Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałLubomir Nyk Został zmieniony 11 lat temu
1
Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing. Na co zwracać szczególną uwagę przy podpisywaniu umów z dostawcą i na jakie niebezpieczeństwa prawne uważać? Janina Ligner-Żeromska, adwokat, Partner Konferencja pt.: Systemy dla przedsiębiorstw 24 października 2012 roku, Łódź
2
Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing
Charakterystyka usług przetwarzania w chmurze; Rodzaje danych przetwarzanych w chmurze; Zasady ochrony danych osobowych w chmurze; Podstawowe zagadnienia do uregulowania w umowach.
3
Wartość światowego rynku usług CC ma wynieść w 2012 roku 37,9 mld USD
Wartość rynku CC Usługi przetwarzania w chmurze stanowiły 7% wartości całego rynku IT outsourcingu szacowanego na 520 mln USD w 2010 roku; Przewidywane tempo wzrostu tego segmentu usług do roku 2015 to 33% rocznie Poland's Cloud Services Market Forecast and 2010 Competitive Analysis Wartość światowego rynku usług CC ma wynieść w 2012 roku ,9 mld USD Visiongain (badania z 2012) Wartość światowego rynku usług CC ma wynieść w 2015 roku ,9 mld USD, co stanowi roczny wzrost o średnio 27,6%, podczas gdy ogólny rynek usług IT wzrasta o około 6,7% średniorocznie. IDC cloud research badania z 2010 roku
4
Charakterystyka usług przetwarzania w chmurze
5
Charakterystyka usług przetwarzania w chmurze (1)
Cel: zapewnienie zasobów IT (zarówno software, jak i hardware) na żądanie użytkowników, podczas gdy przetwarzanie nie odbywa się wewnątrz struktury przedsiębiorstwa, lecz poza nim, u usługodawcy. Zalety cloud computing: On-demand; Redukcja kosztów; Niezależność od położenia źródeł danych; Mierzalność; Skalowalność; Łatwiejsze utrzymanie.
6
Charakterystyka usług przetwarzania w chmurze (2)
Modele usług cloud computing: Kolokacja; Infrastructure as a Service (IaaS); Platform as a Service (PaaS); Software as a Service (SaaS). Modele świadczenia usług w chmurze: Chmura prywatna; Chmura publiczna; Chmura hybrydowa.
7
Rodzaje danych przetwarzanych w chmurze
8
Rodzaje danych przetwarzanych w chmurze (1)
Dane przetwarzane w chmurze, jak wszelkie dane, informacje, oraz inna treść, może podlegać ochronie prawnej na różnych podstawach, np. jako: Dane osobowe, uregulowane: Dyrektywą Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych oraz Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U r., Nr 101 poz. 926, ze zm.); Tajemnica przedsiębiorstwa, uregulowana: Ustawą z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jednolity: Dz. U r., Nr 153, poz. 1503, ze zm.);
9
Rodzaje danych przetwarzanych w chmurze (2)
Tajemnica bankowa lub ubezpieczeniowa, uregulowane: Ustawą z dnia 29 sierpnia 1997 r. prawo bankowe (tekst jednolity: Dz.U r., Nr 72, poz. 665, ze zm.); Ustawa z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (tekst jednolity: Dz.U. 2010, Nr 11, poz. 66, ze zm.); Informacje niejawne, uregulowane: Ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U r., Nr 182, poz. 1228,); Utwór w rozumieniu: Ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz.U r. Nr 80, poz. 904, ze zm.);
10
Rodzaje danych przetwarzanych w chmurze (3)
Tajemnica telekomunikacyjna, uregulowana: Ustawą z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U r., Nr 171, poz. 1800, ze zm.); Know-how: w rozumieniu tajemnicy przedsiębiorstwa uregulowane w Ustawie o zwalczaniu nieuczciwej konkurencji lub W postaci utworu uregulowane ustawą o prawie autorskim i prawach pokrewnych.
11
Zasady ochrony danych osobowych w chmurze
12
Zasady ochrony danych osobowych w chmurze (1)
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; Danymi osobowymi będą zatem informacje odnoszące się do wszystkich aspektów danej osoby, jej życia osobistego i zawodowego, wykształcenia, cech fizycznych i charakteru, stanu majątkowego, etc. – o ile te informacje można przypisać tejże konkretnej osobie; Identyfikacja bezpośrednia (np. poprzez podanie imienia, nazwiska i adresu), lub pośrednia - przetwarzane informacje pozwalają bez nadmiernego nakładu kosztów, czasu i środków na dokonanie takiej identyfikacji; Przetwarzanie danych osobowych to: jakiekolwiek operacje dokonywane na danych osobowych, m.in.: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, zwłaszcza w systemach teleinformatycznych.
13
Zasady ochrony danych osobowych w chmurze (2)
Generalna zasada przekazywania przetwarzania do państw trzecich : Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych (art. 47 uodo); Problem przy chmurze – przetwarzanie z reguły odbywa się bez konkretyzacji lokalizacji serwera/infrastruktury IT. Administrator Danych osobowych to: Organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych; O fakcie czy dany podmiot jest, czy też nie jest administratorem decyduje jego faktyczna „decyzyjność” w zakresie środków i celów przetwarzania – nie można natomiast uregulować statusu administratora umownie, np. przenieść pełnienie tej funkcji na inny podmiot.
14
Zasady ochrony danych osobowych w chmurze (3)
Administratorzy danych decydujący się na powierzenie przetwarzania danych w chmurze zobowiązani się do wybrania przetwarzającego, który zapewni wystarczające techniczne i organizacyjne środki bezpieczeństwa. Na administratorze danych ciąży obowiązek zapewnienia aby dane były: przetwarzane zgodnie z prawem; zbierane dla oznaczonych zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; a także przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
15
Zasady ochrony danych osobowych w chmurze (4)
Umowa o świadczenie usług przetwarzania w chmurze w zakresie danych osobowych będzie miała charakter umowy powierzającej przetwarzanie danych osobowych. Zgodnie z Opinią nr 5/2012 Grupy Roboczej Art. 29 ds. Ochrony Danych w sprawie przetwarzania danych w chmurze obliczeniowej : „umowa musi co najmniej ustanawiać fakt, w szczególności, że przetwarzający ma przestrzegać instrukcji administratora oraz że przetwarzający (procesor) musi wdrożyć środki techniczne i organizacyjne, aby odpowiednio chronić dane”; Grupa Robocza Art. 29 sformułowała wytyczne dotyczące wymogów, którym powinna odpowiadać umowa pomiędzy klientem, a dostawcą usług w chmurze, które mogą okazać się pomocne przy konstruowaniu takich umów.
16
Zasady ochrony danych osobowych w chmurze (5)
Zgodnie z Opinią nr 5/2012 Grupa Robocza art. 29 formułuje m.in. następujące wytyczne co do zawartości umów z dostawcami usług w chmurze: informacje o gwarantowanym poziomie usług (SLA) i ew. konsekwencje; stosowane środki bezpieczeństwa; ramy czasowe świadczenia usługi, zakres, sposób i cel przetwarzania, rodzaje danych; zasady zwrotu danych lub zniszczenia danych; klauzula poufności; wsparcie dostawcy usług w wykonywaniu obowiązków administratora; odpowiednia regulacja możliwości podpowierzania przetwarzania danych osobowych;
17
Zasady ochrony danych osobowych w chmurze (6)
zawiadomienie klienta o wszelkich przypadkach naruszeń ochrony danych; obowiązek wskazania klientowi listy lokalizacji, w których dostawca będzie dane przetwarzał; monitorowanie i kontrola przetwarzania; obowiązek informowania klienta o istotnych zmianach dotyczących świadczonej usługi; rejestrowanie i kontrolowanie istotnych operacji przetwarzania; obowiązek zawiadamiania klienta o każdym prawnie wiążącym wniosku o udostępnienie danych osobowych przez organ egzekwowania prawa.
18
Zasady ochrony danych osobowych w chmurze (7)
Zabezpieczenia umowne: Transgraniczne przekazywanie danych: możliwość ograniczenia przypadku przekazywania danych do wybranych krajów – zastrzeganie geolokalizacji serwerów/infrastruktury IT; Rejestrowanie i kontrolowanie przetwarzania: wymóg rejestrowania operacji przetwarzania danych; Środki techniczne i organizacyjne: eliminacja lub złagodzenie zagrożeń wynikających z braku kontroli i braku informacji (zapewnienie środków mających na celu zapewnienie dostępności, integralności, poufności, odizolowania, możliwości interwencji i przenoszenia danych). Należy spodziewać się, iż na przestrzeni nadchodzących lat istotnie zmieni się regulacja. W szczególności Dyrektywa 95/46 oraz uodo mają zostać zastąpione ogólnym rozporządzeniem o ochronie danych osobowych, które ujednolici w pełni regulacje w całej UE.
19
Planowany zakres nowelizacji uodo w 2012 r.
Projekt nowelizacji Stowarzyszenia Administratorów Bezpieczeństwa Informacji z 4 maja 2012 r. uodo zakłada: rozszerzenie kompetencji rejestracyjnych GIODO na informacje o Administratorach Bezpieczeństwa Informacji (ABI); możliwość przeprowadzania przez niezależnego ABI, na wniosek GIODO, uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych; nowy status i zakres zadań ABI, zapewniające mu niezależność w wykonywaniu zadań, możliwość kontroli przestrzegania przepisów i prowadzenie wewnętrznego rejestru zbioru danych; wyłączenie od obowiązku rejestracyjnego administratorów zbiorów danych, jeśli powołali oni i zgłosili do Generalnego Inspektora ABI , który prowadzi wewnętrzny i uproszczony rejestr zbiorów danych; Powyższe wyłączenie nie dotyczy danych wrażliwych. W tym przypadku administrator danych nie będzie zobowiązany do powstrzymywania się od przetwarzania danych do momentu dokonania rejestracji, o ile ABI stwierdzi zgodność przetwarzania danych wrażliwych z ustawą.
20
Podstawowe zagadnienia do uregulowania
21
Podstawowe zagadnienia do uregulowania (1)
Bezpieczeństwo Szyfrowanie (protokół SSL); Firewalle; Standardy atestowanych centrów danych; Polska: standard SAS 70 i ISAE 3402. Audyt, kontrola jakości Zewnętrzna firma audytorska, komitety audytów, standardy, certyfikaty. Podwykonawcy Możliwość korzystania z usług podwykonawstwa; Wymagania co do kwalifikacji i doświadczenia podwykonawcy i jego personelu; odpowiedzialność – solidarna, lub jak za własne działania.
22
Podstawowe zagadnienia do uregulowania (2)
Gwarancja jakości (SLA) Dotycząca wymaganych poziomów niezawodności; Pod względem konkretnych parametrów technicznych lub zakresów czasowych dostępności usługi; Minimalne poziomy usług; Backupy, redundantność systemów; koszta tworzenia i przechowywania kopii zapasowych, częstotliwość. Usługi utrzymania i rozwoju, business continuity planning Kwestie fuzji; Upadłość; Cesje. Wynagrodzenie, zasady rozliczeń Zmiany wynagrodzeń (inflacja). Kary umowne Łatwiejsze dochodzenie – odpowiedzialność kontraktowa.
23
Podstawowe zagadnienia do uregulowania (3)
Dane osobowe Podstawa prawna na przetwarzanie danych osobowych osób będących np. w bazach danych, które są przedmiotem umowy; Wymagania zgodne z wytycznymi Grupy Roboczej art. 29. Umowy licencyjne (podatki) Spory, arbitraż Klauzule eskalacyjne – negocjacje pomiędzy komitetami, pomiędzy przedstawicielami spółek, arbitraż (Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji, Polska Izba Informatyki i Telekomunikacji (PIIT) , zapis na sąd polubowny, wybór właściwości miejscowej sądu i prawa, konwencje międzynarodowe. Odstąpienie, rozwiązanie umowy, odwracalność
24
Niebezpieczeństwa w chmurze (1)
Mimo obowiązków odpowiedniego zabezpieczania danych przetwarzanych w chmurze, znane są przykłady wielkich „wycieków” tych danych, mi. in: W 2010 r. Microsoft poinformował, że dane użytkowników ich usługi Business Productivity Online Suite, zawarte w ich książkach adresowych, zostały udostępnione i mogły zostać pobrane przez osoby nieupoważnione; Microsoft oznajmił, że przyczyną tej awarii były „kwestie konfiguracji” w centrach danych w Stanach Zjednoczonych, Europie i Azji. Usterkę w systemie naprawiono po 2 godzinach od jej wykrycia, jednak nie wiadomo, na jak długo dane zostały udostępnione i jak wiele z nich zostało pobranych przez nieupoważnionych użytkowników.
25
Niebezpieczeństwa w chmurze (2)
Problem z „wyciekiem” danych dotknął także użytkowników usługi Dropbox. W 2011 r. Dropbox na swoim blogu ogłosił, że jedna z aktualizacji uszkodziła mechanizm uwierzytelniania kont użytkowników; Awaria pozwoliła przez 4 godziny na zalogowanie się dowolnej osobie na konto użytkownika Dropbox bez podania prawidłowego hasła; Po wykryciu usterki, Dropbox unieważnił wszystkie zalogowane sesje oraz powiadomił, że błąd dotyczył niewielkiej części posiadaczy kont, którzy zostali poinformowani o usterce.
26
Kontakt Janina Ligner-Żeromska Adwokat, Partner T: E:
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.