Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing. Na co zwracać szczególną uwagę przy podpisywaniu umów z dostawcą.

OpublikowałLubomir Nyk Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing. Na co zwracać szczególną uwagę przy podpisywaniu umów z dostawcą."— Zapis prezentacji:

1 Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing. Na co zwracać szczególną uwagę przy podpisywaniu umów z dostawcą i na jakie niebezpieczeństwa prawne uważać? Janina Ligner-Żeromska, adwokat, Partner Konferencja pt.: Systemy dla przedsiębiorstw 24 października 2012 roku, Łódź

2 Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing
Charakterystyka usług przetwarzania w chmurze; Rodzaje danych przetwarzanych w chmurze; Zasady ochrony danych osobowych w chmurze; Podstawowe zagadnienia do uregulowania w umowach.

3 Wartość światowego rynku usług CC ma wynieść w 2012 roku 37,9 mld USD
Wartość rynku CC Usługi przetwarzania w chmurze stanowiły 7% wartości całego rynku IT outsourcingu szacowanego na 520 mln USD w 2010 roku; Przewidywane tempo wzrostu tego segmentu usług do roku 2015 to 33% rocznie Poland's Cloud Services Market Forecast and 2010 Competitive Analysis Wartość światowego rynku usług CC ma wynieść w 2012 roku ,9 mld USD Visiongain (badania z 2012) Wartość światowego rynku usług CC ma wynieść w 2015 roku ,9 mld USD, co stanowi roczny wzrost o średnio 27,6%, podczas gdy ogólny rynek usług IT wzrasta o około 6,7% średniorocznie. IDC cloud research badania z 2010 roku

4 Charakterystyka usług przetwarzania w chmurze

5 Charakterystyka usług przetwarzania w chmurze (1)
Cel: zapewnienie zasobów IT (zarówno software, jak i hardware) na żądanie użytkowników, podczas gdy przetwarzanie nie odbywa się wewnątrz struktury przedsiębiorstwa, lecz poza nim, u usługodawcy. Zalety cloud computing: On-demand; Redukcja kosztów; Niezależność od położenia źródeł danych; Mierzalność; Skalowalność; Łatwiejsze utrzymanie.

6 Charakterystyka usług przetwarzania w chmurze (2)
Modele usług cloud computing: Kolokacja; Infrastructure as a Service (IaaS); Platform as a Service (PaaS); Software as a Service (SaaS). Modele świadczenia usług w chmurze: Chmura prywatna; Chmura publiczna; Chmura hybrydowa.

7 Rodzaje danych przetwarzanych w chmurze

8 Rodzaje danych przetwarzanych w chmurze (1)
Dane przetwarzane w chmurze, jak wszelkie dane, informacje, oraz inna treść, może podlegać ochronie prawnej na różnych podstawach, np. jako: Dane osobowe, uregulowane: Dyrektywą Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/EC) w sprawie ochrony osób w związku z przetwarzaniem danych osobowych oraz swobodnego przepływu tych danych oraz Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst jednolity: Dz. U r., Nr 101 poz. 926, ze zm.); Tajemnica przedsiębiorstwa, uregulowana: Ustawą z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jednolity: Dz. U r., Nr 153, poz. 1503, ze zm.);

9 Rodzaje danych przetwarzanych w chmurze (2)
Tajemnica bankowa lub ubezpieczeniowa, uregulowane: Ustawą z dnia 29 sierpnia 1997 r. prawo bankowe (tekst jednolity: Dz.U r., Nr 72, poz. 665, ze zm.); Ustawa z dnia 22 maja 2003 r. o działalności ubezpieczeniowej (tekst jednolity: Dz.U. 2010, Nr 11, poz. 66, ze zm.); Informacje niejawne, uregulowane: Ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz.U r., Nr 182, poz. 1228,); Utwór w rozumieniu: Ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych (tekst jednolity: Dz.U r. Nr 80, poz. 904, ze zm.);

10 Rodzaje danych przetwarzanych w chmurze (3)
Tajemnica telekomunikacyjna, uregulowana: Ustawą z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U r., Nr 171, poz. 1800, ze zm.); Know-how: w rozumieniu tajemnicy przedsiębiorstwa uregulowane w Ustawie o zwalczaniu nieuczciwej konkurencji lub W postaci utworu uregulowane ustawą o prawie autorskim i prawach pokrewnych.

11 Zasady ochrony danych osobowych w chmurze

12 Zasady ochrony danych osobowych w chmurze (1)
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; Danymi osobowymi będą zatem informacje odnoszące się do wszystkich aspektów danej osoby, jej życia osobistego i zawodowego, wykształcenia, cech fizycznych i charakteru, stanu majątkowego, etc. – o ile te informacje można przypisać tejże konkretnej osobie; Identyfikacja bezpośrednia (np. poprzez podanie imienia, nazwiska i adresu), lub pośrednia - przetwarzane informacje pozwalają bez nadmiernego nakładu kosztów, czasu i środków na dokonanie takiej identyfikacji; Przetwarzanie danych osobowych to: jakiekolwiek operacje dokonywane na danych osobowych, m.in.: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie, zwłaszcza w systemach teleinformatycznych.

13 Zasady ochrony danych osobowych w chmurze (2)
Generalna zasada przekazywania przetwarzania do państw trzecich : Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych (art. 47 uodo); Problem przy chmurze – przetwarzanie z reguły odbywa się bez konkretyzacji lokalizacji serwera/infrastruktury IT. Administrator Danych osobowych to: Organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych; O fakcie czy dany podmiot jest, czy też nie jest administratorem decyduje jego faktyczna „decyzyjność” w zakresie środków i celów przetwarzania – nie można natomiast uregulować statusu administratora umownie, np. przenieść pełnienie tej funkcji na inny podmiot.

14 Zasady ochrony danych osobowych w chmurze (3)
Administratorzy danych decydujący się na powierzenie przetwarzania danych w chmurze zobowiązani się do wybrania przetwarzającego, który zapewni wystarczające techniczne i organizacyjne środki bezpieczeństwa. Na administratorze danych ciąży obowiązek zapewnienia aby dane były: przetwarzane zgodnie z prawem; zbierane dla oznaczonych zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; a także przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

15 Zasady ochrony danych osobowych w chmurze (4)
Umowa o świadczenie usług przetwarzania w chmurze w zakresie danych osobowych będzie miała charakter umowy powierzającej przetwarzanie danych osobowych. Zgodnie z Opinią nr 5/2012 Grupy Roboczej Art. 29 ds. Ochrony Danych w sprawie przetwarzania danych w chmurze obliczeniowej : „umowa musi co najmniej ustanawiać fakt, w szczególności, że przetwarzający ma przestrzegać instrukcji administratora oraz że przetwarzający (procesor) musi wdrożyć środki techniczne i organizacyjne, aby odpowiednio chronić dane”; Grupa Robocza Art. 29 sformułowała wytyczne dotyczące wymogów, którym powinna odpowiadać umowa pomiędzy klientem, a dostawcą usług w chmurze, które mogą okazać się pomocne przy konstruowaniu takich umów.

16 Zasady ochrony danych osobowych w chmurze (5)
Zgodnie z Opinią nr 5/2012 Grupa Robocza art. 29 formułuje m.in. następujące wytyczne co do zawartości umów z dostawcami usług w chmurze: informacje o gwarantowanym poziomie usług (SLA) i ew. konsekwencje; stosowane środki bezpieczeństwa; ramy czasowe świadczenia usługi, zakres, sposób i cel przetwarzania, rodzaje danych; zasady zwrotu danych lub zniszczenia danych; klauzula poufności; wsparcie dostawcy usług w wykonywaniu obowiązków administratora; odpowiednia regulacja możliwości podpowierzania przetwarzania danych osobowych;

17 Zasady ochrony danych osobowych w chmurze (6)
zawiadomienie klienta o wszelkich przypadkach naruszeń ochrony danych; obowiązek wskazania klientowi listy lokalizacji, w których dostawca będzie dane przetwarzał; monitorowanie i kontrola przetwarzania; obowiązek informowania klienta o istotnych zmianach dotyczących świadczonej usługi; rejestrowanie i kontrolowanie istotnych operacji przetwarzania; obowiązek zawiadamiania klienta o każdym prawnie wiążącym wniosku o udostępnienie danych osobowych przez organ egzekwowania prawa.

18 Zasady ochrony danych osobowych w chmurze (7)
Zabezpieczenia umowne: Transgraniczne przekazywanie danych: możliwość ograniczenia przypadku przekazywania danych do wybranych krajów – zastrzeganie geolokalizacji serwerów/infrastruktury IT; Rejestrowanie i kontrolowanie przetwarzania: wymóg rejestrowania operacji przetwarzania danych; Środki techniczne i organizacyjne: eliminacja lub złagodzenie zagrożeń wynikających z braku kontroli i braku informacji (zapewnienie środków mających na celu zapewnienie dostępności, integralności, poufności, odizolowania, możliwości interwencji i przenoszenia danych). Należy spodziewać się, iż na przestrzeni nadchodzących lat istotnie zmieni się regulacja. W szczególności Dyrektywa 95/46 oraz uodo mają zostać zastąpione ogólnym rozporządzeniem o ochronie danych osobowych, które ujednolici w pełni regulacje w całej UE.

19 Planowany zakres nowelizacji uodo w 2012 r.
Projekt nowelizacji Stowarzyszenia Administratorów Bezpieczeństwa Informacji z 4 maja 2012 r. uodo zakłada: rozszerzenie kompetencji rejestracyjnych GIODO na informacje o Administratorach Bezpieczeństwa Informacji (ABI); możliwość przeprowadzania przez niezależnego ABI, na wniosek GIODO, uproszczonej kontroli przestrzegania przepisów o ochronie danych osobowych; nowy status i zakres zadań ABI, zapewniające mu niezależność w wykonywaniu zadań, możliwość kontroli przestrzegania przepisów i prowadzenie wewnętrznego rejestru zbioru danych; wyłączenie od obowiązku rejestracyjnego administratorów zbiorów danych, jeśli powołali oni i zgłosili do Generalnego Inspektora ABI , który prowadzi wewnętrzny i uproszczony rejestr zbiorów danych; Powyższe wyłączenie nie dotyczy danych wrażliwych. W tym przypadku administrator danych nie będzie zobowiązany do powstrzymywania się od przetwarzania danych do momentu dokonania rejestracji, o ile ABI stwierdzi zgodność przetwarzania danych wrażliwych z ustawą.

20 Podstawowe zagadnienia do uregulowania

21 Podstawowe zagadnienia do uregulowania (1)
Bezpieczeństwo Szyfrowanie (protokół SSL); Firewalle; Standardy atestowanych centrów danych; Polska: standard SAS 70 i ISAE 3402. Audyt, kontrola jakości Zewnętrzna firma audytorska, komitety audytów, standardy, certyfikaty. Podwykonawcy Możliwość korzystania z usług podwykonawstwa; Wymagania co do kwalifikacji i doświadczenia podwykonawcy i jego personelu; odpowiedzialność – solidarna, lub jak za własne działania.

22 Podstawowe zagadnienia do uregulowania (2)
Gwarancja jakości (SLA) Dotycząca wymaganych poziomów niezawodności; Pod względem konkretnych parametrów technicznych lub zakresów czasowych dostępności usługi; Minimalne poziomy usług; Backupy, redundantność systemów; koszta tworzenia i przechowywania kopii zapasowych, częstotliwość. Usługi utrzymania i rozwoju, business continuity planning Kwestie fuzji; Upadłość; Cesje. Wynagrodzenie, zasady rozliczeń Zmiany wynagrodzeń (inflacja). Kary umowne Łatwiejsze dochodzenie – odpowiedzialność kontraktowa.

23 Podstawowe zagadnienia do uregulowania (3)
Dane osobowe Podstawa prawna na przetwarzanie danych osobowych osób będących np. w bazach danych, które są przedmiotem umowy; Wymagania zgodne z wytycznymi Grupy Roboczej art. 29. Umowy licencyjne (podatki) Spory, arbitraż Klauzule eskalacyjne – negocjacje pomiędzy komitetami, pomiędzy przedstawicielami spółek, arbitraż (Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji, Polska Izba Informatyki i Telekomunikacji (PIIT) , zapis na sąd polubowny, wybór właściwości miejscowej sądu i prawa, konwencje międzynarodowe. Odstąpienie, rozwiązanie umowy, odwracalność

24 Niebezpieczeństwa w chmurze (1)
Mimo obowiązków odpowiedniego zabezpieczania danych przetwarzanych w chmurze, znane są przykłady wielkich „wycieków” tych danych, mi. in: W 2010 r. Microsoft poinformował, że dane użytkowników ich usługi Business Productivity Online Suite, zawarte w ich książkach adresowych, zostały udostępnione i mogły zostać pobrane przez osoby nieupoważnione; Microsoft oznajmił, że przyczyną tej awarii były „kwestie konfiguracji” w centrach danych w Stanach Zjednoczonych, Europie i Azji. Usterkę w systemie naprawiono po 2 godzinach od jej wykrycia, jednak nie wiadomo, na jak długo dane zostały udostępnione i jak wiele z nich zostało pobranych przez nieupoważnionych użytkowników.

25 Niebezpieczeństwa w chmurze (2)
Problem z „wyciekiem” danych dotknął także użytkowników usługi Dropbox. W 2011 r. Dropbox na swoim blogu ogłosił, że jedna z aktualizacji uszkodziła mechanizm uwierzytelniania kont użytkowników; Awaria pozwoliła przez 4 godziny na zalogowanie się dowolnej osobie na konto użytkownika Dropbox bez podania prawidłowego hasła; Po wykryciu usterki, Dropbox unieważnił wszystkie zalogowane sesje oraz powiadomił, że błąd dotyczył niewielkiej części posiadaczy kont, którzy zostali poinformowani o usterce.

26 Kontakt Janina Ligner-Żeromska Adwokat, Partner T: E:

27

Pobierz ppt "Przechowywanie i przetwarzanie danych poza przedsiębiorstwem w modelu cloud computing. Na co zwracać szczególną uwagę przy podpisywaniu umów z dostawcą."

Podobne prezentacje

AKTUALIZACJA STANU PRAWNEGO W ZAKRESIE KONTROLI WYMOGÓW I KONTROLI IDENTYFIKACJI I REJESTRACJI ZWIERZĄT Puławy, 23-24.11; 1-2.12.2010 r.; 11-12.01.2011.

AKTUALIZACJA STANU PRAWNEGO W ZAKRESIE KONTROLI WYMOGÓW I KONTROLI IDENTYFIKACJI I REJESTRACJI ZWIERZĄT Puławy, ; r.;
JASTRZĘBIA GÓRA 2010 Przekształcenia do postaci mapy zasadniczej do postaci cyfrowej i utworzenia baz danych Karol Kaim.

JASTRZĘBIA GÓRA 2010 Przekształcenia do postaci mapy zasadniczej do postaci cyfrowej i utworzenia baz danych Karol Kaim.
Dr hab. Fryderyk Zoll, prof. UJ i ALK

Dr hab. Fryderyk Zoll, prof. UJ i ALK
1 Zatrudnianie personelu do projektu Reguła proporcjonalności Kwalifikowalność uczestników.

1 Zatrudnianie personelu do projektu Reguła proporcjonalności Kwalifikowalność uczestników.
1. Podstawy prawne: - ustawa z dnia 7 kwietnia 1989 r.  Prawo o stowarzyszeniach, (Dz.U.01.79.855 j. t. z późn. zm.) - ustawa z dnia 25 czerwca 2010 r.

1. Podstawy prawne: - ustawa z dnia 7 kwietnia 1989 r.  Prawo o stowarzyszeniach, (Dz.U j. t. z późn. zm.) - ustawa z dnia 25 czerwca 2010 r.
Prace UE w zakresie systemów zabezpieczenia społecznego

Prace UE w zakresie systemów zabezpieczenia społecznego
Organizacje pozarządowe

Organizacje pozarządowe
Plan gospodarowania wodami – harmonogram i planowane prace

Plan gospodarowania wodami – harmonogram i planowane prace
POSTĘPOWANIE KONTROLNE

POSTĘPOWANIE KONTROLNE
Wdrożenie Dyrektywy 98/83/EC

Wdrożenie Dyrektywy 98/83/EC
Zasady wyboru podręczników przez nauczycieli.

Zasady wyboru podręczników przez nauczycieli.
Katowice, dnia 2 października 2012 roku

Katowice, dnia 2 października 2012 roku
[Main presentation title here – Verdana – 16 font]

[Main presentation title here – Verdana – 16 font]
Szwajcarsko-Polski Program Współpracy

Szwajcarsko-Polski Program Współpracy
Prof. dr hab. Krystyna Szczepanowska – Kozłowska

Prof. dr hab. Krystyna Szczepanowska – Kozłowska
Kompleksowe zarządzanie bezpieczeństwem informacji

Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.

Michał Sztąberek iSecure Sp. z o.o.
Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.

Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.
Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.

Rodzaje danych i podstawy prawne ich przetwarzania w branży ubezpieczeniowej adw. dr Paweł Litwiński 1 1.
Emilia Stępień, Bird&Bird Warszawa, 21 maja 2010

Emilia Stępień, Bird&Bird Warszawa, 21 maja 2010

Podobne prezentacje

Reklamy Google