policy ISO 27701 PIMS Policy Pack

Felhőalapú PII-adatfeldolgozói szabályzat

ISO 27701-gyel összhangban álló felhőalapú PII-adatfeldolgozói szabályzat, amely lefedi az ügyfélutasításokat, az al-adatfeldolgozókat, a hozzáférést, az adattovábbításokat, a törlést, az adatsértés támogatását és a bizonyító anyagokat.

Áttekintés

A Felhőalapú PII-adatfeldolgozói szabályzat meghatározza, hogyan kell szabályozni a felhőalapú PII-kezelést, amikor a szervezet adatfeldolgozóként vagy al-adatfeldolgozóként jár el. Lefedi az ügyfélutasításokat, a megosztott felelősséget, a bérlői elkülönítést, az al-adatfeldolgozókat, az adattovábbításokat, a törlést, az adatsértés támogatását, az auditokat és a bizonyító anyagokat a REG02, REG03, REG08, REG09, REG10 és REG12 keretében.

Felhőalapú adatfeldolgozói kontroll

Meghatározza a SaaS, PaaS, IaaS, hosztolt, menedzselt felhő, tárolás, analitika és infrastruktúra PII-kezelésére vonatkozó kötelező adatvédelmi követelményeket.

Utasításalapú adatkezelés

Előírja, hogy a felhőalapú PII-kezelés megkezdése előtt az ügyfél vagy a feljebb lévő adatfeldolgozó utasításait rögzíteni, felülvizsgálni és követni kell.

Al-adatfeldolgozói irányítás

Lefedi a felhőalapú al-adatfeldolgozók engedélyezését, a továbbadott követelményeket, a helyszíneket, a változásokról szóló értesítéseket, a nyomon követést és a kilépési bizonyító anyagokat.

Kilépési bizonyító anyagokra való felkészültség

Előírja a visszaadásra, adattovábbításra, törlésre, megsemmisítésre és az al-adatfeldolgozói kilépésre vonatkozó bizonyító anyagokat az éles rendszerek, biztonsági mentések, naplók és támogatási másolatok esetében.

Teljes áttekintés olvasása (click to expand)
A Felhőalapú PII-adatfeldolgozói szabályzat meghatározza a felhőszolgáltatásokra vonatkozó kötelező adatvédelmi követelményeket, amikor a szervezet PII-adatfeldolgozóként vagy al-adatfeldolgozóként jár el. Hatálya kiterjed a SaaS, PaaS, IaaS, hosztolt alkalmazásokra, menedzselt felhőre, felhőalapú támogatásra, felhőalapú tárolásra, felhőalapú analitikára és felhőinfrastruktúra-szolgáltatásokra, amelyek az ügyfelek nevében PII-t kezelnek. A szabályzat célja, hogy a felhőalapú adatkezelés összhangban maradjon a dokumentált ügyfélmegállapodásokkal, ügyfélutasításokkal, feljebb lévő adatfeldolgozói utasításokkal, al-adatfeldolgozói megállapodásokkal, felhőrégió-konfigurációval, felhőalapú támogatási hozzáféréssel, szolgáltatásadminisztrációval, biztonsági mentéssel, replikációval, naplózással, nyomon követéssel, törléssel, visszaadással, adatsértés támogatásával, audittámogatással és ügyféltámogatási kötelezettségekkel. A szabályzat központi célja a bizonyító anyagokra épülő kontroll. Az ügyfél beléptetése vagy lényeges szolgáltatásváltozás előtt az adatvédelmi vezetőnek / PIMS-vezetőnek rögzítenie kell a REG02-ben és a REG08-ban minden felhőalapú PII-kezelési szolgáltatást, adatkezelési szerepkört, ügyfélutasítás forrását, PII-kategóriát, PII-alanyi kategóriát, szolgáltatási célt, adatkezelési helyszínt, al-adatfeldolgozói függőséget, törlési függőséget és adattovábbítási jelölést. A szabályzat előírja továbbá, hogy a felhőalapú adatfeldolgozói kontrollok alkalmazhatóságát a REG03-ban kell rögzíteni, az adattovábbítási és helyszíni útvonalakat szükség szerint a REG09-ben kell nyilvántartani, a felhőalapú PII-incidenseket a REG10-en keresztül kell kezelni, a nyomon követést, kivételeket, vitákat, ellenőrzési eredményeket és helyesbítő intézkedéseket pedig a REG12-n keresztül kell kezelni. Ez biztosítja, hogy a felhőalapú adatfeldolgozói kötelezettségek integrálódjanak a meglévő PIMS-szabályzatkészletbe, és ne jöjjenek létre külön nyilvántartások szerződésekre, szolgáltatásokra, bérlői elkülönítésre, hozzáférésre, naplókra, törlésre, támogatásra, auditokra, adatsértésekre vagy al-adatfeldolgozókra. A szabályzat gyakorlati követelményeket állapít meg a felhőszolgáltatási életciklus egészére. Előírja a dokumentált ügyfél- vagy feljebb lévő adatfeldolgozói utasításokat az adatkezelés megkezdése előtt, az olyan utasítások felülvizsgálatát, amelyek ellentétesnek tűnnek a kötelezettségekkel vagy a jóváhagyott szolgáltatási hatókörrel, valamint a jóváhagyást minden olyan esetben, amikor az ügyfél PII-jét a dokumentált utasításokon kívül kezelnék. A szabályzat a felhőkonfigurációs és biztonsági bizonyító anyagokra is kitér: előírja a megosztott felelősségi határok, a bérlői elkülönítés ellenőrzése, a szabályozott adminisztrátori hozzáférés, az emelt jogosultságú hozzáférés és a naplózási lefedettség negyedéves felülvizsgálatának, a környezetek szétválasztásának, valamint a biztonsági mentési, replikációs, naplótárolási és támogatási hozzáférési helyszínek rögzítésének követelményeit. Ezek a követelmények szándékosan a meglévő PII-biztonsági kontrollokhoz kapcsolódnak, nem pedig a szélesebb PII-biztonsági és hozzáférés-szabályozási szabályzat helyébe lépnek. Az al-adatfeldolgozói és felhőalapú ellátási lánc irányítása alapvető adatfeldolgozói kötelezettségként jelenik meg. A beszállítói / beszerzési felelősnek használat előtt rögzítenie kell a felhőalapú al-adatfeldolgozókat, infrastruktúra-szolgáltatókat, tárhelyszolgáltatókat, menedzselt szolgáltatókat, támogatási szolgáltatókat és más lényeges felhőszolgáltatási függőségeket. A szabályzat előírja az ügyfélengedély vagy dokumentált engedélyezési alap bizonyító anyagát, az adatvédelemre, biztonságra, segítségnyújtásra, incidensekre, visszaadásra, törlésre, audittámogatásra és adattovábbításokra vonatkozó továbbadott követelményeket, valamint a szolgáltatási helyszínek, távoli támogatási helyszínek, tárhelyrégiók és további adattovábbítási útvonalak nyilvántartását. Előírja továbbá az ügyfelek értesítését a tervezett felhőalapú al-adatfeldolgozói változásokról a szerződésben előírt értesítési időszakon belül, valamint az aktív felhőalapú al-adatfeldolgozói és felhőfüggőségi nyilvántartások legalább éves felülvizsgálatát. A szabályzat lefedi az ügyféltámogatást, az audittámogatást, az adatsértési kapcsolódási pontot, a törlést és a kilépést is. A joggyakorlási kérelmekkel, törléssel, helyesbítéssel, korlátozással, hozzáféréssel, audittal, DPIA-támogatással és adatsértés-támogatással kapcsolatos ügyféltámogatási kötelezettségeket a szerződéskötés vagy a szolgáltatás aktiválása előtt rögzíteni kell. Az ügyfél által kért joggyakorlási támogatást az ügyféllel megállapodott határidőn belül kell teljesíteni, az adatvédelmi szempontból jelentős DPIA- vagy értékelési támogatási kérelmeket tíz munkanapon belül felül kell vizsgálni, a késedelmes vagy vitatott támogatási kérelmeket pedig nyomon kell követni. Kilépés esetén a szabályzat előírja az exportálási, visszaadási, adattovábbítási vagy törlési képesség bizonyító anyagát a beléptetés vagy lényeges szolgáltatásváltozás előtt, a teljesítést az ügyféllel megállapodott határidőkön belül, az éles rendszerek, biztonsági mentések, replikák, naplók, ideiglenes fájlok, előéles környezetek és támogatási másolatok bevonását, valamint a meg nem felelések kezelését, ha a kötelezettségek nem teljesíthetők időben. Az irányítást negyedéves bizonyítóanyag-teljességi felülvizsgálatok, éves szabályzat- és al-adatfeldolgozói felülvizsgálatok, auditmintavétel, mutatók, betartatási intézkedések, valamint a lényeges kivételek és módosítások felső vezetés általi jóváhagyása erősíti meg.

Irányelv-diagram

Folyamatábra, amely bemutatja a felhőalapú PII-adatfeldolgozói irányítást a beléptetéstől és az ügyfélutasítások rögzítésétől a megosztott felelősség és a bérlői elkülönítés ellenőrzésén, az al-adatfeldolgozói engedélyezésen, az adattovábbítási útvonalakon, az ügyféltámogatáson, az incidens kapcsolódási pontján, a kilépéskori törlésen vagy visszaadáson át a negyedéves nyomon követésig, a kivételek és helyesbítő intézkedések PIMS-nyilvántartásokban történő rögzítésével.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

Felhőalapú PII-kezelési hatókör és ügyfélutasítási nyilvántartások

Megosztott felelősségre, bérlői elkülönítésre, hozzáférésre és naplózásra vonatkozó bizonyító anyagok

Al-adatfeldolgozói és felhőalapú ellátási lánc irányítása

Helyszíni, távoli hozzáférési és nemzetközi adattovábbítási útvonalak

Visszaadási, adattovábbítási, törlési, megsemmisítési és kilépési bizonyító anyagok

Nyomon követés, kivételek, betartatás és helyesbítő intézkedés

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9Annex A.3.8Annex A.3.9Annex A.3.14Annex A.3.24Annex A.3.25
EU GDPR
Article 28Article 30Article 32Article 33Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3Annex A.7Annex A.7.2
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A controls 5.19Annex A controls 5.20Annex A controls 5.21Annex A controls 5.22Annex A controls 5.23
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23Control 8.10Control 8.15Control 8.16
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7

Kapcsolódó irányelvek

Adatfeldolgozói, al-adatfeldolgozói és harmadik felekkel fennálló adatvédelmi kapcsolatok kezelésére vonatkozó szabályzat

Közvetlenül támogatja a jelen szabályzat által megkövetelt felhőalapú al-adatfeldolgozói és harmadik felekre vonatkozó életciklus-irányítást.

Nemzetközi adattovábbítási szabályzat

Támogatja a felhőben kezelt ügyfél-PII helyszíni, távoli hozzáférési és további adattovábbítási útvonalaira vonatkozó követelményeket.

Biztonsági és hozzáférés-szabályozási szabályzat

Biztosítja azt a szélesebb PII-biztonsági és hozzáférés-szabályozási architektúrát, amelyre a felhőalapú hozzáférési, naplózási és bérlői elkülönítési kontrollok hivatkoznak.

Incidens- és adatsértés-kezelési szabályzat

Összekapcsolja a felhőalapú PII-incidensek észlelését, az ügyfélértesítést és az adatsértés-támogatási bizonyító anyagokat az incidenskezelési munkafolyamattal.

Megőrzési, törlési és megsemmisítési szabályzat

Támogatja az ügyfél-PII-re és az al-adatfeldolgozói másolatokra vonatkozó visszaadási, törlési, megsemmisítési és kilépési bizonyítóanyag-követelményeket.

PIMS dokumentált információkra és bizonyítékkezelésre vonatkozó szabályzat

Támogatja a REG02, REG03, REG08, REG09, REG10 és REG12 során alkalmazott dokumentált információ- és kanonikus bizonyítékkezelést.

A Clarysec irányelveiről - Felhőalapú PII-adatfeldolgozói szabályzat

A Felhőalapú PII-adatfeldolgozói szabályzat operatív adatvédelmi követelményeket állapít meg azon felhőszolgáltatásokra, amelyeknél a szervezet PII-adatfeldolgozóként vagy al-adatfeldolgozóként jár el. Az ügyfélutasításokat, a felhőalapú adatkezelési hatókört, a megosztott felelősségre vonatkozó bizonyító anyagokat, a bérlői elkülönítést, a hozzáférést, a naplózást, az al-adatfeldolgozói irányítást, a helyszíni és adattovábbítási útvonalakat, a törlést, a visszaadást, az adatsértés támogatását, az audittámogatást és a nyomon követést a szervezet PIMS bizonyítékmodelljébe kapcsolja. A szabályzat egyértelmű felelősségeket rendel a felső vezetéshez, az adatvédelmi vezetőhöz / PIMS-vezetőhöz, az adatvédelmi tisztviselőhöz / adatvédelmi tanácsadóhoz, az információbiztonsági vezetőhöz, a folyamatgazdához / üzlettulajdonoshoz, a rendszergazdához / alkalmazástulajdonoshoz, a beszállítói / beszerzési felelőshöz, az incidensreagálási koordinátorhoz és a belső audit / megfelelőségi felülvizsgálóhoz. A REG02, REG03, REG08, REG09, REG10 és REG12 elemekre támaszkodik az auditra való felkészültséget támogató nyilvántartások fenntartásához, valamint az ISO/IEC 27701:2025 szerinti PIMS-tanúsításra való felkészültség támogatásához felhőalapú adatfeldolgozók és felhőalapú al-adatfeldolgozók esetében.

Bizonyító anyagokra épülő adatkezelés

A felhőalapú adatfeldolgozói kötelezettségeket a REG02, REG03, REG08, REG09, REG10 és REG12 elemekhez kapcsolja az auditra való felkészültséget támogató nyilvántartások érdekében.

Ügyfélutasítások szabályozása

Dokumentált ügyfél- vagy feljebb lévő adatfeldolgozói utasításokat ír elő a felhőalapú PII-kezelés megkezdése előtt.

Felhőalapú ellátási lánc átláthatósága

Rögzíti az al-adatfeldolgozókat, a felhőfüggőségeket, az engedélyezési alapot, a továbbadott kötelezettségeket, a helyszíneket és a felülvizsgálati bizonyító anyagokat.

Szabályozott kilépéskezelés

Lefedi az éles rendszerekre, biztonsági mentésekre, naplókra és támogatási másolatokra vonatkozó visszaadási, adattovábbítási, törlési és megsemmisítési bizonyító anyagokat.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

Adatvédelem jogi ügyek megfelelés IT-biztonság beszerzés

🏷️ Témafedezet

Adatvédelmi információkezelés személyes adatok kezelése adatkezelői és adatfeldolgozói felelősségek harmadik felek kezelése nemzetközi adattovábbítások adatmegőrzés és megsemmisítés adatsértés-kezelés
€59

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések

Ez a szabályzat 1 a 25-ből a teljes ISO/IEC 27701 PIMS-csomagban

52% megtakarítás

Szerezze meg mind a 25 PIMS-szabályzatot, a teljes nyilvántartáskészletet és egy részletes bevezetési tervet €799-ért €1 675 helyett, ha egyenként vásárolja meg.

Teljes 27701-csomag megtekintése →
Cloud PII Processor Policy

Termék részletei

Típus: policy
Kategória: ISO 27701 PIMS Policy Pack
Szabványok: 9