GDPR ja pilvipalvelut
GDPR tulee sanoista General Data Protection Regulation (yleinen tietosuoja-asetus). Se on henkilötietojen käsittelyä sääntelevä laki, jota alettiin soveltaa kaikissa EU-maissa keväällä 2018. Tietosuoja-asetus antaa paremman suojan henkilötiedoillesi ja enemmän keinoja hallita tietojesi käsittelyä.
Mutta mitkä kaikki henkilötiedot sitten kuuluvat tietosuoja-asetuksen alle? Tietosuoja-asetuksen mukaan henkilötiedot tarkoittavat kaikkea sitä tietoa, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Tunnistettava luonnollinen henkilö on sellainen henkilö, joka on suoraan tai epäsuoraan tunnistettavissa, esimerkiksi nimen, sijainnin tai internet-tunnisteen perusteella. Tähän riittää yksi tai kaksi osatekijää liittyen fyysiseen, fysiologiseen, geneettiseen, mentaaliseen, taloudelliseen tai sosiaaliseen tunnistajaan kyseisestä luonnollisesta henkilöstä.
Monilla yrityksillä on huolena se, että pilvipalvelut varastoivat tietoa EU:n ulkopuolelle. Tämä on todella ymmärrettävä huoli, mutta Amazon Web Services, Microsoft Azure ja Google Cloud Platform noudattavat GDPR-määräyksiä.
Amazon Web Services
AWS-asiantuntijat työskentelivät asiakkaiden kanssa ympäri maailmaa valmistautuakseen GDPR:ään ja varmistaakseen, että kaikki, mitä AWS tekee, on GDPR:n vaatimusten mukainen. Lopulta Amazon vahvisti, että kaikki AWS-palvelut ovat GDPR:n mukaisia, kun se tuli täytäntöönpanokelpoiseksi toukokuussa 2018. Kaikkien asiakkaiden saatavilla on myös GDPR:n vaatimukset täyttävä tietojenkäsittelysopimus (GDPR DPA).
Lisäksi AWS ilmoitti noudattavansa CISPE:n toimintaohjeita. CISPE on pilvi-infrastruktuurin tarjoajien liittouma, joka tarjoaa pilvipalveluita asiakkaille Euroopassa. CISPE:n Code of Conduct auttaa asiakkaita arvioimaan, kuinka heidän pilvi-infrastruktuurinsa tarjoajat noudattavat GDPR:n mukaisia tietosuojavelvoitteita. Käytännesäännöt mainitaan direktiivin 40 artiklassa.
AWS:n ilmoitusten mukaan Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail ja Amazon Elastic Block Storage (Amazon EBS) ovat täysin CISPE-koodin mukaisia.
Amazon tarjoaa erityisiä ominaisuuksia ja palveluita, jotka auttavat asiakkaita täyttämään GDPR:n vaatimukset. Nämä ovat:
- Kulunvalvonta
- Valvonta ja kirjaaminen
- Salaus
- Vahva vaatimustenmukaisuuskehys ja turvallisuusstandardit
AWS otti käyttöön myös joitain tietosuoja- ja tietoturvakäytäntöjä sekä tekniikoita. Asiakkaat hallitsevat pääsyä sisältöönsä, AWS-palveluihinsa ja resursseihinsa. Amazon ei pääse käsiksi tai käytä asiakkaan sisältöä mihinkään tarkoitukseen. Asiakkaan tiedot voidaan myös salata. AWS vakuuttaa, että asiakkaat pystyvät valitsemaan alueen, jonne heidän tietojaan tallennetaan, eikä asiakkaan sisältöä siirretä tai kopioida alueen ulkopuolelle ilman asiakkaan suostumusta.
Lisätietoja löydät AWS:n GDPR-sivulta.
Microsoft Azure
Myös Microsoft sitoutuu siihen, että Microsoft Cloud on täysin yhteensopiva GDPR:n kanssa, joka on osa heidän kokonaisvaltaisia pilviyhteensopivuus investointejaan toukokuussa 2018.
Azure tarjoaa:
- Azure Active Directory antaa valtuutetun pääsyn tietoihin
- Azure Information Protection luokittelee, merkitsee ja suojaa uusia ja olemassa olevia tietoja
- Azure Security Center tarjoaa näkyvyyttä ja Azure-resurssien suojauksen hallintaa
- Tietojen salaus Azure Storagessa suojaamaan tiedot siirrettäessä ja lepotilassa
- Azure Key Vaults suojaa salausavaimia, varmenteita ja salasanoja
- Log Analytics turvallisuuden auditointia ja kirjaamista varten
Lisätietoja Azuresta ja GDPR:stä löydät Microsoftin omilta GDPR-sivuilta.
Google Cloud Platform
Ei ole yllätys, että Google sitoutuu olemaan myös GDPR-yhteensopiva. Googlen mukaan sekä G Suite että Google Cloud Platform ovat toteuttaneet asianmukaiset tekniset ja organisaattoriset toimenpiteet siten, että käsittely täyttää GDPR:n vaatimukset.
Google tarjoaa paljon tietoja, jotka on otettava huomioon arvioidessaan palvelujaan, mukaan lukien:
- Asiantuntemus, luotettavuus ja resurssit
- Tietosuojasitoumukset
- Aliprosessorien käyttö
- Palveluiden turvallisuus
- Tietojen palautus ja poisto
- Apua ohjaajalle
- Kansainväliset tiedonsiirrot
- Standardit ja sertifioinnit
Lisätietoa löydät Googlen GDPR-sivulta, joka tarjoaa tiiviisti arvokasta tietoa.
Yhteenveto
GDPR:n näkökulmasta nämä eri pilvipalvelut ovat hyvin samanlaisia. Kaikissa vaihtoehdoissa on valittavissa se, että tietoa säilytetään EU:n rajojen sisällä. Tällöin valintaa kannattaakin pohtia enemmän siitä näkökulmasta, että kuinka paljon kyseinen pilvipalvelu tulee maksamaan, löytyykö kyseiselle pilvipalvelulle helposti tekijöitä ja mihin hintaan.
Sinua saattaisi kiinnostaa
- EU:n tietosuoja-asetus GDPR käytännössä
- AWS Security Essentials
- Security Engineering on AWS
- SC-900: Perusteet Microsoftin tietoturvasta, vaatimuksenmukaisuudesta ja identiteetistä
- AZ-500: Microsoft Azure Security Technologies
- SC-400: Microsoftin informaation suojaamisen pääkäyttäjä
Jon Dillemuth