Můžeme mít důvěru v cloudové služby ?

Slides:



Advertisements
Podobné prezentace
Studie: Data retention v ČR v praxi Petr Kučera Iuridicum Remedium, o. s.
Advertisements

Spisová služba pro organizace zřízené Olomouckým krajem
Komunitární program PROGRESS
Nadpis Portál pro komunikaci s občany 1 Portál pro komunikaci s veřejností Portál pro komunikaci s veřejností DATRON, a.s. ing. Jaromír Látal projektový.
1 1 Evropský zemědělský fond pro rozvoj venkova : Evropa investuje do venkovských oblastí „ Kdo za to může – kompletní vzdělávání pro přípravu a realizací.
DIRECT MAIL – LEGISLATIVNÍ OMEZENÍ
© Copyright Siemens Business Services Global network of innovation Siemens Business Services: Vedoucí poskytovatel eGovernment řešení v Evropě Pasová agenda.
Digitální výukový materiál zpracovaný v rámci projektu „EU peníze školám“ Projekt:CZ.1.07/1.5.00/ „SŠHL Frýdlant.moderní školy“ Škola:Střední škola.
1. 3 Business priorita Scénář Řešení Produkty Rozvoj a podpora Partneři.
Tomáš Baďura ARI.  Mnoho velkých společností dávno začalo prosazovat přesun výpočetního výkonu IT do velkých datových center.  Decentralizované systémy.
Diagramy případů užití.
Školení zaměstnanců web + intranet v Praze.
EGovernment Zpracoval: Ing. Tomáš Vašica 1 Datum: Jednání implementátorů ORP Moravskoslezského kraje Zpracoval: Ing. Tomáš Vašica Datum: 20.
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Efektivní informační bezpečnost
1 Způsob žádání o dotaci v rámci OP Lidské zdroje a zaměstnanost Prezentující Mgr. Petr Zavadil.
Aktivity ČTÚ pro období let 2014 a 2015
XI. jarní konference energetických manažerů Problémy ČR v kontextu evropského trhu s energiemi (Bezpečnost a dostupnost dodávek energií v ČR a EU) Vliv.
Řízení přístupových práv uživatelů
Ochrana osobních údajů při poskytování informací
Přeskočte standardy v monitoringu! GX SOLUTIONS, a.s., organizační složka V oblouku 114, Čestlice, Říčany u Prahy
Petr Šetka, MVP Exchange, MCSE:Messaging, MCT Windows Small Business Server 2003 R2.
Dalibor Kačmář Ředitel serverové divize, Microsoft Unicorn College Open,
CzechInvest Agentura pro podporu podnikání a investic NÁRODNÍ DIALOG KE KLASTROVÝM KONCEPCÍM Martina Froňková Praha,
Online prodeje jako součást multikanálového přístupu v praxi
Aktuální stav rejstříku povolenek na emise skleníkových plynů z pohledu OTE – AEM - Ostrava Miroslav Řehoř.
Ochrana obsahu ve virtuálním prostředí JUDR. TOMÁŠ NIELSEN, ROWAN LEGAL TINF 2010, Praha, KCP.
Technická normalizace v České republice 1.Tvorba českých technických norem 2.Mezinárodní spolupráce 3.Postavení českých technických norem.
Střednědobé uložení digitálních dokumentů a jejich autenticita (Miroslav Čejka, GORDIC spol. s r.o.)
1 | Kaspersky Endpoint Security Přehled. 2 | Kaspersky Endpoint Security Kaspersky Endpoint Security for Windows Kaspersky Endpoint Security for Mac Kaspersky.
Úloha informačních technologií ve státní správě Robert Hernady Senior Systems Engineer Microsoft.
Smluvní vztahy a registrace Jaroslav Žákovčík Praha
Cisco Confidential © 2010 Cisco and/or its affiliates. All rights reserved. 1 Cisco Services Zbynek Pakandl / / comm
1 Etika podnikání Společenská odpovědnost organizací Ing. Jaroslav Prachař – výkonný ředitel, Korektní podnikání, o.s CEBRE – Kam směřuje Společenská.
Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009.
ČINNOST PŘÍSTROJOVÉ KOMISE
1 1 Evropský zemědělský fond pro rozvoj venkova : Evropa investuje do venkovských oblastí „ Kdo za to může – kompletní vzdělávání pro přípravu a realizací.
ÚřadPrůmyslovéhoVlastnictví Česká republikaČeská republika Josef Kratochvíl Úřad průmyslového vlastnictví a podpora mezinárodní konkurenceschopnosti.
IBM Information Technology Services © Copyright IBM Corporation 2006 Zpracování dokumentace a podpora řízení Integrovaného bezpečnostního centra v Ostravě.
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
Zkušenosti ze zavedení systému řízení kvality informačních služeb
15 let vývoje E-Governmentu v legislativě ČR Mgr. Tomáš Lechner Vysoká škola ekonomická v Praze Národohospodářská fakulta Katedra práva.
Osobní údaje při registraci domén Praha září 2007 Mgr. Martina Šnajderová, DiS. Úřad pro ochranu osobních údajů.
STÁTNÍ INFORMAČNÍ POLITIKA Cesta k informační společnosti Ing. Karel Březina ministr a předseda Rady vlády pro státní informační politiku.
1 Zpráva o výsledcích finančních kontrol ve veřejné správě za rok 2006 – za Liberecký kraj a jím zřízené příspěvkové organizace.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
DMVS Zpracoval: Ing. Ivan Ivanov 1 Typové projekty DMVS -Účelová katastrální mapa realizace 2011, investice cca 9 mil. -Nástroje pro tvorbu a údržbu ÚAP.
Bezpečnost informačních systémů - nástroje pro podporu řešení bezpečnosti Nemochovský František ISSS Hradec Králové, března 2004.
Strana: 1 © Vema, a. s. Ucelené řešení pro řízení lidských zdrojů, ekonomiky a logistiky.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.1 Lucián Piller Intranet HR.
Seznámení se službami Office 365 Microsoft Online Services Přechod ze sady BPOS na služby Office 365 pro stávající uživatele BPOS.
Zásady řešení informační bezpečnosti
NÁRODNÍ DIGITÁLNÍ ARCHIV
EGovernment Zpracoval: Ing. Tomáš Vašica 1 Datum: Aktuální informace k zavádění eGovernmentu Zpracoval: Ing. Tomáš Vašica Dne:
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
MoReq2 Ing. Miroslav ŠIRL Hradec Králové.
Prof. Molnár1 Podnikové informační systémy Outsourcing IS/IT a ASP Prof. Ing. Zdeněk Molnár, CSc Ústav řízení a ekonomiky podniku
Technické řešení PostSignum QCA
Aktuální bezpečnostní výzvy … a jak na ně ….. v praxi Dalibor Lukeš Platform and Security Manager Microsoft Czech and Slovak Michal Pechan Production Stream.
Hodnocení kvality a bezpečí zdravotních služeb
Konference Městské kamerové dohlížecí systémy a ochrana osobních údajů, Praha 18. února 2011 PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů.
Sdílením k efektivnímu poskytování služeb veřejné správy Cyril Čapka – předseda Komise informatiky Svazu měst a obcí Václav Koudele – startegy architect.
Sjednocení technologické platformy Policie ČR CZ.1.06/1.1.00/ Sjednocení technologické platformy Policie ČR CZ.1.06/1.1.00/ Projekt je.
Co je to Czech POINT garantovaná služba pro komunikaci se státem prostřednictvím jednoho univerzálního místa možnost získání a ověření dat z veřejných.
Mezinárodní konference ICT Fórum PERSONALIS 2006 Procesní řízení informační bezpečnosti ve státní správě Ing. Jindřich KODL, CSc. Praha
Inovativní služby v oblasti informační bezpečnosti Ing. Jan Drtil.
Cloud computing v praxi
Informace o Programu švýcarsko-české spolupráce
Výbor pro audit ing. Bohuslav Poduška, CIA, CRMA
Obecné nařízení o ochraně osobních údajů
Transkript prezentace:

Můžeme mít důvěru v cloudové služby ? Regulatorní prostředí a legislativa EU jako aktuální výzva pro digitální ekonomiku Můžeme mít důvěru v cloudové služby ? Konference MPO ČR - Digitální výzvy 2014 5. prosince 2014 Václav Mach Government Corporate Affairs Microsoft CEE

Digitální výzvy 2014 ... Veřejný nebo privátní Cloud Computing? Elektronické volby e-Volby? Elektronizace zdravotnictví e-Health? Elektronická identita občanů eIdentita?

Slyšíme kolem sebe otázky... Proč bych měl důvěřovat Microsoftu? Jaké bezpečnostní audity a certifikace má cloudová infrastruktura Microsoftu? Jestli dám určité aplikace do cloudu, budu schopen vyhovět regulatorním požadavkům? Jak bychom měli ve firmě hodnotit cloudové dodavatele z hlediska bezpečnosti, ochrany soukromí, a souladu s legislativou?

Základ důvěry v ICT Postaveno na naší zkušenosti a inovaci 1989 1995 20+ Data Centers Trustworthy Computing Initiative Security Development Lifecycle Global Data Center Services Malware Protection Center Microsoft Security Response Center Windows Update 1st Microsoft Data Center Active Directory SOC 1 CSA Cloud Controls Matrix PCI DSS Level 1 FedRAMP/ FISMA UK G-Cloud Level 2 ISO/IEC 27001:2005 HIPAA/ HITECH Digital Crimes Unit SOC 2 E.U. Data Protection Directive Operations Security Assurance 1989 1995 2000 2005 2010

Škálovatelnost a redundance zdrojů Každé datové centrum > 1 mld. USD investice, celkově >1 mil. serverů Dublin Chicago Amsterdam Quincy Boydton Japan Shanghai Cheyenne Des Moines Hong Kong San Antonio Singapore Over the last few years we’ve truly delivered a huge infrastructure to enable us to grow our services at scale around the globe. Whether it’s our flagship facilities in Quincy, Washington or Boydton, Virginia, or some of the newly announced facilities in Shanghai, Australia and Brazil, it really is key for us to make smart investments around the world to deliver services in a resilient and reliable fashion.   A lot of people ask, what goes into site selection at Microsoft and how do we decide where to place our datacenter investments? There are over thirty-five factors in our site selection criteria. But really, the top elements are around proximity to customers and energy and fiber infrastructure, insuring that we have the capacity and the growth platforms to be able to grow our services. Another key element is about skilled workforce. We need to insure that we have the right people to run and operate our datacenters on a day to day basis. Brazil Zajištění dat: V každém datacentru 3 kopie dat Geografická replikace min. 600km daleko Zákazník volí místo uložení dat Zákazník konfiguruje úroveň replikace dat Australia

Soukromí v Microsoft Online Services 4/9/2017 Soukromí v Microsoft Online Services V průběhu r. 2014 jsme posílili šifrování dat a zavedli technologii Perfect Forward Secrecy Žádné reklamy Žádné výstupy ze zákaznických dat pro reklamní účely Žádné skenování emailů a dokumentů za účelem analytických rozborů Přenositelnost dat Zákaznická data v Office 365 jsou vlastnictvím zákazníka Data lze vyexportovat do 90 dní po ukončení smlouvy; do 180 dní jsou smazána Posílení právní ochrany zákazníků Informování zákazníků v případě požadavku soudního příkazu na vydání dat Využití všech legálních metod pro umožnění informování zákazníka Podrobnosti v Prohlášení o zásadách ochrany osobních údajů (Office 365, Win Azure...), prohlášení na blogu všeobecného právního zástupce Microsoftu © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Přeshraniční předávání osobních údajů Standardní smluvní doložky (Binding Corporate Rules) Safe Harbor Standardní smluvní doložky (Binding Corporate Rules) Bez omezení Uložení dat v DC Dublin, Amsterdam Technická podpora („follow the sun“), Active Directory zákazníka a servisní logy jsou v USA

Zák. 101/2000 Sb. o ochraně osob. údajů Orgán veřejné správy: SPRÁVCE Smlouva o zpracování dat dle §6. zákona Poskytovatel cloudových služeb: ZPRACOVATEL „What you sign is what you get“: Microsoft EA Enrollment / Open License amendment / MOSA Smlouva o zpracování dat (Data Processing Agmt) EU standardní smluvní doložky (na vyžádání) Volitelně: garance umístění dat v EU; dodatky pro finanční sektor

Soulad se zákonem 101/2000 Sb. Cloud a zpracování osobních údajů Worldwide Public Sector Partner Events 4/9/2017 Soulad se zákonem 101/2000 Sb. Cloud a zpracování osobních údajů §13 zák. 101/2000 Sb. Správce a Zpracovatel dat provedou: - Analýzu rizik, - Příslušná technická opatření, - Ošetří smluvní vztah Správce / Zpracovatel aby nedošlo ke zneužití osobních informací ÚOOÚ: Využití cloud computingu pro zpracování osobních údajů je možné při splnění určitých podmínek... Viz: www.uoou.cz, „Názory úřadu“, „Často kladené otázky“ link, dále Věstník ÚOOÚ částka 65 z 07/2013 §27 zák. 101/2000 Sb. Předání osobních údajů Zpracovateli do zahraničí. V případě použití „standardních smluvních doložek EU“ není třeba žádat úřad o povolení, viz web ÚOOÚ... kdy není třeba žádat o povolení (dole na stránce) Za nejsilnější záruky ochrany se považuje „Smlouva o zpracování dat“ (Data Processing Agreement), se zahrnutím „Standardních smluvních doložek“ (EU Contractual Clauses) dle Rozhodnuní 2010/87/EC © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Article 29 Data Protection Working Party Asociace národních úřadů pro ochranu osobních údajů zemí EU: Vyjádření z 2/4/14 k Microsoft „Enterprise Enrollment Addendum Microsoft Online Services Data Protection Agreement“, a jeho Annex 1 „Standard Contractual Clauses“ Závěr: po projednaných změnách budou Standardní smluvní doložky v souladu s EC Decision 2010/87/EU, a nemusí být již posuzovány jako „ad hoc“. http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140402_microsoft.pdf

Vyjádření ÚOOÚ z 28/4/14 „Vyjadřuji se tímto k produktům, poskytovaným společností Microsoft formou služby (SaaS)....“ „ÚOOÚ potvrzuje, že výše uvedený smluvní model služeb (EA) splňuje požadavky kladené zákonem o ochraně osobních údajů na předávání osobních údajů do jiných států, včetně zemí mimo EU...“

ISO/IEC 27018:2014 ISO 27018 - nový mezinárodní standard pro ochranu osobních informací v cloudu, založen na EU zákonech pro ochranu dat. Publikován 30. 7. 2014 Nutný explicitní souhlas uživatele pro užití jeho dat k marketingu nebo inzerci V případě bezp. incidentů prověřit, zda nedošlo k úniku osobních údajů Pokud ano, musí informovat uživatele a regulátora Efektivní alternativa k zákaznickému auditu Poskytovatel nesmí odmítnout dát službu, i pokud mu uživatel tento souhlas nedá ISO 27018 auditní zpráva má být relevantní pro zákazníka a jeho regulatorní požadavky Musí informovat uživatele kde jsou jeho data, a jakým způsobem se zpracovávají Microsoft plánuje získat ISO 27018 certifikát v průběhu r. 2015

Certifikace MS online služeb – stav 10/2014 4/9/2017 Certifikace MS online služeb – stav 10/2014  Standard - certifikace  Office 365  Microsoft  Dynamics  CRM  Microsoft  Azure  Windows  Intune  GFS (Global Foundation Services – infrastruktura datových center)  ISO 27001:2005  Ano  EU Model Clauses (Standardní smluvní doložky Evropské unie, ověřen „soulad“)  EU Safe Harbor  PCI DSS (Payment Card Industry Data Security Standard)  N/A  SOC 1 Type 2 (Service Organization Controls - SSAE 16/ISAE 3402)  Ne, jen Type 1  SOC 2 Type 2 (AT Section 101)  Ne  UK G-Cloud  FedRAMP (US) (Moderate)  FERPA (US – Education)  HIPPA/BAA (US - Healthcare)  IPv6  CJIS (US - Criminal Justice) © 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Cloud Security Alliance: Cloud Control Matrix https://cloudsecurityalliance.org/; https://cloudsecurityalliance.org/star/#_registry Cloud Controls Matrix (CCM) je sada kritérií dle ISO 27001, COBIT 4.1, NIST SP800-53: pro cloudové firmy pro potenciální zákazníky při výběru dodavatele Microsoft Office 365, Windows Azure, Dynamics CRM Online: Standard Response Podrobnosti bezpečnosti a soukromí dle Cloud Control Matrix (CCM)

Přístup k datům pro orgány činné v trestním řízení Třetím stranám neumožňujeme přístup k zákaznickým datům, pokud k tomu nejsme povinni na základě platné legislativy. Každá žádost je individuálně posuzována (autorita žadatele, rozsah požadavku) MS se primárně snaží přesměrovat žádost přímo na zákazníka, pokud je to nutné, tak i s použitím právních kroků Pokud není možné požadavek přesměrovat, MS bude zákazníka o tomto požadavku informovat, s výjimkou případů, kdy to zákon explicitně zakazuje Cca 75% glob. požadavků uspokojí jen metadata (viz report) MS neposkytuje plošný přístup k datům – musí se jednat o účet konkrétního zákazníka pro konkrétní zákonný účel Viz MOSA Data Processing Agreement se Stand. sml. doložkami EU

Přístup k datům: dle typu služeb Za rok 2012, globálně: 99,9+% požadavků na spotřebitelské služby (Hotmail, Skype, Xbox, atd.) Pouze 11 (z 70.000+) požadavků se týkalo služeb podnikových zákazníků; 7 z nich MS odmítl nebo úspěšně přesměroval na zákazníka; 4 jsme poskytli se souhlasem zákazníka nebo na základě dohody se zákazníkem. Za 1. pol. 2014, globálně: Pouze 5 požadavků na konkrétní účty 5 osob podnikových zákazníků. Ve všech 5 případech buď odmítnut přístup, nebo přesměrováno na zákazníka. Dosud nikdy nebyl žádán přístup na data podnikových zákazníků mimo území USA. Viz dokument “Microsoft’s principles and practices for responding to government data requests”

Přístup k datům: dle mezinár. procedury Pravidelné pololetní reporty – za 1. pol. 2014: Na základě soudního příkazu nebo mezinárodního zatykače: 34.494 požadavků z 69 zemí 75,13% vydána metadata 5,91% zamítnuto (nesplněny předpoklady) 16,34% nic nenalezeno 2,62% vydán zákaznický obsah 41 požadavků z České republiky 87,8% vydána metadata 4,9% zamítnuto (nesplněny předpoklady) 7,3% nic nenalezeno 0% vydán zákaznický obsah Celý report: http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/transparency/

Přístup k datům: národní bezpečnost USA Přístupy dle příkazů národní bezpečnosti USA Foreign Intelligence Surveillance Act (FISA) National Security Letters (NSL) – požadují pouze „business records“ (metadata) FISA žádosti se zatím nikdy netýkaly podnikových zákazníků Poprvé publikovány (jen v „tisících“) v únoru 2014 - výsledek společné žaloby Internet. firem proti vládě USA Kde je jakýkoli nedostatek, rozporujeme požadavky u soudu Např. žádosti které zakazují informovat zákazníka Případ z dubna 2014 – emaily z Outlook.com fyz. osoby z datacentra v Irsku Poslední verze přehledu: http://www.microsoft.com/about/corporatecitizenship/en-us/reporting/fisa/ Publikovány podrobné Q&A

Případ NY vs Microsoft - warrant case

Děkuji vám za pozornost ... vaclav.mach@microsoft.com

Kontaktní formulář: Ochrana osobních údajů Kontaktní formulář
O projektu: SlidePlayer Podmínky použití

© 2024 SlidePlayer.cz Inc. All rights reserved.