Debesijos PII duomenų tvarkytojo politika

Debesijos PII duomenų tvarkytojo politika apibrėžia privalomus privatumo reikalavimus debesijos paslaugoms, kuriose organizacija veikia kaip PII duomenų tvarkytojas arba subtvarkytojas. Jos taikymo sritis apima SaaS, PaaS, IaaS, talpinamas taikomąsias programas, valdomą debesiją, pagalbą debesijos paslaugoms, debesijos saugyklą, debesijos analitiką ir debesijos infrastruktūros paslaugas, kurios tvarko PII klientų vardu. Politika skirta užtikrinti, kad tvarkymas debesijoje būtų suderintas su dokumentuotais klientų susitarimais, kliento nurodymais, aukštesnio lygmens duomenų tvarkytojo nurodymais, subtvarkytojų susitarimais, debesijos regiono konfigūracija, techninės pagalbos prieiga debesijoje, paslaugos administravimu, atsarginių kopijų kūrimu, replikacija, žurnalavimu, stebėsena, ištrynimu, grąžinimu, pagalba pažeidimo atveju, pagalba auditui ir pagalbos klientui prievolėmis. Pagrindinis politikos tikslas yra įrodymais grindžiama kontrolė. Prieš kliento įtraukimą arba esminį paslaugos pakeitimą privatumo vadovas / PIMS vadovas turi REG02 ir REG08 įrašyti kiekvieną debesijos PII tvarkymo paslaugą, tvarkymo vaidmenį, kliento nurodymų šaltinį, PII kategorijas, duomenų subjektų kategorijas, paslaugos tikslą, tvarkymo vietą, subtvarkytojo priklausomybę, ištrynimo priklausomybę ir perdavimo žymą. Politika taip pat reikalauja REG03 įrašyti debesijos duomenų tvarkytojo kontrolės priemonių taikomumą, REG09, kai aktualu, fiksuoti duomenų perdavimo ir vietos maršrutizavimą, debesijos PII incidentus valdyti per REG10, o stebėseną, išimtis, ginčus, validavimo rezultatus ir korekcinius veiksmus tvarkyti per REG12. Taip debesijos duomenų tvarkytojo prievolės integruojamos su esamu PIMS politikų rinkiniu ir išvengiama atskirų registrų kūrimo sutartims, paslaugoms, nuomininkų izoliavimui, prieigai, žurnalams, ištrynimui, pagalbai, auditams, pažeidimams ar subtvarkytojams. Politika nustato praktinius reikalavimus visam debesijos paslaugos gyvavimo ciklui. Ji reikalauja dokumentuotų kliento arba aukštesnio lygmens duomenų tvarkytojo nurodymų prieš pradedant tvarkymą, nurodymų, kurie atrodo nesuderinami su prievolėmis arba patvirtinta paslaugos taikymo sritimi, peržiūros ir patvirtinimo prieš tvarkant bet kokius kliento PII duomenis ne pagal dokumentuotus nurodymus. Ji taip pat apima debesijos konfigūracijos ir saugumo įrodymus, reikalaudama bendros atsakomybės ribų, nuomininkų izoliavimo validavimo, kontroliuojamos administratoriaus lygmens prieigos, privilegijuotos prieigos ir žurnalavimo aprėpties ketvirtinės peržiūros, aplinkų atskyrimo ir įrašytų atsarginių kopijų, replikacijos, žurnalų saugojimo ir techninės pagalbos prieigos vietų. Šie reikalavimai sąmoningai siejami su esamomis PII saugumo kontrolės priemonėmis, o ne pakeičia platesnę PII saugumo ir prieigos kontrolės politiką. Subtvarkytojų ir debesijos tiekimo grandinės valdysena laikoma pagrindine duomenų tvarkytojo prievole. Tiekėjų / pirkimų savininkas prieš naudojimą turi įrašyti debesijos subtvarkytojus, infrastruktūros teikėjus, prieglobos paslaugų teikėjus, valdomų paslaugų teikėjus, pagalbos teikėjus ir kitas esmines debesijos paslaugų priklausomybes. Politika reikalauja kliento autorizavimo arba dokumentuoto autorizavimo pagrindo įrodymų, toliau perduodamų prievolių dėl privatumo, saugumo, pagalbos, incidentų, grąžinimo, ištrynimo, pagalbos auditui ir duomenų perdavimų, taip pat paslaugų vietų, nuotolinės pagalbos vietų, prieglobos regionų ir tolesnio perdavimo maršrutizavimo įrašų. Ji taip pat reikalauja klientą informuoti apie numatomus debesijos subtvarkytojų pakeitimus per sutartyje nustatytą pranešimo laikotarpį ir bent kartą per metus peržiūrėti aktyvius debesijos subtvarkytojų ir debesijos priklausomybių įrašus. Politika taip pat apima pagalbą klientui, pagalbą auditui, sąsają pažeidimo atveju, ištrynimą ir išėjimą. Pagalbos klientui prievolės dėl prašymų įgyvendinti teises, ištrynimo, ištaisymo, apribojimo, prieigos, audito, DPIA pagalbos ir pagalbos pažeidimo atveju turi būti įrašytos prieš sutarties pasirašymą arba paslaugos aktyvavimą. Kliento prašoma pagalba dėl teisių turi būti suteikta per su klientu sutartą terminą, privatumo požiūriu reikšmingi DPIA arba vertinimo pagalbos prašymai turi būti peržiūrėti per dešimt darbo dienų, o vėluojantys arba ginčijami pagalbos prašymai turi būti sekami. Išėjimo atveju politika reikalauja eksporto, grąžinimo, perdavimo arba ištrynimo galimybių įrodymų prieš įtraukimą arba esminį paslaugos pakeitimą, įvykdymo per su klientu sutartus terminus, aktyvių sistemų, atsarginių kopijų, replikų, žurnalų, laikinųjų failų, parengiamųjų aplinkų ir pagalbos kopijų įtraukimo, taip pat neatitikčių tvarkymo, kai prievolių negalima įvykdyti laiku. Valdysena sustiprinama ketvirtinėmis įrodymų išsamumo peržiūromis, metinėmis politikos ir subtvarkytojų peržiūromis, audito imčių tikrinimu, rodikliais, politikos taikymo veiksmais ir aukščiausiosios vadovybės patvirtinimu esminėms išimtims ir pakeitimams.