Karol K.

Karol K. Pełnomocnik ds.
Ochrony Informacji
Niejawnych,
Specjalist...

Temat: Zagraniczny hosting

Witam

Chciałbym poruszyć wydawałoby się prozaiczną sprawę. Powiedzmy, że jest jakaś tam strona z newsletterem. Aby wszystko było zgodnie z literą prawa, newsletter (a konkretnie bazę mailową) należy zarejestrować w GIODO. Aby to zrobić należy między innymi podpisać umowę powierzenia danych osobowych z firmą hostingową. Co jeśli hosting wykupiony jest w polskiej firmie, która jednak korzysta z serwerów fizycznie ulokowanych za granicą. Czy należy w tym przypadku podpisać drugą umowę powierzenia z zagranicznym dzierżawcą fizycznych serwerów (np. zagraniczne data center)? Czy przypadek ten odnosi się do przekazywania danych osobowych do państw trzecich?
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Zagraniczny hosting

Witam,

Nie trzeba podpisywać umowy z zagranicznym dostawcą usługi ponieważ nie jest on stroną umowy pomiędzy Panem a firmą hostingową. Generalnie za bezpieczeństwo danych wobec Pana odpowiada firma hostingowa a nie firma, która wynajmuje fizyczne maszyny.

Co do kwestii państwa trzeciego to w przypadku państw UE to wszystkie traktowane są jako jeden obszar wspólny. Dyrektywa UE w sprawie ochrony danych osobowych gwarantuje minimalny poziom ochrony danych wspólny dla wszystkich państw UE.

W przypadku Polski i o ile sie nie mylę Węgier mamy nieco ostrzejsze w stosunku do Dyrektywy UE ale obostrzenia nie odnosza się raczej do zabezpieczeń fizycznych i logicznych samych serwerów.

Jest jeszcze kwestia państw, które UE uznała za zaufane strony czyli gwarantujące taki sam poziom ochrony jak w UE. Swego czasu dyskutowałem na ten temat z Panem Pawłem Litwińskim na tym forum. Zgodnie z jego opinią Polska powinna traktować kraje z listy rekomendacyjnej UE jako zaufaną stronę. Ja jestem odmiennego zdania ale proszę poszukać samem i wyrobić sobie własną opinię.

Jeszcze jedna uwaga. Firma hostingowa nie ma obowiązku ujawniania gdzie są jej serwery. Opieranie się wyłącznie na geograficznej identyfikacji serwera na podstawie IP może być mylne.
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Zagraniczny hosting

Zwykle, umowę powierzenia podpisujemy tylko z naszym dostawcą. Inna sprawa, czy powinniśmy się zgadzać na takie podpowierzenie (i ma tu nieco mniejsze znaczenie, czy podprocesor przetwarza dane na terytorium Polski, czy EOG). Zwykle proponuję odpowiednie zabezpieczenie się w umowie, np. takie, że ADO musi wyrazić zgodę na podpowierzenie. (Dyskusja była prowadzona również tutaj – http://www.goldenline.pl/forum/756024/hosting-a-powier...)

Kolejny problem, to czy mamy do czynienia z podpowerzeniem, w sytuacji gdy procesor korzysta z kolokacji sprzętu w data center innego dostawcy i twierdzi, że jedynie on posiada dostęp do tego sprzętu i właściciel data center nie ma prawa go dotykać. W takiej sytuacji pytam zwykle, w jaki sposób dane dostają się na ten sprzęt. Nie zapominajmy o całej infrastrukturze sieciowej, która już całkowicie należy do data center i dlatego, moim zdaniem, również w wypadku kolokacji mamy do czynienia z powierzeniem (chyba, że przesyłane dane są szyfrowane).

Nie mogę jednak zgodzić się ze stwierdzeniem, że za bezpieczeństwo danych odpowiada jedynie firma hostingowa. Podpisanie umowy, nie zdejmuje odpowiedzialności z ADO.
Tym bardziej, nie wiem też dlaczego miałbym podpisać umowę z dostawcą, który nie ujawni mi gdzie się znajdują serwery, na których przetwarzane będą moje dane.Jarosław Żabówka edytował(a) ten post dnia 12.03.12 o godzinie 04:28
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Zagraniczny hosting

Panie Jarku,

Nie chodzi tu o zdjęcie odpowiedzialności z ADO ale o łańcuch naczyń połączonych.

ADO podpisuje umowe z dostawcą usług i wymaga od niego zabezpieczenia danych. Dostawca z kolei podpisuje umowe na wynajem serwerów z centrum hostingowym i również wymaga od niego zabezpieczenia ale tym razem fizycznych serwerów na których będą przetwarzane dane.

W sumie na terenie UE zabezpieczenia danych muszą sepłniać minimalne wymogi Dyrektywy. Oczywiście jeżeli mamy wymagania większe lub szczególne to możemy je zawrzeć w umowie. Ale moim zdaniem w umowie z firmą ktora dostarcza nam usługi i od niej będziemy wymagali spełnienia warunków umowy. Ta z kolei musi (powinienem raczej napisać powina bo jest z tym różnie) przenieść wymagania na dostawcę usług hostingowych.

Co do podpowierzenia to raczej nie mamy tutaj z tym do czynienia. Po pierwsze szyfrowanie stosuje sie obecnie powszechnie już na etapie transmisji danych. Po drugie firma hostingowa w całej swojej strukturze nie ma dostępu do danych ale jedynie do infrastruktury fizycznej.

Oczywiście można założyć, że transmitowane dane będą przechwycone. Tylko jest pytanie - czy będą to faktycznie dane, które da się w miarę prosty sposób zdekodować.

Podsłuch nie jest narzedziem XXI wieku i to że ktoś posiądzie informację nawet podaną w sposób jawny nie oznacza, że będzie w stanie poznać żeczywistą treść tej informacji. W sieciach LAN / WAN podsłuchanie / przechwycenie transmisji to jest "pryszcz". Zdekodowanie tych informacji nie należy jednak do najłatwiejszych zadań. No chyba że administrator systemu zapomniał abecadła ochrony danych.
Karol K.

Karol K. Pełnomocnik ds.
Ochrony Informacji
Niejawnych,
Specjalist...

Temat: Zagraniczny hosting

Roman Janas:

Co do podpowierzenia to raczej nie mamy tutaj z tym do czynienia. Po pierwsze szyfrowanie stosuje sie obecnie powszechnie już na etapie transmisji danych. Po drugie firma hostingowa w całej swojej strukturze nie ma dostępu do danych ale jedynie do infrastruktury fizycznej.

Chyba nie możemy założyć, że firma hostingowa nie ma dostępu do danych, które trzymam w bazie danych. Wydaje mi się, że w każdej chwili mogą sobie podejżeć co na ich dyskach trzymam. Tak samo nie mogę założyć, iż osoby pracujące w data center, które obsługuje danego usługodawcę hostingowego nie mają dostępu do danych na serwerze.
Roman Janas:

ADO podpisuje umowe z dostawcą usług i wymaga od niego zabezpieczenia danych. Dostawca z kolei podpisuje umowe na wynajem serwerów z centrum hostingowym i również wymaga od niego zabezpieczenia ale tym razem fizycznych serwerów na których będą przetwarzane dane.

Czyli według Pana ja podpisuje tylko umowę powierzenia z firmą, która udziela mi hostingu, a ta powinna podpisać umowę z data center, w którym trzyma fizycznie serwery? Bo przecież logicznym wydaje się być, iż pracownicy data center mając dostęp do tych serwerów maję też dostęp do danych na nich gromadzonych.
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: Zagraniczny hosting

Roman Janas:
Panie Jarku,

Nie chodzi tu o zdjęcie odpowiedzialności z ADO ale o łańcuch naczyń połączonych.

ADO podpisuje umowe z dostawcą usług i wymaga od niego zabezpieczenia danych. Dostawca z kolei podpisuje umowe na wynajem serwerów z centrum hostingowym i również wymaga od niego zabezpieczenia ale tym razem fizycznych serwerów na których będą przetwarzane dane.

W sumie na terenie UE zabezpieczenia danych muszą sepłniać minimalne wymogi Dyrektywy. Oczywiście jeżeli mamy wymagania większe lub szczególne to możemy je zawrzeć w umowie. Ale moim zdaniem w umowie z firmą ktora dostarcza nam usługi i od niej będziemy wymagali spełnienia warunków umowy. Ta z kolei musi (powinienem raczej napisać powina bo jest z tym różnie) przenieść wymagania na dostawcę usług hostingowych.

Minimalnym wymogiem, jest dla mnie również zastosowanie zabezpieczeń technicznych. I nie mogę powierzyć danych komuś, jeżeli nie mam pewności, że stosowane przez niego zabezpieczenia będą wystarczające.
Przykładowo, jeżeli uznamy za wystarczający zapis w umowie, że może procesor może dane podpowierzyć, a podprocesor musi zastosować określone zabezpieczenia, to ja nie widzę tu problemu. Chodzi o to, żeby dane były zabezpieczone adekwatnie, a w razie ew. problemów, żebyśmy mieli stosowne argumenty (bo twierdzenie "to nie my, to oni!", nie wydaje mi się wystarczające)

Co do podpowierzenia to raczej nie mamy tutaj z tym do czynienia. Po pierwsze szyfrowanie stosuje sie obecnie powszechnie już na etapie transmisji danych. Po drugie firma hostingowa w całej swojej strukturze nie ma dostępu do danych ale jedynie do infrastruktury fizycznej.

Jeżeli ktoś ma dostęp do infrastruktury to co go powstrzyma przed dostępem do danych? To brzmi dla mnie jak „ja nie ukradłem Panu pieniędzy, tylko stary portfel” ;)

Szyfrowanie transmisji (zapobiega podsłuchaniu transmisji), nawet w połączeniu z szyfrowaniem systemu plików (zabezpieczenie, np. na wypadek kradzieży dysków), nie załatwia sprawy. Zawsze mamy jeszcze rozszyfrowane dane „pomiędzy” – czyli po prostu przetwarzane w systemie poza systemem plików (i pewnie jeszcze przez parę lat, zanim szyfrowanie homomorficzne nie zostanie opanowane - do tego czas raczej nic się tu nie zmieni).

Oczywiście można założyć, że transmitowane dane będą przechwycone. Tylko jest pytanie - czy będą to faktycznie dane, które da się w miarę prosty sposób zdekodować.

Jeżeli dane nie są szyfrowane, ich „zdekodowanie” nie przedstawia większego problemu :)
Podsłuch nie jest narzedziem XXI wieku i to że ktoś posiądzie informację nawet podaną w sposób jawny nie oznacza, że będzie w stanie poznać żeczywistą treść tej informacji. W sieciach LAN / WAN podsłuchanie / przechwycenie transmisji to jest "pryszcz". Zdekodowanie tych informacji nie należy jednak do najłatwiejszych zadań. No chyba że administrator systemu zapomniał abecadła ochrony danych.

No i o to właśnie chodzi, że nie powinien o tym decydować administrator systemu, bo to organizacja musi mieć pewność, że o tym "nie zapomniał". I ja powierzając komuś dane, też chcę wiedzieć, czy o czym "nie zapomną".
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Zagraniczny hosting

Panowie,

Widzę, że rozpętałem burzę w szklance wody.

Zacznę od rzeczy łatwiejszej czyli od techniki. To, że administrator centrum hostingowego ma dostęp do fizycznych dysków nie oznacza, że ma dostęp do danych i bez nadmiernie kosztownych środków jest w stanie odczytać dane ze zbiorów.

Nie chce się wgłębiać w szczegóły techniczne ale w profesjonalnych systemach (nie PC-tach) administrator systemu i administrator danych to dwie różne funkcje. Administrator systemu ma dostęp do plików odpowiedzialnych za działanie systemu natomiast nie ma dostępu do danych. Administrator danych odwrotnie. Jest jeszcze funkcja security officer czyli profil odpowiedzialny za administrowanie prawami dostępu w systemie. Poza tym nie zapominajcie Panowie, że obecnie powszechnie stosuje się praktykę udostępniania klientowi serwerów wirtualnych. W tym przypadku administrator w data center nie musi i nie ma wogóle dostępu do danych klienta. Uruchamia się po prostu wirtualną maszynę i klient robi sobie co chce.

Co do drugiej czyli zaufania to trudniejsza kwestia. Ale tutaj posłużę się przykładem z innej dziedziny niż informatyka. Jeżeli mówimy o powierzeniu tajemnicy (jako taka traktuję dane) to w przypadku umowy z firmą hostingowa mamy taka samą gwarancję jak w przypadku (tu na pewno się narażę wielu osobom) prawnika, firmy audytorskiej (tu znany przykład upadku jednej z wielkich firm w USA w wyniku pozytywnych audytów innej znanej firmy audytorskiej) czy nawet własnego administratora. Ponadto chyba po coś te przepisy unijne stworzono i ratyfikowano. Choć sam negowałem i neguje ich bezkrytyczne stosowanie szczególnie z pominięciem prawa krajowego.

Poza tym czy na pewno mamy pewność spełnienia nawet minimalnych wymaganych ustawowo wymagań? Kiedyś na szkoleniu strażak powiedział nam tak: "Szanowni Państwo spalić się może wszystko byle zgodnie z przepisami". I to jest prawda. Możemy mnożyć "dupochrony" tylko czy to coś da oprócz tego, że powiemy to nie my to oni i mamy na to papiery.

Oczywiście nie neguję, że konieczne są umowy i odpowiednie w nich zapisy. Ale oprócz tego jest jeszcze coś takiego jak zaufanie do partnera i nasza opinia o nim. Moim zdaniem ktoś kto obiecuje nam "złote góry" po prostu kłamie w żywe oczy i należy go unikać jak ognia. A z usług firmy hostingowej czy data center która bezkrytycznie udostępnia informacje na temat swojego systemu ochrony zrezygnował bym jeszcze tego samego dnia, w którym bym się o tym dowiedział. Jeżeli robi to w moim przypadku to również w każdym innym. A to oznacza, że jej system ochrony nie jest wart nawet tyle co papier na którym go opisano.

Panie Jarku, myślę, że problem poruszony przez Pana jest wart podjęcia w szerszym gronie. Ponieważ dotyczy on nie tylko kwestii prawnych i to na poziomie prawa międzynarodowego ale również technicznych, biznesowych i etycznych. Tym bardziej, że niestety większość prawników nie za bardzo orientuje się w niuansach technicznych, które siłą rzeczy w tym przypadku pojawiają się w przepisach prawnych (patrz rozporządzenie do uodo). Dobrym przykładem współdziałania są kontrole GIODO gdzie jest dwóch kontrolerów - prawnik i informatyk.

Natomiast wracając do pytania p. Karola. Uważam, że powinien Pan zawrzeć umowę tylko z firmą hostingową. Ale w tej umowie, muszą być zawarte wymagania stawiane przez Pana zarówno firmie hostingowej jak i data center. Na przykład, że data center w którym będą Pana dane nie musi się znajdować na terenie UE, że muszą być spełnione wymagania techniczne zgodnie z Polskim a nie Unijnym prawem, że administratorzy w data center nie będą mieli dostępu do danych itp. I to zadaniem firmy hostingowej będzie wymuszenie na data center realizacji tych zapisów. Jeżeli będzie miał Pan umowę i z firmą hostingową, i z data center to może dojść do konfliktu interesów ponieważ powstanie swoisty trójkąt. A to figura zawsze rodzi problemy. Ale oczywiście każdy decyduje samodzielnie i na swoją odpowiedzialność.

Następna dyskusja:

Hosting, a powierzenie prze...




Wyślij zaproszenie do