Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

Podobne dokumenty
Zarządzanie relacjami z dostawcami

CSA STAR czy można ufać dostawcy

Technologia Informacyjna i Prawo w służbie ochrony danych - #RODO2018

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Ochrona danych osobowych w biurach rachunkowych

SZCZEGÓŁOWY HARMONOGRAM KURSU

2. Proces tworzenie wewnętrznego systemu ochrony danych osobowych przedsiębiorcy. 3. Postanowienia dyrektywy 95/46/WE, które pozostaną aktualne

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Dane osobowe w hotelarstwie Czy RODO to rewolucja? Gdańsk 21 listopada

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Monitorowanie systemów IT

Spis treści. Wykaz skrótów... Wprowadzenie...

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Zarządzanie ryzykiem w chmurze

rodo. naruszenia bezpieczeństwa danych

Ochrona danych osobowych w biurach rachunkowych

#RODO2018. Śniadanie biznesowe w Gdyni. RODO praktyczne wyzwania prawno-technologiczne. Przemysław Rogiński Jakub Zuber

Nowe przepisy i zasady ochrony danych osobowych

Maciej Byczkowski ENSI 2017 ENSI 2017

Przykład klauzul umownych dotyczących powierzenia przetwarzania

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

PRELEGENT Przemek Frańczak Członek SIODO

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

Zarządzanie cyklem życia bezpieczeństwa danych

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

I. Postanowienia ogólne

Umowy powierzenia w sektorze usług zdrowotnych. Katarzyna Korulczyk Adwokat, Inspektor ochrony Danych, LUX MED Pracodawcy RP

Wprowadzenie do RODO. Dr Jarosław Greser

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Unijne rozporządzenie o ochronie danych osobowych (RODO) konsekwencje dla centrów danych. Kraków, dnia 22 lutego 2017 r.

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Prowadzący: Marcin Jastrzębski. Łódź, październik 2018r. Projekt współfinansowany przez Unię Europejską z Europejskiego Funduszu Społecznego

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Zaangażowani globalnie

Ochrona danych osobowych, co zmienia RODO?

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

w Grupie 3S REGULAMIN PRZETWARZANIA DANYCH OSOBOWYCH

Nadzór nad przetwarzaniem kadrowych danych osobowych zgodnie z RODO

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Magdalena Jacolik Mgr Prawa Europejskiego Aliant Krzyżowska Międzynarodowa Kancelaria Prawna

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Spis treści. Wykaz skrótów... Wprowadzenie...

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

RODO. 1. Obowiązki administratora danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Umowa powierzenia przetwarzania danych osobowych stanowiąca uzupełnienie Umowy.. (nr, data zawarcia)

System bezpłatnego wsparcia dla NGO

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Status prawny i obowiązki adwokata związane z przetwarzaniem danych osobowych w świetle ogólnego rozporządzenia o ochronie danych (RODO)

B U R E A U V E R I T A S P O L S K A S P. Z O. O. RODO PO ROKU P D P / I S M & B C M T E A M L E A D E R

ECDL RODO Sylabus - wersja 1.0

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Rozporządzenie o Ochronie Danych Osobowych -jak przygotować firmę do wymogów nowych przepisów. Przemysław Perka, Anna Dopart

Umowa powierzenia danych

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

POLITYKA BEZPIECZEŃSTWA

Prawne aspekty Big data w sektorze bankowym 22 maja 2017

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ( wzór )

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ZAŁĄCZNIK SPROSTOWANIE

poleca e-book Instrukcja RODO

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

rodo. ochrona danych osobowych.

POLITYKA OCHRONY DANYCH OSOBOWYCH w Fundacji TDJ na Rzecz Edukacji i Rozwoju

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

CHMURA OBLICZENIOWA (CLOUD COMPUTING)

#RODO2018. podstawowe szkolenie z zakresu ochrony danych osobowych

Ochrona danych osobowych

Dla celów niniejszej Umowy powierzenia, CENOBITZ.COM działa jako Podmiot przetwarzający a Klient jako Administrator.

Radom, 13 kwietnia 2018r.

Wykaz skrótów... XV Wykaz literatury... XXI Wprowadzenie... XXVII

Transkrypt:

GDPR/RODO w chmurze

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK). Certyfikowany audytor systemów informatycznych oraz ekspert w zarządzaniu ryzykiem i bezpieczeństwem informacji - CISA, CIA, CRISC.

Agenda 1. Podsumowanie zagadnień poruszanych w poprzednich artykułach 2. Wprowadzenie do RODO 3. GDPR różnice i wpływ na usługi chmurowe 4. Podsumowanie 5. Sesja pytań od uczestników

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Rozporządzenie Parlamentu Europejskiego i Rady (UE ) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych Projekt ustawy o ochronie danych osobowych z dnia 12 września 2017 r.

GDPR Regulacja nie dyrektywa Wszelkie podmioty przetwarzające, przechowujące oraz przesyłające informacje o obywatelach UE uznane za spełniające kryteria danych osobowych 25 maja 2018r. dostosowanie się do wymagań do 10.000.000 EUR, przedsiębiorcy do 2 % rocznego światowego obrotu do 20.000.000 EUR, przedsiębiorcy do 4 % rocznego światowego obrotu http://ec.europa.eu

Różnice 1. Rozszerzenie definicji zbioru danych osobowych 2. Risk based approach podejście oparte na ryzyku 3. Dodefiniowanie odpowiedzialności Administratora i Przetwarzającego 4. Prawa podmiotów Rozszerzony obowiązek informowania Prawo do zapomnienia (usuwanie i retencja) Prawo do przenoszenia danych 6. Wykrywanie i zgłaszanie incydentów ochrony danych osobowych 7. Privacy by design 8. Privacy by default 9. Profilowanie i marketing 10.Kodeksy postępowania i certyfikacja

Rozszerzenie definicji DO wszystkie informacje które mogą posłużyć do bezpośredniego lub pośredniego zidentyfikowania danej osoby. identyfikator sieciowy adres IP zmienne przechowywane w formie ciasteczek (ang. cookies ), informacje powiązane z wizerunkiem (tj. zdjęcia) numery telefonów metadane profilujące zachowania i preferencje użytkowników dane lokalizacyjne pozwalające określić miejsce przebywania danej osoby lub śledzić jej przemieszczanie.

Podejście oparte na ryzyku Nie jest jasno zdefiniowany sposób analizy ryzyka (ISO 27005, ISACA, CSA) Wysokie ryzyko naruszenia praw lub wolności osób fizycznych > Ocena skutków dla ochrony danych (DPIA) Ewaluacja, profilowanie, zautomatyzowane podejmowanie decyzji Przetwarzanie na dużą skalę szczególnych kategorii danych osobowych Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie Do celów DPIA uwzględnia się przestrzeganie przez takiego administratora lub taki podmiot przetwarzający zatwierdzonych kodeksów postępowania

Administrator i Przetwarzający Administrator: oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych wdraża odpowiednie i skuteczne środki techniczne i organizacyjne: 1) mają one zapewniać najwyższy znany i możliwy w chwili przetwarzania danych, poziom ochrony; 2) nie może być to czynność jednorazowa, środki te są w razie potrzeby poddawane przeglądom i uaktualniane; 3) dokonuje on tego, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia; 4) jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych

Administrator i Przetwarzający Przetwarzający: wyznacza Inspektora Ochrony Danych Osobowych (IOD) przetwarza w imieniu administratora na podstawie umowy nie korzysta z usług innego procesora bez zgody administratora zapewnia wdrożenie odpowiednich środków technicznych i organizacyjnych oraz zachowanie tajemnicy podejmuje wszelkie środki wymagane na mocy art. 32 pomaga administratorowi wywiązać się z obowiązków określonych w art. 32 36 odpowiada za działania podprocesora umożliwia audyty i inspekcje, współpracuje z organem nadzorczym

Administrator i Przetwarzający Art.82 1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. 2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. 3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

Odpowiedzialność On- Premise IaaS PaaS SaaS Aplikacja Aplikacja Aplikacja Aplikacja Oprogramowanie pośredniczące Oprogramowanie pośredniczące Oprogramowanie pośredniczące Oprogramowanie pośredniczące Systemy operacyjne Systemy operacyjne Systemy operacyjne Systemy operacyjne Hypervisor Hypervisor Hypervisor Hypervisor Przetwarzanie i składowanie Przetwarzanie i składowanie Przetwarzanie i składowanie Przetwarzanie i składowanie Sieć Sieć Sieć Sieć Infrastruktura Infrastruktura Infrastruktura Infrastruktura

Odpowiedzialność On- Premise IaaS PaaS SaaS Aplikacja Aplikacja Aplikacja Aplikacja Oprogramowanie pośredniczące Oprogramowanie pośredniczące Oprogramowanie pośredniczące Oprogramowanie pośredniczące Systemy operacyjne Systemy operacyjne Systemy operacyjne Systemy operacyjne Hypervisor Hypervisor Hypervisor Hypervisor Przetwarzanie i składowanie Przetwarzanie i składowanie Przetwarzanie i składowanie Przetwarzanie i składowanie Sieć Sieć Sieć Sieć Dzierżawca Infrastruktura Infrastruktura Infrastruktura Infrastruktura Dostawca

Odpowiedzialność

Odpowiedzialność

Bezpieczeństwo Odpowiedzialność Prywatna (On-Premise) Prywatna (Off-Premise) Public IaaS PaaS SaaS Personel Odbiorca Odbiorca Wspólna Wspólna Wspólna Dostawca Bezpieczeństwo aplikacji Odbiorca Odbiorca Odbiorca Odbiorca Odbiorca Dostawca Zarządzanie dostępem i tożsamością Odbiorca Odbiorca Odbiorca Odbiorca Odbiorca Dostawca Zarządzanie logami Odbiorca Odbiorca Odbiorca Odbiorca Odbiorca Dostawca Szyfrowanie danych Odbiorca Odbiorca Odbiorca Odbiorca Odbiorca Dostawca Host intrusion Detection Odbiorca Odbiorca Odbiorca Odbiorca Dostawca Dostawca System monitoring Odbiorca Odbiorca Odbiorca Wspólna Dostawca Dostawca OS Hardening Odbiorca Odbiorca Odbiorca Wspólna Dostawca Dostawca Network intrusion Detection Odbiorca Odbiorca Dostawca Dostawca Dostawca Dostawca Bezpieczeństwo sieci Odbiorca Odbiorca Dostawca Dostawca Dostawca Dostawca Bezpieczeństwo fizyczne/środ. Odbiorca Odbiorca Dostawca Dostawca Dostawca Dostawca

IaaS PaaS SaaS Bezpieczeństwo przetwarzania SPI Aplikacja Oprogramowanie pośredniczące Systemy operacyjne Hypervisor Przetwarzanie i składowanie Sieć Infrastruktura Przetwarzający podejmuje wszelkie środki wymagane na mocy art. 32: oparte na wynikach analizy ryzyka pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania; wywiązywanie się z obowiązków można wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji;

IaaS PaaS SaaS Łańcuch dostaw SPI Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. podejmuje wszelkie środki wymagane na mocy art. 32 Administrator>Procesor>Podprocesor Aplikacja Oprogramowanie pośredniczące Systemy operacyjne Hypervisor Przetwarzanie i składowanie Sieć Infrastruktura

IaaS PaaS SaaS Zgłaszanie naruszenia danych SPI Aplikacja Oprogramowanie pośredniczące Skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Administrator > Organ Nadzorczy - Nie później niż w terminie 72 godzin po stwierdzeniu naruszenia Administrator Administrator > Podmiot bez zbędnej zwłoki Procesor (Podprocesor?) >Administrator - przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi. Współdzierżawa kolejność zgłoszeń Systemy operacyjne Hypervisor Przetwarzanie i składowanie Przygotowanie Wykrycie i analiza Ograniczanie i naprawa Działanie post morterm Sieć Infrastruktura

IaaS PaaS SaaS SPI Aplikacja Oprogramowanie pośredniczące Systemy operacyjne Prawa podmiotu Prawo dostępu Prawo do sprostowania danych Prawo do ograniczenia przetwarzania Obowiązek powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania Prawo do przenoszenia Prawo do usunięcia danych ( prawo do bycia zapomnianym ) Hypervisor Przetwarzanie i składowanie Sieć Infrastruktura

IaaS PaaS SaaS Privacy by design Secure Development Life Cycle SPI Aplikacja Oprogramowanie pośredniczące Systemy operacyjne Hypervisor Kodeksy postępowania i certyfikacja 27001 27002 27017 27018 Przetwarzanie i składowanie Sieć Infrastruktura

Działania operacyjne CSA Security Guidance ver.4 Architektura chmury Nadzór i zarządzanie ryzykiem Prawo i informatyka śledcza Zgodność i audyt Zarządzanie informacją i ochrona danych Przenaszalność i interoperacyjność Zarządzanie w chmurze 27001 27002 27017 27018 SP 800-53 R3/R4 Zarządzanie ciągłością i plany awaryjne Centrum danych i zarządzanie operacjami Zarządzanie incydentami Bezpieczeństwo aplikacji Szyfrowanie i zarządzanie kluczami Zarządzanie własnością, tożsamością i dostępem Wirtualizacja Security as a Service IaaS PaaS SaaS Public Private Physical Network Compute Storage Application Data Service/Provider Tenant/Consumer cloudsecurityalliance.org/guidance

Cloud Control Matrix ver.3.0.1

Cloud Control Matrix ver.3.0.1

Open Certification Framework

Podsumowanie Krok 1 co przenosimy Usługi, procesy, dane, aplikacje Krok 2 co chronimy Czy dane są wrażliwe Krok 3 Ocena ryzyka DPIA Krok 5 ocena usługi Rodzaj, odpowiedzialność, lokalizacja danych Krok 6 ocena dostawcy Due dilligence, kodeks postępowania, cetryfikaty Krok 9 - współpraca Komunikacja, rozwiązywanie problemów, reagowanie na incydenty Krok 4 jak chronimy Środki techniczne i organizacyjne Krok 7 - Umowa Wsparcie, prawo do audytu, odpowiedzialność Krok 8 - testy Testy bezpieczeństwa, przegląd kodu

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres