Съответствието с GDPR не е една от тези теми, които някой чете за забавление, но е задължително да го разберете. Общият регламент за защита на данните промени дигиталния свят в ЕС и целия свят. Той въведе по-строги правила за обработка, съхранение и използване на лични данни. Но как сложността на GDPR влияе върху облачния хостинг? Тук ще проучим връзката и това, което трябва да имате предвид, когато избирате облачен доставчик за вашите европейски потребители.
Какво е GDPR?
GDPR е съкращение от Общия регламент за защита на данните (General Data Protection Regulation). Това е закон на Европейския съюз, който влезе в сила през 2018 г., за да защити правата за поверителност на данните на гражданите на ЕС. Законът определя строги правила за това как всеки бизнес събира, съхранява и използва личните данни на европейските потребители.
Прочетете повече за GDPR в сайта на Европейската комисия.
Основни изисквания на GDPR за бизнеса
- Законосъобразна обработка. Всяка компания трябва да има правно основание за събиране и обработка на данните на потребителите. Това означава, че потребителите трябва да са се съгласили и да са подписали договор, да има легитимен интерес или законът да изисква данните.
- Споразумения за обработка на данни (Data processing agreement – DPA) с трети страни. Ако една компания работи с облачни доставчици, услуги за плащане или всяка друга услуга на трета страна, която обработва данни на потребителите, тази компания се нуждае от Споразумение за обработка на данни (DPA), за да се съобрази със закона. В този документ компанията описва как се обработва информацията, мерките за сигурност и кой за какво е отговорен.
- Прозрачност и права на потребителите. Бизнесът трябва да обясни каква информация се събира, защо и как ще бъде използвана. Потребителят трябва да има достъп до нея, да може да я редактира, изтрие или прехвърли към друга услуга.
- Минимизиране на данните. Всяка компания може да събира само необходимите данни и да не ги съхранява за по-дълъг период от нужния период. Ако информацията вече не е необходима, тя трябва да бъде изтрита.
- Сигурност и защита на данните. Цялата информация трябва да бъде защитена от пробиви на данни и хакери. Компаниите трябва да криптират данните, да имат строг контрол на достъпа и да се извършват редовни проверки на сигурността.
- Известие за нарушение. Ако възникне нарушение на информация, която е свързана с данните на потребителите, компанията трябва да уведоми властите и засегнатите потребители в рамките на 72 часа от узнаването.
- Международен трансфер на данни. Това е важно за всички компании, които прехвърлят данни на европейски клиенти към сървъри в САЩ или друга страна извън ЕС. Такава компания се нуждае от стандартни договорни клаузи (SCC), обвързващи корпоративни правила (BCR) и други механизми за сигурност за прехвърлянето.
Как се отразява на вашата компания, ако вашият бизнес се намира извън Европейския съюз?
Законът засяга всяка компания в света, която има клиенти от ЕС. Няма значение дали имате американска, индийска, мексиканска или друга компания, ако продавате продукти или предлагате услуги на европейци, трябва да спазвате GDPR.
Ако събирате имейли, имена, телефонни номера и лична информация в ЕС чрез вашия сайт, приложение или SaaS, трябва да се уверите в следното:
- Получете ясно съгласие да събирате данни.
- Позволете на потребителите достъп, редактиране и изтриване на данните.
- Пазете събраната информация защитена.
- В случай на нарушение на данните, уведомете в рамките на 72 часа.
Какво се случва, ако не спазвате GDPR?
Неспазването води до глоби до 20 000 000 евро или до 4% от оборота на компанията за изминалата фискална година, което от двете е по-високо. Както можете да видите, потенциалните щети за вашия бизнес са огромни, така че трябва да спазвате закона или да спрете да предлагате продуктите и услугите си на европейци. Което смятате, че е по-добре за вас.
Как GDPR засяга облачния хостинг?
GDPR задължава бизнеса да използва доставчици на облачни услуги (CSP), които също са се съобразяват с GDPR. Бизнесът е класифициран като „администратор на данни“, а всички доставчици на облачни услуги (хостинг, процесори за обработка на плащания, приложения и т.н.) са класифицирани като „обработващи данни“. Те работят въз основа на така наречения модел на споделена отговорност. Това означава, че и двете страни имат задължения.
Модел на споделената отговорност
| Задължение | Бизнес (администратор на данни) | Доставчик на облачни услуги (обработващ данни) |
| Сигурност на данните | Той трябва да прилага контрол за достъп, защитено съхранение и криптиране. | Трябва да гарантира сигурността на инфраструктурата (защитни стени, криптиране, контрол на достъпа и др.). |
| Сертификация за съответствие | Трябва да провери CSP сертификатите и състоянието на съответствие. | Гарантира, че облачната среда достига индустриалните стандарти и го доказва със сертификати (напр. ISO 27001, SOC 2, рамки за съответствие с GDPR). |
| Обработка и съхранение на данни | Той определя как информацията трябва да се събира, използва и обработва в рамките на неговата инфраструктура. | Съхранява и обработва данни, въз основа на споразумение с всеки клиент. |
| Права на субекта на данни (достъп, коригиране, изтриване, преносимост) | Обработва заявките от потребителите за достъп до данни, промяна и изтриване в съответствие с GDPR. | Осигурява начини, които администраторът може да използва за управление на достъпа до данни, модификация и изтриване. |
| Криптиране на данни | Конфигурира и управлява настройките за криптиране. | Осигурява криптиране на данните по време на трансфери и по време на съхранение (почивка). |
| Реакция при изтичане на данни | В рамките на 72 часа бизнесът трябва да уведоми властите и засегнатите потребители. | Той трябва да открива пробиви в сигурността и да уведомява своите клиенти. |
| Местоположение на географски данни | Мисли внимателно и избира хостинг региони в съответствие с изискванията за локализиране на данни. | Има опции за базирани в ЕС центрове за данни и гарантира съответствие. |
| Споразумения за обработка на данни (DPA) | Подписва DPA с всеки доставчик на услуги и редовно ги проверява. | Осигурява стандартни DPA за спазване на закона. |
Избор на облачен доставчик, съвместим с GDPR
Какво да търсите при доставчик на облачна услуга?
- Силно криптиране на данните. Данните трябва да бъдат криптирани с най-новата технология по време на транзит и съхранение (почивка).
- Функции за контрол на достъпа. Типичните мерки, които облачните доставчици предлагат, са ролеви контроли за достъп. Използвайки ги, можете да имате различни групи потребители с различни нива на достъп до ресурси. Друг общ инструмент е многофакторно удостоверяване (MFA), който изисква повече от един фактор (парола, USB ключ, снимка и т.н.), за вход. Нов похват е и използването на passkeys. Ако имате въпроси за passkeys, вижте и тази статия.
- GDPR сертифициране. Доставчикът трябва да има необходимите сертификати като ISO 27001 и трябва да се придържа към съвместимите с GDPR рамки.
- Опции за суверенитет на данните. Доставчикът трябва да може да съхранява данните в базирани в ЕС сървъри като София дейта център например или да спазва международните правила за трансфер на данни.
Нетера е напълно съвместима с GDPR и гарантира всичко споменато. Ние предлагаме отлични облачни услуги за компании от цял свят.
Обърнете внимание на споразуменията за обработка на данни (DPA)
Споразумението за обработка на данни (DPA) е договор между бизнеса и доставчика на услуги, който се изисква по закон и трябва да установява следното:
- Как данните се обработват, съхраняват и защитават.
- Коя част отговаря за какво и как да се достигне съответствие.
- Създаване на процес за справяне с теч на данни, ако се случи.
Европейският съюз може потенциално да наложи санкции на предприятия, които нямат такива DPA.
Най-добри практики за съответствие с GDPR в облачния хостинг
- Силна сигурност
Осигурете силен контрол на достъпа чрез прилагане на различни нива на достъп до чувствителни данни. Уверете се, че всички данни са криптирани, по време на почивка и прехвърляне, като използвате съвременни методи за криптиране.
- Извършвайте редовни одити на сигурността и оценки на риска
Доставчикът трябва да извършва редовни одити на сигурността, за да идентифицира навреме всяка уязвимост и да коригира проблемите навреме, за да бъде всичко в съответствие с GDPR.
- Гарантиране на правата на субектите на данни
Доставчикът трябва да предлага механизми на потребителите, които могат да им предоставят достъп и възможност за промяна, изтриване и прехвърляне на техните данни.
- Създаване на протокол в случай на теч на информация
Бизнесът трябва да има план за действие в случай, че възникне такъв проблем. Трябва да знае как да докладва в рамките на 72 часа.
Често срещани грешки при спазване на GDPR, които трябва да избягвате
- Не приемайте, че доставчикът на облачни услуги трябва сам да се справя с всичко. Много фирми смятат, че цялата отговорност за съответствието принадлежи на доставчика на облачни услуги. Това не е вярно. Компаниите трябва да се съобразят, като защитават данните, създават политики и се грижат за правата на потребителите.
- Липса на споразумения за обработка на данни. Много често е фирмите да не създават специални DPA с доставчиците на услуги. В много случаи това действие може да наруши разпоредбите на GDPR и може да доведе до глоби. Ако не искате да направите грешка, подпишете DPA с вашите доставчици.
- Лошо управление на данните. Някои компании не обръщат внимание къде се съхраняват данните, кой има достъп до тях и как трети страни ги използват. Това лесно може да доведе до пропуски и проблеми в съответствието.
Заключение
Ясно е, че бизнесът трябва да възприеме по-проактивен подход и не трябва да мисли, че облачните доставчици поемат всички отговорности за съответствие с GDPR. Докато изборът на добър доставчик на услуги е в ръцете на компаниите, всички трябва да помним, че това е въпрос на обща отговорност.
Ключови изводи:
- Уверете се, че сте избрали облачен доставчик, съвместим с GDPR, като Нетера, който има силни мерки за сигурност.
- Приложете контрол на достъпа, силно криптиране и добри практики за управление на данни.
- Редовно проверявайте мерките за сигурност и споразуменията за обработка на данни (DPA). Ако е необходимо, вземете мерки и подобрете вашите протоколи за сигурност.
- Имайте план за действие в случай на нарушение на данните. Както казва Тед Шлайн, изпълнителният директор на Ballistic Ventures: „В света има само два вида компании. Тези, които са имали теч на данни и го знаят, и тези, които са имали такъв и все още не го знаят”.
Подбрахме за вас още няколко интересни статии:
Това са най-добрите практики за защита на вашия сървър.
10 често срещани причини за загуба на данни.