Regulatorní prostředí a legislativa EU

Report
Regulatorní prostředí a legislativa EU
jako aktuální výzva pro digitální ekonomiku
Můžeme mít důvěru
v cloudové služby ?
Konference MPO ČR - Digitální výzvy 2014
5. prosince 2014
Václav Mach
Government Corporate Affairs
Microsoft CEE
1
Digitální výzvy 2014 ...
Veřejný nebo privátní Cloud Computing?
Elektronické volby e-Volby?
Elektronizace zdravotnictví e-Health?
Elektronická identita občanů eIdentita?
2
Slyšíme kolem sebe otázky...
Proč bych měl důvěřovat Microsoftu?
Jaké bezpečnostní audity a certifikace
má cloudová infrastruktura Microsoftu?
Jestli dám určité aplikace do cloudu,
budu schopen vyhovět regulatorním
požadavkům?
Jak bychom měli ve firmě hodnotit
cloudové dodavatele z hlediska
bezpečnosti, ochrany soukromí, a
souladu s legislativou?
3
Základ důvěry v ICT
POSTAVENO NA NAŠÍ ZKUŠENOSTI A INOVACI
Trustworthy
Computing
Initiative
1st
Microsoft
Data
Center
Active
Directory
Windows
Update
Microsoft Security
Response Center
Microsoft Azure
Global
Data Center
Services
UK G-Cloud
Level 2
Malware
Protection
Center
SOC 2
SOC 1
Security
Development
Lifecycle
FedRAMP/
FISMA
Digital
Crimes
Unit
20+ Data
Centers
Operations
Security
Assurance
CSA Cloud
E.U. Data
Controls Matrix
Protection
ISO/IEC Directive HIPAA/
27001:2005
HITECH
PCI DSS
Level 1
Škálovatelnost a redundance zdrojů
Každé datové centrum > 1 mld. USD investice, celkově >1 mil. serverů
Quincy
Cheyenne
Dublin
Chicago
Amsterdam
Boydton
Japan
Shanghai
Des Moines
Hong Kong
San Antonio
Singapore
Brazil
Zajištění dat:
 V každém datacentru 3 kopie dat
 Geografická replikace min. 600km daleko
 Zákazník volí místo uložení dat
 Zákazník konfiguruje úroveň replikace dat
Australia
V průběhu r. 2014 jsme posílili šifrování dat a zavedli technologii Perfect Forward Secrecy
Žádné reklamy
• Žádné výstupy ze zákaznických dat pro reklamní účely
• Žádné skenování emailů a dokumentů za účelem analytických rozborů
Přenositelnost dat
• Zákaznická data v Office 365 jsou vlastnictvím zákazníka
• Data lze vyexportovat do 90 dní po ukončení smlouvy; do 180 dní jsou smazána
Posílení právní ochrany zákazníků
• Informování zákazníků v případě požadavku soudního příkazu na vydání dat
• Využití všech legálních metod pro umožnění informování zákazníka
prohlášení
Prohlášení o zásadách ochrany osobních údajů
6
7
8
§13 zák. 101/2000 Sb.
Správce a Zpracovatel dat provedou:
- Analýzu rizik,
- Příslušná technická opatření,
- Ošetří smluvní vztah Správce / Zpracovatel
aby nedošlo ke zneužití osobních informací
ÚOOÚ: Využití cloud computingu pro zpracování osobních
údajů je možné při splnění určitých podmínek...
§27 zák. 101/2000 Sb.
Předání osobních údajů Zpracovateli do
zahraničí.
V případě použití „standardních smluvních
doložek EU“ není třeba žádat úřad o povolení,
viz web ÚOOÚ... kdy není třeba žádat o povolení
(dole na stránce)
Za nejsilnější záruky ochrany se považuje
„Smlouva o zpracování dat“
(Data Processing Agreement),
se zahrnutím „Standardních smluvních doložek“
(EU Contractual Clauses) dle Rozhodnuní 2010/87/EC
Viz: www.uoou.cz, „Názory úřadu“,
„Často kladené otázky“ link,
dále Věstník ÚOOÚ částka 65 z 07/2013
9
http://ec.europa.eu/justice/data-protection/article-29/documentation/otherdocument/files/2014/20140402_microsoft.pdf
10
11
ISO/IEC 27018:2014
ISO 27018 - nový mezinárodní standard pro ochranu osobních informací v cloudu,
založen na EU zákonech pro ochranu dat. Publikován 30. 7. 2014
Nutný explicitní souhlas uživatele pro užití
jeho dat k marketingu nebo inzerci
V případě bezp. incidentů prověřit, zda
nedošlo
k únikualternativa
osobních údajů
Efektivní
k
Pokudzákaznickému
ano, musí informovat
auditu uživatele a
regulátora
Poskytovatel nesmí odmítnout dát službu,
i pokud mu uživatel tento souhlas nedá
ISO 27018 auditní zpráva má být
relevantní pro zákazníka a jeho
regulatorní požadavky
Musí informovat uživatele kde jsou jeho
data, a jakým způsobem se zpracovávají
Microsoft plánuje získat ISO 27018
certifikát v průběhu r. 2015
12
Standard - certifikace
Office 365
Microsoft
Dynamics
CRM
Microsoft
Azure
Windows
Intune
GFS (Global Foundation Services
– infrastruktura datových
center)
ISO 27001:2005
Ano
Ano
Ano
Ano
Ano
EU Model Clauses (Standardní smluvní
doložky Evropské unie, ověřen „soulad“)
Ano
Ano
Ano
Ano
Ano
EU Safe Harbor
Ano
Ano
Ano
Ano
Ano
PCI DSS (Payment Card Industry Data
Security Standard)
N/A
N/A
Ano
N/A
Ano
SOC 1 Type 2 (Service Organization
Controls - SSAE 16/ISAE 3402)
Ano
Ano
Ano
Ne, jen Type 1
Ano
SOC 2 Type 2 (AT Section 101)
Ano
Ne
Ano
Ne, jen Type 1
Ano
UK G-Cloud
Ano
Ano
Ano
Ne
N/A
FedRAMP (US) (Moderate)
Ano
Ne
Ano
Ne
Ano
FERPA (US – Education)
Ano
N/A
Ano
N/A
N/A
HIPPA/BAA (US - Healthcare)
Ano
Ano
Ano
Ano
Ano
IPv6
Ano
Ne
Ne
Ne
N/A
CJIS (US - Criminal Justice)
Ano
Ne
Ne
Ne
N/A
13
https://cloudsecurityalliance.org/ https://cloudsecurityalliance.org/star/#_registry
14
Třetím stranám neumožňujeme přístup k zákaznickým datům,
pokud k tomu nejsme povinni na základě platné legislativy.
•
•
•
•
•
Každá žádost je individuálně posuzována (autorita žadatele, rozsah
požadavku)
MS se primárně snaží přesměrovat žádost přímo na zákazníka,
pokud je to nutné, tak i s použitím právních kroků
Pokud není možné požadavek přesměrovat, MS bude zákazníka
o tomto požadavku informovat, s výjimkou případů, kdy to zákon
explicitně zakazuje
Cca 75% glob. požadavků uspokojí jen metadata (viz report)
MS neposkytuje plošný přístup k datům – musí se jednat
o účet konkrétního zákazníka pro konkrétní zákonný účel
Viz MOSA Data Processing Agreement se Stand. sml. doložkami EU
15
Za rok 2012, globálně:
•
99,9+% požadavků na spotřebitelské služby (Hotmail,
Skype, Xbox, atd.)
•
Pouze 11 (z 70.000+) požadavků se týkalo služeb
podnikových zákazníků; 7 z nich MS odmítl nebo
úspěšně přesměroval na zákazníka; 4 jsme poskytli se
souhlasem zákazníka nebo na základě dohody se
zákazníkem.
Za 1. pol. 2014, globálně:
•
Pouze 5 požadavků na konkrétní účty 5 osob podnikových zákazníků. Ve všech 5
případech buď odmítnut přístup, nebo přesměrováno na zákazníka.
•
Dosud nikdy nebyl žádán přístup na data podnikových zákazníků mimo území USA.
Viz dokument “Microsoft’s principles and practices for responding to government data requests”
16
Pravidelné pololetní reporty – za 1. pol. 2014:
Na základě soudního příkazu nebo mezinárodního zatykače:
• 34.494 požadavků z 69 zemí




75,13% vydána metadata
5,91% zamítnuto (nesplněny předpoklady)
16,34% nic nenalezeno
2,62% vydán zákaznický obsah
• 41 požadavků z České republiky




87,8% vydána metadata
4,9% zamítnuto (nesplněny předpoklady)
7,3% nic nenalezeno
0% vydán zákaznický obsah
Celý report: http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/
17
Přístupy dle příkazů národní bezpečnosti USA
•
Foreign Intelligence Surveillance Act (FISA)
•
National Security Letters (NSL) – požadují pouze „business records“ (metadata)
•
FISA žádosti se zatím nikdy netýkaly podnikových zákazníků
Poprvé publikovány (jen v „tisících“) v únoru 2014
- výsledek společné žaloby Internet. firem proti vládě USA
Kde je jakýkoli nedostatek, rozporujeme požadavky u soudu
•
Např. žádosti které zakazují informovat zákazníka
•
Případ z dubna 2014 – emaily z Outlook.com fyz. osoby z datacentra v Irsku
Poslední verze přehledu:
http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/fisa/
Publikovány podrobné Q&A
18
Případ NY vs Microsoft - warrant case
19
20
Děkuji vám za pozornost ...
[email protected]
21

similar documents