Behandling af persondata
Enhver virksomhed betragtes som behandlingsansvarlig, hvis den opbevarer eller behandler personoplysninger om sine kunder eller medarbejdere. Derudover kan virksomheden betragtes som behandlingsansvarlig, hvis den behandler persondata på vegne af andre behandlingsansvarlige eller deres databehandlere.
Behandling af persondata stiller store krav til informationssikkerhed og intern kontrol. Med cloudtjenester i billedet bliver det lidt mere kompliceret – hvordan kan virksomheden sikre persondata, når den ikke ejer servere og applikationer, hvor dataene behandles og gemmes? Det vil vi gi dig svaret på, i denne artikel.
Identity Management - Kontrol over roller og adgange
Som behandlingsansvarlig skal virksomheden sikre, at persondata kun behandles af autoriserede personer og kun i det omfang, det er nødvendigt. Det er vigtigt at give medarbejderne de rigtige brugerroller, administrere deres adgange og rettigheder. Endnu vigtigere er det at kunne tage adgange væk fra medarbejdere, der ikke længere arbejder på et givet projekt eller i virksomheden.
Hvis der er for meget at holde styr på manuelt, vil løsninger inden for identitets- og adgangsstyring være en hjælp. IAM-løsninger giver mulighed for automatisering af identitetsstyring, og kan give medarbejderne adgang til de rigtige cloudapplikationer og ressourcer, der er nødvendige for en given brugerrolle. Alle adgange kan også fratages, når de ikke længere er nødvendige – helt automatisk.
IAM tilbyder rapporter om adgang og brugerroller, og sikrer, at virksomheden til enhver tid kan svare på, hvem der har adgang til persondata.
Single Sign-On med adaptiv multifaktorgodkendelse - sikkert login til virksomhedens cloudløsninger
GDPR stiller store krav til informationssikkerhed. Virksomheden har pligt til at bevise, at den løbende sikrer fortrolighed, integritet, tilgængelighed og modstandsdygtighed af systemer og tjenester, der behandler persondata. Brug af SaaS-, PaaS- og IaaS-løsninger øger ofte tilgængeligheden og modstandsdygtigheden, når applikationerne findes på større, sikre platforme, men hvad sker der, hvis loginoplysninger bliver stjålet?
Single Sign-On løser udfordringer i forbindelse med brug af forskellige adgangskoder til forskellige tjenester gennem login og lagring af adgangskoder eksternt på cloudapplikationsudbyderens server til sådanne tjenester. Kombineret med multifaktorgodkendelse (MFA) giver den god beskyttelse mod phishing og andre situationer, hvor medarbejdere kan blive frarøvet deres loginoplysninger.
Derudover giver Adaptive MFA endnu et lag af sikkerhed: Afvigelser tilknyttet geografisk placering, usædvanlig logintid og ukendt enhed hvorfra man kan logge ind, udløser alarm, der derefter kræver yderligere oplysninger fra brugeren, der forsøger at logge sig på. Alt dette sørger for en forbedring af fortroligheden og integriteten.
CASB og DLP i cloud – overblik og kontrol over informationsflow og følsomme data
GDPR-kravene gælder også mere end selve adgangen til ressourcer. Har du kontrol over, hvem persondata i din virksomhed deles med? Er du helt sikker på, at filer der indeholder personlige data, ikke blev uploadet til en dårligt sikret cloudlagringstjeneste af en medarbejder? Eller at en database med personlige oplysninger om dine kunder ikke er blevet videresendt til en medarbejders private e-mailadresse?
En Cloud Access Security Broker (CASB) kan finde ud af, hvilke cloudtjenester der bruges af dine medarbejdere, og hvilken type data der sendes og gemmes. Tjenesten giver mulighed for at tillade eller blokere udvalgte tjenester baseret på for eksempel deres lokation. GDPR tillader ikke overførsel af persondata til lande uden for EU/EØS, som ikke har tilstrækkeligt beskyttelsesniveau.
Ved hjælp af indbygget DLP (Data Loss Prevention) kan regler og tilhørende alarmer indstilles, når persondata forsøges sendt til en ekstern e-mailadresse, deles med andre eller offentliggøres.
GAP-analyse – tjek din nuværende situation med det ønskede niveau af cloudsikkerhed
Vores sikkerhedsarkitekter har udarbejdet en GAP-analyse, der er tilpasset krav til GDPR og cloudtjenester. Dermed kan din virksomhed finde ud af, hvordan den ligger i forhold til GDPR-lovgivningen og det ønskede sikkerhedsniveau, samt hvilke elementer der er tilbage.
Uanset om du allerede bruger SaaS-, IaaS- eller PaaS-løsninger eller overvejer at flytte dine tjenester til clouden, kan vi hjælpe dig med at gøre dette på en sikker måde!
Cloudworks' Cloud Security Framework – sikkerhed i din cloudløsning
Cloudworks' Cloud Security Framework er et rammeværk, der er udviklet til at sikre vores kunders sikkerhed i deres IaaS- og PaaS-løsninger. Her lægger vi stor vægt på fortrolighed, integritet, tilgængelighed og modstandsdygtigheden af systemerne, som ofte behandler persondata. Rammeværket er tilpasset kundernes behov samt de regler, som de er pålagt at overholde.
Cloudworks' Cloud Security Framework består af en GAP-analyse, sikker konfiguration af kundens IaaS/PaaS-løsning og oplæring. Hvis din virksomhed overvejer at migrere til clouden, eller allerede er migreret til clouden, og ønsker vejledning og strukturering af din løsning med tanke på overholdelse af GDPR-krav, så er dette bestemt noget at overveje!
Vil du vide mere? Vores erfarne IAM-konsulenter og sikkerhedsarkitekter kan hjælpe dig med dine udfordringer i forbindelse med GDPR. informationssikkerhed og cloudløsninger – kontakt os i dag!
