Przenosząc przetwarzanie danych do chmury, przenosisz część ryzyka związanego z przetwarzaniem danych na dostawcę chmury. Na jakie wsparcie w związku z wejściem w życie RODO mogą liczyć klienci Microsoft?
Microsoft zobowiązuje się do: przetwarzania danych zgodnie z instrukcją administratora, informowania administratora o przetwarzaniu danych przez podmioty trzecie, wsparcia administratora w zarządzaniu prośbami dotyczącymi danych, przestrzegania wymagań RODO odnośnie raportowania wycieków danych, wsparcia administratora danych za pomocą konsultacji, a także pomiaru wpływu ochrony danych, a także zapewnienia bezpieczeństwa przetwarzania.
Dlaczego chmura i dlaczego Microsoft?
Wszystko przetwarzane jest na jednej platformie
Centralizacja przetwarzania danych na jednej platformie to z jednej strony uproszczenie zarządzania, a z drugiej możliwość dokonania klasyfikacji, a także analizy danych. Microsoft oferuje wszelkie potrzebne funkcjonalności niezbędne do wdrożenia procedur zgodnie z wymaganiami RODO.
Maksimum ochrony, minimum wysiłku
Microsoft pozwala chronić dane dzięki wykorzystaniu wiodących technologii szyfrujących, które są monitorowane, a także aktualizowane na bieżąco. Dodatkowo, dane i informacje zbierane globalnie przez Microsoft, po przeprowadzeniu analiz, używane są do tworzenia baz danych z nowymi zagrożeniami. Pozwala to na minimalizację ryzyka potencjalnych ataków na infrastrukturę IT, a także platformy i aplikacje.
Podziel się ryzykiem
Microsoft pozwala na użycie usług, które są już zgodne ze złożonymi i międzynarodowymi standardami RODO, a poprzez przeniesienie przetwarzania danych do chmury, ryzyko związane z ich przetwarzaniem w rezultacie przenoszone jest w części na dostawcę.
Od czego zacząć?
Jak Office 365 może Ci pomóc już dziś?
Office 365 eDiscovery pozwoli Ci wyświetlić wszystkie lokalizacje w środowisku Office 365, w których konkretne dane lub kombinacje danych są przechowywane (takie jak: PESEL, imię i nazwisko, adres, NIP itp.). Dzięki temu, że Office 365 przechowuje wszystkie dane na jednej platformie ich inwentaryzacja jest szybka i kompletna, nawet w przypadku dużych organizacji, w których dane te są dość mocno rozproszone.
Advanced Data Governance pozwoli natomiast na automatyczne oznaczanie danych w zależności od ich kategorii (np. klient wyraził zgodę wyłącznie na przetwarzanie jego danych w związku z jedną transakcją). Dzięki odpowiedniemu oznaczeniu danych osobowych, będą one automatycznie wykasowane po zakończeniu transakcji (jak w powyższym przykładzie).
Takie rozwiązanie zdejmuje odpowiedzialność z pracowników, a jednocześnie znacząco obniża ryzyko niepoprawnego zarządzania danymi. Co więcej, poprzez oznaczanie plików, pracownik już przed otwarciem widzi, że zawierają one dane osobowe.
Azure Information Protection (AIP) pozwala na szyfrowanie oraz blokowanie dostępu do plików w przypadku ich wycieku lub nietypowego użytku. Zasada ta dotyczy wszystkich dokumentów w środowisku Office 365, które zawierają dane osobowe.
Advanced Security Management to rozwiązanie do flagowania wszelkich anomalii zaistniałych w środowisku, np. ściąganie dużej ilości danych lub zwiększenie przepływu danych.
Office 365 Audit Logs pozwala na zlokalizowanie miejsca, z którego nastąpił wyciek danych. Dodatkowo umożliwia śledzenie cyklu życia pliku, tj. w jakich lokalizacjach się znajdował, przez kogo był otwierany, kto go modyfikował, a także jaki był zakres tej modyfikacji.
INWENTARYZACJA DANYCH
Zidentyfikuj dane osobowe, które przechowujesz i zdefiniuj gdzie są przechowywane.
Dotyczy danych pozwalających
zidentyfikować osobę:
Zidentyfikuj gdzie te dane
są przechowywane
Przykładowe rozwiązania
- Imię i nazwisko
- Adres e-mail
- Wpisy w mediach społecznościowych
- Informacje psychologiczne lub genetyczne
- Informacje medyczne
- Lokalizacja
- Dane bankowe
- Adres IP
- Ciasteczka
- Tożsamość kulturowa
- E-maile
- Dokumenty
- Bazy danych
- Usuwalne multimedia
- Metadane
- Logi
- Back-up’y
- Microsoft Azure
Microsoft Azure Data Catalog - Enterprise Mobility + Security (EMS)
Microsoft Cloud App Security - Dynamics 365
Audit Data & User Activity
Reproting & Analytics - Office & Office 365
Data Loss Prevention
Advanced Data Governance
Office 365 eDiscovery - SQL Server and Azure SQL Database
SQL Query Language - Windows & Windows Server
Windows Search
ZARZĄDZANIE
Określ w jaki sposób dane są zarządzane, a także kto ma do nich dostęp.
Zarządzanie danymi
(definiowanie
polityk, ról i zakresy obowiązków
w kontekście zarządzania i przetwarzania danych)
Klasyfikacja danych
(organizacja
i oznaczanie danych dla zapewnienia
prawidłowego ich przetwarzania)
Przykładowe rozwiązania
- W stanie spoczynku
- Przetwarzanych
- Odzyskanych
- Przesyłanych
- Przechowywanych
- Archiwizowanych
- Zachowywanych
- Usuwanych
- Rodzaje
- Wrażliwość
- Kontekst użycia
- Właściciele
- Administratorzy
- Użytkownicy
- Microsoft Azure
Azure Active Directory
Azure Information Protection
Azure Role-Based Access Control (RBAC) - Enterprise Mobility + Security (EMS)
Azure Information Protection - Dynamics 365
Security Concepts - Office & Office 365
Advanced Data Governance
Journaling (Exchange Online) - Windows & Windows Server
Microsoft Data Classification Toolkit
OCHRONA
Zaimplementuj narzędzia ochronne, aby zapobiec, wykryć i zaadresować obszary newralgiczne oraz potencjalne wycieki danych.
Zapobiegaj atakom
(ochrona danych)
Wykryj i zareaguj na wycieki danych
Przykładowe rozwiązania
- Bezpieczeństwo sieci
- Fizyczna ochrona centrów danych
- Bezpieczeństwo składowania
- Bezpieczeństwo obliczeniowe
- Zarządzanie tożsamością
- Kontrola dostępu
- Szyfrowanie
- Mitygacja ryzyk
- Monitorowanie systemu
- Identyfikacja wycieku
- Definiowanie konsekwencji
- Planowanie akcji naprawczych
- Odzyskiwanie utraconych danych
- Powiadomienie DPA oraz klientów
- Microsoft Azure
Azure Key Vault
Azure Security Center
Azure Storage Services Encryption - Enterprise Mobility + Security (EMS)
Azure Active Directory Premium
Microsoft Intune - Office & Office 365
Advanced Threat Protection
Threat Intelligence - SQL Server and Azure SQL Database
Transparent data encryption
Always Encrypted - Windows & Windows Server
Windows Defender Advanced Threat Protection
Windows Hello
Device Guard
RAPORTOWANIE
Utrzymuj niezbędną dokumentację, zarządzaj wnioskami o zmianę w danych, a także raportami wycieku danych.
Prowadzenie rejestru
– utrzymywanie przez organizacje
rejestrów zawierających:
Narzędzia raportujące
– wdrożenie możliwości
raportowania
Przykładowe rozwiązania
- Cele przetwarzania danych
- Klasyfikację danych osobowych
- Listę osób trzecich mających dostęp do danych
- Wykaz zabezpieczeń technicznych, a także organizacyjnych
- Okresy przetrzymywania danych
- Dokumentacji usługodawcy chmurowego (przetwarzającego dane)
- Logów audytowych
- Notyfikacji
- Próśb klientów odnośnie przetwarzania ich danych
- Sposobu administrowania danych
- Audytów zgodności z RODO
- Microsoft Trust Center
Service Trust Portal - Microsoft Azure
Azure Auditing & Logging
Azure Data Lake
Azure Monitor - Enterprise Mobility + Security (EMS)
Azure Information Protection - Dynamics 365
Reporting & Analytics - Office & Office 365
Service Assurance
Office 365 Audit Logs
Customer Lockbox - Windows & Windows Server
Windows Defender Advanced Threat Protection