Microsoft внедряет стандарты ISO в сфере конфиденциальности облачных сервисов
26 февраля 2015 г. | Категория: Мир
Стандартизирующие органы аттестовали четыре типа облачных услуг. Microsoft продолжает свои усилия в области защиты конфиденциальности. На днях компания объявила, что ее облачная платформа Azure, приложения Office 365 и Dynamics CRM Online были аттестованы Британским Институтом Стандартов (BSI) как соответствующие общим требованиям, изложенным в международных стандартах ISO по защите персональных данных в облаках. Компания также отмечает, что французское классификационное общество Bureau Veritas подобным образом аттестовала Microsoft Intune.
Согласно двум официальным блогам компании, Microsoft является «первым крупнейшим облачным провайдером, принявшим передовые международные стандарты в сфере защиты персональных данных в облаках», при этом Azure – первая облачная платформа, соответствующая стандарту ISO 27018.
Согласно официальной информации от стандартизирующего органа, стандарт ISO/IEC 27018:2014 был выпущен в июле прошлого года и «устанавливает общепринятые цели контроля, а также руководство по мероприятиям, нацеленным на защиту данных, позволяющих идентифицировать личность, в соответствии с принципами конфиденциальности стандарта ISO/IEC 29100 для публичной облачной вычислительной среды». Стандарт конфиденциальности персональных данных для облачных сервисов был опубликован в виде нового раздела стандарта ISO 27001 «Управление информационной безопасностью».
Облачные провайдеры, принимающие стандарт ISO 27018, должны поддерживать несколько ключевых принципов защиты персональных данных клиентов. Они включают возможность контролировать, какие именно персональные данные клиент отдал на обработку облачному провайдеру; прозрачность в отношении места хранения данных, видов их использования и контроля доступа к данным, включая отслеживание всех попыток доступа, законных и незаконных; меры безопасности в процессе обработки, хранения, передачи и восстановления данных; использование персональных данных для рекламы и маркетинга только в случае согласия клиента; предоставление данных третьей стороне для ежегодного аудита с целью проверки выполнения требований; а также информирование клиентов о запросах со стороны компетентных органов (кроме случаев, когда это запрещено законом).
Принятие стандартов явилось ответом на обеспокоенность клиентов по поводу конфиденциальности хранящейся в облаке информации, пишет Брэд Смит, главный юрист и вице-президент по правовым и корпоративным вопросам Microsoft, в блоге, где анонсировалось это достижение.
«Мы верим, что стандарт ISO 27018 будет равным образом служить ориентиром для регуляторов и клиентов в их стремлении убедиться в надлежащей защите данных в любом регионе и отрасли», - отмечает он, добавляя, что «аттестация наших сервисов на соответствие стандартам является очередным свидетельством нашей приверженности делу защиты персональных данных наших клиентов».
Конфиденциальность в мире после Сноудена
С тех пор, как Эдвард Сноуден обнародовал свои разоблачения о слежке Национального агентства безопасности (NSA) за гражданами, Microsoft предприняла немало усилий для позиционирования компании как бастиона личной жизни. Делалось ли это ради принципа или в целях дистанцироваться от появившихся (скорее всего, ошибочных) сведений, будто бы компания помогала NSA, - так или иначе, Microsoft прошла большой путь в деле обеспечения конфиденциальности клиентских данных и даже публикует информацию о количестве запросов, поступающих от органов безопасности.
В декабре прошлого года ее коллеги Apple, Amazon, и HP, поддержали апелляцию Microsoft на решение суда, требовавшего, чтобы компания предоставила правительству США контент электронной почты клиентов с серверов в Дублине. Прошлым летом федеральный судья в Манхэттене вынес решение, обязывающее Microsoft передать содержание переписки европейских клиентов, которых следствие подозревало в участии в распространении наркотиков. Microsoft отказалась выполнить решение и была оштрафована за неуважение к суду. Компания всегда придерживалась позиции, что любые следственные действия с перепиской, физически хранящейся в Дублине, могут осуществляться только по запросу властей Ирландии, но никак не США.
Дополнительную информацию можно получить на сайте Теги: Microsoft, ISO
|