Кодекс поведения CISPE для служб облачной инфраструктуры

Кодекс поведения CISPE.

Кодекс поведения CISPE по защите данных предусматривает соблюдение Общего регламента ЕС по защите данных (GDPR). В марте 2017 года Кодекс поведения CISPE был представлен на рассмотрение и утверждение Европейскому совету по защите данных (EDPB). Этот обзор в настоящее время проводится EDPB..

Код соответствует строгим требованиям, изложенным в структуре GDPR, чтобы помочь поставщикам облачной инфраструктуры соблюдать и таким образом избежать штрафов, а также предлагает структуру, которая помогает клиентам и конечным пользователям выбирать поставщиков облачных услуг и доверять их сервисам..

Кодекс поведения CISPE:

Эффективная, легкодоступная структура для соблюдения GDPR ЕС Исключает повторное использование данных клиентов Позволяет хранить и обрабатывать данные исключительно в ЕС Определяет услуги облачной инфраструктуры, подходящие для различных типов обработки данных Помогает гражданам сохранять контроль над своими личными и конфиденциальными данными данные.

Кодекс поведения CISPE:

Предоставляет основу для соблюдения GDPR. Исключает повторное использование данных наших клиентов. Позволяет обрабатывать и хранить ваши данные исключительно в ЕС. Определяет, какие сервисы облачной инфраструктуры подходят для обработки данных, которую вы хотите выполнять. Помогает гражданам восстановить контроль над своими данные.

Введение.

Существует широкий спектр поставщиков облачных услуг, предлагающих множество различных моделей облачных вычислений. Соображения по защите данных не применимы ко всем облачным моделям одинаково. Степень, в которой поставщики услуг облачных вычислений обрабатывают персональные данные, и степень их контроля над обработкой этих данных зависит от типа предлагаемых услуг облачных вычислений. Таким образом, поставщики различных типов услуг облачных вычислений обязательно имеют разные роли и обязанности, особенно в отношении защиты и безопасности данных..

Поставщик программного обеспечения как услуги (SaaS) обычно предлагает услугу программного приложения, которая специально предназначена для обработки личных данных (например, услуга электронной почты, программное обеспечение ERP, маркетинговые услуги и т. Д.). Провайдер SaaS имеет возможность осуществлять широкий спектр средств контроля в отношении персональных данных, обрабатываемых с помощью его SaaS, и способов обработки этих данных. Таким образом, он может предоставить своим клиентам технические и договорные обязательства, которые адаптированы к конкретному SaaS, который он предоставляет, и отражают степень контроля поставщиков SaaS над соблюдением требований к защите данных. С другой стороны, поставщик инфраструктуры как услуги (IaaS) предоставляет только виртуализированное оборудование или вычислительную инфраструктуру. Его клиенты имеют возможность выбирать, как использовать эту инфраструктуру. Например, клиент, использующий IaaS, может свободно выбирать, какие данные он хочет обрабатывать в инфраструктуре, в каких странах, для каких целей и как он хочет защитить эти данные. Поставщики IaaS не знают, используется ли их инфраструктура клиентами для обработки личных данных. Из-за характера IaaS поставщики IaaS не могут адаптировать свои услуги к конкретному варианту использования клиента. Вместо этого поставщики IaaS предоставляют свои услуги с одинаковым уровнем безопасности независимо от того, действительно ли персональные данные обрабатываются клиентом в инфраструктуре поставщика IaaS..

Этот Кодекс поведения (Кодекс) ориентирован на поставщиков IaaS. Поставщики IaaS называются в этом Кодексе поставщиками услуг облачной инфраструктуры (CISP). Цель Кодекса — помочь клиентам оценить, подходят ли услуги облачной инфраструктуры для обработки персональных данных, которые заказчик желает выполнять. Совершенно иной характер служб облачной инфраструктуры — по сравнению с другими типами служб облачных вычислений — означает, что требуется специальный код, адаптированный для IaaS..

Отдельный Кодекс улучшит понимание IaaS в Европейском Союзе за счет обеспечения прозрачности. Таким образом, это будет способствовать созданию атмосферы доверия и будет способствовать установлению высокого уровня защиты данных по умолчанию. Это принесет пользу малым и средним предприятиям (МСП), как пользователям и поставщикам, и, в частности, государственным администрациям..

Кодекс состоит из набора требований к CISP как обработчикам данных в Разделе 4 (Требования к защите данных) и Разделе 5 (Требования к прозрачности) (вместе Требования Кодекса). Он также включает структуру управления в Разделе 7 (Управление), которая направлена ​​на поддержку внедрения, управления и развития Кодекса..

Кодекс является добровольным инструментом, позволяющим CISP оценивать и демонстрировать соблюдение требований Кодекса для одной или нескольких своих услуг. Это может быть либо (i) сертификация независимыми сторонними аудиторами, либо (ii) самооценка CISP и самостоятельное декларирование соответствия..

CISP, которые продемонстрировали свою приверженность Кодексу в соответствии с его процессами корпоративного управления, могут использовать соответствующие знаки соответствия Кодекса..

Клиентам предлагается убедиться, что Требования Кодекса, любые дополнительные договорные гарантии, предоставляемые CISP, и их собственные политики соответствуют их требованиям в соответствии с применимым законодательством ЕС о защите данных. Клиенты могут проверить соответствие CISP Кодексу через веб-сайт, на котором перечислены все организации, заявившие о своей приверженности этому Кодексу (www.cispe.eu) (Публичный реестр CISPE)..

1 — Структура Кодекса.

Цель: описывает направленность Кодекса применительно к применимому закону ЕС о защите данных. Область применения: описывает область применения Кодекса. Требования к защите данных: описывает основные права и обязанности участников CISP на основе ключевых принципов, таких как ограничения цели, права субъектов данных, передача, безопасность, аудит, ответственность и т. Д. Требования прозрачности: описывает, как соблюдение CISP демонстрирует адекватный уровень безопасности личных данных. Соблюдение: описывает условия для CISP, заявляющих о соблюдении Кодекса. Управление: описывает, как Кодекс управляется, применяется и пересматривается, включая роли и обязанности его руководящих органов..

2 — Цель.

Заявление CISP о соблюдении данного Кодекса в отношении конкретной услуги должно вызывать доверие и уверенность среди клиентов, которые:

клиенты могут использовать эту услугу для обработки личных данных в соответствии с применимым законодательством ЕС о защите данных; и CISP выполнила требования Кодекса в отношении этой услуги..

При использовании любой службы облачной инфраструктуры клиентам предлагается выполнить собственную оценку своих конкретных операций по обработке и их соответствия на основании применимого законодательства ЕС о защите данных. Этот Кодекс предназначен для помощи клиентам в проведении таких оценок, но не заменяет их..

Кодекс не заменяет договор между CISP и заказчиком. CISP и его заказчик вправе определять способ предоставления услуги в письменном соглашении (Соглашение о предоставлении услуг). CISP должны оценить, противоречит ли действующее на тот момент Соглашение о предоставлении услуг, которое они предлагают новым клиентам в связи с услугами, Требованиям Кодекса, особенно прежде, чем заявить о своем присоединении..

Кодекс не является юридической консультацией. Соблюдение Кодекса не гарантирует соблюдение CISP или клиента применимого законодательства. CISP и клиенты могут получить соответствующую консультацию по требованиям применимого законодательства..

3 — Область применения.

Любой CISP может заявить о своем соблюдении требований Кодекса для любой службы облачной инфраструктуры, если:

сервис соответствует требованиям Кодекса; в отношении этой услуги CISP соблюдает все применимые и обязательные к исполнению законы ЕС о защите данных, включая Директиву ЕС о защите данных (и любые применимые национальные транспозиции к ней) и Общий регламент защиты данных (GDPR), когда он вступает в силу. сила; и эта услуга предоставляет клиенту возможность выбрать использование услуги для хранения и обработки своих данных полностью в пределах ЕЭЗ..

CISP может заявить, что только определенные из своих служб облачной инфраструктуры соответствуют требованиям Кодекса. Такие CISP должны гарантировать, что потенциальные клиенты явно и недвусмысленно проинформированы об услугах, соответствующих требованиям Кодекса. Любой CISP, заявляющий о своем соответствии Кодексу, должен соответствовать всем требованиям Кодекса для каждой услуги, охватываемой его декларацией..

Надлежащая идентификация контроллера данных и любых обработчиков данных имеет жизненно важное значение для законодательства ЕС о защите данных. Эти концепции объясняются в Разделе 4 (Защита данных) настоящего Кодекса..

В контексте службы облачной инфраструктуры CISP будет выступать в роли обработчика данных для клиента (который сам может быть контроллером или процессором). Требования Кодекса устанавливают принципы, которые должны соблюдать CISP как обработчики данных..

Юридические обязательства контроллеров данных, изложенные в действующем законодательстве ЕС о защите данных, шире, чем обязательства обработчиков данных. Обработчики данных могут играть вспомогательную роль в выполнении обязательств контроллера данных. Кодекс пытается объяснить, как CISP, как обработчики данных, могут поддерживать тех из своих клиентов, которые являются либо контроллерами данных, либо сами обработчики данных в цепочке поставок. .

В отношении данных, обрабатываемых от имени клиента, использующего службу облачной инфраструктуры, CISP не будет (а) получать доступ или использовать такие данные, за исключением случаев, когда это необходимо для предоставления услуг клиенту, или (б) обрабатывать такие данные для собственных нужд CISP. целей, в том числе, в частности, для сбора данных, профилирования или прямого маркетинга.

CISP может действовать как контроллер данных в отношении определенных личных данных, предоставленных клиентом CISP. Это включает, например, информацию об учетной записи (например, имена пользователей, адреса электронной почты и платежную информацию), которую клиент предоставляет CISP в связи с созданием или администрированием учетной записи клиента, используемой для доступа к сервису CISP..

Этот Кодекс не применяется, если CISP обрабатывает такие данные в качестве контроллера данных..

4 — Требования к защите данных.

CISP предоставляют инфраструктуру самообслуживания по запросу, которая полностью находится под контролем клиентов, в том числе в отношении того, загружаются ли какие-либо личные данные в службу облачной инфраструктуры, и, если да, то как эти личные данные «обрабатываются»..

Заказчик как контролер или обработчик.

Услуги облачной инфраструктуры используются как часть множества различных бизнес-операций, и в цепочке поставок может участвовать несколько сторон. Однако в качестве общего руководства, если клиент хранит или иным образом обрабатывает личные данные с помощью служб CISP:

Клиент будет контролером в отношении этих персональных данных, если он определит цель, для которой будут обрабатываться данные, и выберет способ их обработки. Клиент будет обработчиком этих персональных данных, если он просто обрабатывает персональные данные в службе CISP от имени и в соответствии с пожеланиями третьей стороны (которая может быть контролером или другой третьей стороной в поставке. цепь).

CISP как процессор.

Если клиент решает хранить или иным образом обрабатывать персональные данные с помощью сервисов CISP, CISP будет его обработчиком..

Цель этого раздела Кодекса о требованиях к защите данных.

Целью этого Раздела 4 (Требования к защите данных) является разъяснение роли CISP как обработчика в соответствии с применимым законодательством ЕС о защите данных в контексте услуг облачной инфраструктуры..

Кодекс преследует эту цель посредством: (a) определения требований к обработчикам данных в соответствии с применимым законодательством ЕС о защите данных (требование DP); и.

(b) применение требования DP к контексту служб облачной инфраструктуры, распределение ответственности за эти требования между CISP и заказчиком и определение конкретных требований для CISP в соответствии с Кодексом (Требование для CISP).

В дополнение к Кодексу, CISP и клиенты могут учитывать все требования применимого законодательства ЕС о защите данных при предоставлении и использовании услуг облачной инфраструктуры, соответственно..

Ключевая цель Кодекса состоит в том, чтобы удовлетворить ключевые требования для CISP в соответствии с действующим на тот момент законом ЕС о защите данных. В частности, сюда входит GDPR, когда он вступает в силу, а требования Кодекса определяются со ссылкой на GDPR. Кодекс будет пересматриваться и обновляться по мере необходимости с учетом изменений в применимом законодательстве ЕС о защите данных в соответствии с разделом 7 (Управление) (включая любые обязательные спецификации, которые могут быть предоставлены компетентными надзорными органами в отношении GDPR)..

4.1 Законная обработка Персональных данных Требование DP:

Контроллер должен гарантировать, что личные данные обрабатываются на законных основаниях. Обработка является законной только при соблюдении определенных условий. За исключением случаев, когда это требуется по закону, обработчик может обрабатывать персональные данные только в соответствии с задокументированными инструкциями от контролера (GDPR, статья 28 (3) (a))..

Требование для CISP:

CISP будет обрабатывать персональные данные в соответствии с инструкциями клиента. Соглашение об обслуживании и использование клиентом функций и возможностей, предоставляемых CISP как часть услуги, являются полными и окончательными инструкциями клиента для CISP в отношении обработки персональных данных..

Объяснение:

CISP не контролируют, какой контент клиент выбирает для загрузки в службу (включая то, включает ли он личные данные). CISP не играют никакой роли в принятии решений относительно того, использует ли клиент службу облачной инфраструктуры для обработки личных данных, с какой целью и если / как она защищена. Соответственно, CISP не могут установить, существует ли законное основание для обработки. Таким образом, их ответственность ограничивается (а) соблюдением инструкций клиента, предусмотренных или отраженных в Соглашении о предоставлении услуг, и (б) предоставлением информации об услуге в соответствии с Разделом 5 (Требования прозрачности) Кодекса..

4.2 Договорные условия предоставления услуг CISP.

Требование DP:

Обработка обработчиком регулируется письменным договором, который является обязательным между обработчиком и контролером и который определяет предмет и продолжительность обработки, характер и цель обработки, тип персональных данных и категории данных. субъектов, а также обязанности и права контролера. Договор может быть в электронной форме. (GDPR, статья 28 (3)).

Требование для CISP:

CISP должен определять особенности услуги и то, как она предоставляется, а также права и обязанности клиента в Соглашении о предоставлении услуг, как изложено в подразделах (a) и (b) ниже..

Объяснение:

CISP обеспечивают инфраструктуру. Клиенты имеют возможность выбирать, как использовать эту инфраструктуру, и они также могут изменить, как и для каких целей они используют эту инфраструктуру, когда захотят..

(а) Описание обработки.

Чтобы упростить использование этих функций служб облачной инфраструктуры и избежать необходимости вносить поправки в Соглашение о предоставлении услуг или заключать новое Соглашение о предоставлении услуг каждый раз, когда заказчик или любой конечный пользователь клиента решает изменить способ использования службы, описание обработки в Службе Соглашение должно быть составлено таким образом, чтобы клиенты могли менять свои варианты использования..

Для гибкости в соглашениях об услугах может быть указано описание обработки с использованием служб облачной инфраструктуры на общей основе, например «вычисление, хранение и доставка контента в сети CISP»..

(б) Форма соглашения об оказании услуг.

При условии, что оно составлено в письменной форме (в том числе в электронной форме) и имеет обязательную юридическую силу между CISP и клиентом, Соглашение о предоставлении услуг может иметь любую форму, включая:

единый договор; набор документов, таких как контракт на базовые услуги с соответствующими приложениями (соглашения об обработке данных, SLA, условия обслуживания, политики безопасности и т. д.); или стандартные онлайн-условия.

4.3 Безопасность.

Требование DP:

Как контролер, так и обработчик должны, с учетом современного состояния, затрат на реализацию, характера, объема, контекста и целей обработки, а также риска различной вероятности и серьезности для прав и свобод физических лиц, реализовать соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску (статья 32 (1) GDPR).

Требование для CISP:

(а) Меры безопасности.

CISP будет внедрять и поддерживать соответствующие технические и организационные меры для центров обработки данных CISP, серверов, сетевого оборудования и систем программного обеспечения хоста, которые находятся под контролем CISP и используются для предоставления услуг CISP (Сеть CISP). Эти технические и организационные меры должны (а) быть разработаны, чтобы помочь клиентам защитить личные данные от несанкционированной обработки и случайной или незаконной потери, доступа или раскрытия, и (б) учитывать обязанности по безопасности в соответствии с CISP, изложенные в Приложении A (Ответственность за безопасность). ).

Объяснение:

Услуги облачной инфраструктуры не зависят от контента. Они предлагают одинаковые технические и организационные меры и уровень безопасности для всех клиентов, независимо от того, обрабатывают ли они персональные данные или нет, или от характера, объема, контекста и целей обработки, которые клиент использует услугу для выполнения..

В то же время CISP не несет исключительной ответственности за безопасность в контексте использования клиентом услуги облачной инфраструктуры. Есть определенные ключевые аспекты безопасности, за которые отвечает заказчик (а не CISP). Например, заказчик (а не CISP) несет ответственность за безопасность гостевых операционных систем, приложений, размещенных в службе, передаваемых и хранимых данных, учетных данных для входа в службу поддержки и политик разрешений для персонала заказчика, использующего службу..

Приложение A (Ответственность за безопасность) определяет обязанности по безопасности (a) CISP и (b) клиента в контексте услуги облачной инфраструктуры..

Клиенты должны ознакомиться (а) с предоставленной CISP информацией, касающейся безопасности данных в отношении услуг (см. Раздел 5 (Требования прозрачности) ниже), (б) выбранную клиентом конфигурацию службы облачной инфраструктуры и использование функций. и средства управления, доступные в связи с услугой облачной инфраструктуры, и (c) меры безопасности, которые заказчик будет применять для аспектов безопасности, за которые он несет ответственность, и сделать независимое определение, что вместе эти меры обеспечивают соответствующий уровень безопасности для заказчик обработки будет использовать эту услугу для выполнения. Это определение должно основываться на характере, объеме, контексте и целях предполагаемой обработки заказчиком..

Поскольку именно клиент решает, какую обработку (то есть какие данные и для каких целей) он будет использовать для выполнения службы, только клиент может определить, какой уровень безопасности «подходит» для личных данных, которые он хранит и обрабатывает с помощью службы. . CISP не может сделать такую ​​оценку, потому что CISP не отслеживает, не ограничивает или иным образом не контролирует, какую обработку клиент может использовать для выполнения услуги..

(б) Программа информационной безопасности.

CISP будет поддерживать программу информационной безопасности с целью (а) выявления разумно предсказуемых и внутренних рисков для безопасности сети CISP и (б) минимизации рисков безопасности, в том числе посредством оценки рисков и регулярного тестирования..

CISP назначит одного или нескольких сотрудников CISP для координации и ответственности за программу информационной безопасности..

(c) Продолжение оценки.

CISP будет проводить периодические проверки безопасности сети CISP и адекватности программы информационной безопасности CISP. CISP может выбрать проверку своей программы информационной безопасности на соответствие одному или нескольким отраслевым стандартам безопасности. CISP будет постоянно оценивать безопасность сети CISP, чтобы определять, требуются ли дополнительные или другие меры безопасности для реагирования на новые риски безопасности или результаты, полученные в результате собственных периодических проверок CISP..

CISP может время от времени изменять стандарты безопасности CISP, но будет продолжать действовать в течение всего срока действия Соглашения о предоставлении услуг, чтобы обеспечивать по крайней мере тот же уровень безопасности, который описан в стандартах безопасности CISP на дату вступления в силу Соглашения о предоставлении услуг..

4.4 Передача персональных данных в третьи страны.

Требование DP:

И контролер, и обработчик должны гарантировать, что любая передача обрабатываемых персональных данных в третью страну будет происходить только при соблюдении определенных условий в соответствии с применимым законодательством ЕС о защите данных (статья 44 GDPR)..

Требование для CISP:

(местоположение.

Служба облачной инфраструктуры предоставит заказчику возможность выбрать использование службы для хранения и обработки своих данных полностью в пределах ЕЭЗ..

(б) Информация.

CISP будет предоставлять клиенту информацию о регионе и стране, где его данные хранятся и обрабатываются CISP или от имени CISP, в том числе если CISP передает часть обработки третьим сторонам по субподряду..

По соображениям безопасности необходимо указать только общее местоположение (например, город или район города). Это общее описание должно, по крайней мере, позволить клиенту определить, какое государство-член ЕС имеет юрисдикцию над клиентом для обработки, выполняемой клиентом с использованием услуги..

Если необходимо выполнить обязательства компетентного надзорного органа в соответствии с применимым законодательством в отношении использования услуги клиентом, и при условии, что информация защищена соответствующими обязательствами конфиденциальности, обязательными для органа, CISP сообщает компетентному надзорному органу точный адрес соответствующие объекты.

Для сервисов, которые могут быть запущены в разных местах в сети CISP по-разному, CISP сделают информацию легко доступной для клиента и позволят клиентам выбрать место (а) в сети CISP, где их данные будут обрабатываться..

(c) Уровень защиты.

CISP будет внедрять или иным образом предоставлять клиентам признанный стандарт соответствия в соответствии с применимым законодательством ЕС о защите данных для законной передачи персональных данных в соответствующую страну (включая, например, Стандартные договорные положения ЕС, Обязательные корпоративные правила или ЕС- Программа защиты конфиденциальности США для передачи персональных данных в Соединенные Штаты Америки), если:

клиент передает данные из ЕЭЗ для хранения с использованием службы CISP в любой стране за пределами ЕЭЗ, которая не признана Европейской комиссией как обеспечивающая адекватный уровень защиты личных данных; или CISP имеет право доступа к данным, хранящимся с использованием службы CISP в ЕЭЗ из страны, указанной в пункте (i) выше..

Обработчик не имеет права привлекать другого обработчика без специального или общего письменного разрешения контролера. В случае общего письменного разрешения обработчик должен проинформировать контролера о предполагаемых изменениях, давая контроллеру возможность возразить (ст. 28 (2) GDPR)..

Обработчик должен наложить те же обязательства, которые требуются в соответствии с применимым законодательством ЕС о защите данных в контракте с его контролером и его субпроцессорами. Обработчик должен нести полную ответственность перед контролером за выполнение своих обязательств субпроцессора (GDPR, статья 28 (4))..

Требование для CISP:

(а) Согласие.

В соответствии с применимым законодательством, CISP должен получить согласие клиента, прежде чем разрешить стороннему субпроцессору доступ и обработку данных клиента..

Согласие клиента обычно может быть дано через Соглашение о предоставлении услуг. В частности, в Соглашении о предоставлении услуг могут быть определены случаи и условия, при которых CISP может привлекать субпроцессоров для выполнения определенных операций обработки от имени клиента без необходимости получения дополнительных согласий от клиента..

Если клиент возражает против субпроцессора, он может немедленно расторгнуть Соглашение о предоставлении услуг для удобства или, если это согласовано между клиентом и CISP, немедленно прекратить обслуживание или ту часть услуги, которая предоставляется CISP, используя соответствующий субпроцессор.

(б) Информация.

CISP должен вести обновляемый список субпроцессоров, уполномоченных CISP для доступа к данным клиентов. Этот список должен включать местонахождение субпроцессора и должен быть легко доступен для клиента во время принятия Соглашения о предоставлении услуг и в течение его срока действия. Необходимо указать только общее местоположение (например, город или район города). Это общее описание должно, по крайней мере, позволить клиенту определить, какое государство-член ЕС имеет юрисдикцию над клиентом для обработки, выполняемой клиентом с использованием услуги..

Прежде чем разрешить новому субпроцессору доступ к данным клиента, CISP предоставит заказчику информацию об этом новом субпроцессоре, указанную в параграфе выше..

(c) Механизмы дополнительной обработки.

CISP будет налагать договорные обязательства по защите данных, эквивалентные тем, которые изложены в 15 Соглашении об оказании услуг между CISP и заказчиком в отношении его субпроцессора..

CISP должен ввести операционные механизмы в отношении своего субпроцессора, чтобы обеспечить уровень защиты данных, эквивалентный уровню защиты данных в соответствии с Соглашением о предоставлении услуг. CISP должен иметь возможность продемонстрировать заказчику посредством соответствующих документальных доказательств, что он принял такие меры..

CISP ограничивает обработку данных клиентов субпроцессором обработкой, необходимой для предоставления или поддержки услуг..

CISP остается ответственным за соблюдение своих обязательств по защите данных в Соглашении о предоставлении услуг, а также за любые действия или бездействие субпроцессора, которые приводят к нарушению CISP любых своих обязательств по Соглашению о предоставлении услуг..

Несмотря на приведенные выше подпункты (a) — (c) и в соответствии с применимым законодательством, CISP могут свободно использовать субподрядчиков или поставщиков (таких как поставщики энергии, поставщики оборудования, транспорт, поставщики технических услуг, IP-операторы, поставщики транзитных услуг, поставщики оборудования, и т. д.) для выполнения своих обязанностей в соответствии с Соглашением о предоставлении услуг без необходимости информировать или запрашивать предварительное разрешение от клиента, при условии, что такие субподрядчики или поставщики не имеют права доступа или обработки данных клиента..

4.6 Демонстрация соответствия.

Требование DP:

Обработчик должен предоставить контроллеру всю информацию, необходимую для демонстрации соблюдения обработчиком своих обязательств по защите данных и разрешить аудиты, включая проверки, проводимые контролером или аудитором, уполномоченным контролером (GDPR, статья 28 (3) (h) ).

Требование для CISP:

(а) Информация.

CISP должны предоставить достаточную информацию об имеющихся мерах безопасности для услуг, доступных для клиентов, чтобы клиенты могли обоснованно проверить соответствие CISP обязательств по безопасности в Соглашении о предоставлении услуг..

Если информация не является конфиденциальной или неконфиденциальной, она будет доступна клиентам через простой процесс (например, через веб-сайт CISP). Если информация является конфиденциальной, CISP может предоставить ее клиентам по запросу, но может потребовать от клиента сначала подписать соглашение о неразглашении, которое приемлемо для CISP. CISP может по своему усмотрению не раскрывать определенную конфиденциальную информацию о безопасности..

CISP могут потребовать от клиентов внести дополнительную плату за информацию. Эта дополнительная плата будет разумной и не будет использоваться для предотвращения доступа клиентов к информации о мерах безопасности для службы..

CISP может публиковать текущую информацию о доступности услуг и / или обновления, касающиеся безопасности и соответствия, относящиеся к услугам, на веб-сайте CISP..

CISP должен предоставить механизм (бесплатно или за разумную плату) для клиентов, у которых есть вопросы относительно защиты данных или проблем безопасности, связанных с услугой, чтобы запросить связь с действующим на тот момент персоналом CISP или представителем, назначенным CISP для решения таких вопросов. Механизмы должны быть подходящими и соразмерными для рассматриваемой услуги облачной инфраструктуры и могут принимать форму номеров телефонов, адресов электронной почты, систем чата или любых других методов, которые позволяют клиенту установить связь с соответствующим представителем CISP. Доступ или знание данных клиента не требуется для выполнения этого обязательства..

(б) Аудит.

В дополнение к указанным выше требованиям к информации, CISP может использовать независимых сторонних аудиторов для проверки адекватности мер безопасности, применяемых к услуге..

Если предлагается CISP, эти аудиты:

будет выполняться в соответствии с признанным стандартом безопасности (включая, например, ISO 27001); будет выполняться периодически в соответствии с применимым стандартом; будут выполняться квалифицированными и уважаемыми независимыми специалистами по безопасности третьей стороны; и приведет к формированию аудиторского отчета.

Если CISP использует независимых сторонних аудиторов для проверки адекватности мер безопасности, применяемых к услуге, то по письменному запросу клиента CISP может предоставить клиенту копию аудиторского отчета, чтобы клиент, аудитор клиента и компетентные надзорные органы, в юрисдикции которых находится заказчик, могут разумно проверить и подтвердить соблюдение CISP своих обязательств по обеспечению безопасности в соответствии с Соглашением о предоставлении услуг. CISP может принять решение взимать с клиентов дополнительную плату за предоставление аудиторского отчета при условии, что такая плата не должна использоваться в качестве сдерживающего фактора..

Отчет будет конфиденциальной информацией CISP. Перед предоставлением отчета клиенту CISP может потребовать от клиента подписать соглашение о неразглашении информации, которое приемлемо для CISP..

Объяснение:

Кодекс не требует, чтобы CISP уполномочивал клиента или любую третью сторону проводить аудит помещений или объектов CISP на месте. Услуги облачной инфраструктуры — это мультитенантные среды. Это означает, что данные потенциально всех клиентов CISP могут быть размещены в одних и тех же помещениях или помещениях. Физический доступ к объектам CISP со стороны одного клиента или третьей стороны представляет потенциальную угрозу безопасности для всех других клиентов CISP, данные которых размещены в тех же помещениях или объектах. Этот риск можно контролировать, если вместо аудита на месте клиенты будут использовать информацию, предоставленную CISP, для обоснованной проверки соблюдения CISP обязательств по безопасности в Соглашении о предоставлении услуг..

4.7 Запросы субъектов данных.

Требование DP:

Принимая во внимание характер обработки, обработчик должен помочь контроллеру соответствующими техническими и организационными мерами, насколько это возможно, для выполнения обязанности контролера отвечать на запросы об осуществлении прав субъекта данных (GDPR, статья 28 (3)). ) (е)).

Требование для CISP:

CISP предоставит клиенту возможность исправлять, стирать, ограничивать или извлекать данные клиента. Клиент может использовать эту возможность, чтобы помочь ему в выполнении своих обязательств по ответу на запросы об осуществлении прав субъекта данных..

CISP может предоставить клиенту возможность исправлять, стирать, ограничивать или извлекать данные клиента (а) как часть услуги или (б) путем предоставления клиентам возможности разрабатывать и развертывать свои собственные решения с использованием услуги..

Объяснение:

Помимо предоставления клиенту возможности исправлять, стирать, ограничивать или извлекать данные клиента, CISP не требуется для оказания дополнительной помощи клиенту с запросами субъектов данных. Это связано с тем, что клиент (а не CISP) несет ответственность за управление данными, обрабатываемыми клиентом с помощью службы. Таким образом, CISP не знает, какие данные клиенты загружают в службу и, в частности, кто является субъектами этих данных..

4.8 Персонал CISP.

Требование DP:

Обработчики должны гарантировать, что лица, уполномоченные обработчиком обрабатывать персональные данные 18.

взяли на себя обязательство соблюдать конфиденциальность или находятся в соответствии с установленным законом обязательством по соблюдению конфиденциальности (статья 28 (3) (b) GDPR).

Требование для CISP:

Конфиденциальность:

CISP налагает соответствующие договорные обязательства относительно конфиденциальности на любой персонал, уполномоченный CISP для доступа к данным клиентов..

Контроль доступа:

CISP будет внедрять и поддерживать средства управления доступом и политики, чтобы ограничить персонал CISP, обрабатывающий данные клиентов, тем персоналом CISP, который должен обрабатывать данные клиента для предоставления услуг клиенту. Когда персоналу CISP больше не нужно обрабатывать данные клиентов, CISP незамедлительно аннулирует права доступа этого персонала..

4.9 Правоохранительные / правительственные запросы.

Требование DP:

Обработчики могут выполнять только судебное или административное решение третьей страны, требующее передачи или раскрытия личных данных, только если это основано на международном соглашении (например, MLAT) между этой третьей страной и ЕС или государством-членом (статья 48 GDPR)..

Требование для CISP:

CISP не будет раскрывать данные клиентов правоохранительным органам третьей страны, за исключением случаев, когда это необходимо для выполнения действующего и имеющего обязательную юридическую силу судебного решения, постановления или запроса. CISP не будет раскрывать больше данных о клиентах, чем необходимо для выполнения соответствующего судебного решения, постановления или запроса..

Если CISP получает действительное и имеющее обязательную юридическую силу судебное решение или приказ или запрос от любого правоохранительного или государственного органа о раскрытии данных клиента, то, если это не запрещено законом, CISP проинформирует клиента перед раскрытием, чтобы предоставить клиенту возможность искать защиты от разглашения.

CISP может поддерживать общедоступные инструкции, предназначенные для использования правоохранительными органами при запросе информации от CISP, и готовить как минимум годовые отчеты о типах и объеме информационных запросов, обработанных CISP..

4.10 Требование DP для нарушения данных:

Обработчики должны уведомить об утечке данных контроллеру без неоправданной задержки после того, как стало известно об этом (GDPR, статья 33 (2))..

Принимая во внимание характер обработки и информацию, доступную обработчику, обработчик должен помочь контроллеру обеспечить соблюдение его обязательств по уведомлению о нарушении данных надзорному органу и субъектам данных (GDPR, статья 28 (3) (f))..

Требование для CISP:

Политика управления инцидентами безопасности.

CISP должен реализовать политику управления инцидентами безопасности, которая определяет процедуры для идентификации и реагирования на инциденты безопасности, о которых становится известно CISP..

Эта политика будет включать:

руководство по принятию решения о том, о каком типе инцидентов следует уведомлять клиента, исходя из потенциального воздействия на данные; руководство о том, как следует реагировать на инциденты; и спецификацию информации, которая будет предоставлена ​​клиенту после инцидента, связанного с утечкой данных..

Уведомление о нарушении безопасности.

Объем и сроки уведомления.

Если CISP становится известно о несанкционированном доступе к каким-либо личным данным клиента на оборудовании CISP или на объектах CISP, и такой несанкционированный доступ приводит к потере, раскрытию или изменению этих данных, CISP уведомляет клиента без неоправданной задержки..

Содержание уведомления.

Уведомление будет (i) описывать характер нарушения безопасности, (ii) описывать последствия нарушения, (iii) описывать меры, принятые или предлагаемые для принятия CISP в ответ на инцидент, и (iv) содержать описание контактный пункт в CISP.

4.11 Удаление или возврат личных данных.

Требование DP:

По усмотрению контролера, обработчик должен удалить или вернуть все личные данные контроллеру (и удалить существующие копии) в конце предоставления услуги (GDPR, статья 28 (3) (g))..

Требование CISP:

CISP предоставит клиенту возможность извлекать и удалять данные клиента. Клиент может использовать эту возможность для извлечения или удаления данных клиента в конце предоставления услуги..

В зависимости от типа услуги CISP может предоставить клиенту возможность извлекать и удалять данные клиента (а) как часть услуги или (б) позволяя клиентам разрабатывать и развертывать свои собственные решения для удаления и извлечения с помощью служба.

Объяснение:

CISP не управляет и не решает удалить данные клиента от имени клиента. От CISP также не требуется предоставлять клиенту помощь при выходе, кроме возможности клиента получить или удалить данные клиента. Таким образом, заказчик несет ответственность за управление удалением и извлечением данных в службе с учетом любого процесса, вызванного прекращением или истечением срока действия Соглашения о предоставлении услуг..

5 — Требования к прозрачности.

CISP может помочь клиенту в достижении этой цели, обеспечивая прозрачность мер безопасности, применяемых CISP для своих услуг. Для обеспечения адекватной прозрачности CISP будет преследовать следующие 6 целей:

Соглашение о предоставлении услуг, в котором говорится о разделении ответственности между CISP и заказчиком за безопасность услуги. Заявление высокого уровня о целях и стандартах безопасности, которые применяются к услуге, в отношении, по крайней мере, конфиденциальности, доступности и целостности. Информация о структуре и управлении услугой, чтобы помочь клиентам понять потенциальные угрозы и уязвимости для использования клиентом услуги. Информация, подтверждающая процессы управления рисками и критерии CISP для услуги. Информация о мерах безопасности, применяемых CISP для службы. Гарантийная документация, охватывающая систему управления информационной безопасностью CISP.

Подразделы ниже описывают, какие шаги должен предпринять CISP для обеспечения адекватного уровня прозрачности для каждой услуги, заявленной как соблюдающая Кодекс..

CISP может достичь этих целей путем внедрения системы менеджмента информационной безопасности, охватывающей эти 6 целей. Кодекс поощряет CISP внедрять такие системы управления информационной безопасностью на основе одного или нескольких признанных отраслевых стандартов..

За исключением требований, специально предусмотренных Соглашением об оказании услуг, CISP может решить передать клиентам информацию, указанную в этом Разделе 5 (Требования прозрачности), посредством:

предоставление информации о методах обеспечения безопасности и контроля CISP; и / или получение отраслевых сертификатов и / или независимых сторонних аттестаций; и / или предоставление сертификатов, отчетов и другой документации напрямую клиентам.

Если CISP считает информацию конфиденциальной, CISP может предоставить ее клиенту по запросу, но может потребовать от клиента сначала подписать соглашение о неразглашении, которое приемлемо для CISP..

5.1 Соглашение о предоставлении услуг, в котором говорится о разделении ответственности между CISP и Заказчиком за безопасность обслуживания..

В Соглашении о предоставлении услуг должны быть определены обязанности по обеспечению безопасности CISP и клиента в течение срока действия Соглашения о предоставлении услуг при условии, что клиент остается ответственным за любой аспект безопасности, который не охвачен Соглашением о предоставлении услуг..

Помимо Соглашения о предоставлении услуг, CISP может предоставить для ознакомления дополнительную документацию по услуге, в которой описывается разделение ответственности за безопасность между CISP и заказчиком. Например, CISP может предоставить матрицу, описывающую обязанности обеих сторон на основе их общего контроля над ИТ-средой и средств контроля при использовании услуги..

5.2 Заявление высокого уровня о целях и стандартах безопасности, применимых к услуге.

В CISP следует указать: (а) цели, для достижения которых предназначены меры безопасности, реализуемые CISP для службы, и, если применимо, (b) стандарты, которым будет следовать CISP при реализации этих мер безопасности..

CISP может время от времени изменять применимые стандарты безопасности при условии, что служба продолжает обеспечивать, по крайней мере, тот же уровень безопасности, который был описан в применимых стандартах на дату вступления в силу Соглашения о предоставлении услуг..

CISP проинформирует клиентов, если сервис облачной инфраструктуры предназначен для оказания помощи клиентам в соответствии с признанным стандартом или юридическим требованием, применимым к определенному типу обработки (например, обработка медицинских данных). Эта информация может быть передана CISP клиентам в рамках Соглашения о предоставлении услуг, описания услуги и / или через веб-сайт CISP или другие общедоступные материалы..

5.3 Информация о дизайне и управлении услугой.

CISP должен предоставлять клиентам информацию об инфраструктуре, доступной клиенту, и о том, как она используется для предоставления услуги (т. Е. Средства, сеть, оборудование и операционное программное обеспечение, которые поддерживают предоставление и использование услуг)..

Эта информация может, например, включать:

Архитектура высокого уровня инфраструктуры Общее расположение хостинговых объектов CISP Субподрядчик, уполномоченный CISP на доступ к данным клиентов Функции безопасности службы Варианты, которые заказчик может использовать для повышения безопасности службы.

5.4 Информация, подтверждающая процессы управления рисками и критерии CISP.

CISP должен предоставлять клиентам информацию, подтверждающую наличие и пригодность программы управления рисками CISP, чтобы помочь клиентам включить средства контроля CISP в собственную структуру управления рисками клиента. Эта информация может, например, включать внутренние и / или внешние оценки рисков, выполненные или заказанные CISP и отраженные в одном или нескольких аудиторских отчетах..

Кодекс призывает CISP следовать методологии оценки рисков, основанной на признанных отраслевых стандартах..

5.5 Информация о мерах безопасности, применяемых CISP для службы.

CISP должен предоставить достаточную информацию о мерах безопасности, применяемых для услуг, доступных клиентам, чтобы помочь клиентам понять, какие средства контроля используются для услуги, которую они используют, и как эти средства контроля были проверены.

Эта информация предназначена для того, чтобы помочь клиентам оценить, могут ли они использовать и настроить услуги таким образом, чтобы обеспечить соответствующий уровень безопасности для обработки, для выполнения которой клиент будет использовать услуги..

В частности, CISP должен описывать:

физические и операционные процессы безопасности для сетевой и серверной инфраструктуры под управлением CISP; а также функции безопасности и элементы управления, доступные для использования и настройки клиентами в службе..

Эта информация может, например, включать информацию о:

физическая и экологическая безопасность; сетевая безопасность; Управление непрерывностью бизнеса; управление изменениями; и функции безопасности аккаунта.

5.6 управление непрерывностью бизнеса; управление изменениями; и функции безопасности аккаунта.

Гарантийная документация, охватывающая систему управления информационной безопасностью CISP. CISP должна содержать достаточную информацию о системе управления информационной безопасностью, действующей для услуг, доступных клиентам, чтобы клиенты могли обоснованно проверить соответствие CISP обязательствам по безопасности в Соглашении о предоставлении услуг, как описано в Разделе 4.6 (Защита данных; демонстрация соответствия) настоящего Кодекса.

6 — Приверженность.

CISP, заявившие о соблюдении Кодекса, обязуются подчиниться Разделу 7 (Управление). Если CISP не соответствует требованиям Кодекса, к нему будут применяться механизмы обеспечения соблюдения, изложенные в Разделе 7 (Управление). Это не наносит ущерба любым возможным санкциям со стороны компетентных надзорных органов в соответствии с применимым законодательством ЕС о защите данных..

6.1 Объявление услуги, соответствующей Кодексу.

(а) Заявления о приверженности.

Чтобы использовать Знаки соответствия для услуги, CISP должен заполнить и подать декларацию о соблюдении (Декларация о приверженности) в соответствии с руководящими принципами соблюдения Кодекса, разработанными CCTF и одобренными Исполнительным советом (Руководство по соблюдению Кодекса). Текущая форма Декларации о присоединении изложена в Приложении B. Она может время от времени обновляться CCTF. Секретариат опубликует и будет поддерживать актуальную версию Декларации о приверженности и Руководства по соблюдению Кодекса в публичном реестре CISPE..

Декларация о приверженности подтверждает, что услуга соответствует требованиям Кодекса..

CISP может выбрать одну из следующих двух процедур для подтверждения своей Декларации о приверженности:

Сертификация независимым сторонним аудитором; или самооценка CISP.

К декларациям о приверженности, поддерживаемым каждой из этих двух процедур, применяются разные знаки соответствия. Обе процедуры более подробно описаны в подразделах (b) и (c) ниже. Секретариат должен рассмотреть Декларацию о соблюдении CISP в соответствии с Руководством по соблюдению Кодекса. В течение 40 рабочих дней с момента получения Секретариатом Декларации о присоединении Секретариат уведомит CISP о том, заполнена ли Декларация о присоединении..

Если Декларация о приверженности не заполнена, Секретариат может запросить у CISP любой недостающий документ или информацию, необходимую для заполнения Декларации о приверженности..

Если Декларация о присоединении заполнена, Секретариат должен включить Декларацию о присоединении в публичный реестр CISPE в течение 10 рабочих дней после того, как Секретариат уведомит CISP о ее принятии..

После внесения Декларации о приверженности в Публичный реестр CISPE:

CISP имеет право использовать Декларацию о приверженности и соответствующий Знак соответствия, как указано в Разделе 6.2 ниже, исключительно для услуг, на которые распространяется Декларация о приверженности, пока она остается действительной и подлежит любым принудительным мерам в соответствии с Разделом 7.2 (Жалобы и Правоприменение); и если какое-либо изменение услуги означает необходимость существенного обновления действующей Декларации о присоединении к CISP, то (i) CISP должен незамедлительно уведомить Секретариат, и (ii) сотрудничать с Секретариатом для обновления этих материалов..

(б) Сертификация независимыми сторонними аудиторами.

Процесс.

CISP может показать, что одна или несколько его услуг соответствуют требованиям кодекса, которые относятся к технической и операционной безопасности и / или поведению по защите данных, которые признаны в отрасли как подлежащие аудиту и как указано в Руководстве по соблюдению кодекса (требования к проверяемым кодам) представление одного или нескольких соответствующих сертификатов, аудиторских отчетов, отчетов об аттестации, заявлений о применимости и / или эквивалентной документации, охватывающей все аудитируемые требования кода для этих услуг и подготовленных независимым сторонним аудитором (Сертификат).

CISP, который выбирает эту процедуру, должен представить в Секретариат сертификат (ы), охватывающий все проверяемые требования кодекса, вместе с декларацией о соблюдении в соответствии с Руководством по соблюдению кодекса. CISP также должен предоставить любую подтверждающую информацию, указанную в Руководстве по соблюдению кодекса, в отношении тех требований кодекса, которые не являются требованиями кода, подлежащими аудиту..

CISP должен получить Сертификат путем привлечения одной или нескольких квалифицированных и авторитетных аудиторских и профессиональных бухгалтерских фирм для проведения аудита и подготовки одного или нескольких отчетов или сертификатов о соответствии соответствующих услуг одной или нескольким признанным отраслевым нормам и / или или схемы сертификации, которые покрывают все требования проверяемого кодекса. Отчеты или сертификаты, подготовленные аудитором (-ами), приравниваются к сертификату для целей этого раздела Кодекса..

Если CISP имеет существующий сертификат или отчет, охватывающий услугу, удовлетворяющую требованиям, указанным в параграфе выше, тогда CISP может полагаться на этот существующий сертификат или отчет как на Сертификат, чтобы показать, что услуга (-ы) соответствует требованиям проверяемого кода, не имея пройти новый или отдельный аудит для получения нового сертификата или отчета.

CCTF может рекомендовать определенные аудиторские и профессиональные бухгалтерские фирмы и / или отраслевые нормы или схемы сертификации для создания сертификата. В этом случае Секретариат опубликует и будет поддерживать список таких фирм и / или норм и схем сертификации в публичном реестре CISPE. Однако это не помешает CISP полагаться на другие фирмы или нормы и схемы сертификации..

Продление.

Декларация о приверженности, полученная посредством сертификата, действительна только в течение одного года с даты ее включения в Публичный реестр CISPE..

Однако, если ни услуга, на которую распространяется исходный Сертификат, ни Кодекс, не были существенно изменены с момента выдачи Сертификата, CISP может автоматически продлить срок действия Декларации о приверженности на дополнительный год без каких-либо затрат, подтвердив неизменную точность Сертификат и подтверждающая информация, предоставленная вместе с этим Сертификатом (если есть) в Секретариат.

В других случаях, чтобы продолжить использование Знака соответствия, CISP, полагающийся на Декларацию о приверженности, полученную через Сертификат, должен ежегодно обновлять эту Декларацию о соблюдении..

(c) Самооценка CISP.

Процесс.

CISP может показать, что одна или несколько его служб соответствуют требованиям Кодекса, выполнив самооценку в соответствии с Руководством по соблюдению Кодекса..

CISP, который выбирает эту процедуру, должен представить свою Декларацию о соблюдении в Секретариат вместе с любой необходимой подтверждающей информацией в соответствии с Руководством по соблюдению Кодекса..

Продление.

Декларация о приверженности, полученная в результате самооценки, действительна только в течение одного года с даты ее включения в Публичный реестр CISPE..

Чтобы и дальше использовать Знак соответствия, CISP, основанный на Декларации о приверженности, полученной в результате самооценки, должен ежегодно обновлять эту Декларацию о соблюдении..

6.2 Знаки соответствия.

CCTF разработает знаки соответствия, которые будут использоваться в качестве общедоступного символа соблюдения требований Кодекса (знаки соответствия). Знаки соответствия утверждаются Исполнительным советом..

Чтобы повысить прозрачность для клиентов, CCTF разработает как минимум два визуально разных Знака соответствия, чтобы различать CISP, которые подтвердили соответствие своих услуг требованиям Кодекса: (а) сертификацией независимым сторонним аудитором и (б) самооценка CISP.

CCTF разработает и будет постоянно пересматривать инструкции по использованию знаков соответствия CISP (Руководство по использованию знаков соответствия). Секретариат опубликует и будет поддерживать актуальную версию Руководства по использованию знаков соответствия в публичном реестре CISPE..

После того, как Декларация соответствия CISP будет включена в публичный реестр CISPE, CISP получит право использовать соответствующий Знак соответствия до тех пор, пока Декларация соответствия остается действительной и при условии, что CISP использует Знаки соответствия: услуги, на которые распространяется их Декларация о приверженности, и (б) в соответствии с Руководством по использованию Знака соответствия.

Если CISP предоставляет различные услуги облачной инфраструктуры и не все услуги CISP подпадают под действие Декларации соответствия, CISP должен гарантировать, что использование ими Знака соответствия однозначно идентифицирует конкретные услуги, на которые распространяется Декларация соответствия CISP..

7 — Управление.

Генеральная Ассамблея.

Представительство: каждой участвующей организации разрешено иметь одного представителя с правом голоса в Генеральной Ассамблее..

Нет ограничений на количество участвующих организаций..

Право на участие: чтобы иметь право на членство в Генеральной ассамблее, организация должна (а) предоставлять услугу облачной инфраструктуры клиентам в ЕЭЗ, (б) эта услуга должна предоставлять клиентам возможность выбора использования услуги для хранения и обработки его данные полностью находятся в ЕЭЗ, и (c) по крайней мере одна служба была объявлена ​​соответствующей Кодексу в течение 6 месяцев после присоединения к Генеральной Ассамблее..

Исполнительный совет.

Представительство: от 5 до 10 представителей от каждого члена Генеральной Ассамблеи. Представители Правления избираются Общим собранием..

Право на участие: чтобы иметь право выдвигать кандидата для избрания в Исполнительный совет, член должен либо (а) быть членом-основателем, либо (б) оба (i) получать значительную часть своего дохода от услуг облачной инфраструктуры, и (ii) владеть или осуществлять эффективный контроль базовой физической вычислительной инфраструктуры для таких служб облачной инфраструктуры.

Целевая группа по Кодексу поведения (CCTF)

Представительство: каждая организация, в которой, по крайней мере, одна служба признана соблюдающей Кодекс (независимо от того, является она членом Генеральной Ассамблеи), может назначить одного представителя с правом голоса в CCTF. Каждый член Генеральной ассамблеи и Исполнительный совет могут назначать в CCTF представителей без права голоса (например, ученых или экспертов, представителей ассоциаций пользователей служб облачной инфраструктуры, представителей Европейской комиссии). Любая третья сторона (включая любого конечного потребителя), желающая иметь представителя без права голоса, может направить письменный запрос в Совет директоров с просьбой о приглашении..

Право на участие: представители должны доказать: (а) опыт, связанный с облачными вычислениями и / или защитой данных, и / или (б) понимание бизнес-моделей облачных вычислений..

Представительство в Комитете по жалобам:

Назначается Правлением.

Представительство Секретариата:

Назначается Правлением.

Наблюдатели.

7.2 Жалобы и исполнение.

а) Комитет по жалобам.

Исполнительный совет назначит комитет по жалобам. Комитет по жалобам будет нести ответственность за: (а) рассмотрение жалоб на соответствие услуг, на которые распространяется Декларация о соблюдении CISP, требованиям Кодекса, и (b) принятие принудительных мер в отношении несоответствующих CISP и, при необходимости, рекомендации таких исполнительные меры в Исполнительный совет.

(б) Процесс рассмотрения жалоб.

Комитет по жалобам предложит Исполнительному совету правила и процесс для рассмотрения, принятия решений, апелляции и сообщения результатов жалоб на соответствие услуг, на которые распространяется Декларация соответствия CISP, требованиям Кодекса (процесс рассмотрения жалоб)..

После утверждения Исполнительным советом Комитет по рассмотрению жалоб публикует, внедряет, управляет и отслеживает процесс рассмотрения жалоб. Секретариат будет публиковать и обновлять информацию о процессе рассмотрения жалоб в публичном реестре CISPE..

Член CISPE, заказчик или компетентный надзорный орган может подать жалобу в Комитет по рассмотрению жалоб в соответствии с Процедурой рассмотрения жалоб. Комитет по жалобам рассматривает и принимает решение по этой жалобе в соответствии с Процедурой рассмотрения жалоб..

(c) Правоприменение.

Если в своем окончательном решении Комитет по жалобам обнаружит, что CISP не соответствует требованиям Кодекса, то Комитет по жалобам может:

потребовать от CISP принять конкретные меры по исправлению положения в разумные сроки для соблюдения Кодекса; и в крайних или повторяющихся случаях несоблюдения, или в случае неспособности CISP принять требуемые меры по исправлению положения (вовремя или вовремя), рекомендовать Исполнительному комитету приостановить действие Декларации о приверженности CISP или отозвать ее в отношении несоответствующей службы.

Если действие Декларации о приверженности CISP приостановлено или отозвано:

Секретариат незамедлительно удаляет затронутые услуги из Декларации о соблюдении CISPE в публичном реестре CISPE; Комитет по жалобам должен указать разумный срок, в течение которого CISP должен прекратить использование Знака соответствия в отношении соответствующей услуги; и CISP прекратит использование Знака соответствия в отношении соответствующей услуги в сроки, указанные Комитетом по рассмотрению жалоб..

В случае приостановления действия эти меры применяются до тех пор, пока такое приостановление не будет снято..

Вышеуказанные принудительные меры:

единственные и исключительные средства правовой защиты в случае несоблюдения CISP требований Кодекса; и не наносят ущерба правам клиента в соответствии с применимым законодательством ЕС о защите данных или Соглашением об оказании услуг..

Возможность для клиента подать жалобу не дает ему никаких прямых прав или средств правовой защиты против CISP или CISPE в соответствии с Кодексом или в связи с ним..

CISPE не несет никакой ответственности за соответствие CISP требованиям Кодекса. CISPE также не будет нести ответственность перед какой-либо стороной по какой-либо причине или теории ответственности за любые убытки или ущерб, возникшие в результате действия или бездействия CISPE или CISP в связи с Кодексом..

7.3 Обзор Кодекса и руководящих принципов.

CCTF продолжит пересмотр Кодекса с учетом изменений в действующем законодательстве ЕС о защите данных и, в частности, вступления в силу GDPR..

CCTF должен стремиться к полному пересмотру Кодекса каждые два года, чтобы учесть правовые и технологические разработки, а также разработки передовой отраслевой практики..

Исполнительный совет может инициировать конкретную проверку Кодекса CCTF путем совместного запроса в CCTF от как минимум двух членов Исполнительного совета. Исполнительный совет может инициировать такой обзор по собственной инициативе или по просьбе:

не менее 10% членов Общего собрания; компетентный надзорный орган, действующий в официальном качестве; или ассоциация, представляющая интересы пользователей услуг облачной инфраструктуры, действующих в официальном качестве.

Изменить код.

После проверки CCTF может рекомендовать Исполнительному совету внести изменения в Кодекс. Изменения в Кодексе должны быть приняты CISPE, прежде чем они вступят в силу..

Для принятия CISPE любое изменение в Кодексе должно быть:

представлен Исполнительному совету и Генеральной Ассамблее; утверждается Правлением; и принят Генеральной Ассамблеей специальной резолюцией.

Перед принятием CISPE Исполнительный совет может принять решение о внесении изменений в Кодекс для рассмотрения и комментариев:

компетентный надзорный орган; и / или ассоциация, представляющая интересы пользователей службы облачной инфраструктуры.

В кратчайшие возможные сроки после того, как изменения в Кодексе были приняты CISPE, Секретариат опубликует обновленную версию Кодекса в публичном реестре CISPE..

CISP должны продлить или повторно подтвердить свои декларации о приверженности в течение года после публикации обновленной версии Кодекса в публичном реестре CISPE. CISP, который демонстрирует, что его служба соответствует требованиям Кодекса, представив Сертификат вместе с Декларацией о соответствии, может полагаться на существующий Сертификат, чтобы продемонстрировать, что услуга соответствует обновленной версии Кодекса, без необходимости проходить новый или отдельный аудит. получить новый сертификат или отчет.

Похожие статьи