Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

1 Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing. Na co zwracać szczególną uwagę przy podpisywaniu umów z dostawcą

Podobne prezentacje


Prezentacja na temat: "1 Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing. Na co zwracać szczególną uwagę przy podpisywaniu umów z dostawcą"— Zapis prezentacji:

1 1 Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing. Na co zwracać szczególną uwagę przy podpisywaniu umów z dostawcą i na jakie niebezpieczeństwa prawne uważać? Janina Ligner-Żeromska, adwokat, Partner Konferencja pt.: Systemy dla przedsiębiorstw 24 października 2012 roku, Łódź

2 2 1.Charakterystyka usług przetwarzania w chmurze; 2.Rodzaje danych przetwarzanych w chmurze; 3.Zasady ochrony danych osobowych w chmurze; 4.Podstawowe zagadnienia do uregulowania w umowach. Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing

3 3 Usługi przetwarzania w chmurze stanowiły 7% wartości całego rynku IT outsourcingu szacowanego na 520 mln USD w 2010 roku; Przewidywane tempo wzrostu tego segmentu usług do roku 2015 to 33% rocznie Poland's Cloud Services Market Forecast and 2010 Competitive Analysis Wartość światowego rynku usług CC ma wynieść w 2012 roku 37,9 mld USD Visiongain (badania z 2012) Wartość światowego rynku usług CC ma wynieść w 2015 roku 72,9 mld USD, co stanowi roczny wzrost o średnio 27,6%, podczas gdy ogólny rynek usług IT wzrasta o około 6,7% średniorocznie. IDC cloud research badania z 2010 roku Wartość rynku CC

4 4 Charakterystyka usług przetwarzania w chmurze

5 5 Charakterystyka usług przetwarzania w chmurze (1) Cel: zapewnienie zasobów IT (zarówno software, jak i hardware) na żądanie użytkowników, podczas gdy przetwarzanie nie odbywa się wewnątrz struktury przedsiębiorstwa, lecz poza nim, u usługodawcy. Zalety cloud computing: – On-demand; – Redukcja kosztów; – Niezależność od położenia źródeł danych; – Mierzalność; – Skalowalność; – Łatwiejsze utrzymanie.

6 6 Charakterystyka usług przetwarzania w chmurze (2) Modele usług cloud computing: – Kolokacja; – Infrastructure as a Service (IaaS); – Platform as a Service (PaaS); – Software as a Service (SaaS). Modele świadczenia usług w chmurze: – Chmura prywatna; – Chmura publiczna; – Chmura hybrydowa.

7 7 Rodzaje danych przetwarzanych w chmurze

8 8 Rodzaje danych przetwarzanych w chmurze (1) Dane przetwarzane w chmurze, jak wszelkie dane, informacje, oraz inna treść, może podlegać ochronie prawnej na różnych podstawach, np. jako: a)Dane osobowe, uregulowane: Dyrektywą Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych oraz Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U r., Nr 101 poz. 926, ze zm.); b)Tajemnica przedsiębiorstwa, uregulowana: Ustawą z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jednolity: Dz. U r., Nr 153, poz. 1503, ze zm.);

9 9 Rodzaje danych przetwarzanych w chmurze (2) c)Tajemnica bankowa lub ubezpieczeniowa, uregulowane: Ustawą z dnia 29 sierpnia 1997 r. prawo bankowe (tekst jednolity: Dz.U r., Nr 72, poz. 665, ze zm.); Ustawa z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (tekst jednolity: Dz.U. 2010, Nr 11, poz. 66, ze zm.); d)Informacje niejawne, uregulowane: Ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U r., Nr 182, poz. 1228,); e)Utwór w rozumieniu: Ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz.U r. Nr 80, poz. 904, ze zm.);

10 10 Rodzaje danych przetwarzanych w chmurze (3) f)Tajemnica telekomunikacyjna, uregulowana: Ustawą z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U r., Nr 171, poz. 1800, ze zm.); g)Know-how: w rozumieniu tajemnicy przedsiębiorstwa uregulowane w Ustawie o zwalczaniu nieuczciwej konkurencji lub W postaci utworu uregulowane ustawą o prawie autorskim i prawach pokrewnych.

11 11 Zasady ochrony danych osobowych w chmurze

12 12 Zasady ochrony danych osobowych w chmurze (1) Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; Danymi osobowymi będą zatem informacje odnoszące się do wszystkich aspektów danej osoby, jej życia osobistego i zawodowego, wykształcenia, cech fizycznych i charakteru, stanu majątkowego, etc. – o ile te informacje można przypisać tejże konkretnej osobie; Identyfikacja bezpośrednia (np. poprzez podanie imienia, nazwiska i adresu), lub pośrednia - przetwarzane informacje pozwalają bez nadmiernego nakładu kosztów, czasu i środków na dokonanie takiej identyfikacji; Przetwarzanie danych osobowych to: jakiekolwiek operacje dokonywane na danych osobowych, m.in.: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, zwłaszcza w systemach teleinformatycznych.

13 13 Zasady ochrony danych osobowych w chmurze (2) Generalna zasada przekazywania przetwarzania do państw trzecich : Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych (art. 47 uodo); Problem przy chmurze – przetwarzanie z reguły odbywa się bez konkretyzacji lokalizacji serwera/infrastruktury IT. Administrator Danych osobowych to: Organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych; O fakcie czy dany podmiot jest, czy też nie jest administratorem decyduje jego faktyczna decyzyjność w zakresie środków i celów przetwarzania – nie można natomiast uregulować statusu administratora umownie, np. przenieść pełnienie tej funkcji na inny podmiot.

14 14 Zasady ochrony danych osobowych w chmurze (3) Administratorzy danych decydujący się na powierzenie przetwarzania danych w chmurze zobowiązani się do wybrania przetwarzającego, który zapewni wystarczające techniczne i organizacyjne środki bezpieczeństwa. Na administratorze danych ciąży obowiązek zapewnienia aby dane były: przetwarzane zgodnie z prawem; zbierane dla oznaczonych zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; a także przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

15 15 Zasady ochrony danych osobowych w chmurze (4) Umowa o świadczenie usług przetwarzania w chmurze w zakresie danych osobowych będzie miała charakter umowy powierzającej przetwarzanie danych osobowych. Zgodnie z Opinią nr 5/2012 Grupy Roboczej Art. 29 ds. Ochrony Danych w sprawie przetwarzania danych w chmurze obliczeniowej : umowa musi co najmniej ustanawiać fakt, w szczególności, że przetwarzający ma przestrzegać instrukcji administratora oraz że przetwarzający (procesor) musi wdrożyć środki techniczne i organizacyjne, aby odpowiednio chronić dane; Grupa Robocza Art. 29 sformułowała wytyczne dotyczące wymogów, którym powinna odpowiadać umowa pomiędzy klientem, a dostawcą usług w chmurze, które mogą okazać się pomocne przy konstruowaniu takich umów.

16 16 Zasady ochrony danych osobowych w chmurze (5) Zgodnie z Opinią nr 5/2012 Grupa Robocza art. 29 formułuje m.in. następujące wytyczne co do zawartości umów z dostawcami usług w chmurze: 1.informacje o gwarantowanym poziomie usług (SLA) i ew. konsekwencje; 2.stosowane środki bezpieczeństwa; 3.ramy czasowe świadczenia usługi, zakres, sposób i cel przetwarzania, rodzaje danych; 4.zasady zwrotu danych lub zniszczenia danych; 5.klauzula poufności; 6.wsparcie dostawcy usług w wykonywaniu obowiązków administratora; 7.odpowiednia regulacja możliwości podpowierzania przetwarzania danych osobowych;

17 17 Zasady ochrony danych osobowych w chmurze (6) 8.zawiadomienie klienta o wszelkich przypadkach naruszeń ochrony danych; 9.obowiązek wskazania klientowi listy lokalizacji, w których dostawca będzie dane przetwarzał; 10.monitorowanie i kontrola przetwarzania; 11.obowiązek informowania klienta o istotnych zmianach dotyczących świadczonej usługi; 12.rejestrowanie i kontrolowanie istotnych operacji przetwarzania; 13.obowiązek zawiadamiania klienta o każdym prawnie wiążącym wniosku o udostępnienie danych osobowych przez organ egzekwowania prawa.

18 18 Zasady ochrony danych osobowych w chmurze (7) Zabezpieczenia umowne: Transgraniczne przekazywanie danych: możliwość ograniczenia przypadku przekazywania danych do wybranych krajów – zastrzeganie geolokalizacji serwerów/infrastruktury IT; Rejestrowanie i kontrolowanie przetwarzania: wymóg rejestrowania operacji przetwarzania danych; Środki techniczne i organizacyjne: eliminacja lub złagodzenie zagrożeń wynikających z braku kontroli i braku informacji (zapewnienie środków mających na celu zapewnienie dostępności, integralności, poufności, odizolowania, możliwości interwencji i przenoszenia danych). Należy spodziewać się, iż na przestrzeni nadchodzących lat istotnie zmieni się regulacja. W szczególności Dyrektywa 95/46 oraz uodo mają zostać zastąpione ogólnym rozporządzeniem o ochronie danych osobowych, które ujednolici w pełni regulacje w całej UE.

19 19 Planowany zakres nowelizacji uodo w 2012 r. Projekt nowelizacji Stowarzyszenia Administratorów Bezpieczeństwa Informacji z 4 maja 2012 r. uodo zakłada: rozszerzenie kompetencji rejestracyjnych GIODO na informacje o Administratorach Bezpieczeństwa Informacji (ABI); możliwość przeprowadzania przez niezależnego ABI, na wniosek GIODO, uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych; nowy status i zakres zadań ABI, zapewniające mu niezależność w wykonywaniu zadań, możliwość kontroli przestrzegania przepisów i prowadzenie wewnętrznego rejestru zbioru danych; wyłączenie od obowiązku rejestracyjnego administratorów zbiorów danych, jeśli powołali oni i zgłosili do Generalnego Inspektora ABI, który prowadzi wewnętrzny i uproszczony rejestr zbiorów danych; Powyższe wyłączenie nie dotyczy danych wrażliwych. W tym przypadku administrator danych nie będzie zobowiązany do powstrzymywania się od przetwarzania danych do momentu dokonania rejestracji, o ile ABI stwierdzi zgodność przetwarzania danych wrażliwych z ustawą.

20 20 Podstawowe zagadnienia do uregulowania

21 21 Bezpieczeństwo Szyfrowanie (protokół SSL); Firewalle; Standardy atestowanych centrów danych; Polska: standard SAS 70 i ISAE Audyt, kontrola jakości Zewnętrzna firma audytorska, komitety audytów, standardy, certyfikaty. Podwykonawcy Możliwość korzystania z usług podwykonawstwa; Wymagania co do kwalifikacji i doświadczenia podwykonawcy i jego personelu; odpowiedzialność – solidarna, lub jak za własne działania. Podstawowe zagadnienia do uregulowania (1)

22 22 Gwarancja jakości (SLA) Dotycząca wymaganych poziomów niezawodności; Pod względem konkretnych parametrów technicznych lub zakresów czasowych dostępności usługi; Minimalne poziomy usług; Backupy, redundantność systemów; koszta tworzenia i przechowywania kopii zapasowych, częstotliwość. Usługi utrzymania i rozwoju, business continuity planning Kwestie fuzji; Upadłość; Cesje. Wynagrodzenie, zasady rozliczeń Zmiany wynagrodzeń (inflacja). Kary umowne Łatwiejsze dochodzenie – odpowiedzialność kontraktowa. Podstawowe zagadnienia do uregulowania (2)

23 23 Dane osobowe Podstawa prawna na przetwarzanie danych osobowych osób będących np. w bazach danych, które są przedmiotem umowy; Wymagania zgodne z wytycznymi Grupy Roboczej art. 29. Umowy licencyjne (podatki) Spory, arbitraż Klauzule eskalacyjne – negocjacje pomiędzy komitetami, pomiędzy przedstawicielami spółek, arbitraż (Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji, Polska Izba Informatyki i Telekomunikacji (PIIT), zapis na sąd polubowny, wybór właściwości miejscowej sądu i prawa, konwencje międzynarodowe. Odstąpienie, rozwiązanie umowy, odwracalność Podstawowe zagadnienia do uregulowania (3)

24 24 Mimo obowiązków odpowiedniego zabezpieczania danych przetwarzanych w chmurze, znane są przykłady wielkich wycieków tych danych, mi. in: W 2010 r. Microsoft poinformował, że dane użytkowników ich usługi Business Productivity Online Suite, zawarte w ich książkach adresowych, zostały udostępnione i mogły zostać pobrane przez osoby nieupoważnione; Microsoft oznajmił, że przyczyną tej awarii były kwestie konfiguracji w centrach danych w Stanach Zjednoczonych, Europie i Azji. Usterkę w systemie naprawiono po 2 godzinach od jej wykrycia, jednak nie wiadomo, na jak długo dane zostały udostępnione i jak wiele z nich zostało pobranych przez nieupoważnionych użytkowników. Niebezpieczeństwa w chmurze (1)

25 25 Problem z wyciekiem danych dotknął także użytkowników usługi Dropbox. W 2011 r. Dropbox na swoim blogu ogłosił, że jedna z aktualizacji uszkodziła mechanizm uwierzytelniania kont użytkowników; Awaria pozwoliła przez 4 godziny na zalogowanie się dowolnej osobie na konto użytkownika Dropbox bez podania prawidłowego hasła; Po wykryciu usterki, Dropbox unieważnił wszystkie zalogowane sesje oraz powiadomił, że błąd dotyczył niewielkiej części posiadaczy kont, którzy zostali poinformowani o usterce. Niebezpieczeństwa w chmurze (2)

26 26 Janina Ligner-Żeromska Adwokat, Partner T: E: Kontakt

27 Toruń Szosa Chełmińska 17, | T: | F: Warszawa Rondo ONZ 1, | T: | F: Wrocław ul. Powstańców Śląskich 2-4, | T: | F: Poznań ul. Paderewskiego 8, | T: | F: Łódź ul. Traugutta 25, | T: | F:


Pobierz ppt "1 Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing. Na co zwracać szczególną uwagę przy podpisywaniu umów z dostawcą"

Podobne prezentacje


Reklamy Google