В конце концов, это тесен мир: GDPR трансграничен
Что происходит, когда законодательство одной страны влияет на то, что люди делают в других странах? Общий регламент ЕС по защите данных (GDPR) вступил в силу 25 мая, но что это значит для нас с вами, если вы не живете в одной из стран ЕС? Облачные провайдеры особенно обеспокоены этим, поскольку облачные сервисы должны быть доступны всегда и везде. Теперь, когда за последний год было написано много журналистской чепухи о GDPR, я подумал, что было бы неплохо обратиться к эксперту, чтобы получить более обоснованное и техническое мнение о влиянии GDPR на компании, расположенные за пределами Европы. Для этого я обратился к Алексу Бордеи, директору по продуктам и развитию компании Bigstep, которая помогает организациям, решившим разобраться в своих данных, предоставить полнофункциональную экосистему больших данных, работающую в высокопроизводительном облаке без операционной системы. Алекс — технический специалист с более чем 10-летним опытом проектирования и разработки высокопроизводительных распределенных сервисов для рынка облачных вычислений. Он имеет степень магистра компьютерных наук и всегда увлекался исследованиями в области передовых программных технологий. С Алексом можно связаться по адресу [email protected], и вы можете следить за ним в Твиттере по адресу @BigStepInc. Ниже приведены краткие вопросы и ответы с Алексом, которые должны помочь прояснить ваше мнение о том, как GDPR может повлиять на вашу компанию и облачные сервисы, которые она предоставляет или потребляет.
Можете ли вы резюмировать в простой для понимания форме, какие компании — будь то пользователи облака или поставщики облачных услуг — столкнутся с требованиями GDPR ЕС, начиная с 25 мая?
Существует много уровней интеграции между компаниями и облачными сервисами. Но во всех случаях, поскольку некоторые личные данные клиентов могут оказаться на жестких дисках третьей стороны, это будет формой «обработки», и это сделает облачного провайдера «обработчиком» от имени соответствующей компании. Само по себе хранение считается «обработкой», даже если данные зашифрованы.
В настоящее время большинство компаний используют облачные сервисы, такие как Google Analytics, Office 365, Salesforce или AWS. Все они являются внешними сторонними «обработчиками» данных, но не обязательно обрабатывают личные данные конечного пользователя. В соответствии с GDPR компаниям необходимо знать об этих отношениях и отслеживать личные данные по мере их передачи между всеми этими различными поставщиками, чтобы в любой момент они были готовы удалить («право на забвение») или извлекать («переносимость данных») все данные, относящиеся к конкретному клиенту («субъекту данных»).
Компании теперь обязаны провести комплексную проверку («DPIA-Оценка воздействия на защиту данных»), чтобы проверить возможности безопасности облачного провайдера, прежде чем делиться с ними личными данными. То, как выглядит этот процесс, зависит от рассматриваемой компании и фактических обрабатываемых данных. В случае утечки данных, если вина лежит на поставщике облачных услуг, компания может нести ответственность за эти большие штрафы, если процесс должной осмотрительности не был проведен должным образом при подписании контракта с поставщиком облачных услуг. Нет сертификации «Соответствует GDPR», которую должны демонстрировать поставщики облачных услуг, но положения говорят о принципе, а не о строгом требовании к реализации. Компании должны продемонстрировать подход к защите данных, направленный на снижение рисков («конфиденциальность по замыслу»), то есть им необходимо активно думать о том, что может случиться с личными данными их клиентов, и пытаться устранять эти риски.
Большая часть формулировок о том, как соблюдать GDPR, кажется, сосредоточена на ролях, которые компании могут играть с точки зрения доступа к пользовательским данным или управления ими. Не могли бы вы поделиться информацией о том, как компании могут определить, как соблюдать требования, исходя из понимания роли, которую они играют в соответствии с GDPR?
Большинство компаний, которые сами не предоставляют облачные услуги, являются контролерами по отношению к своим клиентам. Если вы сомневаетесь, это то, что вы есть. Это означает, что они контролируют то, что происходит с данными, и поэтому они должны демонстрировать активное одобрение таких принципов, как «конфиденциальность по замыслу» и «переносимость данных», а также «право на забвение», изложенные выше. Чтобы соответствовать GDPR, обычно начинают с каталога данных, файла Excel, где кто-то из компании общается со всеми соответствующими отделами: маркетингом, продажами, операциями, поддержкой клиентов и т. д. и определяет и записывает, какие данные хранятся, почему, где и кто имеет к ней доступ и как долго она хранится в системах компании. Оттуда вы пытаетесь определить, что считается личными данными, а затем берете каждый из этих случаев и пытаетесь найти способы ограничить доступ, защитить, получить и удалить эти данные из этих систем. Много раз также будут красные флажки относительно слишком большого доступа к этим данным (например, электронные письма клиентов доступны всем в компании). Если вы спросите себя: «Это лучшее, что мы можем сделать для защиты этих данных?» ответ, очевидно, будет таким: «Вероятно, нам нужно ограничить доступ до уровня служебной необходимости». Техническая реализация этих мер на данном этапе вторична. Если бизнес-группа знает, чего она хочет, техническое решение определить более или менее легко. Между прочим: не существует инструмента, который бы соблюдал GDPR. GDPR рассматривает процессы, а не технологии, поэтому соответствие требует организационных изменений, а не только технических изменений.
Какие обязательства должны выполнять контролеры данных от своих облачных провайдеров?
Строгого списка требований нет. Это то, что удовлетворяет компанию, проводящую комплексную проверку и имеющую отношение к имеющимся данным. Риск здесь состоит в том, чтобы считать, что крупные облачные провайдеры безопасны только потому, что они большие. Размер облачного провайдера не является гарантией безопасности и не освобождает компанию от необходимости проведения комплексной проверки. Например, у вас есть система, работающая в Microsoft Azure. Тот факт, что это торговая марка Microsoft, не защищает вас от хакеров, которые используют уязвимость вашего веб-приложения, и не дает вам никаких гарантий, что мошеннический сотрудник Microsoft не сможет найти способы обойти ваш брандмауэр.
Лучше всего подумать о возможных рисках (например, о мошенническом сотруднике, упомянутом выше) и попросить поставщика облачных услуг предоставить подробную информацию о том, как они снижают этот риск, и записать ответы. Если удовлетворительно, то идите дальше, если нет, то ищите в другом месте. В случае нарушения вас могут попросить продемонстрировать, что вы задавали вопросы и что ответы были правильными. Предостережение относительно бета- или альфа-сервисов: они, как правило, намного менее безопасны, чем их общедоступные (GA) аналоги.
Согласно принципу «конфиденциальность по замыслу», я бы посоветовал вам считать любого облачного провайдера и ваши внутренние системы небезопасными и в первую очередь стараться не хранить данные в виде простого текста. Активно шифруйте, анонимизируйте, псевдонимизируйте и, как правило, создавайте несколько уровней защиты, а не просто забор по периметру (также известный как брандмауэры) вокруг важных данных.
Еще один вопрос, который следует задать вашему поставщику облачных услуг, — предоставить вам список сертификатов ISO, которыми они обладают. ISO 27001 и ISO 27017 частично совпадают с требованиями GDPR, но это не заменяет должной проверки.
Какие еще обязательства должны выполнять поставщики облачных услуг, начиная с конфиденциальности по замыслу и заканчивая передачей данных через международные границы?
Компании всегда должны знать, где в мире находятся серверы, используемые для предоставления потребляемой услуги. Если это не сразу очевидно, компаниям необходимо запросить разъяснения, поскольку GDPR гласит, что персональные данные не должны перемещаться за пределы ЕС без согласия клиента, и косвенно компания несет ответственность, если это произойдет. Поставщики облачных услуг также несут ответственность в соответствии с GDPR, если они перемещают данные с ведома контроллера. Проблема в том, что облачный провайдер может не знать, например, о том, что в ZIP-файле есть личные данные, поэтому они могут быть скопированы на серверах в США. Вот почему вам нужно спросить своего облачного провайдера не только о том, где находятся серверы. но также если происходят процессы резервного копирования или синхронизации, которые могут затронуть эти данные.
Поскольку все компании будут задавать одни и те же вопросы, я ожидаю, что поставщики облачных услуг предоставят исчерпывающую документацию по вышеизложенному, поэтому есть вероятность, что ответы на эти вопросы уже легко доступны в Интернете.
Как вы думаете, почему GDPR в конечном итоге поможет пользователям, а также компаниям перейти к следующему технологическому веку и использованию данных?
Я думаю, что в самом Интернете растет атмосфера недоверия, усиленная Cambridge Analytica или недавними массовыми утечками данных. Это может привести к своего рода технической ипохондрии, которая может помешать некоторой части конечных пользователей использовать Интернет и онлайн-сервисы в полной мере. Как общество, это может отбросить нас на десятилетия назад, и миллиарды могут быть потеряны с точки зрения альтернативных издержек. Мы можем потерять пожилых людей или другие неблагополучные категории из-за более широкого использования этих услуг, и это, в свою очередь, приведет к еще большей сегрегации нашего общества. Эти вещи не происходят в одночасье, но ничегонеделание может со временем нанести масштабный ущерб, как и изменение климата.
GDPR — это шаг в правильном направлении, потому что он заставляет менеджеров задуматься о защите данных своих пользователей. Большинство компаний действительно хотят защитить данные своих клиентов. В конце концов, все мы являемся потребителями услуг той или иной компании. Мы просто не стали останавливаться и думать о том, как защитить их за своего рода корпоративным мышлением «со мной не может случиться». Я думаю, что компании уже так сильно контролируют жизни людей, что им необходимо взять на себя ответственность за их защиту. Они несут возрастающую ответственность не только перед своими акционерами, но и перед самим обществом.