Politica privind persoana împuternicită pentru PII în cloud

Politica privind persoana împuternicită pentru PII în cloud definește cerințe obligatorii privind confidențialitatea pentru servicii cloud în care organizația acționează ca persoană împuternicită sau persoană subîmputernicită pentru PII. Domeniul său de aplicare include SaaS, PaaS, IaaS, aplicații găzduite, cloud administrat, suport cloud, stocare cloud, analiză cloud și servicii de infrastructură cloud care prelucrează PII în numele clienților. Politica este concepută pentru a menține prelucrarea în cloud aliniată la acordurile documentate cu clienții, instrucțiunile clientului, instrucțiunile persoanei împuternicite din amonte, relațiile cu persoanele subîmputernicite, configurarea regiunilor cloud, accesul de suport cloud, administrarea serviciilor, backup, replicare, jurnalizare, monitorizare, ștergere, returnare, asistență pentru încălcări, suport pentru audit și obligații de asistență pentru clienți. Un scop central al politicii este controlul bazat pe dovezi. Înainte de integrarea clientului sau de o schimbare semnificativă a serviciului, Responsabilul cu confidențialitatea / Managerul PIMS trebuie să înregistreze fiecare serviciu de prelucrare PII în cloud, rolul de prelucrare, sursa instrucțiunii clientului, categoriile de PII, categoriile de persoane vizate, scopul serviciului, locația prelucrării, dependența de persoana subîmputernicită, dependența de ștergere și indicatorul de transfer în REG02 și REG08. Politica impune, de asemenea, ca aplicabilitatea controalelor pentru persoana împuternicită în cloud să fie înregistrată în REG03, rutarea transferurilor și a locațiilor să fie capturată în REG09 atunci când este relevant, incidentele PII în cloud să fie gestionate prin REG10, iar monitorizarea, excepțiile, disputele, rezultatele validării și acțiunile corective să fie tratate prin REG12. Acest lucru menține obligațiile persoanei împuternicite în cloud integrate cu setul existent de politici PIMS și evită crearea de registre separate pentru contracte, servicii, izolarea tenantului, acces, jurnale, ștergere, suport, audituri, încălcări sau persoane subîmputernicite. Politica stabilește cerințe practice pe întreg ciclul de viață al serviciului cloud. Aceasta impune instrucțiuni documentate ale clientului sau ale persoanei împuternicite din amonte înainte de începerea prelucrării, revizuirea instrucțiunilor care par incompatibile cu obligațiile sau cu domeniul aprobat al serviciului și aprobarea înainte ca orice PII ale clientului să fie prelucrate în afara instrucțiunilor documentate. De asemenea, abordează configurarea cloud și dovezile de securitate prin cerințe privind limitele responsabilității partajate, validarea izolării tenantului, acces administrativ controlat, revizuirea trimestrială a accesului privilegiat și a acoperirii jurnalizării, separarea mediilor și locații înregistrate pentru backup, replicare, stocarea jurnalelor și accesul de suport. Aceste cerințe sunt corelate în mod deliberat cu controalele existente de securitate PII, fără a înlocui politica mai largă de securitate PII și controlul accesului. Guvernanța persoanelor subîmputernicite și a lanțului de aprovizionare cloud este tratată ca obligație principală a persoanei împuternicite. Proprietarul pentru furnizori / achiziții trebuie să înregistreze, înainte de utilizare, persoanele subîmputernicite în cloud, furnizorii de infrastructură, furnizorii de găzduire, furnizorii de servicii administrate, furnizorii de suport și alte dependențe semnificative de servicii cloud. Politica impune dovezi privind autorizarea clientului sau baza de autorizare documentată, obligații transmise în lanț privind confidențialitatea, securitatea, asistența, incidentele, returnarea, ștergerea, suportul pentru audit și transferurile, precum și înregistrări ale locațiilor serviciilor, locațiilor de suport la distanță, regiunilor de găzduire și rutării transferurilor ulterioare. De asemenea, impune notificarea clientului cu privire la modificările intenționate ale persoanelor subîmputernicite în cloud în perioada de notificare cerută contractual și revizuirea cel puțin anuală a înregistrărilor active privind persoanele subîmputernicite în cloud și dependențele cloud. Politica acoperă, de asemenea, asistența pentru clienți, suportul pentru audit, interfața pentru încălcări, ștergerea și ieșirea. Obligațiile de asistență pentru clienți privind cereri de exercitare a drepturilor, ștergere, rectificare, restricționare, acces, audit, asistență pentru DPIA și asistență pentru încălcări trebuie înregistrate înainte de semnarea contractului sau activarea serviciului. Suportul pentru drepturi solicitat de client trebuie finalizat în termenul convenit cu clientul, solicitările de asistență semnificative din perspectiva confidențialității pentru DPIA sau evaluări trebuie revizuite în termen de zece zile lucrătoare, iar solicitările de asistență restante sau disputate trebuie urmărite. Pentru ieșire, politica impune dovezi privind capacitatea de export, returnare, transfer sau ștergere înainte de integrare sau de o schimbare semnificativă a serviciului, finalizarea în termenele convenite cu clientul, includerea sistemelor active, backup-urilor, replicilor, jurnalelor, fișierelor temporare, mediilor de staging și copiilor de suport, precum și gestionarea neconformităților atunci când obligațiile nu pot fi finalizate la timp. Guvernanța este consolidată prin revizuiri trimestriale ale completitudinii dovezilor, revizuiri anuale ale politicii și ale persoanelor subîmputernicite, eșantionare de audit, metrici, măsuri de aplicare și aprobarea Conducerii de vârf pentru excepții și revizuiri semnificative.