Embed Size (px)
Citation preview
Chmura nie ukradnie ci pracy
Piotr Kawczyński – FORSAFE Sp. z o.o.
Łódź, 5 listopad 2015r.IV Konwent Ochrony Danych i Informacji
2015
Kiedy mamy styczność z chmurą?
Social MediaSklepy
internetowe
Bazy danych
Poczta
Zdjęcia i filmy
Konta bankowe
Aplikacje
Standardowy model przetwarzania danych
Nieprzewidziane sytuacje
Dostęp do danych przez
osoby nieuprawnione
Ryzyko kradzieży
Kopie zapasowe
Konieczność fachowej obsługi
Wirusy, robaki, konie
trojańskie
Model przetwarzania danych w chmurze
Zabezpieczenia przed
wyciekiem danych
Zabezpieczone, klimatyzowane pomieszczenia
Automatyczne kopie
zapasowe
Redundancja zasilania i
komunikacji
Gwarancja bezpieczeństwa
Obsługa 24/365
Definicja Cloud Computing
Cloud Computing to marketingowe
określenie dostarczania na
żądanie
Infrastruktury (Iaas)
Platformy (PaaS)
Aplikacji (SaaS)
w konsumpcyjnym modelu rozliczania
Co przenosimy do chmury?
Chmura
Strona WWW
Kopie, archiwizacja
Narzędzia Office
ERP, CRM, HR
Środowisko testowe
Porównanie kosztów
Koszty
Początkowe
Aktualizacje
Modernizacje
Obsługa IT
Rachunki
Kopie zapasowe
Stacjonarnie
Zakup licencji, komputerów, serwerów, infrastruktury
Zakup nowych wersji oprogramowania oraz koszty wdrożenia
Koszty modernizacji
Obsługa serwisowa
Koszty energii elektrycznej oraz łącza internetowego
Koszty licencji lub obsługi, odpowiedzialność
Chmura
Abonament
0 zł
0 zł
0 zł
0 zł
0 zł
Active Directory w Azure
Active Directory w Azure
Porównanie kosztówUsługa Active Directory w modelu IaaS (koszt roczny)
Data Center / Kolokacja Chmura
wejściowe
serwer 3 000,00 zł 0,00 zł
oprogramowanie 9 800,00 zł 0,00 zł
instalacja i konfiguracja 1 200,00 zł 1 200,00 zł
UPS 800,00 zł 0,00 zł
roczne
prąd 2 400,00 zł 0,00 zł
internet 2 400,00 zł 0,00 zł
AV 3 800,00 zł 0,00 zł
support 7 200,00 zł 7 200,00 zł
abonament 0,00 zł 1 320,00 zł
suma: 30 600,00 zł 9 720,00 zł
Porównanie kosztów
Porównanie kosztówOprogramowanie sprzedażowe w modelu SaaS (koszt roczny)
Data Center / Kolokacja Chmura
wejściowe
serwer 3 000,00 zł 0,00 zł
oprogramowanie systemowe 9 800,00 zł 0,00 zł
oprogramowanie ERP 9 420,00 zł 20 580,00 zł
instalacja i konfiguracja 2 400,00 zł 2 400,00 zł
UPS 800,00 zł 0,00 zł
roczne
prąd 2 400,00 zł 0,00 zł
internet 2 400,00 zł 0,00 zł
AV 3 800,00 zł 0,00 zł
support 7 200,00 zł 7 200,00 zł
abonament 0,00 zł 1 320,00 zł
suma: 41 220,00 zł 31 500,00 zł
Status podmiotów przetwarzających dane w chmurze?
Użytkownik chmury - ADO
Dostawca usługi -
procesor
Status podmiotów przetwarzających dane w chmurze?
ADO• Podmiot decydujący o celach i środkach
przetwarzania danych
Procesor
• Podmiot przetwarzający dane na jego rzecz (zlecenie)
Obowiązki ADO
ADOKontrola w zakresie
przekazywania danych
Wskazanie miejsc w których dane są przetwarzane
Szyfrowanie transmisji danych
Szyfrowanie danych lub fizyczne
oddzielenie od danych innych ADO
Wykonywanie kopii zapasowych
Obowiązki ADO
Prowadzenie dokumentacji przetwarzania danych
Możliwość powołania ABI
Upoważnienie osób
Wdrożenie adekwatnych zabezpieczeń do kategorii przetwarzanych danych
Łańcuch powierzeń
• ADO
Powierzenie
• Procesor
Podpowierzenie
• Subprocesor
Dalsze podpowierzenie
Użytkownik chmury
ADO
• Ponosi odpowiedzialność za działanie dostawcy usługi.
• Ma posiadać wiedzę nt. wszystkich podwykonawców.
• Udziela zgody na dalsze powierzenia.
Umowa powierzenia
Umowa powierzenia
Zakres i cel przetwarzania
Oświadczenie ADO i
zobowiązania procesora
Uprawnienia kontrolne
Obowiązki informacyjne
Procesor > ADO
Odpłatność i kary umowne
Podpowierzenia
Usuwanie i zwrot danych
Okres obowiązywania
umowy
Błędy w umowach dot. przetwarzania danych w chmurze1. Przetwarzający ponosi odpowiedzialność odszkodowawczą względem
Administratora danych wyłącznie w zakresie strat rzeczywiścieponiesionych przez Administratora danych, ograniczoną do sumarycznejkwoty wniesionej przez Administratora Danych na podstawie opłaconychfaktur za usługę udostępnienia dostępu do aplikacji X. Przetwarzający nieponosi odpowiedzialności za utracone przez Administratora Danychkorzyści.
2. W celu zagwarantowania prawidłowej realizacji Umowy Administratordanych upoważnia Przetwarzającego do przekazania danychpodwykonawcom.
3. Przetwarzający oświadcza, że wszystkie powierzone mu dane, w tyminformacje stanowiące dane osobowe, są przechowywane wserwerowniach zewnętrznych, wydzierżawionych na terenie EuropejskiegoObszaru Gospodarczego.
Błędy w umowach dot. przetwarzania danych w chmurze• Zależy nam na zrobieniu porządku w stosunku do GIODO, a nie wstosunku do naszych klientów, bo oni nie wymagają w ogóle takich umów.Od 4 lat nikt nie wymagał podpisywania skomplikowanych umów, naszsystem X skierowany jest dlamałych firm.
• Odpowiadając na proste pytanie - tak chcemy zrobić porządek, tak, abywszystkie ustalenia, umowy powierzenia danych były zgodne z wytycznymiGIODO.
• Nie obsługujemy firm, które wymagają od nas wyrafinowanych,skomplikowanych umów powierzenia danych. Więc nie jest to nampotrzebne. Analizowaliśmy również umowy dużych serwerowni polskich inikt z nich nie bierze na siebie odpowiedzialności bo nikt za 300zł rocznienie będzie nadstawiał całej firmy.
Błędy w umowach dot. przetwarzania danych w chmurze• W jaki sposób dane zabezpieczone są przed utratą?
• Kopie bezpieczeństwa przechowywane są na wydzielonej ze struktury podstawowej przestrzeni dyskowej, niezależnej od podstawowych serwerów X.
• W przypadku zakończenia korzystania z X i braku płatności ze strony klienta, konto może zostać trwale usunięte wraz ze wszystkimi danymi i kopiami zapasowymi.
Błędy w umowach dot. przetwarzania danych w chmurzeW jaki sposób zabezpieczacie moje dane?1. szyfrowana transmisję danych,
2. zabezpieczenie dostępu do systemu hasłem co najmniej 8 znakowym, które może ulegać zmianie co 30 dni,
3. tworzenie kopii bezpieczeństwa danych przechowywanej na serwerze znajdującym się na terenie Europejskiego Obszaru Gospodarczego,
4. formalne powierzenie przetwarzania danych osobowych na podstawie pisemnej umowy,
5. kontrolę zapisów dzięki automatycznemu odnotowywaniu informacji o tym jakie dane i przez kogo zostały wprowadzone do systemu.
Błędy w umowach dot. przetwarzania danych w chmurze
Regulamin świadczenia usługi przez Google (gmail)
…przesyłając, wgrywając, dostarczając, zapisując,przechowując, wysyłając lub odbierając materiały do lub zapośrednictwem Usług, użytkownik udziela firmie Google (i jejwspółpracownikom) ważnej na całym świecie licencji nawykorzystywanie, udostępnianie, przechowywanie,reprodukowanie, modyfikowanie, przesyłanie, publikowanie,publiczne prezentowanie i wyświetlanie orazrozpowszechnianie tych materiałów, a także na tworzenie naich podstawie opracowań (dzieł pochodnych, na przykład przezwykonanie tłumaczenia, adaptacji lub innych zmian w celuzapewnienia lepszego działania z Usługami). W niektórychUsługach mogą istnieć sposoby uzyskania dostępu doumieszczonych w nich treści oraz usunięcia ich.
Błędy w umowach dot. przetwarzania danych w chmurze
Polityka prywatności Google
Dane osobowe przekazujemy podmiotomstowarzyszonym i innym zaufanym firmom lubosobom, które przetwarzają je na potrzeby Googlezgodnie z naszymi instrukcjami i Polityką prywatnościoraz przy zastosowaniu wszelkich odpowiednichśrodków ochrony poufności i bezpieczeństwainformacji.
FORSAFE Sp. z o.o.
ul. Żwirki 17, 90-539 Łódźtel.: +48 42 631 95 62, tel. kom. +48 600 005 880
Piotr Kawczyń[email protected]
