Политика за обработващия лични данни в облачна среда

Политиката за обработващия лични данни в облачна среда определя задължителни изисквания за поверителност за облачни услуги, при които организацията действа като обработващ лични данни или подизпълнител по обработване. Обхватът ѝ включва SaaS, PaaS, IaaS, хоствани приложения, управляван облак, облачна поддръжка, облачно съхранение, облачни анализи и облачни инфраструктурни услуги, които обработват лични данни от името на клиенти. Политиката е предназначена да поддържа облачното обработване съгласувано с документирани клиентски споразумения, нареждания на клиента, нареждания от обработващ лични данни нагоре по веригата, договорености с подизпълнители по обработване, конфигурация на облачни региони, достъп за облачна поддръжка, администриране на услуги, архивиране, репликация, журнализиране, мониторинг, изтриване, връщане, съдействие при нарушение, съдействие при одит и задължения за съдействие на клиента. Централна цел на политиката е контрол, основан на доказателства. Преди въвеждане на клиент или съществена промяна на услуга Ръководителят по поверителност / Мениджърът на СУНЛИ трябва да запише всяка услуга за обработване на лични данни в облачна среда, роля при обработването, източник на нареждания на клиента, категории лични данни, категории субекти на данни, цел на услугата, място на обработване, зависимост от подизпълнител по обработване, зависимост при изтриване и индикатор за прехвърляне в REG02 и REG08. Политиката също така изисква приложимостта на контролите за облачни обработващи лични данни да бъде записана в REG03, маршрутизирането на прехвърлянията и местоположенията да бъде отразено в REG09, когато е приложимо, инцидентите с лични данни в облачна среда да се управляват чрез REG10, а мониторингът, изключенията, споровете, резултатите от валидиране и коригиращите действия да се обработват чрез REG12. Това поддържа задълженията на облачния обработващ лични данни интегрирани със съществуващия набор от политики на СУНЛИ и избягва създаването на отделни регистри за договори, услуги, изолация на тенанти, достъп, журнали, изтриване, поддръжка, одити, нарушения или подизпълнители по обработване. Политиката определя практически изисквания през жизнения цикъл на облачната услуга. Тя изисква документирани нареждания на клиента или нареждания от обработващ лични данни нагоре по веригата преди започване на обработването, преглед на нареждания, които изглеждат несъвместими със задълженията или одобрения обхват на услугата, и одобрение преди лични данни на клиент да бъдат обработвани извън документираните нареждания. Тя също така обхваща облачна конфигурация и доказателства за сигурност чрез изискване за граници на споделената отговорност, валидиране на изолация на тенанти, контролиран административен достъп, тримесечен преглед на привилегирования достъп и покритие на журнализирането, разделяне на средите и записани местоположения за резервни копия, репликация, съхранение на журнали и достъп за поддръжка. Тези изисквания са целенасочено свързани със съществуващите контроли за сигурност на личните данни, вместо да заменят по-широката Политика за сигурност на личните данни и контрол на достъпа. Управлението на подизпълнители по обработване и облачната верига на доставки се третират като основни задължения на обработващия лични данни. Собственикът по доставчици / набавяне трябва да записва облачни подизпълнители по обработване, инфраструктурни доставчици, хостинг доставчици, доставчици на управлявани услуги, доставчици на поддръжка и други съществени зависимости от облачни услуги преди използване. Политиката изисква доказателства за разрешение от клиента или документирано основание за разрешаване, прехвърляне на задължения надолу по веригата във връзка с поверителността, сигурността, съдействието, инцидентите, връщането, изтриването, съдействието при одит и прехвърлянията, както и записи за местоположения на услуги, местоположения за отдалечена поддръжка, хостинг региони и маршрутизиране на последващи предавания. Тя също така изисква уведомяване на клиента за планирани промени в облачни подизпълнители по обработване в рамките на договорно изискуемия срок за уведомяване и поне годишен преглед на активните записи за облачни подизпълнители по обработване и облачни зависимости. Политиката обхваща също съдействие на клиента, съдействие при одит, интерфейс при нарушение, изтриване и изход. Задълженията за съдействие на клиента при искане за упражняване на права, изтриване, корекция, ограничаване, достъп, одит, съдействие за DPIA и съдействие при нарушение трябва да бъдат записани преди изпълнение на договора или активиране на услугата. Подкрепата при искане за упражняване на права, поискано от клиента, трябва да бъде завършена в договорения с клиента срок, исканията за съдействие при DPIA или оценка със съществено значение за поверителността трябва да бъдат прегледани в срок до десет работни дни, а просрочените или оспорени искания за съдействие трябва да се проследяват. При изход политиката изисква доказателства за възможност за експортиране, връщане, прехвърляне или изтриване преди въвеждане или съществена промяна на услуга, изпълнение в договорените с клиента срокове, включване на работещи системи, резервни копия, реплики, журнали, временни файлове, среди за тестване и копия за поддръжка, както и обработване на несъответствие, когато задълженията не могат да бъдат изпълнени навреме. Управлението се подсилва чрез тримесечни прегледи на пълнотата на доказателствата, годишни прегледи на политиката и подизпълнителите по обработване, одитни извадки, показатели, действия по прилагане и одобрение от висше ръководство за съществени изключения и изменения.