Politika cloudového sprostredkovateľa PII

Politika cloudového sprostredkovateľa PII definuje povinné požiadavky ochrany súkromia pre cloudové služby, pri ktorých organizácia vystupuje ako sprostredkovateľ PII alebo ďalší sprostredkovateľ. Jej rozsah zahŕňa SaaS, PaaS, IaaS, hostované aplikácie, spravovaný cloud, cloudovú podporu, cloudové úložisko, cloudovú analytiku a služby cloudovej infraštruktúry, ktoré spracúvajú PII v mene zákazníkov. Politika je navrhnutá tak, aby cloudové spracúvanie zostalo zosúladené so zdokumentovanými zmluvami so zákazníkmi, pokynmi zákazníka, pokynmi nadradeného sprostredkovateľa, dojednaniami s ďalšími sprostredkovateľmi, konfiguráciou cloudového regiónu, prístupom cloudovej podpory, správou služby, zálohovaním, replikáciou, logovaním, monitorovaním, výmazom, vrátením, podporou pri porušení ochrany údajov, podporou auditu a povinnosťami súčinnosti voči zákazníkovi. Ústredným účelom politiky je riadenie založené na dôkazoch. Pred onboardingom zákazníka alebo podstatnou zmenou služby musí vedúci ochrany súkromia / manažér PIMS zaznamenať každú službu cloudového spracúvania PII, rolu spracúvania, zdroj pokynu zákazníka, kategórie PII, kategórie dotknutých osôb, účel služby, miesto spracúvania, závislosť od ďalšieho sprostredkovateľa, závislosť výmazu a príznak prenosu v REG02 a REG08. Politika tiež vyžaduje, aby bola uplatniteľnosť kontrol cloudového sprostredkovateľa zaznamenaná v REG03, aby boli prenosy a smerovanie lokalít podľa potreby zachytené v REG09, aby boli cloudové incidenty týkajúce sa PII riadené prostredníctvom REG10 a aby boli monitorovanie, výnimky, spory, výsledky validácie a nápravné opatrenia riešené prostredníctvom REG12. Tým sa povinnosti cloudového sprostredkovateľa integrujú s existujúcim súborom politík PIMS a predchádza sa vytváraniu samostatných registrov pre zmluvy, služby, izoláciu tenantov, prístup, logy, výmaz, podporu, audity, porušenia ochrany údajov alebo ďalších sprostredkovateľov. Politika stanovuje praktické požiadavky počas celého životného cyklu cloudovej služby. Vyžaduje zdokumentované pokyny zákazníka alebo nadradeného sprostredkovateľa pred začatím spracúvania, preskúmanie pokynov, ktoré sa javia ako nezlučiteľné s povinnosťami alebo schváleným rozsahom služby, a schválenie pred tým, ako sa akékoľvek PII zákazníka spracujú mimo zdokumentovaných pokynov. Rieši aj konfiguráciu cloudu a bezpečnostné dôkazy tým, že vyžaduje hranice zdieľanej zodpovednosti, validáciu izolácie tenantov, riadený administratívny prístup, štvrťročnú revíziu privilegovaného prístupu a pokrytia logovaním, oddelenie prostredí a zaznamenané lokality záloh, replikácie, úložísk logov a prístupu podpory. Tieto požiadavky sú zámerne prepojené s existujúcimi bezpečnostnými kontrolami PII namiesto toho, aby nahrádzali širšiu Politiku bezpečnosti PII a riadenia prístupu. Správa a riadenie ďalších sprostredkovateľov a cloudového dodávateľského reťazca sa považujú za základné povinnosti sprostredkovateľa. Vlastník dodávateľov / obstarávania musí pred použitím zaznamenať cloudových ďalších sprostredkovateľov, poskytovateľov infraštruktúry, poskytovateľov hostingu, poskytovateľov riadených služieb, poskytovateľov podpory a iné podstatné závislosti od cloudových služieb. Politika vyžaduje dôkazy o schválení zákazníkom alebo zdokumentovanom základe schválenia, prenesené povinnosti v oblasti ochrany súkromia, bezpečnosti, súčinnosti, incidentov, vrátenia, výmazu, podpory auditu a prenosov a záznamy o lokalitách služieb, lokalitách vzdialenej podpory, hostingových regiónoch a smerovaní ďalších prenosov. Vyžaduje tiež oznámenie zákazníkovi o zamýšľaných zmenách cloudových ďalších sprostredkovateľov v zmluvne požadovanej oznamovacej lehote a aspoň ročné preskúmanie aktívnych záznamov o cloudových ďalších sprostredkovateľoch a cloudových závislostiach. Politika pokrýva aj súčinnosť voči zákazníkovi, podporu auditu, rozhranie pre porušenia ochrany údajov, výmaz a ukončenie. Povinnosti súčinnosti voči zákazníkovi pri žiadostiach o uplatnenie práv, výmaze, oprave, obmedzení, prístupe, audite, podpore DPIA a podpore pri porušení ochrany údajov musia byť zaznamenané pred uzatvorením zmluvy alebo aktiváciou služby. Podpora pri žiadostiach o uplatnenie práv vyžiadaná zákazníkom musí byť dokončená v zákazníkom dohodnutej lehote, žiadosti o súčinnosť pri DPIA alebo posúdení významnom z hľadiska ochrany súkromia musia byť preskúmané do desiatich pracovných dní a oneskorené alebo sporné žiadosti o súčinnosť musia byť sledované. Pri ukončení politika vyžaduje dôkazy o schopnosti exportu, vrátenia, prenosu alebo výmazu pred onboardingom alebo podstatnou zmenou služby, dokončenie v zákazníkom dohodnutých lehotách, zahrnutie živých systémov, záloh, replík, logov, dočasných súborov, stagingových prostredí a podporných kópií a riešenie nezhôd, ak povinnosti nemožno splniť včas. Správa a riadenie sú posilnené štvrťročnými preskúmaniami úplnosti dôkazov, ročnými preskúmaniami politiky a ďalších sprostredkovateľov, auditným vzorkovaním, metrikami, opatreniami uplatňovania politiky a schválením vrcholového manažmentu pre podstatné výnimky a revízie.