Bezpieczeństwo informacji w Cloud Computingu
2013-05-21 00:10
Przeczytaj także: Polskie firmy nie dbają o dane w chmurze
Dla każdego przedsiębiorcy, a zarazem potencjalnego użytkownika usług typu cloud, dokument powinien stanowić istotną lekturę. Memorandum zawiera rozbudowany katalog zagrożeń. Analizując je z innymi aktami soft law lub opiniami prawników czy specjalistów z zakresu bezpieczeństwa danych można wyróżnić obecnie następujące główne zagrożenia powstające w usługach cloud computingu:
- Klient usługi w chmurze (administrator danych) nie zauważa naruszeń bezpieczeństwa informacji (poufności, integralności, dostępności danych). Działania te mogą prowadzić do popełnienia czynów naruszających przepisy ochrony danych i prywatności.
- Dane mogą być przekazywane do jurysdykcji, które nie zapewniają odpowiedniego poziomu ochrony.
- Jeżeli dostawca cloud computingu będzie korzystał z podwykonawców, czyli tzw. podprzetwarzających to ustalenie odpowiedzialności w łańcuchu usługodawców może być niezwykle trudne.
- Klient cloud computingu straci kontrolę nad danymi i przetwarzaniem danych. Największą obawą jest zagrożenie, że dostawcy usług cloud lub ich podwykonawcy będą wykorzystywać dane administratorów danych do własnych celów bez wiedzy lub zgody administratorów danych.
- Administrator danych lub strona trzecia nie będzie w stanie na odpowiednim poziomie monitorować dostawcy usługi w chmurze.
Odpowiednio sformułowana umowa powinna zawierać odpowiednie klauzule umowne: umożliwiające przenoszenie danych (portability) i kontrolowanie ich, zakazujące nielegalne przekazywanie danych do jurysdykcji, bez wystarczającego poziomu ochrony danych. Dostawca usług opartych o cloud powinien zapewnić, że usunięcie danych osobowych z dysków oraz z innych nośników może być przeprowadzone w skuteczny sposób. Istotne jest także zabezpieczenie, że nikt poza klientem usług w chmurze nie powinien mieć dostępu do jego danych - powinny być one szyfrowane. Umowa ma gwarantować także odpowiednie tworzenie i zapisywanie kopii zapasowych w bezpiecznych lokalizacjach oraz wprowadzać zasadę przejrzystości lokalizacji, w których dane mogą być przechowywane i przetwarzane.
Ponadto klientowi w umowie powinno być zagwarantowane prawo wglądu do:
- dzienników kontroli lokalizacji – to w nich powinny być automatycznie rejestrowane fizyczne lokalizacje , tj. gdzie przechowuje się lub przetwarza dane osobowe, a także w jakim czasie,
- dzienników kontroli każdego przetworzenia danych.
Umowy z zakresu cloud computingu często składają się z ogólnej umowy, regulaminu korzystania z usługi oraz SLA (Service Level Agreement). Ten ostatni element ma znaczenie ze względu na odpowiednie stosowanie kar umownych. Co do zasady SLA nie powinno być zbyt rozbudowane, ale wskazane jest, żeby zawrzeć w nim odpowiednie standardy usługi. Coraz większa ilość dostawców usług umieszczonych w cloud computingu decyduje się na zastosowanie tzw. wiążących reguł korporacyjnych (ang. Binding Corporate Rules, BCR). Pozwalają one na stworzenie indywidualnego „prawa korporacji”, które nakłada na podmioty nimi związane określone obowiązki w zakresie zwiększenia bezpieczeństwa danych. Dostawca cloud, który zobowiąże się do przestrzegania BCR jest bardziej wiarygodny i wpływa na zwiększenie poziomu zaufania do swoich usług. Dla przedsiębiorców, którzy chcieliby przenieść swoje dane do data center, które umiejscowione jest w USA, wymagane będzie sprawdzenie czy usługodawca przeszedł pozytywnie Safe Harbor - program, który pozwala amerykańskim organizacjom na spełnienie wymogów unijnej dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Proces jest skutkiem negocjacji pomiędzy Federalną Komisją Handlu, a Komisją Europejską.
Przeczytaj także:
Jakie inwestycje zwiększą bezpieczeństwo IT?
oprac. : Ilona Skibińska-Mamzer / Ślązak, Zapiór i Wspólnicy
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)