Správce osobních údajů není podle GDPR povinen pouze zavést vhodná technická a organizační opatření. Musí být také schopen doložit, že zpracování údajů je skutečně prováděno v souladu s požadavky nařízení, k čemuž slouží takzvané provozní záznamy. Ty jsme probrali v minulém díle. Zároveň musí ovšem správce také prokázat, že jsou zavedená opatření účinná, a to na základě pravidelných testů a posudků.
Průmyslové standardy a dobrá praxe
Poskytovatelé cloudových služeb, kteří chtějí budovat důvěru svých zákazníků, jdou obvykle cestou deklarovaných průmyslových a mezinárodních standardů, auditních zpráv a podkladové dokumentace. Pro komerční cloudové služby se nejčastěji využívá ISO standardů, které najdete v tabulce.
Dokumentace k zavedení těchto standardů obvykle zahrnuje celkovou bezpečnostní politiku, seznam aplikovaných opatření a popis, jak jich bylo dosaženo. Hlavním bodem je pak zpráva akreditovaného auditora o souladu se specifikací standardu a hodnocení, jak je daný systém řízení bezpečnosti a kontinuity účinný.
Auditní zprávy o účinnosti opatření
Za nejrelevantnější se v poslední době považují auditní zprávy o řídicím a kontrolním mechanismu u firemních dodavatelů, tzv. zprávy SOC (Service Organization Controls). SOC 1 (přesněji také SSAE-16/ISAE 3402) dokládá vhodnost a účinnost bezpečnostních opatření pro naplnění deklarované bezpečnostní politiky. SOC 2 (AT101) zase potvrzuje, že je zajištěná bezpečnost a dostupnost služeb, integrity zpracování, důvěrnosti a ochrany soukromí. V přísnější variantě Type II musí auditoři testovat účinnost opatření každoročně po dobu minimálně 6 měsíců v roce. Tyto zprávy proto mohou poskytnout opravdu důvěryhodný obraz a posouzení stavu zabezpečení u dodavatele ICT služeb.
Co jsou penetrační testy
Účinným nástrojem ověření úrovně zabezpečení zpracování údajů jsou dále penetrační testy. Zákazník cloudových služeb je může provést prostřednictvím svých IT specialistů, nebo pověřit jejich provedením některou z akreditovaných společností v rámci kodexu „etického hackingu". Testují se zpravidla zranitelnosti IT infrastruktury, síťového připojení, zranitelnosti webových aplikací a odolnost vůči neautorizovaným útokům na uživatelské účty. Výsledky penetračních testů se opět dokládají zprávou.
Transparentnost především
Cloudové služby Microsoftu patří k tomu nejlepšímu, co trh v oblasti zabezpečení, ochrany soukromí a transparentnosti vůči správcům osobních údajů nabízí. Aktuální seznam dodržovaných standardů, norem a certifikací poskytuje společnost na www.microsoft.com/TRUST (dále přes box Compliance). Podkladová dokumentace a všechny auditní zprávy o účinnosti opatření jsou k dispozici po autentizaci účtem cloudové služby (Azure, Office 365, Dynamics 365) a po akceptaci podmínek NDA na adrese www.aka.ms/STP.
Odpovědnost za zpracování
„Podmínky pro služby online" společnosti Microsoft nyní standardně obsahují závazky, které zajišťují soulad s požadavky GDPR na zpracovatele údajů dle článků 28, 32 a 33. Společně s dalšími ustanoveními „podmínek" v oblasti zabezpečení a ochrany soukromí tak správci dostávají silné nástroje pro zajištění souladu s pomocí cloudových služeb.
Na druhé straně je třeba zohlednit skutečnost, že žádný zpracovatel není schopen převzít plnou odpovědnost za soulad správce s nařízením GDPR. Odpovědnost za GDPR mezi správcem a zpracovatelem (poskytovatelem cloudu) bude vždy sdílená a bude se lišit v případě modelů poskytovaných služeb IaaS, PaaS, SaaS. Při zapojení modelu SaaS je odpovědnost poskytovatele cloudu nejvyšší, při IaaS je nejnižší. Čím více kontroly převezme zpracovatel, tím větší břímě bude schopen na sebe převzít.
Všechna nutná opatření pro ochranu osobních údajů podle GDPR musí být nejen deklarována, ale také účinně zavedena a pravidelně testována. Microsoft poskytuje záruky za svůj vlastní soulad s nařízením, ale i široké portfolio produktů a cloudových služeb, které jsou pro naplnění závazků ze strany správce údajů k dispozici. Nestačí však pouze mít k dispozici nástroje, které vám mohou pomoci se splněním GDPR závazků, ale hlavně zajistit jejich používání. Je to podobné jako s bezpečnostním pásem v autě. Pokud ho máte a nepoužíváte, tak je vám k ničemu.
Tabulka: Standardy ISO, jež by měly splňovat komerční cloudové služby
Jak co nejrychleji splnit požadavky GDPR? Podrobný návod najdete ZDE.
Autoři: Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko a Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko