Politika obdelovalca osebno določljivih podatkov v oblaku

Politika obdelovalca osebno določljivih podatkov v oblaku določa obvezne zahteve glede zasebnosti za storitve v oblaku, pri katerih organizacija nastopa kot obdelovalec osebno določljivih podatkov ali podobdelovalec. Njeno področje uporabe vključuje SaaS, PaaS, IaaS, gostovane aplikacije, upravljani oblak, podporo v oblaku, shrambo v oblaku, analitiko v oblaku in infrastrukturne storitve v oblaku, ki obdelujejo osebno določljive podatke v imenu naročnikov. Politika je zasnovana tako, da obdelavo v oblaku ohranja usklajeno z dokumentiranimi dogovori z naročniki, navodili naročnika, navodili nadrejenega obdelovalca, ureditvami s podobdelovalci, konfiguracijo regije v oblaku, dostopom podpore v oblaku, administracijo storitev, varnostnim kopiranjem, replikacijo, beleženjem, spremljanjem, izbrisom, vračilom, podporo pri kršitvah, podporo pri presoji in obveznostmi pomoči naročniku. Osrednji namen politike je nadzor, ki temelji na dokazilih. Pred uvajanjem naročnika ali bistveno spremembo storitve mora vodja zasebnosti / vodja PIMS v REG02 in REG08 evidentirati vsako storitev obdelave osebno določljivih podatkov v oblaku, vlogo pri obdelavi, vir navodila naročnika, kategorije osebno določljivih podatkov, kategorije posameznikov, na katere se nanašajo osebno določljivi podatki, namen storitve, lokacijo obdelave, odvisnost od podobdelovalca, odvisnost izbrisa in oznako prenosa. Politika zahteva tudi, da se uporabljivost kontrol obdelovalca v oblaku evidentira v REG03, usmerjanje prenosov in lokacij zajame v REG09, kadar je relevantno, incidenti v zvezi z osebno določljivimi podatki v oblaku upravljajo prek REG10, spremljanje, izjeme, spori, rezultati validacije in korektivni ukrepi pa se obravnavajo prek REG12. S tem obveznosti obdelovalca v oblaku ostanejo vključene v obstoječi nabor politik PIMS, brez vzpostavljanja ločenih registrov za pogodbe, storitve, izolacijo najemnikov, dostop, dnevnike, izbris, podporo, presoje, kršitve ali podobdelovalce. Politika določa praktične zahteve skozi celoten življenjski cikel storitve v oblaku. Zahteva dokumentirana navodila naročnika ali nadrejenega obdelovalca pred začetkom obdelave, pregled navodil, za katera se zdi, da niso skladna z obveznostmi ali odobrenim obsegom storitve, ter odobritev, preden se osebno določljivi podatki naročnika obdelujejo zunaj dokumentiranih navodil. Obravnava tudi konfiguracijo v oblaku in varnostna dokazila, tako da zahteva meje deljene odgovornosti, validacijo izolacije najemnikov, nadzorovan administratorski dostop, četrtletni pregled privilegiranega dostopa in pokritosti beleženja, ločevanje okolij ter evidentirane lokacije varnostnih kopij, replikacije, hrambe dnevnikov in dostopa podpore. Te zahteve so namenoma povezane z obstoječimi varnostnimi kontrolami za osebno določljive podatke in ne nadomeščajo širše Politike varnosti osebno določljivih podatkov in nadzora dostopa. Upravljanje podobdelovalcev in dobavne verige v oblaku se obravnava kot temeljna obveznost obdelovalca. Lastnik dobaviteljev / nabave mora pred uporabo evidentirati podobdelovalce v oblaku, ponudnike infrastrukture, ponudnike gostovanja, ponudnike upravljanih storitev, ponudnike podpore in druge bistvene odvisnosti od storitev v oblaku. Politika zahteva dokazila o odobritvi naročnika ali dokumentirani podlagi za odobritev, prenesene obveznosti glede zasebnosti, varnosti, pomoči, incidentov, vračila, izbrisa, podpore pri presoji in prenosov ter zapise o lokacijah storitev, lokacijah oddaljene podpore, regijah gostovanja in usmerjanju nadaljnjih prenosov. Zahteva tudi obvestilo naročniku o načrtovanih spremembah podobdelovalcev v oblaku v pogodbeno zahtevanem roku za obvestilo in najmanj letni pregled aktivnih zapisov o podobdelovalcih v oblaku in odvisnostih od oblaka. Politika zajema tudi pomoč naročniku, podporo pri presoji, stično točko za obravnavo incidentov, izbris in izstop. Obveznosti pomoči naročniku za zahteve za uveljavljanje pravic, izbris, popravek podatkov, omejitev, dostop, presojo, podporo pri DPIA in podporo pri kršitvah morajo biti evidentirane pred sklenitvijo pogodbe ali aktivacijo storitve. Podpora pri zahtevah za uveljavljanje pravic, ki jo zahteva naročnik, mora biti zaključena v časovnem okviru, dogovorjenem z naročnikom; zahteve za pomoč pri DPIA ali presoji, pomembne z vidika zasebnosti, morajo biti pregledane v desetih delovnih dneh; zapadle ali sporne zahteve za pomoč pa morajo biti spremljane. Za izstop politika zahteva dokazila o zmožnosti izvoza, vračila, prenosa ali izbrisa pred uvajanjem ali bistveno spremembo storitve, izvedbo v časovnih okvirih, dogovorjenih z naročnikom, vključitev produkcijskih sistemov, varnostnih kopij, replik, dnevnikov, začasnih datotek, pripravljalnih okolij in podpornih kopij ter obravnavo neskladnosti, kadar obveznosti ni mogoče pravočasno zaključiti. Upravljanje je okrepljeno s četrtletnimi pregledi popolnosti dokazil, letnimi pregledi politike in podobdelovalcev, revizijskim vzorčenjem, kazalniki, ukrepi izvrševanja ter odobritvijo najvišjega vodstva za bistvene izjeme in spremembe.