Public 360° Online – Datasikkerhet
Download
Report
Transcript Public 360° Online – Datasikkerhet
Public 360° Online – Datasikkerhet
Ver. 1.1 Sept 2014
Public 360° Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft
Windows Azure. Azure er valgt som skyplattform ettersom den oppfyller markedets strengeste
sikkerhetskrav ved å sikre at kundens data er trygt lagret - vernet fra uautorisert tilgang, dataangrep og
uventede systemfeil.
Dette dokumentet forklarer hvordan Public 360° Online hjelper deg å administrere ditt foretaks
opplysninger etter gjeldende lover og bestemmelser.
Dokumentet vil bli oppdatert løpende og er ikke bindende med mindre det er inngått en eksplisitt avtale
om dette.
Software Innovation AS ▪ Rolfsbuktveien 4C ▪ N-1364 Fornebu ▪ +47 23 89 90 00 ▪ www.software-innovation.no
Innledning ..................................................................................................................................................... 3
Sikkerhet og driftspålitelighet ................................................................................................................... 3
Datasikkerhet og personvern ..................................................................................................................... 3
Databehandleravtale ................................................................................................................................................................3
Prosess og innsyn ......................................................................................................................................................................4
Sikkerhetsrevisjon......................................................................................................................................................................4
Microsoft som underleverandør til Software Innovation ..........................................................................................4
Software Innovations sikkerhetsprosedyrer- FAQ ........................................................................................................5
Har kunden full kontroll over hvem hos leverandøren som kan se og endre dataene? ..........................5
Hvordan bruker leverandøren dataene? .....................................................................................................................6
Hvor befinner dataene til enhver tid seg rent fysisk (også kopier)? ................................................................6
Hvem eier serverne der dataene lagres (underleverandører inkludert)? .......................................................6
Hvilke lover gjelder for denne typen data i de landene serverne står hvis de står utenfor Norge? ...6
Har kunden like mye tilgang til sine data som om de hadde serveren under egen kontroll? ..............7
Hva som skjer med tilgangen til dataene ved opphør av avtalen? ..................................................................7
Er alle de tiltakene som Datatilsynet foreslår blitt gjennomført? ......................................................................7
Delt ansvar ..................................................................................................................................................... 8
Noen nyttige lenker ..................................................................................................................................... 9
Public 360° Online – Datasikkerhet
Side 2 av 9
1. Innledning
Public 360° Online er en tjeneste som leveres av Software Innovation og som driftes på Microsoft
Windows Azure. Azure er valgt som skyplattform siden den oppfyller markedets strengeste
sikkerhetskrav ved å sikre at kundens data er trygt lagret - vernet fra uautorisert tilgang, dataangrep
og uventede systemfeil.
Dette dokumentet forklarer hvordan Public 360° Online hjelper deg å administrere ditt foretaks
opplysninger innenfor rammen av gjeldende lover og bestemmelser.
Dokumentet vil bli oppdatert løpende og er ikke bindende med mindre det er inngått en eksplisitt
avtale om dette.
2. Sikkerhet og driftspålitelighet
Public 360° Online driftes på Azures geografisk distribuerte datasentre som er i overenstemmelse med
sentrale markedsstandarder for sikkerhet og drift, slik som ISO/IEC 27001. Sentrene er administrert og
overvåket av Microsoft driftspersonell som har mange års erfaring med å levere verdens største
nettbaserte tjenester med døgnkontinuerlig oppetid. I tillegg til etablert praksis innenfor datasentre,
nettverk og driftspersonell, inkorporerer også Azure retningslinjer for økt sikkerhet for
applikasjonsutviklere og driftsadministratorer.
Tilgang på kundedata for ansatte i Software Innovation er strengt kontrollert. Se punkt 4 for detaljer.
All kommunikasjon mellom kundens computer og Public 360° Online serveren er sikret ved hjelp av
SSL-kryptering. Tilgang til Public 360° Online er typisk kontrollert av kundens egen Active Directory
(AD), og autentiseringen til løsningen vil være den samme som for kundens andre
virksomhetssystemer. Kunder bør sette en passordspolicy (passordsstyrke, utbyttingsfrekvens, sperring
mm.) som er passende for deres bruk av Public 360° Online og informasjonen systemet inneholder.
Du kan lese mer om sikkerhet og databehandling på Azures hjemmeside:
http://www.windowsazure.com/en-us/support/trust-center/
3. Datasikkerhet og personvern
Databehandleravtale
Kontrakten som utstedes i forbindelse med anskaffelsen av Public 360° Online inkluderer en
databehandleravtale basert på Datatilsynets mal: http://www.datatilsynet.no/Sikkerhetinternkontroll/Databehandleravtale/
Avtalens hensikt er å regulere rettigheter og plikter etter Lov av 14. april 2000 nr. 31 om behandling av
personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr. 1265
(personopplysningsforskriften).
Public 360° Online – Datasikkerhet
Side 3 av 9
Prosess og innsyn
Software Innovation skal følge de rutiner og instrukser som legges til grunn i databehandleravtalen, og
i henhold til de minimumskrav som følger av Personopplysningsloven med forskrift og EU Data
Protection Directive for behandling av data som kunden til enhver tid har bestemt skal gjelde.
Software Innovations sikkerhetsprosesser er beskrevet i punkt 4 slik at kunden kan ivareta sitt eget
ansvar etter gjeldende regelverk.
Kunden har rett til innsyn i personopplysningene som behandles og systemene som benyttes til dette
formål.
Software Innovation har taushetsplikt om dokumentasjon og personopplysninger som vedkommende
får tilgang til iht. avtalen.
Software Innovation skal oppfylle de krav til sikkerhetstiltak som stilles etter personopplysningsloven
og personopplysningsforskriften, herunder særlig personopplysningslovens § 13 - 15 med forskrifter.
Software Innovation skal dokumentere rutiner og andre tiltak for å oppfylle disse kravene.
Dokumentasjonen skal være tilgjengelig på kundens forespørsel.
Avviksmelding etter personopplysningsforskriftens § 2-6 skal skje ved at Software Innovation melder
avviket og handlingsplan til kundens systemeier via e-post. Kunden har ansvaretet for at avviksmelding
sendes Datatilsynet.
Sikkerhetsrevisjon
Software Innovation engasjerer periodevis et eksternt sikkerhetsselskap som er spesialisert på
skytjenester (Watchcom). Sikkerhetsselskapet foretar en revisjon av datasikkerheten og
sikkerhetsprosedyrene knyttet til vår skytjeneste.
I tillegg til dette skal kunden avtale jevnlige sikkerhetsrevisjoner av systemer og annet som omfattes av
denne avtalen med Software Innovation.
Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige
kontroller eller andre egnede tiltak. Kunden bærer alle kostnadene ved slike revisjoner. Hvis revisjonen
avdekker vesentlige feil eller mangler skal kunden fortsatt betale kostnadene ved revisjonen.
Microsoft som underleverandør til Software Innovation
Microsoft er den eneste underleverandøren til Software Innovation i leveringen av Public 360° Online,
og det foreligger en databehandleravtale mellom partene. Public 360° Online er driftet innenfor EU på
Microsoft Windows Azure.
Microsoft har i forbindelse med leveranser i Norge utarbeidet en databehandleravtale som henviser til
Europaparlamentets- og rådsdirektiv 95/46/EF av 24. okt. 1995 om beskyttelse av fysiske personer i
forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger
(personverndirektivet). Når Microsoft viser til Directive 95/46/EC innebærer det at det vises til
regelverket slik det er gjennomført i Personvernloven, og er dermed i overenstemmelse med norsk lov.
Public 360° Online – Datasikkerhet
Side 4 av 9
Software Innovation bekrefter for at Microsoft Azure databehandleravtale er i tråd med norsk
personvernlovgivning.
4. Software Innovations sikkerhetsprosedyrer- FAQ
Datatilsynet anbefaler at kunden gjennomfører en risikoanalyse før de begynner å bruke skytjenester.
Dette punktet vil søke å gi svar på viktige spørsmål som vil hjelpe kunden med å avgjøre hvorvidt
Public 360° Online på Windows Azure kan imøtekomme kundens behov. Risikoanalysen og
spørsmålene under er basert på Datatilsynets retningslinjer: http://www.datatilsynet.no/Sikkerhetinternkontroll/Risikovurdering/
Har kunden full kontroll over hvem hos leverandøren som kan se og endre
dataene?
Ja. Software Innovation kontrollerer tilgang til skytjenesten og dens data gjennom en
rettighetsmatrise.
Det er fire sikkerhetsnivåer:
Nivå 1 (laveste nivå) - Monitorering - tilgang til data om tilgjengelighet, oppetid, ytelse mm.
Nivå 2 - Kundekonfigurering - opprette og konfigurere kunder, sende varsler mm.
Nivå 3 - Tjenestevedlikehold - konfigurere infrastruktur, skalere tjenesten,
produktoppgraderinger mm.
Nivå 4 (høyeste nivå) - Infrastruktur - tilgang til servere, lagring, back-up, nettverk, sertifikater
mm.
Tilgang til kundedata er mulig på nivå 4.
Vi har definert fem roller:
Administrator (lokalisert i Norge). Tre senior R&D ansatte. Ansvarlige for tilgangskontroll.
Drift - Norge
Drift - India
Service & Support - Norge
Observatør - til bruk for monitorering av tjenesten.
Public 360° Online – Datasikkerhet
Side 5 av 9
Rollene og rettighetene fordeles som vist i tabellen:
Rettigheter / Rolle
Admin:
Norge
Drift:
Norge
Drift:
India
Service &
Support:
Norge
Observatør
Tjeneste Monitorering
(Level 1)
x
x
x
x
x
Opprette Kunde (2)
x
x
Slette Kunde (2)
x
x
Send Varsling (2)
x
x
Tjenestevedlikehold (3)
x
x
Infrastrukturtilgang (4)
x
Rettighetsstyring (4)
x
x
x
x
Hvordan bruker leverandøren dataene?
Software Innovation behandler ikke personopplysninger på annen måte enn det som er skriftlig avtalt
med kunden og i henhold til databehandleravtalen. Opplysningene overlates ikke til noen andre enn
nettskyleverandøren som er forpliktet på samme måte, og kan heller ikke bearbeides eller benyttes til
andre formål.
Hvor befinner dataene til enhver tid seg rent fysisk (også kopier)?
For norske kunder vil produktet installeres i Windows Azures datasentre i Irland og Nederland, og
kundens data oppbevares der.
Kunden kan beholde en lokal kopi av dataene i Public 360° Online ved å benytte et eksportverktøy fra
Software Innovation.
Hvem eier serverne der dataene lagres (underleverandører inkludert)?
Serverne eies og driftes av Microsoft. Ingen andre underselskaper er involvert i å levere tjenesten
Public 360° Online.
Hvilke lover gjelder for denne typen data i de landene serverne står hvis de står
utenfor Norge?
Serverne eies og driftes av Microsoft og ligger i Irland og Nederland, og kundens data oppbevares der.
Microsoft har akseptert EU sin personvernlovgivning som er samsvarende med norsk
personvernlovgivning, og gjennom det norske regelverket kan persondata lagres innenfor EU-land
forutsatt at det er inngått en databehandleravtale mellom kunden (Behandlingsansvarlig) og
tjenesteleverandøren (Databehandleren.
Public 360° Online – Datasikkerhet
Side 6 av 9
Har kunden like mye tilgang til sine data som om de hadde serveren under egen
kontroll?
Tjenester som driftes på Azure, som Public 360° Online, representerer en høy grad av tilgjengelighet
ovenfor kunden. Et overblikk over tjensestenivåene er tilgjengeligjort her:
http://www.windowsazure.com/en-us/support/legal/sla/
I enkelte tilfeller vil Software Innovation planlegge nedetid for tjenesten. Denne nedetiden vil bli
varslet til kunden i forkant og vil finne sted utenfor arbeidstid.
Hva som skjer med tilgangen til dataene ved opphør av avtalen?
Ved opphør av avtalen vil alle tilganger bli sperret. For å redusere risiko vil Software Innovation slette
alle kundedata innen tre måneder etter avslutning av tjenesten.
Software Innovation kan tilby følgende alternativer for at kunden kan overta sine egne data og
dokumenter:
Kunden får tilgang til det standardprogrammet som finnes i 360° for å eksportere en
database/arkiv på NOARK 5 XML format. Dette vil gjøre det mulig for kunden enten å avlevere
data og dokumenter til en arkivmyndighet, eller til
å benytte de eksporterte data for import til en annet NOARK 5 basert løsning
Er alle de tiltakene som Datatilsynet foreslår blitt gjennomført?
Datatilsynet har vurdert bruken av nettskytjenester hos Narvik (Google) og Moss ( Office 365)
kommune som er offentlige foregangsvirksomheter i Norge når det gjelder administrering av
persondata i skytjenester.
Konklusjonen er at tilsynet åpner for bruk av tjenestene. Narvik kommune kan fortsette å bruke Google
Apps, og Moss har fått veiledning i bruken av Microsoft Office 365. Software Innovation har satt seg
inn i Datatilsynets råd og veiledninger i forbindelse med Narvik og Moss sin bruk av nettskytjenester,
og støtter opp om de sammen prinsippene i Public 360° Online.
I Arkivlovens § 9 om "Kassasjon" heter det: "Utan i samsvar med føresegner gjevne i medhald av § 12 i
denne lova eller etter særskilt samtykke frå Riksarkivaren, kan ikkje arkivmateriale […] førast ut or
landet, dersom dette ikkje representerer ein naudsynt del av den forvaltningsmessige eller rettslege
bruken av dokumenta".
Public 360° Online driftes av Software Innovation på en infrastruktur leid inn fra Microsofts datasentre i
Irland/ Nederland. Dette betyr at metadata og dokumenter lagres på servere innenfor EU/EØS
området. For å sikre at dokumenter som er endelig arkivert i systemet (også) finnes innen landets /
Norges grenser, gir Software Innovation tilgang til standardprogrammet som finnes i Public 360° for å
eksportere metadata og dokumenter på NOARK 5 eksport format. På den måten kan man jevnlig
foreta back-up av dataene og dokumentene i løsningen til en lokal filserver.
Public 360° Online – Datasikkerhet
Side 7 av 9
5. Delt ansvar
Det er viktig å merke seg at skyplattformer som Public 360° Online på Windows Azure krever et delt
ansvar mellom kunden, Software Innovation og Microsoft.
Software Innovation og Microsoft er ansvarlige for plattformen, og må etterstrebe å tilby en
skytjeneste som til enhver tid møter kravene fra kundene vedrørende retningslinjer knyttet til
datasikkerhet og personvern. Kundene er selv ansvarlige for deres eget miljø i det tjenesten har blitt
satt i drift, inkludert programvare, datainnhold, virtuelle maskiner og tilgangsstyring.
Public 360° Online på Azure muliggjør for kundene våre å følge gjeldende lovgivning, men det er opp
til kunden å evaluere tjenesten opp mot egne behov gjennom en risikovurdering. Det vil si at kunden
skal avgjøre om tjenesten tilfredsstiller deres regulatoriske krav som er definert i Datatilsynets
veiledning for risikovurdering av informasjonssikkerhet: http://www.datatilsynet.no/Sikkerhetinternkontroll/Risikovurdering/ og ihht Personopplysningsloven med tilhørende forskrift.
"Den behandlingsansvarlige skal gjennomføre en risikovurdering for sin behandling av
personopplysninger. Risikovurderingen må ses i sammenheng med etablerte akseptkriterier for risiko,
og den behandlingsansvarlige skal iverksette nødvendige tiltak for å oppnå en tilfredsstillende
informasjonssikkerhet."
Software Innovation ønsker å være behjelpelig med ytterligere detaljert informasjon om skytjenester,
slik at kundene på en enkel og god måte kan utføre sine egne risikovurderinger.
Public 360° Online – Datasikkerhet
Side 8 av 9
6. Noen nyttige lenker
Datatilsynets mal for databehandleravtale:
http://www.datatilsynet.no/Sikkerhet-internkontroll/Databehandleravtale/
Datatilsynet retningslinjer for risikovurdering:
http://www.datatilsynet.no/Sikkerhet-internkontroll/Risikovurdering/
Arkivloven:
http://lovdata.no/dokument/NL/lov/1992-12-04-126
Windows Azure - tillitssenter:
http://www.windowsazure.com/en-us/support/trust-center/compliance/
Windows Azure - tjenestenivåer:
http://www.windowsazure.com/en-us/support/legal/sla/
Public 360° Online – Datasikkerhet
Side 9 av 9