Jak urychlit soulad s GDPR využitím cloudových služeb

Podobné dokumenty
Jak cloudové technologie mohou usnadnit život DPO?

Uchopitelná cesta k řešení GDPR

Jak může pomoci poskytovatel cloudových služeb

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

Regulace, cloud a egovernment mohou jít ruku v ruce. Zdeněk Jiříček, National Technology Officer Microsoft CZ/SK

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle. Zdeněk Jiříček National Technology Officer Microsoft ČR

Jak urychlit soulad s GDPR s cloudovými službami Microsoft

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

GDPR Tipy a triky v cloudu. Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

GDPR a poskytovatelé cloudových služeb

Microsoft a nařízení GDPR. Ladka Poláková Partner Sales Executive Cloud

Jak urychlit soulad s GDPR za pomoci využití cloudových služeb

Cloudové inovace a bezpečné služby ve veřejné správě

GDPR compliance v Cloudu. Jiří Černý CELA

Obecné nařízení o ochraně osobních údajů

Digitální. transformace. Lubica Kršková, Partner Sales Executive - Disti. René Klčo, Cloud Sales Specialist. Microsoft

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Cloud a povinné osoby ze ZKB. Zdeněk Jiříček, Microsoft s.r.o. Aleš Špidla, PwC Czech s.r.o.

Digital Dao, Jeffrey Carr

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Jak ůže stát e trál ě za ezpečit sdíle é služ pro veřej ou správu? Vá lav Koudele & )de ěk Jiříček - Microsoft

Jak se poprat nejen s.. GDPR a egovernmentem

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Hybridní licencování Microsoft. Martin Albrecht & Jana Chrenová

Komentáře CISO týkající se ochrany dat

GDPR Modelová Situace z pohledu IT

DIGITÁLNÍ TRANSFORMACE SE STÁVÁ OTÁZKOU PRO CEO

Zuzana Sobotková, DAQUAS Petr Vlk, KPCS CZ

... abych mohl pracovat tak, jak mi to vyhovuje

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Zabezpečení infrastruktury

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Microsoft Day Dačice - Rok informatiky

Sběr logů jako predikce bezpečnostních hrozeb v Operations Management Suite

Není cloud jako cloud, rozhodujte se podle bezpečnosti

GDPR Projekt GDPR Compliance

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

O365 GDPR v praxi. Pavel Salava, Conectio Dan Hejda, KPCS

Licencování a přehled Cloud Suites

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Daniela Lišková Solution Specialist Windows Client.

Windows 10 & nové prvky zabezpečení proti novým hrozbám v IT

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Moderní IT - jak na Windows a zabezpečení PC. Petr Klement, divize Windows, Microsoft

LOGmanager a soulad s požadavky GDPR

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

Enterprise Mobility Management AirWatch & ios v businessu

Enterprise Mobility Management & GDPR AirWatch - představení řešení

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference


Dopady GDPR a jejich vazby

Management System. Information Security Management System - Governance. Testy a audity

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Petr Vlk KPCS CZ. WUG Days října 2016

300B user authentications each month 1B Windows devices updated. 200B s analyzed for spam and malware. 18B web pages scanned by Bing each month

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Zkušenosti z nasazení a provozu systémů SIEM

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Petr Vlk KPCS CZ. WUG Days října 2016

Dalibor Kačmář Ředitel serverové divize, Microsoft. Unicorn College Open,

Dopady GDPR na elektronizaci zdravotnictví

Systémová analýza a opatření v rámci GDPR

Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix

Technická bezpečnostní opatření nejen ve smyslu ZKB. Jan Zdvořáček ASKON International s.r.o.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Možnosti cloudu JAK RYCHLE A JEDNODUŠE VYŘEŠIT KOMUNIKAČNÍ POTŘEBY ÚŘADU

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Představení služeb Konica Minolta GDPR

RENOMIA POJIŠTĚNÍ KYBERNETICKÝCH RIZIK

Novinky v oblasti ochrany aktiv Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Petr Vlk Project Manager KPCS CZ

Modelová DPIA a analýza rizik pro zpracování osobních údajů v Microsoft Office 365. Studie zpracovaná na základě poptávky Microsoft s.r.o.

Jakým otázkám dnes čelí CIO? Otakar Školoud Chief Information Officer, ALTRON GROUP

Využití identity managementu v prostředí veřejné správy

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Posuzování na základě rizika

Zajištění kybernetické bezpečnosti cloudových služeb. Zdeněk Jiříček National Technology Officer Microsoft Česká republika

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

DATA ULOŽENÁ NA VĚČNÉ ČASY. (ICZ DESA / Microsoft Azure) Mikulov Michal Matoušek (ICZ) / Václav Koudele (Microsoft)

edice Windows 10 je pro vás nejvhodnější? Firemní prostředí Kancelářské a uživatelské prostředí Správa a nasazení Home Pro Enterprise Education

GORDIC a GDPR? Připraveno!

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Komplexní ICT outsourcing

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

S C A D A S Y S T É M Y

ICZ - Sekce Bezpečnost

Možnosti využití cloudových služeb pro provoz IT

Enterprise Mobility Management AirWatch - představení řešení. Ondřej Kubeček březen 2017

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Transkript:

Jak urychlit soulad s GDPR využitím cloudových služeb Zdeněk Jiříček, National Technology Officer Vlastimil Tesař, Partner Technology Specialist Microsoft This presentation is intended s.r.o. to provide an overview of GDPR and is not a definitive statement of the law.

Jak může zpracování v cloudu pomoci? Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20) Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost Reflektovat smluvní požadavky na zpracovatele (čl. 28) Pořizování záznamů o činnostech zpracování (čl. 30 bod 2.) Zabezpečení zpracování osobních údajů (čl. 32) Implementace pseudonymizace a šifrování dat (čl. 25, 32) Pomoc při šetření a ohlašování bezpečnostních incidentů (čl. 33, 34) Modelové posouzení vlivu na ochranu os. údajů DPIA (čl. 35) Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)

Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) případné pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů

Kde najdeme ty smluvní záruky??? Požadavek Smluvní podmínky dle čl. 28 Zabezpečení zpracování čl. 32 Místo uložení dat Místo zpracování dat Použití a zpřístupnění Řešení OST - Podmínky pro služby online od září 2017 má standardně novou přílohu č. 4 řeší explicitně soulad s články 28, 32 a 33 GDPR. Obsahuje Podmínky ochrany osobních údajů a zabezpečení (str. 7 a dále) OST Příloha 4 GDPR, dále část zabezpečení Bezp. opatření, průmyslové certifikace / standardy a auditní zprávy vše zahrnuto v OST Rozcestník: Trust Center www.microsoft.com/trust Celé auditní zprávy a dokumenty jsou na Service Trust Platform (www.aka.ms/ STP ) OST odst. Umístění pro uchování neaktivních zákaznických dat Může nastat v jistých případech i mimo EU. Řešení GDPR čl. 46 Standardní smluvní doložky o ochraně údajů přijaté EC (viz potvrzení EC a vyjádření ÚOOÚ). Zahrnuty jako příloha č. 3 OST. Podrobnosti viz www.microsoft.com/trust, oblast Privacy, Where your data is located, Who can access your data OST Příloha 4 GDPR, OST str. 7, Použití zákaznických dat, Zveřejnění (zpřístupnění) zákaznických

Kde najdeme ty smluvní záruky??? Požadavek Smluvní podmínky dle čl. 28 Zabezpečení zpracování čl. 32 Místo uložení dat Místo zpracování dat Použití a zpřístupnění Řešení OST - Podmínky pro služby online od září 2017 má standardně novou přílohu č. 4 řeší explicitně soulad s články 28, 32 a 33 GDPR. Obsahuje Podmínky ochrany osobních údajů a zabezpečení (str. 7 a dále) OST Příloha 4 GDPR, dále část zabezpečení Bezp. opatření, průmyslové certifikace / standardy a auditní zprávy vše zahrnuto v OST Rozcestník: Trust Center www.microsoft.com/trust Celé auditní zprávy a dokumenty jsou na Service Trust Platform (www.aka.ms/ STP ) OST odst. Umístění pro uchování neaktivních zákaznických dat Může nastat v jistých případech i mimo EU. Řešení GDPR čl. 46 Standardní smluvní doložky o ochraně údajů přijaté EC (viz potvrzení EC a vyjádření ÚOOÚ). Zahrnuty jako příloha č. 3 OST. Podrobnosti viz www.microsoft.com/trust, oblast Privacy, Where your data is located, Who can access your data OST Příloha 4 GDPR, OST str. 7, Použití zákaznických dat, Zveřejnění (zpřístupnění) zákaznických

Jak uchopit GDPR 1Mapujte Zjistěte, jaké osobní údaje máte a kde se nacházejí 2Spravujte Rozhodujte o způsobech využití a udělení přístupu k osobním údajům 3Chraňte Zaveďte bezpečnostní opatření k předcházení, detekování a zvládání bezpečnostních incidentů 4Dokumentujte Uchovávejte požadovanou dokumentaci, vč. žádostí týkajících se správy osobních údajů či případů porušení zabezpečení

Hlavní stránka MS Corp: www.microsoft.com/gdpr Solutions Assessment Resources Shared responsibility..rozdělení rolí mezi správcem a zpracovatelem obecně ===

Beginning your General Data Protection Regulation (GDPR) journey Whitepaper 31 stran Metodika 4 kroků + nástroje i v češtině www.aka.ms/gdprwhitepapercz

Modelové analýzy rizik a scénáře pro DPIA GDPR prezentace a zdroje v CZ: www.aka.ms/jaknagdpr k dispozici modelové analýzy rizik pro zákazníky (v češtině): Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.) Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.) Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business

Vzorová analýza rizik provozu spisové služby Gordic GINIS v cloudu Microsoft Azure Spoluráce s Gordic na zahrnutí aplikační vrstvy GINIS v prostředí Microsoft Azure Analýza rizik od RAC (Risk Analysis Consultants) a Mainstream Technologies Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o. Microsoft s.r.o. má užívací práva i pro zákazníky a obchodní partnery

Vzorová analýza rizik zpracování zdravotnických IS v cloudu Microsoft Azure Zpracováno na zakázku spol. kolektivem ICZ / S.ICZ a.s. Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o. Microsoft s.r.o. má užívací práva i pro zákazníky a obchodní partnery Znalecký posudek ústavu CETAG:.. splňuje požadavky na vhodná opatření a záruky, včetně bezpečnostních opatření a mechanismů, které je správce osobních údajů povinen přijmout v souladu s čl. 32 a čl. 35 odst. 7 nařízení,... pro zpracování zvláštních kategorií osobních údajů

Modelové Posouzení vlivu DPIA na Office 365 Zpracováno na zakázku kolektivem ICZ / S.ICZ a.s. Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o. Microsoft s.r.o. má užívací práva i pro zákazníky a obchodní partnery

Široké portfolio certifikací a mezinárodních standardů Certifikace a podklady: Microsoft Trust Center www.microsoft.com/trust; Repository: www.aka.ms/stp GLOBAL ISO 27001 ISO 27018 ISO 27017 ISO 22301 ISO 9001 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Self-Assessment CSA STAR Certification CSA STAR Attestation US GOV Moderate JAB P-ATO High JAB P-ATO DoD DISA SRG Level 2 DoD DISA SRG Level 4 DoD DISA SRG Level 5 SP 800-171 FIPS 140-2 Section 508 VPAT ITAR CJIS IRS 1075 INDUSTRY PCI DSS Level 1 CDSA MPAA FACT UK Shared Assessments FISC Japan HIPAA / HITECH Act HITRUST GxP 21 CFR Part 11 MARS-E IG Toolkit UK FERPA GLBA FFIEC REGIONAL Argentina PDPA EU Model Clauses UK G-Cloud China DJCP China GB 18030 China TRUCS Singapore MTCS Australia IRAP/ CCSL New Zealand GCIO Japan My Number Act ENISA IAF Japan CS Mark Gold Spain ENS Spain DPA India MeitY Canada Privacy Laws Privacy Shield Germany IT Grundschutz workbook

Threat Intelligence Audit Logs Intune Active Directory Log Analytics ediscovery Azure Security Center Office Data Loss Prevention EMS Data Log Řešení podporující připravenost na GDPR Cloud App Security Microsoft Azure Key Vault Data Classification Threat Detection Windows Windows Hello Credential Guard Bitlocker Windows Server SQL Information Protection Transparent Data Encryption Always Encrypted

Office 365 - příběhy Maximální využití technického, bezpečnostního i organizačního zajištění cloudových služeb Multifaktorová autentizace, ochrana před kybernetickými útoky, přístup řízený zákazníkem, šifrování dat, smluvní závazky a SLA... Ochrana informací s osobními daty Zabezpečení dokumentů a e-mailů možnost zneplatnění a omezení přístupu bez ohledu na jejich umístění, omezení odeslání, nastavení politik a analýza jejich dodržování Vyhledání dokumentů, e-mailů, kontaktů s osobními údaji napříč systémem Office 365 pomocí funkce ediscovery poveřenými osobami Minimalizace výskytu stejných dokumentů s osobními údaji jejich jednoduchým sdílením a ne kopírováním pomocí e-mailových příloh propojení s aplikacemi Office Možnosti vytvoření agend spojených se zajištěním výkonu práv subjektů workflow, záznamy žádostí a

EMS - příběhy Zajištění zařízení, ze kterého se přistupuje k osobním údajům Zabezpečení stanic a mobilních zařízení proti neoprávněnému přístupu pravidla, šifrování, správa Vymazání obsahu zařízení v případě odcizení nebo ztráty Zajištění bezpečného ověření oprávněného uživatele Snížení možnosti zneužití přístupu nebo sdílení hesla pomocí multifaktorové autentizaci pro přístup k firemním aplikacím Analýza hrozeb v lokální síti, spojená se zneužitím přístupů Omezení přístupu k dokumentům s osobními údaji bez ohledu na jejich umístění Ochrana šifrováním a omezením přístupu k dokumentům s osobními údaji Možnost zneplatnění dokumentů s osobními údaji bez ohledu na jejich umístění

Windows 10 - příběhy Zabezpečení zařízení proti napadení a odcizení dat Proaktivní ochrana proti Ransomware a dalšímu škodlivému kódu? Device Guard a Applocker je odpověď Integrovaný antivirový systém Windows Defender Antivirus chrání i proti malware, který ještě nebyl nikde použit Zabezpečené informace při odcizení nebo ztrátě Firemní informace a data jen na firemních zařízeních a uložištích pomocí technologie Windows Information Protection a Azure Information protection Šifrování obsahu pevného disku technologií Bitlocker chrání zařízení v případě ztráty nebo odcizení Odolnost proti útokům zneužívající zcizení hesla z paměti zařízení pomocí funkce Credential Guard Zabezpečená identita oprávněného uživatele

Microsoft 365 - příběhy Kombinace Windows, Office 365 a EMS Ochrana koncových zařízení před odcizením informací Zajištění před neoprávněným přístupem k zařízení a aplikacím s osobními údaji Ochrana před hrobami útoků a odcizení dat v síti Ochrana dokumentů a e-mailů s osobními informacemi šifrováním Aplikace Office pro bezpečnou a efektivní produktivitu Certifikované cloudové prostředí pro e-maily a dokumenty Licenční zajištění Windows a Office 365 jako služby Stále aktuální prostředí z pozice bezpečnosti i funkcí

Azure příběhy Management & Security Předcházení bezpečnostních incidentů Integrace systémů do jednoho globálního pohledu ze všech komponent on-prem i cloudu sítě, servery, identity, SIEM Doporučení pro zabezpečení monitorované infrastruktury napříč platformami Windows, Linux, OpenStack, Vmware... Zabezpezpečení proti zásahu administrátora Rychlost reakce na incident Notifikace o incidentech (SMS, e-mail, push, dashboard, mobilní aplikace) Zpětné dohledání incidentů po dobu až 24 měsíců s neomezeným prostředky storage, výkon, analýzy... Vyhledání události, incidentu, spojených s konkrétním uživatelem, procesem atp v daném čase

KPCS ATOM kompletní správa bezpečnosti a provozu sítě Jednotný přístup k informacím je hlavní předností služby

Azure příběhy Infrastruktura & Aplikace Využití pro stávající aplikace Aplikace využívající nedostatečně technicky a organizačně zajištěnou infrastrukturu Přenesení části požadavků k naplnění zavedení vhodných technických a organizačních opatření na zajištění ochrany práv subjektu údajů na zpracovatele Využití pro nové a redesignované aplikace Minimalizace vstupních investic do HW vybavení pro vývoj a provoz nových aplikací, splňujících požadavky GDPR Okamžitá dostupnost prostředků a prostředí pro vývoj nových aplikací, splňujících požadavky GDPR Bezpečné prostředí provoz aplikací, splňujících požadavky GDPR Agendy GDPR Vývoj a provoz aplikací spojených se zajištěním výkonu práv subjektů Platforma pro procesy zpracování Dynamics 365, Office 365...

XEELO GDPR Intelligent Studios

Dynamics 365 - příběhy Maximální využití technického, bezpečnostního i organizačního zajištění cloudových služeb Multifaktorová autentizace, ochrana před kybernetickými útoky, Customer Lockbox, šifrování dat, smluvní závazky a SLA... Využití pro nové aplikace Evidence o subjektu na jediném místě by design Evidence všech návazných aktivit a historie na jednom místě včetně e-mailové komunikace a schůzek Okamžitá dostupnost prostředků a prostředí pro vývoj nových aplikací, splňujícíh požadavky GDPR Řízení užitelských přístupů na úrovni položek v rámci formuláře

Shrnutí GDPR Compliance Complianc e Zjednodušení cesty k souladu Využijte ověřená řešení v cloudu s využitím delegace odpovědností na zpracovatele Posouzení rizik a realizace opatření Využijte služby a nástroje pro pokrytí rizik a pružné zavedení adekvátních bezpečnostních opatření Využití expertních znalostí Unikátní kompetence partnerské sítě spol. Microsoft v oblasti řízení rizik, procesů, a právního poradenství

Zdroje k GDPR: Microsoft Corp hlavní stránka: microsoft.com/gdpr Prezentace a zdroje v češtině: aka.ms/jaknagdpr Microsoft Trust Center microsoft.com/trust Service Trust Platform podklady k certifikacím, auditní zprávy: aka.ms/stp (vyžaduje log-in, NDA level)

Děkujeme Vám za pozornost Zdeněk Jiříček, zdenekj@microsoft.com Vlastimil Tesař, vlastimil.tesar@microsoft.com This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář