Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera

100 %
0 %
Information about Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma...
Technology

Published on February 17, 2014

Author: Sonera

Source: slideshare.net

Description

Soneran Titta Penttilän esitys Tietoturvatapahtumasta 2014 aiheena pilvipalvelut ja henkilötiedot. Lue lisää Soneran tietoturvapalveluista: http://bit.ly/1mny9aG

Pilvipalvelut ja henkilötiedot Titta Penttilä Senior information security manager Group Security, TeliaSonera

Muuttuva toimintaympäristö Alihankinta, pilvipalvelut Yleisen tietoisuuden ja kiinnostuksen lisääntyminen Sääntely ja sanktiot Tiedon arvon ja laadun korostuminen Tiedon määrän ja käsittelyn valtava kasvu Lainsäädännön vaatimusten tiukkeneminen ja sanktiot Tietosuoja Uhat ja toimintaympäristön haasteet 2 2014-02-11 Tietoturvatapahtuma / Titta Penttilä Riskit ja uhat

Lainsäädäntö on teknologianeutraalia • Pilvipalveluita koskevat samat säännöt kuin muutakin henkilötietojen käsittelyä • Pilvipalveluiden haasteita tietosuojan kannalta – Pilvet ylittävät rajat – henkilötietojen käsittelystä on tullut maailmanlaajuista, mutta lait ovat kansallisia – Kontrollin ja avoimuuden puute – Monimutkaiset ja dynaamiset alihankintaketjut – Käsitellään erittäin suuria määriä tietoa – Vakiosopimusehdot 3 2014-02-11 Tietoturvatapahtuma / Titta Penttilä

Käsitteet ja roolit Asiakas Henkilötieto Pilvipalveluntarjoaja • Tieto, joka voidaan tunnistaa tiettyä henkilöä/hänen perhettä koskevaksi. Henkilötietojen siirto Rekisterinpitäjä (controller) Käsittelijä (processor) • Oikeus määrätä tietojen käytöstä (”omistaja”) • Vastaa lainsäädännön noudattamisesta • Sovellettava laki • Käsittelee henkilötietoja rekisterinpitäjän lukuun ja tämän ohjeiden mukaan • Tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi 4 2014-02-11 Tietoturvatapahtuma / Titta Penttilä

Henkilötietojen siirron juridiset edellytykset Henkilötietojen käsittelyn laillisuus (Henkilötietolaki) • • • • • • • • Huolellisuus Suunnittelu Käyttötarkoitussidonnaisuus Laillisuus Tarpeellisuus Virheettömyys Avoimuus Suojaaminen (Tietoturva) Erityislakien vaatimukset (esim. Sähköisen viestinnän tietosuojalaki) 5 2014-02-11 Tietoturvatapahtuma / Titta Penttilä EU/ETA ja Komission hyväksymät maat • “Data transfer agreement” • Henkilötietolaki: “annettava asianmukaiset selvitykset ja sitoumukset” Muut maat • Tarvitaan erityisiä takeita tietosuojan tasosta • Esim. Komission vakiosopimuslausekkeet

Suunnittelu ja riskianalyysi • Mitä henkilötietoja ollaan siirtämässä? • Missä tiedot tulevat sijaitsemaan ? • Mitä vaatimuksia kyseisten tietojen siirtämiseen ja käsittelyyn liittyy? • Mikä on kyseisten tietojen merkitys yhtiön kannalta? • Uhat ja riskit? • ”Business case”? 6 2014-02-11 Tietoturvatapahtuma / Titta Penttilä

Pilvipalveluntarjoajan arviointi • Asianmukainen tietoturvantaso – Tekniset ja organisatoriset toimet • Todentaminen – Sertifikaatit esim. ISO 27001 – Auditointi • Kyvykkyys vastata vaatimuksiin – Oikeudelliset sanktiot ja vahingonkorvaukset • Mahdollisuus vaikuttaa tarjottavaan palveluun ja sopimusehtoihin – Alihankkijat, tietojen sijainti 7 2014-02-11 Tietoturvatapahtuma / Titta Penttilä

Sopimus henkilötietojen näkökulmasta • Oikeus käsitellä tietoja vain rekisterinpitäjän ohjeiden mukaan • Noudatettava soveltuvaa lainsäädäntöä • Varmistettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi • Avustettava rekisterinpitäjää lakisääteisten velvollisuuksien hoitamisessa • Tietojen sijainti – Siirto EU/ETA:n ulkopuolelle ? – Komission vakiosopimuslausekkeet 8 2014-02-11 Tietoturvatapahtuma / Titta Penttilä

Sopimus henkilötietojen näkökulmasta • Osapuolten roolit, vastuut ja velvollisuudet • Salassapitolauseke • Alihankkijat ja velvollisuus sisällyttää samat velvoitteet alihankintasopimuksiin • Rikkomuksista ja uhista ilmoittaminen • Auditointi- ja tiedonsaantioikeus • Sanktiot • Sopimuksen päättymisen seuraukset 9 2014-02-11 Tietoturvatapahtuma / Titta Penttilä

Yhteenveto • Samat pelisäännöt kuin ”normaaleissa” alihankintatilanteissa • Erityiset pilvipalveluiden luonteesta johtuvat riskit huomioitava • Osana yrityksen hankintaprosessia ja alihankkijoiden hallintaa • Sopimus ja auditoinnit • Tekemisen voi ulkoistaa, mutta ei vastuuta • Pilvi ei välttämättä sovi kaikelle tiedolle 10 2014-02-11 Tietoturvatapahtuma / Titta Penttilä

Kysymyksiä? Kommentteja? Kokemuksia? Ajatuksia? KIITOS! Titta Penttilä OTK, CIPP/E Senior information security manager, TeliaSonera titta.penttila@teliasonera.com fi.linkedin.com/in/tpenttila 11 2014-02-11 Tietoturvatapahtuma / Titta Penttilä

Lukuvinkkejä • ENISA: Cloud Computing, Benefits, risks and recommendations for information security, November 2009 • WP 29 (Article 29 Data Protection Working Party): Opinion 05/2012 on Cloud Computing, WP 196, July 2012 • International Working Group on Data Protection in Telecommunications: Working Paper on Cloud Computing - Privacy and Data Protection Issues ”Sopot Memorandum”, April 2012 • Council of Europe: Handbook on European data protection law (2014) • Lisätietoa valmisteilla olevasta EU:n tietosuoja-asetuksesta: EU Commission EU data protection reform http://ec.europa.eu/justice/data-protection/ 12 2014-02-11 Tietoturvatapahtuma / Titta Penttilä sonera_security twitter.com/sonera_security

Add a comment

Related presentations

Related pages

Titta Penttilä - tietoturvatapahtuma.fi

Pilvipalvelut ja henkilötiedot Titta Penttilä Senior information security manager Group Security, TeliaSonera
Read more