Jak urychlit soulad s GDPR za pomoci využití cloudových služeb

Podobné dokumenty
Uchopitelná cesta k řešení GDPR

Jak může pomoci poskytovatel cloudových služeb

Jak cloudové technologie mohou usnadnit život DPO?

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

Jak urychlit soulad s GDPR využitím cloudových služeb

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

Regulace, cloud a egovernment mohou jít ruku v ruce. Zdeněk Jiříček, National Technology Officer Microsoft CZ/SK

Jak urychlit soulad s GDPR s cloudovými službami Microsoft

Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle. Zdeněk Jiříček National Technology Officer Microsoft ČR

Microsoft a nařízení GDPR. Ladka Poláková Partner Sales Executive Cloud

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

GDPR a poskytovatelé cloudových služeb

GDPR Tipy a triky v cloudu. Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

Cloudové inovace a bezpečné služby ve veřejné správě

Komentáře CISO týkající se ochrany dat

Jak se poprat nejen s.. GDPR a egovernmentem

GDPR compliance v Cloudu. Jiří Černý CELA

Cloud a povinné osoby ze ZKB. Zdeněk Jiříček, Microsoft s.r.o. Aleš Špidla, PwC Czech s.r.o.

Petr Vlk KPCS CZ. WUG Days října 2016

Petr Vlk KPCS CZ. WUG Days října 2016

Hybridní licencování Microsoft. Martin Albrecht & Jana Chrenová

Digitální. transformace. Lubica Kršková, Partner Sales Executive - Disti. René Klčo, Cloud Sales Specialist. Microsoft

Zabezpečení infrastruktury

DIGITÁLNÍ TRANSFORMACE SE STÁVÁ OTÁZKOU PRO CEO

Firemní strategie pro správu mobilních zařízení, bezpečný přístup a ochranu informací. Praha 15. dubna 2015

300B user authentications each month 1B Windows devices updated. 200B s analyzed for spam and malware. 18B web pages scanned by Bing each month

Zuzana Sobotková, DAQUAS Petr Vlk, KPCS CZ

Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix

Digital Dao, Jeffrey Carr

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Novinky v oblasti ochrany aktiv Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Rozdělení odpovědnosti za zabezpečení sdíleného cloud prostředí

... abych mohl pracovat tak, jak mi to vyhovuje

GDPR Projekt GDPR Compliance

Jak ůže stát e trál ě za ezpečit sdíle é služ pro veřej ou správu? Vá lav Koudele & )de ěk Jiříček - Microsoft

Microsoft 365. Petr Vlk

Sběr logů jako predikce bezpečnostních hrozeb v Operations Management Suite


GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Jan Pilař Microsoft MCP MCTS MCSA

IT výzva dneška Spolupráce vs. Bezpečnost

Licencování a přehled Cloud Suites

Management System. Information Security Management System - Governance. Testy a audity

Moderní kancelář současnosti

Využití identity managementu v prostředí veřejné správy

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Enterprise Content Management IBM Corporation


Enterprise Mobility Management & GDPR AirWatch - představení řešení

Petr Vlk KPCS CZ. WUG Days října 2016

Technická bezpečnostní opatření nejen ve smyslu ZKB. Jan Zdvořáček ASKON International s.r.o.

Možnosti využití cloudových služeb pro provoz IT

GUIDELINES FOR CONNECTION TO FTP SERVER TO TRANSFER PRINTING DATA

Petr Vlk Project Manager KPCS CZ

WUG Brno,

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Garantované uložení dat a GDPR nejčastější normativní požadavky dneška

Enterprise Mobility Management AirWatch & ios v businessu

Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT

System Center Operations Manager

Zajištění bezpečnosti privilegovaných účtů

Oracle Database Security

Defense-in-Depth. Strategie hloubkové ochrany - účinný přístup k ochraně koncových bodů dle kybernetického zákona

Moderní IT - jak na Windows a zabezpečení PC. Petr Klement, divize Windows, Microsoft

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

O365 GDPR v praxi. Pavel Salava, Conectio Dan Hejda, KPCS

SAP a SUSE - dokonalá symbióza s open source. Martin Zikmund Technical Account Manager

Mobilní malware na platformě Android Přednáška 2. Ing. Milan Oulehla

Diagnostika webových aplikací v Azure

Zajištění kybernetické bezpečnosti cloudových služeb. Zdeněk Jiříček National Technology Officer Microsoft Česká republika

User manual SŘHV Online WEB interface for CUSTOMERS June 2017 version 14 VÍTKOVICE STEEL, a.s. vitkovicesteel.com

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

SharePoint 2010 produktové portfolio a licencování

Řídíme mobilní produktivitu s Enterprise Mobility Suite. Dalibor Kačmář

Dopady GDPR a jejich vazby

Víme, co se děje aneb Log Management v praxi. Petr Dvořák, GAPP System

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Efektivní provoz koncových stanic

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Enterprise Mobility Management AirWatch - představení řešení. Ondřej Kubeček březen 2017

IBM Connections pro firmy s Lotus Notes/Domino. Petr Kunc

ANECT & SOCA ANECT Security Day

Introduction to Navision 4.00 Jaromír Skorkovský, MS., PhD.

2000s E-business. 2010s Smarter Planet. Client/Server Internet Big Data & Analytics. Global resources and process excellence

Potřebujete mít vaše IS ve shodě s legislativou? Bc. Stanislava Birnerová

SOA a Cloud Computing

Data management vs GDPR

Windows na co se soustředit

SenseLab. z / from CeMaS. Otevřené sledování senzorů, ovládání zařízení, nahrávání a přehrávání ve Vaší laboratoři

Placeholder PR Quotes

Obecné nařízení o ochraně osobních údajů

... že si vynucuje změny ve způsobu využití technologií.

Project Life-Cycle Data Management

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Správa privilegovaných účtů ve fyzickém a virtuálním prostředí

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

ANECT, SOCA a CISCO Cognitive Threat Analytics Breach Detection v praxi

Aruba ClearPass bezpečné řízení přístupu do sítě a integrační možnosti. Daniel Fertšák Aruba Systems Engineer

Řídíme mobilní produktivitu s Enterprise Mobility Suite. Dalibor Kačmář

Transkript:

Jak urychlit soulad s GDPR za pomoci využití cloudových služeb Zdeněk Jiříček, National Technology Officer Microsoft CZ/SK This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

Cloud, kterému můžete věřit V Microsoftu nepovažujeme vaši důvěru za samozřejmost Velice vážně bereme náš závazek chránit naše zákazníky ve světě cloudu. Žijeme ve standardech a postupech vedoucí k získání vaší důvěry. Spolupracujeme s průmyslem a regulátory, abychom vybudovali důvěru v cloud ekosystém. Firmy a uživatelé začnou používat technologie pouze pokud jim mohou věřit. Satya Nadella

Jak může zpracování v cloudu pomoci? Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20) Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost Reflektovat smluvní požadavky na zpracovatele (čl. 28) Pořizování záznamů o činnostech zpracování (čl. 30 bod 2.) Zabezpečení zpracování osobních údajů (čl. 32) Implementace pseudonymizace a šifrování dat (čl. 25, 32) Pomoc při šetření a ohlašování bezpečnostních incidentů (čl. 33, 34) Modelové posouzení vlivu na ochranu os. údajů DPIA (čl. 35) Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)

Co může zaručit Microsoft Abychom usnadnili vaši cestu k dodržení požadavků GDPR, zaručujeme vám, že naše cloudové služby budou s GDPR zcela v souladu, a to nejpozději 25. května 2018, kdy toto nařízení vstoupí v účinnost. Sdílíme naše zkušenosti při implementaci a dodržování komplexních právních předpisů. Ve spolupráci s našimi partnery jsme připraveni pomoci se zajišťováním souladu s GDPR ať už v oblasti přípravy či aktualizace interních dokumentů, procesů, technologií či školení zaměstnanců.

Požadavek Smluvní podmínky dle čl. 28 Zabezpečení zpracování čl. 32 Místo uložení dat Místo zpracování dat Použití a zpřístupnění zákaznických dat Řešení OST - Podmínky pro služby online od září 2017 má standardně novou přílohu č. 4 řeší explicitně soulad s články 28, 32 a 33 GDPR. Obsahuje Podmínky ochrany osobních údajů a zabezpečení (str. 7 a dále) OST Příloha 4 GDPR, dále část zabezpečení Bezp. opatření, průmyslové certifikace / standardy a auditní zprávy vše zahrnuto v OST Rozcestník: Trust Center www.microsoft.com/trust Celé auditní zprávy a dokumenty jsou na Service Trust Platform (www.aka.ms/stp ) OST odst. Umístění pro uchování neaktivních zákaznických dat Může nastat v jistých případech i mimo EU. Řešení GDPR čl. 46 Standardní smluvní doložky o ochraně údajů přijaté EC (viz potvrzení EC a vyjádření ÚOOÚ). Zahrnuty jako příloha č. 3 OST. Podrobnosti viz www.microsoft.com/trust, oblast Privacy, Where your data is located, Who can access your data OST Příloha 4 GDPR, OST str. 7, Použití zákaznických dat, Zveřejnění (zpřístupnění) zákaznických dat

Požadavek Smluvní podmínky dle čl. 28 Zabezpečení zpracování čl. 32 Místo uložení dat Místo zpracování dat Použití a zpřístupnění zákaznických dat Řešení OST - Podmínky pro služby online od září 2017 má standardně novou přílohu č. 4 řeší explicitně soulad s články 28, 32 a 33 GDPR. Obsahuje Podmínky ochrany osobních údajů a zabezpečení (str. 7 a dále) OST Příloha 4 GDPR, dále část zabezpečení Bezp. opatření, průmyslové certifikace / standardy a auditní zprávy vše zahrnuto v OST Rozcestník: Trust Center www.microsoft.com/trust Celé auditní zprávy a dokumenty jsou na Service Trust Platform (www.aka.ms/stp ) OST odst. Umístění pro uchování neaktivních zákaznických dat Může nastat v jistých případech i mimo EU. Řešení GDPR čl. 46 Standardní smluvní doložky o ochraně údajů přijaté EC (viz potvrzení EC a vyjádření ÚOOÚ). Zahrnuty jako příloha č. 3 OST. Podrobnosti viz www.microsoft.com/trust, oblast Privacy, Where your data is located, Who can access your data OST Příloha 4 GDPR, OST str. 7, Použití zákaznických dat, Zveřejnění (zpřístupnění) zákaznických dat

Jak uchopit GDPR 1 Mapujte Zjistěte, jaké osobní údaje máte a kde se nacházejí 2 Spravujte Rozhodujte o způsobech využití a udělení přístupu k osobním údajům 3 Chraňte Zaveďte bezpečnostní opatření k předcházení, detekování a zvládání bezpečnostních incidentů 4 Dokumentujte Uchovávejte požadovanou dokumentaci, vč. žádostí týkajících se správy osobních údajů či případů porušení zabezpečení

1 Mapujte: Co všechno hledat: Inventarizace: Příklady řešení Microsoft Azure Microsoft Azure Data Catalog Enterprise Mobility + Security (EMS) Microsoft Cloud App Security Dynamics 365 Audit Data & User Activity Reporting & Analytics Office & Office 365 Data Loss Prevention Advanced Data Governance Office 365 ediscovery SQL Server and Azure SQL Database SQL Query Language Windows & Windows Server Windows Search, Windows PowerShell

2 Spravujte: Správa dat: Kategorizace dat: Příklady řešení Microsoft Azure Azure Active Directory Rights Management Services Azure Role-Based Access Control (RBAC) Enterprise Mobility + Security (EMS) Azure Information Protection Dynamics 365 Security Concepts Office & Office 365 Advanced Data Governance Journaling (Exchange Online) Windows & Windows Server Microsoft Data Classification Toolkit

3 Chraňte: Příklady řešení Prevence proti hrozbám: Detekce a zvládání bezpečnostních incidentů: Microsoft Azure Azure Key Vault, Azure Security Center Azure Storage Service Encryption Enterprise Mobility + Security (EMS) Azure Active Directory Premium Microsoft Intune Office & Office 365 Advanced Threat Protection Threat Intelligence SQL Server and Azure SQL Database Transparent data encryption Always Encrypted Windows & Windows Server Windows Defender Advanced Threat Protection Windows Hello Device Guard / Credential Guard

4 Dokumentujte: Příklady řešení Microsoft Trust Center Service Trust Portal Provozní záznamy Dokumentace Microsoft Azure Azure Auditing & Logging Microsoft Azure Monitor Enterprise Mobility + Security (EMS) Azure Information Protection Dynamics 365 Reporting & Analytics Office & Office 365 Service Assurance Office 365 Audit Logs Customer Lockbox Windows & Windows Server Windows Defender Advanced Threat Protection

GDPR mapování schopností cloudových služeb Discover Right to Erasure Right to Data Portability Manage Documentation Privacy by Design Protect Data Security Data Transfer Report Documentation Breach Response and Notification Security & Compliance Center A one-stop portal for protecting your data in Office 365. Grant permissions to people who perform compliance tasks. Data Loss Prevention Unified policies covering client end-points, empowering IT pros Advanced Data Governance* Classify, preserve and/or purge data based on automatic analysis and policy recommendations Azure Information Protection Automatically Identify, Label and Protect sensitive data across you environment from unwarranted access or use. Alerts, analysis and remediation for content. Azure Active Directory (Identity Protection and Privileged Identity Management inclusive) Identify Privileged and Non-Privileged users. Control access to resources, applications and data, in the cloud and on prem, with hybrid IAM. RBAC appropriate content to appropriate personnel. Revoke access instantly. Audit and report access to all services. Content search run very large searches across mailboxes, public folders, Office 365 Groups, Microsoft Teams, SharePoint Online sites, One Drive for Business locations, and Skype for Business conversations Data Governance archive and preserve content in Exchange Online mailboxes, SharePoint Online sites, and OneDrive for Business locations, and import data into your Office 365 organization. Advanced Threat Protection provides security functions that protect user environments that contain consumer data including Safe Attachments & Safe Links Audit Logs record and search desired user and admin activity across your organization ediscovery use cases to manage access, place a hold on content locations relevant to the case, associate multiple Content Searches with the case, and export search results Mail Flow Rules look for specific conditions in messages that pass through your organization and take action on them. Secure Score insights into your security position and what features are available to reduce risk while balancing productivity and security Service Assurance deep insights for conducting risk assessments with details on Microsoft Compliance reports and transparent status of audited controls. Advanced ediscovery* significantly reduce cost and effort to identify relevant documents & data relationships by using machine learning to train the system to intelligently explore large datasets Journaling in Exchange Online respond to legal, regulatory, and compliance requirements by recording inbound and outbound email communications. Cloud Application Security gain enhanced visibility and granular security controls and policies including the ability to suspend user accounts, revoking access to personal data Customer Lockbox* control how a Microsoft support engineer accesses your data during a help session Cloud Application Security gain enhanced visibility and granular security controls and policies including the ability to block access to unmanaged cloud applications Information management policies With SharePoint Online, control how long to retain content, to audit what people do with content, and to add barcodes or labels to documents Microsoft Intune MDM, MAM and PC Management capabilities from the cloud. Intune can provide you with access to corporate applications, data and resources from almost anywhere, on any device while keeping information contained. Windows Event Log Provides rich logging capabilities that enable admins to view logged information about OS, application and user activities. Windows Search Configure Indexing Options to enhance the capabilities of Windows Search to locate and trace PII on a local machine. Windows 10 Enterprise Windows Hello, Credential Guard, Device Guard, Defender ATP, Bitlocker, and Windows Information Protection an operating system designed to Protect.

www.microsoft.com/gdpr Beginning your General Data Protection Regulation (GDPR) journey whitepaper 31 stran, i v češtině Shared responsibility rozdělení rolí mezi správcem a zpracovatelem obecně === Accelerate your GDPR compliance with the Microsoft Cloud 4 kroky rozděleny na 20 schopností, mapují na otázky v GDPR Assessment

www.aka.ms/gdprpartners www.microsoft.com/gdpr

https://aka.ms/gdprebook

Modelové analýzy rizik a scénáře pro DPIA GDPR prezentace a zdroje v CZ: www.aka.ms/jaknagdpr k dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.) Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR 2) Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.) 3) Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

Privacy by Design (čl. 25, 32) Pseudonymizace, šifrování, minimalizace Další nebo citlivé osobní údaje v cloudu B Propojení oddělených záznamů subjektu dat jedinečným, bezvýznamovým identifikátorem Způsob zpracování dat v cloudu Základní identifikační údaje subjektu dat v cloudu A Key Vault Privátní cloud správce dat Řízení přístupu a logování událostí Ochrana šifrováním volby z pohledu zpracování v cloudu: 1) Klíče v perimetru správce (dešifrovaná data pouze uvnitř organizace) 2) Klíče využívá aplikace v cloudu, ale jsou pod výhradní kontrolou správce 3) Klíče ve správě zpracovatele; zákazník má auditovatelnost přístupu z logů

Přenesení části odpovědnosti na zpracovatele Nástroje k ochraně důvěrnosti, integrity a dostupnosti osobních údajů 5. Nástroje pro vysokou dostupnost a odolnost 2. Zabezpečení koncových zařízení 3. Řízení přístupu, zabezpečení identit Správa identit v cloudových službách s integrací do on-premise snižuje rizika slabých hesel 1. Ochrana dat (důvěrnost, integrita) 4. Nástroje pro kontrolu a auditovatelnost Kontrola pomocí certifikací a auditů třetích stran. Provozní logy a další kontrolní nástroje. 6. Zvládání bezp. incidentů Zabezpečení zařízení, informací, a uživatel. identit Ochrana dat v úložišti a při přenosu Brzká detekce bezpečnostních incidentů, Threat Intelligence

GDPR Compliance Zjednodušení cesty k souladu Posouzení rizik a realizace opatření Využití expertních znalostí

Zdroje k GDPR: Microsoft Corp hlavní stránka: microsoft.com/gdpr Prezentace a zdroje v češtině: aka.ms/jaknagdpr Microsoft Trust Center microsoft.com/trust Service Trust Platform podklady k certifikacím, auditní zprávy: aka.ms/stp (vyžaduje log-in, NDA level)

Děkuji Vám za pozornost Zdeněk Jiříček zdenekj@microsoft.com This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

REGIONAL INDUSTRY US GOV GLOBAL Certifikace a podklady: Microsoft Trust Center www.microsoft.com/trust; Repository: www.aka.ms/stp ISO 27001 ISO 27018 ISO 27017 ISO 22301 ISO 9001 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Self-Assessment CSA STAR Certification CSA STAR Attestation Moderate JAB P-ATO High JAB P-ATO DoD DISA SRG Level 2 DoD DISA SRG Level 4 DoD DISA SRG Level 5 SP 800-171 FIPS 140-2 Section 508 VPAT ITAR CJIS IRS 1075 PCI DSS Level 1 CDSA MPAA FACT UK Shared Assessments FISC Japan HIPAA / HITECH Act HITRUST GxP 21 CFR Part 11 MARS-E IG Toolkit UK FERPA GLBA FFIEC Argentina PDPA EU Model Clauses UK G-Cloud China DJCP China GB 18030 China TRUCS Singapore MTCS Australia IRAP/CCSL New Zealand GCIO Japan My Number Act ENISA IAF Japan CS Mark Gold Spain ENS Spain DPA India MeitY Canada Privacy Laws Privacy Shield Germany IT Grundschutz workbook

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář