Računarstvo u oblaku: ISO standard o zaštiti podataka o ličnosti

Računarstvo u oblaku: ISO standard o zaštiti podataka o ličnosti

podaci o ličnosti i siva digitalna ekonomija

Podaci o ličnosti su nesumnjivo najveća vrijednost koja je u svakodnevnom opticaju na Internetu. Proteklih godina svjedočili smo mnogim medijskim „bombama“ koje su do tančina opisivale bezbjednosne incidente koji su uključivali otuđivanje ili uništenje ovih podataka.

Nerijetko su isti za posljedicu imali, pored gubitka tržišne pozicije i trajno narušenog povjerenja od strane korisnika, i bankrot kompanija koje su se nalazile u ulozi PII (eng. personally identifiable information) procesora, odnosno obrađivača tih podataka u ime PII kontrolera (lica koje određuju svrhu i cilj obrade).

Rast crnog tržišta podataka o ličnosti bi se mogao okarakterisati i kao rast svojevrsne „sive digitalne ekonomije“, kriminalnih tokova Internet saobraćaja, koji za rezultat ima ogromne finansijske posljedice kako po obrađivače i kontrolere, tako i za principale – lica na koja ovi podaci nedvosmisleno upućuju, odnosno koji bi mogli razotkriti njihov identitet.

ISO standard o zaštiti podataka o ličnosti

Cilj novog ISO/IEC 27018:2014 standarda je da obezbjedi set neophodnih sigurnosnih kontrola koje mogu biti implementirane od strane pružaoca usluga tzv. javnog računarskog oblaka (eng. public cloud provider) koji obrađuje podatke o ličnosti u ime trećeg lica. Ovo je prvi publikovani ISO standard koji se odnosi na računarstvo u oblaku, i kao takav će sigurno naći široku primjenu među kompanijama koje će kroz program sertifikacije nastojati izgraditi povjerenje sa potencijalnim klijentima i steći imidž na globalnom cloud tržištu.

Što se strukture standarda tiče, isti se zasniva na već etabliranom ISO 27002 (generalno pokriva informacionu bezbjednost – politike informacione bezbjednosti, organizaciona struktura informacija, bezbjednost ljudskih resursa, menadžment „digitalne imovine“ (eng. digital assets), kontrola pristupa, kriptografija, fizička bezbjednost i sigurnost okoliša, operativna i komunikaciona bezbjednost, održavanje, razvoj i akvizicija informacionih sistema, odnos sa dobavljačima, menadžment bezbjednosnih incidenata, bezbjednosni aspekti poslovne održivosti i saglasnost sa regulativom), odnosno nadgrađuje ga u onim oblastima koje su specifične za pružaoce cloud usluga:

  • saglasnost sa uslovima i izbor pružaoca usluga,
  • namjena i svrha obrade podataka,
  • minimiziranje podataka,
  • ograničenje korišćenja, zadržavanja i objavljivanja podataka,
  • transparentnost i obavještavanje,
  • odgovornost i
  • saglasnost sa politikama privatnosti.

kome je namijenjen ISO 27018

ISO 27018 je namijenjen svim organizacijama koje se bave obradom informacija u digitalnom obliku u svojstvu PII procesora u oblaku pod uslovima navedenim u ugovoru, uključujući kompanije u javnom i privatnom vlasništvu, državne organe i neprofitne organizacije.

Sa pravnog aspekta posmatrano, može se reći da ISO 27018 u praksi popunjava regulatorne praznine unutar onih jurisdikcija koje još uvijek nisu zakonski pokrili ovu oblast, ali i organizaciono i tehnološki nadgrađuje prilično apstraktne norme koje se odnose na zaštitu podataka o ličnosti (kao npr. unutar EU), posebno u okviru računarstva u oblaku.

U pogledu PII kontrolera, sigurno je da ISO 27018 standard neće pokriti bezbjednosne aspekte usluga računarstva u oblaku koji se ne odnose striktno na podatke o ličnosti. U tu svrhu ISO komitet već radi na 27017 standardu čija se publikacija očekuje tokom 2015. godine, i koji će sa standardima 27002 i 27018 činiti čvrstu osnovu za gradnju trajnog povjerenja na relaciji PII kontroler – PII procesor, odnosno klijent – pružalac cloud usluga.

U ovoj fazi razvoja cloud tržišta, upravo je povjerenje ono što bi moglo dati snažniji zamajac i ubrzati transfer i onih „nevjernih Toma“ koji svoje poslovanje još uvijek baziraju na on-premise infrastrukturi. ISO/IEC 27018:2014 je svakako prvi korak u pravom smjeru.

 

Srđan Rajčević

Direktor Agencije za informaciono društvo Republike Srpske, dipl. pravnik, dipl. inž. računarstva, magistar poslovno-pravnih nauka. Zainteresovan za pravne aspekte IKT-a. Idejni tvorac više zakona iz oblasti razvoja informacionog društva u RS.

  • facebook
  • linkedin
  • skype
  • twitter