Jak dbać o dane przetrzymywane w chmurze? Wykorzystywanie programów do fakturowania zgodnie z regulacjami RODO
Chmura obliczeniowa — sprawdź czym jest cloud computing
Chmura obliczeniowa (ang. cloud computing) to obecnie modne hasło. Sama technologia ma już kilkadziesiąt lat, jednak możemy być pewni, że zostanie z nami na kolejne. Dostarcza nowych możliwości zarówno przedsiębiorstwom, jak i wszystkim użytkownikom internetu. Przyczynia się do zwiększenia dostępności nowoczesnych rozwiązań technologicznych oraz oszczędności zasobów kapitałowych i czasowych. Sprawdź, czym jest chmura obliczeniowa oraz w jaki sposób możesz ją wykorzystać. Już teraz korzystasz z niej dużo częściej, niż myślisz.
Co to jest chmura obliczeniowa?
Chmura obliczeniowa (ang. cloud computing, czyli przetwarzanie w chmurze) to w pewnym sensie outsourcing IT. Wszystkie dane, pliki, oprogramowanie itd. przechowujemy nie na własnych serwerach, ale w wynajmowanych zasobach chmury obliczeniowej.
Chmura obliczeniowa i jej podstawowe funkcje
Zabezpieczenia przed cyberzagrożeniami
Wraz z rozwojem internetu i globalizacją usług cyfrowych, pojawia się coraz więcej ataków hackerskich, wyłudzenia danych, złośliwych typów oprogramowania. Aby zapewnić ciągłość biznesu, zabezpieczyć dane klientów i pracowników oraz spełniać wymagania przechowywania danych osobowych, konieczne jest zabezpieczanie zasobów informatycznych i zwiększanie świadomości wśród pracowników. Dzięki chmurze obliczeniowej obowiązek zabezpieczenia oprogramowania i przechowywanych danych jest przeniesiony na dostawcę chmury obliczeniowej. Jest to atrakcyjny argument szczególnie dla mniejszych przedsiębiorstw, które nie posiadają wystarczających kompetencji i zasobów, aby wprowadzać zabezpieczenia we własnym zakresie.
Dostępność oprogramowania i technologii
Technologie chmurowe spowodowały powstanie nowych modeli zakupu oprogramowania i usług informatycznych, zwiększając tym samym ich dostępność. Choć może nawet bardziej chodzi tutaj o wynajem niż zakup. Firmy nie muszą już decydować się na inwestycję w nowoczesny sprzęt, kupować kosztownych licencji systemów zarządzania dla firm. Pojawiły się modele usług chmurowych, jak:
PaaS – platforma jako usługa,
IaaS – infrastruktura jako usługa,
SaaS – oprogramowanie jako usługa.
Kupując oprogramowanie w modelu SaaS, nie musimy się martwić nie tylko zapewnieniem miejsca na serwerze czy zabezpieczeniami, ale także instalacją programu. Wynajmujemy moc przetwarzania, zasoby i licencję w modelu subskrypcyjnym – z miesięczną płatnością jedynie za aktualnie wykorzystywane zasoby (ang. Pay as you go). To rozwiązanie, które pozwoliło zniwelować wiele barier w dostępie do innowacyjnych technologii i narzędzi, chociażby z obszaru Business Intelligence, sztucznej inteligencji, uczenia maszynowego.
Zwiększenie dostępności do danych
Jedną z głównych zalet przetwarzania danych dzięki technologii cloud computing jest możliwość korzystania z nich dowolnej lokalizacji, dzięki połączeniu z siecią internetową. W ten sposób praca naszej firmy jest znacznie ułatwiona – szczególnie w przypadku organizacji wielooddziałowych, międzynarodowych, w przypadku pracy zdalnej czy pracowników wykonujących swoje obowiązki mobilnie.
Przykłady zastosowania chmury obliczeniowej
Przechowywanie danych i plików
Podstawową usługą chmury obliczeniowej jest przechowywanie danych. Mając zbyt mało miejsca na serwerze czy komputerach, można przenieść dane lub pliki do chmury. W ten sposób dużo łatwiej można je też udostępniać innym współpracownikom, a nawet wspólnie pracować korzystając z tych samych plików czy danych. Przeniesienie części zasobów ułatwia również korzystanie z nich. Mamy do nich dostęp z każdego komputera z dostępem do sieci internetowej. Aby wybrać odpowiedni serwer, należy wziąć po uwagę m.in. pojemność, lokalizację, kopie zapasowe, możliwości zarządzania danymi.
Wirtualny serwer
Jednym ze sposobów dzierżawienia chmury obliczeniowej jest model IaaS, czyli infrastruktura jako usługa. Uzyskujemy wirtualny serwer – możemy zarządzać jego parametrami, mocą obliczeniową i pojemnością.
Bazy danych w chmurze obliczeniowej
Wirtualny serwer możemy wykorzystać jako miejsce przechowywania baz danych. Użytkownik nimi zarządza i wprowadza konfiguracje poprzez udostępnione interfejsy. Można wybrać silnik bazodanowy relacyjny (np. MySQL, PostrgreSQL) lub nie relacyjny (np. NoSQL, MongoDB).
Co to jest chmura obliczeniowa?
Korzyści wynikające z przetwarzania w chmurze
Istnieje kilka tendencji, które skłaniają przedsiębiorstwa — we wszystkich branżach — do przejścia do chmury. W przypadku większości przedsiębiorstw dotychczasowy sposób prowadzenia działalności może ograniczać możliwości elastycznego rozwoju firmy, udostępniania platformy bądź też elastycznego konkurowania. Lawinowy wzrost ilości danych wytwarzanych przez stale zwiększającą się liczbę firm cyfrowych powoduje gwałtowny wzrost kosztów i złożoności pamięci masowej w centrach danych — wymaga to od informatyków nowych umiejętności i korzystania z narzędzi analitycznych.
Nowoczesne rozwiązania chmurowe pomagają firmom sprostać wyzwaniom ery cyfrowej. Zamiast zarządzać własną infrastrukturą IT przedsiębiorstwa mają możliwość natychmiastowego reagowania na warunki występujące w coraz szybciej zmieniającym się i coraz bardziej złożonym świecie biznesu.
Jak przetwarzanie w chmurze wspiera innowacyjność
W przypadku klientów korzystających z chmury najnowsze innowacje i technologie są automatycznie wbudowywane w ich systemy informatyczne. Opracowywaniem nowych funkcji i poszerzaniem możliwości zajmuje się dostawca usług chmurowych. Klienci korzystający z chmury zyskują strategiczną przewagę nad konkurencją.
Przewaga na rynku zależy dziś od tempa wdrażania innowacji. Klienci korzystający z platformy Oracle Cloud mogą korzystać z nowoczesnej architektury chmury obliczeniowej, aby szybciej wprowadzać innowacje, zwiększać wydajność pracy i obniżać koszty. Dzięki zintegrowanej architekturze chmurowej (SaaS, PaaS i IaaS) możemy zapewnić firmom możliwość przejścia od działalności operacyjnej do wdrażania innowacji. Przedsiębiorstwa mogą rozwijać nowe aplikacje i usługi wykorzystujące innowacyjne technologie, w tym sztuczną inteligencję (AI), chatboty, blockchain i Internet rzeczy (Internet of Things — IoT). Firmy mające do dyspozycji ogromne ilości danych mogą wykorzystać je do analizy predykcyjnej i następnie zastosować uzyskane wnioski w działalności biznesowej, co w konsekwencji zapewni większe korzyści klientom.
Bezpieczeństwo chmury buduje zaufanie
Przejście do chmury eliminuje problemy związane z ochroną infrastruktury IT oraz jej koszty. Doświadczony dostawca usług chmurowych stale inwestuje w najnowsze technologie zabezpieczeń i nie tylko reaguje na potencjalne zagrożenia, ale także ułatwia klientom zachowanie zgodności z przepisami.
Oracle stale inwestuje we wszystkie warstwy zabezpieczeń w chmurze, zgodnie z ogólnymi założeniami projektowymi dotyczącymi wszystkich naszych centrów danych na całym świecie. Nasza zaufana i sprawdzona platforma chmurowa została zaprojektowana tak, aby zapewniać bezpieczeństwo na każdym poziomie infrastruktury. Takie wielowarstwowe podejście do ochrony chmury przewyższa standardy pozostałych dostawców, zapewniając klientowi zabezpieczenia niezbędne do właściwej ochrony jego działalności biznesowej.
Rozwiązania chmurowe — zintegruj procesy biznesowe firmy
Dla przedsiębiorstw zmagających się z problemem niepołączonych ze sobą procesów biznesowych i rozproszonych danych chmura jest idealnym narzędziem do przekształcenia ich działalności biznesowej. Dzięki chmurze nie trzeba tworzyć tych procesów od podstaw. Kompleksowe pakiety aplikacji chmurowych mają charakter modułowy, a jednocześnie są ze sobą połączone, co umożliwia eliminację rozproszenia danych oraz wdrożenie w przedsiębiorstwie inteligentnych i zintegrowanych procesów biznesowych.
Oracle udostępnia wszystkie trzy warstwy chmury — połączone w niespotykany dotychczas sposób. Jest to kompletna, zintegrowana platforma z inteligentnymi rozwiązaniami w każdej warstwie. Przedsiębiorstwa mogą teraz łatwo przenosić swoje aplikacje lokalne do infrastruktury chmurowej. Dzięki naszemu kompleksowemu pakietowi aplikacji biznesowych, obejmującemu najlepsze w branży rozwiązanie ERP, przedsiębiorstwa mogą obecnie prowadzić całą swoją działalność w chmurze.
Jak dbać o dane przetrzymywane w chmurze? Wykorzystywanie programów do fakturowania zgodnie z regulacjami RODO
Wraz z postępującym rozwojem technologicznym, przed Twoją firmą otwierają się coraz to nowe możliwości usprawniania pracy zespołowej, poprawy bezpieczeństwa archiwizowanych danych oraz zautomatyzowania niektórych powtarzających się procesów, np. fakturowania usług. Już od kilku lat rosnącą popularność na rynku wśród przedsiębiorców zyskują tzw. chmury obliczeniowe (ang. cloud computing), potocznie określane „chmurami”. Pozwalają one na przetrzymywanie danych, aplikacji i oprogramowania w przestrzeni sieciowej, nieobciążającej ograniczonych zasobów komputerów czy dysków zewnętrznych.s
Umieszczanie danych w chmurze, pomimo posiadania ogromu zalet usprawniających działanie firmy, może wiązać się również z typowymi sieciowymi zagrożeniami uderzającymi w bezpieczeństwo przetrzymywanych zasobów oraz zawartych w nich danych osobowych. Dlatego właśnie kluczowe jest zidentyfikowanie potencjalnych zagrożeń, następnie podjęcie racjonalnej decyzji o wprowadzeniu cloud computing’u do struktury przedsiębiorstwa, a także wybór usługodawcy stwarzającego dostosowane do naszych potrzeb warunki ochronne i środki zapobiegające nieautoryzowanemu dostępowi do danych.
Chcesz dowiedzieć się więcej na ten temat? Pokaż materiały Instrukcje i Regulaminy Instrukcja: Zasady udostępniania przez administratora serwisu internetowego danych osobowych użytkowników
1. Zalety przetrzymywania danych w chmurze
Usługi archiwizowania danych w chmurze polegają na przechowywaniu baz danych na niezależnym zewnętrznym serwerze, umożliwiając przedsiębiorcy dostęp do nich w każdym miejscu, czasie i przy użyciu dowolnego środka, w tym również za pośrednictwem urządzeń mobilnych. Tym samym, ułatwia korzystanie z zamieszczonych w chmurze danych, a także umożliwia synchronizowanie postępu prac pomiędzy wszystkimi użytkownikami korzystającymi z danych zasobów (również jednocześnie, w tym samym czasie). Jest to niezwykle pomocne przy systemie pracy zdalnej i wykonywaniu projektów grupowych – eliminuje w zasadzie ryzyko pomyłek i automatyzuje proces aktualizowania dokumentu w ramach postępu prac.
Dane przechowywać można w zasadzie bez żadnych limitów pojemności, co stanowi znaczną przewagę chmur sieciowych nad standardowymi (fizycznymi) dyskami zewnętrznymi, czy pamięcią komputera. W kwestii płatności, chmury wykorzystują najczęściej system pay per use, co oznacza, że przedsiębiorca nie jest związany odgórnie narzuconą subskrypcją określonej przestrzeni dyskowej w chmurze, a płaci za nią proporcjonalnie do aktualnego zużycia i wedle potrzeb.
Usługodawcy oferują również szeroki zakres szyfrowania danych, co w dużej mierze pozwala zabezpieczyć informacje chronione przedsiębiorstwa przed nieautoryzowanym do nich dostępem. Jeżeli zamierzasz przechowywać na chmurze dane osobowe pracowników czy klientów, również możesz liczyć na zaawansowane technologicznie bariery sieciowe i szyfry, które co do zasady gwarantują bezpieczeństwo przechowywanych dokumentów. Rozporządzenie dot. ochrony danych osobowych (RODO) wprowadziło nowe regulacje w kwestii zarządzania danymi osobowymi. Na skutek tego, wielu dostawców usług typu cloud computing (np. Microsoft, Google) nie tylko dostosowało swoje usługi do wymagań RODO, lecz dla zapewnienia lepszego bezpieczeństwa stosują także standardy wynikające z norm ISO/IEC - norm międzynarodowych standaryzujących systemy zarządzania bezpieczeństwem informacji.
2. Potencjalne zagrożenia dla danych chronionych
Zanim zdecydujesz się na skorzystanie z usług archiwizowania danych w chmurze, warto przeanalizować zagrożenia związane z tą formą przechowywania baz danych i w oparciu o tę wiedzę podjąć decyzję co do możliwości i zasadności zastosowania chmury w swojej firmie.
Mimo nowoczesnych metod szyfrowania danych, nie jest w zasadzie możliwe stuprocentowe zagwarantowanie ich bezpieczeństwa – zagrożenia płyną głównie ze strony zaawansowanych technicznie metod hackerskich wykorzystujących słabości w logarytmach zabezpieczających dostęp do danych.
Warto mieć ponadto na uwadze, iż cloud computing jest jedynie systemem informatycznym umieszczonym na serwerze i jak każde „urządzenie” - jest potencjalnie awaryjne. Możliwe są zatem wszelkiego rodzaju usterki techniczne, włączając w to awarię infrastruktury firmy świadczącej usługi, niestabilne działanie chmury i związany z tym problem z dostępem do danych, dalej poprzez długotrwałą niską wydajność systemu (obciążenie sieci), aż po trwałe zamknięcie przedsiębiorstwa świadczącego tego rodzaju usługi i związaną z tym konieczność podjęcia stosownych działań zmierzających do odzyskania danych i utrzymania ich nieprzerwanej ochrony.
Pomimo niedoskonałości systemów zabezpieczających dane oraz standardowej przy urządzeniach elektronicznych awaryjności infrastruktury odpowiedzialnej za utrzymywanie danych, przechowywanie dokumentów w chmurze ma znaczący potencjał w odniesieniu do rozwoju przedsiębiorstwa i usprawnienia jego działania. Istotnym dowodem na to niech będzie fakt stopniowego rozpowszechniania cloud computing wśród organów administracji publicznej i urzędów. Przechowują one bowiem za pośrednictwem chmur sieciowych znaczne ilości dokumentów zawierających w większości dane osobowe, czy informacje chronione oraz niejawne, będące elementem np. tajemnicy przedsiębiorstwa, bankowej, czy zawodowej.
3. Wybór odpowiednio certyfikowanego dostawcy usługi
Przed wyborem odpowiedniego usługodawcy warto na początku ustalić, w jakiego rodzaju chmurze będziesz przechowywać swoje dane. Istnieją trzy podstawowe rodzaje chmur:
publiczna (zarządza nią zewnętrzny ogólnodostępny usługodawca, np. Microsoft, Google, a chmura umieszczona jest na szeroko dostępnym serwerze);
(zarządza nią zewnętrzny ogólnodostępny usługodawca, np. Microsoft, Google, a chmura umieszczona jest na szeroko dostępnym serwerze); prywatna (oferowana przez autonomicznego dostawcę, z możliwością umieszczenia na serwerach przedsiębiorstwa zlecającego archiwizację danych);
(oferowana przez autonomicznego dostawcę, z możliwością umieszczenia na serwerach przedsiębiorstwa zlecającego archiwizację danych); hybrydowa (będąca różnymi wariantami połączeń powyższych rozwiązań).
Oferty usługodawców publicznych i prywatnych różnić mogą się w wielu aspektach – od decyzji przedsiębiorcy zależy, w których kwestiach potrzebuje szczególnego zakresu swobody w pracy z przechowywanymi w chmurze danymi, a w których jest skłonny do ustępstw.
Usługodawcy korzystają przede wszystkim z różnych rodzajów szyfrowania, które utrudniać mają dostęp do danych osobom niepowołanym. Pewnym minimum w tym zakresie jest szyfrowanie przy logowaniu (SSL), certyfikat ID bądź VPN. Oprócz tego, niektóre platformy dla uzyskania dostępu do sieciowego dysku wymagają tzw. dwuskładnikowego uwierzytelniania (weryfikacja użytkownika poprzez numer telefonu, adres e-mail), czy przebrnięcia przez inne bariery (np. przepisywanie kodu z obrazka, co wyeliminować ma ryzyko dostępu do danych przez boty, a więc algorytmy mające naśladować ludzkie zachowania na masową skalę).
Powinieneś zwrócić uwagę również na sposób dostępu do danych oraz faktyczne miejsce ich przechowywania. Przedsiębiorstwa oferujące usługi cloud computing zwykle mają swoje siedziby w zupełnie innym miejscu niż koncentrują główną infrastrukturę odpowiedzialną za przechowywanie danych na serwerach. Warto, aby dostęp do danych był nielimitowany czasowo oraz ilościowo (to znaczy, aby była możliwość jednoczesnej nielimitowanej czasowo pracy przez nieokreśloną liczbę osób) oraz aby precyzyjnie ustalić sposób i miejsce archiwizowania danych (np. po upływie określonego czasu ogólnej dostępności w chmurze).
Przedsiębiorstwo oferujące usługi cloud computing zyskuje również na rzetelności, jeśli podaje do wiadomości informacje dotyczące regularnego monitoringu działania systemów oraz szczegółowe alerty w przypadkach awarii infrastruktury, sieci oraz zakłóceniach w działalności przedsiębiorstwa. W takich przypadkach nieoceniona będzie usługa przechowywania dodatkowej kopii danych (tzw. backup’u), najlepiej na nośniku odrębnym od chmury głównej (może być to inna chmura umieszczona na innym serwerze), co zwiększy prawdopodobieństwo zachowania danych w nienaruszonym stanie bez względu na warunki.
Oprócz tego, warto zwrócić uwagę na kwestię najbardziej prozaiczną – renomę usługodawcy w sieci, bogate portfolio wspieranych firm/instytucji oraz sposób prowadzenia kampanii marketingowej – wolnej od czynów nieuczciwej konkurencji.
4. Zakreślenie przedmiotu umowy oraz podmiotów uprawnionych
Przedmiotem umowy z usługodawcą będzie świadczenie przez niego konkretnej usługi polegającej albo na udostępnieniu aplikacji (SaaS), platformy (PaaS) lub infrastruktury (IaaS) służącej do archiwizowania bazy danych, przy jednoczesnym administrowaniu zasobami umieszczonymi w tej bazie. Usługobiorca zaś za zapłatą stosownego wynagrodzenia (pay per use bądź w ramach abonamentu/subskrypcji) korzysta z określonych w umowie usług archiwizowania danych, włączając w to zarządzanie nimi przez usługodawcę w ustalonym zakresie.
Właścicielem i administratorem przechowywanych w chmurze danych na czas obowiązywania umowy zawsze powinna być Twoja firma, nie przedsiębiorstwo usługodawcy. Dla prawidłowego i pełnego wykonywania przedmiotu umowy wystarczającym jest, aby usługodawca miał dostęp jedynie do samego „gabarytu” danych mieszczącego twoje dokumenty, nie zaś do ich zawartości. Jeżeli usługodawca korzysta przy tym z usług podwykonawcy - ma obowiązek informowania o tym każdorazowo podmioty przechowujące dane, aby mogły ocenić wiążące się z tym ryzyko.
Dostęp do przechowywanych danych powinien być reglamentowany w jak najszerszym zakresie przez korzystającego z usługi przechowywania danych w chmurze. Może być on udzielany za pomocą linku aktywacyjnego, odpowiedniego adresu serwera, czy też (najczęściej w przypadku chmur dostawców publicznych) poprzez zalogowanie się do systemu przy użyciu indywidualnych kont użytkownika.
Przeczytaj dokładnie wzór umowy przedstawionej przez usługodawcę – bardzo często zdarza się, że zastrzega ona dostęp do treści również algorytmom badawczym, które następnie dostosowują treści reklamowe do zawartości przechowywanych danych (działają na podobnej zasadzie, co standardowe cookies). Niepożądane są również wszelkie uprawnienia usługodawcy do rozporządzania zawartością (chociażby przeskanowaną komputerowo w poszukiwaniu słów kluczowych) w celu odsprzedaży Twoich namiarów zainteresowanym osobom trzecim bez udzielenia zgody.
Ważne: Jeżeli zauważysz w umowie przed jej podpisaniem tego typu postanowienie, nie wahaj się omówić go z przedstawicielem usługodawcy i dążyć do jego zmiany.
Oczywiście zdarzyć się mogą sytuacje, w których usługodawcy powinien przysługiwać tymczasowy dostęp do zawartości danych – głównie w przypadku sytuacji awaryjnych czy sieciowych prac konserwatorskich. Na usługodawcy powinien każdorazowo ciążyć wtedy obowiązek ubiegania się o zgodę na wykorzystanie określonych danych dla dokładnie określonego celu, przy oznaczeniu czasu potrzebnego na wykonanie niezbędnych prac.
W przypadku zdarzenia bezpośrednio zagrażającego bezpieczeństwu przechowywanych danych, usługodawca musi sporządzić odpowiedni raport oraz poinformować właściciela danych (szczególnie gdy w niebezpieczeństwie znalazły się dane osobowe, czy informacje chronione). Jeżeli usługodawca naraziłby zaś swoim postępowaniem same dane, czy ich właściciela na ewentualne konsekwencje, powinien udzielić wsparcia merytoryczno-technicznego w usuwaniu powstałych szkód.
Administrator chmury ma ponadto obowiązek informowania usługobiorcy o wszelkich zobowiązaniach, nakazach oraz postanowieniach organów władzy publicznej, na mocy których może być zobligowany do udostępnienia danych przetrzymywanych w chmurze na rzecz toczącego się postępowania. Muszą to też uczynić także wszyscy ewentualni podwykonawcy.
5. Przechowywanie danych – poufność i ochrona
Przy wyborze usługodawcy warto kierować się w pierwszej kolejności wykorzystywanymi sposobami zabezpieczania danych. Wśród niewątpliwych zalet podobnych ofert cloud computing’u można wymienić:
używanie szyfrowanego połączenia z chmurą poprzez przeglądarkę WWW (połączenie szyfrowane bardzo łatwo odróżnić od nieszyfrowanego – połączenia bezpieczne zawierają przed adresem strony internetowej protokół HTTPS, pasek zawierający adres strony internetowej przybiera zwykle kolor zielony, ewentualnie na jego krańcu pojawia się ikona kłódki, oznaczająca zaszyfrowanie połączenia);
wykorzystanie dwuetapowej weryfikacji podczas logowania (np. przy użyciu kodów SMS na podany przy „rejestracji” konta użytkownika numer telefonu, czy potwierdzenie adresu e-mail);
funkcja szyfrowania danych przed przesłaniem ich na serwer (zapobiega to odczytaniu danych w przypadku niepowołanego dostępu).
Równie istotne są tzw. zabezpieczenia logiczne, które chronią chmurę przed atakami hackerów. W praktyce są nimi np. antywirusy, firewall, zabezpieczenia przed atakami DDoS (ataki hackerskie z wielu miejsc jednocześnie), czy pishingiem (wyłudzaniem danych logowania poprzez podszywanie się). Warto dowiedzieć się także, czy usługodawca przeprowadzał w przeszłości tzw. kontrolowane ataki na dane umieszczone w administrowanej przez niego chmurze, które weryfikowałyby poziom zabezpieczeń oraz ich słabe punkty, a w dalszej kolejności pozwalały na wprowadzenie modyfikacji zwiększających bezpieczeństwo.
Gwarancją bezpiecznego przechowywania danych jest posiadanie przez usługodawcę określonych certyfikatów potwierdzających spełnianie określonych norm odnoszących się do ochrony danych.
Podstawowym certyfikatem jest ISO/IEC 27018 (zastępującym dotychczasowo używane ISO 27001/27002) – stanowi on międzynarodowy standard, określający wymagania w zakresie bezpieczeństwa informacji. Przy jego zastosowaniu można mieć pewność, że przechowywane dane nie zostaną w żaden sposób udostępnione osobom trzecim, co zapewnia wysoki poziom ochrony i poufności. Certyfikat potwierdza skuteczność stosowanych procedur bezpieczeństwa przetwarzania danych osobowych oraz efektywne utrzymywanie zarządzania bezpieczeństwem informacji dla danych agregowanych w chmurze obliczeniowej. Określa on m.in. procedury ogólne uzyskiwania dostępu i usuwania danych, zasadę przetwarzania danych tylko w celu, dla którego są przechowywane, nieużywania ich w celach marketingowych bądź w sposób nieuprawniony na rzecz osób trzecich, procedury monitoringu naruszeń ochrony danych oraz awarii systemowych oraz zasady zwrotu, przekazywania i usuwania danych osobowych.
Dla zwiększenia bezpieczeństwa, możesz jako przedsiębiorca postarać się o własną serwerownię (która posłużyć może nie tylko dla celów sieciowej koncentracji danych, ale również dla innych potrzeb przedsiębiorstwa) albo dzierżawić już istniejące zespoły infrastruktury i wykorzystywać je w dowolnym zakresie dla własnych celów (celów działalności). Pozwala to na wysoki poziom kontroli nad postępowaniem z danymi umieszczonymi w chmurze, wiąże się jednak z dodatkowymi kosztami zakupu czy dzierżawy sprzętu – stąd jest to forma polecana raczej większym przedsiębiorstwom, w których stopień poufności przetwarzanych danych i chęć zachowania ich przy pełni bezpieczeństwa kompensuje wydatki poniesione na utrzymanie serwerowni.
Ważne: Przedsiębiorca korzystający z zewnętrznego cloud computing’u w każdym momencie ma prawo do wystąpienia do usługodawcy o udzielenie informacji co do fizycznej lokalizacji serwerów, na których agregowane są jego dane. Każda zmiana lokalizacji serwerowni mogąca wpłynąć potencjalnie na bezpieczeństwo danych powinna być odpowiednio wcześniej przedstawiona usługobiorcy dla dokonania przez niego swobodnej oceny zagrożeń, a nawet odstąpienia od umowy, jeżeli jej postanowienia przewidują podobną procedurę w przypadku zmiany zasadniczych elementów konstytuujących umowę.
Niezależnie od tego, czy prowadzisz własną serwerownię lub korzystasz z usług przedsiębiorstwa zajmującego się użyczaniem miejsca w chmurze oraz administrowaniem danych, istotnym jest tworzenie tzw. backup’ów na innych nośnikach (dla bezpieczeństwa również przechowywanych fizycznie w innym miejscu, niż serwery główne). Są one w zasadzie jedynym środkiem zabezpieczającym przed bezpowrotną stratą danych.
Chcesz dowiedzieć się więcej na ten temat? Pokaż materiały Porady i Poradniki Porada: Jakie przyjąć założenia polityki bezpieczeństwa w zarządzaniu i zabezpieczeniu informacji w treści na stronie www
6. Odpowiedzialność za ochronę danych osobowych
Z uwagi na stopień poufności niektórych rodzajów danych, należy potraktować je w sposób szczególny. Do danych zasługujących na najwyższe standardy ochrony, a jednocześnie najbardziej narażonych na ataki, należą dane osobowe oraz tajemnice przedsiębiorstwa czy zawodowe.
Ważne: Jeżeli jako przedsiębiorca jesteś administratorem danych osobowych (w ramach wykonywania działalności powierzane są Ci dane osobowe osób trzecich), to zgodnie z art. 28 RODO ponosisz odpowiedzialność za wybór dostawcy usług cloud computing, który zobowiązany będzie do wdrożenia odpowiednich technicznie i organizacyjne środków bezpieczeństwa w celu ochrony danych osobowych.
Innymi słowy, jako administrator danych osobowych klientów/współpracowników/wykonawców jesteś odpowiedzialny za wybór usługodawcy stosującego konkretne dedykowane dla nich zabezpieczenia, których rodzaj oraz zakres uzgadniasz i akceptujesz z chwilą podpisania umowy.
RODO nie wprowadza bezpośrednio żadnych regulacji dotyczących konkretnie przechowywania i administrowania danymi w chmurze. Należy jednak pamiętać, że jego wprowadzenie w znacznym stopniu zmieniło świadomość społeczną dotyczącą ochrony danych. Może mieć to również pozytywny wpływ na jakość i konkurencyjność usług oferowanych w sektorze cloud computing’u.
7. Archiwizacja danych oraz kopie zapasowe
Na etapie negocjowania treści umowy należy zwrócić uwagę również na to, jak będzie przebiegała procedura archiwizacji danych, tj. przenoszenia danych w inne, trudniej dostępne z perspektywy przedsiębiorcy miejsce bądź całkowitego ich usunięcia z przestrzeni chmury. W tym zakresie warto negocjować takie parametry, jak:
Standardowy okres przechowywania danych (po jego upływie dane zostaną usunięte/przeniesione) lub brak określenia takiego czasu;
okres, po jakim dane będą ulegały archiwizacji;
miejsce przeniesienia danych po archiwizacji i sposób ich odczytywania/modyfikacji (czy będzie możliwy podgląd zarchiwizowanych danych, jak kształtują się uprawnienia poszczególnych korzystających na przestrzeni czasu, czy możliwa jest edycja danych już zarchiwizowanych).
Archiwizacja (dezaktywacja) danych w trudnodostępnym miejscu bądź całkowite ich usunięcie z chmury po upływie określonego czasu nie musi oznaczać ich definitywnej utraty – do obowiązków przedsiębiorcy jako pracodawcy czy płatnika składek jest przetrzymywanie dokumentacji w formie papierowej przez określony okres.
Chcesz dowiedzieć się więcej na ten temat? Pokaż materiały Trzeba wiedzieć Trzeba wiedzieć: Dokumentacja pracownicza - nowe terminy przechowywania
Dodatkowo, jak już zostało nadmienione, w trosce o bezpieczeństwo dokumentów, powinieneś przechowywać je w formie elektronicznej w więcej niż jednym miejscu sieciowym lub dysku zewnętrznym. W tym celu warto wykonywać co pewien czas pełen backup istotniejszej bądź pełnej zawartości dysku głównego. Dane zabezpieczone w ten sposób posłużą do odtworzenia pierwotnych zasobów w przypadku awarii systemu przetrzymującego dane, nieautoryzowanego do nich dostępu i próby kradzieży, a także w razie niezamierzonego ich usunięcia.
8. Możliwe dodatkowe zabezpieczenia
Oprócz środków ochrony danych, które oferowane są przez usługodawców zajmujących się cloud computing’iem, możesz sam jako użytkownik sieciowej bazy danych przyczynić się do zwiększenia bezpieczeństwa ich przechowywania:
Wykonuj kopie zapasowe we własnym zakresie – nawet jeżeli usługodawca na podstawie umowy zobowiązany jest do okresowego aktualizowania kopii zapasowej Twoich danych i przetrzymywania jej fizycznie w miejscu innym, niż znajduje się serwerownia, dla bezpieczeństwa możesz ją tworzyć również sam. Co pewien czas sprawdzaj aktualność przetrzymywanych danych oraz sprawność dysku zewnętrznego;
Twórz „mocne” hasła – jeżeli chmura posłużyć ma za główne miejsce przechowywanych danych firmowych, staje się ona potencjalnie prawdopodobnym obiektem ataku hackerskiego. Aby utrudnić niepowołany dostęp do danych, twórz skomplikowane (a jednak zdatne do zapamiętania) hasła bądź skorzystaj z generatorów haseł – szczególnie w przypadku, gdy korzystasz z chmury publicznej. Silne hasło może uniemożliwić skuteczność ataku hackerskiego, bądź opóźnić go na tyle, abyś zdołał w odpowiednim momencie na to zareagować;
Skorzystaj z opcji dwuetapowego logowania – wiąże się to zwykle z koniecznością dostępu do telefonu komórkowego lub adresu e-mail, w celu podania przesłanego nań przez system kodu uwierzytelniającego próbę dostępu do danych;
Uważaj na próby kradzieży danych logowania – szczególną uwagę zwróć na podejrzane wiadomości e-mail zawierające linki do nieznanych nam stron w sieci, nie udostępniaj kodów dostępu osobom niepowołanym, nie przetrzymuj ich w formie papierowej w miejscu ogólnodostępnym itp.
9. Postępowanie po zakończeniu współpracy
W ramach negocjacji warunków umowy zapytaj również, jak wyglądają procedury postępowania z przetrzymywanymi przez usługodawcę danymi w przypadku, gdy ten postanowi zakończyć swoją działalność lub któraś ze stron postanowi rozwiązać umowę.
Usługodawcy zwykle zakreślają termin na bezpieczne odebranie danych, po upływie którego ulegałyby one definitywnemu usunięciu z serwerów – najczęściej między 30, a 90 dni. Zdarza się, że jest to usługa dodatkowo płatna, jeżeli odzyskanie i przekazanie danych należy do obowiązków usługodawcy.
10. Programy do fakturowania a ochrona danych osobowych
Usługą ściśle związaną z prowadzeniem przedsiębiorstwa, a zbliżoną do przetrzymywania danych w chmurze, jest oferowanie programów/platform służących do automatyzacji procesu wystawiania faktur VAT. Programy tego typu mogą przechowywać również bazę danych osobowych kontrahentów, co znacznie usprawnia procedurę fakturowania towarów i usług, jednak niesie za sobą odpowiedzialność za ich ochronę.
Według art. 106e ustawy o podatku od towarów i usług, dane identyfikujące kontrahenta, które mogą podlegać szczególnej ochronie, a są konieczne dla zamieszczenia na fakturze, to m.in.:
imiona i nazwiska lub nazwy podatnika i nabywcy towarów lub usług oraz ich adresy;
numer, za pomocą którego podatnik jest zidentyfikowany na potrzeby podatku;
numer, za pomocą którego nabywca towarów lub usług jest zidentyfikowany na potrzeby podatku lub podatku od wartości dodanej, pod którym otrzymał on towary lub usługi;
w określonych ustawą przypadkach - nazwę i adres organu egzekucyjnego lub imię i nazwisko komornika sądowego oraz jego adres, a w miejscu określonym dla podatnika - imię i nazwisko lub nazwę dłużnika oraz jego adres;
w przypadku faktur wystawianych w imieniu i na rzecz podatnika przez jego przedstawiciela podatkowego - nazwę lub imię i nazwisko przedstawiciela podatkowego, jego adres oraz numer, za pomocą którego jest on zidentyfikowany na potrzeby podatku.
W ramach wykonywania usług na rzecz kontrahenta, nie jest potrzebna jego dodatkowa zgoda na przetwarzanie danych osobowych związanych z czynnościami administracyjnymi i księgowymi. Podstawą przetwarzania powierzonych danych osobowych jest zawarta między wami umowa (nie musi mieć ona formy pisemnej dla wywoływania skutków prawnych). Przy pozyskiwaniu danych kontrahenta należy jednak obowiązkowo poinformować go o tym kto, w jakim celu i jak długo będzie jego dane przetwarzał.
Warto mieć na uwadze, że programy do wystawiania faktur muszą spełniać pewne wymogi prawne w zakresie ochrony danych osobowych, takie jak:
integralność treści i autentyczność pochodzenia;
odpowiednie zabezpieczenie przed nieautoryzowanym dostępem, zarówno na poziomie klienta (aplikacja, zaszyfrowany hasłem plik przesłany elektronicznie), jak też serwera (bazy danych, chmury obliczeniowej).
Bazy danych osobowych przetwarzanej dla potrzeb programów do fakturowania dotyczą również wszelkie uprawnienia wynikające z RODO i innych regulacji odnoszących się do ochrony danych, m.in. prawo do sprostowania/modyfikacji danych, do częściowego ich usunięcia oraz prawo do bycia „zapomnianym”.
Podstawa prawna: