Politik for cloud-PII-databehandlere

Politik for cloud-PII-databehandlere fastlægger obligatoriske krav til databeskyttelse for cloudtjenester, hvor organisationen handler som PII-databehandler eller underdatabehandler. Omfanget omfatter SaaS, PaaS, IaaS, hostede applikationer, administreret cloud, cloudsupport, cloudlagring, cloudanalyse og cloudinfrastrukturtjenester, der behandler PII på vegne af kunder. Politikken er udformet til at holde cloudbehandling i overensstemmelse med dokumenterede kundeaftaler, kundens instruks, instrukser fra overordnede databehandlere, underdatabehandlerordninger, konfiguration af cloudregioner, adgang til cloudsupport, serviceadministration, backup, replikering, logning, overvågning, sletning, tilbagelevering, bistand ved brud, revisionsbistand og forpligtelser til kundebistand. Et centralt formål med politikken er bevismaterialedrevet kontrol. Før kundeonboarding eller en væsentlig tjenesteændring skal den ansvarlige for databeskyttelse / PIMS-ansvarlige registrere hver cloudbaseret PII-behandlingstjeneste, behandlingsrolle, kilde til kundens instruks, PII-kategorier, kategorier af registrerede, tjenesteformål, behandlingslokation, afhængighed af underdatabehandler, sletteafhængighed og overførselsmarkering i REG02 og REG08. Politikken kræver også, at anvendeligheden af kontroller for cloud-databehandlere registreres i REG03, at routing for overførsler og lokationer indfanges i REG09, hvor det er relevant, at cloudbaserede PII-hændelser håndteres via REG10, og at overvågning, undtagelser, tvister, valideringsresultater og korrigerende handlinger håndteres via REG12. Dette holder cloud-databehandlerforpligtelser integreret med det eksisterende PIMS-politiksæt og undgår oprettelse af separate registre for kontrakter, tjenester, tenant-isolering, adgang, logfiler, sletning, support, revisioner, brud eller underdatabehandlere. Politikken fastlægger praktiske krav på tværs af cloudtjenestens livscyklus. Den kræver dokumenteret instruks fra kunden eller instrukser fra en overordnet databehandler, før behandling påbegyndes, gennemgang af instrukser, der fremstår uforenelige med forpligtelser eller godkendt tjenesteomfang, og godkendelse, før kundens PII behandles uden for dokumenterede instrukser. Den behandler også cloudkonfiguration og sikkerhedsbevismateriale ved at kræve grænser for delt ansvar, validering af tenant-isolering, kontrolleret administrativ adgang, kvartalsvis gennemgang af privilegeret adgang og logdækning, adskillelse af miljøer samt registrerede lokationer for backup, replikering, lagring af logfiler og supportadgang. Disse krav er bevidst knyttet til eksisterende PII-sikkerhedskontroller i stedet for at erstatte den bredere Politik for PII-sikkerhed og adgangsstyring. Styring af underdatabehandlere og cloudforsyningskæden behandles som centrale databehandlerforpligtelser. Den leverandør-/indkøbsansvarlige skal registrere cloud-underdatabehandlere, infrastrukturudbydere, hostingudbydere, managed service providers, supportudbydere og andre væsentlige cloudtjenesteafhængigheder før brug. Politikken kræver bevismateriale for kundens godkendelse eller dokumenteret godkendelsesgrundlag, krav om videreførelse for databeskyttelse, sikkerhed, bistand, hændelser, tilbagelevering, sletning, revisionsbistand og overførsler samt registreringer af tjenestelokationer, lokationer for fjernsupport, hostingregioner og routing af videreoverførsel. Den kræver også underretning af kunder om tilsigtede ændringer af cloud-underdatabehandlere inden for den kontraktligt krævede varslingsperiode og mindst årlig gennemgang af aktive registreringer over cloud-underdatabehandlere og cloudafhængigheder. Politikken dækker også kundebistand, revisionsbistand, grænseflade ved brud, sletning og ophør. Forpligtelser til kundebistand ved rettighedsanmodninger, sletning, berigtigelse, begrænsning, adgang, revision, DPIA-bistand og bistand ved brud skal registreres før kontraktindgåelse eller aktivering af tjenesten. Kundebestilt bistand ved rettigheder skal gennemføres inden for den aftalte tidsramme, anmodninger om DPIA- eller vurderingsbistand med væsentlig betydning for databeskyttelse skal gennemgås inden for ti arbejdsdage, og forsinkede eller omtvistede anmodninger om bistand skal spores. Ved ophør kræver politikken bevismateriale for kapacitet til eksport, tilbagelevering, overførsel eller sletning før onboarding eller en væsentlig tjenesteændring, gennemførelse inden for kundeaftalte tidsrammer, medtagelse af aktive systemer, backups, replikaer, logfiler, midlertidige filer, stagingmiljøer og supportkopier samt håndtering af afvigelser, når forpligtelser ikke kan gennemføres rettidigt. Styringen styrkes gennem kvartalsvise gennemgange af bevismaterialets fuldstændighed, årlige gennemgange af politikken og underdatabehandlere, revisionsstikprøver, metrikker, håndhævelsestiltag og øverste ledelses godkendelse af væsentlige undtagelser og revisioner.