Zaznacz stronę
2021 01 12_Szymon Ciach_Bezpieczeństwo W Chmurze

Bezpieczeństwo prawne w chmurze

Szymon Ciach w rozmowie z Dziennikiem Gazetą Prawną.

Bezpieczeństwo danych w sieci zależy od wielu czynników, jednak odpowiednio sformułowana umowa stanowi narzędzie kontroli nad dostawcą usług chmurowych. Dlatego aspekt prawny w kontekście rozwiązań cloud computing jest tak istotny.

Wybór dostawcy

Wraz z rozwojem usług i rozwiązań chmurowych powraca kwestia zapewnienia odpowiedniego poziomu bezpieczeństwa danych. Co zrobić, aby zwiększyć kontrolę nad informacjami przechowywanymi w chmurze? Po pierwsze, wybrać odpowiedniego dostawcę. Należy zwrócić uwagę zwłaszcza na standardy bezpieczeństwa, jakie on stosuje. Globalne firmy zapewniają zazwyczaj wyższy poziom ochrony danych potwierdzony szeregiem certyfikatów zgodności z normami międzynarodowymi, np. certyfikatami ISO.

 Umowa

Spełnienie norm bezpieczeństwa powinno być zagwarantowane już w umowie z dostawcą. Z pomocą prawnika warto zweryfikować też, czy umowa zabezpiecza dostęp do danych oraz określa, do jakich celów mogą być one wykorzystane, a także czy precyzuje zakres odpowiedzialności dostawcy.

Podział odpowiedzialności za bezpieczeństwo informacji różni się bowiem w zależności od charakteru usługi w chmurze. Na przykład w modelu Software as a Service (SaaS), z którego korzystamy choćby w przypadku poczty elektronicznej, wpływ klienta na przetwarzanie danych jest bardzo ograniczony, a procesem zarządza dostawca. Z kolei w modelu Infrastructure as a Service (IaaS), użytkownicy mają dużo większą kontrolę nad bezpieczeństwem informacji, a odpowiedzialność dostawcy ogranicza się do udostępnienia usług za pomocą odpowiednich paneli.

Analiza ryzyka

W zapewnieniu bezpieczeństwa w chmurze duże znaczenie mają również regulacje prawne, które mają zapewnić stworzenie ustandaryzowanego środowiska dla przedsiębiorców i dostawców usług chmurowych. Dziś większość rozwiązań prawnych skupia się na sektorze finansowym, w którym bezpieczeństwo przetwarzanych informacji ma szczególne znaczenie. Dlatego przed wdrożeniem usług chmurowych należy dokonać analizy zgodności zastosowanych rozwiązań chmurowych z wymogami prawnymi.

Regulatorzy ze szczególną uwagą patrzą na to, gdzie ma być wykonywana umowa. Warto więc zwrócić uwagę to, w jakim regionie będą przetwarzane nasze dane. Co istotne, zazwyczaj nie jest to państwo, w którym mieści się siedziba dostawcy usług chmurowych. Globalne firmy posiadają bowiem serwery na całym świecie, co umożliwia im zachowanie ciągłości działania w razie lokalnych awarii.

Zapis o miejscu przetwarzania danych powinien się znaleźć w umowie. Kontrolę nad lokalizacją zapewnia również odpowiednia konfiguracja usług oraz wdrożenie narzędzi sprawdzających, dokąd przesyłane są informacje.

Wdrożenie

Po wyborze dostawcy, weryfikacji umowy i analizie ryzyka konieczne jest sprawne wdrożenie usług chmurowych, które przekłada się na funkcjonowanie całej organizacji. W tym obszarze znów można liczyć na wsparcie prawników, którzy pomogą w opracowaniu niezbędnych procedur i polityk wewnętrznych.

 

Zapraszamy do obejrzenia wywiadu

 


Zapraszamy do kontaktu:

Szymon Ciach

Szymon Ciach

Radca prawny, Counsel

+48 534 834 259

s.ciach@kochanski.pl