Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera
-
Upload
sonera -
Category
Technology
-
view
339 -
download
0
Transcript of Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera
![Page 1: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/1.jpg)
Pilvipalvelut ja
henkilötiedot
Titta Penttilä
Senior information security manager Group Security, TeliaSonera
![Page 2: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/2.jpg)
Muuttuva toimintaympäristö
Tietosuoja Tiedon määrän ja käsittelyn valtava
kasvu
Tiedon arvon ja laadun
korostuminen
Alihankinta, pilvipalvelut
Yleisen tietoisuuden ja kiinnostuksen lisääntyminen
Lainsäädännön vaatimusten
tiukkeneminen ja sanktiot
Riskit ja uhat
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 2
Uhat ja toimintaympäristön haasteet
Säänte
ly ja
sanktio
t
![Page 3: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/3.jpg)
Lainsäädäntö on teknologianeutraalia
• Pilvipalveluita koskevat samat säännöt kuin muutakin henkilötietojen käsittelyä
• Pilvipalveluiden haasteita tietosuojan kannalta
– Pilvet ylittävät rajat – henkilötietojen käsittelystä on tullut maailmanlaajuista, mutta lait ovat kansallisia
– Kontrollin ja avoimuuden puute
– Monimutkaiset ja dynaamiset alihankintaketjut
– Käsitellään erittäin suuria määriä tietoa
– Vakiosopimusehdot
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 3
![Page 4: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/4.jpg)
Käsitteet ja roolit
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 4
Pilvipalveluntarjoaja Asiakas
Henkilötietojen
siirto
Rekisterinpitäjä (controller) • Oikeus määrätä tietojen
käytöstä (”omistaja”)
• Vastaa lainsäädännön
noudattamisesta
• Sovellettava laki
Käsittelijä (processor) • Käsittelee henkilötietoja
rekisterinpitäjän lukuun ja
tämän ohjeiden mukaan
• Tekniset ja organisatoriset
toimenpiteet henkilötietojen
suojaamiseksi
Henkilötieto • Tieto, joka voidaan
tunnistaa tiettyä
henkilöä/hänen perhettä
koskevaksi.
![Page 5: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/5.jpg)
Henkilötietojen siirron juridiset edellytykset
Henkilötietojen käsittelyn laillisuus (Henkilötietolaki)
• Huolellisuus
• Suunnittelu
• Käyttötarkoitussidonnaisuus
• Laillisuus
• Tarpeellisuus
• Virheettömyys
• Avoimuus
• Suojaaminen (Tietoturva)
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 5
EU/ETA ja Komission hyväksymät maat
• “Data transfer agreement”
• Henkilötietolaki: “annettava asianmukaiset selvitykset ja sitoumukset”
Muut maat
• Tarvitaan erityisiä takeita tietosuojan tasosta
• Esim. Komission vakiosopimuslausekkeet
Erityislakien vaatimukset (esim. Sähköisen viestinnän tietosuojalaki)
![Page 6: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/6.jpg)
Suunnittelu ja riskianalyysi
• Mitä henkilötietoja ollaan siirtämässä?
• Missä tiedot tulevat sijaitsemaan ?
• Mitä vaatimuksia kyseisten tietojen siirtämiseen ja käsittelyyn liittyy?
• Mikä on kyseisten tietojen merkitys yhtiön kannalta?
• Uhat ja riskit?
• ”Business case”?
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 6
![Page 7: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/7.jpg)
Pilvipalveluntarjoajan arviointi
• Asianmukainen tietoturvantaso
– Tekniset ja organisatoriset toimet
• Todentaminen – Sertifikaatit esim. ISO 27001
– Auditointi
• Kyvykkyys vastata vaatimuksiin
– Oikeudelliset sanktiot ja vahingonkorvaukset
• Mahdollisuus vaikuttaa tarjottavaan palveluun ja sopimusehtoihin
– Alihankkijat, tietojen sijainti
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 7
![Page 8: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/8.jpg)
Sopimus henkilötietojen näkökulmasta
• Oikeus käsitellä tietoja vain rekisterinpitäjän ohjeiden mukaan
• Noudatettava soveltuvaa lainsäädäntöä
• Varmistettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi
• Avustettava rekisterinpitäjää lakisääteisten velvollisuuksien hoitamisessa
• Tietojen sijainti
– Siirto EU/ETA:n ulkopuolelle ?
– Komission vakiosopimuslausekkeet
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 8
![Page 9: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/9.jpg)
Sopimus henkilötietojen näkökulmasta
• Osapuolten roolit, vastuut ja velvollisuudet
• Salassapitolauseke
• Alihankkijat ja velvollisuus sisällyttää samat velvoitteet alihankintasopimuksiin
• Rikkomuksista ja uhista ilmoittaminen
• Auditointi- ja tiedonsaantioikeus
• Sanktiot
• Sopimuksen päättymisen seuraukset
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 9
![Page 10: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/10.jpg)
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 10
• Samat pelisäännöt kuin ”normaaleissa” alihankintatilanteissa
• Erityiset pilvipalveluiden luonteesta johtuvat riskit huomioitava
• Osana yrityksen hankintaprosessia ja alihankkijoiden hallintaa
• Sopimus ja auditoinnit
• Tekemisen voi ulkoistaa, mutta ei vastuuta
• Pilvi ei välttämättä sovi kaikelle tiedolle
Yhteenveto
![Page 11: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/11.jpg)
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 11
Titta Penttilä OTK, CIPP/E
Senior information security manager,
TeliaSonera
fi.linkedin.com/in/tpenttila
Kysymyksiä?
Kommentteja?
Kokemuksia?
Ajatuksia?
KIITOS!
![Page 12: Pilvipalvelut ja Henkilotiedot - Titta Penttilä - Tietoturvatapahtuma 2014 - Sonera](https://reader034.fdocuments.net/reader034/viewer/2022042717/55d54beebb61ebd1228b45fe/html5/thumbnails/12.jpg)
Lukuvinkkejä • ENISA: Cloud Computing, Benefits, risks and
recommendations for information security, November 2009
• WP 29 (Article 29 Data Protection Working Party): Opinion 05/2012 on Cloud Computing, WP 196, July 2012
• International Working Group on Data Protection in Telecommunications: Working Paper on Cloud Computing - Privacy and Data Protection Issues ”Sopot Memorandum”, April 2012
• Council of Europe: Handbook on European data protection law (2014)
• Lisätietoa valmisteilla olevasta EU:n tietosuoja-asetuksesta: EU Commission EU data protection reform http://ec.europa.eu/justice/data-protection/
2014-02-11 Tietoturvatapahtuma / Titta Penttilä 12
sonera_security
twitter.com/sonera_security