Prezetacja Piotra Kawczyńskiego z FORSAFE sp. z o.o. przedstawiona podczas Konwentu Ochrony Danych i Informacji 2015

1. Chmura nie ukradnie ci pracy
Piotr Kawczyński – FORSAFE Sp. z o.o.
Łódź, 5 listopad 2015r.
IV Konwent Ochrony Danych i Informacji
2015

2. Kiedy mamy styczność z chmurą?
Social Media
Sklepy
internetowe
Bazy danych
Poczta
Zdjęcia i filmy
Konta bankowe
Aplikacje

3. Standardowy model przetwarzania danych
Nieprzewidziane
sytuacje
Dostęp do
danych przez
osoby
nieuprawnione
Ryzyko
kradzieży
Kopie
zapasowe
Konieczność
fachowej
obsługi
Wirusy,
robaki,
konie
trojańskie

4. Model przetwarzania danych w chmurze
Zabezpieczenia
przed
wyciekiem
danych
Zabezpieczone,
klimatyzowane
pomieszczenia
Automatyczne
kopie
zapasowe
Redundancja
zasilania i
komunikacji
Gwarancja
bezpieczeństwa
Obsługa
24/365

5. Definicja Cloud Computing
Cloud Computing to
marketingowe
określenie
dostarczania na
żądanie
Infrastruktury (Iaas)
Platformy (PaaS)
Aplikacji (SaaS)
w konsumpcyjnym
modelu rozliczania

6. Co przenosimy do chmury?
Chmura
Strona
WWW
Kopie,
archiwizacja
E-mail
Narzędzia
Office
ERP, CRM,
HR
Środowisko
testowe

7. Porównanie kosztów
Koszty
Początkowe
Aktualizacje
Modernizacje
Obsługa IT
Rachunki
Kopie zapasowe
Stacjonarnie
Zakup licencji, komputerów, serwerów,
infrastruktury
Zakup nowych wersji oprogramowania
oraz koszty wdrożenia
Koszty modernizacji
Obsługa serwisowa
Koszty energii elektrycznej oraz łącza
internetowego
Koszty licencji lub obsługi,
odpowiedzialność
Chmura
Abonament
0 zł
0 zł
0 zł
0 zł
0 zł

8. Active Directory w Azure

9. Active Directory w Azure

10. Porównanie kosztów
Usługa Active Directory w modelu IaaS (koszt roczny)
Data Center / Kolokacja Chmura
wejściowe
serwer 3 000,00 zł 0,00 zł
oprogramowanie 9 800,00 zł 0,00 zł
instalacja i konfiguracja 1 200,00 zł 1 200,00 zł
UPS 800,00 zł 0,00 zł
roczne
prąd 2 400,00 zł 0,00 zł
internet 2 400,00 zł 0,00 zł
AV 3 800,00 zł 0,00 zł
support 7 200,00 zł 7 200,00 zł
abonament 0,00 zł 1 320,00 zł
suma: 30 600,00 zł 9 720,00 zł

11. Porównanie kosztów

12. Porównanie kosztów
Oprogramowanie sprzedażowe w modelu SaaS (koszt roczny)
Data Center / Kolokacja Chmura
wejściowe
serwer 3 000,00 zł 0,00 zł
oprogramowanie systemowe 9 800,00 zł 0,00 zł
oprogramowanie ERP 9 420,00 zł 20 580,00 zł
instalacja i konfiguracja 2 400,00 zł 2 400,00 zł
UPS 800,00 zł 0,00 zł
roczne
prąd 2 400,00 zł 0,00 zł
internet 2 400,00 zł 0,00 zł
AV 3 800,00 zł 0,00 zł
support 7 200,00 zł 7 200,00 zł
abonament 0,00 zł 1 320,00 zł
suma: 41 220,00 zł 31 500,00 zł

13. Status podmiotów przetwarzających dane w chmurze?
Użytkownik
chmury - ADO
Dostawca
usługi -
procesor

14. Status podmiotów przetwarzających dane w chmurze?
ADO
• Podmiot decydujący o celach i środkach
przetwarzania danych
Procesor
• Podmiot przetwarzający dane na jego
rzecz (zlecenie)

15. Obowiązki ADO
ADO
Kontrola w zakresie
przekazywania
danych
Wskazanie miejsc w
których dane są
przetwarzane
Szyfrowanie
transmisji danych
Szyfrowanie danych
lub fizyczne
oddzielenie od
danych innych ADO
Wykonywanie kopii
zapasowych

16. Obowiązki ADO
Prowadzenie dokumentacji przetwarzania danych
Możliwość powołania ABI
Upoważnienie osób
Wdrożenie adekwatnych zabezpieczeń do kategorii
przetwarzanych danych

17. Łańcuch powierzeń
• ADO
Powierzenie
• Procesor
Podpowierzenie
• Subprocesor
Dalsze
podpowierzenie

18. Użytkownik chmury
ADO
•Ponosi odpowiedzialność za
działanie dostawcy usługi.
•Ma posiadać wiedzę nt. wszystkich
podwykonawców.
•Udziela zgody na dalsze powierzenia.

19. Umowa powierzenia
Umowa
powierzenia
Zakres i cel
przetwarzania
Oświadczenie
ADO i
zobowiązania
procesora
Uprawnienia
kontrolne
Obowiązki
informacyjne
Procesor > ADO
Odpłatność i
kary umowne
Podpowierzenia
Usuwanie i zwrot
danych
Okres
obowiązywania
umowy

20. Błędy w umowach dot. przetwarzania danych w
chmurze
1. Przetwarzający ponosi odpowiedzialność odszkodowawczą względem
Administratora danych wyłącznie w zakresie strat rzeczywiście
poniesionych przez Administratora danych, ograniczoną do sumarycznej
kwoty wniesionej przez Administratora Danych na podstawie opłaconych
faktur za usługę udostępnienia dostępu do aplikacji X. Przetwarzający nie
ponosi odpowiedzialności za utracone przez Administratora Danych
korzyści.
2. W celu zagwarantowania prawidłowej realizacji Umowy Administrator
danych upoważnia Przetwarzającego do przekazania danych
podwykonawcom.
3. Przetwarzający oświadcza, że wszystkie powierzone mu dane, w tym
informacje stanowiące dane osobowe, są przechowywane w
serwerowniach zewnętrznych, wydzierżawionych na terenie Europejskiego
Obszaru Gospodarczego.

21. Błędy w umowach dot. przetwarzania danych w
chmurze
• Zależy nam na zrobieniu porządku w stosunku do GIODO, a nie w
stosunku do naszych klientów, bo oni nie wymagają w ogóle takich umów.
Od 4 lat nikt nie wymagał podpisywania skomplikowanych umów, nasz
system X skierowany jest dla małych firm.
• Odpowiadając na proste pytanie - tak chcemy zrobić porządek, tak, aby
wszystkie ustalenia, umowy powierzenia danych były zgodne z wytycznymi
GIODO.
• Nie obsługujemy firm, które wymagają od nas wyrafinowanych,
skomplikowanych umów powierzenia danych. Więc nie jest to nam
potrzebne. Analizowaliśmy również umowy dużych serwerowni polskich i
nikt z nich nie bierze na siebie odpowiedzialności bo nikt za 300zł rocznie
nie będzie nadstawiał całej firmy.


22. Błędy w umowach dot. przetwarzania danych w
chmurze
• W jaki sposób dane zabezpieczone są przed utratą?
• Kopie bezpieczeństwa przechowywane są na wydzielonej ze struktury
podstawowej przestrzeni dyskowej, niezależnej od podstawowych
serwerów X.
• W przypadku zakończenia korzystania z X i braku płatności ze strony
klienta, konto może zostać trwale usunięte wraz ze wszystkimi danymi i
kopiami zapasowymi.

23. Błędy w umowach dot. przetwarzania danych w
chmurze
W jaki sposób zabezpieczacie moje dane?
1. szyfrowana transmisję danych,
2. zabezpieczenie dostępu do systemu hasłem co najmniej 8 znakowym,
które może ulegać zmianie co 30 dni,
3. tworzenie kopii bezpieczeństwa danych przechowywanej na serwerze
znajdującym się na terenie Europejskiego Obszaru Gospodarczego,
4. formalne powierzenie przetwarzania danych osobowych na podstawie
pisemnej umowy,
5. kontrolę zapisów dzięki automatycznemu odnotowywaniu informacji o
tym jakie dane i przez kogo zostały wprowadzone do systemu.

24. Błędy w umowach dot. przetwarzania danych w
chmurze
Regulamin świadczenia usługi przez Google (gmail)
…przesyłając, wgrywając, dostarczając, zapisując,
przechowując, wysyłając lub odbierając materiały do lub za
pośrednictwem Usług, użytkownik udziela firmie Google (i jej
współpracownikom) ważnej na całym świecie licencji na
wykorzystywanie, udostępnianie, przechowywanie,
reprodukowanie, modyfikowanie, przesyłanie, publikowanie,
publiczne prezentowanie i wyświetlanie oraz
rozpowszechnianie tych materiałów, a także na tworzenie na
ich podstawie opracowań (dzieł pochodnych, na przykład przez
wykonanie tłumaczenia, adaptacji lub innych zmian w celu
zapewnienia lepszego działania z Usługami). W niektórych
Usługach mogą istnieć sposoby uzyskania dostępu do
umieszczonych w nich treści oraz usunięcia ich.

25. Błędy w umowach dot. przetwarzania danych w
chmurze
Polityka prywatności Google
Dane osobowe przekazujemy podmiotom
stowarzyszonym i innym zaufanym firmom lub
osobom, które przetwarzają je na potrzeby Google
zgodnie z naszymi instrukcjami i Polityką prywatności
oraz przy zastosowaniu wszelkich odpowiednich
środków ochrony poufności i bezpieczeństwa
informacji.

26. FORSAFE Sp. z o.o.
ul. Żwirki 17, 90-539 Łódź
tel.: +48 42 631 95 62,
tel. kom. +48 600 005 880
www.forsafe.pl
biuro@forsafe.pl
Piotr Kawczyński
pkawczynski@forsafe.pl