Marek Woźniak
Korzystanie z rozwiązań chmurowych to dla firm już dzisiaj konieczność. W chmurze możemy mieć np. oprogramowanie biurowe, oprogramowanie księgowe, system CRM. W chmurze może być także witryna firmy, serwis IR czy biuro prasowe. Nie każdy dostawca chmury jest jednak w stanie zapewnić tak samo wysoki poziom bezpieczeństwa swoich usług. Dlatego też warto wybierać tych sprawdzonych. Potwierdzeniem, że dostawca należycie dba o bezpieczeństwo przetwarzanych danych w chmurze, jest uzyskanie przez niego certyfikatów ISO/IEC 27017:2015 oraz ISO/IEC 27018:2019 (takie certyfikaty mają np. Amazon, Microsoft czy Google, a w grudniu 2019 r. otrzymał je również netPR.pl). Korzyści dla klientów wynikających z tego faktu jest jednak więcej.
Bezpieczeństwo to norma? A może norma to bezpieczeństwo?
Czego dotyczą wspomniane certyfikaty? Przed odpowiedzią na to pytanie trzeba zauważyć, że są one rozszerzeniem standardu ISO/IEC 27001:2013, który określa, co powinna zrobić firma, aby móc jak najlepiej zarządzać bezpieczeństwem przetwarzanych informacji, a także podaje szereg zabezpieczeń, które należy w tym celu wdrożyć. Wróćmy jednak do standardów dotyczących stricte chmury. Norma ISO/IEC 27017:2015 zawiera wytyczne, których stosowanie pomaga zwiększyć bezpieczeństwo usług chmurowych. Dzięki wdrożeniu tych wytycznych dostawca chmury może jeszcze skuteczniej dbać o bezpieczeństwo przetwarzanych informacji w związku ze świadczeniem w niej usług swoim klientom. Przyznanie certyfikatu pokazuje również, że firma w bezpieczny sposób sama korzysta z usług chmurowych innych dostawców.
Norma ISO/IEC 27018:2019 odnosi się z kolei do ochrony w chmurze danych osobowych przetwarzanych przez jej dostawcę. Wytyczne normy – nieraz zbliżone do wymogów RODO – określają, jakie środki należy podjąć dla zapewnienia ochrony danych identyfikujących osobę oraz w jakich celach mogą być one przetwarzane. Zachowanie zgodności wymaga od dostawcy usług chmurowych m.in. przetwarzania danych tylko zgodnie z wolą klientów, wypełniania względem nich określonych obowiązków informacyjnych, dokumentowania procesów, a także regularnego sprawdzania skuteczności środków technicznych oraz organizacyjnych zapewniających bezpieczeństwo przetwarzania danych (procesor spełnia tym samym wymóg nakładany na niego przez RODO). Klienci dostawcy chmury zyskują zatem większą pewność, że ich dane osobowe udostępnione firmie są zabezpieczone i wykorzystywane wyłącznie w celu, w którym zostały powierzone.
Nie samym bezpieczeństwem żyje firma
Korzystanie z usług dostawcy mającego powyższe certyfikaty zapewnia zatem jej klientom większe bezpieczeństwo, a więc i większy spokój, oraz zwiększa ich zaufanie, szczególnie że dostawca musi przechodzić regularnie audyty potwierdzające stosowanie się do wytycznych norm. To jednak niejedyna korzyść. Klienci zyskują również jasność, kto za co odpowiada i jakie działania powinien podejmować w związku z ochroną danych w chmurze – standard ISO/IEC 27017:2015 określa zakres odpowiedzialności w relacjach między dostawcami usług chmurowych a ich odbiorcami.
Należy też pamiętać, że zgodnie z RODO podmiot, którego dane są przetwarzane (administrator) przez podmiot je przetwarzający (procesora), ma prawo ten proces skontrolować. Nie jest to wprawdzie wyrażone w RODO literalnie, ale przyjmuje się, że regularne audytowanie procesora jest również obowiązkiem administratora, który w ten sposób wykazuje zgodność przetwarzania danych z prawem. Jednak jeżeli procesor stosuje wymienione wyżej normy ISO (wraz z normą ISO/IEC 27001:2013), przeprowadzenie takiego audytu przez administratora będzie o wiele łatwiejsze i tańsze, a czasem może ograniczyć się do sprawdzenia, czy firma ma aktualny certyfikat. Jest ona już bowiem na bieżąco audytowana przez zewnętrznego audytora w ramach certyfikacji.
Korzystanie przez firmy z usług organizacji, która wdrożyła wspomniane normy, może być też przekonującym argumentem przy wyborze ofert dla ich własnych klientów biznesowych (zarówno obecnych, jak i przyszłych), także dla organizatorów przetargów. Szczególnie w przypadku pracy dla klientów zagranicznych coraz częściej będzie można spotkać się z sytuacją, że firma będzie wymagała stosowania tych norm.
Podsumowanie – najważniejsze korzyści dla firm korzystających z usług chmurowych certyfikowanych dostawców:
- większe bezpieczeństwo przetwarzania danych w chmurze, a co za tym idzie – większy spokój,
- pewność, że przetwarzane dane osobowe są wykorzystywane tylko w celu, w którym zostały powierzone,
- zwiększenie zaufania do dostawcy usług chmurowych,
- jasne określenie zakresu odpowiedzialności w relacjach z dostawcami usług chmurowych,
- możliwość łatwiejszego (i tańszego) sprawdzania, czy dostawca chmury (procesor) przetwarza dane klienta (administratora) zgodnie z prawem,
- przewaga nad konkurencją – większe szanse na bycie wybieranym przez własnych klientów, wygrywanie przetargów etc.,
- większe poczucie bezpieczeństwa i spokoju – dostawca jest regularnie audytowany, a system zarządzania bezpieczeństwem certyfikowanej firmy powinien się samodoskonalić,
- praktyczne wykazanie wypełniania obowiązku przetwarzania danych osobowych zgodnie z prawem (compliance), bez konieczności przeprowadzania kosztownych audytów procesorów danych,
- ograniczenie ryzyka po stronie osób odpowiedzialnych za przeniesienie procesów organizacji do chmury przez lepsze rozumienie swoich ról i zakresów odpowiedzialności,
- uproszczenie własnych procedur bezpieczeństwa – coraz więcej firm wymaga certyfikacji bezpieczeństwa ISO od poddostawców, co wpływa na redukcję liczby procesów wewnątrz organizacji,
- łatwiejsze zawieranie umów, które muszą uwzględniać wymogi standardów bezpieczeństwa ISO – nawet umowa zawarta w internecie, bez czytania, zawiera zapisy chroniące zamawiającego i jest bezpieczna,
- możliwość świadomego, bazującego na konkretnych argumentach podejmowania decyzji dotyczących wyboru dostawców usług w chmurze.
netPR.pl sp. z o.o. jest firmą technologiczną, która oferuje oprogramowanie internetowe wspomagające komunikację jako usługę (model SaaS - Software as a Service). Specjalizuje się w rozwijaniu systemów prasowych, blogów korporacyjnych, serwisów relacji inwestorskich i technologii wideo w internecie.