Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

1 Můžeme mít důvěru v cloudové služby ? Konference MPO ČR - Digitální výzvy 2014 5. prosince 2014 Václav Mach Government Corporate Affairs Microsoft CEE.

Podobné prezentace


Prezentace na téma: "1 Můžeme mít důvěru v cloudové služby ? Konference MPO ČR - Digitální výzvy 2014 5. prosince 2014 Václav Mach Government Corporate Affairs Microsoft CEE."— Transkript prezentace:

1 1 Můžeme mít důvěru v cloudové služby ? Konference MPO ČR - Digitální výzvy prosince 2014 Václav Mach Government Corporate Affairs Microsoft CEE Regulatorní prostředí a legislativa EU jako aktuální výzva pro digitální ekonomiku

2 2 Digitální výzvy Veřejný nebo privátní Cloud Computing? Elektronické volby e-Volby? Elektronizace zdravotnictví e-Health? Elektronická identita občanů eIdentita?

3 3 Slyšíme kolem sebe otázky... Proč bych měl důvěřovat Microsoftu? Jaké bezpečnostní audity a certifikace má cloudová infrastruktura Microsoftu? Jestli dám určité aplikace do cloudu, budu schopen vyhovět regulatorním požadavkům? Jak bychom měli ve firmě hodnotit cloudové dodavatele z hlediska bezpečnosti, ochrany soukromí, a souladu s legislativou?

4 Microsoft Azure Základ důvěry v ICT POSTAVENO NA NAŠÍ ZKUŠENOSTI A INOVACI 20+ Data Centers Trustworthy Computing Initiative Security Development Lifecycle Global Data Center Services Malware Protection Center Microsoft Security Response Center Windows Update 1 st Microsoft Data Center Active Directory SOC 1 CSA Cloud Controls Matrix PCI DSS Level 1 FedRAMP/ FISMA UK G-Cloud Level 2 ISO/IEC 27001:2005 HIPAA/ HITECH Digital Crimes Unit SOC 2 E.U. Data Protection Directive Operations Security Assurance

5 Škálovatelnost a redundance zdrojů Chicago Cheyenne Dublin Amsterdam Hong Kong Singapore Japan San Antonio Každé datové centrum > 1 mld. USD investice, celkově >1 mil. serverů Boydton Shanghai Quincy Des Moines Brazil Australia Zajištění dat:  V každém datacentru 3 kopie dat  Geografická replikace min. 600km daleko  Zákazník volí místo uložení dat  Zákazník konfiguruje úroveň replikace dat

6 6 Informování zákazníků v případě požadavku soudního příkazu na vydání dat Využití všech legálních metod pro umožnění informování zákazníka Zákaznická data v Office 365 jsou vlastnictvím zákazníka Data lze vyexportovat do 90 dní po ukončení smlouvy; do 180 dní jsou smazána V průběhu r jsme posílili šifrování dat a zavedli technologii Perfect Forward Secrecy Posílení právní ochrany zákazníků Přenositelnost dat Žádné výstupy ze zákaznických dat pro reklamní účely Žádné skenování ů a dokumentů za účelem analytických rozborů Žádné reklamy

7 7 Uložení dat v DC Dublin, Amsterdam Active Directory zákazníka a servisní logy jsou v USA Technická podpora („follow the sun“),

8 8

9 9 §27 zák. 101/2000 Sb. Předání osobních údajů Zpracovateli do zahraničí. V případě použití „standardních smluvních doložek EU“ není třeba žádat úřad o povolení, viz web ÚOOÚ... kdy není třeba žádat o povolení (dole na stránce)kdy není třeba žádat o povolení ÚOOÚ: Využití cloud computingu pro zpracování osobních údajů je možné při splnění určitých podmínek... Viz: „Názory úřadu“, „Často kladené otázky“ link,www.uoou.czlink dále Věstník ÚOOÚ částka 65 z 07/2013částka 65 z 07/2013 §13 zák. 101/2000 Sb. Správce a Zpracovatel dat provedou: - Analýzu rizik, - Příslušná technická opatření, - Ošetří smluvní vztah Správce / Zpracovatel aby nedošlo ke zneužití osobních informací Za nejsilnější záruky ochrany se považuje „Smlouva o zpracování dat“ (Data Processing Agreement), se zahrnutím „Standardních smluvních doložek“ (EU Contractual Clauses) dle Rozhodnuní 2010/87/EC

10 10

11 11

12 12 ISO/IEC 27018:2014 Nutný explicitní souhlas uživatele pro užití jeho dat k marketingu nebo inzerci ISO nový mezinárodní standard pro ochranu osobních informací v cloudu, založen na EU zákonech pro ochranu dat. Publikován Efektivní alternativa k zákaznickému auditu Poskytovatel nesmí odmítnout dát službu, i pokud mu uživatel tento souhlas nedá Musí informovat uživatele kde jsou jeho data, a jakým způsobem se zpracovávají V případě bezp. incidentů prověřit, zda nedošlo k úniku osobních údajů Pokud ano, musí informovat uživatele a regulátora ISO auditní zpráva má být relevantní pro zákazníka a jeho regulatorní požadavky Microsoft plánuje získat ISO certifikát v průběhu r. 2015

13 13 Standard - certifikace Office 365 Microsoft Dynamics CRM Microsoft Azure Windows Intune GFS (Global Foundation Services – infrastruktura datových center) ISO 27001:2005 Ano EU Model Clauses (Standardní smluvní doložky Evropské unie, ověřen „soulad“) Ano EU Safe Harbor Ano PCI DSS (Payment Card Industry Data Security Standard) N/A Ano N/A Ano SOC 1 Type 2 (Service Organization Controls - SSAE 16/ISAE 3402) Ano Ne, jen Type 1 Ano SOC 2 Type 2 (AT Section 101) Ano Ne Ano Ne, jen Type 1 Ano UK G-Cloud Ano Ne N/A FedRAMP (US) (Moderate) Ano Ne Ano Ne Ano FERPA (US – Education) Ano N/A Ano N/A HIPPA/BAA (US - Healthcare) Ano IPv6 Ano Ne N/A CJIS (US - Criminal Justice) Ano Ne N/A

14 14 Cloud Controls Matrix (CCM) je sada kritérií dle ISO 27001, COBIT 4.1, NIST SP800-53: pro cloudové firmy pro potenciální zákazníky při výběru dodavatele Microsoft Office 365, Windows Azure, Dynamics CRM Online: Standard Response Podrobnosti bezpečnosti a soukromí dle Cloud Control Matrix (CCM) Microsoft Office 365, Windows Azure, Dynamics CRM Online: Standard Response Podrobnosti bezpečnosti a soukromí dle Cloud Control Matrix (CCM)

15 15 Třetím stranám neumožňujeme přístup k zákaznickým datům, pokud k tomu nejsme povinni na základě platné legislativy. Každá žádost je individuálně posuzována (autorita žadatele, rozsah požadavku) MS se primárně snaží přesměrovat žádost přímo na zákazníka, pokud je to nutné, tak i s použitím právních kroků Pokud není možné požadavek přesměrovat, MS bude zákazníka o tomto požadavku informovat, s výjimkou případů, kdy to zákon explicitně zakazuje Cca 75% glob. požadavků uspokojí jen metadata (viz report) MS neposkytuje plošný přístup k datům – musí se jednat o účet konkrétního zákazníka pro konkrétní zákonný účel Viz MOSA Data Processing Agreement se Stand. sml. doložkami EUMOSA Data Processing Agreement

16 16 Za rok 2012, globálně: 99,9+% požadavků na spotřebitelské služby (Hotmail, Skype, Xbox, atd.) Pouze 11 (z ) požadavků se týkalo služeb podnikových zákazníků; 7 z nich MS odmítl nebo úspěšně přesměroval na zákazníka; 4 jsme poskytli se souhlasem zákazníka nebo na základě dohody se zákazníkem. Za 1. pol. 2014, globálně: Pouze 5 požadavků na konkrétní účty 5 osob podnikových zákazníků. Ve všech 5 případech buď odmítnut přístup, nebo přesměrováno na zákazníka. Dosud nikdy nebyl žádán přístup na data podnikových zákazníků mimo území USA. Viz dokument “Microsoft’s principles and practices for responding to government data requests”

17 17 Pravidelné pololetní reporty – za 1. pol. 2014: Na základě soudního příkazu nebo mezinárodního zatykače: požadavků z 69 zemí  75,13% vydána metadata  5,91% zamítnuto (nesplněny předpoklady)  16,34% nic nenalezeno  2,62% vydán zákaznický obsah 41 požadavků z České republiky  87,8% vydána metadata  4,9% zamítnuto (nesplněny předpoklady)  7,3% nic nenalezeno  0% vydán zákaznický obsah Celý report:

18 18 Přístupy dle příkazů národní bezpečnosti USA Foreign Intelligence Surveillance Act (FISA) National Security Letters (NSL) – požadují pouze „business records“ (metadata) FISA žádosti se zatím nikdy netýkaly podnikových zákazníků Poprvé publikovány (jen v „tisících“) v únoru výsledek společné žaloby Internet. firem proti vládě USA Kde je jakýkoli nedostatek, rozporujeme požadavky u soudu Např. žádosti které zakazují informovat zákazníka Případ z dubna 2014 – y z Outlook.com fyz. osoby z datacentra v Irsku Poslední verze přehledu: Publikovány podrobné Q&Apodrobné Q&A

19 19 Případ NY vs Microsoft - warrant case

20 20

21 21 Děkuji vám za pozornost...


Stáhnout ppt "1 Můžeme mít důvěru v cloudové služby ? Konference MPO ČR - Digitální výzvy 2014 5. prosince 2014 Václav Mach Government Corporate Affairs Microsoft CEE."

Podobné prezentace


Reklamy Google