Můžeme mít důvěru v cloudové služby ?

Prezentace na téma: "Můžeme mít důvěru v cloudové služby ?"— Transkript prezentace:

1 Můžeme mít důvěru v cloudové služby ?
Regulatorní prostředí a legislativa EU jako aktuální výzva pro digitální ekonomiku Můžeme mít důvěru v cloudové služby ? Konference MPO ČR - Digitální výzvy 2014 5. prosince 2014 Václav Mach Government Corporate Affairs Microsoft CEE

2 Digitální výzvy 2014 ... Veřejný nebo privátní Cloud Computing?
Elektronické volby e-Volby? Elektronizace zdravotnictví e-Health? Elektronická identita občanů eIdentita?

3 Slyšíme kolem sebe otázky...
Proč bych měl důvěřovat Microsoftu? Jaké bezpečnostní audity a certifikace má cloudová infrastruktura Microsoftu? Jestli dám určité aplikace do cloudu, budu schopen vyhovět regulatorním požadavkům? Jak bychom měli ve firmě hodnotit cloudové dodavatele z hlediska bezpečnosti, ochrany soukromí, a souladu s legislativou?

4 Základ důvěry v ICT Postaveno na naší zkušenosti a inovaci 1989 1995
20+ Data Centers Trustworthy Computing Initiative Security Development Lifecycle Global Data Center Services Malware Protection Center Microsoft Security Response Center Windows Update 1st Microsoft Data Center Active Directory SOC 1 CSA Cloud Controls Matrix PCI DSS Level 1 FedRAMP/ FISMA UK G-Cloud Level 2 ISO/IEC 27001:2005 HIPAA/ HITECH Digital Crimes Unit SOC 2 E.U. Data Protection Directive Operations Security Assurance 1989 1995 2000 2005 2010

5 Škálovatelnost a redundance zdrojů
Každé datové centrum > 1 mld. USD investice, celkově >1 mil. serverů Dublin Chicago Amsterdam Quincy Boydton Japan Shanghai Cheyenne Des Moines Hong Kong San Antonio Singapore Over the last few years we’ve truly delivered a huge infrastructure to enable us to grow our services at scale around the globe. Whether it’s our flagship facilities in Quincy, Washington or Boydton, Virginia, or some of the newly announced facilities in Shanghai, Australia and Brazil, it really is key for us to make smart investments around the world to deliver services in a resilient and reliable fashion. A lot of people ask, what goes into site selection at Microsoft and how do we decide where to place our datacenter investments? There are over thirty-five factors in our site selection criteria. But really, the top elements are around proximity to customers and energy and fiber infrastructure, insuring that we have the capacity and the growth platforms to be able to grow our services. Another key element is about skilled workforce. We need to insure that we have the right people to run and operate our datacenters on a day to day basis. Brazil Zajištění dat: V každém datacentru 3 kopie dat Geografická replikace min. 600km daleko Zákazník volí místo uložení dat Zákazník konfiguruje úroveň replikace dat Australia

6 Soukromí v Microsoft Online Services
4/9/2017 Soukromí v Microsoft Online Services V průběhu r jsme posílili šifrování dat a zavedli technologii Perfect Forward Secrecy Žádné reklamy Žádné výstupy ze zákaznických dat pro reklamní účely Žádné skenování ů a dokumentů za účelem analytických rozborů Přenositelnost dat Zákaznická data v Office 365 jsou vlastnictvím zákazníka Data lze vyexportovat do 90 dní po ukončení smlouvy; do 180 dní jsou smazána Posílení právní ochrany zákazníků Informování zákazníků v případě požadavku soudního příkazu na vydání dat Využití všech legálních metod pro umožnění informování zákazníka Podrobnosti v Prohlášení o zásadách ochrany osobních údajů (Office 365, Win Azure...), prohlášení na blogu všeobecného právního zástupce Microsoftu © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

7 Přeshraniční předávání osobních údajů
Standardní smluvní doložky (Binding Corporate Rules) Safe Harbor Standardní smluvní doložky (Binding Corporate Rules) Bez omezení Uložení dat v DC Dublin, Amsterdam Technická podpora („follow the sun“), Active Directory zákazníka a servisní logy jsou v USA

8 Zák. 101/2000 Sb. o ochraně osob. údajů
Orgán veřejné správy: SPRÁVCE Smlouva o zpracování dat dle §6. zákona Poskytovatel cloudových služeb: ZPRACOVATEL „What you sign is what you get“: Microsoft EA Enrollment / Open License amendment / MOSA Smlouva o zpracování dat (Data Processing Agmt) EU standardní smluvní doložky (na vyžádání) Volitelně: garance umístění dat v EU; dodatky pro finanční sektor

9 Soulad se zákonem 101/2000 Sb. Cloud a zpracování osobních údajů
Worldwide Public Sector Partner Events 4/9/2017 Soulad se zákonem 101/2000 Sb. Cloud a zpracování osobních údajů §13 zák. 101/2000 Sb. Správce a Zpracovatel dat provedou: - Analýzu rizik, - Příslušná technická opatření, - Ošetří smluvní vztah Správce / Zpracovatel aby nedošlo ke zneužití osobních informací ÚOOÚ: Využití cloud computingu pro zpracování osobních údajů je možné při splnění určitých podmínek... Viz: „Názory úřadu“, „Často kladené otázky“ link, dále Věstník ÚOOÚ částka 65 z 07/2013 §27 zák. 101/2000 Sb. Předání osobních údajů Zpracovateli do zahraničí. V případě použití „standardních smluvních doložek EU“ není třeba žádat úřad o povolení, viz web ÚOOÚ... kdy není třeba žádat o povolení (dole na stránce) Za nejsilnější záruky ochrany se považuje „Smlouva o zpracování dat“ (Data Processing Agreement), se zahrnutím „Standardních smluvních doložek“ (EU Contractual Clauses) dle Rozhodnuní 2010/87/EC © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

10 Article 29 Data Protection Working Party
Asociace národních úřadů pro ochranu osobních údajů zemí EU: Vyjádření z 2/4/14 k Microsoft „Enterprise Enrollment Addendum Microsoft Online Services Data Protection Agreement“, a jeho Annex 1 „Standard Contractual Clauses“ Závěr: po projednaných změnách budou Standardní smluvní doložky v souladu s EC Decision 2010/87/EU, a nemusí být již posuzovány jako „ad hoc“.

11 Vyjádření ÚOOÚ z 28/4/14 „Vyjadřuji se tímto k produktům, poskytovaným společností Microsoft formou služby (SaaS)....“ „ÚOOÚ potvrzuje, že výše uvedený smluvní model služeb (EA) splňuje požadavky kladené zákonem o ochraně osobních údajů na předávání osobních údajů do jiných států, včetně zemí mimo EU...“

12 ISO/IEC 27018:2014 ISO nový mezinárodní standard pro ochranu osobních informací v cloudu, založen na EU zákonech pro ochranu dat. Publikován Nutný explicitní souhlas uživatele pro užití jeho dat k marketingu nebo inzerci V případě bezp. incidentů prověřit, zda nedošlo k úniku osobních údajů Pokud ano, musí informovat uživatele a regulátora Efektivní alternativa k zákaznickému auditu Poskytovatel nesmí odmítnout dát službu, i pokud mu uživatel tento souhlas nedá ISO auditní zpráva má být relevantní pro zákazníka a jeho regulatorní požadavky Musí informovat uživatele kde jsou jeho data, a jakým způsobem se zpracovávají Microsoft plánuje získat ISO certifikát v průběhu r. 2015

13 Certifikace MS online služeb – stav 10/2014
4/9/2017 Certifikace MS online služeb – stav 10/2014  Standard - certifikace  Office 365  Microsoft  Dynamics  CRM  Microsoft  Azure  Windows  Intune  GFS (Global Foundation Services – infrastruktura datových center)  ISO 27001:2005  Ano  EU Model Clauses (Standardní smluvní doložky Evropské unie, ověřen „soulad“)  EU Safe Harbor  PCI DSS (Payment Card Industry Data Security Standard)  N/A  SOC 1 Type 2 (Service Organization Controls - SSAE 16/ISAE 3402)  Ne, jen Type 1  SOC 2 Type 2 (AT Section 101)  Ne  UK G-Cloud  FedRAMP (US) (Moderate)  FERPA (US – Education)  HIPPA/BAA (US - Healthcare)  IPv6  CJIS (US - Criminal Justice) © 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

14 Cloud Security Alliance: Cloud Control Matrix
Cloud Controls Matrix (CCM) je sada kritérií dle ISO 27001, COBIT 4.1, NIST SP800-53: pro cloudové firmy pro potenciální zákazníky při výběru dodavatele Microsoft Office 365, Windows Azure, Dynamics CRM Online: Standard Response Podrobnosti bezpečnosti a soukromí dle Cloud Control Matrix (CCM)

15 Přístup k datům pro orgány činné v trestním řízení
Třetím stranám neumožňujeme přístup k zákaznickým datům, pokud k tomu nejsme povinni na základě platné legislativy. Každá žádost je individuálně posuzována (autorita žadatele, rozsah požadavku) MS se primárně snaží přesměrovat žádost přímo na zákazníka, pokud je to nutné, tak i s použitím právních kroků Pokud není možné požadavek přesměrovat, MS bude zákazníka o tomto požadavku informovat, s výjimkou případů, kdy to zákon explicitně zakazuje Cca 75% glob. požadavků uspokojí jen metadata (viz report) MS neposkytuje plošný přístup k datům – musí se jednat o účet konkrétního zákazníka pro konkrétní zákonný účel Viz MOSA Data Processing Agreement se Stand. sml. doložkami EU

16 Přístup k datům: dle typu služeb
Za rok 2012, globálně: 99,9+% požadavků na spotřebitelské služby (Hotmail, Skype, Xbox, atd.) Pouze 11 (z ) požadavků se týkalo služeb podnikových zákazníků; 7 z nich MS odmítl nebo úspěšně přesměroval na zákazníka; 4 jsme poskytli se souhlasem zákazníka nebo na základě dohody se zákazníkem. Za 1. pol. 2014, globálně: Pouze 5 požadavků na konkrétní účty 5 osob podnikových zákazníků. Ve všech 5 případech buď odmítnut přístup, nebo přesměrováno na zákazníka. Dosud nikdy nebyl žádán přístup na data podnikových zákazníků mimo území USA. Viz dokument “Microsoft’s principles and practices for responding to government data requests”

17 Přístup k datům: dle mezinár. procedury
Pravidelné pololetní reporty – za 1. pol. 2014: Na základě soudního příkazu nebo mezinárodního zatykače: požadavků z 69 zemí 75,13% vydána metadata 5,91% zamítnuto (nesplněny předpoklady) 16,34% nic nenalezeno 2,62% vydán zákaznický obsah 41 požadavků z České republiky 87,8% vydána metadata 4,9% zamítnuto (nesplněny předpoklady) 7,3% nic nenalezeno 0% vydán zákaznický obsah Celý report:

18 Přístup k datům: národní bezpečnost USA
Přístupy dle příkazů národní bezpečnosti USA Foreign Intelligence Surveillance Act (FISA) National Security Letters (NSL) – požadují pouze „business records“ (metadata) FISA žádosti se zatím nikdy netýkaly podnikových zákazníků Poprvé publikovány (jen v „tisících“) v únoru výsledek společné žaloby Internet. firem proti vládě USA Kde je jakýkoli nedostatek, rozporujeme požadavky u soudu Např. žádosti které zakazují informovat zákazníka Případ z dubna 2014 – y z Outlook.com fyz. osoby z datacentra v Irsku Poslední verze přehledu: Publikovány podrobné Q&A

19 Případ NY vs Microsoft - warrant case

20

21 Děkuji vám za pozornost ...