Ochrona prywatności w usługach Windows Azure

Transkrypt

1 Ochrona prywatności w usługach Windows Azure Luty 2014 r. S T R O N A 01

2 Spis treści WPROWADZENIE... 3 METODY OCHRONY PRYWATNOŚCI W CHMURZE... 3 DANE KLIENTA W SYSTEMIE WINDOWS AZURE... 3 MIEJSCE PRZECHOWYWANIA DANYCH KLIENTA... 4 DOSTĘP DO DANYCH I KORZYSTANIE Z NICH... 5 ZOBOWIĄZANIA UMOWNE... 5 Dyrektywa UE w sprawie ochrony danych... 5 Umowa o ochronie informacji o stanie zdrowia pacjenta (HIPAA BAA)... 6 PODWYKONAWCY... 6 NAKAZY UJAWNIENIA DANYCH... 7 ZINTEGROWANE MECHANIZMY OCHRONY DANYCH... 7 Zarządzanie tożsamością i dostępem... 8 Szyfrowanie i izolowanie danych... 8 Bezpieczeństwo sieci... 9 ZAKOŃCZENIE I DODATKOWE ZASOBY Dodatkowe zasoby S T R O N A 02

3 Wprowadzenie Microsoft wie, że korzystanie z usług w chmurze wymaga zapewnienia użytkownikom odpowiedniej ochrony prywatności. W tym celu stosuje w systemie Windows Azure zaawansowane mechanizmy takiej ochrony, a także podejmuje inne działania pozwalające na zachowanie w poufności danych klienta. Ponadto informuje klientów o miejscach przechowywania ich danych, a także o osobach, które mają do tych danych dostęp. W dalszej części przedstawione zostaną stosowane przez Microsoft metody, zasady, procedury operacyjne i technologie mające na celu ochronę prywatności danych klienta w systemie Windows Azure. Metody ochrony prywatności w chmurze Od dwudziestu lat Microsoft jest liderem w dziedzinie tworzenia zaawansowanych rozwiązań online służących do ochrony prywatności danych klienta. Obecnie obsługuje ponad 200 chmur i usług online, z których korzystają setki milionów klientów na całym świecie, a jego usługi w chmurze dla przedsiębiorstw (na przykład Office 365 i Windows Azure) służą milionom użytkowników końcowych, których pracodawcy zdecydowali się powierzyć Microsoft swoje najważniejsze dane. Na podstawie zdobytych doświadczeń Microsoft opracował bardzo dobre metody, praktyki, zasady, programy zapewnienia zgodności z przepisami oraz inne mechanizmy ochrony prywatności, dzięki którym użytkownicy mają odpowiednią kontrolę nad procesem zbierania, używania i przesyłania danych oraz uzyskują pewność, że ich dane są bezpieczne i odpowiednio chronione w środowisku chmury obliczeniowej Microsoft. Dane klienta w systemie Windows Azure Dane klienta w systemie Windows Azure są własnością klienta. Microsoft definiuje Dane Klienta jako wszelkie dane, w tym dane z plików zawierających obrazy, dźwięki, oprogramowanie lub tekst, przekazywane Microsoft przez lub w imieniu klientów za pośrednictwem Usług. Danymi Klienta są zatem na przykład dane przesyłane przez klienta na potrzeby ich przetwarzania, zapisywania lub używania w aplikacjach systemu Windows Azure. Więcej informacji na temat klasyfikacji danych przez Microsoft w systemie Windows Azure można znaleźć w Centrum zaufania systemu Windows Azure. Klient ma całodobowy dostęp do swoich Danych Klienta zasadniczo bez korzystania z pomocy Microsoft. Jeśli klient chce takie dane usunąć lub zaprzestać korzystania z usługi, Microsoft usunie je z wszystkich systemów pozostających pod jego kontrolą. W przypadku wycofania systemu z eksploatacji personel operacyjny Microsoft przestrzega rygorystycznych procedur dotyczących postępowania z danymi i usuwania sprzętu. S T R O N A 03

4 Miejsce przechowywania Danych Klienta Dla wielu klientów posiadanie informacji o miejscu przechowywania danych oraz możliwość sprawowania kontroli nad takim miejscem to istotne elementy ładu korporacyjnego i działań zmierzających do zapewnienia zgodności z przepisami. Za pomocą systemu Windows Azure klienci mogą określić położenie geograficzne (obszar i region) centrów przetwarzania danych Microsoft, w których ich Dane Klienta będą przechowywane. W poniższej tabeli przedstawiono dostępne obszary i regiony. Obszar Azja i Pacyfik Europa Stany Zjednoczone Region Część wschodnia obszaru Azji i Pacyfiku (Hongkong) Część południowo-wschodnia obszaru Azji i Pacyfiku (Singapur) Europa Północna (Irlandia) Europa Zachodnia (Holandia) Część północno-środkowa Stanów Zjednoczonych (Illinois) Część południowo-środkowa Stanów Zjednoczonych (Teksas) Część wschodnia Stanów Zjednoczonych (Wirginia) Część zachodnia Stanów Zjednoczonych (Kalifornia) Japonia Część wschodnia Japonii (Prefektura Saitama) Część zachodnia Japonii (Prefektura Osaka) Aktualną listę obszarów i regionów geograficznych można znaleźć w Centrum zaufania systemu Windows Azure, natomiast informacje o globalnej sieci centrów przetwarzania danych Microsoft są dostępne w witrynie Regiony Windows Azure. Ze względu na nadmiarowość danych lub z innych względów Microsoft może przesyłać Dane Klienta w ramach obszaru (na przykład z Europy Północnej do Europy Zachodniej). Na przykład system Windows Azure replikuje dane typu Blob i Table między dwoma regionami w ramach tego samego obszaru w celu lepszego zabezpieczenia danych przed utratą w przypadku ewentualnego zniszczenia centrum przetwarzania danych. Microsoft nie prześle Danych Klienta poza obszar wybrany przez klienta (na przykład z Europy do Stanów Zjednoczonych albo ze Stanów Zjednoczonych do Azji), chyba że jest to wymagane, aby Microsoft mógł świadczyć klientowi usługi pomocy technicznej, rozwiązać problem z usługą lub przestrzegać stosownych przepisów prawa, lub klient skonfigurował swoje konto tak, że umożliwił przesyłanie Danych Klienta w ramach określonych funkcji i usług wyszczególnionych w Centrum zaufania systemu Windows Azure. Microsoft nie kontroluje ani nie stosuje żadnych ograniczeń w odniesieniu do obszarów, z których klient lub jego użytkownicy końcowi mogą uzyskiwać dostęp do Danych Klienta. S T R O N A 04

5 Dostęp do danych i korzystanie z nich Dostęp personelu Microsoft do Danych Klienta jest ograniczony. Dostęp do tych danych uzyskuje się tylko wówczas, gdy jest to konieczne, aby świadczyć usługi pomocy technicznej osobom korzystającym z systemu Windows Azure. Może to obejmować przypadki zapobiegania problemom, wykrywania problemów lub ich usuwania, które wpływają na działanie systemu Windows Azure, oraz wprowadzania udoskonaleń systemu obejmujących wykrywanie zagrożeń i ochronę przed zagrożeniami (takimi jak spam lub złośliwe oprogramowanie). Jeśli taki dostęp zostaje udzielony, jest on odpowiednio kontrolowany i rejestrowany. Wymaga się wówczas podania bezpiecznego hasła oraz wielokrotnego uwierzytelniania, co może zrobić wyłącznie upoważniony do tego personel. Prawo dostępu jest cofane, ilekroć nie jest już potrzebne. System Windows Azure nie udostępnia Danych Klienta usługom sponsorowanym przez reklamodawców. Ponadto dane te nie są analizowane pod kątem reklamowym. Mechanizmy i procedury operacyjne, na podstawie których uzyskuje się dostęp do Danych Klienta i korzysta z nich, są ściśle stosowane i regularnie weryfikowane przez uznane firmy audytorskie. Zobowiązania umowne W zawieranych umowach Microsoft w sposób wyraźny zobowiązuje się do ochrony Danych Klienta w ramach określonych mechanizmów. Oznacza to również, że w przypadku określonych obszarów lub branż dane osobowe są dodatkowo zabezpieczane. Dyrektywa UE w sprawie ochrony danych Przepisy prawa europejskiego zasadniczo zabraniają przedsiębiorstwom przekazywania danych osobowych poza terytorium UE, ale istnieją tu określone wyjątki. Jednym z takich wyjątków jest zamówienie usług świadczonych w chmurze u usługodawcy, który przestrzega postanowień umów dotyczących struktury zabezpieczenia informacji (program Safe Harbor) zawartych przez Stany Zjednoczone z Unią Europejską i Szwajcarią. S T R O N A 05

6 Aby spełnić wymogi klientów z Europy w zakresie ochrony danych, Microsoft uzyskał w Departamencie Handlu Stanów Zjednoczonych certyfikat zgodności z zasadami programu Safe Harbor. Certyfikat ten pozwala na zgodne z prawem przekazywanie danych osobowych obywateli UE poza obszar UE i przetwarzanie ich tam przez Microsoft. Liczba przypadków wymagających zastosowania tego rozwiązania jest jednak ograniczona. Ponadto Microsoft oferuje odbiorcom biznesowym dodatkowe mechanizmy ochrony danych w ramach: umowy o przetwarzanie danych (ang. Data Processing Agreement), w której podkreślono przestrzeganie przez Microsoft unijnej dyrektywy w sprawie ochrony danych oraz określono mechanizmy zabezpieczeń podstawowych funkcji systemu Windows Azure w kontekście norm ISO/IEC 27001:2005; oraz modelowych unijnych postanowień umownych, które przewidują dodatkowe gwarancje umowne dotyczące przekazywania danych osobowych w ramach podstawowych funkcji systemu Windows Azure w kontekście norm ISO/IEC 27001:2005. Umowa o ochronie informacji o stanie zdrowia pacjenta (HIPAA BAA) Windows Azure spełnia wymogi określone w obowiązujących w Stanach Zjednoczonych ustawach Health Insurance Portability and Accountability Act (HIPAA) i Health Information Technology for Economic and Clinical Health Act (HITECH). Ustawy te dotyczą podmiotów zajmujących się ochroną zdrowia, które mają dostęp do informacji o stanie zdrowia pacjenta (tzw. Chronionych Informacji o Stanie Zdrowia Pacjenta). W wielu przypadkach podmiot podlegający ustawie HIPAA lub HITECH może korzystać z usług w chmurze takich jak Windows Azure tylko wówczas, gdy usługodawca podpisze pisemną umowę, w której zobowiąże się do przestrzegania określonych przepisów dotyczących bezpieczeństwa i prywatności danych określonych w tych ustawach. Aby ułatwić klientom spełnienie tych wymagań, Microsoft może podpisać z takim klientem stosowną umowę o ochronie informacji o stanie zdrowia pacjenta (Business Associate Agreement, BAA) jako załącznika do właściwej umowy. Przed podpisaniem wspomnianej umowy należy zapoznać się z Podręcznikiem implementacji postanowień HIPAA w systemie Windows Azure, aby poznać specyfikę całego rozwiązania. W podręczniku tym zawarto porady dotyczące wdrażania aplikacji zgodnych z ustawą HIPAA oraz przedstawiono postępowanie Microsoft w przypadku naruszenia zabezpieczeń systemu. Podwykonawcy Microsoft może zlecić innym podmiotom świadczenie określonych usług w swoim imieniu, w tym usług pomocy technicznej. Microsoft ujawni Dane Klienta takim podwykonawcom tylko w zakresie, w jakim jest to konieczne, aby takie zlecone usługi zostały wykonane. Podwykonawcy muszą zachować Dane Klienta w poufności i nie mogą ich użyć w żadnym innym celu. S T R O N A 06

7 Microsoft wymaga od podwykonawców przystąpienia do programu SSPA (Supplier Security & Privacy Assurance), aby umownie zagwarantować spełnienie przez nich określonych przez Microsoft standardów ochrony prywatności oraz ich regularne szkolenia. Ponadto Microsoft pisemnie zobowiązuje podwykonawców korzystających z placówek lub sprzętu kontrolowanego przez Microsoft do przestrzegania określonych przez Microsoft standardów ochrony prywatności. Pozostali podwykonawcy są umownie zobowiązani do przestrzegania standardów ochrony danych równorzędnych do standardów przyjętych przez Microsoft. Lista podmiotów upoważnionych do przetwarzania Danych Klienta w systemie Windows Azure jest dostępna do pobrania w tym miejscu. Nakazy ujawnienia danych Microsoft uważa, że bez względu na miejsce przechowywania danych klienta (na komputerze klienta lub w chmurze) kontrola tych danych powinna leżeć w gestii klienta. Microsoft nie ujawni zatem Danych Klienta osobom trzecim, w tym przedstawicielom organów ochrony porządku publicznego, jednostek administracji rządowej lub stron w procesie cywilnym, chyba że klient wyraźnie na to zezwoli lub będzie to wymagane na mocy przepisów prawa. Jeśli osoba trzecia zażąda od Microsoft Danych Klienta, Microsoft skieruje ją z takim żądaniem bezpośrednio do klienta. Z tego względu Microsoft może przekazać takiej osobie trzeciej podstawowe informacje kontaktowe klienta. Zanim Microsoft rozważy ujawnienie Danych Klienta organowi ochrony porządku publicznego, musi uzyskać stosowny nakaz sądowy. Jeśli Microsoft zostanie zmuszony do ujawnienia Danych Klienta osobie trzeciej, bezzwłocznie powiadomi klienta o tym fakcie oraz przekaże mu odpis takiego nakazu, chyba że przepisy prawa zabraniają mu takiego przekazania. Microsoft publikuje specjalny raport dotyczący wydanych przez organy ochrony porządku publicznego nakazów ujawnienia danych, w którym można znaleźć dane o zakresie i liczbie takich nakazów. Więcej informacji na temat odpowiedzi Microsoft na żądania ujawnienia Danych Klienta można znaleźć we wpisie na blogu autorstwa głównego radcy prawnego Microsoft. Zintegrowane mechanizmy ochrony danych Platforma Microsoft Windows Azure zapewnia odpowiednią ochronę danych klienta, w tym: kontrolę dostępu do danych i aplikacji klienta; bezpieczeństwo danych podczas ich przesyłu i przechowywania; bezpieczne połączenia z systemem Windows Azure. S T R O N A 07

8 Zarządzanie tożsamością i dostępem Użytkownicy systemu Windows Azure i innych oferowanych przez Microsoft usług w chmurze mają do dyspozycji zaawansowane funkcje zarządzania tożsamością oraz dostępem do danych i aplikacji. W systemie Windows Azure dostępne są m.in. następujące funkcje: Katalog przedsiębiorstwa w chmurze. Funkcja ta pozwala na synchronizację lokalnych tożsamości w ramach usług Active Directory systemu Windows Azure oraz umożliwia korzystanie z jednokrotnego logowania, aby ułatwić użytkownikom dostęp do aplikacji w chmurze. Monitorowanie dostępu. Na podstawie stosownych raportów można ustalić niespójne wzorce dostępu, aby łatwiej przeciwdziałać potencjalnym zagrożeniom. Bezpieczne uwierzytelnianie. Za pomocą funkcji Multi-Factor Authentication systemu Windows Azure można łatwiej zapobiegać nieuprawnionemu dostępowi do danych i aplikacji przez dodanie do hasła mechanizmu uwierzytelnienia. Kontrola dostępu oparta na rolach. W razie potrzeby można wdrożyć odpowiednie schematy dostępu do zasobów oparte na roli użytkownika i przypisanych do tej roli autoryzacjach i zezwoleniach. Szyfrowanie i izolowanie danych Windows Azure chroni Dane Klienta przez ich odpowiednie szyfrowanie, izolowanie i niszczenie. Przesyłanie danych. Windows Azure przesyła dane między urządzeniami użytkowników a centrami przetwarzania danych Microsoft (oraz w ramach tych centrów) za pomocą standardowych protokołów przesyłu danych, takich jak SSL i TLS. Do utworzenia połączenia VPN z siecią wirtualną VNET (Windows Azure Virtual Network) może również posłużyć zbiór protokołów IPsec. Ponadto klienci mogą włączyć szyfrowanie danych przesyłanych między ich maszynami wirtualnymi a użytkownikami końcowymi. Przechowywanie danych. Odpowiednie zaszyfrowanie danych przechowywanych w systemie Windows Azure leży w gestii ich właścicieli. System Windows Azure oferuje szeroki wybór funkcji szyfrowania, dzięki któremu klienci mogą wybrać rozwiązanie w największym stopniu zaspokajające ich potrzeby. Wśród funkcji tych można wymienić usługi kryptograficzne.net, składniki infrastruktury kluczy publicznych systemu Windows Server, usługi zintegrowanej z chmurą pamięci masowej Microsoft StorSimple, usługi AD RMS (Active Directory Rights Management Services) oraz usługi BitLocker na potrzeby importu lub eksportu danych. S T R O N A 08

9 Izolowanie danych. Windows Azure to usługa, w ramach której jeden fizyczny sprzęt obsługuje maszyny wirtualne i aplikacje wielu różnych klientów (ang. multi-tenant service). W pamięci Windows Azure dane poszczególnych klientów są logicznie od siebie izolowane. W efekcie usługi takie są skalowalne i opłacalne, a klient nie ma dostępu do danych innego klienta. Niszczenie danych. Ilekroć klienci usuwają dane lub zaprzestają korzystania z systemu Windows Azure, Microsoft standardowo zastępuje je innymi danymi przed ponownym udostępnieniem pamięci masowej lub fizycznie usuwa wycofany z eksploatacji sprzęt. Bezpieczeństwo sieci Funkcje sieciowe systemu Windows Azure pozwalają na bezpieczne łączenie ze sobą maszyn wirtualnych oraz lokalnych centrów przetwarzania danych. Funkcje te umożliwiają również blokowanie nieuprawnionego ruchu sieciowego między centrami przetwarzania danych Microsoft. Do tego celu służą różne rozwiązania, w tym zapory, translatory adresów sieciowych, partycjonowane sieci LAN oraz fizyczne oddzielenie serwerów zaplecza od sprzętu, z którego korzystają użytkownicy. Izolowanie Danych Klienta od sieci. Podstawą funkcjonowania każdej architektury chmury jest wydzielenie odizolowanych obszarów dla każdego jej użytkownika. W systemie Windows Azure subskrypcja klienta może uwzględniać wiele wdrożeń, a każde z nich może obejmować wiele maszyn wirtualnych. Wszystkie takie wdrożenia i maszyny wirtualne będą jednak od siebie oddzielone, a poszczególne maszyny wirtualne nie będą przyjmować przesyłanych im danych z punktów innych niż określone przez klienta. Szyfrowanie przesyłanych danych. Wbudowane mechanizmy kryptograficzne pozwalają na szyfrowanie danych przesyłanych między wdrożeniami, centrami przetwarzania danych Windows Azure w poszczególnych regionach oraz między systemem Windows Azure a lokalnymi centrami przetwarzania danych. Wszystkie stosowane protokoły szyfrowania zapewniają nie tylko bardzo wysoki domyślny poziom bezpieczeństwa sieciowego, lecz także elastyczne możliwości konfigurowania systemu Windows Azure w zależności od potrzeb. Dostęp administratora do maszyn wirtualnych za pośrednictwem pulpitu zdalnego, usługi zdalnej Windows PowerShell i portalu zarządzania systemem Windows Azure jest zawsze szyfrowany. Światłowód. Aby przenieść przesyłanie danych poza Internet, klienci mogą skorzystać z prywatnego połączenia światłowodowego Express Route z centrami przetwarzania danych Windows Azure. S T R O N A 09

10 Zakończenie i dodatkowe zasoby Microsoft od dawna chroni prywatność klientów. Podejście to jest integralnym elementem systemu Windows Azure uwzględnianym także podczas jego wdrażania i zarządzania nim. Ponadto Microsoft dokłada wszelkich starań, aby zapewnić przejrzystość swoich zasad ochrony prywatności, oferować w tej kwestii odpowiedni wybór oraz odpowiedzialnie zarządzać powierzonymi mu do przechowania danymi. Szczegółowe informacje o zasadach ochrony prywatności, zabezpieczeniach i przestrzeganiu przepisów dotyczących systemu Windows Azure można znaleźć w Centrum zaufania. Ponadto Microsoft udostępnia raporty z audytów oraz stosowne informacje o obowiązujących przepisach, które ułatwiają klientom zrozumienie zasad, procedur operacyjnych i mechanizmów służących ochronie poufności danych. Więcej informacji na temat działań podejmowanych przez Microsoft w celu ochrony Danych Klienta w ramach wszystkich usług w chmurze można znaleźć w witrynie Ochrona prywatności w chmurze Microsoft oraz w dokumencie zatytułowanym Ochrona prywatności w chmurze. Dodatkowe zasoby Oświadczenie o ochronie prywatności w systemie Windows Azure Witryna Microsoft Trustworthy Computing Raport dotyczący wydanych przez organy ochrony porządku publicznego nakazów ujawnienia danych Klasyfikacja danych na potrzeby chmury Opinie dyrektorów ds. bezpieczeństwa informacji na temat klasyfikacji danych S T R O N A 010