Politica de utilizare a cloud-ului - IMM

Politica de utilizare a cloud-ului P27S stabilește cerințe cuprinzătoare, dar practice, pentru gestionarea serviciilor cloud în medii de întreprinderi mici și mijlocii (IMM). Recunoscând că IMM-urile nu dispun adesea de departamente IT la scară completă, această politică este concepută cu responsabilități clare și simplificate, cum ar fi atribuirea deciziilor-cheie Directorului general (DG) și furnizorului IT sau suportului tehnic, în locul unor roluri specializate precum CISO sau centru de operațiuni de securitate, asigurând totodată o aliniere puternică la cadrele ISO/IEC 27001:2022, GDPR, NIS2 și DORA. Politica se aplică tuturor serviciilor bazate pe cloud, fie gratuite, fie plătite, acoperind aplicații de afaceri comune precum platforme de partajare a documentelor, instrumente SaaS, videoconferință, e-mail, sisteme de backup și platforme pentru clienți. Oricine accesează datele companiei, inclusiv prin mobil sau tabletă, trebuie să respecte aceste reguli, care impun aprobarea prealabilă pentru toate serviciile cloud și interzic în mod explicit utilizarea serviciilor cloud personale pentru date de afaceri, prevenind riscurile de servicii cloud neautorizate. Trebuie menținut un registru al serviciilor cloud clar definit pentru a urmări fiecare platformă autorizată, persoana responsabilă, locația datelor, drepturi de acces și informații de suport. Controalele de securitate sunt obligatorii: toate platformele cloud trebuie să impună autentificare multifactor pentru utilizatori și administratori; să utilizeze parole puternice și complexe; să ofere jurnalizare de audit a activității și restricționarea accesului (cum ar fi liste de permitere IP, acolo unde este disponibil); și să aibă revizuiri regulate ale conținutului partajat. Orice încălcare, cum ar fi nedezactivarea unui utilizator sau partajarea publică a datelor sensibile, este clasificată ca incident de securitate a informației și este supusă acțiunilor corective, inclusiv revocarea accesului, reinstruirea utilizatorilor sau, dacă este necesar, escaladare juridică și de reglementare. Politica stabilește cerințe stricte pentru politica de păstrare a datelor și sisteme de backup, indicând că datele critice pentru afacere sau datele reglementate trebuie să fie salvate periodic, păstrate pentru a satisface obligații legale sau obligații ale clienților, iar capabilitatea de export din platformele cloud trebuie confirmată pentru a evita blocarea la furnizor. Contractele pentru serviciile cloud plătite trebuie să specifice protecția datelor, termene de notificare privind încălcările, proprietatea asupra datelor și escaladare definită. Conformitatea este monitorizată prin verificări de cel puțin două ori pe an privind accesul, parola și statutul de administrator, iar toate excepțiile de la controlul accesului trebuie justificate și aprobate formal de Directorul general (DG), cu controale compensatorii și termene-limită pentru rezolvare. Revizuirea și îmbunătățirea continuă sunt integrate: politica impune o revizuire anuală, precum și actualizări după incidente, introducerea de platforme noi sau modificări de reglementare. Înregistrările arhivate sunt păstrate în siguranță conform politicii de păstrare a datelor, asigurând că toată activitatea din cloud este auditabilă pentru cerințe interne și externe (inclusiv ISO). Prin domeniul său de aplicare focalizat, această politică oferă IMM-urilor o structură robustă, dar gestionabilă, pentru guvernanța utilizării cloud-ului, permițând conformitate cu reglementările, managementul riscurilor și continuitatea operațională.