UN GHID CU VALOARE DE STANDARD PENTRU FURNIZORII DE CLOUD

Cloud Security Alliance Code of Conduct for GDPR Compliance

Conformitatea GDPR a furnizorilor de infrastructură și aplicații Cloud este un subiect despre care am mai scris, dar nu am avut timp până acum să intru în detalii despre Codul de Conduită. Dar toate la vremea lor… De la bun început, prevederile GDPR au pus o presiune suplimentară pe furnizorii de soluții și servicii Cloud, care la vremea aprobării Regulamentului UE 679 mai aveau încă probleme de credibilitate din partea celor care voiau să știe exact unde sunt datele lor… În plus, încrederea utilizatorilor în garanțiile de Securitate oferite de găzduirea datelor în Cloud a frânat multă vreme asimilarea mai accelerată a Cloud-ului în mediile enterprise.

Dar ceea ce părea la un moment dat ca o mare problemă privind conformitatea serviciilor Cloud s-a transformat într-un cert avantaj competițional. Asociația profesională Cloud Security Alliance, prin grupul de lucru PLA WG (Privacy Level Agreement Working Group) a elaborat în mai 2019 un Cod de Conduită care reprezintă primul model de cadru coerent și cuprinzător de conformitate la nivelul unei întregi verticale industriale. Acest Cod de Conduită (Code-of-Conduct sau CoC) îi ajută pe furnizorii de servicii Cloud (Cloud Service Providers – CSP) să stabilească nivelul de protecție pe care trebuie să îl asigure și oferă clienților care folosesc subscripții Cloud un instrument de evaluare a nivelului de protecție a datelor cu caracter personal oferit de un CSP.

CSA CoC pentru conformitatea GDPR se bazează pe două componente majore: Codul de bune practici al Privacy Level Agreement (PLA CoP), care este un standard tehnic care specifică cerințele incluse în GDPR, precum și mecanismele de aderare asociate acestuia.

Despre ce este vorba aici?

Deoarece Codul de Conduită se concentrează în principal pe cerințele legale, CSA propune adoptarea combinată a acestui cod cu alte bune practici și certificări CSA, cum ar fi Cloud Control Matrix (CCM) și certificarea STAR (sau atestarea STAR sau evaluarea STAR Self-Matrix), care oferă îndrumări suplimentare în ceea ce privește controalele tehnice și obiectivele pentru securitatea informațiilor.

Într-un astfel de context, adoptarea standardelor de securitate a informațiilor tehnice, cum ar fi Cloud Control Matrix sau echivalentele sale (de exemplu, ISO 27001 acceptat de ISO 27017 sau 27018) și schemele de certificare aferente acestora (de exemplu: certificarea STAR, atestarea STAR, autoevaluarea STAR, ISO 27001 sau SOC2) vor furniza dovezi că furnizorii de Cloud au implementat un program de securitate sau un sistem de management al securității informațiilor (ISMS) care protejează în mod adecvat datele consumatorilor de amenințările evidențiate în aceste evaluări ale riscurilor și evaluarea impactului asupra protecției datelor.

CSA CoC pentru conformitatea GDPR reflectă cerințele GDPR relevante în Cloud și este o componentă a CSA Security, Transparency and Assurance Registry (STAR). Publicul țintă al CSA CoC include toți jucătorii interesați de Cloud computing și legislația UE privind protecția datelor cu caracter personal, cum ar fi furnizorii de Cloud, clienții Cloud și potențialii clienți precum și auditori și brokeri Cloud.

Este important de reținut că aderarea la Codul de conduită CSA nu reduce responsabilitatea operatorului sau a procesorului de a se conforma GDPR și nu aduce atingere sarcinilor și competențelor Autorităților naționale de protecție a datelor/

Scurt istoric al protecției datelor în Cloud

Schița acordului privind nivelul de confidențialitate pentru vânzarea de servicii Cloud în Uniunea Europeană (PLA [V1]), a fost lansată în februarie 2013 ca instrument de armonizare de auto-reglementare care oferă un mod structurat de a comunica nivelul de protecție a datelor cu caracter personal oferit de un furnizor de Cloud către actualii și potențiali clienți. PLA [V1] s-a bazat nu numai pe cerințele legale de protecție obligatorie a datelor cu caracter personal din UE, dar și cele mai bune practici și recomandări. PLA [V1] a primit avizul mai multor autorități de supraveghere ale UE și a devenit cadrul care oferea cele mai bune practici și coduri de conduită privind protecția datelor cu caracter personal pentru aspecte legate de Cloud computing.

A doua versiune PLA [V2] a apărut din nevoia de a oferi diverșilor actori din piața Cloud computing un instrument de conformitate, mai degrabă decât doar un mecanism de transparență. PLA [V2] s-a bazat pe cerințele legale reale și obligatorii ale UE privind protecția datelor cu caracter personal, Directiva 46/1995 și implementările sale în statele membre ale UE.

După intrarea efectivă în vigoare a Regulamentului 679 din 25 mai 2018, a fost evident că e nevoie de o îndrumare mai consistență pentru respectarea GDPR pentru clienții și potențialii clienți de servicii Cloud. PLA [V3] a apărut în mod natural ca un instrument de conformitate care reflectă noile obligații stabilite de GDPR, fiind considerat un Cod de Ppractică (CoP) pentru confidențialitate și protecția datelor, asigurarea transparenței și și conformitate.

PLA [V3] specifică aplicarea GDPR în mediul Cloud, în principal în ceea ce privește următoarele categorii de cerințe:

Prelucrarea corectă și transparentă a datelor cu caracter personal;
Informațiile furnizate publicului și persoanelor vizate;
Exercitarea drepturilor persoanelor vizate;
Măsurile și procedurile menționate la articolele 24 și 25 GDPR și măsuri pentru asigurarea securității prelucrării menționate la articolul 32 GDPR;
Notificarea cu privire la încălcarea datelor cu caracter personal către autoritățile de supraveghere (așa cum este definită în Articolul 4 (21) GDPR) și comunicarea unor astfel de încălcări de date cu caracter personal către subiecții datelor;
Transferul de date cu caracter personal către țări terțe.

În plus, PLA [V3] conține mecanisme care permit organismului menționat la articolul 41 (1) GDPR să poată efectua monitorizarea obligatorie a respectării prevederilor sale de către operatori sau procesatori care se angajează să o aplice, fără a aduce atingere sarcinilor și puterilor autoritățile de supraveghere competente în conformitate cu articolul 55 sau 56 GDPR.

Structura Codului de Conduită:

• Partea 1 descrie scopul, obiectivele, domeniul de aplicare, metodologia și ipotezele, oferind și note explicative;

• Partea 2 descrie Codul de bune practici PLA [V3] și substanțialele sale prevederi, elaborate de Grupul de lucru CSA PLA;

• Partea 3 prezintă structura de guvernanță și mecanismele de aderare la Codul de conduită CSA.

Obiectivele Codului de Conduită

1. CoC poate fi respectat de către furnizorii de Cloud cu privire la unul sau mai multe dintre serviciile furnizate și poate fi, de asemenea, menționat sau utilizat de către aceștia ca anexă la Acordul de servicii Cloud, pentru a descrie nivelul de protecție a confidențialității pe care îl va furniza. În timp ce acordurile de utilizare a serviciilor (SLA) sunt utilizate în general pentru a furniza informații despre performanța serviciilor, CoC va aborda confidențialitatea informațiilor și practicile de protecție a datelor cu caracter personal.

2. În CoC furnizorii de Cloud pot descrie clar nivelul de confidențialitate și protecție a datelor pe care oferă cu privire la prelucrarea datelor relevante și pe care se angajează să-l mențină.

3. CoC urmărește să stabilească un standard de conformitate pentru furnizorii de Cloud bazat pe GDPR, care se poate aplica la nivel internațional, chiar și în afara UE.

4. Aprobarea CoC duce la o co-reglementare semnificativă pentru practicile de protecție a datelor în sectorul Cloud computing, cu contribuții de pe piață (prin componența Grupului de lucru PLA) și a autorităților de supraveghere ale UE.

5. În cele din urmă, CoC este destinat să furnizeze următoarele:

• Pentru clienți Cloud și clienți potențiali, de orice dimensiune – un instrument de evaluare a nivelului de protecție a datelor cu caracter personal oferită de diferiți furnizori de servicii Cloudi

• Pentru furnizorii de servicii Cloud de orice mărime – un cadru adecvat cu îndrumări pentru a asigura conformitatea cu legislația de protecția datelor cu caracter personal din UE, arătând în același timp clienților lor nivelul de protecție a datelor cu caracter personal al serviciilor oferite.

6. CoC urmărește să creeze o valoare suplimentară pentru clienții Cloud potențiali și actuali, precum și pentru furnizorii de servicii Cloud, persoanele vizate și comunitatea de Cloud computing în general prin:

• Identificarea – într-un mod organic, structurat și sistematic – a tuturor dispozițiilor GDPR relevante pe care un CSP trebuie să le respecte atunci când prelucrează datele cu caracter personal;

• Explicarea dispozițiilor GDPR și relevanța lor practică, atunci când sunt aplicate la Sistemele informatice, luând în considerare și clarificările furnizate în acest sens de Grupul de lucru Articolul 29 sau Comitetul european pentru protecția datelor, precum și de Autoritățile de supraveghere care au oferit îndrumări pe această temă;

• Ridicarea ștachetei de calitate pentru protecția datelor și confidențialitatea în Cloud computing, prin adăugarea de controale definite pe baza liniilor directoare elaborate de European Union Agency for Network and Information Security, standardele ISO (ex.27001, 27017, 27018) și cele mai bune practici dezvoltate.

• Sublinierea necesității pentru transparență și respectarea principiului responsabilității pentru furnizorii de servicii Cloud, care ar trebui să ofere clientului toate informațiile necesare să evalueze în mod corect avantajele și dezavantajele adoptării unor astfel de servicii. Securitatea, transparența și securitatea juridică pentru clienți ar trebui să fie factori cheie în spatele ofertei de servicii de Cloud computing.

7. Codul de bune practici (PLA) reflectă cerințele GDPR care sunt relevante în Cloud. De asemenea, reafirmă și consolidează cerințele GDPR, în special în ceea ce privește exercitarea drepturilor persoanelor vizate. Iată câteva exemple:

Controlul nr. 3.5.6 – privind necesitatea ca un CSP să se angajeze, prin obligații contractuale, la asistarea clienților Cloud în procesul de răspuns la solicitările persoanelor vizate;,

Controlul nr. 9 – privind necesitatea ca un CSP să poată asigura portabilitatea datelor, inclusiv capacitatea de a transmite date cu caracter personal într-un sistem structurat, utilizat în mod obișnuit, lizibil și interoperabil, direct către persoanele vizate;

Controlul nr. 10 – privind necesitatea ca un CSP să poată explica clienților Cloud cum permite restricționarea prelucrării datelor cu caracter personal.

Controlul nr. 6 – oferă o bază solidă pentru măsurile tehnice și organizaționale de securitate care urmează să fie puse în aplicare de către furnizorii de Cloud prin respectarea liniilor tehnice principale ale ENISA.

8. Prin PLA, Codul de Conduită nu încearcă doar să promoveze un comportament legal din partea furnizorilor de Cloud, dar impune și un comportament etic. Cerințele CoC includ obligații care deși nu sunt strict cerute de legea aplicabilă, sunt necesare pentru garantarea unui echilibru echitabil în relația dintre CSP și clienții Cloud, urmărind să se asigure că drepturile persoanelor vizate pot fi respectate în mod eficient.

9. Mai trebuie menționat aici că terminologia „Privacy Level Agreement” este utilizată aici în sensul că abordarea față de confidențialitatea și protecția datelor pentru adepții CoC nu este o chestiune „unică pentru toți”; mai degrabă, există diferite niveluri de asigurare în ceea ce privește conformitatea (ex. diferite măsuri de securitate puse în aplicare sau diferite mijloace tehnice pentru a ajuta la adresarea cererilor persoanelor vizate) care pot fi oferite de către furnizorii care aderă. Prin urmare, prin intermediul unei analogii la termenul „Service Level Agreement”, se poate face o referire la „nivelul de confidențialitate” potrivit.

Ce trebuie să ia în considerare un client care dorește să își mute datele în Cloud?

Pe plan intern:

Definirea propriilor cerințe de securitate, protecție a datelor și conformitate;
Identificarea tipurilor de date/ procese/ servicii pe care dorește să le mute în Cloud.
Revizuirea propriilor politici interne de securitate și confidențialitate/ protecție a datelor și a altor restricții privind utilizarea datelor cu caracter personal, cum ar fi contractele preexistente, legi și reglementări, linii directoare și cele mai bune practici
Analiza și evaluarea riscurilor (de exemplu, efectuarea unei analize de impact asupra protecției datelor, evaluare solicitată de articolul 35 GDPR).
Identificarea controalelor de securitate și a certificărilor care sunt necesare pentru obținerea unei protecții adecvate a datelor personale ale angajaților sau clienților săi în timp ce sunt procesate în Cloud.
Definirea responsabilităților și sarcinilor pentru implementarea controalelor de securitate – adică o bună înțelegere asupra controalelor de securitate care se află sub guvernarea directă a organizației și a celor care sunt sub responsabilitatea furnizorului de Cloud.
Determinarea activităților furnizorilor de servicii pe care entitatea trebuie să le monitorizeze și cum (de exemplu, sunt necesare vizite la fața locului sau este suficient să ne bazăm pe o certificare sau atestarea unui terț?).

Pe plan extern:

Evaluarea modului în care serviciile furnizate de CSP – inclusiv (sub) contractori / procesatori – îndeplinesc cerințele interne de confidențialitate și protecția datelor, utilizând PLA CoP.
Studiul certificărilor, atestărilor relevante sau evaluărilor independentă de care beneficiază furnizorul de servicii Cloud.
Înțelegerea felului în care se poate asigura vizibilitatea și abilitatea de a monitoriza, controalele și practicile de securitate implementate de CSP.

Declarația de conformitate și responsabilitate a furnizorului de servicii Cloud

Prin aderarea la condițiile Codului de Conduită, furnizorul de Cloud le declară clienților și îi asigură că:

1. Respectă legea aplicabilă a UE privind protecția datelor și termenii Codului de Conduită, în ceea ce privește măsurile de securitate tehnică și organizațională, precum și cu privire la protecția drepturilor persoanei vizate. În cazul apariției unei modificări a legislației UE privind protecția datelor care poate implica noi obligații (poate chiar în contradicție cu termenii Codului), CSP se angajează să se conformeze cu termenii legislației UE aplicabile privind protecția datelor;

2. Poate demonstra conformitatea cu legislația aplicabilă a UE privind protecția datelor și cu termenii Codului de conduită. (responsabilitate);

3. Furnizorul de servicii Cloud trebuie să le descrie clienților ce politici și proceduri are în vigoare pentru a le asigura și demonstra conformitatea sa și a subcontractanților săi;

4. Furnizorul de Cloud trebuie să identifice Elementele care pot fi produse ca dovezi pentru a demonstra o astfel de conformitate. Elementele de probă pot lua diferite forme, precum auto-certificarea / atestarea, auditări efectuate de o terță parte (ex. certificări, atestări, sigilii), jurnale, înregistrări de control sau rapoarte și dovezi de documentare pentru toate operațiunile de prelucrare aflate sub responsabilitatea sa.

Aceste elemente trebuie furnizate la următoarele niveluri:

Nivelul politicilor organizaționale – pentru a demonstra că politicile sunt corecte și adecvate;
Nivelul controalelor IT – pentru a demonstra că au fost implementate controale adecvate;
Nivelul operațiunilor – pentru a demonstra că sistemele se comportă (sau nu) conform planificării.

Principalele avantaje pentru respectarea GDPR oferite de Codul de conduită furnizorilor de Cloud constau în:

Flexibilitate: Poate fi aplicat oricărui model de livrare în Cloud – IaaS / PaaS / SaaS, care pentru cei nefamiliarizați cu terminologia folosită în industria serviciilor Cloud se poate traduce prin Infrastructure as a Service, Platform as a Service, respectiv Software as a Service.
Transparență: oferă clienților Cloud o înțelegere clară și o vedere transparentă a ceea ce face Furnizorul de servicii Cloud
Rigoare de standard: un cadru riguros și demonstrat, bazat pe reguli și cerințe clare pentru a respecta cerințele de confidențialitate GDPR
Utilitate: clienții Cloud de orice dimensiune pot utiliza acest instrument pentru a evalua nivelul de protecție a datelor cu caracter personal oferit de diferiți CSP, ceea ce la asigură posibilitatea de a lua niște decizii în deplină cunoștință de cauză
Complementaritate: se poate aplica furnizorilor de Cloud de orice dimensiune și din orice locație geografică, cu îndrumări pentru a se conforma legislației Uniunii Europene (UE) privind protecția datelor cu caracter personal și pentru a dezvălui nivelul de protecție a datelor cu caracter personal pe care îl oferă clienților.

Alte avantaje oferite de Codul de Conduită:

Poate demonstra respectarea cerințelor de confidențialitate GDPR
Optimizează contractele, accelerează ciclurile de vânzare
Oferă clienților Cloud asigurarea confidențialității datelor împreună cu CSA STAR
Se aplică furnizorilor de Cloud care au rol de procesator de date, dar și cel de operator de date
Dă dovadă de deplină conformitate, conectând cerințele legale la cerințele tehnice prin combinarea Codului de conduită și a nivelului 1 și 2 al CSA STAR

Beneficii oferite companiilor care vor să adopte diferite soluții sau servicii Cloud:

Optimizează procesul de contractare a serviciilor
Reduce timpul necesar revizuirii juridice interne
Evidențiază subiectele și condițiile contractuale pentru discuții interne și negocieri externe pentru a lua decizii în cunoștință de cauză
Oferă echipelor juridice ale întreprinderii un cadru stabilit pentru conformitatea GDPR atunci când contractează servicii Cloud

Autoevaluarea – este una dintre abordările pentru aderarea la Codul de Conduită pe care CSA le oferă furnizorilor de Cloud. Codul de conduită de autoevaluare constă în publicarea voluntară pe un registru public, precum CSA Security, Assurance and Transparency Registry (CSA STAR) a două documente:

Declarație de adeziune de autoevaluare și
Rezultate de autoevaluare bazate pe modelul Codului de bune practici (CoP) al PLA – Anexa 1

Autoevaluarea acoperă conformitatea cu GDPR a serviciilor oferite de un CSP. Pentru a facilita publicarea este necesară o taxă de depunere. După publicare, compania va primi utilizarea autorizată a unei mărci de conformitate, valabilă timp de 1 an. Autoevaluarea va fi revizuită de fiecare dată când apare o modificare a politicilor sau practicilor companiei legate de serviciul supus evaluării. Cerințele Codului (și, în consecință, ale GDPR), se bazează pe un audit aprofundat efectuat de un evaluator calificat. În timpul auditului, evaluatorul calificat va verifica implementarea corectă a cerințelor CoP și acuratețea informațiilor incluse în șablonul CoP.

Anexa 1. la Codul de bune Practici PLA – a fost actualizată în martie 2020. Codul de conduită CSA PLA pentru respectarea GDPR oferă un cadru coerent și cuprinzător pentru respectarea GDPR, fiind conceput ca o atestare suplimentară la acordul de servicii Cloud (SLA) pentru a descrie nivelul de protecție a confidențialității pe care îl oferă un furnizor de servicii Cloud.

Cerințe și controale incluse în Anexa 1: