{"id":714,"date":"2013-10-22T12:37:51","date_gmt":"2013-10-22T12:37:51","guid":{"rendered":"https:\/\/mediarun.com\/index.php\/news-posts\/ocena-zgodnosci-compliance-przy-przejsciu-do-chmury\/"},"modified":"2015-02-01T22:40:30","modified_gmt":"2015-02-01T22:40:30","slug":"ocena-zgodnosci-compliance-przy-przejsciu-do-chmury","status":"publish","type":"post","link":"https:\/\/mediarun.com\/pl\/marketing\/poradnik\/ocena-zgodnosci-compliance-przy-przejsciu-do-chmury.html","title":{"rendered":"Ocena zgodno\u015bci (compliance) przy przej\u015bciu do chmury"},"content":{"rendered":"

Fenomen chmury<\/strong><\/p>\n

Cloud computing (pol. chmura) to termin funkcjonuj\u0105cy zaledwie od kilku lat w spo\u0142eczno\u015bci osób zwi\u0105zanych z IT. Termin, który zrobi\u0142 zawrotn\u0105 karier\u0119 i nic nie wskazuje na to, \u017ceby mia\u0142 znikn\u0105\u0107 z powszechnego u\u017cycia. Zw\u0142aszcza, \u017ce us\u0142ug w chmurze (tzw. SaaS) przybywa z ka\u017cdym dniem.<\/p>\n

Do chmury zach\u0119ca:
•\toptymalizacja,
•\tmo\u017cliwo\u015b\u0107 skupienia si\u0119 na zasadniczej dzia\u0142alno\u015bci przedsi\u0119biorstwa,
•\tmobilno\u015b\u0107,
•\tszybko\u015b\u0107 wdro\u017cenia,
•\t\u0142atwo\u015b\u0107 u\u017cytkowania, dost\u0119p do najnowszych technologii biznesowych,
•\tprzewidywalno\u015b\u0107 ponoszonych kosztów na IT,
•\tbrak inwestycji w hardware i obs\u0142ug\u0119 serwisow\u0105 przy jednoczesnym dost\u0119pie do najnowszych wersji oprogramowania.<\/p>\n

Do chmury zniech\u0119ca:
•\tutrata kontroli i poufno\u015bci nad przechowywanymi danymi,
•\tbrak zaufania do bezpiecze\u0144stwa danych,
•\tuzale\u017cnienie si\u0119 od jednego dostawcy.
•\tproblemy z migracj\u0105 danych.<\/p>\n

Nie zawsze jednak te minusy wyst\u0105pi\u0105. Wszystko zale\u017cy od tego jakie dane powierzymy do przetwarzania oraz komu i na jakich zasadach.<\/p>\n

Analiza GRC<\/strong><\/p>\n

Z mojego punktu widzenia jako prawnika zajmuj\u0105cego si\u0119 \u015bwiadczeniem us\u0142ug w odniesieniu do realiów biznesowych przedsi\u0119biorstwa oraz cyberbezpiecze\u0144stwa najwa\u017cniejsze jest podej\u015bcie kompleksowe. Pozytywna ocena zgodno\u015bci (ang. compliance) nie jest jeszcze przepustk\u0105 do zawarcia umowy. Dla klienta zainteresowanego przej\u015bciem do chmury istotne znaczenie ma w takim samym stopniu \u0142ad korporacyjny (ang. governance), zarz\u0105dzanie ryzykiem (ang. risk managment) jak i ocena zgodno\u015bci (ang. compliance).<\/p>\n

Punktem wyj\u015bciowym przy podejmowaniu decyzji o zawarciu kontraktu dla ka\u017cdego klienta mo\u017ce by\u0107 co innego. Bezpiecze\u0144stwo jest jednak kluczowym czynnikiem, który okazuje si\u0119 by\u0107 interesuj\u0105cy przy podejmowaniu decyzji o przej\u015bciu do chmury. Zaraz za tym zagadnieniem wysuwa si\u0119 na prowadzenie pytanie „czy przechodz\u0105c do chmury b\u0119dziemy zgodni z GIODO?”. Je\u015bli w chmurze b\u0119d\u0105 przetwarzane dane osobowe to proces przetwarzania danych musi by\u0107 zgodny z przepisami o ochronie danych osobowych.<\/p>\n

\"\"<\/p>\n

Ocena zgodno\u015bci<\/strong><\/p>\n

Ocena zgodno\u015bci wbrew pozorom nie wi\u0105\u017ce si\u0119 tylko i wy\u0142\u0105cznie z analiz\u0105 umów. Sama weryfikacja umowy o \u015bwiadczenie us\u0142ugi\/umowy outsourcingowej oraz jej za\u0142\u0105czników: umowy dotycz\u0105cej gwarantowanego poziomu us\u0142ug (ang. Service Level Agreement) i umowy powierzenia przetwarzania danych osobowych (ang. Data Processing Agreement). Zaopiniowanie umów do podpisania nast\u0119puje dopiero na etapie ko\u0144cowym. Co wa\u017cne, ocena zgodno\u015bci nie powinna by\u0107 przeprowadzona w oderwaniu od pracy dzia\u0142u IT. Jestem zwolenniczk\u0105 wspó\u0142pracy na linii prawnik-informtyk. Dopiero to po\u0142\u0105czenie daje rzeteln\u0105 odpowied\u017a na pytanie „czy mo\u017cemy przej\u015b\u0107 do chmury?”.<\/p>\n

Z punktu widzenia compliance na samym pocz\u0105tku dokonywana jest ocena rodzaju danych, które maj\u0105 zosta\u0107 wyoutsourcowane. Nast\u0119puje analiza u jakich dostawców te dane mog\u0105 by\u0107 przetwarzane z prawnego punktu widzenia. W tym miejscu badamy pierwsze bariery prawne.<\/p>\n

Przyk\u0142adowo w przypadku informacji stanowi\u0105cych tajemnic\u0119 handlow\u0105 chmura poza granicami Polski w ogóle nie wchodzi w gr\u0119. Je\u017celi mówimy o przetwarzaniu, innych danych osobowych w chmurze to wybór us\u0142ugodawców zaw\u0119\u017ca si\u0119 tylko do tych, którzy spe\u0142niaj\u0105 standardy bezpiecze\u0144stwa zaakceptowane w Europejskim Obszarze Gospodarczym.<\/p>\n

Pierwsze wyniki zaw\u0119\u017caj\u0105 kr\u0105g dostawców, którzy mog\u0105 zosta\u0107 przebadani pod k\u0105tem Governance i Risk Management. Tym w\u0142a\u015bnie zajmuje si\u0119 co do zasady dzia\u0142 IT albo wyspecjalizowane firmy zajmuj\u0105ce si\u0119 bezpiecze\u0144stwem informacji. Gdy ju\u017c mamy wybrany kr\u0105g interesuj\u0105cych dostawców albo jeden upatrzony to ponownie przygl\u0105da im si\u0119 prawnik. Jego rol\u0105 jest zaopiniowanie umów oraz za\u0142\u0105czników. Idealnie je\u017celi przedstawi on rekomendacje dla zawarcia kontraktu i oszacuje mo\u017cliwe straty jakie poniesienie organizacja w przypadku niepodpisania stosownych dokumentów. W przypadku wyboru dostawcy b\u0119dzie on tak\u017ce koordynowa\u0142 proces podpisania dokumentów. W praktyce cz\u0119sto si\u0119 zdarza, \u017ce trzeba renegocjowa\u0107 warunki umowy w imieniu klienta albo wr\u0119cz jej form\u0119 (najcz\u0119\u015bciej z elektronicznej na wersj\u0119 papierow\u0105).<\/p>\n

Przej\u015bcie do chmury zawsze powinno by\u0107 przemy\u015blane. Warto zweryfikowa\u0107 czy chmura jest potrzebna organizacji, a je\u017celi tak to na jakich zasadach. Z pomoc\u0105 w podj\u0119ciu decyzji o migracji, której dokonuje zarz\u0105d powinien przyj\u015b\u0107 zarówno dzia\u0142 IT jak i prawnik. Rol\u0105 IT b\u0119dzie ocena bezpiecze\u0144stwa, a rol\u0105 prawnika ocena zgodno\u015bci prawnej.<\/p>\n

\"\" <\/p>\n

Beata Marek IT&IP Lawyer, cyberlaw.pl
Wiceprezes CSA Polska, dyrektor w ISSA Polska
Cz\u0142onkini FBC oraz International Cyber Threat Task Force<\/p>\n","protected":false},"excerpt":{"rendered":"Cloud computing (pol. chmura) to termin funkcjonuj\u0105cy zaledwie od kilku lat w spo\u0142eczno\u015bci osób zwi\u0105zanych z IT. Termin, który zrobi\u0142 zawrotn\u0105 karier\u0119 i nic nie wskazuje na to, \u017ceby mia\u0142 znikn\u0105\u0107 z powszechnego u\u017cycia. Zw\u0142aszcza, \u017ce us\u0142ug w chmurze (tzw. SaaS) przybywa z ka\u017cdym dniem.","protected":false},"author":1,"featured_media":715,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"csco_display_header_overlay":false,"csco_singular_sidebar":"","csco_page_header_type":"","csco_page_load_nextpost":"","csco_post_video_location":[],"csco_post_video_location_hash":"","csco_post_video_url":"","csco_post_video_bg_start_time":0,"csco_post_video_bg_end_time":0,"footnotes":""},"categories":[4657],"tags":[],"class_list":{"0":"post-714","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-poradnik","8":"cs-entry","9":"cs-video-wrap"},"_links":{"self":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/posts\/714","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/comments?post=714"}],"version-history":[{"count":0,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/posts\/714\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/media\/715"}],"wp:attachment":[{"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/media?parent=714"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/categories?post=714"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/mediarun.com\/pl\/wp-json\/wp\/v2\/tags?post=714"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}