Na spuštění služby WEDOS Cloud jsme se dlouhou dobu připravovali. Probíhal nejen vývoj software a rozsáhlé testování hardware, ale také jsme se věnovali otázkám právním, bezpečnostním a jak to vše zakomponovat do současného světa.
Když už jsme tomu věnovali tolik času, tak nás napadlo, že by stálo za to mít i nějaké nezávislé potvrzení, a tak jsme začali pracovat na získání certifikací ISO 27017 a ISO 27018, které jsem 16.03.2021 úspěšně získali.
Bezpečnost dat je obchodní i politickou prioritou
Žijeme v České Republice, která je součástí Evropské Unie a tlak na bezpečnost a ochranu osobních údajů je zde velký. Naším cílem je nabídnout vám takové služby, u kterých si s těmito otázkami nebudete muset dělat starosti dnes ani v následujících letech, kdy nároky na ochranu osobních údajů budou dále stoupat.
Mnoho našich konkurentů se například ke GDPR postavilo značně laxně. My jsme se tématu GDPR už od začátku věnovali opravdu intenzivně a konzultovali vše s úřady a právníky. Výsledkem pro zákazníka je například evidence zpracovatelských smluv ke každé jednotlivé službě, včetně všech revizí, které si mohou zákazníci stáhnout. Systém a texty byly od spuštění upravovány tak, aby odpovídaly požadavkům nejen u nás, ale i v zahraničí. To je také jeden z důvodů, proč jsou dokumenty pro GDPR prozatím pouze v češtině.
GDPR je ale jen špička ledovce, která rozvířila téma ochrany osobních údajů a připravenost firem na různá bezpečnostní a právní úskalí. Mnoho zákazníků než si nás vybere, tak sleduje, zdali dodržujeme to, co nám nařizuje zákon (například všechny listiny publikujeme na jutice.cz), hledají reálné reference anebo zdali u nás probíhají různé audity. Zatím jsme vším úspěšně prošli a získali hodně zkušeností, co zákazníci chtějí. I když někdy musíme třeba vysvětlovat, jak tak “malá” firma s méně jak 50 zaměstnanci, dokáže být dlouhodobě jedničkou na českém trhu.
GDPR bylo hodně o firemních procesech a postupech. Z naší strany jsme toho moc měnit nemuseli a to díky přísným podmínkám, které jsme si nastavili podle mezinárodních norem ISO 9001 (systém managementu kvality), ISO 14001 (systém environmentálního managementu) a zejména ISO 27001 (systém managementu bezpečnosti informací).
ISO certifikace držíme a obnovujeme od roku 2011 (resp. 2013 pro ISO 27001), hlavně kvůli zákazníkům. Jsou zárukou, že to co píšeme, nejsou jen prázdná slova, ale opravdu dbáme na kvalitu a bezpečnost služeb. Vše je zaručeno nezávislým auditem, který probíhá každý rok jako dozorový audit a jednou za 3 roky pak rozsáhlejší recertifikace. Že máme vše v pořádku a jsme zdravá společnost dokázal i náročný akreditační proces ICANN.
Většině zákazníků tohle, společně s reálnými fotkami našich datacenter, kanceláří a hardware stačí. Nicméně u služby WEDOS Cloud jsme opakovaně narazili na požadavek ISO 27017 – Kontrola zabezpečení cloudových služeb.
ISO 27017 – Kontrola zabezpečení cloudových služeb
ISO/IEC 27017 je relativně nový národní standard, který byl přijat v prosinci 2015. Celý název je Code of practice for information security controls based on ISO/IEC 27002 for cloud services neboli Kodex praxe pro řízení bezpečnosti informací odvozený od ISO/IEC 27002 pro cloudové služby.
Rozšiřuje tedy ISO 27002 a implementuje pokyny vztahující se konkretně ke cloudovým službám a zákazníkům těchto služeb. ISO 27002 je určeno pro provozovatele, kteří se starají o zázemí (hardware, software, podpora) pro zpracování dat.
My jsme zvolili ISO 27001, protože pro provoz služeb jako je náš sdílený webhosting NoLimit, WMS, mailservery anebo i evidenci kontaktů v administraci je pro nás ideální ISO 27001, protože zde přicházíme do kontaktu s daty zákazníků a musíme se postarat o jejich bezpečný provoz.
Co obnáší ISO 27017 oproti ISO 27001 navíc
Do našich interních procesů jsme museli zapracovat konkrétní postupy a odpovědné osoby pro:
- Sdílení rolí a odpovědností v prostředí cloudu (Vztah mezi zákazníkem a poskytovatelem).
- Tato část se týká hlavně smluvních podmínek (právní vztahy, GDPR), ale je dobré v tom mít jasno
- Tato část se týká hlavně smluvních podmínek (právní vztahy, GDPR), ale je dobré v tom mít jasno
- Zajistit bezproblémové a bezpečné odstraňování všech dat z cloudu.
- Musí se stanovit jasná pravidla mazání aktivních dat, záloh a dohled nad tím, že jsou opravdu smazána. To už jsme měli kvůli GDRP obecně. Pro cloud je to více konkrétní.
- Správné a bezpečné oddělení zákaznických služeb ve virtuálním prostředí
- Službu WEDOS Cloud chceme připravit i na možnost provozovat jako privátní cloud (na vyhrazeném hardware).
- Posílení bezpečnosti vytvořených virtuálních stojů (VM).
- Tato část je hlavně o analýze potenciálních hrozeb, navržení vhodného monitoringu, případně zapojení dalších bezpečnostních prvků nad úrovní cloudu do celého procesu (DDoS ochrana, IPS/IDS ochrana, SYN filtr, Geoblokace atd.)
- Zabezpečení administrační činnosti.
- Nebezpečí nečíhá jen v samotné službě cloudu, ale i všech službách, které umožňují zákazníkovi jejich pohodlnou správu.
- Monitorování cloudových služeb.
- WEDOS Cloud je velice komplexní služba skládající se z mnoha částí. Vše se musí sledovat (monitoring, logy, monitorování, že funguje monitorování) a vyhodnocovat (pravidelně i náhodně).
- K různým částem mají přístup kolegové podle své odbornosti, prověření a pracovní náplně. Musí být zajištěno, že vždy bude k dispozici někdo, kdo dokáže získat potřebné informace k řešení problému.
- Zajištění správy zabezpečení pro fyzické i virtuální síťě.
- Hlavně se jedná opět o monitorování a odpovědné osoby.
- Tady máme velkou výhodu, protože fyzickou síť máme kompletně pod naší správou. Je v našich privátních datacentrech, nikdo cizí k ní nemá přístup. Dokonce obě optické trasy DC1 <-> DC2 jsou naše (sami jsme si je vykopali, natáhli chráničky, zafukovali). Víme vše o každém metru.
- Interní komunikace mezi jednotlivými VM nepůjde přes hardware nikoho třetího.
Tohle je jen zlomek věcí, které musíme zapracovat do oficiálních postupů. Ze samotné 27001 vyplývají desítky dalších procesů.
ISO 27018 – Ochrana osobních informací ve veřejných cloudech
ISO/IEC 27018 je vůbec první mezinárodní standard zaměřený na ochranu osobních údajů v cloudu. Byl vytvořen v roce 2014 jako rozšíření ISO 27001 a má za cíl pomoci poskytovatelům cloudových služeb, kteří zpracovávají data osobního charakteru, posoudit rizika a zavést dostatečné kontrolní mechanizmy. Je tedy určen hlavně pro provozovatele služeb typu SaaS (Software jako služba).
ISO 27018 vzniklo spojením několika známých a autoritativních standardů – HIPAA (obsáhl osobní zdravotnické informace), SSAE a ISAE (což jsou auditované standarty pro bezpečnostní řízení a účinnost bezpečnostních kontrol stanovené Americkým institutem certifikovaných veřejných účetních (AICPA) a Radou pro mezinárodní auditorské a ověřovací standardy mezinárodní federace účetních (IAASB)).
Tento standard má dvě verze ISO/IEC 27018:2014 a ISO/IEC 27018:2019. My jsme certifikování podle novější ISO/IEC 27018:2019.
Co ISO 27018 vypovídá o našich službách:
- Poskytujeme vyšší zabezpečení osobních dat a informací nejen o vás, ale i data vašich zákazníků na našich cloudových službách. Toto je potvrzeno nezávislým auditem, který se opakuje každé 3 roky.
- Většina bezpečnostních požadavků na SaaS služby přímo vyžaduje anebo vychází z mezinárodního standardu ISO 27018. Pokud s vašimi zákazníky budete řešit bezpečnost dat, stačí říct, že váš poskytovatel splňuje ISO 27018 a GDRP.
- ISO 27018 také znamená, že poskytujeme maximální možnou právní ochranu uživatelům, která je dostupná.
- ISO 27018 prakticky zaručuje, že vaše osobní data nevyužijeme pro reklamu a marketing, pokud k tomu nedáte výslovný souhlas. Zároveň tato data nesmíme sdílet s žádnou třetí stranou.
- Pokud by se objevil nějaký subdodavatel, který by mohl získat byť jen potenciální přístup k datům, tak vás o tom vždy musíme informovat a vy máte možnost vznést námitku, případně vypovědět smlouvu.
Závěr
Asi si dokážete udělat představu, co vlastně ISO certifikace obnáší. Existuje soubor procesů, které musí být zajištěny a zároveň k nim musí existovat odpovědné osoby. Nemůže se stát, že když něco nejde, tak za to nikdo nemůže anebo neví co s tím. To je naprosto nemyslitelné. Vždy existují konkrétní osoby, které mají za konkrétní proces odpovědnost a musí dohlédnout, aby vše fungovalo pomocí opatření, které omezí riziko vzniku problému (pravidelná údržba, monitoring, kontrola logů atd.) Tohle vše kontroluje velice důkladně nezávislý auditor.
Ačkoliv tvrdíme, že certifikace děláme hlavně pro naše zákazníky a abychom mohli klidně spát, tak nás také udržují ve střehu. Před každým auditem cítíte nervozitu a ladíte vše k dokonalosti. V našem oboru je nejdůležitější neusnout a posouvat se neustále kupředu a popravdě občas při revizi anebo vylepšování firemních procesů přijdeme na nápady, které nás pěkně nakopnou kupředu.