Z powodu wciąż powracających pytań oraz obaw o bezpieczeństwo chmury, postanowiliśmy przyjrzeć się, jakie dyrektywy i prawa regulują zasady dostarczania tych usług? Zasady korzystania z usług świadczonych w modelu chmurowym (w tym część zagadnień związanych z bezpieczeństwem) reguluje umowa z dostawcą. Zawarte są w niej wszelkie informacje dotyczące przetwarzania naszych danych. Niektóre postanowienia wynikają z prawa obowiązującego w danym państwie.
Wielu przedsiębiorców nie decyduje się na wynajem zewnętrznej infrastruktury IT głównie z obaw o bezpieczeństwo swoich danych. Tymczasem już umowa z dostawcą usług w chmurze zapewnia formalną ochronę naszych danych. Zamieszczone są w niej dokładne informacje, co dzieje się z danymi przetwarzanymi w chmurze, kto będzie miał z nimi styczność i co się z nimi stanie w razie awarii, czyli braku dostępu do nich. Niektóre postanowienia zawarte w umowie wynikają z prawa obowiązującego w danym kraju. Ważną kwestią jest to, że jeśli chcemy skorzystać z usług świadczonych w chmurze zlokalizowanej w innym kraju, to umowa z dostawcą będzie oparta o prawa kraju, z którego pochodzi, ale w zgodzie z prawem obowiązującym w kraju klienta.
Różnice prawne mogą ogrniczać
Nie we wszystkich krajach możliwe jest wdrożenie usługi w chmurze. Na przykład platforma Windows Azure (PaaS) nie jest dostępna w Rosji. Powód stanowią różnice prawne między krajami.
Umowa na korzystanie z usług świadczonych w modelu chmurowym zwykle przyjmuje postać regulaminu, który klient musi zaakceptować podczas procedury rejestracji w danej usłudze. Umowa dotyczy kwestii związanych z bezpieczeństwem, tj. określa przykładowo, jakie mechanizmy bezpieczeństwa i ochrony danych stosowane są przez usługodawcę. Nie można jednak zapomnieć o tym, że nie wszystkie postanowienia umowy będą wiążące we wszystkich przypadkach – regulaminy usług mają w swoim założeniu wielokrotnie charakter bardziej uniwersalny i nie uwzględniają specyfiki każdego systemu prawnego, co często prowadzi do tego, że zapisy umów są wypierane przez przepisy prawa właściwego (krajowego)
– mówi Rafał Malujda, Radca Prawny.
Chmura a prawo w Polsce, UE i zagranicą
Dostawcy usług w chmurze powinni ściśle przestrzegać ochrony danych osobowych. Kiedy chmura zlokalizowana jest na terenie Unii Europejskiej, ich klienci muszą być pewni, że dane będą zabezpieczone m.in. zgodnie z dyrektywą unijną 95/46/EC, która wdrożona jest przez ustawę o ochronie danych osobowych z 1997 roku (UODO) oraz z dyrektywą nr 2002/58/WE, której odpowiadają przepisy zawarte w ustawie o świadczeniu usług drogą elektroniczną z 2002r.
Sprawy komplikują się wtedy, gdy przedsiębiorstwa chcą korzystać z chmur ulokowanych poza Europejskim Obszarem Gospodarczym.
W takiej sytuacji kwestie formalne, regulujące współpracę między dostawcami a odbiorcami usługi muszą spełniać wiele wytycznych unijnych, w tym podstawowy warunek – przekazywanie danych będzie zgodne z prawem tylko wtedy, jeśli w kraju, w którym docelowo znajdą się dane klienta, ich zabezpieczenie będzie na tym samym lub zbliżonym poziomie, co w Polsce. Unia Europejska potwierdziła, że USA, Izrael, Argentyna, Kanada, Szwajcaria, Guernsey, Wyspa Man zapewniają danym osobowym odpowiednią ochronę.
Jeśli ten warunek nie zostanie spełniony, kolejną przesłanką, umożliwiającą przekazywanie danych do innych krajów spoza UE jest np. uzyskanie zgody GIODO. Żeby ją otrzymać, potrzebne jest spełnienie wytycznych ustalonych przez Komisję Europejską, które obowiązują od 5 lutego 2010 roku.
Aby sprzyjać rozwojowi cloud computingu Unia Europejska 4 listopada 2010 r. przyjęła kompleksową strategię regulującą kwestie ochrony danych osobowych – komunikat KOM (2010)609/3.
Wybór prawa i jurysdykcji dla firm o wielu siedzibach
Inną sprawą, jeśli chodzi o kwestie prawne w cloud computingu, jest wybór właściwego prawa i jurysdykcji. Firmy świadczące usługi w modelu cloud mają swoje siedziby w różnych krajach, takich jak np. USA, Chiny, Indie czy Niemcy. W każdym z nich obowiązują inne normy prawne, których muszą przestrzegać. Niektóre z nich są ujednolicone przez międzynarodowe konwencje, do których przystąpiło wiele państw. Strony kontraktu mogą określić, jakiemu prawu i jurysdykcji podlegają i zgodnie z którym określane są ich zobowiązania. W większości międzynarodowych kontraktów można znaleźć klauzule wyboru forum prawa. W Polsce najistotniejsze w sprawie prawa właściwego i jurysdykcji są rozporządzenia UE – nr 44/2001 (Bruksela I) oraz w sprawie prawa właściwego dla zobowiązań umownych nr 593/2008 (Rzym I).
W celu zwiększenia atrakcyjności swojej platformy, usługodawcy w modelu cloud computingu powinni zapewnić użytkownikom komfort przetwarzania danych osobowych zgodnie z przepisami. Formalnie to bowiem użytkownicy są zobligowani do przestrzegania przepisów dotyczących tych kwestii i to oni powinni dobierać rozwiązania informatyczne w taki sposób, żeby ich działalność była legalna. Istnieje również możliwość, aby to usługodawca był podmiotem, któremu przedsiębiorca powierza przetwarzanie danych, w tym celu strony powinny podpisać jednak umowę w formie pisemnej, co w modelu usługowym cloud computingu zdarza się sporadycznie
– dodaje Rafał Malujda.
Niektóre certyfikaty/potwierdzenia zgodności z normami czy ustawami, które powinni posiadać dostawcy usług w chmurze w UE i USA
ISO/IEC 27001 – specyfikacja systemów zarządzania bezpieczeństwem informacji, w której skład wchodzi 11 różnych zagadnień związanych z bezpieczeństwem, m.in. kwestia zasobów ludzkich, zarządzanie ciągłością działania czy systemami informacyjnymi.
SAS 70 – od dostawcy warto wymagać raportu z audytu SAS 70. Zawiera on opis środowiska kontroli wewnętrznej, zarządzania ryzykiem, kluczowych mechanizmów kontrolnych, opisów systemów i zakresu świadczonych usług. Audyt wykonywany jest przez zewnętrzną firmę audytorską.
SOX – Sorbanes-Oxley Act to ustawa w USA, która określa zasady działania rynków finansowych,
w tym kontrolę firm audytorskich.
HIPAA – Health Insurance Portability and Accountability Act to ustawa dotycząca rynków medycznych, określająca standardy odnośnie do prywatności i przetwarzania danych, regulujących funkcjonowanie firmy.
PCI DSS – Payment Card Industry Data Security Standard to standardy dotyczące działań związanych
z kartami kredytowymi.
ANSi/TIA-942 – standard infrastruktury telekomunikacyjnej dla centrów danych. Rozróżnia cztery kategorie (skala Tier) bezpieczeństwa centrów (gdzie 1 = najniższa, 4 = najwyższa). Obejmuje także względy środowiskowe.
Safe Harbor – działanie wg tego programu ma zapobiegać wyciekaniu bądź utracie informacji. Zgodnie z nim europejskie firmy nie mogą przesyłać danych poza UE, chyba że spełniają odpowiednie poziomy bezpieczeństwa. Zgodnie z Safe Harbor dane z UE mogą być przechowywane poza UE na zasadach obowiązujących w prawie państwowym.