Politika tal-Proċessur tal-PII fil-Cloud

Il-Politika tal-Proċessur tal-PII fil-Cloud tiddefinixxi rekwiżiti obbligatorji tal-privatezza għal servizzi cloud fejn l-organizzazzjoni taġixxi bħala proċessur tal-PII jew subproċessur. Il-kamp ta’ applikazzjoni tagħha jinkludi SaaS, PaaS, IaaS, applikazzjonijiet ospitati, cloud immaniġġjat, appoġġ cloud, ħażna cloud, analitika cloud u servizzi ta’ infrastruttura cloud li jipproċessaw PII f’isem il-klijenti. Il-politika hija mfassla biex iżżomm l-ipproċessar fil-cloud allinjat ma’ ftehimiet dokumentati mal-klijenti, istruzzjonijiet tal-klijent, istruzzjonijiet tal-proċessur upstream, arranġamenti tas-subproċessuri, konfigurazzjoni tar-reġjun cloud, aċċess għall-appoġġ cloud, amministrazzjoni tas-servizz, backup, replikazzjoni, logging, monitoraġġ, tħassir, ritorn, appoġġ għall-ksur, appoġġ għall-awditjar u obbligi ta’ assistenza lill-klijent. Għan ċentrali tal-politika huwa kontroll immexxi mill-evidenza. Qabel l-onboarding tal-klijent jew bidla materjali fis-servizz, il-Privacy Lead / Maniġer tal-PIMS għandu jirreġistra kull servizz ta’ pproċessar tal-PII fil-cloud, rwol tal-ipproċessar, sors tal-istruzzjoni tal-klijent, kategoriji tal-PII, kategoriji tal-prinċipal tal-PII, għan tas-servizz, post tal-ipproċessar, dipendenza fuq subproċessur, dipendenza tat-tħassir u markatur tat-trasferiment f’REG02 u REG08. Il-politika teħtieġ ukoll li l-applikabbiltà tal-kontroll tal-proċessur cloud tiġi rreġistrata f’REG03, li r-routing tat-trasferimenti u tal-postijiet jinqabad f’REG09 fejn rilevanti, li l-inċidenti tal-PII fil-cloud jiġu ġestiti permezz ta’ REG10, u li l-monitoraġġ, l-eċċezzjonijiet, it-tilwim, ir-riżultati tal-verifika u l-azzjonijiet korrettivi jiġu ttrattati permezz ta’ REG12. Dan iżomm l-obbligi tal-proċessur cloud integrati mas-sett eżistenti ta’ politiki tal-PIMS u jevita l-ħolqien ta’ reġistri separati għal kuntratti, servizzi, iżolament tat-tenants, aċċess, logs, tħassir, appoġġ, awditi, ksur jew subproċessuri. Il-politika tistabbilixxi rekwiżiti prattiċi tul iċ-ċiklu tal-ħajja tas-servizz cloud. Teħtieġ istruzzjonijiet dokumentati tal-klijent jew tal-proċessur upstream qabel jibda l-ipproċessar, rieżami ta’ istruzzjonijiet li jidhru inkonsistenti mal-obbligi jew mal-kamp ta’ applikazzjoni tas-servizz approvat, u approvazzjoni qabel ma kwalunkwe PII tal-klijent tiġi pproċessata barra mill-istruzzjonijiet dokumentati. Tindirizza wkoll il-konfigurazzjoni cloud u l-evidenza tas-sigurtà billi teħtieġ konfini ta’ responsabbiltà kondiviża, validazzjoni tal-iżolament tat-tenants, aċċess amministrattiv ikkontrollat, rieżami kull tliet xhur tal-aċċess privileġġjat u tal-kopertura tal-logging, separazzjoni tal-ambjenti, u postijiet irreġistrati tal-backup, tar-replikazzjoni, tal-ħażna tal-logs u tal-aċċess għall-appoġġ. Dawn ir-rekwiżiti huma marbuta b’mod intenzjonat mal-kontrolli eżistenti tas-sigurtà tal-PII minflok ma jissostitwixxu l-Politika usa’ dwar is-Sigurtà tal-PII u l-Kontroll tal-Aċċess. Il-governanza tas-subproċessuri u tal-katina tal-provvista cloud hija ttrattata bħala obbligi ewlenin tal-proċessur. Is-Sid tal-Fornitur / Akkwist għandu jirreġistra s-subproċessuri cloud, il-fornituri tal-infrastruttura, il-fornituri ta’ hosting, il-fornituri ta’ servizzi ġestiti, il-fornituri ta’ appoġġ u dipendenzi materjali oħra tas-servizzi cloud qabel l-użu. Il-politika teħtieġ evidenza tal-awtorizzazzjoni tal-klijent jew bażi ta’ awtorizzazzjoni dokumentata, obbligi mgħoddija lill-partijiet sussegwenti għall-privatezza, is-sigurtà, l-assistenza, l-inċidenti, ir-ritorn, it-tħassir, l-appoġġ għall-awditjar u t-trasferimenti, u reġistri tal-postijiet tas-servizz, postijiet tal-appoġġ remot, reġjuni ta’ hosting u routing tat-trasferiment ulterjuri. Teħtieġ ukoll notifika lill-klijent dwar bidliet intenzjonati fis-subproċessuri cloud fil-perjodu ta’ avviż meħtieġ kuntrattwalment u mill-inqas rieżami annwali tar-reġistri attivi tas-subproċessuri cloud u tad-dipendenzi cloud. Il-politika tkopri wkoll assistenza lill-klijent, appoġġ għall-awditjar, interfaċċa tal-ksur, tħassir u ħruġ. L-obbligi ta’ assistenza lill-klijent għal talbiet ta’ drittijiet, tħassir, korrezzjoni, restrizzjoni, aċċess, awditjar, appoġġ għad-DPIA u appoġġ għall-ksur għandhom jiġu rreġistrati qabel l-eżekuzzjoni tal-kuntratt jew l-attivazzjoni tas-servizz. L-appoġġ għad-drittijiet mitlub mill-klijent għandu jitlesta fil-perjodu ta’ żmien miftiehem mal-klijent, it-talbiet ta’ assistenza għal DPIA jew evalwazzjoni sinifikanti għall-privatezza għandhom jiġu rieżaminati fi żmien għaxart ijiem ta’ negozju, u talbiet ta’ assistenza li jkunu skadew jew ikkontestati għandhom jiġu traċċati. Għall-ħruġ, il-politika teħtieġ evidenza tal-kapaċità ta’ esportazzjoni, ritorn, trasferiment jew tħassir qabel onboarding jew bidla materjali fis-servizz, tlestija fil-perjodi ta’ żmien miftiehma mal-klijent, inklużjoni ta’ sistemi live, backups, repliki, logs, fajls temporanji, ambjenti ta’ staging u kopji ta’ appoġġ, u trattament tan-nuqqas ta’ konformità meta l-obbligi ma jkunux jistgħu jitlestew fil-ħin. Il-governanza tissaħħaħ permezz ta’ rieżamijiet kull tliet xhur tal-kompletezza tal-evidenza, rieżamijiet annwali tal-politika u tas-subproċessuri, kampjunar tal-awditjar, metriċi, azzjonijiet ta’ implimentazzjoni u approvazzjoni mit-Tmexxija Għolja għal eċċezzjonijiet u reviżjonijiet materjali.