Artykuły dotyczące tematu: prawo

Z powodu wciąż powracających pytań oraz obaw o bezpieczeństwo chmury, postanowiliśmy przyjrzeć się, jakie dyrektywy i prawa regulują zasady dostarczania tych usług? Zasady korzystania z usług świadczonych w modelu chmurowym (w tym część zagadnień związanych z bezpieczeństwem) reguluje umowa z dostawcą. Zawarte są w niej wszelkie informacje dotyczące przetwarzania naszych danych. Niektóre postanowienia wynikają z prawa obowiązującego w danym państwie.

Wielu przedsiębiorców nie decyduje się na wynajem zewnętrznej infrastruktury IT głównie z obaw o bezpieczeństwo swoich danych. Tymczasem już umowa z dostawcą usług w chmurze zapewnia formalną ochronę naszych danych. Zamieszczone są w niej dokładne informacje, co dzieje się z danymi przetwarzanymi w chmurze, kto będzie miał z nimi styczność i co się z nimi stanie w razie awarii, czyli braku dostępu do nich. Niektóre postanowienia zawarte w umowie wynikają z prawa obowiązującego w danym kraju. Ważną kwestią jest to, że jeśli chcemy skorzystać z usług świadczonych w chmurze zlokalizowanej w innym kraju, to umowa z dostawcą będzie oparta o prawa kraju, z którego pochodzi, ale w zgodzie z prawem obowiązującym w kraju klienta.

Różnice prawne mogą ogrniczać

Nie we wszystkich krajach możliwe jest wdrożenie usługi w chmurze. Na przykład platforma Windows Azure (PaaS) nie jest dostępna w Rosji. Powód stanowią różnice prawne między krajami.

Umowa na korzystanie z usług świadczonych w modelu chmurowym zwykle przyjmuje postać regulaminu, który klient musi zaakceptować podczas procedury rejestracji w danej usłudze. Umowa dotyczy kwestii związanych z bezpieczeństwem, tj. określa przykładowo, jakie mechanizmy bezpieczeństwa i ochrony danych stosowane są przez usługodawcę. Nie można jednak zapomnieć o tym, że nie wszystkie postanowienia umowy będą wiążące we wszystkich przypadkach – regulaminy usług mają w swoim założeniu wielokrotnie charakter bardziej uniwersalny i nie uwzględniają specyfiki każdego systemu prawnego, co często prowadzi do tego, że zapisy umów są wypierane przez przepisy prawa właściwego (krajowego)

– mówi Rafał Malujda, Radca Prawny.

Chmura a prawo w Polsce, UE i zagranicą

Dostawcy usług w chmurze powinni ściśle przestrzegać ochrony danych osobowych. Kiedy chmura zlokalizowana jest na terenie Unii Europejskiej, ich klienci muszą być pewni, że  dane będą zabezpieczone m.in. zgodnie z dyrektywą unijną  95/46/EC, która wdrożona jest przez ustawę o ochronie danych osobowych z 1997 roku (UODO) oraz z dyrektywą nr 2002/58/WE, której odpowiadają przepisy zawarte w ustawie o świadczeniu usług drogą elektroniczną z 2002r.

Sprawy komplikują się wtedy, gdy przedsiębiorstwa chcą korzystać z chmur ulokowanych poza Europejskim Obszarem Gospodarczym.

W takiej sytuacji kwestie formalne, regulujące współpracę między dostawcami a odbiorcami usługi muszą spełniać wiele wytycznych unijnych, w tym podstawowy warunek – przekazywanie danych będzie zgodne z prawem tylko wtedy, jeśli w kraju, w którym docelowo znajdą się dane klienta, ich zabezpieczenie będzie na tym samym lub zbliżonym poziomie, co w Polsce. Unia Europejska potwierdziła, że USA, Izrael, Argentyna, Kanada, Szwajcaria, Guernsey, Wyspa Man zapewniają danym osobowym odpowiednią ochronę.

Jeśli ten warunek nie zostanie spełniony, kolejną przesłanką, umożliwiającą przekazywanie danych do innych krajów spoza UE jest np. uzyskanie zgody GIODO. Żeby ją otrzymać, potrzebne jest spełnienie wytycznych ustalonych przez Komisję Europejską, które obowiązują od 5 lutego 2010 roku.

Aby sprzyjać rozwojowi cloud computingu Unia Europejska 4 listopada 2010 r. przyjęła kompleksową strategię regulującą kwestie ochrony danych osobowych – komunikat KOM (2010)609/3.

Wybór prawa i jurysdykcji dla firm o wielu siedzibach

Inną sprawą, jeśli chodzi o kwestie prawne w cloud computingu, jest wybór właściwego prawa i jurysdykcji. Firmy świadczące usługi w modelu cloud mają swoje siedziby w różnych krajach, takich jak np. USA, Chiny, Indie czy Niemcy. W każdym z nich obowiązują inne normy prawne, których muszą przestrzegać. Niektóre z nich są ujednolicone przez międzynarodowe konwencje, do których przystąpiło wiele państw. Strony kontraktu mogą określić, jakiemu prawu i jurysdykcji podlegają i zgodnie z którym określane są ich zobowiązania. W większości międzynarodowych kontraktów można znaleźć klauzule wyboru forum prawa. W Polsce najistotniejsze w sprawie prawa właściwego i jurysdykcji są rozporządzenia UE – nr 44/2001 (Bruksela I) oraz w sprawie  prawa właściwego dla zobowiązań umownych nr 593/2008 (Rzym I).

W celu zwiększenia atrakcyjności swojej platformy, usługodawcy w modelu cloud computingu powinni zapewnić użytkownikom komfort przetwarzania danych osobowych zgodnie z przepisami. Formalnie to bowiem użytkownicy są zobligowani do przestrzegania przepisów dotyczących tych kwestii i to oni powinni dobierać rozwiązania informatyczne w taki sposób, żeby ich działalność była legalna. Istnieje również możliwość, aby to usługodawca był podmiotem, któremu przedsiębiorca powierza przetwarzanie danych, w tym celu strony powinny podpisać jednak umowę w formie pisemnej, co w modelu usługowym cloud computingu zdarza się sporadycznie

– dodaje Rafał Malujda.

Niektóre certyfikaty/potwierdzenia zgodności z normami czy ustawami, które powinni posiadać dostawcy usług w chmurze w UE i USA

ISO/IEC 27001 – specyfikacja systemów zarządzania bezpieczeństwem informacji, w której skład wchodzi 11 różnych zagadnień związanych z bezpieczeństwem, m.in. kwestia zasobów ludzkich, zarządzanie ciągłością działania czy systemami informacyjnymi.

SAS 70 – od dostawcy warto wymagać raportu z audytu SAS 70. Zawiera on opis środowiska kontroli wewnętrznej, zarządzania ryzykiem, kluczowych mechanizmów kontrolnych, opisów systemów i zakresu świadczonych usług. Audyt wykonywany jest przez zewnętrzną firmę audytorską.

SOX – Sorbanes-Oxley Act to ustawa w USA, która określa zasady działania rynków finansowych,
w tym kontrolę firm audytorskich.

HIPAA – Health Insurance Portability and Accountability Act to ustawa dotycząca rynków medycznych, określająca standardy odnośnie do prywatności i przetwarzania danych, regulujących funkcjonowanie firmy.

PCI DSS – Payment Card Industry Data Security Standard to standardy dotyczące działań związanych
z kartami kredytowymi.

ANSi/TIA-942 – standard infrastruktury telekomunikacyjnej dla centrów danych. Rozróżnia cztery kategorie (skala Tier) bezpieczeństwa centrów (gdzie 1 = najniższa, 4 = najwyższa). Obejmuje także względy środowiskowe.

Safe Harbor – działanie wg tego programu ma zapobiegać wyciekaniu bądź utracie informacji. Zgodnie z nim europejskie firmy nie mogą przesyłać danych poza UE, chyba że spełniają odpowiednie poziomy bezpieczeństwa. Zgodnie z Safe Harbor dane z UE mogą być przechowywane poza UE na zasadach obowiązujących w prawie państwowym.

W ostatnich dniach społeczność programistów i adminów zelektryzowała wiadomość, iż firma Veber z Wielkiej Brytanii chce uzyskać ochronę na znak towarowy słowno-graficzny, który zawiera nazwę „python” (http://r.websecurity.pl/0A). Co istotne to fakt, że znak python miałby zostać zarejestrowany do oznaczania następujących towarów lub usług:

1) Oprogramowanie komputerowe; Serwery do hostingu www; Sprzęt do sieci VPN; Serwery internetowe;

2) Projektowanie i rozwój komputerowego sprzętu i oprogramowania; Prowadzenie portali internetowych; Hosting stron komputerowych [witryn internetowych]; Hosting stron internetowych dla osób trzecich; Prowadzenie portali internetowych dla osób trzecich, na serwerach komputerowych dla globalnej sieci komputerowej; Hosting stron www w Internecie; Hosting treści cyfrowych, mianowicie dzienników i blogów online; Dostawcy aplikacji [ASP], zwłaszcza hosting aplikacji oprogramowania komputerowego na rzecz osób trzecich; Prowadzenie witryn internetowych dla osób trzecich; Prowadzenie witryn internetowych; Administrowanie stronami komputerowymi (sieciowymi) innych; Wynajem serwerów sieciowych.

(więcej…)

Witam na blogu WebSecurity!

Niniejszym wpisem mam przyjemność zainaugurować swoją działalność w tutejszej blogosferze. Przede wszystkim dziękuję Redakcji za zaufanie oraz zaproszenie :)

Internauci mogą mnie znać, jako pracownika G Daty. Na blogu postaram się podejmować tematy, które mniej lub bardziej związane są z oprogramowaniem antywirusowym. Ale nie chcąc przedłużać – przejdę do wpisu właściwego.

(więcej…)

A wszystko przez cyberprzestępczość. Kradzieże i oszustwa internetowe kosztowały Chiny 289 miliardów juanów (ok. 150 miliardów złotych), a co gorsza, ze względu na brak wparcia prawnego, problem raczej nie zniknie w 2013.

Ludowy Uniwersytet Bezpieczeństwa Publicznego w Chinach opublikował raport na temat przestępstw w Internecie w całym kraju, w którym napisano, że w 2012 lokalne służby bezpieczeństwa prowadziły dochodzenia w ponad 118 000 przestępstw internetowych. W wielu przypadkach ofiarą padło więcej niż jedna czy dwie osoby.

W raporcie odnotowano, że średnio 700 000 użytkowników Internetu w Chinach w ciągu jednego dnia pada ofiarą cybeprzestępstw, jednak większość z nich nie zgłasza sprawy na policję lub policja jej nie przyjmuje ze względu na małą szkodliwość czynu (oszukano ich na małą sumę). Wiele ofiar uważa też, że nie warto informować o tym służby zajmujące si egzekwowaniem prawa.

Na szczycie listy przestępstw internetowych ze względu na liczbę ofiar i sumę pieniędzy jakie zostały w to zamieszane, znalazły się oszustwa, prostytucja, piramidy finansowe i kradzież prywatnych danych.

Badania przeprowadzone przez Uniwersytet wykazały, że głównym winowajcą takiego stanu rzeczy jest brak wsparcia prawnego dla służb zajmujących się walką z przestępstwami cybernetycznymi.

Global Times wspomina jednak, że raport nie zawiera ostatnich danych z tym związanych. Chodzi tu o uchwaloną pod koniec 2012 kompleksową ustawę o wzmocnieniu ochrony informacji. Jednak ustawy o przestępstwach internetowych wciąż nie ma.

Wei Yongzheng, profesor Ludowego Uniwersytetu Bezpieczeństwa Publicznego i główny autor raportu powiedział, że przestępstwa internetowe są zwykle ścigane z wykorzystaniem istniejącego prawa karnego, które jest niejasno powiązane z przestępstwami internetowymi i nie jest do końca praktyczne w użyciu w takich sytuacjach.

Jeśli hakerzy atakują witryny finansowe organizacji i przesyłają jej pieniądze na inne konta nie ma żadnych przepisów, które pozwalałyby szukać podmiotów odpowiedzialnych za ten atak. Nie jest jasne czy haker, czy strona www banku, czy inny podmiot powiązany powinien ponieść konsekwencje za niektóre przestępstwa.

Chińskie służby egzekwowania prawa podejmują coraz większe wysiłki rozwiązania spraw dotyczących przestępstw cybernetycznych. W połowie października Ministerstwo Bezpieczeństwa Publicznego oświadczyło, że rozwiązano 4400 spraw związanych z przestępczością internetową podczas złapania 700 gangów cyberprzestępczych i aresztowaniu 8 900 podejrzanych.

Problem w tym, że te liczby są ułamkami procentów jeśli spojrzymy na liczbę chińskich obywateli.

Z dniem 01 stycznia 2013 r. wprowadzono wiążące reguły korporacyjne (BCR) dla przetwarzających, którymi są wewnętrzne kodeksy postępowania dotyczące ochrony i bezpieczeństwa danych mające na celu zapewnienie, że przekazywanie danych osobowych poza obszar Unii Europejskiej przez przetwarzającego, który działa w imieniu swoich klientów i wedle ich instrukcji, będzie odbywało się zgodnie z przepisami UE o ochronie danych (link).

BCR mają charakter wewnętrznych zasad przyjmowanych przez międzynarodowe korporacje, które definiują globalną politykę przetwarzania danych osobowych wewnątrz danej korporacji do lokalizacji położonych w państwach, w których nie obowiązuje należyty stopień ochrony danych osobowych.

BCR mają na celu przede wszystkim ułatwić dużym korporacjom spełnienie wymogów z art. 25 i 26 Dyrektywy, na podstawie których:

1. Państwa Członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas, gdy niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony;
2. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zbioru takich operacji; szczególną uwagę zwracać się będzie na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia, przepisy prawa, zarówno ogólne, jak i branżowe, obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym państwie;
3. Państwa Członkowskie zapewnią, że przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony, może nastąpić pod warunkiem, że: a) osoba, której dane dotyczą, jednoznacznie udzieli zgody na proponowane przekazanie danych; lub b) przekazanie danych jest konieczne dla realizacji umowy między osobą, której dane dotyczą i administratorem danych lub dla wprowadzenia w życie ustaleń poprzedzających zawarcie umowy na wniosek osoby, której dane dotyczą; lub c) przekazanie danych jest konieczne dla zawarcia lub wykonania umowy zawartej między administratorem danych i osobą trzecią, w interesie osoby, której dane dotyczą; lub d) przekazanie danych jest konieczne lub wymagane przez prawo z ważnych względów publicznych lub w celu ustanowienia, wykonania lub obrony tytułu prawnego; lub e) przekazanie danych jest konieczne dla zapewnienia ochrony żywotnych interesów osoby, której dane dotyczą; lub f) przekazanie danych następuje z rejestru, który ma służyć, zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi, za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby wykazującej uzasadniony interes, o ile warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione.
4. Państwo Członkowskie może zezwolić na przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony, jeżeli administrator danych zaleci odpowiednie zabezpieczenia odnośnie do ochrony prywatności oraz podstawowych praw i wolności osoby oraz odnośnie do wykonywania odpowiednich praw; takie środki zabezpieczające mogą w szczególności wynikać z odpowiednich klauzul umownych.

Przy stosowaniu tych zasad warto wspomnieć o wyroku z dnia 16 kwietnia 2003 r., w którym Naczelny Sąd Administracyjny stwierdził, że:

“Przy udzielaniu zgody na przekazanie danych osobowych za granicę organ powinien kierować się oceną, czy zastosowane środki różnego typu, klauzule umowne i środki techniczne pozwalają zapewnić stopień ochrony tych danych odpowiadający ustawodawstwu polskiemu”.

Jak czytamy w Komunikacie europejskich organów ochrony danych, zrzeszonych w ramach Grupy Roboczej Artykułu 29 ds. Ochrony Danych (niezależny organ doradczy w sprawach ochrony danych i prywatności, powołany na mocy artykułu 29 Dyrektywy o ochronie danych 95/46/WE),

“Stosowanie BCR dla przetwarzających nie jest obowiązkowe, a każde przedsiębiorstwo działające jako przetwarzający, np. w kontekście działań outsourcingowych lub przetwarzania danych w chmurze obliczeniowej (cloud computing), może podjąć decyzję o złożeniu wniosku o zatwierdzenie BCR do organu ochrony danych. Przyniesie to jednak korzyści zarówno przetwarzającym, jak i administratorom. Gdy wiążące reguły korporacyjne dla przetwarzających zostaną zatwierdzone, mogą być wykorzystane przez administratora i przetwarzającego, dzięki czemu zapewniona zostanie zgodność z unijnymi zasadami ochrony danych, bez konieczności negocjowania zabezpieczeń i warunków za każdym razem, gdy zawierana jest umowa”.

BCR dla przetwarzających są – można powiedzieć – częścią systemu BCR, na który składa się jeszcze BCR dla administratorów danych, natomiast BCR dla przetwarzających obejmuje różne podmioty przetwarzające dane (np. centra danych). Zgodnie z Dyrektywą, pomiędzy przetwarzającym a administratorem powinna zostać podpisana stosowna umowa (ang. service agreement), której postanowienia również powinny znaleźć swoje odzwierciedlenie w BCR dla przetwarzających.

Od strony merytorycznej, w BCR dla przetwarzających należy zwrócić uwagę przede wszystkim na następujące kwestie:

1. Zapewnienie przestrzegania we wszystkich podmiotach grupy oraz przez wszystkich pracowników, w tym zapewnienie, że przestrzegane będą zasady ochrony przewidziane w umowie z administratorem. Zgodnie bowiem z art. 17 Dyrektywy “Państwa Członkowskie zobowiązują administratora danych, w przypadku przetwarzania danych w jego imieniu, do wybrania przetwarzającego, o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa oraz rozwiązań organizacyjnych, regulujących przetwarzanie danych, oraz zapewnienia stosowania tych środków i rozwiązań”.
2. BCR muszą dawać prawo do dochodzenia uprawnień w nich przewidzianych przez osoby, których dane są przetwarzane (ang. “data subjects”), gdy nie mogą one wnieść roszczeń przeciwko administratorowi.
3. BCR muszą przewidywać odpowiedni poziom zobowiązań do rekompensaty finansowej za działania podmiotów przetwarzających dane.
4. BCR musi zapewnić, iż wiedza odnośnie zasad BCR jest znana w danej firmie i przeprowadzane są ustawiczne szkolenia w tym zakresie.
5. W całej grupie podmiotu przetwarzającego dane powinien funkcjonować punkt kontaktowy dla podmiotów, których dane są przetwarzane.
6. BCR powinny przewidywać, iż sposób ochrony danych osobowych będzie okresowo audytowany.
7. BCR powinny zawierać zobowiązanie do współpracy z organami ochrony danych osobowych oraz z administratorem danych. Nie można bowiem na żadnym etapie zapomnieć, iż dane są przetwarzane w określonym celu i to nie podmiot przetwarzający dane osobowe jest tutaj główną postacią tego procesu. Na pewno pełni on bardzo istotną rolę w łańcuchu przetwarzania danych osobowych, jednakże nie wolno zapomnieć, iż głównym zobowiązanym jest administrator danych i to w wypełnianiu obowiązków administratora danych powinien pomagać przetwarzający.
8. Określenie zakresu danych objętych BCR.
9. Procedura zmian BCR.
10. Opis zasad zachowania poufności i bezpieczeństwa, włączając w to zasady transferu danych poza Unię Europejską.
11. Lista podmiotów objętych BCR oraz oświadczenie o powiązaniach BCR z prawem lokalnym.

Na zakończenie należy podkreślić, iż BCR powinny być powiązane z SLA, która w zakresie danej usługi wiąże klienta końcowego. Umowa SLA, która wiąże klienta, będzie zawierała wiele uregulowań dotyczących już bezpośrednio danej usługi, jednakże BCR jako dokument ramowy i globalny powinien być do niej załącznikiem – jest to bynajmniej rekomendowana praktyka.

„Piractwo” w Nowej Zelandii spadło o 50% po wprowadzeniu zasady „trzech nalotów” – przynajmniej tak twierdzi tamtejszy przemysł muzyczny. Wspomniana zasada pozwala na nałożenie kary 15 tysięcy dolarów nowozelandzkich (ok. 41 tysięcy złotych) na „pirata” złapanego trzykrotnie.

Rianz (nowozelandzki ZAiKS) wysłał już prawie 3 tysiące listów z informacjami o naruszeniu praw autorskich. Do tej pory nikt nie stawił się jednak przed sądem.

Oczywiście, jak każde tego typu stowarzyszenie, ma zdecydowanie większy apetyt i zamierza zwiększyć liczbę wysyłanych zawiadomień do 5 tysięcy miesięcznie.

Skuteczność zawiadomień jest i tak dyskusyjna – dostawcy usług internetowych uważają, że spadek ilości pobieranych danych trwa kilka dni, po czym wraca do poprzednich, regularnych wartości.