ADQ


Skontaktuj się z nami

 

Masz pytania?

Zadzwoń lub wypełnij formularz kontaktowy.


Pomocy zdalna

 

Potrzebujesz pomocy zdalnej?

Uruchom sesję zdalną klikając na ten link


Raportowanie w RODO

 

Raportowanie: podejmowanie działań w odpowiedzi na wnioski o udostępnienie danych, raportowanie naruszeń danych osobowych oraz prowadzenie niezbędnej dokumentacji
RODO wyznacza nowe standardy w zakresie przejrzystości, rozliczalności i ewidencji. Będą Państwo musieli działać w sposób bardziej transparentny w zakresie nie tylko przetwarzania danych osobowych, ale również sposobu aktywnego prowadzenia dokumentacji definiującej stosowane przez Państwa procesy i wykorzystanie danych osobowych.

 

Ewidencja

 

Organizacje przetwarzające dane osobowe będą musiały prowadzić ewidencję w zakresie celów przetwarzania; kategorii przetwarzanych danych osobowych, tożsamości osób trzecich, którym udostępniane są dane, czy (i które) inne kraje otrzymują dane osobowe oraz podstawy prawnej takiego przekazywania danych, działań organizacyjnych i technicznych związanych z bezpieczeństwem oraz terminów zachowywania danych dotyczących poszczególnych zbiorów danych. Jednym ze sposobów na osiągnięcie tego celu jest korzystanie z narzędzi do audytowania, które mogą pomóc w zapewnieniu, aby wszelkie przetwarzanie danych – bez względu na to, czy jest to gromadzenie, wykorzystywanie, udostępnianie lub inne – było śledzone i rejestrowane.

 

W ramach usług chmurowych Microsoft dostępne są zagnieżdżone usługi w zakresie audytowania, które mogą pomóc Państwu spełnić ten standard.

 

Azure, Office 365 i Dynamics 365

 

Na portalu Service Trust Portal można znaleźć wyczerpujące informacje na temat poszczególnych rozwiązań Azure, Office 365 i Dynamics 365 w zakresie zapewnienia zgodności z obowiązującymi przepisami, bezpieczeństwa, ochrony danych osobowych i powiernictwa, w tym raportów i poświadczeń (certyfikatów) zgodności. Sporządzane przez osoby trzecie niezależne raporty z audytu i raporty na temat oceny ładu korporacyjnego (zarządzania), zarządzania ryzykiem i zapewnienia zgodności z obowiązującymi przepisami (GRC – governance, risk management, compliance) pomagają Państwu otrzymywać aktualne informacje na temat zgodności usług chmurowych Microsoft z globalnymi standardami, które są istotne dla Państwa organizacji. Dokumenty dostępne na portalu Trust mogą pomóc Państwu zrozumieć, w jaki sposób usługi chmurowe Microsoft zabezpieczają Państwa dane oraz w jaki sposób mogą Państwo zarządzać bezpieczeństwem danych i zapewnieniem zgodności z obowiązującymi przepisami Państwa usług chmurowych.

 

Azure

 

Audytowanie i rejestrowanie zdarzeń dotyczących bezpieczeństwa oraz powiązanych z nimi alarmów stanowią ważne elementy skutecznej strategii w zakresie bezpieczeństwa danych.

Funkcjonalność platformy Azure w zakresie rejestrowania i audytowania umożliwia Państwu:

 

  • Tworzenie ścieżki rewizyjnej dla aplikacji uruchamianych na platformie Azure i maszyn wirtualnych tworzonych za pomocą Azure Virtual Machines Gallery.
  • Wykonywanie scentralizowanej analizy dużych zbiorów danych poprzez gromadzenie zdarzeń dotyczących bezpieczeństwa pobieranych z infrastruktury Azure funkcjonującej jako usługa (IaaS) i platformy funkcjonującej jako usługa (PaaS). Następnie za pomocą narzędzia Azure HDInsight można agregować i analizować te zdarzenia oraz eksportować je do lokalnych systemów SIEM celem bieżącego monitorowania.
  • Monitorowanie raportów na temat dostępu i użytkowania poprzez wykorzystywanie rejestrowania przez platformę Azure działań administracyjnych, w tym dostępu do systemu, celem tworzenia ścieżki rewizyjnej na wypadek nieuprawnionych lub przypadkowych zmian. Mogą Państwo pobierać rejestry rewizyjne (audit logs) dotyczące użytkownika Azure Active Directory oraz korzystać z podglądu raportów na temat dostępu i użytkowania.
  • Eksportowanie alarmów bezpieczeństwa do lokalnych systemów SIEM za pomocą narzędzia Azure Diagnostics, które może zostać skonfigurowane do gromadzenia rejestrów zdarzeń dotyczących bezpieczeństwa w systemie Windows oraz innych rejestrów związanych z bezpieczeństwem.
  • Pozyskiwanie za pomocą platformy Azure Marketplace oferowanych przez inne firmy narzędzi w zakresie monitorowania bezpieczeństwa, raportowania i alarmowania.

 

Microsoft Azure Monitor zapewnia organizacjom łatwy podgląd i zarządzanie wszystkimi zadaniami w zakresie monitorowania danych za pomocą centralnego kokpitu menedżerskiego. Uzyskują Państwo dostęp do szczegółowych, aktualnych danych na temat wydajności i wykorzystania zasobów, dostęp do rejestru działań, który śledzi każde wywołanie API oraz rejestrów diagnostycznych, które pomagają śledzić problemy pojawiające się w Państwa zasobach na platformie Azure. Ponadto, można konfigurować alarmy i podejmować zautomatyzowane działania. Azure Monitor współpracuje z Państwa dotychczas używanymi narzędziami, więc w wyniku połączenia Azure Monitor z już Państwu znanymi narzędziami analitycznymi uzyskają Państwo bogatą, kompleksową (end-to-end) funkcjonalność w zakresie monitorowania i analityki.

 

Office i Office 365

 

  • Service Assurance w ramach Office 365 Security & Compliance Center zapewnia Państwu dostęp do dogłębnej wiedzy potrzebnej do przeprowadzania ocen ryzyka, obejmującej szczegółowe informacje na temat raportów Microsoft na temat zgodności z obowiązującym przepisami i transparentny status zaudytowanych mechanizmów kontrolnych, w tym:
    • Stosowane przez Microsoft praktyki w zakresie bezpieczeństwa danych klientów przechowywanych na platformie Office 365.
    • Sporządzane przez osoby trzecie niezależne raporty z audytu platformy Office 365.
    • Szczegółowe dane na temat wdrożenia i testowania zabezpieczeń, ochrony danych osobowych i mechanizmów kontroli zgodności z obowiązującymi przepisami, które pomagają klientom zapewnić zgodność ze standardami, przepisami prawa i regulacjami dotyczącymi rożnych branż, takimi jak ISO 27001 i ISO 27018, jak również z ustawą Health Insurance Portability and Accountability Act (HIPAA).
  • Rejestry rewizyjne (audit logs) Office 365 pozwalają na monitorowanie i śledzenie działań użytkowników i administratorów w przekroju poszczególnych zadań realizowanych na platformie Office 365, co pomaga wcześniej wykrywać i badać problemy dotyczące bezpieczeństwa i zapewnienia zgodności z obowiązującymi przepisami. Aby rozpocząć rejestrowanie działań użytkowników i administratorów w Państwa organizacji należy użyć strony wyszukiwania rejestru rewizyjnego Office 365. Po sporządzeniu rejestru rewizyjnego przez Office 365 można przeszukiwać ten rejestr celem wyszukiwania szerokiej gamy działań, w tym przesłań danych do OneDrive lub SharePoint Online lub resetów haseł użytkowników. Program Exchange Online można skonfigurować pod kątem śledzenia zmian wprowadzanych przez administratorów i w ten sposób śledzić, kiedy dostęp do skrzynki pocztowej uzyskuje ktoś inny niż osoba będąca właścicielem skrzynki pocztowej.
  • Customer Lockbox zapewnia Państwu kontrolę nad sposobem uzyskiwania dostępu do Państwa danych przez inżyniera serwisowego Microsoft w trakcie sesji pomocy serwisowej. W przypadku, gdy inżynier potrzebuje uzyskać dostęp do Państwa danych celem usunięcia usterek i rozwiązania problemu, narzędzie Customer Lockbox pozwala Państwu na zatwierdzenie lub odrzucenie wniosku o uzyskanie dostępu. Jeżeli Państwo zatwierdzą wniosek, wówczas inżynier może uzyskać dostęp do danych. Każdy wniosek ma termin wygaśnięcia, a kiedy problem zostanie rozwiązany, wniosek jest zamykany i prawo dostępu zostaje cofnięte.

 

Enterprise Mobility + Security (EMS)

 

Azure Information Protection zapewnia bogatą funkcjonalność w zakresie rejestrowania i raportowania celem umożliwienia przeprowadzania analiz wskazujących, w jaki sposób są rozprowadzane dane wrażliwe. Funkcja śledzenia dokumentów pozwala użytkownikom i administratorom na monitorowanie działań dotyczących udostępnianych danych oraz cofanie praw dostępu w przypadku wystąpienia nieoczekiwanych zdarzeń. Azure Information Protection zapewnia również funkcjonalność w zakresie analizowania nieuporządkowanych danych przechowywanych na dyskach sieciowych, stronach i bibliotekach SharePoint, repozytoriach sieciowych oraz na dyskach komputerów stacjonarnych lub przenośnych. Mając dostęp do plików można skanować zawartość każdego pliku i zdecydować, czy określone klasy danych osobowych występują w pliku. Następnie można sklasyfikować i oznaczyć każdy plik etykietą w zależności od rodzaju zawartych w nim danych. Ponadto, można generować raporty na temat tego procesu, zawierające informacje na temat przeskanowanych plików, procedur klasyfikacyjnych, które okazały się zgodne z zawartością plików oraz zastosowanej etykiety.

 

Windows i Windows Server

 

Windows Event Log zapewnia bogatą funkcjonalność w zakresie rejestrowania, która umożliwia administratorom uzyskanie podglądu zarejestrowanych informacji na temat działań systemu operacyjnego, aplikacji i użytkowników. Ten system rejestrów można skonfigurować pod kątem audytu szczegółowych działań użytkowników i aplikacji, w tym, na przykład, dostępu do plików, użytkowania plików oraz zmian procedur. Ponadto, Windows Event Log umożliwia administratorom przekazywanie zdarzeń przesyłanych przez stacje klienckie i serwery do centralnej lokalizacji w celach związanych z raportowaniem i audytowaniem.

 

Narzędzia do raportowania i dokumentacja usług chmurowych

 

Podobnie jak w przypadku każdej innej bazy danych lub systemu przetwarzającego dane osobowe, korzystanie przez Państwa z usług chmurowych powinno być dobrze rejestrowane i dobrze rozumiane przez Państwa organizację. Na przykład, Państwa organizacja będzie musiała rozumieć rolę danych osobowych przechowywanych przez dostawców usług w imieniu Państwa organizacji; relację kontraktową dotyczącą współpracy z tymi dostawcami usług; oraz co się stanie z danymi, kiedy relacja usługowa się zakończy.

Pomagamy Państwu zarządzać tymi informacjami poprzez utrzymywanie prostych i jasnych narzędzi do raportowania na temat Państwa konta w chmurze Microsoft, wraz z bogatą dokumentacją na temat naszych usług chmurowych opisującą, w jaki sposób funkcjonują oraz na temat naszej kontraktowej relacji z Państwem.

 

Powiadamianie osób, których dane dotyczą

 

RODO zmieni wymagania w zakresie ochrony danych i wprowadzi bardziej restrykcyjne obowiązki dla podmiotów przetwarzających dane i administratorów danych dane w zakresie powiadamiania o naruszeniach ochrony danych osobowych skutkujących ryzykiem naruszenia praw i wolności osób fizycznych. Na mocy nowego rozporządzenia, zgodnie z Artykułami 17, 31 i 32, podmiot przetwarzający dane musi powiadomić administratora danych o każdym takim naruszeniu ochrony danych osobowych bez zbędnej zwłoki po uzyskaniu informacji o takim fakcie.

Po uzyskaniu informacji o naruszeniu ochrony danych osobowych administrator danych musi powiadomić stosowny organ nadzorczy w ciągu 72 godzin. Jeżeli naruszenie może powodować duże ryzyko naruszenia praw i wolności osób fizycznych, wówczas administratorzy danych będą również mieli obowiązek powiadomienia bez zbędnej zwłoki osób, których dane dotyczą, o takim naruszeniu. Oznacza to, że jeżeli jako administrator danych korzystają Państwo z usług podmiotu przetwarzającego dane, wówczas muszą Państwo zapewnić, aby Państwa umowy zawierały jasno sformułowane oczekiwania dotyczące powiadomień o ewentualnych naruszeniach ochrony danych osobowych.

W odniesieniu do zdarzeń za które Microsoft ponosi część lub całą odpowiedzialność za podjęcie działań, opracowaliśmy szczegółowe procesy Incident Security Incident Response Management, takie jak opisane dla platform Azure, Office 365 i Dynamics 365. Ponadto, nasze zobowiązania wynikające z RODO znajdują potwierdzenie w naszym umowach.

Oferowane przez Microsoft produkty i usługi – takie jak Azure, Dynamics 365, Enterprise Mobility + Security, Office 365 i Windows 10 – są już dzisiaj wyposażone w rozwiązania, które pomogą Państwu wykrywać i oceniać zagrożenia i naruszenia ochrony danych osobowych oraz spełnić wynikające z RODO obowiązki w zakresie powiadamiania o naruszeniach ochrony danych osobowych.

 

Obsługa wniosków osoby, której dane dotyczą

 

Do najważniejszych elementów RODO należą prawa „osoby, której dane dotyczą” określone w artykułach rozdziału 2: Informacje i dostęp do danych osobowych, rozdziału 3: Sprostowanie i usunięcie danych, oraz rozdziału 4: Prawo do sprzeciwu oraz zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach.

Powyższe obowiązki mogą wpływać na Państwa środowisko informatyczne i działalność jako administratora danych oraz na środowisko informatyczne i działalność dowolnych dostawców usług, których Państwo zaangażują w roli podmiotów przetwarzających dane.

Właściwe zarządzanie danymi stanowi kluczowy element przepisów prawa dotyczących ochrony danych osobowych i jest zalecane w większości przepisów prawa i regulacji (rozporządzeń) w zakresie zabezpieczenia danych i ochrony danych osobowych. Kluczowym elementem zarządzania danymi na mocy RODO jest powołanie Inspektora Ochrony Danych (IOD) w szczególnych okolicznościach określonych w artykułach 35, 36 i 37. IOD musi być zaangażowany we wszystkie sprawy związane z ochroną danych osobowych.

Drugim ważnym elementem zarządzania danymi zgodnie RODO jest przeprowadzenie weryfikacji zgodności z obowiązującymi przepisami w zakresie ochrony danych osobowych celem dokonania oceny skutków dla ochrony danych osobowych (DPIA) pod kierunkiem IOD. Artykuł 33a w szczególności mówi o wymogu przeprowadzenia przez administratora danych, w ciągu dwóch lat od dokonania oceny skutków dla ochrony danych osobowych, weryfikacji zgodności z obowiązującymi przepisami celem wykazania, że przetwarzanie danych osobowych jest realizowane zgodnie z oceną skutków dla ochrony danych osobowych (DPIA).

Microsoft Trust Center udostępnia informacje, w jaki sposób możemy zapewnić Państwu wsparcie na Państwa drodze do RODO, w tym rozdział specjalny przedstawiający poglądy i zobowiązania Microsoft dotyczące RODO.

Serwery

Serwery

Sieci

Sieci komputerowe

Bezpieczeństwo

 

Bezpieczenstwo IT