Cloudflare saņem jaunu ES mākoņdatošanas rīcības kodeksa privātuma sertifikātu, kas apliecina atbilstību GDPR, lai vairotu uzticību mākoņpakalpojumiem
Tiešsaistes privātuma tiesību akti atšķiras dažādās valstīs, un pēdējos gados ir daudz rakstīts par pārrobežu datu pārsūtīšanu. Daudzos tiesību aktos ir noteikts, ka pirms personas datu pārsūtīšanas visā pasaulē ir jāievieš atbilstoši aizsardzības pasākumi, kā tas ir Eiropas Vispārīgās datu aizsardzības regulas (GDPR) gadījumā. Likums pamatoti izvirza augstas prasības tam, cik rūpīgi organizācijām būtu jāizturas pret personas datiem, un, izstrādājot regulu, likumdevēji paredzēja personas datu robežu šķērsošanu: Regulas V sadaļa ir speciāli veltīta šādai datu pārsūtīšanai.
Lai gan pārredzamība par to, kur tiek glabāta personiskā informācija, ir svarīga, tikpat svarīgi ir arī tas, kā tā tiek apstrādāta un kā tā tiek pasargāta un glabāta drošībā. Mēs Cloudflare ticam, ka aizsargājam personiskās informācijas konfidencialitāti visā pasaulē, un mēs saviem klientiem sniedzam rīkus un izvēles iespējas par to, kā un kur tiek apstrādāti viņu dati. Vienkāršāk sakot, mēs pieprasām, lai dati tiktu apstrādāti un aizsargāti vienādi, droši un rūpīgi neatkarīgi no tā, vai mūsu klienti izvēlas pārsūtīt datus visā pasaulē vai glabāt tos vienā valstī.
Un šodien mēs ar lepnumu paziņojam, ka esam veiksmīgi pabeiguši novērtēšanas braucienu un esam saņēmuši ES mākoņdatošanas kodeksa atbilstības zīmi, kas apliecina mūsu atbilstību GDPR, aizsargājot personas datus mākoņdatošanas vidē visā pasaulē.
Svarīgi ir tas, kā tiek apstrādāta personiskā informācija, nevis tikai tas, kur pasaulē tā tiek glabāta.
Tie paši GDPR likumdevēji arī paredzēja, ka organizācijas arī vēlēsies personas datus apstrādāt un aizsargāt konsekventi, pārredzami un droši. 40. panta "Rīcības Kodekss" sākums:
«Dalībvalstis, uzraudzības iestādes, Padome un Komisija veicina kodeksu izstrādi, lai nodrošinātu šīs regulas atbilstošu piemērošanu, ņemot vērā dažādu datu apstrādes nozaru īpatnības un mikrouzņēmumu, mazo un vidējo uzņēmumu īpašās vajadzības».
Rīcības kodeksu izmantošana, lai pierādītu atbilstību privātuma tiesību aktiem, arī ir sena. Tāpat kā GDPR, arī 1995. gada revolucionārajā ES Datu aizsardzības direktīvā, oficiāli - Direktīva 95/46/EK, iekļāva noteikumu par Kopienas kodeksu projektiem, kas jāiesniedz valsts iestādēm, un ka šos kodeksus oficiāli jāapstiprina Eiropas Savienības oficiālajām iestādēm.
Oficiālais GDPR rīcības kodekss
Pēc GDPR pieņemšanas 2016. gadā pagāja veseli pieci gadi, līdz tika oficiāli apstiprināts pirmais rīcības kodekss. Visbeidzot, 2021. gada maijā Eiropas Datu aizsardzības kolēģija - grupa, ko veido visu Eiropas Savienības valstu datu aizsardzības iestāžu pārstāvji - apstiprināja ES mākoņpakalpojumu sniedzēju rīcības kodeksu (saīsinājumā "ES mākoņpakalpojumu kodekss") kā pirmo oficiālo GDPR rīcības kodeksu mākoņpakalpojumu sniedzējiem. ES mākoņdatošanas kodeksu kolēģijai iesniedza Beļģijas uzraudzības iestāde organizācijas SCOPE Europe vārdā, kas vairākus gadus ir strādājusi pie kodeksa izstrādes, tostarp kopā ar Eiropas Komisiju, mākoņdatošanas kopienas locekļiem un Eiropas datu aizsardzības iestādēm.
Kodekss ir sistēma mākoņpakalpojumu pircējiem un sniedzējiem. Klienti var viegli saprast, kā mākoņpakalpojumu sniedzējs rīkosies ar personisko informāciju. Mākoņpakalpojumu sniedzējiem tiek veikts neatkarīgs novērtējums, lai mākoņpakalpojumu pircējiem pierādītu, ka tie apstrādās personisko informāciju drošā veidā un kodeksā noteiktajā kārtībā. ES mākoņpakalpojumu kodeksa gadījumā un tikai tāpēc, ka kodekss ir oficiāli apstiprināts, mākoņpakalpojumu, kuri atbilst kodeksam, pircēji zinās, ka mākoņpakalpojumu sniedzējs apstrādā klientu personas datus atbilstoši GDPR.
Uz ko attiecas kodekss?
Kodeksā ir noteiktas skaidras prasības mākoņpakalpojumu sniedzējiem, lai īstenotu GDPR 28. pantu ("Apstrādātājs") un saistītos pantus. To saturs aptver datu aizsardzības politiku, kā arī tehniskos un organizatoriskos drošības pasākumus. Dokumentā ir sadaļas, kas attiecas uz pakalpojumu sniedzēja noteikumiem un nosacījumiem, konfidencialitāti un uzskaites kārtošanu, klientu revīzijas tiesībām, reaģēšanu uz iespējamiem datu aizsardzības pārkāpumiem un kā pakalpojumu sniedzējs izturas pret apakšapstrādi - kad personas datu apstrādē līdztekus primārajam datu apstrādātājam ir iesaistīta trešā persona - un daudz ko citu.
Sistēma aptver arī to, kā personas datus var likumīgi pārsūtīt starptautiskā mērogā, lai gan ES mākoņdatošanas kodekss attiecas uz to, lai nodrošinātu, ka tas notiek saskaņā ar tiesību aktiem, kodekss pats par sevi nav "aizsargpasākums" vai rīks datu pārsūtīšanai uz trešām valstīm. Nākotnē atjauninot kodeksu, šo funkciju varētu paplašināt ar papildu moduli, taču 2023. gada martā tas vēl tiek izstrādāts.
Aplūkosim sīkāk dažas ES mākoņdatošanas kodeksa prasības un to, kā tas var apliecināt atbilstību GDPR.
Pirmais piemērs
Viena no kodeksa prasībām ir dokumentētas procedūras, lai palīdzētu klientiem veikt "datu aizsardzības ietekmes novērtējumu". Saskaņā ar GDPR tās ir:
"...novērtējot ierosināto pārstrādes darbību ietekmi uz personas datu aizsardzību." 35.1. Pants, GDPR
Tāpēc mākoņpakalpojumu sniedzējam ir jābūt izstrādātam rakstiskam procesam, lai atbalstītu klientus, kad tie veic savus novērtējumus. Sniedzot atbalstu klientam, pakalpojumu sniedzējs arī apliecina savu apņemšanos ievērot GDPR noteiktos stingros datu aizsardzības standartus. Cloudflare izpilda šo prasību un papildus atbalsta pārredzamību, publicējot sīkāku informāciju par personas datu apstrādē izmantotajiem apakšapstrādātājiem un novirzot klientus uz revīzijas ziņojumiem, kas pieejami Cloudflare paneļa vadības panelī.
GDPR ir vēl viena atsauce uz rīcības kodeksiem saistībā ar ietekmes uz datu aizsardzību novērtējumiem:
“«Atbilstību apstiprinātajiem rīcības kodeksiem ... pienācīgi ņem vērā, novērtējot veikto apstrādes darbību ietekmi ... jo īpaši, lai novērtētu ietekmi uz datu aizsardzību». 35.8. Pants, GDPR
Tāpēc, sagatavojot ietekmes novērtējumu, mākoņpakalpojumu klientam būtu jāapsver, vai pakalpojumu sniedzējs ievēro apstiprinātu rīcības kodeksu. Vēl viens veids, kā gan klientiem, gan mākoņpakalpojumu sniedzējiem gūt labumu, izmantojot rīcības kodeksu!
Otrais piemērs
Vēl viens kodeksa prasības piemērs ir tas, ka mākoņpakalpojumu sniedzējiem, nodrošinot šifrēšanas iespējas, tās ir efektīvi jāīsteno. Prasībā arī norādīts, ka tas jādara, izmantojot spēcīgas un pārbaudītas šifrēšanas metodes, ņemot vērā pašreizējo tehnikas līmeni un pienācīgi novēršot nesankcionētu piekļuvi klientu personas datiem. Šifrēšanai ir izšķiroša nozīme personas datu aizsardzībā mākoņos; bez šifrēšanas vai ar vāju vai novecojušu šifrēšanu nav iespējams nodrošināt privātumu un drošību. Tāpēc, pienācīgi izmantojot un testējot šifrēšanu, mākoņpakalpojumu sniedzēji palīdz izpildīt GDPR prasības par savu klientu personas datu aizsardzību.
Cloudflare īpaši lepojas ar savu veikumu: mēs esam nodrošinājuši efektīvu šifrēšanu, kas visiem mūsu klientiem ir pieejama bez maksas. Mēs palīdzam saviem klientiem izprast šifrēšanu, un pats galvenais - mēs paši izmantojam spēcīgus un pārbaudītus šifrēšanas algoritmus un metodes, lai aizsargātu savu klientu personas datus. Mums ir oficiāla zinātnieku un kriptogrāfu komanda, kas izstrādā un ievieš mūsdienīgus šifrēšanas protokolus, kuri paredzēti efektīvai aizsardzībai pret aktīviem un pasīviem uzbrukumiem, tostarp tādiem, kuros tiek izmantoti resursi, par kuriem zināms, ka tie ir pieejami valsts aģentūrām; mēs izmantojam arī uzticamas publisko atslēgu sertifikācijas iestādes un infrastruktūru. Vēl šomēnes mēs paziņojām, ka postkvantu kriptovalūtai jābūt bezmaksas, tāpēc mēs to iekļaujam bez maksas, uz visiem laikiem.
Vairāk informācijas
Kodeksā ir ietvertas prasības, kas aprakstītas 87 noteikumos, kurus sauc par kontrolēm. Varat uzzināt vairāk par ES mākoņtehnoloģiju mākoņtehnoloģiju kodeksu, lejupielādēt pilnu kodeksa kopiju un sekot līdzi jaunumiem vietnē https://eucoc.cloud/en/home
Kāpēc tas ir svarīgi Cloudflare klientiem?
Cloudflare pagājušā gada maijā pievienojās ES mākoņdatošanas ētikas kodeksa Ģenerālajai asamblejai. Ģenerālās asamblejas dalībnieki iziet novērtējumu, kas ietver deklarāciju par atbilstību ES mākoņdatošanas rīcības kodeksam, un pēc neatkarīga novērtēšanas procesa pabeigšanas, ko veic akreditēta uzraudzības iestāde SCOPE Europe, saņem ES mākoņdatošanas rīcības kodeksa atbilstības zīmi.
Cloudflare ir pabeidzis novērtēšanas procesu un pārbaudījis 47 mākoņpakalpojumus.
Cloudflare pakalpojumi, uz kuriem attiecas ES mākoņpakalpojumu rīcības kodekss:
ES mākoņa CoC verifikācijas ID: 2023LVL02SCOPE4316.
Pakalpojumiem ir apstiprināta atbilstība ES mākoņdatošanas pakalpojumu rīcības kodeksam, verifikācijas identifikācijas numurs: 2023LVL02SCOPE4316.Lai uzzinātu vairāk, lūdzu, apmeklējiet https://eucoc.cloud/en/public-register
Un mēs vēl neesam pabeiguši...
ES rīcības kodekss mākoņvidēm ir jaunākais privātuma apstiprinājums, kas pievienots mūsu pieaugošajam privātuma sertifikātu sarakstam. Pirms diviem gadiem Cloudflare bija viena no pirmajām organizācijām mūsu nozarē, kas saņēma jauno ISO/IEC 27701:2019 privātuma sertifikātu, un pirmais uzņēmums, kas saņēma tiešsaistes veiktspējas un drošības sertifikātu. Pagājušajā gadā Cloudflare tika sertificēta atbilstoši otrajam starptautiskajam privātuma standartam saistībā ar personas datu apstrādi - ISO/IEC 27018:2019. Pavisam nesen, šā gada janvārī, Cloudflare pabeidza ikgadējo ISO auditu, ko veica trešās puses auditors Shellman, un mūsu jaunais sertifikāts, kas aptver ISO 27001:2013, ISO 27018:2019 un ISO 27701:2019, tagad ir pieejams klientiem, lai to lejupielādētu no Cloudflare vadības paneļa.
Un vēl daudz kas gaidāms! Kā jau rakstījām savā Datu aizsardzības dienas blogā janvārī, mēs ar interesi sekojam līdzi tam, kā norit Globālo pārrobežu privātuma noteikumu (CBPR) sertifikācijas process. Ierosinātais vienotais globālais sertifikāts var būt pietiekams, lai iesaistītie uzņēmumi varētu droši pārsūtīt personas datus starp iesaistītajām valstīm visā pasaulē, un to jau ir atbalstījušas vairāku Ziemeļamerikas un Āzijas valstu valdības, un šajā ziņā izskatās ļoti daudzsološs.
Cloudflare sertifikāti
Uzziniet, kā esošie klienti var lejupielādēt Cloudflare sertifikātu un pārskatu kopijas no sava Cloudflare vadības paneļa; jaunie klienti tos var pieprasīt arī no sava tirdzniecības pārstāvja.
Lai iegūtu jaunāko informāciju par mūsu sertifikātiem un pārskatiem, apmeklējiet mūsu Uzticības centru.