GDPR Tipy a triky v cloudu. Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

Podobné dokumenty
Jak cloudové technologie mohou usnadnit život DPO?

Regulace, cloud a egovernment mohou jít ruku v ruce. Zdeněk Jiříček, National Technology Officer Microsoft CZ/SK

Uchopitelná cesta k řešení GDPR

Jak může pomoci poskytovatel cloudových služeb

5 kroků, jak zvýšit bezpečnost uživatelů i dat ve vaší škole

Jak urychlit soulad s GDPR využitím cloudových služeb

Jak řešit zpracování osobních údajů v cloudu dle GDPR a nešlápnout vedle. Zdeněk Jiříček National Technology Officer Microsoft ČR

Vzorové analýzy rizik zpracování v cloudu. Zdeněk Jiříček National Technology Officer Microsoft ČR

Jak urychlit soulad s GDPR s cloudovými službami Microsoft

Dopady GDPR na design IT Martin Dobiáš, Digital Advisory Services

Microsoft a nařízení GDPR. Ladka Poláková Partner Sales Executive Cloud

GDPR a poskytovatelé cloudových služeb

Cloudové inovace a bezpečné služby ve veřejné správě

Jak urychlit soulad s GDPR za pomoci využití cloudových služeb

GDPR compliance v Cloudu. Jiří Černý CELA

Cloud a povinné osoby ze ZKB. Zdeněk Jiříček, Microsoft s.r.o. Aleš Špidla, PwC Czech s.r.o.

Novinky v oblasti ochrany aktiv Zdeněk Jiříček National Technology Officer Microsoft Česká republika

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Digitální. transformace. Lubica Kršková, Partner Sales Executive - Disti. René Klčo, Cloud Sales Specialist. Microsoft

Digital Dao, Jeffrey Carr

... abych mohl pracovat tak, jak mi to vyhovuje

Obecné nařízení o ochraně osobních údajů

Jak se poprat nejen s.. GDPR a egovernmentem

Komentáře CISO týkající se ochrany dat

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Rizika výběru cloudového poskytovatele, využití Cloud Control Matrix

Jak ůže stát e trál ě za ezpečit sdíle é služ pro veřej ou správu? Vá lav Koudele & )de ěk Jiříček - Microsoft

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

O365 GDPR v praxi. Pavel Salava, Conectio Dan Hejda, KPCS

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Petr Vlk KPCS CZ. WUG Days října 2016

Zuzana Sobotková, DAQUAS Petr Vlk, KPCS CZ

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Zabezpečení infrastruktury

GDPR Projekt GDPR Compliance

egc snadno a rychle Ing. Zdeněk Jiříček, Ing. Václav Koudele

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

Petr Vlk KPCS CZ. WUG Days října 2016

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Management System. Information Security Management System - Governance. Testy a audity

Zajištění kybernetické bezpečnosti cloudových služeb. Zdeněk Jiříček National Technology Officer Microsoft Česká republika

GDPR Modelová Situace z pohledu IT

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

egc tým Bezpečnost Hodnocení dopadů a zařazování do bezp. úrovní Závazná bezpečnostní opatření pro dodavatele

Obecné nařízení o ochraně osobních údajů. předpis, který nahradí zákon o ochraně osobních údajů

Protecting Data in Microsoft Online Services. Studie zpracovaná na základě poptávky Microsoft s.r.o. Zakázka: MICR Verze: 2.

Není cloud jako cloud, rozhodujte se podle bezpečnosti

JAK ZAČÍT S GDPR V PODMÍNKÁCH MALÉ OBCE. konference

Petr Vlk KPCS CZ. WUG Days října 2016

DIGITÁLNÍ TRANSFORMACE SE STÁVÁ OTÁZKOU PRO CEO

Dalibor Kačmář Ředitel serverové divize, Microsoft. Unicorn College Open,

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Seznam vzorů, které naleznete v publikaci:

2012 (červen) Microsoft Sharepoint Portal Server. Microsoft Live Communications Server 2003 Řešení pro online komunikaci. Microsoft Exchange

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Možnosti využití cloudových služeb pro provoz IT

Moderní IT - jak na Windows a zabezpečení PC. Petr Klement, divize Windows, Microsoft

Důvěryhodná výpočetní základna -DVZ

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Hybridní licencování Microsoft. Martin Albrecht & Jana Chrenová

Jakým otázkám dnes čelí CIO? Otakar Školoud Chief Information Officer, ALTRON GROUP

Dopady GDPR a jejich vazby

Analýza rizik a DPIA zdravotnických IS v cloudu. Studie zpracovaná na základě poptávky Microsoft s.r.o.

Můžeme mít důvěru v cloudové služby? Zdeněk Jiříček National Technology Officer Microsoft Česká republika

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Distribuované pracovní týmy. Mobilní styl práce. Využití infrastruktury. Struktura IT nákladů


300B user authentications each month 1B Windows devices updated. 200B s analyzed for spam and malware. 18B web pages scanned by Bing each month

GDPR v sociálních službách

PRÁVNÍ ASPEKTY CLOUD COMPUTINGU. Nová technologie nová regulace? Business & Information Forum 2011

Sběr logů jako predikce bezpečnostních hrozeb v Operations Management Suite

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Ako hybridný cloud pomáha v praxi poskytovať spoľahlivé a bezpečné služby

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Případové studie a kulatý stůl. Dalibor Kačmář, Microsoft

Licencování a přehled Cloud Suites

LOGmanager a soulad s požadavky GDPR

Využití identity managementu v prostředí veřejné správy

Ochrana osobních údajů GDPR

Směr, jak změnit pohledu na IT Petr Suchánek Solution Sales - Azure

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Modelová DPIA a analýza rizik pro zpracování osobních údajů v Microsoft Office 365. Studie zpracovaná na základě poptávky Microsoft s.r.o.

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

GDPR. Přehled nejvýznamnějších změn. Viktor Dušek, KPMG Legal Praha, 28. února 2017

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Dopady GDPR na elektronizaci zdravotnictví

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů

Využití Umělé Inteligence (AI) v prostředí NKÚ

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Petr Vlk Project Manager KPCS CZ


PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

Sdílené ICT služby a G-cloud v české veřejné správě. Ing. Zdeněk Jiříček, Ing. Václav Koudele

Cloud. Nebo zatím jen mlha? Workshop Day 2011 WG06 Jaromír Šlesinger, CA Technologies Bratislava, 13. október 2011

JAK SE PŘIPRAVIT NA GDPR?

Transkript:

GDPR Tipy a triky v cloudu Zdeněk Jiříček National Technology Officer Microsoft CZ & SK

Vymezení rolí dle GDPR Správce: Zpracovatel: Subjekt (osobních) údajů:

Sdílená odpovědnost Správce - Zpracovatel Řízení rizik na straně Správce Kategorizace údajů a stanovení politik ochrany Odpovědnost On-Prem IaaS PaaS SaaS Kategorizace údajů a politiky ochrany Ochrana koncových zařízení Sdílené řízení rizik Správa identit a řízení přístupu k údajům Řízení rizik na straně Zpracovatele Fyzická bezpečnost a infrastruktura datových center Správa identit a řízení přístupu k údajům Bezpečnost aplikací Síťová infrastruktura v datových centrech Virtuální stroje (VM) Shared responsibility Microsoft whitepaper Fyzická bezpečnost Zákazník cloudu Provozovatel cloudových služeb

Dotaz Má zpracovatel-x nějakou certifikaci, že jsou jeho cloudové služby v souladu s GDPR? Odpověď Co se týče SW produktů a cloudových služeb, není zatím v ČR / SR žádné schéma certifikace pro GDPR (dle čl. 42-43), které by bylo schváleno úřadem (ÚOOÚ). Zpracovatel může zatím pouze garantovat soulad s požadavky GDPR na něj kladenými. (Tj. články 28, 32, 33 a některé další závazky). Může zpracovatel-x jako poskytovatel cloudových služeb garantovat, že moje organizace (správce) bude v souladu s GDPR? Zpracovatel může pouze smluvně garantovat soulad s požadavky na něj kladenými dle GDPR. Zpracovatel musí odpovídat za opatření při zpracování údajů, které smluvně akceptoval. Zpracovatel nemůže odpovídat za celý rozsah povinností, které GDPR klade na správce osobních údajů. 5

Online Services Terms (OST) Podmínky pro služby online Podmínky ochrany osobních údajů a zabezpečení od str. 7 Ochrana osobních údajů str. 8 deklarace plnění podmínek GDPR a další závazky Závazek užití dat pouze pro poskytování služeb (ne pro reklamní nebo jiné komerční účely) Závazek neposkytnutí dat třetím stranám kromě vyjmenovaných situací a procesů Oznámení incidentu zákazníkovi; poskytnutí podrobných informací o incidentu Použití dodavatelů (pouze za účelem poskytování služeb, odpovědnost Microsoftu) Umístění pro uchování dat a jurisdikce smlouvy EU; zpracování dat možné WW Vyjmenovaná bezpečnostní opatření (v členění ISO 27001) Závazek pokračovat v certifikacích ISO 27001 / 27018 a auditech SOC 1 & 2 Příloha 3: Standardní smluvní doložky dle Rozhodnutí Komise 2010/87/EU Příloha 4: Obecné nařízení GDPR Evropské unie Splnění povinností zpracovatele dle článků 28, 32 a 33 plus některé další závazky OST: http://www.microsoftvolumelicensing.com/documentsearch.aspx?mode=3&documenttypeid=46 SLA: http://www.microsoftvolumelicensing.com/documentsearch.aspx?mode=3&documenttypeid=37

Předávání údajů do třetích zemí (čl. 44-49) Fakticky je nutné rozlišit mezi místem uložení a místem zpracování údajů Zpracování údajů je mnohem širší pojem (zpřístupnění přenosem, náhledy ) Microsoft: Místo uložení zákaznických dat v EU (OST str. 12) Místo zpracování může výjimečně nastat i mimo EU (servisní zásahy, provozní logy) Volný pohyb osobních údajů v EU (čl. 1) Základ Digitálního jednotného trhu EU Ošetření předávání do třetích zemí dle GDPR: Založené na rozhodnutí o odpovídající ochraně (čl. 45) EHP a další země Založené na vhodných zárukách (čl. 46) zde Standardní smluvní doložky EU dodatečné právní záruky na straně zpracovatele OST příloha č. 3 Znění těchto smluvních doložek Microsoft bylo ověřeno EC (2014)

Jak může zpracování v cloudu pomoci? Některé funkce spojené s výkonem práv subjektů dat (čl. 12 až 20) Nalezení osobních údajů, přístup, omezení, protokolární výmaz, přenositelnost Reflektovat smluvní požadavky na zpracovatele (čl. 28) Pořizování záznamů o činnostech zpracování (čl. 30 bod 2.) Zabezpečení zpracování osobních údajů (čl. 32) Implementace pseudonymizace a šifrování dat (čl. 25, 32) Pomoc při šetření a ohlašování bezpečnostních incidentů (čl. 33, 34) Modelové posouzení vlivu na ochranu os. údajů DPIA (čl. 35) Kodexy chování zpracovatelů a certifikace služeb (čl. 40 až 43)

Článek 32 Zabezpečení zpracování (os. údajů) (1) S přihlédnutím ke stavu techniky... povaze... rozsahu... a k různě závažným rizikům pro práva fyz. osob, zavedou správce a zpracovatel vhodná tech/org. bezp. opatření... odpovídající danému riziku,.. včetně: a) případné pseudonymizace a šifrování osobních údajů; b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování; c) obnovit dostupnost osobních údajů včas v případě technických incidentů; d) pravidelného testování a hodnocení účinnosti zavedených opatření (2) zohlednit rizika náhodného zničení, ztráty, pozměňování, neoprávněného zpřístupnění osobních údajů

REGIONAL INDUSTRY US GOV GLOBAL Aktuální seznam certifikací a standardů: https://www.microsoft.com/en-us/trustcenter/compliance/complianceofferings ISO 27001 ISO 27018 ISO 27017 ISO 22301 ISO 9001 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Self-Assessment CSA STAR Certification CSA STAR Attestation Moderate JAB P-ATO High JAB P-ATO DoD DISA SRG Level 2 DoD DISA SRG Level 4 DoD DISA SRG Level 5 SP 800-171 FIPS 140-2 Section 508 VPAT ITAR CJIS IRS 1075 PCI DSS Level 1 CDSA MPAA FACT UK Shared Assessments FISC Japan HIPAA / HITECH Act HITRUST GxP 21 CFR Part 11 MARS-E IG Toolkit UK FERPA GLBA FFIEC Argentina PDPA EU Model Clauses UK G-Cloud China DJCP China GB 18030 China TRUCS Singapore MTCS Australia IRAP/CCSL New Zealand GCIO Japan My Number Act ENISA IAF Japan CS Mark Gold Spain ENS Spain DPA India MeitY Canada Privacy Laws Privacy Shield Germany IT Grundschutz workbook

Kde najdeme Security & Privacy controls OST Podmínky pro služby Online seznam bezp. opatření: OST str. 10 12: seznam bezp. opatření ve struktuře ISO 27001:2013 OST str. 12: závazek pokračovat s průmyslovými certifikacemi Trust Center: www.microsoft.com/trust Členění podle: Rolí Risk / Compliance / Security / BDM Principů Security / Transparency / Privacy Odtud More reports. : O365 Service Assurance https://protection.office.com Service Trust Platform https://servicetrust.microsoft.com/ (user credentials) také aka.ms/stp Repository podkladů k certifikacím: Compliance Reports (ISO 27k a SOC reports) Trust documents (security whitepapers)

Dohled nad stavem zvolených opaření v reálném čase blog; Main page; 2 min video

Jak uchopit GDPR 1 Mapujte Zjistěte, jaké osobní údaje máte a kde se nacházejí 2 Spravujte Rozhodujte o způsobech využití a udělení přístupu k osobním údajům 3 Chraňte Zaveďte bezpečnostní opatření k předcházení, detekování a zvládání bezpečnostních incidentů 4 Dokumentujte Uchovávejte požadovanou dokumentaci, vč. žádostí týkajících se správy osobních údajů či případů porušení zabezpečení

Modelové analýzy rizik a scénáře pro DPIA Stránky GDPR konference: www.aka.ms/jaknagdpr k dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.) Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR 2) Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.) 3) Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

Modelové analýzy rizik a scénáře pro DPIA Stránky GDPR konference z 04/2017: www.aka.ms/jaknagdpr k dispozici modelové analýzy rizik pro zákazníky (v češtině): 1) Analýza rizik: Zdravotnická dokumentace v cloudu Azure (ICZ a.s.) Znalecký posudek ústavu CETAG: adekvátní úroveň zabezpečení dle GDPR 2) Analýza rizik: Spisová služba Gordic GINIS v cloudu Azure (RAC s.r.o.) 3) Formát DPIA pro zpracování osobních údajů v Office 365 (ICZ a.s.) Osobní údaje v Exchange Online Citlivé osobní údaje v SharePoint Online Telemedicína / citlivé osobní údaje přes a upload přes Skype for Business Soulad s požadavky GDPR ověřen právní kanceláří Pierstone s.r.o.

Threat Intelligence Audit Logs Intune Active Directory Log Analytics ediscovery Azure Security Center Data Log Data Loss Prevention Cloud App Security Key Vault Data Classification Threat Detection Windows Hello Bitlocker Credential Guard Information Protection Transparent Data Encryption Always Encrypted

Migrace zpracování do Office 365 / Azure IaaS Využití vlastností Office 365 E3

Funkce Azure OMS, O365 E5, Win 10 ATP, EMS, M365 E5 Nové aplikace v Azure PaaS, Dynamics 365 Partnerská řešení pro GDPR (KPCS Atom, Xeelo )

Přenesení části odpovědnosti na zpracovatele Nástroje k ochraně důvěrnosti, integrity a dostupnosti osobních údajů 5. Nástroje pro vysokou dostupnost a odolnost 2. Zabezpečení koncových zařízení 3. Řízení přístupu, zabezpečení identit Správa identit v cloudových službách s integrací do on-premise snižuje rizika slabých hesel 1. Ochrana dat (důvěrnost, integrita) 4. Nástroje pro kontrolu a auditovatelnost Kontrola pomocí certifikací a auditů třetích stran. Provozní logy a další kontrolní nástroje. 6. Zvládání bezp. incidentů Zabezpečení zařízení, informací, a uživatel. identit Ochrana dat v úložišti a při přenosu Brzká detekce bezpečnostních incidentů, Threat Intelligence

Cloud - ochrana dat šifrováním Microsoft Azure Ochrana dat při přenosu Nástroje zákazníka RMS, S/MIME nativně OME O365 Msg Encryp. AIP - živ. cyklus ochrany PGP atd. manuálně SQL Server TDE / CLE SQL Always Encrypted RMS SDK; Client side encrypt. 3rd Party.. SafeNet, CloudLink RMS, S/MIME Na aplikační úrovni Nástroje poskytované cloud. službou Per-File Encryption Advanced Encryption Nativní služba Azure Key Vault Azure Disk Encryption (VHD) StorSimple; Azure SSE (blobs) Protokol SSL/TLS Nově: Perfect Forward Secrecy (PFS) Data v úložišti Bitlocker Šifrování AES-256 Destrukce NIST 800-88 Bitlocker (volba zákazníka) Šifrování AES-256 Destrukce NIST 800-88

Zdroje k GDPR: GDPR hlavní stránka: microsoft.com/gdpr a česká verze: www.microsoft.com/sk-sk/rethink-it-security/gdpr Prezentace a vzorové analýzy rizik v češtině: aka.ms/jaknagdpr Microsoft Trust Center microsoft.com/trust Service Trust Platform podklady k certifikacím, auditní zprávy: aka.ms/stp (vyžaduje log-in, NDA level)

Děkuji Vám za pozornost Zdeněk Jiříček zdenekj@microsoft.com This presentation is intended to provide an overview of GDPR and is not a definitive statement of the law.

Dodatky 26

Annex A: rozčlenění dopadů na subjekty údajů ve 4 úrovních: 1 - Negligible PII principals either will not be affected or may encounter a few inconveniences, which they will overcome without any problem (time spent re-entering information, annoyances, irritations, etc.). 2 - Limited PII principals may encounter significant inconveniences, which they will be able to overcome despite a few difficulties (extra costs, denial of access to business services, fear, lack of understanding, stress, minor physical ailments, etc.). 3 - Significant PII principals may encounter significant consequences, which they should be able to overcome albeit with serious difficulties (misappropriation of funds, blacklisting by banks, property damage, loss of employment, subpoena, worsening of state of health, etc.). 4 - Maximum PII principals may encounter significant, or even irreversible, consequences, which they may not overcome (financial distress such as unserviceable debt or inability to work, long-term psychological or physical ailments, death, etc.).

(Uvedené příklady je třeba posuzovat s ohledem na konkrétní obsah a možné dopady) Podráždění jednotlivce, likvidace nevyžádané pošty, potřeba znovu vyplnit formulář po ztrátě dat Potíže, které však lze poměrně snadno překonat: Zvýšené náklady, odmítnutí některé z komerčních služeb, obavy, nedorozumění Vážné potíže. Diskriminace: blacklisting většinou bank. Vznik vysokého finančního závazku. Ztráta zaměstnání. Vyloučení v rodině, v místě bydliště. Subjekt se setká s velikými, až nepřekonatelnými obtížemi. Osobní bankrot nesplatitelný dluh. Ohrožení života (nesprávná medikace). Dlouhodobé duševní nebo fyzické onemocnění. Zdroj: ISO/IEC 29134:2017 (PIA Guidelines), publikováno 1 Jun 2017

nízkým vysokým Strukturovaná data / LoB Systems Nestrukt. data / Email / Dokumenty Azure + M365 E5 + Win10 WDATP M365 E5 + Windows 10 WDATP Azure + M365 E3 M365 E3 29

GDPR - výkon práv subjektů údajů obecně Vlastnosti aplikace musí umožnit výkon práv subjektů údajů dle článků 12 až 20: Právo na informace o zpracování Právo na přístup k osobním údajům Právo na opravu osobních údajů Právo na výmaz Právo na omezení zpracování Právo na přenositelnost údajů (i přímo správce -> jiný správce) Právo vznést námitku Právo nebýt předmětem rozhodnutí, založeného výhradně na automatizovaném zpracování, které má pro subjekt údajů právní účinky

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář