Kontrola evropských dat v cloudech není dostatečná

cloud computing security

Nařízení EU o ochraně osobních údajů, známé též pod zkratkou GDPR, letos oslavilo již třetí výročí své účinnosti. Jeho význam je pro cloudová řešení klíčový. Jednou ze zásadních oblastí ovlivněných touto normou je ukládání informací a následný přístup k nim. I když všechny členské státy EU legislativně upravovaly zacházení s osobními údaji či soukromými daty uživatelů ještě před příchodem GDPR, rozsah opatření ale nebyl dostatečný. Obzvlášť ne s ohledem na rychlost rozvoje informačních technologií v posledních dekádách. A právě data v cloudu byla předmětem vášnivých diskusí odborné i laické veřejnosti. Není divu, že ani po vstupu GDPR v platnost se některé společnosti nezvládly na nové legislativní podmínky plně aklimatizovat.

Podle platné legislativy musí být veškerá data shromážděná o občanech členských zemí Evropské unie uložena na serverech umístěných na jejím území, a tedy podléhat evropským právním normám o ochraně soukromí, nebo v jurisdikci poskytující srovnatelnou úroveň ochrany. Případnému přemístění mimo území Unie musí předcházet souhlas. Tomuto nařízení musí vyhovět jak poskytovatelé cloudových služeb, tak jejich zákazníci. Porušení těchto nařízení může vyústit v pokuty až do výše 20 milionů EUR nebo 4 % z ročního obratu firmy. Mnoho firem ale stále spoléhá na fakt, že jsou příliš malé a neviditelné pro jakoukoliv kontrolu či případnou penalizaci. Některé příklady z okolních států jasně ukazují, jak se tato strategie nemusí vyplatit.

Z vyšetřování nezávislého orgánu EDPS (European Data Protection Supervisor) vyšlo najevo, že instituce Evropské unie nemají dostatečnou možnost kontroly nad umístěním značné části dat zpracovávaných jedním z největších poskytovatelů SaaS řešení pro kancelářský software. Týká se to nejen kontroly obsahu a metod přenosu mimo území EU nebo Evropského hospodářského prostoru. Jde bohužel také o nedostatek adekvátního zabezpečení těchto dat mimo zmíněná území. Jako střednědobé řešení navrhuje EDPS institucím mimo jiné zajištění toho, že data zpracovávaná jejich jménem jsou uložena v rámci Evropské unie nebo Evropského hospodářského prostoru.

Možnost volby umístění dat je důležitá

Geografická lokace virtuálních instancí, stejně jako transparentnost interních procesů i organizační struktury poskytovatele, a v neposlední řadě retence informací, zálohovaných dat i archivů, by měly být stěžejní při volbě cloudového řešení.

To všechno a ještě něco navíc nabízí česká společnost IceWarp. Podíl zákazníků využívajících její cloudové služby nyní představuje přibližně 20 % a dynamicky narůstá. Svým zákazníkům přináší IceWarp jednoduchou možnost volby lokality, kde jsou poskytnutá data ukládána a zpracovávána. Vybírat může i ze zemí Evropské unie včetně České republiky. Samozřejmostí je také garance toho, že data nebudou bez souhlasu vydána třetí straně. Zákazník má vždy přehled o tom, kde se jeho data nacházejí a kdo k nim má přístup.

GDPR není ve světě zdaleka jediným legislativním požadavkem podobného rázu. „Mezi příklady lze uvést např. Spojené státy a nutnost zajištění souladu s tzv. HIPAA (Health Insurance Portability and Accountability Act), pokud se pracuje s daty ve zdravotnictví,“ říká Jakub Samek, Chief information officer společnosti IceWarp. „Při vstupu na nový trh proto vždy musíme pečlivě prostudovat situaci a zařídit vše potřebné. I v zemích s menšími legislativními nároky po nás zákazníci často vyžadují příslušné ISO certifikace. Splnit bezpečnostní normu už dávno není pouze doménou veřejného sektoru a nadnárodních korporací. S příchodem GDPR začínají i ostatní zákazníci zjišťovat, kam a jak putují jejich data. I oni se musejí přizpůsobit trendu doby a v nových smlouvách se svými klienty se postupně zavazují k vymáhání vyšší bezpečnosti od svých zaměstnanců či dodavatelů. GDPR spustilo zdravou diskusi a my jsme připraveni pomoci menším klientům, kteří aktuálně nemají prostor vypořádat se s novými nároky v rámci vlastních možností,“ uzavírá Samek.

IceWarp také nedávno prorazil ve veřejném sektoru asijského trhu, když dokončil převod malajských vládních institucí i přidružených agentur na své řešení. Zde šlo o tzv. on premise řešení s požadavkem na uložení citlivých údajů v rámci data center malajské vlády. Jde o plnohodnotnou alternativu v případě, že si zákazník nevybere z nabídky cloudových služeb.

TZ

Obrázek: starline/Freepik

@RadekVyskovsky

Související články

Leave a Comment