Materiał na bazie wpisu Brada Smitha, General Counsel & Executive Vice President, Legal and Corporate Affairs, Microsoft, zamieszczonego 16 lutego pod adresem: http://blogs.microsoft.com/on-the-issues/2015/02/16/microsoft-adopts-first-international-cloud-privacy-standard/
Dzisiejsza data przejdzie do historii — firma Microsoft jako pierwszy duży dostawca usług w chmurze wdrożyła pierwszą na świecie międzynarodową normę poufności danych w chmurze. To kolejny powód, dla którego klienci mogą mieć pewność bezpiecznego wyboru, przechodząc na platformę Microsoft Cloud.
Omawiana norma może wydawać się skomplikowana, ale przynosi klientom z sektora dużych przedsiębiorstw na całym świecie ważne korzyści praktyczne. Norma ta jest znana jako ISO/IEC 27018, a Międzynarodowa Organizacja Normalizacyjna (ISO) opracowała ją po to, by stworzyć jednolite, międzynarodowe podejście do ochrony poufności danych przechowywanych w chmurze.
Brytyjski Instytut Standaryzacyjny (BSI) potwierdził jako podmiot niezależny, że oprócz Microsoft Azure także usługi Office 365 i Dynamics CRM Online są zgodne z przewidzianymi w tej normie praktykami ochrony danych osobowych w chmurze publicznej. Audytorzy Bureau Veritas potwierdzili z kolei zgodność ze standardem usługi Microsoft Intune.
Dlaczego jest to ważne?
Powodów jest wiele. Przestrzeganie normy ISO 27018 daje klientom z sektora biznesowego pewność, że poufność danych będzie chroniona na kilka różnych sposobów:
- Klient zachowuje kontrolę nad swoimi danymi. Przestrzeganie przez nas standardu ISO 27018 to gwarancja, że przetwarzamy dane osobowe wyłącznie zgodnie z instrukcją otrzymaną od klienta.
- Klient wie, co dzieje się z jego danymi. Przestrzeganie tej normy zapewnia przejrzystość zasad zwrotu, przesyłania i usuwania danych osobowych przechowywanych w naszych centrach danych. Nie tylko informujemy klientów o tym, gdzie znajdują się ich dane, ale także wskazujemy firmy, które z nami współpracują i mają dostęp do tych danych. Informujemy także o przypadkach dostępu osób nieupoważnionych do danych osobowych oraz obiektów i sprzętu używanego do przetwarzania danych, jeżeli skutkują one utratą, ujawnieniem lub modyfikacją tych danych.
- Zapewniamy skuteczną ochronę danych. Zgodność z normą ISO 27018 zapewnia różne istotne środki ochrony. Standard narzuca pewne ograniczenia dotyczące postępowania z danymi osobowymi, w tym ograniczenia ich przesyłania w sieciach publicznych i przechowywania na nośnikach przenośnych, a także odpowiednie procesy odzyskiwania i przywracania danych. Norma ta wymaga ponadto podpisania zobowiązania do zachowania poufności przez wszystkie osoby, które zajmują się przetwarzaniem danych osobowych — dotyczy to także naszych pracowników.
- Dane klienta nie zostaną wykorzystane w celach reklamowych. Klienci z sektora przedsiębiorstw coraz częściej wyrażają zastrzeżenia w stosunku do dostawców usług w chmurze, którzy bez upoważnienia wykorzystują ich dane do celów reklamowych. Już od wielu lat wystrzegamy się wykorzystywania danych klientów korporacyjnych do celów reklamowych, a wdrożenie standardu to potwierdza.
- Informujemy klientów o dostępie do ich danych ze strony organów państwowych. Norma ta, o ile prawo tego nie zabrania, wymaga informowania klientów komercyjnych o wnioskach organów państwowych o ujawnienie danych osobowych. Podejście to oraz inne zbliżone zasady postępowania wdrożyliśmy już wcześniej, a zgodność z nową normą potwierdza nasze zaangażowanie w tej dziedzinie.
Wszystkie te zobowiązania nabierają jeszcze większego znaczenia we współczesnym otoczeniu prawnym, w którym klienci komercyjni muszą sami przestrzegać przepisów o ochronie danych osobowych. Jesteśmy przekonani, że norma ISO 27018 może stanowić wzór dla organów regulacyjnych oraz klientów, którym zależy na zapewnieniu skutecznej ochrony danych w różnych regionach i branżach.
Wdrożenie standardu ISO 27018 to tylko jeden ze sposobów zwiększania ochrony prywatności danych i zgodności z przepisami z myślą o klientach korzystających z naszych usług w chmurze. Wiosną zeszłego roku otrzymaliśmy potwierdzenie od europejskich organów nadzorujących ochronę danych, że umowy świadczenia usług w chmurze, jakie Microsoft podpisuje z klientami komercyjnymi, są zgodne z „wzorcowymi klauzulami umownymi” w świetle przepisów UE o ochronie danych dotyczących międzynarodowego transferu danych. Jesienią Microsoft jako jedna z pierwszych firm podpisał Zobowiązanie do ochrony danych uczniów opracowane przez Future of Privacy Forum oraz Software & Information Industry Association w celu ustanowienia wspólnych zasad ochrony danych uczniów.
Jak już wspominaliśmy, klienci korzystają tylko z takich usług, do których mają zaufanie. Potwierdzenie wdrożenia tej normy to kolejny dowód naszego zaangażowania na rzecz ochrony danych klientów w internecie.
Na platformie Microsoft Cloud nasi klienci mają kontrolę nad swoimi danymi.
