Skip to main content
Еще раз о GDPR: взаимоотношение клиент—провайдер

Еще раз о GDPR: взаимоотношение «клиент — провайдер»

Шестого ноября наша директор по маркетингу Ирина Киселева-Марченко выступила на конференции IDC Cloud & Datacenter Roadshow 2018 с докладом о новом европейском регламенте защиты данных – GDPR. Мы как немецкий провайдер адаптировали все процессы согласно новому европейскому закону и знаем, что тема GDPR интересует многие украинские компании, работающие на рынки ЕС. Поэтому, основываясь на собственном опыте, мы рассказали о роли нового регламента в разрезе взаимоотношений «клиент — провайдер» и его влиянии на мультиоблачную стратегию компании в целом. Ниже кратко представляем основные тезисы доклада. Уверены, вы почерпнете для себя что-то полезное:)

О GDPR

General Data Protection Regulation (нем. Datenschutzgrundverordnung — DSGVO) — это регламент Евросоюза по сбору, хранению и обработке персональных данных граждан ЕС. Он был принят для того, чтобы обеспечить пользователям контроль над своими данными и предотвратить их несанкционированное использование, в том числе и бизнесом. Причина очевидна — сами потребители иногда понятия не имеют, кем, зачем и какие их данные используются (все мы помним, например, нашумевшую историю Facebook и Cambridge Analytics).

Несмотря на то, что это закон сугубо европейский, он имеет экстерриториальный принцип. Это означает, что под его действие подпадают не только компании-резиденты ЕС, но и компании со всего мира (в том числе и из Украины), которые ведут экономическую деятельность с Евросоюзом. А ввиду того, что ЕС стал главным внешнеторговым партнером Украины, украинский бизнес должен быть готов к работе в рамках этого регламента, который, подчеркнем, выдвигает компаниям строгие требования. Среди пунктов, обязательных к соблюдению: собирать только нужные данные в минимальном количестве, запрашивать четкое разрешение на сбор данных и указывать цель использования, логировать эти разрешения, обеспечить защиту от потери данных и несанкционированного доступа, удалять  и/или изменять данные по запросу субъекта данных (право на забвение), вести перечень всех процессов обработки персональных данных, которые происходят в компании, и по запросу предоставлять их контролирующим органам, в случае утечки данных сообщать об этом в контролирующие органы в течение 72 часов.

Роль провайдера

Регламент GDPR разграничивает три категории — контроллера, обработчика и получателя данных. И ответственным за обработку данных является именно контроллер, причем вне зависимости от того, обрабатывает ли он данные самостоятельно или передает эту задачу третьим лицам. В какую категорию в этом контексте попадает провайдер? Давайте разберем эти роли на примере интернет-магазина.

Итак, мы владеем онлайн-магазином, среди клиентов которого есть граждане ЕС. Имеем сайт, CRM, биллинг. Этот магазин выступает контроллером, так как собирает и обрабатывает данные граждан ЕС. Он использует систему Google Analytics — классический пример обработки персональных данных (cookies посетителей сайта). То есть Google Analytics в этом случае является обработчиком, который по заказу контроллера занимается процессингом сырых данных из браузера посетителей и выдает нам агрегированные отчеты.

Представим, что онлайн-магазин хочет усовершенствовать свою CRM и нанимает команду разработчиков, чтобы создать новый модуль. Разработчикам открывают доступ в CRM, они анализируют API, данные, которые хранятся и с которыми модуль должен работать — соответственно, они получают доступ к персональным данным ваших клиентов и в этом случае являются получателями данных.

А какую роль играет провайдер, на сервере которого размещена эта самая CRM? Выходит, что провайдер не подпадает ни под одно из этих определений, ведь фактически он не имеет доступа к вашим серверам и не знает, какие данные там находятся. Он также не занимается обработкой данных.

Если мы рассмотрим классические группы сервисов, которые поставляет хостинг-провайдер, — сервисы на уровне ЦОДа (помещение с инфраструктурой), аренда ресурсов ЦОДа (colocation) или выделенного физического оборудования, облачные сервисы (кроме SaaS) — мы увидим, что во всех этих случаях провайдер  даже не представляет, что хранится на серверах клиента: есть ли там вообще персональные данные, или на них разворачиваются производственные процессы, ERP-система и т. д. Он всего лишь предоставляет ресурсы, которые бизнес использует согласно своим задачам. Однако провайдер отвечает за защиту данных клиента в границах своей зоны ответственности, соответствующей отдельно взятой услуге. Если же провайдер занимается администрированием ИТ-инфраструктуры клиента — начиная с физического обслуживания оборудования, продолжая обслуживанием виртуализации, ОС, баз данных и клиентских приложений — то при определенном уровне этой услуги он становится получателем данных. Во всех остальных случаях он не подпадает ни под одну из ролей GDPR.

Бизнес и вызовы multicloud

Бизнес несет ответственность за то, чтобы обработка данных его клиентов происходила в соответствии с требованиями нового регламента. Ему важно знать, где локализованы данные клиентов, например в каком именно ЦОДе они находятся. Если компания пользуется услугами многих провайдеров, дата-центры которых разбросаны по всему миру, проблема усугубляется, так как нужно учитывать требования законодательств всех задействованных стран. Примерно это и происходит в реалиях multicloud.

Согласно статистике, корпорации в ЕС используют в среднем около 600 облачных сервисов (данные за 2015 год). Причем зачастую ИТ-отдел даже не знает обо всех этих приложениях, так как применение новых сервисов инициируется коммерческим отделом, продажами, маркетингом, бекофисом и т. д. А если добавить сюда тренд BYOD, задача централизованного контроля выполнения GDPR и протоколирования всех процессов представляется труднореализуемой. Как тогда компания может обезопасить себя?

  • Необходимо подходить к построению своей multicloud-стратегии, рассматривая каждого ее участника индивидуально. Важно провести тщательный анализ договоров с партнерами и понять, насколько подрядчик отвечает вашим требованиям безопасности. В отличие от украинского и российского закона о хранении персональных данных, регламент GDPR не заставляет хранить данные строго на территории ЕС, но чувствительно реагирует на ситуации, когда происходит передача данных в третьи страны, особенно, если политическое устройство этих государств не соответствует европейским демократическим ценностям.
  • Эффективным инструментом для обеспечения защиты данных будет шифрование. В идеале ключи должны храниться у контроллера, тогда даже в случае хакерского взлома ваши данные останутся в безопасности.
  • Нужно определить ответственных за используемые сервисы и регулярно проводить аудит всех приложений, использующихся в компании, знать, с какими данными они работают, какие операции выполняют. Не обойтись и без внедрения более строгих правил по выбору и подключению новых SaaS-решений вашими подразделениями.

Меняющиеся и часто несовместимые между собой требования законодательства могут стать проблемой как для облачных провайдеров, желающих расширить свое присутствие с добавлением новых ЦОД, так и для бизнеса, который стремиться к интернациональному расширению. В то время как GDPR выдвигает достаточно конкретные требования  к компаниям, порядок защиты персональных данных в других частях мира может быть очень расплывчатым и сложным для выполнения. Однако нам необходимо учиться работать с подобными требованиями, ведь это только начало. Некоторые эксперты считают, что логическим продолжением темы защиты данных станут глобальные стандарты, которые придут на смену GDPR через 5 лет.

Обязанности провайдера перед клиентом

Хотя в рамках GDPR провайдеру в области защиты персональных данных отводится далеко не главная роль, он все равно обязан обеспечить клиенту должный уровень информационной безопасности в рамках своей зоны ответственности. Перед заключением договора клиенту важно прояснить с провайдером некоторые ключевые моменты.

Физический доступ

Прежде всего стоит расспросить про физический доступ сотрудников и третьих лиц в сам ЦОД и непосредственно на площадку, где стоит используемое вами оборудование. Не помешает узнать, каким образом оборудование защищено от повреждения и, соответственно, возможной потери данных. Отметим, что размещая данные в коммерческих ЦОД, вместо организованного своими силами дата-центра в офисе, вы скорее всего получите более высокий уровень защиты. Дело в том, что механизмы контроля доступа, видеонаблюдения, аутентификация по биометрическим данным являются сложными и дорогостоящими системами, которые не каждый бизнес готов внедрить у себя. Сотрудничая с провайдерами, компания исключает для себя много рисков.

Контроль за выполнением действий с оборудованием

Узнайте, как организован ремонт компонентов аппаратного обеспечения. Один из ключевых моментов — контроль удаления данных с дисков. Важно знать, что происходит с данными, когда диски отправляются на ремонт производителю.

Цифровые средства защиты

Здесь нужно обратить внимание на средства защиты личного кабинета клиента, средства защиты на уровне облачной платформы (доступы к виртуальным машинам и гипервизору) и на уровне системы хранения данных, безопасность сети (VPN, Firewall) и создание резервных копий.

Администрирование

Скорее всего провайдер не предоставит вам свои внутренние документы и регламенты, но вы имеете право запросить список гарантий, например, гарантии использования защищенных каналов связи, регламентирование прав доступа, гарантии того, что данные с ваших серверов не будут скачаны, что действия сотрудников контролируются и фиксируются.

Заключение

Как видим, кардинально новых изменений в сотрудничестве с провайдерами ИТ-услуг GDPR не предполагает. Мы просто говорим о гарантиях качества и добросовестности, которые согласно требованиям нового регламента должны быть получены, формализованы, задокументированы и собраны в одном месте.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

This site uses Akismet to reduce spam. Learn how your comment data is processed.