Menu

GDPR megfelelőség

A GDPR (General Data Protection Regulation) témakörével foglalkozó dokumentumok jelentős része a GDPR fő irányelveivel, követelményeivel és a várható büntetési tételek ismertetésével indul. Total Cloud Consulting arra a kérdésre keresi a választ, hogy az Amazon Web Services (AWS) segíti, vagy hátráltatja a vállalatokat és intézményeket az általános adatvédelmi rendeletben (továbbiakban: GDPR) foglaltakra való felkészülésben.

Fontos leszögezni, hogy a GDPR elsősorban megfelelőség (compliance) kérdése, nem pedig csupán biztonsági vagy informatikai biztonsági kérdés. Így általában a gyártók marketing célú megjelenése- amely GDPR kérdésben azonnali megoldást látszik kínálni- kérdőjeleket vet fel. Amennyiben az adott vállalat, vagy intézmény GDPR kötelezett, úgy elsődleges célja, hogy megfeleljen ennek és, - amennyiben a felügyeleti hatóság azt ellenőrzi – ezt a megfelelőséget bizonyítani tudja.

A jogszabály szövege valóban tartalmaz bizonyos technikai útmutatást is (pl. álnevesítés és titkosítás), azonban nagy hiba volna technikai szintre leegyszerűsíteni a szabályzást. Ehelyett olyan technikai eszközkészlet kialakítása lehet a célunk, amely segít a szabályzás betartásában. Különösen (de semmiképp sem kizárólagosan) kiemelt figyelmet kell fordítani felhő környezet esetében a 25. cikkben megfogalmazott (Beépített és alapértelmezett adatvédelem) követelményekre, a 20. cikkben szereplő adathordozhatósághoz való jogra és a 33. cikk incidens bejelentéséről szóló szakaszaira.

Ha felhő szolgáltatásokról beszélünk, azonnal szót kell ejteni az árnyék informatikáról (shadow IT), amely a vállalat informatikai szervezetének jóváhagyását és támogatását nem élvező felhő erőforrásokat jelenti. A Dropbox, Google drive stb. típusú tárolóhelyek, vagy éppen alkalmazások szintén a GDPR hatálya alá esnek, így rendkívül fontos, hogy a cég életében világos és betartott folyamatok jellemezzék az adatok életciklusát, az adat menedzsmentet.

AWS és GDPR

Felelősségi határok

A legegyszerűbb megfelelés, ha pl. egy hibrid cloud környezetben a külső, felhő szakaszba nem kerül személyes adat (Personally Identifiable Information - PII), hanem pl. az „otthoni” back-end rendszereken tároljuk azokat, s az AWS-ben PII-t nem feldolgozó microservice-eket alkalmazunk. Bármely szolgáltatást is veszünk górcső alá az AWS megosztott felelősség (shared responibility) biztonsági modellje érvényesül. Ez az elv határozza meg, hogy kinek mi a felelőssége a biztonság fenntartása érdekében.

A GDPR tekintetében az AWS ugyanezt az elvet követi. Az Adatfeldolgozási Kiegészítés (Data Processing Addendumn –DPA) az AWS felhasználói megállapodás kiegészítése, amelyet minden GDPR kötelezett számára érvényesít. A DPA technikai és iparági háttere a CISPE (Cloud Infrastructure Services Providers in Europe) kódex (lásd cispe.cloud), amely a felhő infrastruktúra szolgáltatók GDPR felelősségi határát definiálja, és – érthető módon – az adatfeldolgozó felelősségi körét az ügyfélre hárítja, minden olyan helyen, ahol teheti! Cserébe azonban sokat kapunk: amennyiben a PII adatok feldolgozásában AWS erőforrásokat veszünk igénybe, ezen erőforrások GDPR megfelelőségéről azonnal bizonyítékkal rendelkezünk! Erre egyszerű példa, hogy ezek a részrendszerek inputot jelentenek a vállalati SIEM (Security Information and Event Manager) rendszerek számára, s mint compliant részrendszerek automatikusan megbízhatónak és auditálhatónak minősülnek.

Kész megoldások

Az informatikai architekt szemüvegén keresztül szemlélve az AWS-t, észre kell vegyük, hogy az AWS olyan megoldásokat is kínál, amelyekkel szemben a hagyományos (földi, on-premise) informatika kialakítása (implementációs projekt), vagy fenntartása (követés, támogatás) költség oldalon rendkívül magas lehet. Egy projekt során folyamatos szempont lesz például a hozzáférés-vezérlés (access control) kérdése. Az AWS többfaktorú azonosítása, objektum alapú hozzáférés szabályzásának lehetősége, az adatok elhelyezkedésének földrajzi lehatárolása, vagy egyéb azonosítási mechanizmusok azonnal rendelkezésünkre állnak, melyek a teljes projekt életciklus alatti megfelelőség biztosítását igazolják.

  • Naplózás - AWS CloudTrail

A SIEM megoldások a GPDR audit egyik legfontosabb technikai eszközei lesznek. Az asset menedzsment, a konfiguráció menedzsment követhetősége, az AWS CloudTrail auditing és biztonsági analitikái, a tárolt adatok hozzáférésének loggolása (naplózás) szükséges információk. A hálózati forgalmak (flow-k) naplózása pedig olyan képesség, ami a legtöbb vállalat életében csak a perembiztonsági eszközökön valósul meg, míg a belső hálózati forgalomfigyelés csak egy nagy költség vonzatú álom marad.

  • Titkosítás - AWS kulcsmenedzsment

Kiemelt figyelmet kell szentelni a titkosítás kérdésének, amely a GDPR egyik javasolt technikai megoldása a megfelelőség biztosítására. A megfelelő titkosítási algoritmusokon túl, melyek mind a statikus, mind pedig a mozgásban levő adatok esetében alkalmazhatók, a központi kulcsmenedzsment feladata is AWS szolgáltatás (AWS Key Management Service) formájában elérhető! Mi több: lehetőség van dedikált biztonsági modul (Hardware Security Module - HSM) igénybe vételére is.

Folyamatos ellenőrzés

Az AWS termékek és szolgáltatások biztonsági és szabványossági szempontból folyamatos ellenőrzés alatt állnak. Számos szervezet ajánlásait alkalmazzák és még több szervezet végez el rendszeres ellenőrzéseket, tanúsítja az AWS megfelelőségét.


Költségek

Bármely olyan elem, amelynek beszerzése a GDPR miatt merül fel, automatikusan magába hordozza a következő kérdést: Invesztálok, hogy egy korábbi beruházásomat megfelelővé (compliant) tegyem, vagy az infrastruktúra költségei mellett, annak megfelelőségét biztosítandó elemeket is ésszerűbb volna szolgáltatás formájában igénybe venni?

Azt sem szabad figyelmen kívül hagyni, hogy egy GDPR compliant rendszert auditáltatni kell, hogy bizonyítani tudjam annak megfelelőséget, időszakonként és változások esetén, így ez egy újból ismételt feladat és természetesen költség. A GDPR megfelelőség költségvonzata a klasszikus (földi) informatikáról egyértelműen a felhő informatika irányába kell, hogy tereljék a figyelmünket.

Összegzés

  • A GDPR a személyes adatok védelmének új egységes kezelése az Európai unió szintjén.
  • 2018. május 25-től lép hatályba.
  • Bár eddig is volt országonkénti szabályozás, az utóbbi időben a digitális gazdaság kimondott akadálya lett az adatkezeléssel kapcsolatos csökkenő bizalom, mely kihatott az üzleti szereplőkre is. Ezért megújításra volt szükség. Az Európai Unió összes szereplője, aki adatkezeléssel foglalkozik köteles a szabályozásnak megfelelően működni.
  • A megfelelőséget az Európai Unió szintjén rendszeresen ellenőrzik, a bírság pedig az egyszerű figyelmeztetéstől az éves árbevétel 4%-ig terjed, maximális mértéke 20 millió €.
  • A megfelelő rendszerek kialakítása tevékenységtől függően nem olcsó.
  • Amennyiben egy vállalat, vagy intézmény működése jelentős mértékben olyan szolgáltatásokon alapul, amelyeknél a szolgáltatók auditált megfelelősége garantált, hatékonyabb és gondtalanabb lehet a szabályozásnak megfelelni.
  • Ilyen szolgáltató az AWS.

Miért a Total Cloud Consulting?

A Total Cloud Consulting szakértői segítik vállalkozását, hogy az a GDPR szabályozásnak megfeleljen, optimális ráfordítás és a megfelelőség fenntarthatósága érdekében. Célunk az, hogy a digitális gazdaság fejlessze és ne hátráltassa üzleti eredményességét.

MEGOLDÁSAINK, ÖNNEK

Célunk az, hogy vállalata hatékonyságát fejleszthessük.
Megoldásainkkal megvalósítjuk terveit.

Megoldásaink