Bezpieczeństwo usług chmurowych - wymagania (lista kontrolna)

Europejskie Stowarzyszenie Dostawców Infrastruktury Chmurowej (CISPE) opracowało kodeks najlepszych praktyk dla usług świadczonych w chmurze. Kodeks CISPE, który uzyskał pozytywne opinie Europejskiej Rady Ochrony Danych oraz francuskiego organu nadzorczego (CNIL), został przygotowany specjalnie dla dostawców usług infrastruktury chmurowej. Celem kodeksu jest pomoc w tworzeniu zgodnych z RODO aplikacji i usług chmurowych. Do kodeksu załączono listę kontrolną, której tłumaczenie przygotował dla Państwa zespół ODO 24.

Kodeks jako narzędzie weryfikowania zgodności

CISPE to ogólnoeuropejskie stowarzyszenie dostawców usług infrastruktury chmurowej, które zrzesza 34 członków z centralami w 14 państwach członkowskich UE. Kodeks CISPE to pierwszy europejski kodeks dla dostawców usług infrastruktury chmurowej, który zyskał akceptację organu nadzorczego i EROD.

Stosowanie Kodeksu CISPE nie jest niezbędne, aby dostosować usługi świadczone w chmurze do stanu zgodności z RODO, niemniej Kodeks ułatwia to zadanie,  poprzez jasne określenie kroków, które mają być podjęte, aby zapewnić taką zgodność.

Ponadto, Kodeks wykracza poza wymogi RODO, poprzez akcent na umożliwienie klientom przechowywania i przetwarzania danych w Europejskim Obszarze Gospodarczym. Wymogi kodeksu mają zagwarantować także zapewnienie, że dostawcy usług chmurowych będą wykorzystywać dane klientów wyłącznie do świadczenia tych usług, a nie do celów marketingowych.

Celem takiego ukształtowania wymogów kodeksu jest budowa zaufania klientów, iż dostarczana usługa pozostaje w pełnej zgodności z RODO.

Lista kontrolna

W celu dostosowania usługi chmurowej do wymogów Kodeksu CISPE przydatna może być w szczególności lista kontrolna, która stanowi Załącznik B do Kodeksu.

Lista kontrolna Kodeksu CISPE to obszerny dokument w formie tabeli (35 stron), podzielony na liczne sekcje, np. „Prawa osób, których dane dotyczą” lub „Wykazywanie zgodności”. Każda z sekcji stanowi odrębne zagadnienie wymagające rozważenia przy tworzeniu lub oferowaniu zgodnej z RODO usługi chmurowej.

Każda z sekcji zawiera:

  • szczegółowy opis wymagań Kodeksu dotyczący danego zagadnienia,
  • opis mechanizmów kontrolnych, które muszą zostać wdrożone w celu osiągnięcia zgodności z konkretnymi wymaganiami Kodeksu,
  • przykładowe pytania, na które podmiot świadczący usługi chmurowe powinien udzielić odpowiedzi w celu ustalenia zgodności,
  • wskazanie konkretnych dowodów (dokumentów), które powinny być przygotowane i wdrożone w celu zapewnienia zgodności z konkretnymi wymaganiami Kodeksu,
  • odniesienie do mających zastosowanie artykułów RODO, bądź norm ISO 27001.

Lista kontrolna – polskie tłumaczenie

Zespół ODO 24 z przyjemnością przedstawia Państwu tłumaczenie niniejszej listy kontrolnej, które rozszerzyliśmy o dodatkową kolumnę, umożliwiającą odnotowanie stanu zgodności lub niezgodności Państwa usługi chmurowej z poszczególnymi sekcjami.

Tomasz Ochocki

Narzędzia RODO

Ankieta CISPE

wymogi dla dostawcy usług chmurowych

Sprawdź, czy Twoje dane w chmurze są bezpieczne! Gdybyś potrzebował/a naszego wsparcia, nie wahaj się pytać.

Pobierz PDF

Mamy nadzieję, iż niniejszy dokument ułatwi Państwu analizę usług chmurowych, z których Państwo korzystają, w świetle najnowszych i najwyższych standardów opracowanych przez europejskie stowarzyszenia branżowe, a także zaakceptowanych przez europejskie organy publiczne, które stoją na straży zgodności z RODO.

Należy jednak pamiętać, iż dogłębne badanie zgodności usługi z RODO może wymagać odpowiedniej wiedzy i doświadczenia, zarówno w dziedzinie prawa jak i IT. Z tego względu w każdym przypadku najlepszą i najbardziej zalecaną praktyką jest powierzenie tego zadania profesjonalnym i niezależnym audytorom.

quiz

Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!

Jakie organizacje zrzesza CISPE?

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia

„Nie potrzebujemy dokumentacji IT, wiemy jak mamy działać”

Jesteś tego pewien?

Zamów
audyt IT

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz “Oznacz jako wiadomość pożądaną”).
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>