Beskrivning
Kunder och Molntjänstleverantör (CSP) dela ansvaret för säkerhet och efterlevnad. Organisationen skulle således ha friheten att utforma sina säkerhets- och efterlevnadsbehov, i enlighet med de tjänster de använder från CSP:n och de tjänster de avser att uppnå. CSP:n har ansvaret för att tillhandahålla tjänster på ett säkert sätt och att tillhandahålla fysisk säkerhet för molnet.
Om en kund däremot väljer Programvara som en tjänst, tillhandahåller CSP:n standardefterlevnad. Organisationen måste dock kontrollera om den uppfyller dess regler och efterlevnadsnivåer för att sträva efter att uppnå detta. Alla molntjänster (såsom olika former av databaser) är inte skapade lika. Policyer och procedurer bör överenskommas mellan CSP och kund för alla säkerhetskrav och driftsansvar.
Låt oss dyka in på specifika efterlevnads- och regelverk som upprätthålls inom branschen.
PCI DSS i molnet
Betalkortsbranschens datasäkerhetsstandarder (PCI DSS) är en uppsättning säkerhetsstandarder som bildades 2004 för att säkra kredit- och betalkortstransaktioner mot datastöld och bedrägerier. PCI DSS är en uppsättning efterlevnadskrav som är ett krav för alla företag.
Låt oss anta att betalkortsdata lagras, bearbetas eller överförs till en molnmiljö. I så fall kommer PCI DSS att tillämpas på den miljön och innebära validering av CSP:ns infrastruktur och klientens användning av den miljön.
| PCI DSS-krav | Ansvarsfördelning för hantering av kontroller | ||||||
|---|---|---|---|---|---|---|---|
| IaaS | PaaS | SaaS | |||||
| Installera och underhåll en brandväggskonfiguration för att skydda kortinnehavarens data | Klient och CSP | Klient och CSP | CSP | ||||
| Använd inte leverantörens standardvärden för systemlösenord och andra säkerhetsparametrar. | Klient och CSP | Klient och CSP | CSP | ||||
| Skydda lagrade korthållardata | Klient och CSP | Klient och CSP | CSP | ||||
| Kryptera överföring av kortinnehavardata över ett öppet, offentligt nätverk | Klient | Klient och CSP | CSP | ||||
| Använd och uppdatera regelbundet antivirusprogram | Klient | Klient och CSP | CSP | ||||
| Utveckla och underhålla säkra system och applikationer | Klient och CSP | Klient och CSP | Klient och CSP | ||||
| Begränsa åtkomsten till kortinnehavarens data av företagens behov att veta | Klient och CSP | Klient och CSP | Klient och CSP | ||||
| Tilldela ett unikt ID till varje person med datoråtkomst | Klient och CSP | Klient och CSP | Klient och CSP | ||||
| Begränsa fysisk åtkomst till kortinnehavarens data | CSP | CSP | CSP | ||||
| Spåra och övervaka all åtkomst till nätverksresurser och kortinnehavardata | Klient och CSP | Klient och CSP | CSP | ||||
| Testa regelbundet säkerhetssystem och processer | Klient och CSP | Klient och CSP | CSP | ||||
| Upprätthåll en policy som hanterar informationssäkerhet för all personal | Klient och CSP | Klient och CSP | Klient och CSP | ||||
GDPR
Den allmänna dataskyddsförordningen (GDPR) är kärnan i Europas lagstiftning om digital integritet. ”Europas digitala framtid kan bara byggas på förtroende. Med solida gemensamma standarder för dataskydd kan människor vara säkra på att de har kontroll över sin personliga information”, sa Andrus Ansip, vice ordförande för den digitala inre marknaden, när reformerna beslutades i december 2015.
GDPR gäller alla företag som samlar in och behandlar uppgifter för EU-bosatta. Företag utanför EU skulle behöva utse en GDPR-representant och hållas ansvariga för alla böter och sanktioner. Viktiga krav i GDPR är:
Laglig, rättvis och transparent behandling
Begränsning av ändamål, data och lagring
Samla endast in nödvändig information och kassera all personlig information efter att behandlingen är klar
Den registrerades rättigheter
En kund kan fråga vilka uppgifter en organisation har om dem och vad uppgifterna är avsedda att användas till.
Samtycke
Organisationer måste be om kundens samtycke om personuppgifter behandlas utöver berättigade ändamål. Kunden kan också när som helst återkalla samtycket.
Personuppgiftsintrång
Beroende på allvarlighetsgrad och regelverk måste kunden informeras inom 72 timmar efter att intrånget identifierats.
Integritet av design
Organisationer bör införliva organisatoriska och tekniska mekanismer för att skydda personuppgifter i utformningen av nya system och processer.
Dataskyddskonsekvensbedömning
Konsekvensbedömning av dataskydd bör genomföras när ett nytt projekt, en ny förändring eller en ny produkt initieras.
Dataöverföringar
Organisationer måste säkerställa att personuppgifter skyddas och att GDPR-kraven respekteras, även om en tredje part gör det.
Personuppgiftsombudet
När det förekommer betydande behandling av personuppgifter i en organisation bör organisationen utse ett dataskyddsombud.
Medvetenhet och utbildning
Organisationer måste skapa medvetenhet bland anställda om viktiga GDPR-krav
För att uppnå GDPR i molnet måste vi vidta dessa ytterligare steg
- Organisationer bör veta var informationen lagras och behandlas av CSP:n
- Organisationer bör veta vilka CSP och molnappar som uppfyller deras säkerhetsstandarder. Organisationer bör vidta lämpliga säkerhetsåtgärder för att skydda personuppgifter från förlust, ändring och obehörig behandling.
- Organisationer bör ha ett databehandlingsavtal med CSP och molnappar som de ska använda.
- Organisationer bör endast samla in nödvändiga uppgifter som de skulle behöva och bör begränsa behandlingen av personuppgifter ytterligare.
- Organisationer bör säkerställa att databehandlingsavtal respekteras och att personuppgifter inte används för andra ändamål av CSP eller molnappar.
- Organisationer bör kunna radera data när de vill från alla datakällor i CSP.
Slutsats
Regler och efterlevnad beror på vilket land organisationerna verkar i. Det är viktigt att undersöka CSP och de regler och efterlevnad som de följer. Du hittar mer information om CSP:erna på deras respektive webbplatser:
Om en organisation inte följer de regler som gäller i landet eller regionen kan de i så fall få böter och förlora möjligheten att verka i det landet.
