PR články

7 kroků, jak přežít GDPR: Jsou bezpečnostní opatření účinná? Napoví audit (7)

Správce osobních údajů není podle GDPR povinen pouze zavést vhodná technická a organizační opatření. Musí být také schopen doložit, že zpracování údajů je skutečně prováděno v souladu s požadavky nařízení, k čemuž slouží takzvané provozní záznamy. Ty jsme probrali v minulém díle. Zároveň musí ovšem správce také prokázat, že jsou zavedená opatření účinná, a to na základě pravidelných testů a posudků.
7 kroků, jak přežít GDPR: Jsou bezpečnostní opatření účinná? Napoví audit (7)
Klepněte pro větší obrázek

Průmyslové standardy a dobrá praxe

Poskytovatelé cloudových služeb, kteří chtějí budovat důvěru svých zákazníků, jdou obvykle cestou deklarovaných průmyslových a mezinárodních standardů, auditních zpráv a podkladové dokumentace. Pro komerční cloudové služby se nejčastěji využívá ISO standardů, které najdete v tabulce.

Dokumentace k zavedení těchto standardů obvykle zahrnuje celkovou bezpečnostní politiku, seznam aplikovaných opatření a popis, jak jich bylo dosaženo. Hlavním bodem je pak zpráva akreditovaného auditora o souladu se specifikací standardu a hodnocení, jak je daný systém řízení bezpečnosti a kontinuity účinný.

Auditní zprávy o účinnosti opatření

Za nejrelevantnější se v poslední době považují auditní zprávy o řídicím a kontrolním mechanismu u firemních dodavatelů, tzv. zprávy SOC (Service Organization Controls). SOC 1 (přesněji také SSAE-16/ISAE 3402) dokládá vhodnost a účinnost bezpečnostních opatření pro naplnění deklarované bezpečnostní politiky. SOC 2 (AT101) zase potvrzuje, že je zajištěná bezpečnost a dostupnost služeb, integrity zpracování, důvěrnosti a ochrany soukromí. V přísnější variantě Type II musí auditoři testovat účinnost opatření každoročně po dobu minimálně 6 měsíců v roce. Tyto zprávy proto mohou poskytnout opravdu důvěryhodný obraz a posouzení stavu zabezpečení u dodavatele ICT služeb.

Co jsou penetrační testy

Účinným nástrojem ověření úrovně zabezpečení zpracování údajů jsou dále penetrační testy. Zákazník cloudových služeb je může provést prostřednictvím svých IT specialistů, nebo pověřit jejich provedením některou z akreditovaných společností v rámci kodexu „etického hackingu". Testují se zpravidla zranitelnosti IT infrastruktury, síťového připojení, zranitelnosti webových aplikací a odolnost vůči neautorizovaným útokům na uživatelské účty. Výsledky penetračních testů se opět dokládají zprávou.

Transparentnost především

Cloudové služby Microsoftu patří k tomu nejlepšímu, co trh v oblasti zabezpečení, ochrany soukromí a transparentnosti vůči správcům osobních údajů nabízí. Aktuální seznam dodržovaných standardů, norem a certifikací poskytuje společnost na www.microsoft.com/TRUST (dále přes box Compliance). Podkladová dokumentace a všechny auditní zprávy o účinnosti opatření jsou k dispozici po autentizaci účtem cloudové služby (Azure, Office 365, Dynamics 365) a po akceptaci podmínek NDA na adrese www.aka.ms/STP.

Odpovědnost za zpracování

„Podmínky pro služby online" společnosti Microsoft nyní standardně obsahují závazky, které zajišťují soulad s požadavky GDPR na zpracovatele údajů dle článků 28, 32 a 33. Společně s dalšími ustanoveními „podmínek" v oblasti zabezpečení a ochrany soukromí tak správci dostávají silné nástroje pro zajištění souladu s pomocí cloudových služeb.

Na druhé straně je třeba zohlednit skutečnost, že žádný zpracovatel není schopen převzít plnou odpovědnost za soulad správce s nařízením GDPR. Odpovědnost za GDPR mezi správcem a zpracovatelem (poskytovatelem cloudu) bude vždy sdílená a bude se lišit v případě modelů poskytovaných služeb IaaS, PaaS, SaaS. Při zapojení modelu SaaS je odpovědnost poskytovatele cloudu nejvyšší, při IaaS je nejnižší. Čím více kontroly převezme zpracovatel, tím větší břímě bude schopen na sebe převzít.

Všechna nutná opatření pro ochranu osobních údajů podle GDPR musí být nejen deklarována, ale také účinně zavedena a pravidelně testována. Microsoft poskytuje záruky za svůj vlastní soulad s nařízením, ale i široké portfolio produktů a cloudových služeb, které jsou pro naplnění závazků ze strany správce údajů k dispozici. Nestačí však pouze mít k dispozici nástroje, které vám mohou pomoci se splněním GDPR závazků, ale hlavně zajistit jejich používání. Je to podobné jako s bezpečnostním pásem v autě. Pokud ho máte a nepoužíváte, tak je vám k ničemu.

Tabulka: Standardy ISO, jež by měly splňovat komerční cloudové služby

Klepněte pro větší obrázek

Jak co nejrychleji splnit požadavky GDPR? Podrobný návod najdete ZDE.

Autoři: Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko a Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko

Další článek: Mac mini je ostudou Applu, k poslednímu updatu došlo přesně před třemi lety

Témata článku: PR články


Určitě si přečtěte

10 map, na kterých můžete COVID-19 sledovat téměř v živém přenosu

10 map, na kterých můžete COVID-19 sledovat téměř v živém přenosu

** Koronavrus můžete sledovat skoro živě ** Analytici a kartografové připravili hromadu map ** Vybrali jsme deset z nich

Jakub Čížek | 8

Podívejte se na Windows z roku 1990. Před 30 lety přišly Windows 3.0 a líbily se nám

Podívejte se na Windows z roku 1990. Před 30 lety přišly Windows 3.0 a líbily se nám

** 22. května 1990 uvedl Microsoft Windows 3.0 ** Systém z Microsoftu definitivně udělal lídra na desktopu ** Tehdejší Windows byly vlastně grafickou nadstavbou nad MS-DOS

Jakub Čížek | 65

PlayStation 5 bude mít extrémně rychlé SSD a promyšlenou architekturu. Sony odhalilo technické detaily

PlayStation 5 bude mít extrémně rychlé SSD a promyšlenou architekturu. Sony odhalilo technické detaily

** Sony zveřejnilo podrobnosti k PlayStationu 5 ** Poprvé jsou k dispozici technické detaily ** Sony se hodně zaměřilo na rychlost SSD

Karel Javůrek | 31

Šest nejlepších služeb a aplikací pro automatizaci online světa a chytré domácnosti

Šest nejlepších služeb a aplikací pro automatizaci online světa a chytré domácnosti

** Nastavte si automatiku na každodenní rutinní záležitosti ** Propojte online služby a chytrou domácnost ** Vybrali jsme šest nejlepších služeb pro automatizaci

Karel Kilián | 17


Aktuální číslo časopisu Computer

Megatest 21 grafických karet

AMD poráží Intel už i v notebooku

Jak vytvořit 3D fotky v mobilu

Nejlepší fotoaparáty do 30 000 Kč