7 kroků, jak přežít GDPR: Jsou bezpečnostní opatření účinná? Napoví audit (7)

Správce osobních údajů není podle GDPR povinen pouze zavést vhodná technická a organizační opatření. Musí být také schopen doložit, že zpracování údajů je skutečně prováděno v souladu s požadavky nařízení, k čemuž slouží takzvané provozní záznamy. Ty jsme probrali v minulém díle. Zároveň musí ovšem správce také prokázat, že jsou zavedená opatření účinná, a to na základě pravidelných testů a posudků.
7 kroků, jak přežít GDPR: Jsou bezpečnostní opatření účinná? Napoví audit (7)
Klepněte pro větší obrázek

Průmyslové standardy a dobrá praxe

Poskytovatelé cloudových služeb, kteří chtějí budovat důvěru svých zákazníků, jdou obvykle cestou deklarovaných průmyslových a mezinárodních standardů, auditních zpráv a podkladové dokumentace. Pro komerční cloudové služby se nejčastěji využívá ISO standardů, které najdete v tabulce.

Dokumentace k zavedení těchto standardů obvykle zahrnuje celkovou bezpečnostní politiku, seznam aplikovaných opatření a popis, jak jich bylo dosaženo. Hlavním bodem je pak zpráva akreditovaného auditora o souladu se specifikací standardu a hodnocení, jak je daný systém řízení bezpečnosti a kontinuity účinný.

Auditní zprávy o účinnosti opatření

Za nejrelevantnější se v poslední době považují auditní zprávy o řídicím a kontrolním mechanismu u firemních dodavatelů, tzv. zprávy SOC (Service Organization Controls). SOC 1 (přesněji také SSAE-16/ISAE 3402) dokládá vhodnost a účinnost bezpečnostních opatření pro naplnění deklarované bezpečnostní politiky. SOC 2 (AT101) zase potvrzuje, že je zajištěná bezpečnost a dostupnost služeb, integrity zpracování, důvěrnosti a ochrany soukromí. V přísnější variantě Type II musí auditoři testovat účinnost opatření každoročně po dobu minimálně 6 měsíců v roce. Tyto zprávy proto mohou poskytnout opravdu důvěryhodný obraz a posouzení stavu zabezpečení u dodavatele ICT služeb.

Co jsou penetrační testy

Účinným nástrojem ověření úrovně zabezpečení zpracování údajů jsou dále penetrační testy. Zákazník cloudových služeb je může provést prostřednictvím svých IT specialistů, nebo pověřit jejich provedením některou z akreditovaných společností v rámci kodexu „etického hackingu". Testují se zpravidla zranitelnosti IT infrastruktury, síťového připojení, zranitelnosti webových aplikací a odolnost vůči neautorizovaným útokům na uživatelské účty. Výsledky penetračních testů se opět dokládají zprávou.

Transparentnost především

Cloudové služby Microsoftu patří k tomu nejlepšímu, co trh v oblasti zabezpečení, ochrany soukromí a transparentnosti vůči správcům osobních údajů nabízí. Aktuální seznam dodržovaných standardů, norem a certifikací poskytuje společnost na www.microsoft.com/TRUST (dále přes box Compliance). Podkladová dokumentace a všechny auditní zprávy o účinnosti opatření jsou k dispozici po autentizaci účtem cloudové služby (Azure, Office 365, Dynamics 365) a po akceptaci podmínek NDA na adrese www.aka.ms/STP.

Odpovědnost za zpracování

„Podmínky pro služby online" společnosti Microsoft nyní standardně obsahují závazky, které zajišťují soulad s požadavky GDPR na zpracovatele údajů dle článků 28, 32 a 33. Společně s dalšími ustanoveními „podmínek" v oblasti zabezpečení a ochrany soukromí tak správci dostávají silné nástroje pro zajištění souladu s pomocí cloudových služeb.

Na druhé straně je třeba zohlednit skutečnost, že žádný zpracovatel není schopen převzít plnou odpovědnost za soulad správce s nařízením GDPR. Odpovědnost za GDPR mezi správcem a zpracovatelem (poskytovatelem cloudu) bude vždy sdílená a bude se lišit v případě modelů poskytovaných služeb IaaS, PaaS, SaaS. Při zapojení modelu SaaS je odpovědnost poskytovatele cloudu nejvyšší, při IaaS je nejnižší. Čím více kontroly převezme zpracovatel, tím větší břímě bude schopen na sebe převzít.

Všechna nutná opatření pro ochranu osobních údajů podle GDPR musí být nejen deklarována, ale také účinně zavedena a pravidelně testována. Microsoft poskytuje záruky za svůj vlastní soulad s nařízením, ale i široké portfolio produktů a cloudových služeb, které jsou pro naplnění závazků ze strany správce údajů k dispozici. Nestačí však pouze mít k dispozici nástroje, které vám mohou pomoci se splněním GDPR závazků, ale hlavně zajistit jejich používání. Je to podobné jako s bezpečnostním pásem v autě. Pokud ho máte a nepoužíváte, tak je vám k ničemu.

Tabulka: Standardy ISO, jež by měly splňovat komerční cloudové služby

Klepněte pro větší obrázek

Jak co nejrychleji splnit požadavky GDPR? Podrobný návod najdete ZDE.

Autoři: Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko a Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko

Další článek: Mac mini je ostudou Applu, k poslednímu updatu došlo přesně před třemi lety


Určitě si přečtěte

SpaceX má problém: kosmická loď Crew Dragon explodovala během testu motorů záchranného systému

SpaceX má problém: kosmická loď Crew Dragon explodovala během testu motorů záchranného systému

** SpaceX provedla na Mysu Canaveral testy motorů SuperDraco. ** Ke konci testů došlo k mohutné explozi. ** Nehoda zpozdí první pilotovaný let lodě Crew Dragon.

Petr Kubala | 55

Dubnové aktualizace Windows se nepovedly. Způsobují zamrzání systému

Dubnové aktualizace Windows se nepovedly. Způsobují zamrzání systému

** V úterý začal Microsoft uvolňovat dubnové kumulativní aktualizace ** Netrvalo dlouho a uživatelé začali hlásit první potíže ** Nejčastěji jde o zpomalení a zamrzání systému

Karel Kilián | 135

Jak poslat Teslu do protisměru? Stačí samolepky, které řidič nevidí

Jak poslat Teslu do protisměru? Stačí samolepky, které řidič nevidí

** Teslu v režimu autopilota je možné zmást a poslat do protisměru ** Odborníkům k tomu stačily tři samolepky na vozovce ** Je důvod se znepokojovat? Ne, pokud řidič dává pozor

Karel Kilián | 98

Giganti mezi nebem a zemí: poznejte 9 největších letadel světa

Giganti mezi nebem a zemí: poznejte 9 největších letadel světa

** Představíme vám devět největších letadel světa ** Patří mezi ně i známé stroje, jako je Boeing 747 či Airbus A380 ** Které letadlo je nejdelší a jaké má největší rozpětí křídel?

Karel Kilián | 7



Aktuální číslo časopisu Computer

Velký test fotolabů

Oklamali jsme rozpoznání obličeje

13 tipů pro rychlejší Wi-Fi

Test NVMe SSD 500 GB