Zabezpieczanie danych w chmurze. Jak zrobić to zgodnie z prawem?

Przechowywanie danych osobowych w chmurze – o czym pamiętać

Coraz częściej przedsiębiorcy wybierają cloud computing, czyli rozwiązanie polegające na przechowywaniu danych w tzw. chmurze. Rozwiązanie to pozwala na redukcję kosztów działalności przedsiębiorstwa z uwagi na jednoczesny outsourcing części usług IT, a jednocześnie pozwala na poprawę jakości ich działania. Z drugiej strony nie należy zapominać o konieczności zapewnienia bezpieczeństwa przetwarzanych danych osobowych. Sprawdź, o czym pamiętać, przechowując dane osobowe w chmurze.

Z tematu tygodnia dowiesz się m.in.: jak wybrać dostawcę usługi chmurowej w kontekście ochrony danych,

czy z dostawcą usługi chmurowej należy zawrzeć umowę powierzenia przetwarzania danych

kto odpowiada za naruszenie ochrony danych przechowywanych w chmurze.

Dostawca usługi chmurowej jako procesor

Przedsiębiorcy przechowują dane w chmurze, korzystając zarówno z dedykowanych rozwiązań w postaci aplikacji chmurowych (SaaS), jak również z całych platform (PaaS) czy też infrastruktury chmurowej (IaaS). W ramach tych danych przetwarzane są także dane osobowe. Przechowywane są one na serwerach zarządzanych przez usługodawcą, co oznacza konieczność wprowadzenia odpowiednich rozwiązań w zakresie ochrony danych pomiędzy przedsiębiorcą, a podmiotem świadczącym usługi cloud computing.

Przedsiębiorca korzystający z usługi chmurowej posiada status administratora danych osobowych, ponieważsamodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Innymi słowy podmiot korzystający z usług chmurowych decyduje o tym w jakim celu przetwarzane będą dane osobowe, jak również w jaki sposób mogą być przetwarzane – np. w zakresie obsługi klientów czy wykonywania umów o pracę zawartych z pracownikami (art. 4 pkt 7 RODO)

Z kolei dostawca usług chmurowych jedynie świadczy usługę, która pozwala administratorowi danych osobowych na zrealizowanie swoich celów w zakresie przetwarzania danych osobowych. Sam zaś nie decyduje o sposobie i celu przetwarzania tych danych. Dlatego dostawcę należy uznać za podmiot przetwarzający (art. 4 pkt 8 RODO). W konsekwencji dochodzi tu do powierzenia przetwarzania danych osobowych. Warunki tego powierzenia reguluje art. 28 RODO, który nakłada liczne obowiązki zarówno na administratora danych, jak i na podmiot przetwarzający. Obowiązki te powinny być skonkretyzowane w łączącej strony umowie o świadczenie usług ewentualnie w odrębnej umowie powierzenia przetwarzania danych.

Zanim zawrzesz umowę powierzenia – wybierz bezpiecznego dostawcę

Administrator powinien wykonać niektóre obowiązki w zakresie ochrony danych jeszcze przed zawarciem umowy z dostawcą usługi chmurowej (ewentualnie umowy powierzenia przetwarzania danych) i przekazaniem danych osobowych na podstawie tej umowy. Administrator musi bowiem wybrać taki podmiot przetwarzający, który zagwarantuje wdrożenie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Jak zrealizować ten obowiązek? Przepisy tej kwestii nie określają. Należy jednak przyjąć, że mniejsi administratorzy, którzy przetwarzają stosunkową niewielką ilość danych osobowych (bez danych szczególnej kategorii takich jak np. dane o stanie zdrowia czy dane biometryczne) powinni przynajmniej zbadać, jakie standardy w zakresie bezpieczeństwa przetwarzania danych spełnia potencjalny procesor.

Przykład

Chcesz zweryfikować dostawcę chmurowego pod kątem bezpieczeństwa przetwarzania danych? Zapoznaj się z informacjami dotyczącymi zasad zachowania poufności publikowanymi na stronie internetowej dostawcy. Jeżeli to nie będzie wystarczające, zadaj mu odpowiednie pytania, które pozwolą na pełną weryfikację. Odmowa ich udzielenia powinna eliminować potencjalnego dostawcę z listy podmiotów, które administrator bierze pod uwagę.

Uzasadnienie znajduje również zweryfikowanie doniesień medialnych na temat bezpieczeństwa danych w danym podmiocie lub opinii jego klientów (choć w praktyce takie doniesienia i opinie nie są jeszcze zbyt częste). Jeśli jednak administrator dotrze do takich informacji i wzbudzają one wątpliwości, gdyż np. świadczą o braku odpowiedniej reakcji dostawcy na przypadki naruszeń ochrony danych osobowych czy nieudzielania odpowiedzi na pytania klientów dotyczące przetwarzania danych osobowych, wówczas zasadna jest rezygnacja z usług podmiotu, którego te informacje dotyczą.

Z kolei w sytuacji gdy administrator zamierza przekazać dane osobowe w szerszym zakresie lub będą to dane szczególnej kategorii, należy przeprowadzić audyt u potencjalnego podmiotu przetwarzającego.

Co w umowie powierzenia

W następstwie wyboru odpowiedniego dostawcy usług chmurowych administrator danych osobowych powinien zawrzeć z nim umowę powierzenia przetwarzania danych osobowych, ewentualnie strony powinny przewidzieć odpowiednie zapisy w zakresie przetwarzania danych w umowie o świadczenie usług. W umowie należy w szczególności przewidzieć zobowiązanie podmiotu przetwarzającego do stosowanie odpowiednich środków bezpieczeństwa przetwarzania danych. Procesor powinien być zobligowany do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zagwarantować stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, przy uwzględnieniu stanu wiedzy technicznej, kosztów wdrażania (art. 28 ust. 3 lit. c, art. 32 ust. 3 RODO).

Choć zgodne z prawem, to jednak samo przytoczenie wskazanych wyżej przepisów nie zawsze będzie wystarczające. Rozwiązanie takie pozwala bowiem podmiotowi przetwarzającemu na dość dowolny wybór zabezpieczeń danych osobowych przechowywanych w chmurze. Dlatego w zależności od potrzeb administratora danych osobowych warto rozważyć zobowiązanie dostawcy usług chmurowych do stosowania określonej metodologii związanej z dokonywaniem analizy ryzyka. Dzięki takiemu rozwiązaniu podmiot przetwarzający ma względną dowolność w wyborze określonych zabezpieczeń, niemniej jednak przy ich wyborze powinien jednak kierować się umówionymi metodami dokonywania oceny, które zabezpieczenia są adekwatne (np. zgodnie z normami ISO).

Uwaga Niezależnie od przyjętych środków bezpieczeństwa podmiot przetwarzający nie jest zwolniony z odpowiedzialności za naruszenie ochrony danych, gdyby wybrane przez niego zabezpieczenia okazały się niewystarczające. Z drugiej strony uchybienie podmiotu przetwarzającego (np. nieuprawnione udostępnienie danych) godzi też w renomę administratora.

Jeszcze dalej idącym rozwiązaniem jest wprowadzenie do umowy (w jej treści lub w załączniku) konkretnych rodzajów zabezpieczeń, jakie zobligowany jest stosować podmiot przetwarzający. Dzięki takiemu zapisowiadministrator zyska stosunkowo dużą wiedzę na temat tego jakie zabezpieczenia są stosowane przez podmiot przetwarzający i poza tym ma realny wpływ na kształtowanie polityki ochrony danych przetwarzanych w chmurze. W takiej sytuacji ewentualna zmiana środków bezpieczeństwa będzie bowiem wymagała zgody obydwu stron umowy.

Odpowiedzialność za dane w chmurze ponosi także administrator

Niezależnie od przyjętych środków bezpieczeństwa należy mieć świadomość, że w przypadku naruszenia ochrony danych przechowywanych w chmurze finalną odpowiedzialność względem podmiotów danych poniesie administrator danych osobowych. Odpowiedzialność administratora obejmie bowiem obszar, w którym dane są przetwarzane przez podmiot przetwarzający. Dlatego właśnie tak istotne jest zbadania, jaki poziom zabezpieczeń został osiągnięty przez dostawcę usług chmurowych.

Reasumując …

Usługi chmurowe

Usługi chmurowe

Świadczymy usługi budowania rozwiązań technologicznych w chmurze oraz pomagamy w procesie migracji infrastruktury lokalnej do chmury. W naszych projektach korzystamy z usług AWS, Microsoft Azure oraz Google Cloud Platform.

Korzyści płynące z użytkowania chmury

Redukcja kosztów operacyjnych Wysokie bezpieczeństwo danych Stały dostęp do danych z wielu urządzeń Elastyczność zarządzania zasobami Szybkość postawienia infrastruktury

Zakres działania tworzenie aplikacji w chmurze,

migracja danych i infrastruktury lokalnej do chmury,

wdrożenie aplikacji na platformie chmurowej,

rozwój i skalowanie rozwiązań, budowanie produktów wykorzystujących bazy danych z chmury,

tworzenie rozwiązań opartych o pamięć masową i moc obliczeniową chmury,

budowanie chatbotów,

tworzenie systemów z zakresu IoT. Rozwiązania aplikacje mobilne,

aplikacje webowe,

strony internetowe,

systemy do zarządzania urządzeniami IoT.

W naszych projektach korzystamy z usług platform chmurowych

ImpiCode Skontaktuj się z nami. Chętnie porozmawiamy o Twoich potrzebach i przygotujemy ofertę. Napisz do nas >

French Touch Aplikacja mobilna dla uczestników French Touch Case study >

"I appreciate the ImpiCode commitment, friendly attitude and excellent understanding of our needs. They are not only great partners but also experienced developers. I want to highlight that ImpiCode has done a great job."

~Daniel Teboul

President Cryptone Agency

Nasi Klienci

Co to jest chmura obliczeniowa?

Chmura obliczeniowa jest platformą dostarczającą różnorakich usług za pośrednictwem Internetu. Chmura zapewnia rozwiązania i narzędzia m.in. z zakresu przechowywania danych, serwerów, sieci, baz danych i oprogramowania. Wiadomo, że dane są potrzebne do przeprowadzenia różnych analiz, m.in. dotyczących zachowań i oczekiwań konsumentów. Z zebranych informacji wiele firm wyciąga wnioski i konkluzje wyznaczające dalszy kierunek rozwoju produktu. Nic więc dziwnego, że wiele podmiotów chce gromadzić jak największą ilość danych. Jednakże sporym problemem może być ich przechowywanie. Zamiast kupować kilka serwerów i przechowywać pliki na twardym dysku lub lokalnym urządzeniu magazynującym, można skorzystać z usług rozwiązań platformy chmurowej i deponować dane w chmurze. Użytkownik ma wówczas dostęp do danych tak długo, jak jest podłączony do Internetu.

Nazwa "chmura" jest bardzo szerokim pojęciem, pod którym kryje się wiele znaczeń. Chmura zapewnia przede wszystkim dostęp do serwerów za pośrednictwem Internetu, a także do oprogramowania i baz danych działających na tych serwerach. Serwery wykorzystywane w chmurze znajdują się w centrach danych zlokalizowanych na całym świecie. Do głównych atrybutów chmury zalicza się m.in. oszczędność kosztów, szybkość, wydajność i bezpieczeństwo. Dodatkowo użytkownicy chmury obliczeniowej nie tracą czasu na zarządzanie fizycznymi zasobami serwerów oraz uruchamianie aplikacji w swoich środowiskach. Jest to szczególnie ważny aspekt dla małych firm, których nie stać na stworzenie i utrzymanie własnej wewnętrznej infrastruktury, ale mogą sobie pozwolić na zaspokojenie potrzeb za pomocą rozwiązań chmurowych. Chmura ułatwia również prowadzenie działalności międzynarodowej, ponieważ pracownicy i klienci mają dostęp do tych samych plików i aplikacji z dowolnego urządzenia i miejsca na świecie.

Modele dostarczania usług w chmurze

Chmura obliczeniowa nie jest pojedynczym elementem technologii, lecz systemem oferującym swoje usługi w kilku modelach. Do najczęściej wykorzystywanych modeli stosowanych w chmurze należą: SaaS, IaaS i PaaS. Należy zaznaczyć, że coraz popularniejszy staje się również model FaaS. Poniżej opiszemy dokładnie na czym poszczególne modele polegają.

IaaS

Model IaaS (Infrastructure as a Service) odnosi się do dostępu do infrastruktury informatycznej. IaaS polega na dostarczeniu odpowiedniej przestrzeni, w której klient może zbudować własne rozwiązanie. W tym modelu firmy wynajmują serwery lub potrzebną pamięć masową od dostawcy chmury. Klienci nie wynajmują zasobów fizycznych, lecz wykupują zasoby wirtualne, do których mają dostęp poprzez Internet. Dzięki temu unikają konieczności kupna oprogramowania lub serwerów i obniżają koszty związane m.in. z utrzymaniem tych zasobów. Warto wspomnieć, że użytkownik posiada pełną kontrolę nad systemami operacyjnymi, aplikacjami i przestrzenią dyskową, mimo iż nie zarządza sprzętową infrastrukturą chmury. W celu lepszego zrozumienia funkcjonowania modelu IaaS posłużymy się metaforą. IaaS działa jak firma dzierżawiąca działkę. Firma dostarcza odpowiedniej przestrzeni, ale to klient musi się sam zaopatrzyć w narzędzia i materiały niezbędne do zbudowania domu. W podobny sposób funkcjonują usługi w modelu IaaS. Model IaaS wykorzystywany jest m.in przez Microsoft Azure i IBM Cloud.

PaaS

Kolejnym często stosowanym modelem dostarczania usług w chmurze jest PaaS (Platform as a Service), który zapewnia dostęp do platform programistycznych. W przeciwieństwie do modelu IaaS, który zapewnia przestrzeń do budowy aplikacji, PaaS dostarcza narzędzi niezbędnych do stworzenia rozwiązania. W tym modelu klienci nie płacą za hostowanie aplikacji, lecz dokonują płatności za wszystkie zakupione narzędzia niezbędne do zbudowania rozwiązania technologicznego. Dostawcy PaaS oferują wszystko, co jest konieczne do zbudowania aplikacji, czyli zapewniają narzędzia deweloperskie, infrastrukturę oraz systemy operacyjne. PaaS posiada pewne podobieństwa z modelem SaaS, a podstawowa różnica polega na tym, że model SaaS dostarcza oprogramowanie online, a PaaS zapewnia wszystkie usługi pozwalające na zbudowanie własnego oprogramowania przez Internet. Model PaaS wykorzystywany jest w usługach oferowanych przez platformę Salesforce i Heroku.

SaaS

Usługi oferowane w modelu SaaS (Software as a Service) zapewniają klientowi dostęp do oprogramowania za pośrednictwem Internetu. W modelach IaaS i PaaS użytkownik tworzy własne rozwiązania wykorzystując dostarczane zasoby. W modelu SaaS użytkownik korzysta z gotowych rozwiązań oferowanych przez platformę. Oprogramowanie jako usługa obejmuje licencjonowanie aplikacji dla klientów. Użytkownicy nie muszą instalować aplikacji na urządzeniu, lecz mają dostęp do niej za pośrednictwem chmury. Licencje aplikacji są zwykle dostarczane w modelu płatności zgodnie z rzeczywistym użytkowaniem aplikacji. Microsoft Office 365 dostarcza niektóre swoje usługi w tym modelu.

FaaS

Model FaaS (Function as a Service), znany również pod pojęciem przetwarzania bezserwowego, polega na podzieleniu aplikacji umieszczonej w chmurze na mniejsze elementy działające tylko wtedy, gdy są potrzebne. Model FaaS jest podobny do modelu SaaS z tą różnicą, że w modelu FaaS istnieje możliwość korzystania z części oprogramowania. Usługi w modelu FaaS pozwalają wydzielić pewne fragmenty kodu, które uruchamiane są na żądanie. Ten model wykorzystywany jest w rozwiązaniach stosowanych przez AWS, Microsoft Azure czy Google Cloud Platform.

Chmura a lokalizacja serwerów

Obecnie istnieją trzy główne typy chmur obliczeniowych, które różnią się między sobą przede wszystkim przeznaczeniem, a także aspektami technicznymi związanymi z serwerami. Zanim firma podejmie decyzje o rozpoczęciu korzystania z chmury, powinna dobrze zapoznać się z jej wszystkimi rodzajami.

Chmura publiczna

Chmura publiczna jest usługą świadczoną przez zewnętrznego dostawcę, która polega na współdzieleniu serwerów. Oznacza to, że poszczególne serwery mogą być użytkowane przez różne firmy w tym samym czasie, ponieważ właściciel chmury udostępnia moc obliczeniową i przestrzeń dyskową wielu klientom jednocześnie. Do głównych zalet tego rozwiązania należą przede wszystkim niższe koszty usługi niż w przypadku chmury prywatnej oraz możliwość szybkiego dokupienia dodatkowych zasobów.

Chmura prywatna

Chmura prywatna może być konkretnym serwerem, centrum danych lub rozproszoną siecią w całości dedykowaną jednemu klientowi. W takim przypadku chmura jest użytkowana wyłącznie przez jeden podmiot. Chmury prywatne charakteryzują się wyższym poziomem bezpieczeństwa gromadzonych danych, dlatego na to rozwiązanie decydują się przede wszystkim organizacje i firmy przechowujące dane poufne.

Chmura hybrydowa

Chmura hybrydowa dostarcza usług zarówno w formie chmury publicznej jak i prywatnej. Firmy często używają chmury prywatnej tylko do przechowywania danych poufnych, a pozostałe pliki, aplikacje i informacje trzymają w chmurze publicznej. Dodatkowo z usług chmury publicznej można korzystać w momencie przeciążenia zasobów firmy. Chmura hybrydowa pozwala na obniżenie wysokich kosztów użytkowania chmury prywatnej, a także zapewnia dużą elastyczność użytkowania.

Najpopularniejsze platformy chmurowe

Wraz ze wzrostem popytu na usługi oferowane przez chmurę, rośnie również liczba dostawców platform chmurowych. Mimo to, najwięcej firm korzysta z usług oferowanych przez kilku największych usługodawców chmury ze względu na duże możliwości i wysokie bezpieczeństwo przechowywanych danych. Poniżej przedstawimy najpopularniejsze platformy chmurowe.

Google Cloud Platform

Już po nazwie można się zorientować, że Google Cloud Platform jest dostarczana przez firmę Google i pozwala na korzystanie z jej infrastruktury. Google Cloud umożliwia budowanie, testowanie i wdrażanie własnych rozwiązań opartych o infrastrukturę Google. Warto podkreślić, że chmura oferuje nie tylko podstawowe usługi w modelu IaaS, ale również dostęp do wielu narzędzi analitycznych i innych usług do których należą m.in. BigQuery, Compute Engine czy Cloud Bigtable.

AWS

AWS jest najpopularniejszą i najbardziej rozwijającą się chmurą obliczeniową na świecie. Skrót AWS pochodzi od Amazon Web Services. Szacuje się, że platforma Amazona posiada 47% udziału na rynku dostawców chmur. Swoją olbrzymią popularność zawdzięcza przede wszystkim oferowaniu największej ilości usług oraz zapewnieniu wysokiego bezpieczeństwa danych przechowywanych w chmurze.

Microsoft Azure

Microsoft Azure wraz z AWS i Google Cloud dominuje na rynku usług chmury publicznej. Platforma Azure została stworzona w modelu PaaS i oferuje usługi przechowywania oraz przetwarzania danych. Tak jak inne chmury pozwala na tworzenie i zarządzanie aplikacjami przez Internet.

IBM Cloud

IBM Cloud jest kolejnym przykładem chmury publicznej, którą warto znać. Platforma IBM Cloud jest dostawcą typu full-stack. Oznacza to, że chmura dostarcza wszystkich narzędzi niezbędnych do zbudowania własnego rozwiązania technologicznego.

Alibaba Cloud

Alibaba Cloud jest ostatnią na naszej liście znaczącą platformą chmurową. Swoje usługi kieruje zarówno do klientów sprzedających produkty za pośrednictwem platform e-commerce, jak i do startupów, korporacji czy instytucji państwowych. Alibaba Group w swojej działalności także korzysta z rozwiązań chmury.

Opracowanie własne na podstawie danych z Synergy Research Group z 2020 r.

Przykładowe chmury

Z chmury korzystają nie tylko startupy oraz małe i średnie firmy, ale również giganci technologiczni i korporacje. Poniżej przedstawimy przykładowe chmury.

Google Drive

Google Drive jest usługą przetwarzania danych w chmurze, pozwalającą na przechowywanie różnych plików na dysku Google. Dodatkowo usługa umożliwia wspólną edycję pliku przez wiele osób jednocześnie, co w rezultacie przyczynia się do zwiększenia efektywności i podnosi wydajność pracy zespołowej. Na dysku Google przechowuje się przede wszystkim dokumenty, arkusze i prezentacje. Warto podkreślić, że z dysku można korzystać również za pośrednictwem tabletów i smartfonów. W rzeczywistości nie tylko dysk Google, ale również inne usługi firmy Google takie jak Gmail, Google Calendar czy Google Maps korzystają z rozwiązań chmury.

Apple iCloud

Usługa iCloud służy głównie do przechowywania plików online, tworzenia kopii zapasowych i synchronizacji kalendarza czy poczty. Dzięki usłudze można nie tylko przechowywać dokumenty, zdjęcia, wideo, utwory muzyczne czy aplikacje, ale również można je szybko udostępniać innym osobom. Usługa Apple oferuje własne wersje edytora tekstowego i arkusza kalkulacyjnego, na których użytkownicy mogą pracować z dowolnego urządzenia z systemem iOS. Warto podkreślić, że rozwiązanie iCloud dostępne jest również dla użytkowników systemu Windows pod warunkiem, że na urządzeniu zostanie zainstalowany panel sterowania iCloud. Usługa Apple oferuje również aplikację, która pozwala określić lokalizację zgubionego iPhona.

Dropbox

Dropbox jest usługą przechowywania i synchronizacji plików, oferującą również dodatkowe funkcje, które pozwalają łatwiej zarządzać zespołem czy też bezproblemowo udostępniać pliki. Usługa pozwala na podłączenie innych narzędzi m.in. Slacka, Zooma czy HelloSign. Dodatkowo funkcja Paper pozwala na wspólną organizację pracy nad projektem według zadań i terminów.

Aplikacje oparte na chmurze

Obecnie powstaje coraz więcej aplikacji i narzędzi opartych o chmurę obliczeniową. Poniżej zaprezentujemy najpopularniejsze rozwiązania wykorzystujące usługi platformy chmurowej.

Slack

Slack jest działającą w chmurze aplikacją umożliwiającą komunikację grupową. Narzędzie zapewnia użytkownikom szybką komunikację poprzez możliwość wysyłania wiadomości, plików multimedialnych oraz organizowanie wideokonferencji. Dużym atutem Slacka jest możliwość tworzenia otwartych i zamkniętych kanałów, dzięki czemu użytkownicy mają dostęp do informacji z obszarów i projektów, nad którymi pracują.

Stripe

Stripe jest zintegrowanym systemem płatności online, dzięki któremu programiści bardzo szybko mogą stworzyć bramkę płatności i pobierać płatności za zamówienia z całego świata. Rozwiązanie Stripe oparte jest na usługach chmury AWS i skierowane jest głównie do sklepów internetowych. Warto podkreślić, że instalacja i konfiguracja bramki płatności Stripe przebiega szybko i sprawnie. Dużym plusem rozwiązania jest obsługa przelewów w większości walut.

NetSuite

NetSuite firmy Oracle jest systemem ERP funkcjonującym w oparciu o chmurę. Rozwiązanie NetSuite pozwala na automatyzację wielu procesów takich jak zarządzanie finansami, przychodami, środkami trwałymi, zamówieniami, a także zapasami. Dodatkowo narzędzie NetSuite można bardzo łatwo zintegrować z innymi systemami poprzez API. Rozwiązanie firmy Oracle wspiera rozwój wielu przedsiębiorstw z całego świata.

Cisco Webex Meetings

Cisco Webex Meetings jest platformą opartą o chmurę, umożliwiającą organizowanie spotkań, konferencji i szkoleń online. Użytkownicy mogą korzystać z rozwiązania poprzez przeglądarkę, komórkę lub urządzenie wideo. Cisco Webex Meeting oferuje zintegrowane funkcje udostępniania dźwięku, wideo i treści, dzięki czemu wspólna praca zdalna staje się efektywniejsza.

Coraz więcej firm i organizacji decyduje się na korzystanie z usług platform chmurowych. Zamiast budować i utrzymywać własne centrum danych, firmy współdzielą serwery, dzięki czemu elastycznie dostosowują zasoby obliczeniowe do zapotrzebowania i płacą za faktycznie wykorzystane zasoby. Popyt na usługi chmury obliczeniowej wzrasta z roku na rok. Z badań przeprowadzonych przez firmę analityczną Gartner wynika, że globalny rynek usług chmury publicznej w 2021 r. może osiągnąć nawet 308,5 miliardów dolarów.

Jeżeli masz ochotę dowiedzieć się więcej na temat platform chmurowych lub potrzebujesz wsparcia w swoim projekcie – napisz do nas przez formularz kontaktowy. Przejdź do formularza >

Więcej na blogu

Zabezpieczanie danych w chmurze. Jak zrobić to zgodnie z prawem?

W obecnych czasach coraz więcej osób prywatnych jak i firm korzysta z usług w chmurze. Co istotne również administracja publiczna wykorzystuje rozwiązania oparte o chmurę. Tak naprawdę każdy z nas na co dzień korzysta z rozwiązań tego typu używając swojego smartfona i wgranych aplikacji mobilnych.

Reklama

W obecnych czasach coraz więcej osób prywatnych i firm korzysta z usług w chmurze. Poza niezliczonymi korzyściami idącymi za korzystaniem z rozwiązań tego typu, pojawiają się również zagrożenia. To właśnie na nie powinniśmy zwrócić uwagę mówiąc o zabezpieczeniu danych w chmurze.

Reklama

Rozwiązania chmurowe są obecnie tak atrakcyjne przede wszystkim z uwagi na możliwość wygenerowania naprawdę znacznych oszczędności w przypadku przechowywania danych w chmurze. Firmy mogą przy rozwiązaniach chmurowych pozbyć się wydatków takich jak zakup sprzętu, zakup infrastruktury sieciowej oraz systemów zabezpieczeń. Ponadto chmura stanowi również odpowiedz na ciągle rosnące zapotrzebowania firm i instytucji publicznych na większą moc obliczeniową oraz większą przestrzeń dyskową do uruchamiania aplikacji, do przechowywania dużej ilości danych oraz ich udostępniania na zewnątrz. Chmura daje możliwość zapisywania plików i obiektów o dowolnym rozmiarze. Przechowywanie danych w chmurze to też spore udogodnienie, bowiem ma się do nich dostęp z dowolnego komputera podłączonego do Internetu. Ponadto w chmurze dane są z definicji zaszyfrowane.

Pomimo powyżej wskazanych zalet rozwiązania chmurowego, przeniesienie danych do Internetu wiąże się z istotnymi obawami, w szczególności dla firm które działają na rynku w oparciu o swoje wypracowane know- how i patenty, stanowiące ich tajemnice przedsiębiorstwa. Takie firmy bezwzględnie nie mogą sobie pozwolić na to, aby ich tajemnica przedsiębiorstwa dostała się w ręce konkurencji. Co zatem zrobić aby mieć pewność, że nasze dane w chmurze są bezpieczne i są chronione przed ich ujawnieniem niepowołanym osobom ? Przede wszystkim powinniśmy wiedzieć w jaki sposób fizycznie chronione są serwery przez dostawcę usługi i gdzie zostały one zlokalizowane. Dostawca powinien nam zapewnić, że dostęp do naszych danych mają jedynie zaufane osoby po potwierdzeniu swojej tożsamości. Istotne jest to, aby dostawca miał wdrożone odpowiednie procedury i zabezpieczenia na wypadek awarii, które pozwolą na uratowanie naszych danych. Usługodawca powinien nam zapewnić monitorowanie dysków serwerów na wypadek awarii oraz utworzenie sum kontrolnych i kopi zapasowych naszych danych. Kopie naszych danych powinny znajdować się fizycznie na innych maszynach, najlepiej w innej lokalizacji, tak aby w przypadku awarii nie utracono kopii.

Z przechowywaniem danych w chmurze wiąże się również istotne zagadnienie prawne dotyczące danych osobowych. Należy bowiem pamiętać, że przekazanie danych osobowych dostawcy rozwiązań chmurowych to powierzenie przetwarzania danych. W związku z tym zgodnie z obowiązującymi przepisami z takim dostawcą należy podpisać umowę powierzenia przetwarzania danych osobowych lub w umowie na dostawę rozwiązania chmurowego zawrzeć stosowne postanowienia na temat powierzenia przetwarzania danych. W omawianej materii pomocne jest stanowisko Generalnego Inspektora Ochrony Danych Osobowych (od 25.05.2018 r. organem właściwym w zakresie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych). Na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych opublikowane zostało dziesięć głównych zasad stosowania usług chmurowych przez administrację publiczną – tzw. Dekalog chmuroluba. Oczywiście Dekalogiem tym może posługiwać się nie tylko administracja publiczna. Spisane w tym dokumencie reguły znajdą zastosowanie również do wszelkich innych podmiotów, w tym prywatnych, zainteresowanych zastosowaniem rozwiązań chmurowych. Najważniejsze z zasad wynikających z Dekalogu chmuroluba przedstawiają się następująco:

1. Decydując się na przekazanie choćby części swoich zasobów do chmury musimy zobowiązać dostarczyciela usługi chmurowej do przekazania pełnej informacji o wszystkich fizycznych lokalizacjach serwerów na których przetwarzane są lub mogą być przetwarzane dane. Należy przy tym pamiętać, aby przy korzystaniu z rozwiązań chmurowych nie doszło do przekazania danych poza Europejski Obszar Gospodarczy, czyli do tzw. krajów trzecich. Musimy wybrać dostawcę usługi chmurowej, który zagwarantuje zgodność z ustawodawstwem Unii Europejskiej w zakresie ochrony danych.

2. Dostarczyciel usługi chmurowej powinien umożliwić nam pełny dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych przyjmowanych w poszczególnych centrach przetwarzania danych.

3. Dostawca usługi chmurowej musi przekazać nam pełną informację dotyczącą podwykonawców i instytucji współpracujących, które mają udział w realizacji usługi chmurowej.

4. Każdy z podwykonawców traktowany jako podprzetwarzający dane osobowe powinien być związany takimi samymi klauzulami umownymi jak dostarczyciel usług chmurowych.

5. Dostawca usługi chmurowej nie może decydować o celach i sposobach przetwarzania danych administratora danych.

6. Administrator danych powinien mieć informacje o wszelkich zobowiązaniach publicznych dostawcy w stosunku do policji, służb specjalnych i organów ścigania w zakresie przekazywania wskazanym podmiotom dostępu do danych zamieszczonych w chmurze.

7. Dostawca usługi chmurowej wraz z odbiorcą tej usługi muszą określić zasady przeszukiwania, retencji i usuwania danych dostarczonych przez administratora danych.

8. Dostarczyciel usługi chmurowej powinien być zobowiązany do raportowania o wszystkich incydenty bezpieczeństwa danych.

9. Należy ustalić jakie wyłączenia lub ograniczenia odpowiedzialności dostarczyciela usługi mogą być zastosowane przy realizacji usługi.

10. Należy wszelkimi środkami unikać przywiązania do pojedynczego dostarczyciela usług chmurowych i jego rozwiązań technicznych.

Kluczem do sukcesu dla zabezpieczenia danym w chmurze powinna być zatem odpowiednia umowa, zawarta na piśmie z dostarczycielem usługi chmurowej, uwzględniająca powyżej wskazane w Dekalogu wymagania oraz określająca zakres powierzonych danych i cel ich przetwarzania.