| IFK | IRB | INFORLEX | GAZETA PRAWNA | INFORORGANIZER | APLIKACJA MOBILNA | PRACA W INFOR | SKLEP
reklama
Jesteś tutaj: STRONA GŁÓWNA > Księgowość > Obrót gospodarczy > Działalność gospodarcza > Zasady bezpieczeństwa danych w chmurze obliczeniowej

Zasady bezpieczeństwa danych w chmurze obliczeniowej

Korzystanie z usług chmurowych może wiązać się z ryzykiem i obawą o bezpieczeństwo przechowywanych w chmurze danych. Najlepszych praktyk w zakresie przetwarzania danych w chmurze dostarczały dotychczas standardy takie jak Cloud Security Alliance Security Guidance (Wytyczne bezpieczeństwa dla krytycznych obszarów w Cloud Computing), Cloud Control Matrix (CCM) czy choćby tzw. „Dekalog Chmuroluba”.

Historia ISO/IEC 27018:2014

Prace nad zbiorem standardów i zaleceń dotyczących bezpieczeństwa przetwarzania w chmurze obliczeniowej danych osobowych (Personally Identifiable Information – PII, dosł.: „informacje umożliwiające identyfikację osoby”) prowadziły również Międzynarodowa Organizacja Normalizacyjna (ISO) i Międzynarodowa Komisja Elektrotechniczna (IEC). Efektem tych działań jest opublikowana w lipcu 2014 roku norma ISO/IEC 27018:2014 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors).

Norma ta bazuje na dorobku prawnym różnych systemów, w tym państw członkowskich UE. Jej celem jest zapewnienie jakości i jednolitości standardów w zakresie ochrony danych stosowanych przez globalnych dostawców usług w chmurze działających transgranicznie. Standard rozszerza normę ISO 27001 dotyczącą zarządzania bezpieczeństwem informacji i jako pierwsza opisuje zasady bezpieczeństwa PII w chmurze publicznej.

50 Ściąg Księgowego z aktualizacją online

Standardy przewidziane w ISO/IEC 27018:2014


Do podstawowych założeń przyjętych w normie należą transparentność usługi z punktu widzenia użytkownika, ustalenie jasnych standardów w zakresie praw i obowiązków dostawcy usług i użytkownika oraz wdrożenie podstawowych zasad umożliwiających przetwarzanie danych przy zapewnieniu zgodności z głównymi wymogami prawnymi wynikającymi z różnych jurysdykcji.


Dostawcy, którzy chcieliby wdrożyć normę ISO/IEC 27018:2014, powinni przede wszystkim zapewnić użytkownikom kontrolę nad przetwarzaniem ich danych, w tym:
•    zapewnić możliwość dostępu, poprawiania i usunięcia danych;
•    zapewnić, aby dane użytkowników przetwarzane były zgodnie z ich instrukcjami i wskazanym celem.

Do obowiązków dostawców należy również zapewnienie ograniczeń w ujawnianiu i dostępie do danych ze strony podmiotów trzecich np. podwykonawców (w tym obowiązek zapewniania poufności i obowiązek ujawnienia podwykonawców użytkownikom).

Ponadto dostawca musi powiadamiać o każdym przypadku uzyskania dostępu do informacji przez nieuprawniony do tego podmiot. Norma narzuca także ograniczenia co do przesyłania danych w  sieciach publicznych i przechowywania ich na nośnikach przenośnych. Wprowadza też obowiązek zapewnienia odpowiedniego szkolenia zespołowi mogącemu mieć kontakt z danymi klientów oraz podpisanie z pracownikami stosownych umów o zachowaniu poufności.

reklama

Narzędzia księgowego

POLECANE

WYWIADY

reklama

Ostatnio na forum

Jednolity Plik Kontolny

Eksperci portalu infor.pl

Finelog

Finelog sprawia, że logistyka przestaje ograniczać Twój biznes. Tam, gdzie większość ludzi widzi tylko problemy, my widzimy wyzwania i, co jeszcze ważniejsze, rozwiązania.

Zostań ekspertem portalu Infor.pl »