"Cloudflare" gavo naują ES Debesijos elgesio kodekso privatumo sertifikatą, patvirtinantį atitiktį BDAR reikalavimams ir didinantį pasitikėjimą debesijos paslaugomis
Interneto privatumo įstatymai įvairiose šalyse skiriasi, o pastaraisiais metais daug rašyta apie tarpvalstybinį duomenų perdavimą. Daugelyje teisės aktų reikalaujama, kad prieš perduodant asmeninę informaciją visame pasaulyje būtų įdiegtos tinkamos apsaugos priemonės, kaip ir Europos bendrajame duomenų apsaugos reglamente (BDAR). Teisės akte pagrįstai nustatyti aukšti reikalavimai, kaip organizacijos turėtų elgtis su asmens duomenimis, o rengdami reglamento projektą įstatymų leidėjai numatė, kad asmens duomenys kirs sienas: Tokiam duomenų perdavimui skirta reglamento V antraštinė dalis.
Nors svarbu skaidriai nurodyti, kur saugoma asmeninė informacija, ne mažiau svarbu ir tai, kaip ji tvarkoma ir kaip ji saugoma bei užtikrinama. Bendrovėje "Cloudflare" tikime, kad reikia saugoti asmeninės informacijos privatumą visame pasaulyje, todėl savo klientams suteikiame įrankius ir galimybę pasirinkti, kaip ir kur jų duomenys tvarkomi. Paprasčiau tariant, reikalaujame, kad duomenys būtų tvarkomi ir saugomi vienodai, saugiai ir rūpestingai, nesvarbu, ar mūsų klientai nusprendžia perduoti duomenis visame pasaulyje, ar laikyti juos vienoje šalyje.
Ir šiandien su pasididžiavimu pranešame, kad sėkmingai baigėme vertinimo kelionę ir gavome ES debesijos kodekso patvirtinimo antspaudą - tai įrodo, kad laikomės BDAR reikalavimų, saugodami asmens duomenis, susijusius su debesijos aplinkomis visame pasaulyje.
Svarbu, kaip tvarkoma asmeninė informacija, o ne tik kur ji saugoma.
Tie patys BDAR teisės aktų leidėjai taip pat numatė, kad organizacijos taip pat norės nuosekliai, skaidriai ir saugiai tvarkyti ir saugoti asmens duomenis. 40 straipsnio, pavadinto "Elgesio kodeksai", pradžia:
«Valstybės narės, priežiūros institucijos, Taryba ir Komisija skatina rengti elgesio kodeksus, skirtus tinkamam šio reglamento taikymui palengvinti, atsižvelgiant į skirtingų duomenų tvarkymo sektorių ypatumus ir konkrečius labai mažų, mažųjų ir vidutinių įmonių poreikius».
Elgesio kodeksai, kuriais siekiama įrodyti, kad laikomasi privatumo teisės aktų, taip pat turi ilgesnę istoriją. Kaip ir BDAR, 1995 m. priimtoje novatoriškoje ES duomenų apsaugos direktyvoje, oficialiai Direktyvoje 95/46/EB, taip pat buvo numatytos nuostatos dėl Bendrijos kodeksų projektų pateikimo nacionalinėms institucijoms ir oficialaus šių kodeksų patvirtinimo oficialioje Europos Sąjungos institucijoje.
Oficialus BDAR elgesio kodeksas
2016 m. priėmus BDAR, prireikė net penkerių metų, kol buvo oficialiai patvirtintas pirmasis elgesio kodeksas. Galiausiai 2021 m. gegužę Europos duomenų apsaugos valdyba - grupė, sudaryta iš visų Sąjungos nacionalinių duomenų apsaugos institucijų atstovų - patvirtino ES debesijos kompiuterijos elgesio kodeksą (sutrumpintai "ES debesijos kompiuterijos kodeksas") kaip pirmąjį oficialų BDAR numatytą debesijos paslaugų teikėjų elgesio kodeksą. ES debesijos kompiuterijos kodeksą Tarybai pateikė Belgijos priežiūros institucija organizacijos "SCOPE Europe", kuri kelerius metus rengė šį kodeksą, be kita ko, bendradarbiaudama su Europos Komisija, debesijos kompiuterijos bendruomenės nariais ir Europos duomenų apsaugos institucijomis, vardu.
Kodeksas yra debesijos paslaugų pirkėjams ir teikėjams skirta sistema. Pirkėjai gali lengvai suprasti, kaip debesijos paslaugų teikėjas tvarkys asmeninę informaciją. Debesijos paslaugų teikėjai pereina nepriklausomą vertinimą, kad įrodytų savo debesijos paslaugų pirkėjams, jog tvarkys asmeninę informaciją saugiai ir taip, kaip nustatyta kodekse. ES debesijos paslaugų kodekso atveju ir tik todėl, kad kodeksas buvo oficialiai patvirtintas, debesijos paslaugų, kurios atitinka kodeksą, pirkėjai žinos, kad debesijos paslaugų teikėjas klientų asmens duomenis tvarko laikydamasis BDAR.
Ką apima kodeksas?
Kodekse nustatyti aiškūs reikalavimai debesijos paslaugų teikėjams, kaip įgyvendinti BDAR 28 straipsnį ("Tvarkytojas") ir susijusius straipsnius. Sistema apima duomenų apsaugos politiką, taip pat technines ir organizacines saugumo priemones. Dokumentą sudaro skyriai, kuriuose aptariamos pardavėjo sąlygos, privatumas ir įrašų saugojimas, klientų audito teisės, kaip reaguoti į galimus duomenų saugumo pažeidimus ir kaip pardavėjas traktuoja subapdorojimą - kai trečioji šalis dalyvauja tvarkant asmens duomenis kartu su pagrindiniu duomenų tvarkytoju - ir daug kitų dalykų.
Sistemoje taip pat aptariama, kaip asmens duomenys gali būti teisėtai perduodami tarptautiniu mastu, nors ES debesijos kodeksas apima užtikrinimą, kad tai vyktų pagal įstatymus, pats kodeksas nėra duomenų perdavimo į trečiąsias šalis "apsaugos priemonė" ar įrankis. Ateityje atnaujintame kodekse ši funkcija gali būti išplėsta papildomu moduliu, tačiau 2023 m. kovo mėn. duomenimis, jis vis dar kuriamas.
Atidžiau pažvelkime į kai kuriuos ES debesų kompiuterijos kodekso reikalavimus ir į tai, kaip juo galima įrodyti atitiktį BDAR.
Pirmasis pavyzdys.
Vienas iš kodekso reikalavimų - turėti dokumentuotas procedūras, padedančias klientams atlikti "poveikio duomenų apsaugai vertinimą". Pagal BDAR tai apima:
"...įvertinti siūlomų perdirbimo operacijų poveikį poveikį asmens duomenų apsaugai." 35.1 straipsnis, GDPR
Todėl debesijos paslaugų teikėjas turėtų būti parengęs rašytinį procesą, kuris padėtų klientams atlikti savo vertinimus. Teikdamas paramą klientui, paslaugų teikėjas taip pat parodo savo įsipareigojimą laikytis griežtų BDAR nustatytų duomenų apsaugos standartų. Bendrovė "Cloudflare" laikosi šio reikalavimo ir toliau palaiko skaidrumą skelbdama išsamią informaciją apie pagalbinius duomenų tvarkytojus, naudojamus tvarkant asmens duomenis, ir nukreipdama klientus į audito ataskaitas, kurias galima rasti "Cloudflare" prietaisų skydelyje.
BDAR dar kartą užsimenama apie elgesio kodeksus, susijusius su poveikio duomenų apsaugai vertinimu:
"Į atitiktį patvirtintiems elgesio kodeksams... tinkamai atsižvelgiama vertinant atliktų duomenų tvarkymo operacijų poveikį... visų pirma vertinant poveikį duomenų apsaugai". BDAR 35.8 straipsnis
Todėl, rengdamas poveikio vertinimą, debesijos klientas turėtų atsižvelgti į tai, ar paslaugų teikėjas laikosi patvirtinto elgesio kodekso. Dar vienas būdas ir klientams, ir debesijos paslaugų teikėjams pasinaudoti elgesio kodeksais!
Antras pavyzdys
Kitas kodekso reikalavimo pavyzdys - kai debesijos paslaugų teikėjai suteikia šifravimo galimybes, jos turi būti veiksmingai įgyvendintos. Reikalavime taip pat nurodoma, kad tai turėtų būti daroma naudojant stiprius ir patikrintus šifravimo metodus, atsižvelgiant į naujausius technikos pasiekimus ir tinkamai užkertant kelią neteisėtai prieigai prie klientų asmens duomenų. Šifravimas yra labai svarbus siekiant apsaugoti asmens duomenis debesijoje; be šifravimo arba naudojant silpnesnį ar pasenusį šifravimą privatumas ir saugumas neįmanomas. Todėl tinkamai naudodami ir tikrindami šifravimą, debesijos paslaugų teikėjai padeda laikytis BDAR reikalavimų dėl savo klientų asmens duomenų apsaugos.
Bendrovėje "Cloudflare" ypač didžiuojamės savo pasiekimais: visiems savo klientams nemokamai suteikėme galimybę naudotis veiksmingu šifravimu. Padedame savo klientams suprasti šifravimą, o svarbiausia - patys naudojame stiprius ir patikrintus šifravimo algoritmus ir metodus, kad apsaugotume savo klientų asmens duomenis. Turime oficialią mokslininkų ir kriptografų mokslinių tyrimų ir plėtros komandą, kuri kuria ir įgyvendina moderniausius šifravimo protokolus, skirtus veiksmingai apsaugai nuo aktyvių ir pasyvių atakų, įskaitant tas, kurios naudoja išteklius, žinomus vyriausybinėms agentūroms; taip pat naudojame patikimas viešojo rakto sertifikavimo įstaigas ir infrastruktūrą. Dar šį mėnesį paskelbėme, kad po kvantų kriptovaliuta turėtų būti nemokama, todėl ją įtraukiame nemokamai, visiems laikams.
Daugiau informacijos
Kodekse pateikti reikalavimai, aprašyti 87 nuostatose, vadinamose kontrolės priemonėmis. Daugiau informacijos apie ES debesijos kodeksą, atsisiųsti visą kodekso kopiją ir gauti naujausią informaciją galite https://eucoc.cloud/en/home
Kodėl tai svarbu "Cloudflare" klientams?
Praėjusių metų gegužę "Cloudflare" prisijungė prie ES Debesijos elgsenos kodekso generalinės asamblėjos. Generalinės asamblėjos nariai praeina vertinimą, kurio metu pateikia deklaraciją, kad laikosi ES Debesijos elgsenos kodekso, ir, akredituotai stebėsenos įstaigai "SCOPE Europe" atlikus nepriklausomą vertinimo procesą, gauna ES Debesijos elgsenos kodekso ženklą.
Bendrovė "Cloudflare" baigė vertinimo procesą ir patikrino 47 debesijos paslaugas.
"Cloudflare" paslaugoms taikomas ES debesų kompiuterijos elgesio kodeksas:
Paslaugos patvirtino, kad laikosi ES Debesijos aplinkai taikomo elgesio kodekso,
Patikrinimo identifikacinis numeris: 2023LVL02SCOPE4316.
Jei norite gauti daugiau informacijos, apsilankykite https://eucoc.cloud/en/public-register
Ir mes dar nebaigėme...
ES elgesio kodeksas debesijos aplinkai - tai naujausias privatumo patvirtinimas, kuriuo papildėme augantį privatumo sertifikatų sąrašą. Prieš dvejus metus "Cloudflare" buvo viena iš pirmųjų mūsų pramonės organizacijų, gavusių naująjį ISO/IEC 27701:2019 privatumo sertifikatą, ir pirmoji įmonė, gavusi interneto veiklos ir saugumo sertifikatą. Praėjusiais metais "Cloudflare" buvo sertifikuota pagal antrąjį tarptautinį privatumo standartą, susijusį su asmens duomenų tvarkymu - ISO/IEC 27018:2019. Visai neseniai, šių metų sausį, "Cloudflare" baigė metinį ISO auditą, kurį atliko trečiosios šalies auditorius "Shellman"; mūsų naująjį sertifikatą, apimantį ISO 27001:2013, ISO 27018:2019 ir ISO 27701:2019, klientai jau gali atsisiųsti iš "Cloudflare" prietaisų skydelio.
Ir dar daugiau! Kaip rašėme sausio mėn. duomenų apsaugos dienos tinklaraštyje, susidomėję stebime Pasaulinių tarpvalstybinio privatumo taisyklių (CBPR) sertifikavimo pažangą. Siūlomo vieno pasaulinio sertifikavimo gali pakakti, kad jame dalyvaujančios įmonės galėtų saugiai perduoti asmens duomenis iš vienos dalyvaujančios šalies į kitą visame pasaulyje, ir šiuo požiūriu jis jau sulaukė kelių Šiaurės Amerikos ir Azijos vyriausybių palaikymo, todėl atrodo labai perspektyvus.
"Cloudflare" sertifikatai
Sužinokite, kaip esami klientai gali atsisiųsti "Cloudflare" sertifikatų ir ataskaitų kopijas iš "Cloudflare" valdymo skydelio; nauji klientai jų taip pat gali paprašyti savo prekybos atstovo.
Naujausios informacijos apie mūsų sertifikatus ir ataskaitas rasite mūsų Pasitikėjimo centre..