Jarosław
Żabówka
Administrator
Bezpieczeństwa
Informacji (ABI).
Temat: Hosting
„Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, (…)”. Świadczenie usług hostingu i jednocześnie nadzorowanie własnej usługi - nie jest to najszczęśliwsze połączenie...konto usunięte
Temat: Hosting
Specjalnego konfliktu interesów tu nie widzę - zresztą, ABI to pracownik ADO i nadzorowanie własnego pracodawcy w obecnym stanie prawnym też może być nienajszczęśliwsze w praktyce.
Monika
Gierada-Sołtysek
Spec. d/s ochrony
danych osobowych -
właścicel firmy
Temat: Hosting
Rynek hostingowy znam dość dobrze - pracuję w tej branży od 2006 roku. W firmach hostingowych głośno zaczęło się mówić o ochronie danych osobowych dość niedawno - jakieś może 3 lata temu, wówczas hostingów wyrażających chęć podpisania umowy powierzenia było naprawdę niewiele. Obecnie sytuacja się zmieniła, powierzenie przetwarzania to nie problem, przy skutecznych zabezpieczeniach firmy biorą odpowiedzialność za przetwarzane dane osobowe swoich klientów na serwerach - sporządzamy umowę, podpisujemy i to wszystko. Wdrożenie oferty na świadczenie usług administratora bezpieczeństwa informacji generowałoby konieczność zatrudnienia ludzi - specjalistów, wprowadzenia nowego procesu biznesowego etc. Firmom specjalizującym się w hostingu to się nie opłaca - łatwiej polecić klientowi zewnętrzną firmę doradczą, z którą dana firma hostingowa w tym zakresie współpracuje. Ewentualnie można próbować szukać firmy doradczej, która świadczy usługę outsourcingu ABI i z którą możemy także podpisać umowę powierzenia w zakresie hostingu ale wówczas zapewne firma doradcza dalej powierzy przetwarzanie danych osobowych firmie hostignowej więc nie wiem czy jest sens aż tak komplikować sprawę.
Jarosław
Żabówka
Administrator
Bezpieczeństwa
Informacji (ABI).
Temat: Hosting
Z podpisywaniem umów powierzenia jest dużo lepiej, niestety nadal, nawet wśród największych dostawców bywa z tym problem.Co do sprzeczności interesów, to zapewne trzeba podchodzić do tego indywidualnie. Nawet ABI nadzorujący własnego pracodawcę, bywa stawiany w sytuacji, gdy po prostu, ma nie widzieć nieprawidłowości... Dlatego nie bardzo wierzę, żeby w sytuacji gdy jest on pracownikiem dostawcy usług, mógł rzeczywiście reprezentować interesy klienta.
Z drugiej jednak strony, możliwość sprawowania rzeczywistego nadzoru danych przetwarzanych w datacenter, jest w większości wypadków dość iluzoryczna, więc może właśnie taki ABI byłby lepszym wyjściem...
konto usunięte
Temat: Hosting
Odnośnie powierzania firmom hostingowym: powszechne jest raczej to stwierdzenie:(znalazłam na GL, nie u źródła, ale słyszałam to też od kilku prawników, więc mało prawdopodobne wyssane z palca)
"Zgodnie ze wskazówkami GIODO nie jest konieczna również dodatkowa umowa czy też oświadczenie pomiędzy administratorem danych, a dostawcą hostingu jeśli spełniony jest warunek braku bezpośredniego dostępu do osobowej bazy danych przez dostawcę. Brak bezpośredniego dostępu oznacza w praktyce taki sposób kodowania (szyfrowania) danych, który uniemożliwia pracownikom dostawcy ich przeglądanie bez złamania zabezpieczeń. Do odpowiedniego zabezpieczenia (szyfrowania) danych zobowiązany jest administrator danych czyli podmiot zgłaszający bazę do GIODO – w praktyce informatyk przygotowujący system zbierania i przechowywania tych danych poprzez np. użycie aplikacji binarnej bez dostępu do kodu źródłowego."
Wydaje mi się, że sprawa będzie szła w tym kierunku, a nie nawracania dużych dostawców.
Jarosław
Żabówka
Administrator
Bezpieczeństwa
Informacji (ABI).
Temat: Hosting
Dobrze, tylko jako to zrealizować?Szyfrowanie danych na dyskach połączone z szyfrowaniem komunikacji, nie rozwiązuje jeszcze problemu. Dane nadal są przetwarzane w systemie w formie niezaszyfrowanej. Dopóki nie zostaną opracowane w pełni funkcjonalne mechanizmy korzystające z szyfrowania homomorficznego – sytuacja się raczej nie zmieni.
Bo to, że dostawca usług mówi, że nie ma dostępu do danych, nie oznacza, że nie może go uzyskać w stosunkowo łatwy sposób. Nawet jeżeli uznam, że zabezpieczyłem mój system w sposób wystarczający, to ja się pytam, po co tak sobie komplikować życie?
Nie wspominając o tym, że najpierw twierdzi się, że się nie ma dostępu do systemu, a potem oferuje usługę „remote admin” czy „remote hands”…
Zresztą z większością dużych dostawców nie ma już problemu – po prostu podpisują umowę. Może dotarło do nich, że podpisanie umowy, nie zobowiązuje ich w praktyce do niczego więcej niż i tak robią, a klienci nie chcą absurdalnie komplikować systemów, tylko dlatego, że dostawca nie chce podpisać umowy. Nie chce podpisać? Nie ma problemu - idę do innego.
Podobne tematy
Następna dyskusja: