Hosting a dane osobowe

Podobne dokumenty
Dane osobowe w data center

Przetwarzanie danych osobowych w chmurze

Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER

Kolokacja, hosting, chmura O czym powinny pamiętać strony umowy? Maciej Potoczny

Przetwarzanie danych w chmurze

CHMURA OBLICZENIOWA (CLOUD COMPUTING)

CSA STAR czy można ufać dostawcy

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS)

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

Przetwarzanie danych w chmurze

Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata przyjętym dnia 15 lutego 2010 r.

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

Przetwarzanie w chmurze - przykład z Polski 2013, PIIT

UMOWA POWIERZENIA przetwarzania danych osobowych

Czy cloud computing to sposób na rozwiązanie problemu piractwa?

Szkolenie otwarte 2016 r.

Chmura obliczeniowa. Sieci komputerowe laboratorium A1 (praca grupowa w chmurze)

Zapewnienie dostępu do Chmury

Zarządzanie bezpieczeństwem danych osobowych

Propozycje SABI w zakresie doprecyzowania statusu ABI

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

Zarządzanie relacjami z dostawcami

LANDINGI.COM. Case Study. Klient Landingi.com. Branża IT, marketing i PR. Okres realizacji od grudnia 2013 do chwili obecnej.

Obrót dokumentami elektronicznymi w chmurze

Joanna Baranowska. Chmura obliczeniowa w samorządach korzyści i wyzwania

Paweł Gole, Securing. 1 InfoTRAMS "Cloud Computing Latajc c w chmurach"

CloudFerro. Chmury publiczne, chmury prywatne, serwery dedykowane zalety, wady, problemy, ograniczenia, wyzwania.

Dane bezpieczne w chmurze

Ochrona danych osobowych w chmurze

Powierzenie przetwarzania danych osobowych teoria vs. praktyka

Zarządzanie ryzykiem w chmurze

Chmura obliczeniowa nowej generacji. Maciej Kuźniar 26 listopada 2015

Serwerownia: u siebie czy na zewnątrz? Analiza przypadku na przykładzie prowadzonego projektu w firmie Provident Polska S.A.

Jak współpracować z agencją e mail marketingową w zakresie powierzenia przetwarzania danych. Michał Sztąberek isecure Sp. z o.o.

PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A.

Przetwarzanie danych w chmurze a bezpieczeństwo informacji. T: (+48) Jachranka, 27 listopada 2015r. E:

Prezentacja wyników badania wykorzystania przetwarzania w chmurze w największych polskich przedsiębiorstwach

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1

Dokumentacja ochrony danych osobowych w firmie

Chmura nad Smart City. dr hab. Prof. US Aleksandra Monarcha - Matlak

Cloud Computing - Wprowadzenie. Bogusław Kaczałek Kon-dor GIS Konsulting

Zarządzanie cyklem życia bezpieczeństwa danych

1. Pytanie Wykonawcy. 2. Pytanie Wykonawcy

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

ADMINISTRACJA PUBLICZNA W CHMURZE OBLICZENIOWEJ

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

POLITYKA BEZPIECZEŃSTWA

Hosting aplikacji on-line

Gdzie są dane w chmurze obliczeniowej?

Zmiana sposobu dostarczania aplikacji wspierających funkcje państwa

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Budowa Data Center. Zmagania Inwestora. Konferencja. 30 października 2014

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

wraz z wzorami wymaganej prawem dokumentacją

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

USŁUGI HIGH PERFORMANCE COMPUTING (HPC) DLA FIRM. Juliusz Pukacki,PCSS

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Optymalna Chmura. Właściwy kierunek dla Twojego biznesu

Warszawa, 6 lutego Case Study: Chmura prywatna HyperOne dla Platige Image dzięki Microsoft Hyper-V Server. Wyzwanie biznesowe

Przewodnik cloud computing

Przetwarzanie danych w chmurze Cloud Computing

PROWADZENIE REJESTRU ZBIORÓW DANYCH OSOBOWYCH PRZEZ ABI BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA w STAROSTWIE POWIATOWYM w ŻYWCU. Rozdział I. Postanowienia ogólne, definicje

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Chmura z perspektywy bezpieczeństwa

Rynek przetwarzania danych w chmurze w Polsce Prognozy rozwoju na lata

Zmiana obowiązków zabezpieczania danych osobowych

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

C H M U R A P U B L I C Z N A W P O L S C E

Zapewnienie bezpieczeństwa danych z wykorzystaniem sieci światłowodowych budowanych przez samorządy w województwie śląskim ŚRSS -> ŚSS -> RCPD

NASK SA Data Center besmartpzp Bezpieczny Portal Zamówień Publicznych

Chmura Obliczeniowa Resortu Finansów HARF

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Na co zwrócić uwagę przygotowując zgodną z prawem kampanię SMS

Definicja, rodzaje chmur obliczeniowych oraz poziomy usług

Chmura obliczeniowa analiza korzyści i zagrożeń

Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski Bohdan Wyżnikiewicz

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

II Lubelski Konwent Informatyków i Administracji r.

Nowoczesny dział IT w chmurze

Ogólne zagrożenia dla danych w chmurowym modelu przetwarzania

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

Załącznik 5. UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową. zawarta w... w dniu... r. pomiędzy:

MAINFRAME WWW. Chmura 1970 & 80. Dziś

CLOUD COMPUTING CHMURA OBLICZENIOWA I PLATFORMA WINDOWS AZURE

I. Postanowienia ogólne. a. Definicje

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Bezpieczeństwo dla wszystkich środowisk wirtualnych

zwana dalej Administratorem

:00 17:00. Organizator szkolenia: Związek Pracodawców Ziemi Jaworskiej

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Załącznik 4. Umowa o zachowaniu poufności przetwarzania danych osobowych, zwana dalej Umową

SARE System wysyłki mailingów

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Administrator Bezpieczeństwa informacji

Polityka prywatności. I. Definicje

Transkrypt:

Hosting a dane osobowe Powierzać, albo nie powierzać? Jarosław Żabówka proinfosec@odoradca.pl 23 luty 2012 VIII Internetowe Spotkanie ABI

Plan Powierzenie danych krótkie przypomnienie Hosting próba definicji Co oferują nam dostawcy Kiedy powinniśmy powierzać próba odpowiedzi Zgłoszenia zbioru jakie zabezpieczenia wpisać? Umowa niepowierznia? 23 luty 2012 VIII Internetowe Spotkanie ABI 2

Powierzanie Art. 31 ust. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Powierzamy dane, a nie zbiór danych! Umowa na piśmie? Jeżeli nie podpiszemy umowy udostępniamy dane. 23 luty 2012 VIII Internetowe Spotkanie ABI 3

Umowa powierzenia Art. 31 ust. 2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. Umowa musi zawierać: Cel przetwarzania Zakres powierzanych danych Umowa powinna zawierać: Co się stanie z danymi, po zakończeniu umowy (pamiętajmy o kopiach bezpieczeństwa) Zabezpieczmy swoje prawa, bo: 23 luty 2012 VIII Internetowe Spotkanie ABI 4

Umowa powierzenia - odpowiedzialność Art. 31 ust. 4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. ADO v Procesor kto odpowiada w jakim zakresie? 23 luty 2012 VIII Internetowe Spotkanie ABI 5

Obowiązek procesora zabezpieczenie danych Art. 31 ust. 3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. 23 luty 2012 VIII Internetowe Spotkanie ABI 6

Przetwarzający musi Zastosować zabezpieczenia techniczne i organizacyjne Do przetwarzania dopuścić jedynie osoby upoważnione Wydać upoważnienia i prowadzić ewidencję Zapewnić kontrolę jakie dane i przez kogo zostały wprowadzone do zbioru A jeżeli dane nie są w zbiorze? Czy również w zakresie przetwarzania przez ADO? Spełniać wymagania wynikające z rozporządzenia 23 luty 2012 VIII Internetowe Spotkanie ABI 7

Ustawa o świadczeniu usług drogą elektroniczną Wyłączenie z odpowiedzialności Art. 14. ust. 1. Nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, ( ) Art. 15. Podmiot, który świadczy usługi określone w art. 12-14, nie jest obowiązany do sprawdzania przekazywanych, przechowywanych lub udostępnianych przez niego danych, o których mowa w art. 12-14. 23 luty 2012 VIII Internetowe Spotkanie ABI 8

Hosting z punktu widzenia usude Brak definicji legalnej Czy hosting oznacza zawsze udostępnianie danych podmiotom trzecim? Usługodawcą bywają osoby korzystające z serwisu 23 luty 2012 VIII Internetowe Spotkanie ABI 9

Hosting z punktu widzenia dostawcy Hosting współdzielony Najczęściej web hosting Współdzielone zasoby Problemy z wydajnością i stosunkowo niskie bezpieczeństwo Serwer wirtualny (VPS) Otrzymujemy do dyspozycji maszynę wirtualną Managed VPS Otrzymujemy system na maszynie wirtualnej Serwer fizyczny Otrzymujemy do własnej dyspozycji serwer fizyczny Kolokacja (hoteling) Korzystamy z własnego serwera zainstalowanego w serwerowni dostawcy... 23 luty 2012 VIII Internetowe Spotkanie ABI 10

Kiedy powinniśmy podpisać umowę powierzenia? Gdy dostawca przetwarza dane? Gdy umożliwiamy dostawcy dostęp do danych? Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega karze ( ) 23 luty 2012 VIII Internetowe Spotkanie ABI 11

Dostawcy Oczywiście, mamy przygotowaną umowę powierzenia Mamy certyfikat GIODO i możemy dać takie oświadczenie. Nie umowy nie podpiszemy Klient ma prawo wystąpić do GIODO o przeprowadzenie procesu certyfikacji na własny koszt My nie mamy dostępu do Państwa danych Kiedyś pisałem do GIODO i mi nie odpowiedzieli, to ja ich też olewam Jeżeli Państwo chcecie, to możemy podpisać taką umowę, przecież tego i tak nikt nie sprawdzi Hosting zgodny z GIODO 23 luty 2012 VIII Internetowe Spotkanie ABI 12

Praktyka Czy GIODO wymaga serwera dedykowanego? Zgodnie z wymaganiami GIODO kupiłem serwer dedykowany (?) Kupujemy moduł, szafę, pół szafy, 1U Inni klienci nie mają dostępu do moich zasobów. Czy na pewno? Remote hand Czy serwisant wymieniający zasilacz powinien być upoważniony do przetwarzania danych? A jeżeli administruje systemem? 23 luty 2012 VIII Internetowe Spotkanie ABI 13

Problemy Dostawcy nie są zainteresowani podpisaniem umów powierzenia Brak możliwości weryfikacji zabezpieczeń Szyfrujemy dane na dyskach, szyfrujemy komunikację, a i tak dostawca ma dostęp np. w ramach usługi rescue mode Jaki poziom szyfrowania oznacza, że dostawca nie ma dostęu do danych? Nawet w wypadku kolokacji, gdy rzeczywiście tylko my mamy dostęp do serwera, pozostaje jeszcze infrastruktura sieciowa, taśmy z kopiami, 23 luty 2012 VIII Internetowe Spotkanie ABI 14

Umowa o niepowierzaniu Czy gdy dzierżawię szafę w data center, to oznacza, że dostawca przechowuje (czyli przetwarza) moje dane uważam, że nie. Jeżeli jednak serwisant ma dostęp do szafy, to może mieć do nich dostęp. Dlatego podpisujemy umowę powierzenia, mimo, że nie chcemy żeby dostawca przetwarzał nasze dane Wprowadźmy umowę niepowierzania danych. 23 luty 2012 VIII Internetowe Spotkanie ABI 15

Dane osobowe w chmurze Czy w ogóle jest o czym mówić?

Plan Chmura czyli co? Klasyfikacja chmur Nowe wyzwania dla bezpieczeństwa Dane osobowe w chmurze? 23 luty 2012 VIII Internetowe Spotkanie ABI 17

Definicja Ciągle brak jednoznacznej definicji Definiujemy poprzez różne modele Dużo produktów nazywamy chmurami, ze względów marketingowych Chmura świadczone z wykorzysaniem technik wirtualizacji usługi, często rozliczane poprzez rzeczywiście zużyte zasoby (czas procesora, energia elektryczna). 23 luty 2012 VIII Internetowe Spotkanie ABI 18

Nie mówimy tu o Chmurze telekomunikacyjnej (CaaS) Pseudochmurze oferowanej przez małych dostawców usług hostingowych. Oferują oni zwykłe usługi hostingowe, sprzedając zakupione po hurtowych usługi hostingowe. Duży problem z podpisaniem umowy powierzenia Nigdy nie wiemy, kiedy nasze zasoby zostaną przeniesione do innego podprocesora Z natury będziemy mieli do czynienia z podpowierzeniem. 23 luty 2012 VIII Internetowe Spotkanie ABI 19

Rodzaje chmur (Deployment Models) Chmura prywatna Community cloud Chmura publiczna Zewnętrzna chmura prywatna Chmura hybrydowa 23 luty 2012 VIII Internetowe Spotkanie ABI 20

Rodzaje chmur a ODO Chmura prywatna Pozostaje pod kontrolą organizacji nie różni się od własnej serwerowni Community cloud Zależy od przyjętego modelu. Chmura publiczna Nie różni się istotnie od hostingu. Zależnie od udostępnianych zasobów, może stwarzać więcej dylematów co do zawartości umowy powierzenia. U dużych dostawców, praktycznie tracimy kontrolę nad danymi. Dzierżawiona chmura prywatna W praktyce nie różni się od kolokacji lub hostingu Chmura hybrydowa 23 luty 2012 VIII Internetowe Spotkanie ABI 21

Modele chmur (Service Models) SaaS PaaS Oprogramowanie IaaS System KOLOKACJA Infrastruktura Serwerownia 23 luty 2012 VIII Internetowe Spotkanie ABI 22

Modele chmur Kolokacja Nie zawsze traktowana jako chmura IaaS Czasami nazywane HaaS (Host as a Service) Usługi typu VPS, serwer dedykowany nie różni się od hostingu PaaS Dostawca dostarcza nam platformę systemową (np. system na maszynie wirtualnej) W praktyce konieczne będzie podpisanie umowy powierzenia SaaS Dostawca dostarcza nam oprogramowanie dla końcowego użytkownika Podpisanie umowy powierzenia zwykle będzie konieczne. 23 luty 2012 VIII Internetowe Spotkanie ABI 23

Inne modele Intercloud BpaaS Cloud storage Cloud database 23 luty 2012 VIII Internetowe Spotkanie ABI 24

Chmury a ODO Teza: Chmury generalnie nie stanowią nowej jakości z punktu widzenia ochrony danych osobowych. Problemem mogą być chmury publiczne. Wydaje się, że nie powinno się wykorzystywać tych rozwiązań dla przetwarzania danych osobowych i innych wrażliwych dla organizacji informacji (np. problemy z DropBox-em) 23 luty 2012 VIII Internetowe Spotkanie ABI 25

Bezpieczeństwo informacji Rozwiązania wprowadzają nowe podatności Właściwie dobrane, wdrożone i zarządzane chmury, mogą podnieść poziom bezpieczeństwa informacji. Chmury mogą zostać wykorzystane dla zapewnienia ciągłości działania. Chmura może podnieść poziom dostępności danych (ale złe rozwiązanie, może go drastycznie obniżyć) 23 luty 2012 VIII Internetowe Spotkanie ABI 26

Ryzyka CC wskazywane przez Garnera Personel dostawcy Zgodność z przepisami Lokalizacja danych Separacja danych różnych klientów Odzyskiwanie danych Wsparcie wyszukiwania nielegalnych operacji Długoterminowa dostępność http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853 23 luty 2012 VIII Internetowe Spotkanie ABI 27

Cloud Security Alliance https://cloudsecurityalliance.org/ Top Threats to Cloud Computing Security Guidance for Critical Areas in Cloud Computing 23 luty 2012 VIII Internetowe Spotkanie ABI 28

Top Threats to Cloud Computing Abuse and Nefarious Use of Cloud Computing (IaaS, PaaS) Insecure Interfaces and APIs (IaaS, PaaS, SaaS) Malicious Insiders (IaaS, PaaS, SaaS) Shared Technology Issues (IaaS) Data Loss or Leakage (IaaS, PaaS, SaaS) Account or Service Hijacking (IaaS, PaaS, SaaS) Unknown Risk Profile (IaaS, PaaS, SaaS) 23 luty 2012 VIII Internetowe Spotkanie ABI 29

Bardzo dziękujemy za uwagę i zapraszamy do dyskusji. 23 luty 2012 VIII Internetowe Spotkanie ABI 30

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres