BDAR ir debesų kompiuterija: kaip atitikti reikalavimus?

Pagrindiniai debesijos iššūkiai BDAR požiūriu

• Duomenų lokalizavimas

Kur saugomi jūsų duomenys? Europoje? Jungtinėse Amerikos Valstijose? Indijoje? BDAR reikalauja, kad duomenys liktų tinkamoje teisinėje sistemoje. Tai greitai tampa galvos skausmu, jei jūsų debesijos paslaugų teikėjas replikuoja duomenis keliose šalyse.

• Duomenų kontrolė ir nuosavybė

Debesyje jūsų duomenys fiziškai nebėra jūsų namuose. Todėl jums reikia aiškios garantijos ką paslaugų teikėjas gali arba negali daryti su šia informacija.

• Duomenų perdavimas už ES ribų

Duomenų perdavimas už ES ribų nėra draudžiamas, tačiau tai griežtai reglamentuojama. Paskirties šalis turi pasiūlyti tinkamą apsaugos lygį arba turi būti taikomos standartinės sutarčių sąlygos.

• Debesyje saugomų duomenų saugumas

Įsilaužimas, nutekėjimas, klaida... Ir tai katastrofa. BDAR reikalauja... „tinkamos“ saugumo priemonės, kuris gali apimti šifravimas, perteklius, stebėjimas…

BDAR teisiniai įsipareigojimai debesijos paslaugoms

• Duomenų valdytojo ir tvarkytojo vaidmuo

Jei naudojatės debesijos paslauga, jūs esate duomenų valdytojas, o paslaugų teikėjas yra subrangovasTai priklauso nuo jūsų. užtikrinti, kad jis atitiktų BDAR įsipareigojimus.

• Duomenų apsaugos pareigūnas (DAP)

Kai kurios įmonės privalo paskirti Duomenų apsaugos pareigūnasJis bus pagrindinis kontaktinis asmuo tvarkant santykius su debesijos paslaugų teikėjais irgydymo auditas.

• Gydymo registras

Privalote nurodyti visus duomenų tvarkymus, įskaitant tuos, kurie patikėti debesijos paslaugų teikėjams.

• Duomenų minimizavimo principas

Saugokite tik tai, kas yra būtina. Kuo daugiau duomenų, tuo didesnė rizika. 

BDAR reikalavimus atitinkančio debesijos paslaugų teikėjo pasirinkimas

Paslaugų teikėjo pasirinkimo kriterijai

• Serverių vietos Europoje

• BDAR reikalavimus atitinkančios sutarčių sąlygos

• Aiški privatumo politika

BDAR subrangos sutartis

Jame turi būti nurodyta:

• Tvarkymo tikslas ir trukmė

• Duomenų tipai

• Saugumo įsipareigojimai

• Teisė atlikti auditą

Geriausia praktika, užtikrinanti atitiktį BDAR

• Vidaus procedūrų įgyvendinimas

Įforminkite savo praktiką: sutikimo, prieigos, ištaisymo, ištrynimo procedūros ir kt. Kuo kvadratiškesnis esi, tuo geriau.

• Darbuotojų mokymai

Švieskite savo komandas! Vienas prastai informuotas darbuotojas – garantuotas pažeidimas.

• Duomenų pažeidimų valdymas

Jei atsiranda nuotėkis, turite 72 valandos pranešti CNILTurėti incidentų reagavimo planas yra gyvybiškai svarbus.

• Poveikio analizė (PAV/DPAV)

Tam tikroms jautrioms procedūroms būtina atlikti privatumo poveikio analizėDebesis nėra išimtis.

Atitikties užtikrinimo priemonės

• Duomenų šifravimas

THE šifravimas yra būtinas. Jis apsaugo jūsų duomenis net ir patekus į netinkamas rankas.

• Audito ir atsekamumo įrankiai

Stebėkite kas ką, kada ir kaip daroTai yra raktas į greitą reagavimą iškilus problemai.

• Stiprus autentifikavimas ir prieigos valdymas

Išeikite iš slaptažodžio „123456“. Užleiskite vietą dvigubas autentifikavimas, į vartotojų vaidmenys, ir į reguliari prieigos teisių peržiūra.

BDAR nėra tiesiog dokumentas, kurį reikia pasirašyti ir pamiršti. Tai nuolatinis įsipareigojimas, ypač tokioje dinamiškoje aplinkoje kaip debesų kompiuterija. Tačiau su geri įrankiai, gera praktika ir geri partneriai, galite šį apribojimą paversti konkurenciniu pranašumu.