`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Еще раз о GDPR: взаимоотношение «клиент — провайдер»

+33
голоса

Хотя волна шума вокруг GDPR несколько стихает, это вовсе не означает, что о проблемах, которые могут возникнуть вокруг соблюдения этого регламента стоит забыть. Ниже вы найдете очень краткое изложение нашего опыта, опыта компании Colobridge. Мы как немецкий провайдер адаптировали все процессы согласно новому европейскому закону и, возможно, он окажется вам полезен, если, скажем, ваша компания работает на рынки ЕС.

О GDPR
General Data Protection Regulation  — это регламент Евросоюза по сбору, хранению и обработке персональных данных граждан ЕС. Он был принят для того, чтобы обеспечить пользователям контроль над своими данными и предотвратить их несанкционированное использование, в том числе и бизнесом. Причина очевидна — сами потребители иногда понятия не имеют, кем, зачем и какие их данные используются (все мы помним, например, нашумевшую историю Facebook и Cambridge Analytics).

Несмотря на то, что это закон сугубо европейский, он имеет экстерриториальный принцип. Это означает, что под его действие подпадают не только компании-резиденты ЕС, но и компании со всего мира (в том числе и из Украины), которые ведут экономическую деятельность с Евросоюзом. А ввиду того, что ЕС стал главным внешнеторговым партнером Украины, украинский бизнес должен быть готов к работе в рамках этого регламента, который, подчеркнем, выдвигает компаниям строгие требования. Среди пунктов, обязательных к соблюдению: собирать только нужные данные в минимальном количестве, запрашивать четкое разрешение на сбор данных и указывать цель использования, логировать эти разрешения, обеспечить защиту от потери данных и несанкционированного доступа, удалять  и/или изменять данные по запросу субъекта данных (право на забвение), вести перечень всех процессов обработки персональных данных, которые происходят в компании, и по запросу предоставлять их контролирующим органам, в случае утечки данных сообщать об этом в контролирующие органы в течение 72 часов.

Роль провайдера
Регламент GDPR разграничивает три категории — контроллера, обработчика и получателя данных. И ответственным за обработку данных является именно контроллер, причем вне зависимости от того, обрабатывает ли он данные самостоятельно или передает эту задачу третьим лицам. В какую категорию в этом контексте попадает провайдер? Давайте разберем эти роли на примере интернет-магазина.

 взаимоотношение «клиент — провайдер»

Итак, мы владеем онлайн-магазином, среди клиентов которого есть граждане ЕС. Имеем сайт, CRM, биллинг. Этот магазин выступает контроллером, так как собирает и обрабатывает данные граждан ЕС. Он использует систему Google Analytics — классический пример обработки персональных данных (cookies посетителей сайта). То есть Google Analytics в этом случае является обработчиком, который по заказу контроллера занимается процессингом сырых данных из браузера посетителей и выдает нам агрегированные отчеты.

Представим, что онлайн-магазин хочет усовершенствовать свою CRM и нанимает команду разработчиков, чтобы создать новый модуль. Разработчикам открывают доступ в CRM, они анализируют API, данные, которые хранятся и с которыми модуль должен работать — соответственно, они получают доступ к персональным данным ваших клиентов и в этом случае являются получателями данных.

А какую роль играет провайдер, на сервере которого размещена эта самая CRM? Выходит, что провайдер не подпадает ни под одно из этих определений, ведь фактически он не имеет доступа к вашим серверам и не знает, какие данные там находятся. Он также не занимается обработкой данных.

Если мы рассмотрим классические группы сервисов, которые поставляет хостинг-провайдер, — сервисы на уровне ЦОДа (помещение с инфраструктурой), аренда ресурсов ЦОДа (colocation) или выделенного физического оборудования, облачные сервисы (кроме SaaS) — мы увидим, что во всех этих случаях провайдер  даже не представляет, что хранится на серверах клиента: есть ли там вообще персональные данные, или на них разворачиваются производственные процессы, ERP-система и т. д. Он всего лишь предоставляет ресурсы, которые бизнес использует согласно своим задачам. Однако провайдер отвечает за защиту данных клиента в границах своей зоны ответственности, соответствующей отдельно взятой услуге. Если же провайдер занимается администрированием ИТ-инфраструктуры клиента — начиная с физического обслуживания оборудования, продолжая обслуживанием виртуализации, ОС, баз данных и клиентских приложений — то при определенном уровне этой услуги он становится получателем данных. Во всех остальных случаях он не подпадает ни под одну из ролей GDPR.

Бизнес и вызовы multicloud
Бизнес несет ответственность за то, чтобы обработка данных его клиентов происходила в соответствии с требованиями нового регламента. Ему важно знать, где локализованы данные клиентов, например в каком именно ЦОДе они находятся. Если компания пользуется услугами многих провайдеров, дата-центры которых разбросаны по всему миру, проблема усугубляется, так как нужно учитывать требования законодательств всех задействованных стран. Примерно это и происходит в реалиях multicloud.

Согласно статистике, корпорации в ЕС используют в среднем около 600 облачных сервисов (данные за 2015 год). Причем зачастую ИТ-отдел даже не знает обо всех этих приложениях, так как применение новых сервисов инициируется коммерческим отделом, продажами, маркетингом, бекофисом и т. д. А если добавить сюда тренд BYOD, задача централизованного контроля выполнения GDPR и протоколирования всех процессов представляется труднореализуемой. Как тогда компания может обезопасить себя?

    Необходимо подходить к построению своей multicloud-стратегии, рассматривая каждого ее участника индивидуально. Важно провести тщательный анализ договоров с партнерами и понять, насколько подрядчик отвечает вашим требованиям безопасности. В отличие от украинского и российского закона о хранении персональных данных, регламент GDPR не заставляет хранить данные строго на территории ЕС, но чувствительно реагирует на ситуации, когда происходит передача данных в третьи страны, особенно, если политическое устройство этих государств не соответствует европейским демократическим ценностям.
    Эффективным инструментом для обеспечения защиты данных будет шифрование. В идеале ключи должны храниться у контроллера, тогда даже в случае хакерского взлома ваши данные останутся в безопасности.
    Нужно определить ответственных за используемые сервисы и регулярно проводить аудит всех приложений, использующихся в компании, знать, с какими данными они работают, какие операции выполняют. Не обойтись и без внедрения более строгих правил по выбору и подключению новых SaaS-решений вашими подразделениями.
    Меняющиеся и часто несовместимые между собой требования законодательства могут стать проблемой как для облачных провайдеров, желающих расширить свое присутствие с добавлением новых ЦОД, так и для бизнеса, который стремиться к интернациональному расширению. В то время как GDPR выдвигает достаточно конкретные требования  к компаниям, порядок защиты персональных данных в других частях мира может быть очень расплывчатым и сложным для выполнения. Однако нам необходимо учиться работать с подобными требованиями, ведь это только начало. Некоторые эксперты считают, что логическим продолжением темы защиты данных станут глобальные стандарты, которые придут на смену GDPR через 5 лет.

Обязанности провайдера перед клиентом
Хотя в рамках GDPR провайдеру в области защиты персональных данных отводится далеко не главная роль, он все равно обязан обеспечить клиенту должный уровень информационной безопасности в рамках своей зоны ответственности. Перед заключением договора клиенту важно прояснить с провайдером некоторые ключевые моменты.

 взаимоотношение «клиент — провайдер»

Физический доступ
Прежде всего стоит расспросить про физический доступ сотрудников и третьих лиц в сам ЦОД и непосредственно на площадку, где стоит используемое вами оборудование. Не помешает узнать, каким образом оборудование защищено от повреждения и, соответственно, возможной потери данных. Отметим, что размещая данные в коммерческих ЦОД, вместо организованного своими силами дата-центра в офисе, вы скорее всего получите более высокий уровень защиты. Дело в том, что механизмы контроля доступа, видеонаблюдения, аутентификация по биометрическим данным являются сложными и дорогостоящими системами, которые не каждый бизнес готов внедрить у себя. Сотрудничая с провайдерами, компания исключает для себя много рисков.

Контроль за выполнением действий с оборудованием
Узнайте, как организован ремонт компонентов аппаратного обеспечения. Один из ключевых моментов — контроль удаления данных с дисков. Важно знать, что происходит с данными, когда диски отправляются на ремонт производителю.

Цифровые средства защиты
Здесь нужно обратить внимание на средства защиты личного кабинета клиента, средства защиты на уровне облачной платформы (доступы к виртуальным машинам и гипервизору) и на уровне системы хранения данных, безопасность сети (VPN, Firewall) и создание резервных копий.

Администрирование
Скорее всего провайдер не предоставит вам свои внутренние документы и регламенты, но вы имеете право запросить список гарантий, например, гарантии использования защищенных каналов связи, регламентирование прав доступа, гарантии того, что данные с ваших серверов не будут скачаны, что действия сотрудников контролируются и фиксируются.

Заключение
Как видим, кардинально новых изменений в сотрудничестве с провайдерами ИТ-услуг GDPR не предполагает. Мы просто говорим о гарантиях качества и добросовестности, которые согласно требованиям нового регламента должны быть получены, формализованы, задокументированы и собраны в одном месте.

 


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+33
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT