policy ISO 27701 PIMS Policy Pack

Πολιτική του Εκτελούντος την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα σε Περιβάλλον Νέφους

Πολιτική του εκτελούντος την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε περιβάλλον νέφους, ευθυγραμμισμένη με το ISO 27701, που καλύπτει εντολές πελάτη, υπεργολάβους επεξεργασίας, πρόσβαση, διαβιβάσεις, διαγραφή, υποστήριξη σε περίπτωση παραβίασης και τεκμήρια.

Επισκόπηση

Η Πολιτική του Εκτελούντος την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα σε Περιβάλλον Νέφους καθορίζει τον τρόπο με τον οποίο πρέπει να ελέγχεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα σε περιβάλλον νέφους όταν ο οργανισμός ενεργεί ως εκτελών την επεξεργασία ή υπεργολάβος επεξεργασίας. Καλύπτει εντολές πελάτη, κοινή ευθύνη, απομόνωση μισθωτών, υπεργολάβους επεξεργασίας, διαβιβάσεις, διαγραφή, υποστήριξη σε περίπτωση παραβίασης, ελέγχους και τεκμήρια στα REG02, REG03, REG08, REG09, REG10 και REG12.

Έλεγχος του εκτελούντος την επεξεργασία σε περιβάλλον νέφους

Καθορίζει υποχρεωτικές απαιτήσεις ιδιωτικότητας για επεξεργασία δεδομένων προσωπικού χαρακτήρα σε SaaS, PaaS, IaaS, φιλοξενούμενες εφαρμογές, διαχειριζόμενο περιβάλλον νέφους, αποθήκευση, analytics και υποδομή.

Επεξεργασία βάσει εντολών

Απαιτεί οι εντολές πελάτη ή οι εντολές ανάντη εκτελούντος την επεξεργασία να καταγράφονται, να ανασκοπούνται και να τηρούνται πριν από την έναρξη επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε περιβάλλον νέφους.

Διακυβέρνηση υπεργολάβων επεξεργασίας

Καλύπτει την έγκριση υπεργολάβων επεξεργασίας σε περιβάλλον νέφους, τις μετακυλιόμενες υποχρεώσεις, τις τοποθεσίες, τις ειδοποιήσεις αλλαγών, την παρακολούθηση και τα τεκμήρια εξόδου.

Έτοιμα τεκμήρια εξόδου

Απαιτεί τεκμήρια επιστροφής, διαβίβασης, διαγραφής, διάθεσης και εξόδου υπεργολάβων επεξεργασίας για ενεργά συστήματα, αντίγραφα ασφαλείας, αρχεία καταγραφής και αντίγραφα υποστήριξης.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική του Εκτελούντος την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα σε Περιβάλλον Νέφους καθορίζει υποχρεωτικές απαιτήσεις ιδιωτικότητας για υπηρεσίες νέφους όπου ο οργανισμός ενεργεί ως εκτελών την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή υπεργολάβος επεξεργασίας. Το πεδίο εφαρμογής της περιλαμβάνει SaaS, PaaS, IaaS, φιλοξενούμενες εφαρμογές, διαχειριζόμενο περιβάλλον νέφους, υποστήριξη νέφους, αποθήκευση νέφους, analytics νέφους και υπηρεσίες υποδομής νέφους που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για λογαριασμό πελατών. Η πολιτική έχει σχεδιαστεί ώστε η επεξεργασία σε περιβάλλον νέφους να παραμένει ευθυγραμμισμένη με τεκμηριωμένες συμφωνίες πελατών, εντολές πελάτη, εντολές ανάντη εκτελούντος την επεξεργασία, ρυθμίσεις υπεργολάβων επεξεργασίας, διαμόρφωση περιοχής νέφους, πρόσβαση υποστήριξης νέφους, διαχείριση υπηρεσιών, αντίγραφα ασφαλείας, αναπαραγωγή, καταγραφή, παρακολούθηση, διαγραφή, επιστροφή, υποστήριξη σε περίπτωση παραβίασης, υποστήριξη ελέγχου και υποχρεώσεις συνδρομής προς τον πελάτη. Κεντρικός σκοπός της πολιτικής είναι ο έλεγχος βάσει τεκμηρίων. Πριν από την ένταξη πελάτη ή ουσιώδη αλλαγή υπηρεσίας, ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS πρέπει να καταγράφει κάθε υπηρεσία επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε περιβάλλον νέφους, ρόλο επεξεργασίας, πηγή εντολών πελάτη, κατηγορίες δεδομένων προσωπικού χαρακτήρα, κατηγορίες υποκειμένων των δεδομένων προσωπικού χαρακτήρα, σκοπό υπηρεσίας, τοποθεσία επεξεργασίας, εξάρτηση από υπεργολάβο επεξεργασίας, εξάρτηση διαγραφής και ένδειξη διαβίβασης στα REG02 και REG08. Η πολιτική απαιτεί επίσης η εφαρμοσιμότητα ελέγχων του εκτελούντος την επεξεργασία σε περιβάλλον νέφους να καταγράφεται στο REG03, η δρομολόγηση διαβιβάσεων και τοποθεσιών να αποτυπώνεται στο REG09 όπου απαιτείται, τα περιστατικά που αφορούν δεδομένα προσωπικού χαρακτήρα σε περιβάλλον νέφους να διαχειρίζονται μέσω του REG10, και η παρακολούθηση, οι εξαιρέσεις, οι διαφορές, τα αποτελέσματα επικύρωσης και οι διορθωτικές ενέργειες να διαχειρίζονται μέσω του REG12. Με αυτόν τον τρόπο οι υποχρεώσεις του εκτελούντος την επεξεργασία σε περιβάλλον νέφους ενσωματώνονται στο υφιστάμενο σύνολο πολιτικών PIMS και αποφεύγεται η δημιουργία χωριστών μητρώων για συμβάσεις, υπηρεσίες, απομόνωση μισθωτών, πρόσβαση, αρχεία καταγραφής, διαγραφή, υποστήριξη, ελέγχους, παραβιάσεις ή υπεργολάβους επεξεργασίας. Η πολιτική θέτει πρακτικές απαιτήσεις σε όλο τον κύκλο ζωής των υπηρεσιών νέφους. Απαιτεί τεκμηριωμένες εντολές πελάτη ή εντολές ανάντη εκτελούντος την επεξεργασία πριν από την έναρξη της επεξεργασίας, ανασκόπηση εντολών που φαίνονται ασύμβατες με υποχρεώσεις ή με το εγκεκριμένο πεδίο υπηρεσίας, και έγκριση πριν από οποιαδήποτε επεξεργασία δεδομένων προσωπικού χαρακτήρα πελάτη εκτός των τεκμηριωμένων εντολών. Αντιμετωπίζει επίσης τη διαμόρφωση νέφους και τα τεκμήρια ασφάλειας, απαιτώντας όρια κοινής ευθύνης, επικύρωση απομόνωσης μισθωτών, ελεγχόμενη διαχειριστική πρόσβαση, τριμηνιαία ανασκόπηση προνομιούχας πρόσβασης και κάλυψης καταγραφής, διαχωρισμό περιβαλλόντων, καθώς και καταγεγραμμένες τοποθεσίες αντιγράφων ασφαλείας, αναπαραγωγής, αποθήκευσης αρχείων καταγραφής και πρόσβασης υποστήριξης. Οι απαιτήσεις αυτές συνδέονται σκόπιμα με τους υφιστάμενους ελέγχους ασφάλειας δεδομένων προσωπικού χαρακτήρα, αντί να αντικαθιστούν την ευρύτερη Πολιτική Ασφάλειας και Ελέγχου Πρόσβασης Δεδομένων Προσωπικού Χαρακτήρα. Η διακυβέρνηση των υπεργολάβων επεξεργασίας και της εφοδιαστικής αλυσίδας νέφους αντιμετωπίζεται ως βασική υποχρέωση του εκτελούντος την επεξεργασία. Ο Υπεύθυνος Προμηθευτών / Προμηθειών πρέπει να καταγράφει υπεργολάβους επεξεργασίας σε περιβάλλον νέφους, παρόχους υποδομής, παρόχους φιλοξενίας, παρόχους διαχειριζόμενων υπηρεσιών, παρόχους υποστήριξης και άλλες ουσιώδεις εξαρτήσεις από υπηρεσίες νέφους πριν από τη χρήση. Η πολιτική απαιτεί τεκμήρια έγκρισης πελάτη ή τεκμηριωμένης βάσης έγκρισης, μετακυλιόμενες υποχρεώσεις για ιδιωτικότητα, ασφάλεια, συνδρομή, περιστατικά, επιστροφή, διαγραφή, υποστήριξη ελέγχου και διαβιβάσεις, καθώς και αρχεία τοποθεσιών υπηρεσιών, τοποθεσιών απομακρυσμένης υποστήριξης, περιοχών φιλοξενίας και δρομολόγησης περαιτέρω διαβίβασης. Απαιτεί επίσης κοινοποίηση στους πελάτες για προβλεπόμενες αλλαγές υπεργολάβων επεξεργασίας σε περιβάλλον νέφους εντός της συμβατικά απαιτούμενης προθεσμίας ειδοποίησης και τουλάχιστον ετήσια ανασκόπηση ενεργών αρχείων υπεργολάβων επεξεργασίας και εξαρτήσεων νέφους. Η πολιτική καλύπτει επίσης τη συνδρομή προς τον πελάτη, την υποστήριξη ελέγχου, τη διεπαφή παραβίασης, τη διαγραφή και την έξοδο. Οι υποχρεώσεις συνδρομής προς τον πελάτη για αιτήματα άσκησης δικαιωμάτων, διαγραφή, διόρθωση, περιορισμό, πρόσβαση, έλεγχο, υποστήριξη DPIA και υποστήριξη σε περίπτωση παραβίασης πρέπει να καταγράφονται πριν από την εκτέλεση της σύμβασης ή την ενεργοποίηση της υπηρεσίας. Η υποστήριξη δικαιωμάτων που ζητείται από πελάτη πρέπει να ολοκληρώνεται εντός του συμφωνημένου με τον πελάτη χρονικού πλαισίου, τα αιτήματα υποστήριξης DPIA ή αξιολόγησης που είναι σημαντικά για την ιδιωτικότητα πρέπει να ανασκοπούνται εντός δέκα εργάσιμων ημερών, και τα εκπρόθεσμα ή αμφισβητούμενα αιτήματα συνδρομής πρέπει να παρακολουθούνται. Για την έξοδο, η πολιτική απαιτεί τεκμήρια δυνατότητας εξαγωγής, επιστροφής, διαβίβασης ή διαγραφής πριν από την ένταξη ή ουσιώδη αλλαγή υπηρεσίας, ολοκλήρωση εντός των συμφωνημένων με τον πελάτη χρονικών πλαισίων, συμπερίληψη ενεργών συστημάτων, αντιγράφων ασφαλείας, αντιγράφων αναπαραγωγής, αρχείων καταγραφής, προσωρινών αρχείων, περιβαλλόντων σταδιοποίησης και αντιγράφων υποστήριξης, καθώς και χειρισμό μη συμμόρφωσης όταν οι υποχρεώσεις δεν μπορούν να ολοκληρωθούν εγκαίρως. Η διακυβέρνηση ενισχύεται μέσω τριμηνιαίων ανασκοπήσεων πληρότητας τεκμηρίων, ετήσιων ανασκοπήσεων πολιτικής και υπεργολάβων επεξεργασίας, δειγματοληψίας ελέγχου, μετρικών, ενεργειών εφαρμογής και έγκρισης από την Ανώτατη Διοίκηση για ουσιώδεις εξαιρέσεις και αναθεωρήσεις.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διαδικασίας που παρουσιάζει τη διακυβέρνηση του εκτελούντος την επεξεργασία δεδομένων προσωπικού χαρακτήρα σε περιβάλλον νέφους από την ένταξη και την καταγραφή εντολών πελάτη, μέσω επικύρωσης κοινής ευθύνης και απομόνωσης μισθωτών, έγκρισης υπεργολάβων επεξεργασίας, δρομολόγησης διαβιβάσεων, συνδρομής προς τον πελάτη, διεπαφής περιστατικών, διαγραφής ή επιστροφής κατά την έξοδο, και τριμηνιαίας παρακολούθησης με εξαιρέσεις και διορθωτικές ενέργειες καταγεγραμμένες στα μητρώα PIMS.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Πεδίο επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε περιβάλλον νέφους και αρχεία εντολών πελάτη

Τεκμήρια κοινής ευθύνης, απομόνωσης μισθωτών, πρόσβασης και καταγραφής

Διακυβέρνηση υπεργολάβων επεξεργασίας και εφοδιαστικής αλυσίδας νέφους

Δρομολόγηση τοποθεσίας, απομακρυσμένης πρόσβασης και διεθνών διαβιβάσεων

Τεκμήρια επιστροφής, διαβίβασης, διαγραφής, διάθεσης και εξόδου

Παρακολούθηση, εξαιρέσεις, εφαρμογή και διορθωτικές ενέργειες

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9Annex A.3.8Annex A.3.9Annex A.3.14Annex A.3.24Annex A.3.25
EU GDPR
Article 28Article 30Article 32Article 33Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3Annex A.7Annex A.7.2
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A controls 5.19Annex A controls 5.20Annex A controls 5.21Annex A controls 5.22Annex A controls 5.23
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23Control 8.10Control 8.15Control 8.16
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7

Σχετικές πολιτικές

Πολιτική Διαχείρισης Ιδιωτικότητας των Εκτελούντων την Επεξεργασία, των Υπεργολάβων Επεξεργασίας και των Τρίτων Μερών

Υποστηρίζει άμεσα τη διακυβέρνηση κύκλου ζωής υπεργολάβων επεξεργασίας σε περιβάλλον νέφους και τρίτων μερών που απαιτείται από την παρούσα πολιτική.

Πολιτική Διεθνών Διαβιβάσεων

Υποστηρίζει τις απαιτήσεις δρομολόγησης τοποθεσίας, απομακρυσμένης πρόσβασης και περαιτέρω διαβίβασης για δεδομένα προσωπικού χαρακτήρα πελατών σε περιβάλλον νέφους.

Πολιτική Ασφάλειας και Ελέγχου Πρόσβασης

Παρέχει την ευρύτερη αρχιτεκτονική ασφάλειας και ελέγχου πρόσβασης δεδομένων προσωπικού χαρακτήρα στην οποία παραπέμπουν οι έλεγχοι πρόσβασης σε περιβάλλον νέφους, καταγραφής και απομόνωσης μισθωτών.

Πολιτική Διαχείρισης Περιστατικών και Παραβιάσεων

Συνδέει την ανίχνευση περιστατικών που αφορούν δεδομένα προσωπικού χαρακτήρα σε περιβάλλον νέφους, την κοινοποίηση πελάτη και τα τεκμήρια υποστήριξης παραβίασης με τη ροή εργασιών περιστατικού.

Πολιτική Διατήρησης, Διαγραφής και Διάθεσης

Υποστηρίζει τις απαιτήσεις τεκμηρίων επιστροφής, διαγραφής, διάθεσης και εξόδου για δεδομένα προσωπικού χαρακτήρα πελατών και αντίγραφα υπεργολάβων επεξεργασίας.

Πολιτική Διαχείρισης Τεκμηριωμένων Πληροφοριών και Τεκμηρίων PIMS

Υποστηρίζει τις τεκμηριωμένες πληροφορίες και τον κανονικοποιημένο χειρισμό τεκμηρίων που χρησιμοποιούνται στα REG02, REG03, REG08, REG09, REG10 και REG12.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική του Εκτελούντος την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα σε Περιβάλλον Νέφους

Η Πολιτική του Εκτελούντος την Επεξεργασία Δεδομένων Προσωπικού Χαρακτήρα σε Περιβάλλον Νέφους θεσπίζει επιχειρησιακές απαιτήσεις ιδιωτικότητας για υπηρεσίες νέφους όπου ο οργανισμός ενεργεί ως εκτελών την επεξεργασία δεδομένων προσωπικού χαρακτήρα ή υπεργολάβος επεξεργασίας. Συνδέει εντολές πελάτη, πεδίο επεξεργασίας σε περιβάλλον νέφους, τεκμήρια κοινής ευθύνης, απομόνωση μισθωτών, πρόσβαση, καταγραφή, διακυβέρνηση υπεργολάβων επεξεργασίας, δρομολόγηση τοποθεσιών και διαβιβάσεων, διαγραφή, επιστροφή, υποστήριξη σε περίπτωση παραβίασης, υποστήριξη ελέγχου και παρακολούθηση με το μοντέλο τεκμηρίων του PIMS του οργανισμού. Η πολιτική αναθέτει σαφείς αρμοδιότητες στην Ανώτατη Διοίκηση, στον Επικεφαλής Ιδιωτικότητας / Υπεύθυνο PIMS, στον Υπεύθυνο Προστασίας Δεδομένων / Σύμβουλο Ιδιωτικότητας, στον Επικεφαλής Ασφάλειας Πληροφοριών, στον Ιδιοκτήτη Διεργασίας / Ιδιοκτήτη της επιχείρησης, στον Ιδιοκτήτη συστήματος / Ιδιοκτήτη Εφαρμογής, στον Υπεύθυνο Προμηθευτών / Προμηθειών, στον Συντονιστή Αντιμετώπισης Περιστατικών και στον Εσωτερικό Έλεγχο / Ανασκοπητή Συμμόρφωσης. Βασίζεται στα REG02, REG03, REG08, REG09, REG10 και REG12 για τη διατήρηση αρχείων έτοιμων για έλεγχο και την υποστήριξη ετοιμότητας πιστοποίησης PIMS κατά ISO/IEC 27701:2025 για εκτελούντες την επεξεργασία σε περιβάλλον νέφους και υπεργολάβους επεξεργασίας σε περιβάλλον νέφους.

Επεξεργασία βάσει τεκμηρίων

Συνδέει τις υποχρεώσεις του εκτελούντος την επεξεργασία σε περιβάλλον νέφους με τα REG02, REG03, REG08, REG09, REG10 και REG12 για αρχεία έτοιμα για έλεγχο.

Έλεγχος εντολών πελάτη

Απαιτεί τεκμηριωμένες εντολές πελάτη ή εντολές ανάντη εκτελούντος την επεξεργασία πριν από την έναρξη επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε περιβάλλον νέφους.

Ορατότητα εφοδιαστικής αλυσίδας νέφους

Καταγράφει υπεργολάβους επεξεργασίας, εξαρτήσεις νέφους, βάση έγκρισης, μετακυλιόμενες υποχρεώσεις, τοποθεσίες και τεκμήρια ανασκόπησης.

Ελεγχόμενος χειρισμός εξόδου

Καλύπτει τεκμήρια επιστροφής, διαβίβασης, διαγραφής και διάθεσης για ενεργά συστήματα, αντίγραφα ασφαλείας, αρχεία καταγραφής και αντίγραφα υποστήριξης.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ασφάλεια Πληροφορικής Προμήθειες

🏷️ Θεματική κάλυψη

Διαχείριση Πληροφοριών Ιδιωτικότητας επεξεργασία δεδομένων προσωπικού χαρακτήρα αρμοδιότητες υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία διαχείριση τρίτων μερών διεθνείς διαβιβάσεις δεδομένων διατήρηση και διάθεση δεδομένων διαχείριση παραβιάσεων
€59

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
Cloud PII Processor Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 9