policy ISO 27701 PIMS Policy Pack

Polityka podmiotu przetwarzającego PII w chmurze obliczeniowej

Polityka podmiotu przetwarzającego PII w chmurze obliczeniowej zgodna z ISO 27701, obejmująca polecenia klienta, podwykonawców przetwarzania, dostęp, transfery, usuwanie, wsparcie przy naruszeniach i dowody.

Przegląd

Polityka podmiotu przetwarzającego PII w chmurze obliczeniowej określa, jak należy kontrolować przetwarzanie PII w chmurze obliczeniowej, gdy organizacja działa jako podmiot przetwarzający lub podwykonawca przetwarzania. Obejmuje polecenia klienta, współdzieloną odpowiedzialność, izolację tenantów, podwykonawców przetwarzania, transfery, usuwanie, wsparcie przy naruszeniach, audyty i dowody w ramach REG02, REG03, REG08, REG09, REG10 i REG12.

Kontrola podmiotu przetwarzającego w chmurze obliczeniowej

Określa obowiązkowe wymagania dotyczące prywatności dla SaaS, PaaS, IaaS, aplikacji hostowanych, zarządzanej chmury obliczeniowej, przechowywania, analityki i przetwarzania PII w infrastrukturze.

Przetwarzanie oparte na poleceniach

Wymaga zarejestrowania, przeglądu i przestrzegania poleceń klienta lub nadrzędnego podmiotu przetwarzającego przed rozpoczęciem przetwarzania PII w chmurze obliczeniowej.

Nadzór nad podwykonawcami przetwarzania

Obejmuje autoryzację podwykonawców przetwarzania w chmurze obliczeniowej, obowiązki przenoszone na dalsze podmioty, lokalizacje, powiadomienia o zmianach, monitorowanie i dowody zakończenia współpracy.

Gotowość dowodowa przy wyjściu

Wymaga dowodów zwrotu, transferu, usunięcia, utylizacji i zakończenia współpracy z podwykonawcami przetwarzania dla systemów produkcyjnych, kopii zapasowych, logów i kopii wsparcia.

Czytaj pełny przegląd (click to expand)
Polityka podmiotu przetwarzającego PII w chmurze obliczeniowej określa obowiązkowe wymagania dotyczące prywatności dla usług chmurowych, w których organizacja działa jako podmiot przetwarzający PII lub podwykonawca przetwarzania. Jej zakres obejmuje SaaS, PaaS, IaaS, aplikacje hostowane, zarządzaną chmurę obliczeniową, wsparcie chmurowe, przechowywanie w chmurze obliczeniowej, analitykę chmurową i usługi infrastruktury chmurowej, które przetwarzają PII w imieniu klientów. Polityka ma utrzymywać przetwarzanie w chmurze obliczeniowej w zgodności z udokumentowanymi umowami z klientami, poleceniami klienta, poleceniami nadrzędnego podmiotu przetwarzającego, uzgodnieniami z podwykonawcami przetwarzania, konfiguracją regionów chmurowych, dostępem personelu wsparcia dostawcy usług chmurowych, administracją usługami, kopiami zapasowymi, replikacją, rejestrowaniem, monitorowaniem, usuwaniem, zwrotem, wsparciem przy naruszeniach, wsparciem audytowym oraz obowiązkami pomocy klientowi. Głównym celem polityki jest kontrola oparta na dowodach. Przed onboardingiem klienta lub istotną zmianą usługi osoba odpowiedzialna za prywatność / menedżer PIMS musi zarejestrować w REG02 i REG08 każdą usługę przetwarzania PII w chmurze obliczeniowej, rolę w przetwarzaniu, źródło polecenia klienta, kategorie PII, kategorie osób, których dane dotyczą, cel usługi, lokalizację przetwarzania, zależność od podwykonawcy przetwarzania, zależność związaną z usuwaniem oraz znacznik transferu. Polityka wymaga również rejestrowania stosowalności zabezpieczeń dla podmiotu przetwarzającego w chmurze obliczeniowej w REG03, ujmowania tras transferu i lokalizacji w REG09, gdy ma to zastosowanie, zarządzania incydentami PII w chmurze obliczeniowej przez REG10 oraz obsługi monitorowania, wyjątków, sporów, wyników walidacji i działań korygujących przez REG12. Utrzymuje to obowiązki podmiotu przetwarzającego w chmurze obliczeniowej w powiązaniu z istniejącym zestawem polityk PIMS i pozwala uniknąć tworzenia odrębnych rejestrów dla umów, usług, izolacji tenantów, dostępu, logów, usuwania, wsparcia, audytów, naruszeń lub podwykonawców przetwarzania. Polityka ustanawia praktyczne wymagania w całym cyklu życia usługi chmurowej. Wymaga udokumentowanych poleceń klienta lub nadrzędnego podmiotu przetwarzającego przed rozpoczęciem przetwarzania, przeglądu poleceń, które wydają się niespójne z obowiązkami lub zatwierdzonym zakresem usługi, oraz zatwierdzenia przed przetwarzaniem PII klienta poza udokumentowanymi poleceniami. Odnosi się także do konfiguracji chmurowej i dowodów bezpieczeństwa przez wymaganie granic współdzielonej odpowiedzialności, walidacji izolacji tenantów, kontrolowanego dostępu administracyjnego, kwartalnego przeglądu dostępu uprzywilejowanego i pokrycia rejestrowaniem, separacji środowisk oraz zarejestrowanych lokalizacji kopii zapasowych, replikacji, przechowywania logów i dostępu wsparcia. Wymagania te są celowo powiązane z istniejącymi zabezpieczeniami PII, a nie zastępują szerszej Polityki bezpieczeństwa PII i kontroli dostępu. Nadzór nad podwykonawcami przetwarzania i chmurowym łańcuchem dostaw jest traktowany jako podstawowy obowiązek podmiotu przetwarzającego. Właściciel ds. dostawców / zakupów musi przed użyciem zarejestrować podwykonawców przetwarzania w chmurze obliczeniowej, dostawców infrastruktury, dostawców hostingu, dostawców usług zarządzanych, dostawców wsparcia i inne istotne zależności od usług chmurowych. Polityka wymaga dowodów autoryzacji klienta albo udokumentowanej podstawy autoryzacji, obowiązków przenoszonych na dalsze podmioty w zakresie prywatności, bezpieczeństwa, pomocy, incydentów, zwrotu, usuwania, wsparcia audytowego i transferów, a także zapisów lokalizacji usług, lokalizacji wsparcia zdalnego, regionów hostingu i tras dalszego transferu. Wymaga również powiadamiania klientów o planowanych zmianach podwykonawców przetwarzania w chmurze obliczeniowej w terminie wymaganym umową oraz co najmniej corocznego przeglądu aktywnych zapisów podwykonawców przetwarzania w chmurze obliczeniowej i zależności chmurowych. Polityka obejmuje również pomoc klientowi, wsparcie audytowe, interfejs naruszeń, usuwanie i wyjście. Obowiązki pomocy klientowi dotyczące wniosków o realizację praw, usuwania, sprostowania danych, ograniczenia, dostępu, audytu, wsparcia DPIA i wsparcia przy naruszeniach muszą zostać zarejestrowane przed zawarciem umowy lub aktywacją usługi. Wsparcie przy wnioskach o realizację praw żądane przez klienta musi zostać wykonane w terminie uzgodnionym z klientem, istotne z punktu widzenia prywatności wnioski o wsparcie DPIA lub oceny muszą zostać zweryfikowane w ciągu dziesięciu dni roboczych, a opóźnione lub sporne wnioski o pomoc muszą być śledzone. W przypadku wyjścia polityka wymaga dowodów możliwości eksportu, zwrotu, transferu lub usunięcia przed onboardingiem albo istotną zmianą usługi, realizacji w terminach uzgodnionych z klientem, objęcia systemów produkcyjnych, kopii zapasowych, replik, logów, plików tymczasowych, środowisk testowych i kopii wsparcia oraz obsługi niezgodności, gdy obowiązki nie mogą zostać wykonane w terminie. Nadzór jest wzmacniany przez kwartalne przeglądy kompletności dowodów, coroczne przeglądy polityki i podwykonawców przetwarzania, próbkowanie audytowe, wskaźniki, działania egzekwujące oraz zatwierdzenie istotnych wyjątków i zmian przez najwyższe kierownictwo.

Diagram polityki

Diagram przepływu procesu przedstawiający nadzór nad podmiotem przetwarzającym PII w chmurze obliczeniowej od onboardingu i ujmowania poleceń klienta, przez walidację współdzielonej odpowiedzialności i izolacji tenantów, autoryzację podwykonawców przetwarzania, trasy transferu, pomoc klientowi, interfejs incydentów, usuwanie lub zwrot przy wyjściu oraz kwartalne monitorowanie z wyjątkami i działaniami korygującymi zapisywanymi w rejestrach PIMS.

Kliknij diagram, aby wyświetlić w pełnym rozmiarze

Zawartość

Zakres przetwarzania PII w chmurze obliczeniowej i zapisy poleceń klienta

Dowody współdzielonej odpowiedzialności, izolacji tenantów, dostępu i rejestrowania

Nadzór nad podwykonawcami przetwarzania i chmurowym łańcuchem dostaw

Trasy lokalizacji, dostępu zdalnego i transferów międzynarodowych

Dowody zwrotu, transferu, usunięcia, utylizacji i wyjścia

Monitorowanie, wyjątki, egzekwowanie i działania korygujące

Zgodność z frameworkiem

🛡️ Obsługiwane standardy i frameworki

Ten produkt jest zgodny z następującymi frameworkami zgodności, ze szczegółowym mapowaniem klauzul i kontroli.

Framework Objęte klauzule / Kontrole
ISO/IEC 27701:2025
Clause 4.1Clause 6.1.3Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.2.2.2Annex A.2.2.3Annex A.2.2.5Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.2.5.2Annex A.2.5.3Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.2.5.7Annex A.2.5.8Annex A.2.5.9Annex A.3.8Annex A.3.9Annex A.3.14Annex A.3.24Annex A.3.25
EU GDPR
Article 28Article 30Article 32Article 33Article 44
ISO/IEC 29100:2020
Clause 5.3Clause 5.5Clause 5.6Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 15.1.2Clause 15.2.2Clause 15.2.3Annex A.7Annex A.7.2
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A controls 5.19Annex A controls 5.20Annex A controls 5.21Annex A controls 5.22Annex A controls 5.23
ISO/IEC 27002:2022
Control 5.19Control 5.20Control 5.21Control 5.22Control 5.23Control 8.10Control 8.15Control 8.16
ISO/IEC 27018:2020
Annex A.2.1Annex A.3.1Annex A.6.1Annex A.6.2Annex A.8.1Annex A.10.1Annex A.10.3Annex A.11.11Annex A.11.12Annex A.12.1
ISO/IEC 27036-2:2022
Clause 6.1.1Clause 6.1.2Clause 7.1Clause 7.2Clause 7.3Clause 7.4Clause 7.5
ISO/IEC 27555:2025
Clause 5.1Clause 5.2Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 9.1Clause 9.2Clause 9.3Clause 9.4Clause 9.5Clause 9.6Clause 9.7

Powiązane polityki

Polityka zarządzania prywatnością podmiotów przetwarzających, podwykonawców przetwarzania i stron trzecich

Bezpośrednio wspiera nadzór nad cyklem życia podwykonawców przetwarzania w chmurze obliczeniowej i stron trzecich wymagany przez tę politykę.

Polityka transferów międzynarodowych

Wspiera wymagania dotyczące lokalizacji, dostępu zdalnego i tras dalszego transferu dla PII klientów w chmurze obliczeniowej.

Polityka bezpieczeństwa i kontroli dostępu

Zapewnia szerszą architekturę bezpieczeństwa PII i kontroli dostępu, do której odwołują się środki kontrolne dotyczące dostępu chmurowego, rejestrowania i izolacji tenantów.

Polityka zarządzania incydentami i naruszeniami

Łączy wykrywanie incydentów PII w chmurze obliczeniowej, powiadamianie klientów i dowody wsparcia przy naruszeniach z procesem obsługi incydentów.

Polityka retencji, usuwania i utylizacji

Wspiera wymagania dotyczące dowodów zwrotu, usunięcia, utylizacji i wyjścia dla PII klientów oraz kopii u podwykonawców przetwarzania.

Polityka zarządzania udokumentowaną informacją i dowodami PIMS

Wspiera udokumentowaną informację i kanoniczne postępowanie z dowodami stosowane w REG02, REG03, REG08, REG09, REG10 i REG12.

O politykach Clarysec - Polityka podmiotu przetwarzającego PII w chmurze obliczeniowej

Polityka podmiotu przetwarzającego PII w chmurze obliczeniowej ustanawia operacyjne wymagania dotyczące prywatności dla usług chmurowych, w których organizacja działa jako podmiot przetwarzający PII lub podwykonawca przetwarzania. Łączy polecenia klienta, zakres przetwarzania w chmurze obliczeniowej, dowody współdzielonej odpowiedzialności, izolację tenantów, dostęp, rejestrowanie, nadzór nad podwykonawcami przetwarzania, trasy lokalizacji i transferów, usuwanie, zwrot, wsparcie przy naruszeniach, wsparcie audytowe i monitorowanie z modelem dowodowym PIMS organizacji. Polityka przypisuje jasne odpowiedzialności najwyższemu kierownictwu, osobie odpowiedzialnej za prywatność / menedżerowi PIMS, Inspektorowi Ochrony Danych / doradcy ds. prywatności, osobie odpowiedzialnej za bezpieczeństwo informacji, właścicielowi procesu / właścicielowi biznesowemu, właścicielowi systemu / właścicielowi aplikacji, właścicielowi ds. dostawców / zakupów, Koordynatorowi reagowania na incydenty oraz osobie dokonującej przeglądu z audytu wewnętrznego / zgodności. Opiera się na REG02, REG03, REG08, REG09, REG10 i REG12 w celu utrzymywania zapisów gotowych do audytu oraz wsparcia gotowości do certyfikacji ISO/IEC 27701:2025 PIMS dla podmiotów przetwarzających w chmurze obliczeniowej i podwykonawców przetwarzania w chmurze obliczeniowej.

Przetwarzanie oparte na dowodach

Łączy obowiązki podmiotu przetwarzającego w chmurze obliczeniowej z REG02, REG03, REG08, REG09, REG10 i REG12 w celu utrzymywania zapisów gotowych do audytu.

Kontrola poleceń klienta

Wymaga udokumentowanych poleceń klienta lub nadrzędnego podmiotu przetwarzającego przed rozpoczęciem przetwarzania PII w chmurze obliczeniowej.

Widoczność chmurowego łańcucha dostaw

Rejestruje podwykonawców przetwarzania, zależności chmurowe, podstawę autoryzacji, obowiązki przenoszone na dalsze podmioty, lokalizacje i dowody przeglądu.

Kontrolowana obsługa wyjścia

Obejmuje dowody zwrotu, transferu, usunięcia i utylizacji dla systemów produkcyjnych, kopii zapasowych, logów i kopii wsparcia.

Często zadawane pytania

Stworzone dla liderów, przez liderów

Niniejsza polityka została opracowana przez lidera ds. bezpieczeństwa z ponad 25-letnim doświadczeniem w zakresie wdrażania i audytowania systemów ISMS w globalnych organizacjach. Została zaprojektowana nie tylko jako dokument, lecz jako obronne ramy, które wytrzymują kontrolę audytora.

Opracowane przez eksperta posiadającego:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zasięg i tematy

🏢 Docelowe działy

Prywatność Prawo Zgodność Bezpieczeństwo IT Zakupy

🏷️ Zakres tematyczny

Zarządzanie informacjami o prywatności Przetwarzanie danych osobowych Odpowiedzialności administratora i podmiotu przetwarzającego Zarządzanie stronami trzecimi Międzynarodowe transfery danych Retencja i utylizacja danych Zarządzanie naruszeniami
€59

Jednorazowy zakup

Natychmiastowe pobieranie
Dożywotnie aktualizacje

Ta polityka to 1 z 25 w pełnym pakiecie ISO/IEC 27701 PIMS

Oszczędź 52%

Zdobądź wszystkie 25 polityk PIMS, pełen zestaw rejestrów i szczegółowy plan wdrożenia za €799, zamiast €1.675 przy zakupie pojedynczym.

Zobacz pełny pakiet 27701 →
Cloud PII Processor Policy

Szczegóły produktu

Typ: policy
Kategoria: ISO 27701 PIMS Policy Pack
Standardy: 9