Trusted Cloud Day 2016 – Spotkanie dla tych którzy chcą zaufać chmurom

Dzisiaj (16 listopada 2016) byłem na konferencji poświęconej chmurom, zorganizowanej przez Microsoft pod nazwą „Trusted Cloud Day 2016 – Spotkanie dla tych, którzy chcą zaufać chmurom”.

Wykładów było wiele, wszystkie ciekawe, niektóre bardziej, a niektóre mniej. Najbardziej spodobał mi sie panel:

Chmura w sektorze finansowym... -  Agata Szeliga (Kancelaria Sołtysiński Kawecki & Szlęzak) i Renata Zalewska (Microsoft)

Ten wykład podobał mi się najbardziej, dlatego że:

  • czysta merytoryczna treść, tzw. „samo mięso”,
  • temat, który żywotnie mnie interesuje, a więc chmury vs. polska bankowość.

A banki w Polsce nie mają łatwo, jeśli chodzi o krzystanie z chmury, bo najpierw bank musi chmurze zaufać (z tym wydaje mi się, że jest coraz łatwiej), później musi pokonać przepisy o ochronie danych osobowych i prawo bankowe (to też już nie jest ziemia nieznana), a na koniec musi przekonać KNF (Komisję Nadzoru Finansowego), że to jest zgodne z rekomendacją D nazdoru i że jest to dla banku bezpieczne. Teoretycznie, jeśli chmura i dostawca są z EOG (Europejskiego Obszaru Gospodarczego), to nie musi uzyskiwać zgody KNF, ale ze świeczką szukać tak odważnego banku!

Podczas tej sesji dowiedzieliśmy się, że użytkownich chmury może zdecydować gdzie jego dane są przechowywane.

Korzystając z chmury bank musi mieć wiedzę o podwykonawcach. I zdaje się, że Microsoft udostępnia takie informacje, podając skąd jest podwykonawca oraz jakie procesy czy zadania są mu zlecane. Ponoć większość z nich to spółki zależne Microsoft.

Podczas wykładu wspomniano o narzędziu LockBox, aby kontrolować czy serwis Microsoft ma jakikolwiek dostęp do danych zleceniodawcy (użytkownika chmury). Na stronie tutaj >> czytamy, że:

Microsoft Engineers do not have standing access to any service operation.  All access is obtained through a rigorous access control technology called Lockbox. Today, Lockbox enforces access control through multiple levels of approval within Microsoft, providing just-in-time access with  limited and time-bound authorization. In addition, all access control activities in the service are logged and audited.

co oznacza, że nikt w zasadzie nie ma ciągłego dostępu do danych, a jeśli jest to wymagane, podlega rygorystycznemu procesowi oraz jest audytowane.

Dalej podczas tego wykładu dowiedzieliśmy się, że teoretycznie banki powinny udzielać zgodę na dodatkowych podwykonawców i mieć możliwość sprzeciwu wobec nowych, ale jakoś trudno sobie wyobrazić, aby to mogło zadziałać w przypadku globalnych dostawców...

Dyskutowano odpowiedzialność outsourcera i stanęło na tym, że nie jest to odpowiedzialność obiektywna czy gwarancyjna, cokolwiek miałoby to znaczyć. Microsoft przygotował też tzw. Aneks Finansowy, który w jakimś stopniu reguluje kwestie kar czy odpowiedzialności, ale nie znalazłem przykładów, temat bez wątpienia do eksplorowania.

Podkreślano, że dostawca cloudu jest procesorem, działa wyłącznie zgodnie z intrukcjami klientów. Zasygnalizowano, że można szyfrować nawet pojedyncze skrzynki pocztowe, korzystając z szyfrowania dostawcy bądź stosując własne klucze. Temu także warto byłoby przyjrzeć się bliżej. To był wykład, który mnie najbardziej zainteresował.

Podsumujmy też ciekawostki, jakie pozostały w głowie po pozostałych wykładach:

Otwarcie konferencji - Michał Jaworski (Microsoft)

Ciekawe spostrzeżenie, że outsourcing występuje w życiu prywatnym na prawie każdym kroku. Edukacja dzieci. Przelewy bankowe. Dostawa wody.

Jak przygotować się do wprowadzenia GDPR w Polsce - Dr Arwid Mednis (Wierzbowski Eversheds)

Powiedział „nie znam nikogo, kto by stosował się do Kodeksu Pracy” jeśli chodzi o zakres zbieranych danych. Ja też. Ta interpretacja, że można od pracownika zbierać tylko tyle danych ile jest wymienione w KP jest nieprzystająca nijak do rzeczywistości.

Obszary największego zainteresowania to

  • marketing
  • komunikacja z klientem
  • profilowanie

Warto już teraz zacząć przygotowania, najpierw od inwentaryzacji operacji.

Mówiono także o minimalizacji danych, co by oznaczało, że RODO (tj. GDPR) odchodzi od adekwatności danych na rzecz niezbędności - aż to sprawdzę, moment! No tak, art. 5 ust. 5 pkt c) podkreśla, że dane muszą być „adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane”).

No i oczywiście to, że na administratorach danych będzie ciążyć odpowiedzialność za ocenę różnych czynników związanych z przetwarzaniem danych

Ochrona danych w EU po nowemu - Marie Charlotte Roques-Bonnet (Microsoft)

Kilka ciekawych case'ów w sferze danych osobowych i prywatności – tutaj podam linki do dokumentów, które sam znalazłem, bazując jedynie na nazwach spraw. Bardzo lubię takie informacje, zawsze to ciekawostki!

Informacja o tym, co zostało ujawnione przez MS - https://www.microsoft.com/en-us/about/corporate-responsibility/reports-hub

Panel dyskusyjny - Przedstawiciele Ministerstwa Cyfryzacji, GIODO, PIIiT, mBank SA i dwóch kancelarii prawnych

Wspomniano o brytyjskim systemie certyfikacji chmur, nie jestem pewien, ale być może chodzi o CSA STAR - https://cloudsecurityalliance.org/star/

Chmura w bankowości będzie stanowić rewolucję.

Dane w zdrowiu – zmiana przepisów, wcześniej dokmentacja musiała być przechowywana „w szpitalu”, a teraz „przez szpital”, co otworzyło szpitale na outsourcing. Dopuszczalne są już świadczenia medyczne przez internet. Do 2018 ponoć cała dokumentacja medyczna ma być cyfrowa.

Cloud w zamówieniach publicznych to „masakra” ze względu na 4 letni cykl, a więc już po 3 latach trzeba przygotowywać tzw. exit plan, bo niewiadomo, jaka chmura w zamówieniu publicznym będzie wybrana...

Tarcza prywatności jest dobra, na pewno lepsza od poprzednika, ale pierwszy roczny przegląd pokaże, na ile dobrze to funkcjonuje.

Wspomniano program od Polski papierowej do cyfrowej - http://www.mr.gov.pl/media/21329/Od_papierowej_do_cyfrowej_PL_prez_dluzs...

No i na koniec jeszcze podano link do strony https://news.microsoft.com/cloudforgood/

Później jeszcze były stoliki tematyczne, ja dołączyłem do dr. Mednisa gdyż stolik poświęcony był danym osobowym. Ale to już inna sprawa.

Podsumowując bardzo udana impreza, cenne informacje, warto wybrać się za rok!