Posts Tagged ‘adatbiztonság’

Szigorodó EU-s szabályozás a felhőben

Posted on: június 10th, 2016 by dorarapcsak No Comments

felhő alapú szolgáltatás EU szabályozásaFelhő alapú szolgáltatásunk kapcsán folyamatos a jogi, adatvédelmi előkészítő munkánk, hiszen a kezelt adatok biztonságát minden hazai és nemzetközi partnerünk felé garantálnunk kell. Az EU-s Általános Adatvédelmi Rendelet változását nyomon követjük, mely hatályba lépése előtt is tudatos felkészülést kíván a cloud alapú adatkezelőktől.

Több nemzetközi és hazai cikk is foglalkozik az EU Általános Adatvédelmi Rendeletének változásával. A 2018-ban hatályba lépő szabályozás az eddig érvényes ajánlásnál szigorúbban, minden tagállamra egyformán vonatkozóan értelmezi az Európai Unión belül mozgó adatok biztonságát, és még több garanciát ad az érintetteknek, hogy kövessék azok útját, történetét.

Miért is fontos a VCC számára ez a változás? Felhő alapú szolgáltatóként adatfeldolgozónak számítunk, így minden olyan információ védelméért felelősek vagyunk, melyek alapján személyek azonosíthatók – akkor is, ha nem tároljuk, csak továbbítjuk ezeket. Részben a nemzetközi jogi környezet, részben pedig saját IT-környezetünk és megszerzett tanúsítványaink miatt eddig is szigorú szabályozás alá estek a partnereink tevékenysége során keletkezett adatok, a VCC Pay indulása óta pedig a rendszerünkön átfutó bankkártyaadatok is. Valójában tehát az EU-s szabályozás részletei, a konkrét módosítási feladatok jelentenek majd számunkra újdonságot, maga a szemlélet nem.

A rendelet szorosabban felügyeli majd az EU-s állampolgárok adatainak más, EU-n kívüli országokba való küldését. Másrészt, az érintetteknek egyértelmű hozzájárulást kell adniuk az adatkezelés folyamatához. A mostani lehetőségeknél könnyebben elérhetik azok módosítását, a tárolás megszüntetését – ennek ellenőrzése a gyakorlatban természetesen nehéz lesz, a különböző folyamatkezelő rendszerekben szinkronizált adatok miatt. A szolgáltatók közötti hordozhatósággal kapcsolatban is szélesebb jogköre és rálátása lesz mindenkinek, aki személyes adatainak kezelésére felhatalmazást ad. A másik fontos szemléletbeli változás, hogy az adatgazdák felelősségét komoly szankciókkal támasztják alá – a mulasztások miatt a cégekre akár 20 millió eurós bírság, vagy a teljes éves árbevételük 4%-ának megfelelő kártérítési összeg is kiszabható. Ugyanakkor, az egyszerre több EU-s országban jelen lévő cégek élete – mint amilyen a VCC is – egyszerűsödik: nekik ezentúl csak a székhelyük szerinti adatvédelmi hatósággal kell együttműködniük.

Bár a frissített szabályozás a szolgáltató cégekre többletfeladatokat ró majd, összességében átláthatóságot és egy központi felügyeleti szerv létrejöttét ígéri, mely a vitás eseteket kezeli.

Részletesebben:
Computerworld.uk, Az Európai Tanács tájékoztató oldala

Adatbiztonság a felhőben

Posted on: október 3rd, 2014 by dorarapcsak No Comments

Mi biztosítja, hogy a felhőben tárolt adatok biztonságban maradnak? A megfelelő szolgáltató és a saját elővigyázatosság.

2012-ben az amerikai Gartner kutató intézet azt jósolta, hogy az offline végzett munka 2014-re nagyrészt átkerül a felhőbe. Igaza volt. Ma már eltűnnek az USB-k és az irodai hálózati megosztások, és a felhő találkozási ponttá, információcsere-központtá válik. Sőt, ez az a hely ahol, mindenki, minden adatát tárolja.

A fejlődés pedig megkönnyíti az életet. A felhőszolgáltatások abszolút előnye tehát a bárhonnani hozzáférés, és nem kell félni, hogy esetleg rossz kezekbe kerül az a bizonyos hordozóeszköz. Azonban a felhőben tárolt adatok biztonsága iránt már felvetődnek kérdések. Két évvel ezelőtt még maga Steve Wozniak is elítélően nyilatkozott a cloud computingról és a felhő alapú adattárolásról. Mintha csak őt igazolnák az elmúlt hetek hírhedt iCloud eseményei. Azóta újfent napvilágra került, hogy a felhőnek bizony vannak kockázati tényezői. A kérdés, hogy hogyan kezeljük ezeket.

VCC Blog - adatbiztonság a felhőbenPublikus vagy magán?

Először is kérdés, hogy milyen felhőt használunk. A felhőszolgáltatásoknak ugyanis alapvetően három típusa van: publikus, magán vagy hibrid. A publikus felhők egy kifejezett felhőszolgáltató tulajdonában vannak, és ők is üzemeltetik őket. A felhasználók pedig élvezhetik az alacsony használati költségeket és a könnyű elérést. Adataik azonban inkább veszélyben vannak, mint a magánfelhők esetében. Ezek ugyanis kifejezetten egy-egy cég számára épültek. Lehet szó a cég maga vagy egy külső szolgáltató által üzemeltetett felhőről, mindenképp exkluzív felhő-környezetről van szó, amely teljes adatbiztonságot tesz lehetővé. Hátránya azonban, hogy privát felhőtípusok éppen ezért drágábbak, mint a publikusak. A hibrid típus egyesíti a két változatot. Rengeteg formája lehetséges, attól függően, hogy épp melyik elemet emeli át egyik, illetve a másik felhőből.

Bármelyik felhőt választjuk is, a biztonságos jelszó megválasztása kulcsfontosságú. A tavaly készült Kanadai Technológia, Média és Telekommunikációs Előrejelzési Riport szerint a jelszavak 90 százaléka másodpercek alatt feltörhető. A helyzet tehát hasonló ahhoz, mintha bezárnánk a lakást és utána benne hagynánk a zárban a kulcsot, majd hibáztatnánk a zár gyártóját, hogy kiraboltak. Tehát a rövid jelszavak és jelszó emlékeztetők – a könnyű megfejthetőségük okán – tálcán kínálják adatainkat bárki számára, mivel a felhő mindenkit, mindenhol körülvesz. Körülbelül 7-9 karaktertől fölfelé exponenciálisan növekszik egy jelszó erőssége a karakterek számával.

A legjobbak azok a jelszavak, amelyek semmilyen módon nem köthetők a felhasználó személyéhez, tehát egy random módon választott alapra épülnek rá számok és speciális karakterek is. A Virtual Call Center például minimum tíz karakteres jelszóelőírást használ, megerősítve számokkal, kis és nagy, illetve speciális karakterekkel. Ez ma határozottan biztonságosnak számít.

Félelmek a felhőben

Mivel a felhő-technológia még mindig ködösnek tűnik az átlagemberek szemében, gyakori félelmük az adatbiztonsággal kapcsolatban, hogy a különféle felhasználói adatok közösen tárolódnak, minimális elkülönítéssel.

Az igazság az, hogy a publikus felhők is egyre több figyelmet fordítanak a biztonságra, azonban a magán felhők esetében ez a kérdés szinte fel sem merül. A Virtual Call Center esetében ez azt jelenti, hogy az ügyfelek adatai egymástól adatbázis szinten vannak elszeparálva, így egymás adataihoz a felhasználó cégek nem férhetnek hozzá. Az ISO 270001 nemzetközi szabványnak megfelelő hozzáférési jogkörök biztosítják, hogy csak a lehető legszűkebb körnek legyen hozzáférése az ügyféladatokhoz, és az nyomon követhető legyen. Logok alapján könnyen monitorozható tehát, hogy ki, mikor, mihez nyúlt hozzá.

A következő aggály általában a felhőben található tűzfalhoz és behatolás-ellenőrző alkalmazásokhoz (IDS, IPS) kapcsolódik. Ez esetben is igaz, hogy a felhő alapú szolgáltatások ma már inkább előnyben vannak az offline rendszerekhez képest. Ugyanis, ha egy adott szolgáltatás bizonyos része elérhető publikus hálózatról, akkor mélyebb szintű és rezisztensebb védelemre van szükség, tehát ma egy felhőszolgáltató védelme sokkal paranoidabb, mint egy klasszikus rendszeré.

A Virtual Call Centernél a tűzfal megvalósítás szempontjából is fontos, hogy a rendszer egyes komponenseihez csak a legminimálisabb hozzáférés engedélyezett az ügyfelek számára. Csak azok érhetők el, amelyek feltétlenül szükségesek és azok is védettek a támadások ellen. Sőt, mivel a cég telekommunikációs szolgáltató is, ezért a szigorú szabályok és a különös védelem még fontosabb, hogy ne fordulhasson elő betörés és mondjuk emelt díjas hívások indítása az ügyfelek kárára.

Fontos ezenkívül odafigyelni az alkalmazott szoftverek mindig friss állapotára, a folyamatos biztonsági frissítésekre. A tesztelők tehát állandóan figyelik előfordul-e bármiben sérülékenység, és a tesztelést követően azonnal frissítenek az esetlegesen fennálló probléma kiküszöbölésére. Ezt segíti, hogy minden Virtual Call Center alkalmazás egy belső monitorozó rendszerhez van hozzákötve, amely segítségével nemcsak utólag lehet elemezni a problémákat, de akár előre is lehet jelezni azokat. Memóriaszivárgás esetében például, ha egy adott alkalmazás valamely hiba nyomán túlságosan fogyasztja a memóriát, akkor ez a folyamatos monitorozás miatt látszik, és még azelőtt orvosolható, hogy ebből bármilyen negatív következményt érzékelne az ügyfél.

Sokan tartanak ezenkívül a felhőszolgáltatók adatkezelésétől, illetve -elemzésétől is. Az adattovábbításra és adatvédelemre már most nagyon komoly jogi szabályozás van érvényben az Európai Unión belül. A jelenlegi EU Adatvédelmi Irányelv főszabály szerint tiltja a természetes személyek adatainak az Európai Gazdasági Térségen kívülre való továbbítását. A szabályozás azonban még nem kiforrott, hamarosan újabb irányelvek megalkotása várható. Tovább nehezíti a kérdést, a határon átnyúló használat, amely esetben a felhasználó nem a szervernek megfelelő országban tartózkodik, mert ilyenkor kérdés, hogy melyik ország szabályozása vonatkozik a felhasználóra. A legbiztosabb megoldás, ha az ügyfél magával a felhőszolgáltatóval állapodik meg szigorú adatvédelmi nyilatkozat formájában. A Virtual Call Center ezt a forgatókönyvet követi, amikor minden ügyfelével kapcsolatban vállalja, hogy adatait bizalmasan kezeli, az aktuális adatvédelmi megállapodás szerint.

A félelmek tehát sokszor valósak a felhőben tárolt adatokkal kapcsolatban, azonban ezek viszonylag egyszerű módszerekkel és főleg elővigyázatos szolgáltató választással könnyen orvosolhatók. És ha ez megtörtént, akkor bizony nagyobb biztonságban tudhatjuk adatainkat, mint a korábban oly biztonságosnak hitt offline módszerekkel.

2014/15 tanév Call Center Akadémia banner

Magyarország első számú call center fóruma