Bezpieczeństwo danych w chmurze publicznej
Spis treści
Lokalizacja przetwarzania danych
Jednym z kluczowych zagadnień przy wyborze dostawcy usług chmurowych przez instytucję publiczną jest lokalizacja fizycznego przetwarzania danych. Przepisy dotyczące niektórych kategorii danych mogą wymagać, aby przetwarzanie odbywało się na terenie Unii Europejskiej lub w wyznaczonych regionach.
Certyfikacje dostawców
Dostawcy usług chmurowych współpracujący z sektorem publicznym zazwyczaj posiadają certyfikaty potwierdzające zgodność z normami zarządzania bezpieczeństwem informacji, takimi jak ISO 27001, co stanowi jeden z elementów oceny w postępowaniach zakupowych.
Podział odpowiedzialności
W modelu chmurowym odpowiedzialność za bezpieczeństwo jest podzielona pomiędzy dostawcę usługi a instytucję korzystającą z chmury — dostawca odpowiada za bezpieczeństwo infrastruktury, natomiast instytucja pozostaje odpowiedzialna za konfigurację dostępów, zarządzanie tożsamością oraz klasyfikację przetwarzanych danych.
Zarządzanie incydentami
Umowy z dostawcami usług chmurowych powinny precyzować procedury zgłaszania i obsługi incydentów bezpieczeństwa, w tym terminy powiadamiania instytucji o wykrytych naruszeniach oraz zakres współpracy przy analizie przyczyn zdarzenia.