GDPR چیست و چگونه از اطلاعات کاربران حفاظت می‌‌کند

GDPR چیست و چگونه از اطلاعات کاربران حفاظت می‌‌کند؟ در این مقاله قصد داریم تا با مفهوم GDPR و نحوه‌ی استفاده از آن بپردازیم. اما در ابتدا باید به تعاریف اولیه و لزوم استانداردسازی حفاظت از اطلاعات کاربران در کشور بر اساس الگوی GDPR بپردازیم:

حفظت از اطلاعات:

حفاظت از اطلاعات، فرآیند محافظت از اطلاعات در برابر فساد و از دست رفتن اطلاعات بوده که شامل ارتباط بین جمع‌آوری و انتشار اطلاعات، انتظار حفظ حریم خصوصی و اصول سیاسی و قاونی است. با افزایش اطلاعات و ذخیره‌ی آن‌ها، اهمیت حفاظت از اطلاعات نیز افزایش پیدا می‌کند.

اهمیت حفاظت از اطلاعات در رایانش ابری ایران:

با پیشرفت تکنولوژی و استفاده بیش از پیش از اینترنت و خدمات ابری، ریسک لو رفتن اطلاعات عمومی و خصوصی باعث شده تا سازمان‌ها و کاربران نتوانند به‌راحتی اطلاعات خود را در اختیار ارائه‌دهندگان خدمات ابری قرار دهند. یکی از دغدغه‌های اصلی سازمان‌ها، ایجاد یک چارچوب امنیتی فعال و پویا و نگهداری از آن است. از طرف دیگر، عدم آموزش صحیح به کاربران در استفاده از خدمات رایانش ابری باعث شده تا همچنان ترس سواستفاده از اطلاعات در سازمان‌ها و کاربران ایرانی وجود داشته باشد. وجود یک‌پلت‌فرم قانونی در رایانش ابری باعث خواهد شد تا ریسک افشای اطلاعات به‌طرز قابل توجهی کاهش یافته و اعتماد به ارائه‌دهندگان خدمات ابری افزایش پیدا کند.

GDPR چیست؟

عبارت GDPR در حقیقیت مخفف General Data Protection Regulation است که به‌معنی مقررات حفاظت از داده‌های عمومی و خصوصی است. GDPR مقرراتی است که جهت حفاظت از حریم خصوصی کاربرانی که کشور آن‌ها عضو اتحادیه اروپا بوده، وضع شده است. این قوانین به کاربران این اجازه را می‌دهد تا اطلاعات شخصی خود را به‌طور کامل تحت کنترل داشته و آن‌ها را مدیریت کنند.

طبق قوانین GDPR، شرکت‌ها موظفند از افرادی تحت عنوان افسر جهت حفاظت از اطلاعات کاربران در سازمان خود استفاده کنند. افسران باید از صحت اجرای قوانین GDPR اطمینان حاصل کنند. تضمین این‌که داده‌های یک فرد قابل‌اعتماد و ایمن اداره شوند، می‌تواند تجربه مشتری را بیشتر کرده و در نهایت نتایج کسب و کار را بهبود بخشد. توافقات بر سر اجرای GDPR در سال ۲۰۱۶ صورت گرفت و این مقررات از می ۲۰۱۸ در اتحادیه اروپا اجرا شده است. عدم اجرای GDPR برای سازمان‌ها جریمه‌ای سنگین را در پی خواهد داشت. این جریمه بسته به نقض قانون، بین ۱۰ تا ۲۰ میلیون یورو خواهد بود.

اطلاعات شخصی:

در مفاهیم GDPR به داده‌های شخصی اشاره شده است. داده‌های شخصی به هویت یک فرد مانند نام و نام خانوادگی، شماره تلفن، ملیت، نوع مذهب، رنگ پوست و هر آن‌چه بتوان شخص را با آن‌ها شناسایی کرد، اشاره دارد.

هدف از GDPR چیست؟

• ایجاد فضایی امن و قابل کنترل برای کاربران
• جلوگیری از سوء استفاده از اطلاعات کاربران
• به حداقل رساندن هرزنامه یا اسپم

لزوم اجرای توافقات بین شرکت‌ها و ارائه دهندگان خدمات ابری:

بیشتر شرکت‌ها در حال حرکت به‌سوی خدمات ابری هستند. به‌طور معمول زمانی که شرکت شما از خدمات ارائه دهندگان استفاده می‌کند، ارائه‌کننده‌ی خدمات ابری به‌عنوان یک پردازنده انتخاب می‌شود. ارائه‌دهنده‌ی خدمات ابری اطلاعات شخصی شما را پردازش خواهد کرد و این اطلاعات در دیتاسنترها یا سرورهای آن‌ها ذخیره می‌شوند. ارائه‌کننده‌ی خدمات ابری نمی‌تواند هیچ کاری با داده‌های شما انجام دهد؛ مگر این‌که به آن‌ها اجازه دهید تا این کار را انجام دهند.

استفاده از خدمات ابری چالش‌هایی را برای شرکت‌ها به‌وجود خواهد آورد. برخی از این چالش‌ها عبارتند از: چالش‌های رایج رایانش ابری و چالش‌های خاص رایانش ابری. این چالش‌ها باید زمانی که از خدمات ابری استفاده می‌کنند، پیش‌بینی شوند. در این مقاله به بحث درباره‌ی این چالش‌ها می‌پردازیم.

چالش‌های رایج رایانش ابری:

به‌عنوان یک شرکت، شما تقریباً هر گونه اطلاعات حساس را در اختیار فراهم‌کنندگان خدمات ابری قرار می‌دهید. این امر باعث می‌‎شود ریسک واگذار کردن این اطلاعات به اشخاص ثالثی که نمی‌خواهید به اطلاعاتتان دسترسی داشته باشند (مثل رقبا)، افزایش یابد. اگر یک رایانش ابری جایی انتخاب شود که پردازش داده‌ها یا ذخیره‌سازی داده‌ها به اشتراک گذاشته شوند، خطر ازدست رفتن اطلاعات بالا می‌رود.

با رایانش ابری، ارتباط داده‌ها با یک مکان جغرافیایی می‌تواند مبهم باشد. همیشه مشخص نیست که داده‌ها کجا ذخیره می‌شوند. در اتحادیه اروپا، مکان فیزیکی یک عامل تعیین‌کننده برای تعیین این است که قوانین حریم خصوصی اعمال می‌شوند. این چالش به دلیل نوسان داده‌ها در رایانش ابری دشوارتر می‌شود. داده‌ها ممکن است به‌طور منظم از یک مکان به دیگری منتقل شوند یا ممکن است در چندین مکان در یک زمان ساکن باشند. این امر موجب می‌شود که تعیین قانون قابل‌اجرا و مشاهده جریان داده‌ها دشوار باشد.

چالش‌های خاص رایانش ابری:

چالش دیگر در حفظ حریم خصوصی است. شرکت‌هایی که از ارائه دهندگان خدمات ابری استفاده می‌کنند، انتظار دارند که تعهدات شخصی که به مشتریان و کارمندان خود داده‌اند، توسط ارائه ‌دهنده‌ی خدمات ابری بکار گرفته شوند. بنابراین توصیه می‌شود که در مورد مفاد قرارداد با ارائه دهنده‌ی خدمات ابری مذاکره کنید. به‌طور کلی، اطلاعات خصوصی ممکن است برای اهداف از پیش تعیین‌شده ذخیره شود.

بنابراین، باید قادر به حذف داده‌ها در هر زمانی باشید. مشکل این است که داده‌ها می‌توانند در چندین مکان، تحت چندین حوزه قضایی و توسط ارائه دهندگان خدمات ابری ذخیره شوند. بنابراین چالش شناسایی و مدیریت چند محدوده‌ وجود دارد. حذف داده‌ها نیز یک چالش را اعمال خواهد کرد که برای پاک کردن کامل داده‌ها باید در نظر گرفته شود. بنابراین، مهم است که مروری کلی بر چگونگی حفظ امنیت و نگهداری پشتیبان توسط ارائه دهندگان خدمات ابری داشته باشیم.

استفاده از GDPR در رایانش ابری:

حق مدیریت داده‌ها:

• الزامات نظارت و نقض پروتکل باید در توافق‌نامه‌‌ای با ارائه دهندگان خدمات ابری گنجانده شوند. شما باید مدیریت داده‌هایتان را در اختیار داشته باشید. از آن‌جا که داده‌ها می‌توانند در چندین مکان با ارائه دهندگان خدمات ابری ذخیره شوند، ممکن است این امکان وجود داشته باشد که داده‌های شخصی در خارج از این انجمن (EEA) ذخیره شوند. برای این پردازش، در صورتی که هیچ تصمیمی در مورد کشوری که داده‌ها در آن‌جا هستند اتخاذ نشده باشد، باید اقدامات لازم را انجام داد. شما باید یک استراتژی ابری چند کشوری را تعریف کنید تا ارائه دهندگان به قوانین مکان‌یابی داده پایبند باشند.

حق پاک کردن داده‌ها:

• اگر اطلاعات شما در خدمات ابری باشد، پاک کردن داده‌ها به علت پردازش غیر قانونی باید امکان پذیر باشد. مهم است که در مورد این موضوع با ارائه دهندگان خدمات ابری توافق‌نامه‌هایی را ایجاد کنید. ارائه‌کنندگان باید قابلیت فنی را فراهم کنند تا اطمینان حاصل شود که شما بتوانید به داده‌ها دسترسی داشته باشید.

حق دسترسی و مالکیت داده‌ها:

• شما باید کنترل و مالکیت داده‌های خودتان را حفظ کنید. بنابراین، این موضوع باید در قرارداد نوشته شود. بعد از این باید تایید کنید که مطابق با قوانین کشورهای میزبان، شرکت شما مالکیت داده‌های منتقل ‌شده را حفظ می‌کند.

حق اصلاح و ارزیابی داده‌ها:

• هنگامی که خدمات ابری را بکار می‌برید، از ارزیابی حفاظت از داده (DPIA) و همچنین از ارزیابی امنیتی استفاده کنید. حق ارزیابی خدمات ابری باید در قراردادهای منعقده با ارائه‌کنندگان گنجانده شوند. به‌منظور انجام یک حسابرسی مناسب، یک چارچوب کنترل با حریم خصوصی باید در کنار یک برنامه حسابرسی مناسب تعریف شود.

حق استفاده از تکنولوژی ارائه‌دهنده خدمات ابری:

• هنگام استفاده از سرویس‌های یک ارائه‌دهنده‌ی خدمات ابری، شما باید تکنولوژی‌هایی که فراهم‌کنندگان خدمات ابری از آن استفاده می‌کند را بشناسید. این تکنولوژی‌ها می‌توانند جهت حفاظت امنیتی و حفاظت از داده‌های شخصی ذخیره‌ شده در خدمات ابری موثر باشند. یک سیستم تامین‌کننده‌ی خدمات ابری باید هرگونه تغییر در فناوری را مطرح کرده و به‌روزرسانی‌های سیستم را عرضه کند.

ارائه دهندگان خدمات ابری می‌توانند سازگاری با امنیت و حریم خصوصی را به چند روش نشان دهند:

• با در اختیارداشتن گواهینامه ISO 27001 (سیستم مدیریت امنیت اطلاعات).
• با در اختیار داشتن گواهینامه ISO 27018 (قانون عمل برای حمایت از اطلاعات شخصی قابل‌شناسایی (PII) در خدمات ابری عمومی که به‌عنوان پردازنده‌های (PII) عمل می‌کنند).

لزوم استفاده از الگوی GDPR در ایران:

استفاده از قوانین GDPR هم برای سازمان‌ها و هم برای ارائه‌دهندگان خدمات ابری در ایران می‌تواند سودمند باشد. با اجرای GDPR در ایران، شرکت‌ها و سازمان‌ها خیالشان از بابت حفاظت از اطلاعات محرمانه خودشان و مشتریانشان راحت می‌شود. از طرف دیگر، اجرای GDPR در شرکت‌های ارائه‌دهنده‌ی خدمات ابری، مستلزم به‌روزرسانی کلیه‌ی زیر ساخت‌های سخت‌افزاری و نرم‌افزاری آن‌هاست. ارائه‌دهندگان باید امکاناتی را جهت مشاهده، بررسی، تصحیح یا حذف اطلاعات برای کاربران فراهم کنند. همچنین آن‌ها باید جدیدترین اطلاعات را به کاربران درباره‌ی هرگونه به‌روز‌رسانی یا تغییر قوانین حریم خصوصی اطلاع‌رسانی کنند.

منبع: deloitte