Politika cloudového zpracovatele PII

Politika cloudového zpracovatele PII definuje povinné požadavky na ochranu soukromí pro cloudové služby, u nichž organizace vystupuje jako zpracovatel PII nebo dílčí zpracovatel. Její rozsah zahrnuje SaaS, PaaS, IaaS, hostované aplikace, spravovaný cloud, cloudovou podporu, cloudové úložiště, cloudovou analytiku a služby cloudové infrastruktury, které zpracovávají PII jménem zákazníků. Politika je navržena tak, aby cloudové zpracování zůstalo sladěno s dokumentovanými zákaznickými smlouvami, pokyny zákazníka, pokyny nadřazeného zpracovatele, ujednáními s dílčími zpracovateli, konfigurací cloudových regionů, přístupem cloudové podpory, správou služby, zálohováním, replikací, protokolováním, monitorováním, výmazem, vrácením, podporou při porušení zabezpečení, podporou auditu a povinnostmi součinnosti vůči zákazníkovi. Ústředním účelem politiky je řízení založené na důkazech. Před onboardingem zákazníka nebo významnou změnou služby musí vedoucí ochrany soukromí / manažer PIMS zaznamenat každou službu cloudového zpracování PII, roli při zpracování, zdroj pokynu zákazníka, kategorie PII, kategorie subjektů PII, účel služby, lokalitu zpracování, závislost na dílčím zpracovateli, závislost výmazu a příznak předávání v REG02 a REG08. Politika rovněž vyžaduje, aby byla použitelnost opatření cloudového zpracovatele zaznamenána v REG03, aby bylo směrování předávání a lokalit zachyceno v REG09, pokud je relevantní, aby byly cloudové incidenty týkající se PII řízeny prostřednictvím REG10 a aby monitorování, výjimky, spory, výsledky validace a nápravná opatření byly řešeny prostřednictvím REG12. Tím jsou povinnosti cloudového zpracovatele integrovány se stávajícím souborem politik PIMS a nevznikají samostatné registry pro smlouvy, služby, izolaci tenantů, přístup, logy, výmaz, podporu, audity, porušení zabezpečení nebo dílčí zpracovatele. Politika stanoví praktické požadavky napříč životním cyklem cloudové služby. Vyžaduje dokumentované pokyny zákazníka nebo nadřazeného zpracovatele před zahájením zpracování, přezkum pokynů, které se jeví jako nesouladné s povinnostmi nebo schváleným rozsahem služby, a schválení před tím, než budou jakékoli zákaznické PII zpracovávány mimo dokumentované pokyny. Řeší také cloudovou konfiguraci a bezpečnostní důkazy tím, že vyžaduje hranice sdílené odpovědnosti, validaci izolace tenantů, řízený administrátorský přístup, čtvrtletní přezkum privilegovaného přístupu a pokrytí logováním, oddělení prostředí a zaznamenané lokality záloh, replikací, úložišť logů a přístupu podpory. Tyto požadavky jsou záměrně propojeny se stávajícími bezpečnostními opatřeními pro PII, nikoli aby nahrazovaly širší Politiku zabezpečení PII a řízení přístupu. Správa dílčích zpracovatelů a cloudového dodavatelského řetězce je považována za klíčovou povinnost zpracovatele. Vlastník dodavatelů / pořizování musí před použitím zaznamenat cloudové dílčí zpracovatele, poskytovatele infrastruktury, poskytovatele hostingu, poskytovatele řízených služeb, poskytovatele podpory a další významné závislosti cloudových služeb. Politika vyžaduje důkazy o autorizaci zákazníkem nebo dokumentovaném základu autorizace, přenesené povinnosti v oblasti ochrany soukromí, bezpečnosti, součinnosti, incidentů, vrácení, výmazu, podpory auditu a předávání, a záznamy o lokalitách služeb, lokalitách vzdálené podpory, hostingových regionech a směrování dalšího předání. Vyžaduje také oznámení zákazníkovi o zamýšlených změnách cloudového dílčího zpracovatele ve smluvně požadované oznamovací lhůtě a alespoň každoroční přezkum aktivních záznamů o cloudových dílčích zpracovatelích a cloudových závislostech. Politika dále pokrývá součinnost vůči zákazníkovi, podporu auditu, rozhraní pro porušení zabezpečení, výmaz a ukončení. Povinnosti součinnosti vůči zákazníkovi při žádostech o uplatnění práv, výmazu, opravě, omezení, přístupu, auditu, podpoře DPIA a podpoře při porušení zabezpečení musí být zaznamenány před uzavřením smlouvy nebo aktivací služby. Podpora práv vyžádaná zákazníkem musí být dokončena ve lhůtě dohodnuté se zákazníkem, žádosti o součinnost při DPIA nebo posouzení významné z hlediska ochrany osobních údajů musí být přezkoumány do deseti pracovních dnů a opožděné nebo sporné žádosti o součinnost musí být sledovány. Pro ukončení politika vyžaduje důkazy o možnosti exportu, vrácení, předání nebo výmazu před onboardingem nebo významnou změnou služby, dokončení ve lhůtách dohodnutých se zákazníkem, zahrnutí produkčních systémů, záloh, replik, logů, dočasných souborů, stagingových prostředí a podpůrných kopií a řešení neshod, pokud povinnosti nelze dokončit včas. Správa je posílena čtvrtletními přezkumy úplnosti důkazů, každoročními přezkumy politiky a dílčích zpracovatelů, auditním vzorkováním, metrikami, opatřeními k prosazování požadavků a schválením vrcholového vedení pro významné výjimky a změny.