Post on 12-May-2015
27 januari 2011
Veilig in de CloudHoe kunt u uw mensen altijd en overal veilig toegang geven tot bedrijfsinformatie zonder dat u de controle over uw data verliest? En hoe kunt u voldoen aan wet- en regelgeving?
Joris GeertmanPSM S&TMicrosoftjorisgee@microsoft.com
twitter: jorisgee
Louis Jonkeradvocaat
Van Doornejonker@vandoorne.com
Hashtag 360 event: #360graden
Alle Cloud Sessies vandaag
Tijd Sessie Spreker(s)
10:15 – 11:00 Cloud Scenario’s Irwin Hunter
11:15 – 12:00 Cloud Strategie Rene van Haaster
12:15 – 13:00 Office 365 Hans van der Meer
13:15 – 14:00 Cloud Confused ? Peter de Haas
Cloud Scenario’s Irwin Hunter
14:15 – 15:00 Cloud Strategie Rene van Haaster
Veilig in de Cloud Louis Jonker / Joris Geertman
15:15 – 16:00 Office 365 Hans van der Meer
16:15 – 17:00 Veilig in de Cloud Louis Jonker / Joris Geertman
Cloud Scenario’s Irwin Hunter
Gehele dag Cloud Desk Voor trial accounts en al uw cloud vragen
Cloud Desk voor al uw Cloud vragen
• Trial Accounts• Licentie-vragen• Technische-vragen• Cloud-vragen
CLOUD DESK
Twee vragen en discussie
• Is het veilig?– Welke maatregelen neemt Microsoft om ervoor te zorgen
dat online gegevens afdoende beveiligd zijn?
• Is het juridisch verantwoord?– Hoe kan ik voldoen aan wet en regelgeving?
• Discussie
De Microsoft Cloud
Microsoft Visie
ON-PREMISES
CLOUD SERVICES
TV / HOMEPC MOBIEL
Microsoft Cloud Diensten
Software as
a Service(SaaS)
Platform as
a Service(PaaS)
Infrastructure as a
Service(IaaS)
Eigen Datacenter
Private Cloud
PublicCloud
Storage
Server HW
Networking
Servers
Databases
Virtualization
Runtimes
Applications
Security & Integration
Storage
Server HW
Networking
Servers
Databases
Virtualization
Runtimes
Applications
Security & Integration
Storage
Server HW
Networking
Servers
Databases
Virtualization
Runtimes
Applications
Security & Integration
Storage
Server HW
Networking
Servers
Databases
Virtualization
Runtimes
Applications
Security & Integration
Eigen beheerManaged door Service Provider
Private(On-Premise)
Infrastructure
(as a Service)
Platform(as a
Service)
Software(as a
Service)
Service Delivery Opties
Cloud Services voor Bedrijven
BEDRIJFS APPL.SAMENWERKEN DATABASE PLATFORMBEHEERPRODUKTIVITEIT COMMUNICATIE
Significante Investeringen In Infrastructure
Meer dan $2B geinvesteerd in cloud infrastructureGeografische replicatie klantgegevensFlexibiliteit door public én private cloud30,000 engineers werkend aan clouddiensten
Commitment voor Services Excellence
Financiele SLA garantiesSAS 70 en ISO 27001 compliantContinue reductie van de CO2 footprintInnovatie door snelle iteratieve verbetering clouddiensten
Is het veilig?
Microsoft-cloud lekt bedrijfsdata van klanten
Kroes waarschuwt voor privacyrisico's cloud
Cloud Security Uitdagingen
Cloud security
Uitdagingen
Toenemende afhankelijkheid tussen
diensten, Betrouwbaarheid over Publieke en Private
Sector
Complexe, wereldwijde wet- en regelgeving en
industrie standardaarden
Nieuwe technologien, veranderende business modellen, dynamische hosting omgevingen
Toenemende complexiteit van aanvallen, grotere
bedreigingen en risico’s
CSA - Cloud Security Bedreigingen
Cloud Security Alliance:1. Misbruik van Cloud Computing2. Onveilige API’s3. Onbetrouwbare / kwaadwillende insiders4. Kwetsbaarheden door gedeelde technologie5. Verlies van gegevens6. Kapen van accounts, dienst, netwerkverkeer7. Onbekend Risico Profiel
Identityen Access
MgtHost Applicaties DataNetwerk
Defense-in-Depth
Fysiek
Security Foundation:TWC / SDL / Transparency / Audits
Security Controls… shared responsibility
IaaS
Physical Security
PaaS
Data Tagging
SaaS
Application Logging
18
“With more control, comes more responsibility”
Uitgebreid Compliance Framework
ISO/IEC 27001:2005 certificationSAS70 Type I and Type II attestations
PCI DSS certificationFISMA certification & accreditation
Certification and Attestations
Predictable Audit Schedule
Test effectiveness and assess riskAttain certifications and attestationsImprove and optimize
Examine root cause of non-complianceTrack until fully remediated
Controls Framework
Identify and integrateRegulatory requirementsCustomer requirements
Assess and remediate Eliminate or mitigate gaps in control design
Payment card industry data security standard Health Insurance Portability and Accountability Act
Industry Standards and Regulations
FISMA (NIST 800-53)Privacy laws, Sarbanes-Oxley, etc.
De Evolutie van Security van onze Online Services
Portal Era Online App Era Web Services Era
First ISO 27001 cert
1st Data Center
1989 1994-95 1997 2002 2004 2006 2008
Security Development Lifecycle
First SAS-70 cert
Trustworthy Computing Directive
Cloud Computing Era
2010
FISMA Cert
2012
Control Modules
Transparency: Control Modules
Regionale Zonering Microsoft Datacenters
ChicagoQuincyDublin
Amsterdam
Hong Kong
Singapore
Japan
"Datacenters have become as vital to the functioning of
society as power stations." The Economist
San Antonio
Microsoft has more than 10 and less than 100 DCs worldwide
BoydtonDes Moines
Google weigert data in Europa te houden
Relevante Bronnen
• Microsoft Global Foundation Services: http://www.globalfoundationservices.com/
• Microsoft Compliance Framework: http://www.globalfoundationservices.com/documents/MicrosoftComplianceFramework1009.pdf
• Securing Microsoft’s Cloud Infrastructure:http://www.globalfoundationservices.com/security/documents/SecuringtheMSCloudMay09.pdf
• Cloud security Alliance• http://www.cloudsecurityalliance.org/
27 januari 2011
Is het juridisch verantwoord?
Veilig in de cloudHoe kunt u voldoen aan wet- en regelgeving?
Louis JonkeradvocaatVan Doornejonker@vandoorne.com
*** zonder hashcode #360graden wordt uw tweet niet serieus genomen ***
ONTWIKKELINGEN IN SOURCING:• In-house• Facilities management• Hosting• ASP• Outsourcing/outtasking/BPO• SaaS/PaaS/IaaS• Cloud computing• <…>
HOE PAST CLOUD COMPUTING BINNEN HET JURIDISCHE KADER?• Geen nieuwe juridische aandachtspunten ten opzichte van andere
uitbestedingsvormen, maar wel deels een andere focus vanwege dynamisch en grensoverschrijdend karakter van cloud computing
• Grosso modo juridisch: cloud computing = uitbesteding+
DUS AANDACHT VOOR JURIDISCHE ASPECTEN ALS:• Dienstverlening (service levels, garanties) en sancties (boete,
aansprakelijkheid)• Regie (communicatie, rapportage) en controle (audit, TPM)• Continuïteit (back-up, uitwijk, escrow)• Intellectuele eigendom en gegevensbescherming (geheimhouding,
beveiliging en privacy)• Toepasselijk recht en geschiloplossing
JURIDISCHE UITDAGINGEN BIJ CLOUD COMPUTING:• Toepasselijk recht• ‘Control’• Continuïteit• Gegevensbescherming
UITDAGING #1: TOEPASSELIJK RECHT
Uitdaging• Wet- en regelgeving bevat verschillende aanknopingspunten om te
bepalen welk recht van toepassing is:- vestiging klant of locatie middelen/cloud (EU-privacyregelgeving)- plaats van kenmerkende prestatie (wanprestatie)- plaats waar schade zich voordoet (onrechtmatige daad)
• Gebrekkige harmonisatie van lokale regelgeving
Uitdaging oplosbaar/beheersbaar• Contractuele afspraken (tenzij dwingend recht)• Regionale zonering• LET OP: geschiloplossing (gelijk hebben ≠ gelijk krijgen)
UITDAGING #2: ‘CONTROL’
Uitdaging: kan je aan je wettelijke verplichtingen voldoen?• IFRS, SOx, Tabaksblatt, … (“deugdelijk ondernemingsbestuur”)• Civielrechtelijke en fiscale bewaarplichten• Bestuurdersverantwoordelijkheid (Ceteco-uitspraak)
Uitdaging oplosbaar/beheersbaar• Waarborgen van beschikbaarheid van en toegang tot (kritieke)
bedrijfsgegevens (zie uitdaging #3)• Waarborgen van continuïteit van bedrijfsvoering (zie uitdaging #3)• Controle (verifiëren van aanwezigheid/effectiviteit van ‘controls’):
- Audit (uitdaging: cloud is niet statisch, maar dynamisch)- TPM (SAS70-Type I-II, ISAE3402/SSAE-Type A-B)
UITDAGING #3: CONTINUÏTEIT (I)
Uitdaging• Potentiële bedreiging: gebrekkige kwaliteit leverancier of diensten
(uitvoering diensten in overeenstemming met bepaalde in overeenkomst)• Potentiële bedreiging: uitwerking daarvan op bedrijfsvoering
• “FACT: every year, thousands of organizations experience disruption to their operations lasting longer than five working days.” (British Standards Institution)
UITDAGING #3: CONTINUÏTEIT (II)
Uitdaging oplosbaar/beheersbaar• Afstemming van aan de cloud te stellen eisen en kwaliteitsniveaus op de
te ondersteunen bedrijfsvoering• ‘Klassieke’ continuïteitsmaatregelen:
- back-up (door leverancier of door klant), uitwijk- dynamische technology escrow?- exitassistentie
• ‘Verborgen’ continuïteitsmaatregelen:- “eigendom” van gegevens- hanteren van datastandaarden- concrete invulling van overmachtsbegrip- geclausuleerd opschortingsrecht leverancier bij betalingsgeschillen
UITDAGING #3: CONTINUÏTEIT (III)
BELANGRIJKSTE CONTINUÏTEITSMAATREGEL = REGIE• Gebrekkige kwaliteit van de leverancier of
zijn diensten vormt niet het echte risico.• In de praktijk levert veeleer de gebrekkige
bekendheid met gebreken het ware risico op.• Goede regieprocessen (communicatie,
rapportage, verwachtingenmanagement)zijn essentieel om continuïteitsrisico’s,danwel de effecten daarvan, beheersbaarte houden.
• Dus ook: bekendheid met ketenpartners incloud (bijv. clausule inzake onderaanneming)
UITDAGING #4: GEGEVENSBESCHERMING (I)
Uitdaging (I)• Toegang van derden tot data in de cloud
- Patriot Act …, maar grootste gevaar komt zeker niet (alleen) uit de VS (met ruim 3 miljoen opvragingen in 2009 is NL Europees koploper)- impact of vertrouwelijkheid, data-integriteit, …
Uitdaging oplosbaar/beheersbaar• Contractuele afspraken:
- toepasselijk recht?- regie (informatie-/waarschuwingsplicht)- back-up
UITDAGING #4: GEGEVENSBESCHERMING (II)
Uitdaging (II)• Privacy:
- verwerking van persoonsgegevens (HR-gegevens, klantgegevens)- naleving verplichtingen uit hoofde van Wbp: * bekendheid met locatie van persoonsgegevens * passende technische en organisatorische beschermingsmaatregelen * maximale bewaartermijnen verplichting tot verwijderen * uitvoering controle- en correctierechten betrokkenen
Uitdaging oplosbaar/beheersbaar• Bewerkersovereenkomst tussen klant (verantwoordelijke) en cloud
computing provider (bewerker) met heldere verdeling van taken en verantwoordelijkheden
UITDAGING #4: GEGEVENSBESCHERMING (III)
BIJZONDERE PRIVACY-UITDAGING• Grensoverschrijdende datadistributie• Doorgifte van persoonsgegevens buiten EER is verboden, tenzij:
- wettelijke uitzondering (toestemming, uitvoering overeenkomst)- passend beschermingsniveau of VS Safe Harbour
Uitdaging oplosbaar/beheersbaar• Doorgifteovereenkomst (conform modelcontracten) + vergunning MvJ• Cloud computing provider als verantwoordelijke voor doorgifte• ‘Neutralisatie’ van data (anonimisering, pseudonimisering, encryptie?)• Regionale zonering
SLOTOPMERKINGEN
• Cloud is nieuw, maar juridisch geen onbeschreven blad.
• Cloud brengt geen strakblauwe hemel met zich mee, maar ook geen donkergrijs wolkendek.
• Praktische oplossingen zijn voor handen.