ISO szabványú felhős adatkezelés a Microsoftnál

A nagyobb felhős szolgáltatók közül a Microsoft elsőként veti alá magát a Nemzetközi Szabványügyi Szervezet (International Standard Organization, ISO) által kiadott, a nyilvános felhőkben tárolt személyes adatok kezelésére vonatkozó szabványnak - közölte a vállalat. Az ISO/IEC 27018:2014 dokumentum a széles körben ismert és alkalmazott ISO/IEC 27002, elektronikus információbiztonsági szabvány alapjaira épül, a benne foglalt ajánlások kizárólag a személyes azonosításra alkalmas (Personally Identifiable Information, PII) adatok felelős kezelésének gyakorlatával foglalkoznak.

Az ISO/IEC 27018:2014-ben összegyűjtött és rendszerezett alapelvek és ajánlások szakmai szemmel nézve semmit extrát nem tartalmaznak, lényegében a szükséges, józan paraszti ésszel is meghatározható, alapvetőnek számító adatvédelmi eljárásokat foglalják össze egy hivatalos, auditálható formában. A szabványügyi szervezetnek nem is volt ennél magasztosabb célja - a dokumentumot a konszenzusos minimumnak szánták, amire a piac szereplői ennél akár lényegesen többet is vállalva építkezhetnek.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A szabvány integrálása a Microsoft adatkezelési és adatvédelmi gyakorlatában érdemi változást nem hozott, a vállalat többnyire eddig is a dokumentumban foglaltak szerint járt el. A lényeg ebben az esetben az, hogy mostantól a cég ügyfelei által ez egy független szervezett is auditáltatható terület, valamint lehetséges piaci versenyelőny a szabványban megfogalmazottakat hivatalosan még nem alkalmazó konkurensekkel szemben. A Microsoft megfelelőségét a British Standards Institute (BSI) igazolta az Azure-re, Office 365-re és Dynamics CRM Online-ra vonatkozóan, a Bureau Veritas pedig az Intune megfelelőségét igazolta.

A főbb pontok

A Microsoft erről szóló bejegyzésében Brad Smith, a vállalat jogi ügyekért felelős vezetője néhány pontba szedve összegezte a szabványi megfelelőség által biztosított előnyöket. Az általuk tárolt adatokat a cég kizárólag az ügyfelek utasításainak megfelelően kezeli, és a megfelelő transzparencia érdekében (ami minden felhős szolgáltatás egyik kulcsfontosságú tényezője) minden műveletről, hozzáférési kérelemről értesítik az ügyfeleket - beleértve a kormányzattól vagy állami ügynökségektől érkező adatkéréseket is.

A szabvány alapján minden, az adatok kezelésével kapcsolatos munkát végző alkalmazottat titoktartási kötelezettség terhel, továbbá az adatkezelési és hozzáférési jogosultságok, az adattárolás vagy továbbítás módja is nyilvános információ a szolgáltatások vásárlói felé. Szintén fontos vállalás, hogy a Microsoft a felhőben összegyűjtött adatokat nem adja ki és nem is használja fel reklámcélokra.

Fontos megemlíteni, hogy a fenti ISO szabvány természetesen nem írja felül az országok vonatkozó törvényeit, a vállalatoknak az azokban foglalt követelményeket kötelességük alkalmazni, míg a nemzetközi szervezetek által kiadott standardok alkalmazása önkéntes vállalási alapon működik.

Tiltólistán az Outlook

Eközben viszont némi adatkezelési problémája is akadt a Microsoftnak a nemrég kiadott mobilos Outlook kapcsán. Az alkalmazás alapjául szolgáló Acomplit korábban 200 millió dollárért vásárolta fel a vállalat, a mobilos Outlook kliens egyelőre még ennek egy alig módosított, átmárkázott változata. Az appot megjelenése után nem sokkal tiltólistára tette az Európai Parlament és néhány egyetem is, mert az az Exchange szerverhez szükséges bejelentkezési adatokat - igaz kétkulcsos, szerver-kliens titkosítással - ideiglenesen saját szerverén is eltárolja anélkül, hogy erről előtte tájékoztatná a felhasználót vagy a rendszeradminisztrátort.

Egy Microsoft-szóvivő a vádakra reagálva azt mondta, hogy az Outlook biztonsági megoldásai megfelelnek a vállalat belső előírásainak, de akiket ez nem nyugtat meg, blokkolhatják az alkalmazást és az Exchange szerverhez való hozzáférést az Outlook Web Accessre korlátozhatják.