Temat: Zagraniczny hosting
Panowie,
Widzę, że rozpętałem burzę w szklance wody.
Zacznę od rzeczy łatwiejszej czyli od techniki. To, że administrator centrum hostingowego ma dostęp do fizycznych dysków nie oznacza, że ma dostęp do danych i bez nadmiernie kosztownych środków jest w stanie odczytać dane ze zbiorów.
Nie chce się wgłębiać w szczegóły techniczne ale w profesjonalnych systemach (nie PC-tach) administrator systemu i administrator danych to dwie różne funkcje. Administrator systemu ma dostęp do plików odpowiedzialnych za działanie systemu natomiast nie ma dostępu do danych. Administrator danych odwrotnie. Jest jeszcze funkcja security officer czyli profil odpowiedzialny za administrowanie prawami dostępu w systemie. Poza tym nie zapominajcie Panowie, że obecnie powszechnie stosuje się praktykę udostępniania klientowi serwerów wirtualnych. W tym przypadku administrator w data center nie musi i nie ma wogóle dostępu do danych klienta. Uruchamia się po prostu wirtualną maszynę i klient robi sobie co chce.
Co do drugiej czyli zaufania to trudniejsza kwestia. Ale tutaj posłużę się przykładem z innej dziedziny niż informatyka. Jeżeli mówimy o powierzeniu tajemnicy (jako taka traktuję dane) to w przypadku umowy z firmą hostingowa mamy taka samą gwarancję jak w przypadku (tu na pewno się narażę wielu osobom) prawnika, firmy audytorskiej (tu znany przykład upadku jednej z wielkich firm w USA w wyniku pozytywnych audytów innej znanej firmy audytorskiej) czy nawet własnego administratora. Ponadto chyba po coś te przepisy unijne stworzono i ratyfikowano. Choć sam negowałem i neguje ich bezkrytyczne stosowanie szczególnie z pominięciem prawa krajowego.
Poza tym czy na pewno mamy pewność spełnienia nawet minimalnych wymaganych ustawowo wymagań? Kiedyś na szkoleniu strażak powiedział nam tak: "Szanowni Państwo spalić się może wszystko byle zgodnie z przepisami". I to jest prawda. Możemy mnożyć "dupochrony" tylko czy to coś da oprócz tego, że powiemy to nie my to oni i mamy na to papiery.
Oczywiście nie neguję, że konieczne są umowy i odpowiednie w nich zapisy. Ale oprócz tego jest jeszcze coś takiego jak zaufanie do partnera i nasza opinia o nim. Moim zdaniem ktoś kto obiecuje nam "złote góry" po prostu kłamie w żywe oczy i należy go unikać jak ognia. A z usług firmy hostingowej czy data center która bezkrytycznie udostępnia informacje na temat swojego systemu ochrony zrezygnował bym jeszcze tego samego dnia, w którym bym się o tym dowiedział. Jeżeli robi to w moim przypadku to również w każdym innym. A to oznacza, że jej system ochrony nie jest wart nawet tyle co papier na którym go opisano.
Panie Jarku, myślę, że problem poruszony przez Pana jest wart podjęcia w szerszym gronie. Ponieważ dotyczy on nie tylko kwestii prawnych i to na poziomie prawa międzynarodowego ale również technicznych, biznesowych i etycznych. Tym bardziej, że niestety większość prawników nie za bardzo orientuje się w niuansach technicznych, które siłą rzeczy w tym przypadku pojawiają się w przepisach prawnych (patrz rozporządzenie do uodo). Dobrym przykładem współdziałania są kontrole GIODO gdzie jest dwóch kontrolerów - prawnik i informatyk.
Natomiast wracając do pytania p. Karola. Uważam, że powinien Pan zawrzeć umowę tylko z firmą hostingową. Ale w tej umowie, muszą być zawarte wymagania stawiane przez Pana zarówno firmie hostingowej jak i data center. Na przykład, że data center w którym będą Pana dane nie musi się znajdować na terenie UE, że muszą być spełnione wymagania techniczne zgodnie z Polskim a nie Unijnym prawem, że administratorzy w data center nie będą mieli dostępu do danych itp. I to zadaniem firmy hostingowej będzie wymuszenie na data center realizacji tych zapisów. Jeżeli będzie miał Pan umowę i z firmą hostingową, i z data center to może dojść do konfliktu interesów ponieważ powstanie swoisty trójkąt. A to figura zawsze rodzi problemy. Ale oczywiście każdy decyduje samodzielnie i na swoją odpowiedzialność.