Level 2 Part 11 CJIS IRS 1075 FISMA NIST 800-171
Alternativa ke zvážení: Přesuňte část odpovědnosti na poskytovatele cloudových služeb, který je k tomu náležitě vybaven!
2017 Microsoft Corporation. All rights reserved. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.