Rozwiązania Microsoft w kontekście RODO

Przenosząc przetwarzanie danych do chmury, przenosisz część ryzyka związanego z przetwarzaniem danych na dostawcę chmury. Na jakie wsparcie w związku z wejściem w życie RODO mogą liczyć klienci Microsoft?

 

Microsoft zobowiązuje się do: przetwarzania danych zgodnie z instrukcją administratora, informowania administratora o przetwarzaniu danych przez podmioty trzecie, wsparcia administratora w zarządzaniu prośbami dotyczącymi danych, przestrzegania wymagań RODO odnośnie raportowania wycieków danych, wsparcia administratora danych za pomocą konsultacji oraz pomiaru wpływu ochrony danych, a także zapewnienia bezpieczeństwa przetwarzania.

 

Dlaczego chmura i dlaczego Microsoft?

Wszystko przetwarzane jest na jednej platformie

Centralizacja przetwarzania danych na jednej platformie to z jednej strony uproszczenie zarządzania, a z drugiej możliwość dokonania klasyfikacji oraz analizy danych. Microsoft oferuje wszelkie potrzebne funkcjonalności niezbędne do wdrożenia procedur zgodnie z wymaganiami RODO.

Maksimum ochrony, minimum wysiłku

Microsoft pozwala chronić dane dzięki wykorzystaniu wiodących technologii szyfrujących, które są monitorowane i aktualizowane na bieżąco. Dane i informacje zbierane globalnie przez Microsoft, po przeprowadzeniu analiz, używane są do tworzenia baz danych z nowymi zagrożeniami, co pozwala na minimalizację ryzyka potencjalnych ataków na infrastrukturę IT, platformy i aplikacje.

Podziel się ryzykiem

Microsoft pozwala na użycie usług, które są już zgodne ze złożonymi i międzynarodowymi standardami RODO, a poprzez przeniesienie przetwarzania danych do chmury, ryzyko związane z ich przetwarzaniem przenoszone jest w części na dostawcę.

 

Od czego zacząć?

INWENTARYZACJA DANYCH

Zidentyfikuj dane osobowe, które przechowujesz i zdefiniuj gdzie są przechowywane.

Dotyczy danych pozwalających
zidentyfikować osobę:
Zidentyfikuj gdzie te dane są przechowywane  Przykładowe rozwiązania
  • Imię i nazwisko
  • Adres e-mail
  • Wpisy w mediach społecznościowych
  • Informacje psychologiczne lub genetyczne
  • Informacje medyczne
  • Lokalizacja
  • Dane bankowe
  • Adres IP
  • Ciasteczka
  • Tożsamość kulturowa
  • E-maile
  • Dokumenty
  • Bazy danych
  • Usuwalne multimedia
  • Metadane
  • Logi
  • Back-up’y
  • Microsoft Azure
    Microsoft Azure Data Catalog
  • Enterprise Mobility + Security (EMS)
    Microsoft Cloud App Security
  • Dynamics 365
    Audit Data & User Activity
    Reproting & Analytics
  • Office & Office 365
    Data Loss Prevention
    Advanced Data Governance
    Office 365 eDiscovery
  • SQL Server and Azure SQL Database
    SQL Query Language
  • Windows & Windows Server
    Windows Search

 

ZARZĄDZANIE

Określ w jaki sposób dane są zarządzane i kto ma do nich dostęp.

Zarządzanie danymi (definiowanie
polityk, ról i zakresy obowiązków
w kontekście zarządzania i przetwarzania danych)
Klasyfikacja danych (organizacja
i oznaczanie danych dla zapewnienia
prawidłowego ich przetwarzania)
Przykładowe rozwiązania
  • W stanie spoczynku
  • Przetwarzanych
  • Przesyłanych
  • Przechowywanych
  • Odzyskanych
  • Archiwizowanych
  • Zachowywanych
  • Usuwanych
  • Rodzaje
  • Wrażliwość
  • Kontekst użycia
  • Właściciele
  • Administratorzy
  • Użytkownicy
  • Microsoft Azure
    Azure Active Directory
    Azure Information Protection
    Azure Role-Based Access Control (RBAC)
  • Enterprise Mobility + Security (EMS)
    Azure Information Protection
  • Dynamics 365
    Security Concepts
  • Office & Office 365
    Advanced Data Governance
    Journaling (Exchange Online)
  • Windows & Windows Server
    Microsoft Data Classification Toolkit

 

OCHRONA

Zaimplementuj narzędzia ochronne, aby zapobiec, wykryć i zaadresować obszary newralgiczne oraz potencjalne wycieki danych.

Zapobiegaj atakom (ochrona danych) Wykryj i zareaguj na wycieki danych Przykładowe rozwiązania
  • Fizyczna ochrona centrów danych
  • Bezpieczeństwo sieci
  • Bezpieczeństwo składowania
  • Bezpieczeństwo obliczeniowe
  • Zarządzanie tożsamością
  • Kontrola dostępu
  • Szyfrowanie
  • Mitygacja ryzyk
  • Monitorowanie systemu
  • Identyfikacja wycieku
  • Definiowanie konsekwencji
  • Planowanie akcji naprawczych
  • Odzyskiwanie utraconych danych
  • Powiadomienie DPA oraz klientów
  • Microsoft Azure
    Azure Key Vault
    Azure Security Center
    Azure Storage Services Encryption
  • Enterprise Mobility + Security (EMS)
    Azure Active Directory Premium
    Microsoft Intune
  • Office & Office 365
    Advanced Threat Protection
    Threat Intelligence
  • SQL Server and Azure SQL Database
    Transparent data encryption
    Always Encrypted
  • Windows & Windows Server
    Windows Defender Advanced Threat Protection
    Windows Hello
    Device Guard

 

RAPORTOWANIE

Utrzymuj niezbędną dokumentację, zarządzaj wnioskami o zmianę w danych oraz raportami wycieku danych.

Prowadzenie rejestru
– 
utrzymywanie przez organizacje
rejestrów zawierających:
Narzędzia raportujące
– 
wdrożenie możliwości
raportowania
Przykładowe rozwiązania
  • Cele przetwarzania danych
  • Klasyfikację danych osobowych
  • Listę osób trzecich mających dostęp do danych
  • Wykaz zabezpieczeń technicznych i organizacyjnych
  • Okresy przetrzymywania danych
  • Dokumentacji usługodawcy chmurowego (przetwarzającego dane)
  • Logów audytowych
  • Notyfikacji
  • Próśb klientów odnośnie przetwarzania ich danych
  • Sposobu administrowania danych
  • Audytów zgodności z RODO
  • Microsoft Trust Center
    Service Trust Portal
  • Microsoft Azure
    Azure Auditing & Logging
    Azure Data Lake
    Azure Monitor
  • Enterprise Mobility + Security (EMS)
    Azure Information Protection
  • Dynamics 365
    Reporting & Analytics
  • Office & Office 365
    Service Assurance
    Office 365 Audit Logs
    Customer Lockbox
  • Windows & Windows Server
    Windows Defender Advanced Threat Protection

 

Jak Office 365 może Ci pomóc już dziś?

Office 365 eDiscovery pozwoli Ci wyświetlić wszystkie lokalizacje w środowisku Office 365, w których konkretne dane lub kombinacje danych są przechowywane (np. PESEL, imię i nazwisko, adres, NIP itp.). Dzięki temu, że Office 365 przechowuje wszystkie dane na jednej platformie ich inwentaryzacja jest szybka i kompletna, nawet w przypadku dużych organizacji, w których dane te są dość mocno rozproszone.

Advanced Data Governance pozwoli natomiast na automatyczne oznaczanie danych w zależności od ich kategorii (np. klient wyraził zgodę wyłącznie na przetwarzanie jego danych w związku z jedną transakcją). Dzięki odpowiedniemu oznaczeniu danych osobowych, będą one automatycznie wykasowane po zakończeniu transakcji (jak w powyższym przykładzie).

Takie rozwiązanie zdejmuje odpowiedzialność z pracowników, a jednocześnie znacząco obniża ryzyko niepoprawnego zarządzania danymi. Co więcej, poprzez oznaczanie plików, pracownik już przed otwarciem widzi, że zawierają one dane osobowe.

Azure Information Protection (AIP) pozwala na szyfrowanie oraz blokowanie dostępu do plików w przypadku ich wycieku lub nietypowego użytku. Zasada ta dotyczy wszystkich dokumentów w środowisku Office 365, które zawierają dane osobowe.

Advanced Security Management to rozwiązanie do flagowania wszelkich anomalii zaistniałych w środowisku, np. ściąganie dużej ilości danych lub zwiększenie przepływu danych.

Office 365 Audit Logs pozwala na zlokalizowanie miejsca, z którego nastąpił wyciek danych. Dodatkowo umożliwia śledzenie cyklu życia pliku, tj. w jakich lokalizacjach się znajdował, przez kogo był otwierany, kto go modyfikował, a także jaki był zakres tej modyfikacji.

 

Źródło: Microsoft

 

Więcej informacji na ten temat:

Wróć