Behandling av personuppgifter
Alla företag betraktas som personuppgiftsansvariga om de innehar eller behandlar personuppgifter om sina kunder eller anställda. Dessutom kan ett företag betraktas som personuppgiftsbiträde om det behandlar personuppgifter på uppdrag av andra personuppgiftsansvariga eller deras personuppgiftsbiträden.
Behandling av personuppgifter ställer höga krav på informationssäkerhet och intern kontroll. Med molntjänster i bilden blir det lite mer komplicerat – hur kan företaget säkra personuppgifter när det inte äger de servrar och applikationer där uppgifterna behandlas och lagras? Det ska vi svara på i den här artikeln..
Identity Management – kontroll över roller och åtkomster
Som registeransvarig måste ditt företag se till att personuppgifter endast behandlas av behöriga personer och endast där det är nödvändigt. Det är viktigt att ge de anställda rätt användarroller samt kontrollera deras åtkomst och rättigheter. Ännu viktigare är det att kunna ta bort åtkomst för anställda som inte längre arbetar med ett visst projekt eller i samma företag.
Om det är för mycket att hålla reda på manuellt kan lösningar för identitets- och åtkomsthantering lätta på bördan. IAM-lösningar gör det möjligt att automatisera identitetshanteringen och kan ge anställda tillgång till rätt molnapplikationer och resurser som behövs för en viss användarroll. Alla åtkomster kan också återkallas när de inte längre behövs - helt automatiskt.
IAM ger rapporter om åtkomster och användarroller, vilket säkerställer att företaget kan svara på vem som har tillgång till personuppgifter vid varje given tidpunkt.
Single Sign-On med adaptiv flerfaktorsautentisering – säker inloggning till företagets molnlösningar
GDPR ställer höga krav på informationssäkerhet. Företag är skyldiga att bevisa att de kontinuerligt säkerställer konfidentialitet, integritet, tillgänglighet och robusthet hos system och tjänster som behandlar personuppgifter. Användningen av SaaS-, PaaS- och IaaS-lösningar ökar ofta tillgängligheten och robustheten när applikationerna finns på större, säkra plattformar, men vad händer om inloggningsuppgifter stjäls?
Single Sign-On löser utmaningen med att använda olika lösenord för olika tjänster genom att logga in och lagra lösenord på distans på servern hos leverantören av molnapplikationer för sådana tjänster. I kombination med flerfaktorsautentisering (MFA) ger det ett bra skydd mot nätfiske och andra situationer där anställda kan få sina inloggningsuppgifter stulna.
Adaptiv MFA lägger till ytterligare ett säkerhetslager: i samband med ovanliga inloggningar p.g.a geografiskt läge, ovanlig inloggningstid och okänd enhet utlöses ett larm som kräver ytterligare information från den användare som försöker logga in. Allt detta garanterar förbättrad konfidentialitet och integritet.
CASB och DLP i molnet – översikt och kontroll av informationsflöden och känsliga data
GDPR-kraven gäller också mer än bara tillgång till resurser. Har du kontroll över vem personuppgifterna i ditt företag delas med? Är du säker på att filer som innehåller personuppgifter inte laddades upp på en dåligt skyddad molnlagringstjänst av en slarvig anställd? Eller att en databas med personuppgifter om dina kunder inte har vidarebefordrats till en anställds privata e-postadress?
En Cloud Access Security Broker (CASB) kan ta reda på vilka molntjänster som har använts av dina anställda och vilka uppgifter som skickas och lagras. Tjänsten erbjuder möjligheten att tillåta eller blockera utvalda tjänster baserat på bl.a. deras plats. GDPR tillåter inte att personuppgifter överförs till länder utanför EU/EES som inte har en adekvat skyddsnivå.
Med hjälp av inbyggd DLP (Data Loss Prevention) kan regler och tillhörande larm ställas in när personuppgifter försöker skickas till en extern e-postadress, delas med andra eller publiceras offentligt.
GAP-analys – kontrollera din nuvarande situation jämfört med den önskade säkerhetsnivån i molnet
Våra säkerhetsarkitekter har utarbetat en GAP-analys anpassad till GDPR-krav och molntjänster. Detta gör det möjligt för ditt företag att ta reda på var ditt företag står i förhållande till GDPR-lagstiftningen och den önskade säkerhetsnivån, samt vilka delar som behöver tas hand om.
Oavsett om du redan använder SaaS-, IaaS- eller PaaS-lösningar eller om du överväger att flytta dina tjänster till molnet kan vi hjälpa dig att göra det på ett säkert sätt!
Cloudworks Cloud Security Framework – säkerhet i din molnlösning
Cloudworks’ Cloud Security Framework är ett ramverk som utvecklats för att garantera våra kunders säkerhet i deras IaaS- och PaaS-lösningar. Här lägger vi stor vikt vid konfidentialitet, integritet, tillgänglighet och robusthet hos systemen, som ofta behandlar personuppgifter. Ramverket är anpassat till våra kunders behov och de regler som de måste följa.
Cloudworks Cloud Security Framework består av en GAP-analys, säker konfiguration av kundens IaaS/PaaS-lösning och utbildning. Om ditt företag överväger att migrera till molnet eller redan har migrerat till molnet och vill ha vägledning och strukturering av din lösning för GDPR-överensstämmelse är detta definitivt något att överväga!
Vill du veta mer? Våra erfarna IAM-konsulter och säkerhetsarkitekter kan hjälpa dig med dina utmaningar i samband med GDPR, informationssäkerhet och molnlösningar – kontakta oss idag!