Chmura Oktawave z certyfikatem CSA STAR w zakresie bezpieczeństwa danych

Oktawave, największa polska chmura, po raz kolejny pozytywnie przeszła audyt certyfikacyjny w ramach programu CSA STAR (Security, Trust & Assurance Registry), świadczący o bezpieczeństwie przetwarzanych danych.

Jest to standard dedykowany dla modelu cloud computing. W rejestrze CSA prowadzonym przez BSI Group widnieją dostawcy usług chmurowych z całego świata. Jednym z nich jest chmura Oktawave, operująca od 8 lat z centrów danych zlokalizowanych w Polsce. Jest pierwszą chmurą krajową, która spełniała wymogi CSA STAR już w 2016 r.

Od tego czasu Oktawave stale współpracuje z BSI Group w zakresie certyfikacji. Dwa razy w roku chmura poddawana jest niezależnym ocenom Systemu Zarządzania Bezpieczeństwem Informacji na zgodność z wymaganiami ISO 27001 i CSA STAR w ramach audytów nadzorczych, a co trzy lata audytom recertyfikującym. Takie obowiązki wynikają z konieczności utrzymania certyfikatów i potwierdzenia ciągłego doskonalenia procesów bezpieczeństwa.

– Podczas wyboru dostawcy chmurowego pojawia się zasadnicze pytanie o to, czy jest on w stanie dobrze zabezpieczyć przechowywane dane. Dlatego stale doskonalimy i wzmacniamy swój system zarządzania bezpieczeństwem danych, co potwierdzają uzyskane przez nas certyfikaty – mówi Maciej Kuźniar, COO Oktawave.

Czym jest CSA STAR?

  • To standard regulujący wyłącznie bezpieczeństwo danych w chmurze.
  • To rozszerzenie i udoskonalenie normy ISO/IEC 27001 dotyczącej zarządzania bezpieczeństwem informacji i warunkującej przystąpienie do procesu certyfikacji CSA STAR.
  • To potwierdzenie dla klientów, że ich dane przetwarzane są u dostawcy chmury w bezpiecznych sposób.

Co oznacza wdrożenie certyfikatu CSA STAR?

  • Poświadcza zgodność z wymaganiami Macierzy Kontroli opracowanej przez Cloud Security Alliance.
  • Potwierdza funkcjonowanie skutecznego systemu zapewniającego bezpieczeństwo danych w chmurze obliczeniowej.
  • Świadczy o unikatowych kompetencjach dostawcy w obszarze zarządzania ryzykiem oraz stosowaniu zaawansowanych środków ochrony danych.
  • Systematyzuje wiedzę na temat ryzyka oraz jego wpływu na funkcjonowanie przedsiębiorstwa, co umożliwia jeszcze lepszą ochronę kluczowych informacji.

Wybierając dostawcę chmurowego, menadżerowie IT kierują się kryteriami oceny takimi jak zgodność z wymogami prawnymi (44 proc.), sposób zarządzania ryzykiem (37 proc.) oraz certyfikaty potwierdzające bezpieczeństwo (36 proc.). Tak wynika z badania „Kompetencje Chmurowe firm w Polsce 2020”, zrealizowanego przez IDG na zlecenie Oktawave i 7bulls.

Od 2015 r. chmura posiada formalnie wdrożony System Zarządzania Bezpieczeństwem Informacji (SZBI) certyfikowany na zgodność z normami ISO/EIC 27001:2013 oraz CSA STAR:2014 w obszarze dostarczania usług w modelu chmury obliczeniowej.

Z kolei zgodność z normą ISO/IEC 27001:2013 potwierdza, że wdrożony system jest skuteczny i że organizacja rozumie znaczenie bezpieczeństwa informacji. Certyfikat potwierdza, że w organizacji są stosowane najlepsze praktyki uznane w branży i gwarantujące m.in. bezpieczeństwo przetwarzania danych, spełnianie wymogu ochrony danych na wszystkich poziomach w całej firmie, czy zgodność działań z odpowiednimi przepisami ustawowymi i wykonawczymi.

W 2018 r. Oktawave zaktualizowała też procedury dot. ochrony danych, aby zapewnić pełną zgodność z Rozporządzeniem o Ochronie Danych Osobowych (RODO). Ten unijny przepis wymaga, aby podmioty, które przetwarzają dane osobowe, zapewniły wystarczające gwarancje wdrożenia odpowiednich środków prawnych, technicznych i organizacyjnych.

W 2019 r. Oktawave uzyskała kolejne certyfikaty dotyczące bezpieczeństwa danych i danych osobowych w środowisku chmurowym, poświadczające zgodność z normami ISO/IEC 27017:2015 i ISO/IEC 27018:2019.

Pierwszym z nich był ISO/IEC 27017 jest zbiorem najlepszych praktyk i zabezpieczeń, skoncentrowanych na specyfice usług świadczonych w modelu chmury obliczeniowej i zaprojektowanych w celu minimalizacji ryzyka wystąpienia incydentu bezpieczeństwa.

Kolejny to ISO/IEC 27018, stanowiący zbiór praktycznych zasad ochrony danych osobowych (PII) w chmurach publicznych dla podmiotów działających jako przetwarzający PII. Rozszerza istniejące zabezpieczenia stosowanego w Oktawave Systemu Zarządzania Bezpieczeństwem Informacji o szczegółowe wymagania dla prywatności w chmurze.