Компания Colobridge еще несколько лет назад адаптировала все свои процессы согласно GDPR, но знает, что эта тема до сих пор волнует многих ее клиентов — особенно тех, которые работают на европейском рынке. Поэтому мы решили актуализировать информацию о роли данного регламента в разрезе взаимоотношений между клиентом и провайдером. Для этого обратимся к выступлению нашего директора по маркетингу Ирины Киселевой-Марченко на конференции IDC Cloud & Datacenter Roadshow — тезисы, которые она изложила на этом мероприятии, остаются актуальными и сегодня, в 2022 году.
О GDPR
General Data Protection Regulation (нем. Datenschutzgrundverordnung — DSGVO) — это регламент Евросоюза по сбору, хранению и обработке персональных данных граждан ЕС. Он был принят для того, чтобы обеспечить пользователям контроль над своими данными и предотвратить их несанкционированное использование, в том числе и бизнесом. Причина очевидна — сами потребители иногда понятия не имеют, кем, зачем и какие их данные используются (все мы помним, например, нашумевшую историю Facebook и Cambridge Analytics).
Регламент GDPR изначально был принят в Европе, однако его действие имеет экстерриториальный характер. Что это значит? Соблюдать закон обязаны не только компании, зарегистрированные в европейских юрисдикциях, но и все остальные — включая те, которые ведут коммерческую деятельность на территории Украины, но при этом имеют торговые связи с ЕС. А так как последний несколько лет подряд остается ключевым внешнеторговым партнером нашей страны, украинские компании обязаны выполнять строгие предписания, изложенные в GDPR. Например, обязательным является сбор минимально необходимого количества персональных данных, да и для тех необходимо запрашивать разрешение, указывая цели использования. Кроме того, компании следует вести журнал этих действий, принимать меры по обеспечению защиты от потери и несанкционированного доступа этих данных, а также иметь техническую возможность удалять или редактировать их по запросу субъекта данных — то есть выполнять так называемое «право на забвение». Если контролирующие органы захотят ознакомиться с принципами обработки и хранения персональных данных в компании, та должна предоставить их по первому требованию. Также контролирующие органы следует уведомлять обо всех зафиксированных фактах утечки персональных данных в течение 72 часов.
Роль провайдера
Регламент GDPR разграничивает три категории — контроллера, обработчика и получателя данных. И ответственным за обработку данных является именно контроллер, причем вне зависимости от того, обрабатывает ли он данные самостоятельно или передает эту задачу третьим лицам. В какую категорию в этом контексте попадает провайдер? Давайте разберем эти роли на примере интернет-магазина.
Итак, мы владеем онлайн-магазином, среди клиентов которого есть граждане ЕС. Имеем сайт, CRM, биллинг. Этот магазин выступает контроллером, так как собирает и обрабатывает данные граждан ЕС. Он использует систему Google Analytics — классический пример обработки персональных данных (cookies посетителей сайта). То есть Google Analytics в этом случае является обработчиком, который по заказу контроллера занимается процессингом сырых данных из браузера посетителей и выдает нам агрегированные отчеты.
Представим, что онлайн-магазин хочет усовершенствовать свою CRM и нанимает команду разработчиков, чтобы создать новый модуль. Разработчикам открывают доступ в CRM, они анализируют API, данные, которые хранятся и с которыми модуль должен работать — соответственно, они получают доступ к персональным данным ваших клиентов и в этом случае являются получателями данных.
А какую роль играет провайдер, на сервере которого размещена эта самая CRM? Выходит, что провайдер не подпадает ни под одно из этих определений, ведь фактически он не имеет доступа к вашим серверам и не знает, какие данные там находятся. Он также не занимается обработкой данных.
Если мы рассмотрим классические группы сервисов, которые поставляет хостинг-провайдер, — сервисы на уровне ЦОДа (помещение с инфраструктурой), аренда ресурсов ЦОДа (colocation) или выделенного физического оборудования, облачные сервисы (кроме SaaS) — мы увидим, что во всех этих случаях провайдер даже не представляет, что хранится на серверах клиента: есть ли там вообще персональные данные, или на них разворачиваются производственные процессы, ERP-система и т. д. Он всего лишь предоставляет ресурсы, которые бизнес использует согласно своим задачам. Однако провайдер отвечает за защиту данных клиента в границах своей зоны ответственности, соответствующей отдельно взятой услуге. Если же провайдер занимается администрированием ИТ-инфраструктуры клиента — начиная с физического обслуживания оборудования, продолжая обслуживанием виртуализации, ОС, баз данных и клиентских приложений — то при определенном уровне этой услуги он становится получателем данных. Во всех остальных случаях он не подпадает ни под одну из ролей GDPR.
Бизнес и вызовы multicloud
Бизнес несет ответственность за то, чтобы обработка данных его клиентов происходила в соответствии с требованиями нового регламента. Ему важно знать, где локализованы данные клиентов, например в каком именно ЦОДе они находятся. Если компания пользуется услугами многих провайдеров, дата-центры которых разбросаны по всему миру, проблема усугубляется, так как нужно учитывать требования законодательств всех задействованных стран. Примерно это и происходит в реалиях multicloud.
Согласно статистике, корпорации в ЕС используют в среднем около 600 облачных сервисов (данные за 2015 год). Причем зачастую ИТ-отдел даже не знает обо всех этих приложениях, так как применение новых сервисов инициируется коммерческим отделом, продажами, маркетингом, бекофисом и т. д. А если добавить сюда тренд BYOD, задача централизованного контроля выполнения GDPR и протоколирования всех процессов представляется труднореализуемой. Как тогда компания может обезопасить себя?
- Необходимо подходить к построению своей multicloud-стратегии, рассматривая каждого ее участника индивидуально. Важно провести тщательный анализ договоров с партнерами и понять, насколько подрядчик отвечает вашим требованиям безопасности. В отличие от украинского и российского закона о хранении персональных данных, регламент GDPR не заставляет хранить данные строго на территории ЕС, но чувствительно реагирует на ситуации, когда происходит передача данных в третьи страны, особенно, если политическое устройство этих государств не соответствует европейским демократическим ценностям.
- Эффективным инструментом для обеспечения защиты данных будет шифрование. В идеале ключи должны храниться у контроллера, тогда даже в случае хакерского взлома ваши данные останутся в безопасности.
- Нужно определить ответственных за используемые сервисы и регулярно проводить аудит всех приложений, использующихся в компании, знать, с какими данными они работают, какие операции выполняют. Не обойтись и без внедрения более строгих правил по выбору и подключению новых SaaS-решений вашими подразделениями.
Меняющиеся и часто несовместимые между собой требования законодательства могут стать проблемой как для облачных провайдеров, желающих расширить свое присутствие с добавлением новых ЦОД, так и для бизнеса, который стремиться к интернациональному расширению. В то время как GDPR выдвигает достаточно конкретные требования к компаниям, порядок защиты персональных данных в других частях мира может быть очень расплывчатым и сложным для выполнения. Однако нам необходимо учиться работать с подобными требованиями, ведь это только начало. Некоторые эксперты считают, что логическим продолжением темы защиты данных станут глобальные стандарты, которые придут на смену GDPR через 5 лет.
Обязательства провайдера перед клиентом в контексте GDPR
Провайдер играет далеко не главную роль в вопросах защиты персональных данных своих клиентов. Однако в соответствии с регламентом GDPR он обязан обеспечивать определенный уровень информационной безопасности в пределах зоны своей ответственности. Последнюю стоит изучить заранее и до заключения договора уточнить некоторые моменты, чтобы избежать неприятных ситуаций в будущем.
Ограничение физического доступа
Основной вопрос звучит так: кто имеет физический доступ на территорию машинных залов дата-центра, в котором размещаются данные и/или оборудование клиентов? Провайдер должен разъяснить как в этой ситуации ограничивается доступ сотрудников и третьих лиц в сам ЦОД, а также как именно оборудование, на котором хранятся персональные данные, защищено от физического повреждения и утраты. В плане безопасности данных у коммерческих дата-центров есть несколько преимуществ перед серверными, которые компания своими силами обустроила у себя в офисе. Как минимум, провайдер может ограничить доступ, используя современные системы контроля доступа (СКУД), видеомониторинга, биометрической аутентификации. Все это дорогостоящие и сложные в реализации системы, которые в финансовом и организационном плане может позволить себе лишь крупный бизнес.
Контроль действий сотрудников
Следует уточнить, каким образом провайдер организовал ремонт оборудования или отдельных его компонентов. В частности, вас должен интересовать порядок удаления данных с накопителей. Кто выполняет и кто контролирует эту работу? Ваша задача — узнать, что произойдет с данными после того, как диск покинет территорию дата-центра и отправится в сервисный центр производителя или, например, на утилизацию.
Цифровые инструменты защиты
Узнайте у провайдера, как организована защита на уровне облачной платформы и на уровне системы хранения данных, как обстоят дела с безопасностью сети, есть ли возможность управлять резервным копированием важных данных. Поинтересуйтесь механизмом доступа к виртуальным машинам и гипервизору, наличием Firewall и VPN.
Системное администрирование
Большинство провайдеров не делится с клиентами внутренней документацией, но у вас есть право запросить и получить перечень гарантий — например, на использование защищенных каналов передачи данных, регламентирование порядка доступа к данным, на запрет скачивания данных с серверов. Вас должны убедить в том, что все действия сотрудников строго контролируются и обязательно будут выявлены.
В сухом остатке
За несколько лет существования GDPR не смог изменить основные принципы взаимоотношений между клиентами и поставщиками IT-услуг: от провайдера по-прежнему требуется максимально ответственный и добросовестный подход к работе, в том числе к защите данных и оборудования, на которых эти данные хранятся, в пределах его зоны ответственности.
