Menu Zavřít

7 kroků, jak přežít GDPR: Jsou opatření účinná? Napoví audit (7)

20. 10. 2017
Autor: Microsoft

Vaše firma není jako správce osobních údajů povinna pouze zavést vhodná technická a organizační opatření. Musí být také schopna doložit, že údaje zpracovává skutečně v souladu s požadavky nařízení GDPR. K tomu slouží takzvané provozní záznamy, které jsme probrali v minulém díle. V posledním díle si řekneme, jak ověřit, zda jsou zavedená opatření účinná. Děje se tak na základě pravidelných testů a posudků.

Poskytovatelé cloudových služeb, kteří chtějí skutečně budovat důvěru zákazníků, jdou obvykle cestou deklarovaných průmyslových a mezinárodních standardů, auditních zpráv a podkladové dokumentace. Pro komerční cloudové služby se nejčastěji využívá ISO standardů, které najdete v přehledu níže.

Seriózní poskytovatelé cloudových služeb ve svojí dokumentaci k zavedení ISO standardů uvádějí i celkovou bezpečnostní politiku, seznam aplikovaných opatření a popis, jak jich bylo dosaženo. Hlavním bodem je pak zpráva akreditovaného auditora o souladu se specifikací standardu a hodnocení, jak je daný systém řízení bezpečnosti a kontinuity účinný.

Auditní zprávy o účinnosti opatření

Za nejrelevantnější se v poslední době u firemních dodavatelů považují auditní zprávy o řídicím a kontrolním mechanismu, tzv. zprávy SOC (Service Organization Controls). SOC 1 (přesněji také SSAE-16/ISAE 3402) dokládá vhodnost a účinnost bezpečnostních opatření pro naplnění deklarované bezpečnostní politiky. SOC 2 (AT101) zase potvrzuje, že je zajištěná bezpečnost a dostupnost služeb, integrity zpracování, důvěrnosti a ochrany soukromí.

V přísnější variantě Type II musí auditoři testovat účinnost opatření každoročně po dobu minimálně 6 měsíců v roce. Tyto zprávy proto mohou poskytnout opravdu důvěryhodný obraz a posouzení stavu zabezpečení u vašeho dodavatele ICT služeb.

Co jsou penetrační testy

Účinným nástrojem ověření úrovně zabezpečení zpracování údajů jsou dále penetrační testy. Zákazník cloudových služeb je může provést prostřednictvím svých IT specialistů, nebo pověřit jejich provedením některou z akreditovaných společností v rámci kodexu „etického hackingu“. Testují se zpravidla zranitelnosti IT infrastruktury, síťového připojení, zranitelnosti webových aplikací a odolnost vůči neautorizovaným útokům na uživatelské účty. Výsledky penetračních testů se opět dokládají zprávou.

Transparentnost především

Cloudové služby Microsoftu patří k tomu nejlepšímu, co trh v oblasti zabezpečení, ochrany soukromí a transparentnosti vůči správcům osobních údajů nabízí. Aktuální seznam dodržovaných standardů, norem a certifikací poskytuje společnost na www.microsoft.com/TRUST (dále přes box Compliance). Podkladová dokumentace a všechny auditní zprávy o účinnosti opatření jsou k dispozici po autentizaci účtem cloudové služby (Azure, Office 365, Dynamics 365) a po akceptaci podmínek NDA na adrese www.aka.ms/STP.

Odpovědnost za zpracování

„Podmínky pro služby online“ společnosti Microsoft nyní standardně obsahují smluvní závazky, které zajišťují soulad s požadavky GDPR na zpracovatele údajů podle článků 28, 32 a 33. Společně s dalšími ustanoveními „podmínek“ v oblasti zabezpečení a ochrany soukromí tak správci, tedy firmy, organizace či úřady, dostávají účinné nástroje pro zajištění souladu s pomocí cloudových služeb.

Standardy ISO, jež by měly splňovat komerční cloudové služby
ISO/IEC 27001 definuje požadavky na zavedení, udržování a neustálé zlepšování systému a procesů řízení bezpečnosti informací s využitím opatření definovaných v ISO/IEC 27002
ISO/IEC 27002 norma obsahuje 114 organizačních a technických opatření pro ochranu aktiv proti narušení důvěrnosti, integrity a dostupnosti
ISO/IEC 27017 sada opatření specifických pro zabezpečení systémů cloud computingu, doplňuje opatření uvedená v ISO/IEC 27002
ISO/IEC 27018 doporučení ohledně ochrany osobních údajů pro poskytovatele cloudových služeb
ISO 22301 definuje požadavky pro plánování, zavedení, provoz, monitorování a trvalé zlepšovaní systému řízení kontinuity činností. Tento rámec se využívá pro připravenost na mimořádné události pro cloudové služby

Na druhé straně je třeba zohlednit skutečnost, že žádný zpracovatel není schopen převzít plnou odpovědnost za soulad správce s nařízením GDPR. Odpovědnost za GDPR mezi správcem a zpracovatelem (poskytovatelem cloudu) bude vždy sdílená a bude se lišit v případě modelů poskytovaných služeb IaaS, PaaS, SaaS. Při zapojení modelu SaaS je odpovědnost poskytovatele cloudu nejvyšší, při IaaS je nejnižší. Platí tedy přímá úměra: čím více kontroly převezme zpracovatel, tím větší břímě na sebe bude schopen převzít.

Všechna nutná opatření pro ochranu osobních údajů podle GDPR musí být nejen deklarována, ale také účinně zavedena a pravidelně testována. Microsoft poskytuje nejen záruky za svůj vlastní soulad s nařízením, ale i široké portfolio produktů a cloudových služeb, které jsou pro naplnění závazků ze strany správce údajů k dispozici.

Nestačí však pouze mít k dispozici nástroje, které vám mohou pomoci se splněním GDPR závazků, ale hlavně ve vaší organizaci zajistit jejich používání. Je to podobné jako s bezpečnostním pásem v autě. Pokud ho máte a nepoužíváte, tak je vám k ničemu.

Jak co nejrychleji splnit požadavky GDPR? Podrobný návod najdete ZDE.

V seriálu Jak přežít GDPR vyšlo:

(1) Zmapujte si terén

(2) Jak uřídit data? Co nepotřebujete, vyhoďte

(3) Jak jsou údaje citlivé? Určete, kdo k nim může

(4) K lepší ochraně dat pomůžou cloud a šifrování

(5) Jak detekovat útok a zvládat bezpečnostní incidenty

(6) Jak vést provozní záznamy? Neplýtvejte časem

Autoři:

Zdeněk Jiříček, ředitel pro technologické standardy, Microsoft Česko a Slovensko

Jiří Černý, ředitel pro právní záležitosti, Microsoft Česko a Slovensko