Przyszłość w usługach z chmury Innowacje, zaufanie i kontrola

Transkrypt

1

2 Przyszłość w usługach z chmury Innowacje, zaufanie i kontrola Ciągle nowe funkcje i usługi Zgodność z prawem i zaufanie Zmiany wynikające z komunikacji od klientów Ciągła kontynuacja modyfikacji, usprawnień, poprawek i wprowadzania zasad bezpieczeństwa Bezpieczeństwo GŁÓWNĄ wytyczną zmian Podążanie za zmianami w standardach i prawie Opinie klientów Aktualna informacja Raportowanie problemów

3 Gdzie zaczyna się chmura?

4 Dynamika zmian w usługach The New Office Office Mobile for iphone & Android phones Exchange Online Address Book Policies OWA for iphone & OWA for ipad Admin App for ios, Android, and WP Power Map for Excel OneDrive for Business Storage increase Office 365 Switch Plans Office 365 operated by 21Vianet Azure AD Password Sync New Partner Admin Center Service Pack 1 for Office 365 ProPlus Office 365 Adapter Office for ipad update Office Mix Project Lite released 1 TB for OneDrive for Business Message Center New SharePoint Workflows Exchange group naming policy OneDrive for Business apps for Windows 8 & ios People View in OWA 90 Day message trace S/MIME Encryption Office 365 Developer APIs OneNote for iphone and Android phones OneNote for ipad Lync meeting scheduling from OWA Connecting Skype & Lync Lync mobile client updates Rights Management Services Embedded Images SharePoint Newsfeed App for Windows 8 Multi-factor authentication Office 365 SSO with SAML 2.0 Identity Providers Updated Lync mobile clients OWA Policy Tips Simplified Yammer login EXO: 50 GB Mailboxes Lync Online Integrated Reporting Exchange Online Inactive Mailboxes OneDrive for Business Sync for Windows Office Lens Office Online real-time coauthoring PDF support for SharePoint Online DirSync Scoping and Filtering Power Map GA for all Excel 2013 users Lync and SharePoint Service Reporting OneNote for Mac, Android, iphone, and ipad updates OWA Calendar Search Lync Online Remote PowerShell OneDrive for Business Improvements Windows Azure Active Authentication SAP and Power BI and Power Query support Simplified Admin Center experience

5 Jak chronione są dane w chmurze? Jak wygląda zgodność z prawem usług przetwarzania i składowania danych?

6 Kilka ważnych pytań

7 Podstawy zaufania do usług Microsoft Wbudowane zasady bezpieczeństwa Dane są własnością KLIENTA Klient nimi zarządza Microsoft udostępnia narzędzia przetwarzania Microsoft gwarantuje sposób ochrony i dostępność Ochrona danych jako podstawa usług Transparentność wszystkich operacji Stała zgodność ze zmieniającym się prawem i standardami

8 Lokalizacja danych i kontrola klientów nad nimi Dlaczego powinno to interesować klientów? Zapewnienie przejrzystości co do miejsca posadowienia danych klientów jest ważne między innymi ze względu na konieczność wypełniania przepisów o ochronie danych osobowych Wbrew rozpowszechnionemu błędnemu przekonaniu, zapewnienie konkretnego posadowienia danych klientów nie jest wystarczające by zapewnić im kontrolę nad ich danymi i zgodność z przepisami o ochronie danych osobowych Kontrolę ze strony klientów oraz zgodność z przepisami o ochronie danych można zapewnić jedynie poprzez jednoznaczne zobowiązania umowne Do czego zobowiązuje się Microsoft? Microsoft udostępnia publicznie w swoich Centrach Zaufania poszczególnych produktów aktualne rozlokowanie danych dla poszczególnych regionów, szczegółowo opisując, gdzie znajdują się dane i w jakich konkretnych okolicznościach mogą zostać przeniesione do innej lokalizacji (zapewnienie redundancji, prace konserwacyjne, itp.) Microsoft oferuje środki umożliwiające klientom utrzymanie skutecznej kontrolii nad ich danymi (rozszerzone prawa administratorów, odwracalność, itp.)

9 Quincy Chicago Dublin Amsterdam Hong Kong San Antonio Singapur Brazylia

10 Wykorzystywanie danych klientów przez dostawcę chmury obliczeniowej Dlaczego powinno to interesować klientów? Niektórzy dostawcy usług w chmurze skanują i wykorzystują dane klientów do swoich własnych celów komercyjnych (np. reklamowych) Klienci powinni mieć pełną świadomość tego, oraz kontrolę nad tym, jak ich dane będą wykorzystywane przez dostawcę chmury obliczeniowej Do czego zobowiązuje się Microsoft? Microsoft w swoich Umowach o Przetwarzaniu Danych zobowiązuje się do wykorzystywania danych klientów WYŁĄCZNIE w celu świadczenia usług tym klientom. Microsoft nie rejestruje, nie zachowuje, nie skanuje, nie udostępnia ani nie wykorzystuje danych klientów w celach reklamowych.

11 Jasna sytuacja podwykonawcy Dlaczego powinno to interesować klientów? Klientów powinno interesować, w jaki sposób ich dostawcy usług chmurowych korzystają z usług podwykonawców i jakie zobowiązania umowne są w tym zakresie oferowane Brak jawności w kwestii podwykonawców nie tylko podważa zobowiązania podejmowane przez dostawców chmury, ale prowadzi także do problemów z przestrzeganiem prawa ochrony danych UE Microsoft udostępnia swoim klientom (w Centrum Zaufania) aktualny wykaz swoich podwykonawców i wykonywanych przez każdego z nich funkcji. Do czego zobowiązuje się Microsoft? Microsoft będzie powiadamiał klientów z co najmniej 14 dniowym wyprzedzeniem o dodawaniu nowych podwykonawców, a jeżeli klient nie akceptuje nowego podwykonawcy, ma prawo zakończyć używanie odnośnej Usługi Online. Microsoft zobowiązuje swoich podwykonawców do zapewniania ochrony prywatności i poufności danych na poziomie zabezpieczeń co najmniej takim, do jakiego zobowiązuje się Microsoft w odniesieniu do danych klientów Microsoft ponosi odpowiedzialność za swoich podwykonawców

12 Niezależna weryfikacja Nawet najmocniejsze zobowiązania umowne nie są nic warte, jeżeli nie można ich poddać niezależnej weryfikacji Dlaczego powinno to interesować klientów? Wzorcowe klauzule umowne UE dają klientowi prawo audytowania podmiotu przetwarzającego jego dane poza EOG Audytowanie usług online współużytkowanych przez wiele podmiotów (Mutli-Tenant Online Services) nie jest zadaniem łatwym i wielu klientów nie dysponuje czasem, personelem ani wiedzą techniczną niezbędną do ich przeprowadzania Do czego zobowiązuje się Microsoft? Microsoft zobowiązuje się w umowie do audytowania swoich usług online pod kątem zgodności z normą ISO przez niezależny podmiot zewnętrzny (obecnie BSI) co najmniej raz w roku Na pisemne żądanie klienta, Microsoft udostępni mu poufne streszczenie Sprawozdania z Kontroli Microsoft

13 Zachowanie poufności Dlaczego powinno to interesować klientów? Podmioty zewnętrzne (w tym władze państwowe i organa porządku publicznego) mogą od dostawcy chmury żądać udostępnienia danych klientów Podmioty zewnętrzne (w tym władze państwowe) mogą usiłować na siłę przejmować dane klientów przy użyciu środków technicznych bez informowania o tym dostawców usług chmurowych Do czego zobowiązuje się Microsoft? Microsoft nie zapewnia żadnym władzom państwowym bezpośredniego i swobodnego dostępu do danych swoich klientów ani nie udostępnia żadnym władzom państwowym kluczy szyfrowych bądź możliwości łamania szyfrów chroniących dane klientów Microsoft będzie informował klientów o formalnych żądaniach dostępu do danych klientów o ile nie zostanie mu to zabronione. Microsoft będzie takie żądania przekierowywał do klientów i będzie nalegał, aby władze państwowe chcące uzyskiwać dostęp do danych przechowywanych zagranicą polegały na Traktatach o Wzajemnej Pomocy Prawnej.

14 Centrum Zaufania

15 Article 29 Working Party zespół Inspektorów Ochrony Danych Osobowych krajów UE Ocena klauzul umownych przedstawionych przez Microsoft - EU Model Clauses. (Office 365, Azure, CRM Online, and Intune) Microsoft jest jedynym podmiotem, który otrzymał pozytywną opinię Od 1 czerwca klauzule umowne stanowią część umowy

16 Nie umożliwiamy jednostkom rządowym bezpośredniego dostępu do danych Nie wspomagamy rządów w przełamywaniu szyfrowania danych i transmisji. Nie generujemy luk programowych (back doors) i umożliwiamy rządom weryfikację naszego kodu.

17 Standardy w chmurze dziś i jutro ISO 27018

18 Podstawowe zapisy ISO 27018

19 Zgodność z prawem i standardami - jak to kontrolować? Wbudowane zasady globalnej zgodności Narzędzia badania zgodności Umożliwienie klientom pozostania w zgodności w tym z ISO 27001, EUMC, HIPAA, FISMA Kontraktowe zobowiązania do ochrony prywatności, bezpieczeństwa i sposobu postępowania z danymi klienta Narzędzia kontroli takie jak Data Loss Prevention, Archiving, E-Discovery wspomagające audyt i badanie zgodności z zewnętrznymi i wewnętrznymi politykami

20 Usługi z chmury Narzędzia Standardy Poziom usług Fizyczne bezpieczeństwo Dobre praktyki Bezpieczna warstwa sieciowa Szyfrowanie Narzędzia dla klienta DLP OME SMIME RBAC RMS Usługi Microsoft mają już ponad 900 kontrolek Kontrola dostępu Retencja danych Zarządzanie kontem Monitorowanie incydentów Szyfrowanie danych Szyfrowanie przesyłu danych Oraz wiele innych

21 Bazujące na publikacji NIST Bazujące na wewnętrznych regulacjach i politykach Gotowe i modyfikowalne

22 Mapowanie w kontrolkach monitorujących standardów NIST i ISO27001, SOC 1, SOC 2 i klauzul umownych EU

23 Jakich informacji dostarczają kontrolki?

24

25 Standardy i certyfikacje Certyfikacje Wertykał Region SSAE/SOC ISO27001 EUMC FERPA FISMA/FedRAMP HIPAA HITECH ITAR HMG IL2 CJIS IRS 1075 Article 29 SOC 2 Finance Global Europe Education Government Healthcare Healthcare Defense Government Law Enforcement Government Europe Global Global Global Europe U.S. U.S. U.S. U.S. U.S. UK U.S. US Europe Global

26 Przykładowe harmonogramy audytów Control Effectiveness Audyt systemów Assessment monitoringu (Audit) Schedule Nov 2014 Dec 2015 Jan 2015 Feb 2015 Mar 2015 Apr 2015 May 2015 Jun 2015 Jul 2015 Aug 2015 Sep 2015 Oct 2015 Nov 2015 ISO FedRAMP MT ISAE3402/SOC ITAR ISO

27 Audytorzy Audyty ISO BSI. Audyty ISAE3402/SOC - Deloitte LLP. Inne audyty między innymi SecureInfo i Veris Group.

28 Raport audytu ISO przykład

29 Raporty audytorów Klienci mogą żądać kopii raportów audytowych Prawo do analizy audytów Compliance Program

30 Zarządzanie ryzykiem Monitoring, zasady zgodności i audyty służą ograniczaniu ryzyka. Ryzyko jest wpisane w działanie należy je tylko MINIMALIZOWAĆ. Jak zarządzać ryzykiem? Ograniczać, przenosić, akceptować i unikać. W usługach z chmury Microsoft zarządza dużą częścią ryzyk.

31 Zasady ochrony danych - przykład Microsoft Online Services Customer Data 1 Usage Data Account and Address Book Data Customer Data (excluding Core Customer data) Operating and Troubleshooting the Service Yes Yes Yes Yes Security, Spam and Malware Prevention Yes Yes Yes Yes Improving the Purchased Service, Analytics Yes Yes Yes No Personalization, User Profile, Promotions No Yes No No Communications (Tips, Advice, Surveys, Promotions) No No/Yes No No Voluntary Disclosure to Law Enforcement No No No No Advertising 5 No No No No Core Customer Data Operations Response Team (limited to key personnel only) Support Organization Engineering Partners Others in Microsoft Usage Data Address Book Data Customer Data (excluding Core Customer Data * ) Core Customer Data Yes. Yes, as needed. Yes, as needed. Yes, by exception. Yes, only as required in response to Support Inquiry. Yes. With customer permission. See Partner for more information. No. Yes, only as required in response to Support Inquiry. No Direct Access. May Be Transferred During Trouble-shooting. With customer permission. See Partner for more information. No (Yes for Office 365 for small business Customers for marketing purposes). Yes, only as required in response to Support Inquiry. No Direct Access. May Be Transferred During Trouble-shooting. With customer permission. See Partner for more information. No. No. No. With customer permission. See Partner for more information. No.

32 Podstawy zaufania do usług Microsoft Wbudowane zasady bezpieczeństwa Dane są własnością KLIENTA Klient nimi zarządza Microsoft udostępnia narzędzia przetwarzania Microsoft gwarantuje sposób ochrony i dostępność Ochrona danych jako podstawa usług Transparentność wszystkich operacji Stała zgodność ze zmieniającym się prawem i standardami

33