Suwerenność danych w chmurze: wyzwanie dla wszystkich w całej Europie
Suwerenność cyfrową można zdefiniować jako zdolność państwa do kontrolowania wszystkich zasobów cyfrowych, z ekonomicznego, społecznego i politycznego punktu widzenia, bez udziału osób trzecich lub wpływów zewnętrznych. Jej fundamentem jest swoboda wyboru i uniezależnienie od infrastruktur, platform czy punktów dostępu do Internetu zlokalizowanych poza Europą.
Z kolei termin suwerenność danych rozciąga pojęcie suwerenności cyfrowej na organizacje. Określa on ich zdolność do ochrony danych przed ewentualną ingerencją, zwłaszcza z zewnątrz, a tym samym do samodzielnego działania, w szczególności w obszarach strategicznych dla rozwoju tych organizacji. Suwerenność danych gwarantowana jest przez przepisy europejskie, które ograniczają możliwość przekazywania danych osobowych poza Unię Europejską.
Żyjemy w świecie globalnej konkurencji i każdego dnia obserwujemy wykładniczy wzrost ilości wrażliwych i strategicznych danych wykorzystywanych w chmurze. W tym kontekście coraz więcej podmiotów europejskich zdaje sobie sprawę, jak wielkie znaczenie ma odpowiednie zarządzanie systemami informatycznymi oraz danymi, które są przez te systemy przetwarzane, zwłaszcza w obliczu licznych zagrożeń związanych z wywiadem gospodarczym oraz przypadkami ingerencji spoza Europy. Incydenty te stanowią zagrożenie zarówno dla ochrony danych, jak i możliwości rozwoju dużych graczy polskich lub europejskich. Sprawiają również, że trudniej jest stawić czoła międzynarodowej konkurencji w branży cyfrowej. Dlatego tak ważna jest ochrona suwerenności danych, która gwarantuje instytucjom publicznym, przedsiębiorstwom i obywatelom swobodę wyboru lokalizacji, w której ich dane będą przechowywane i przetwarzane.
Chmura europejska: główne wyzwania dla Europy i pięć scenariuszy dotyczących przyszłości do roku 2027-2030 r.
W maju 2021 r. firma KPMG we Francji opublikowała białą księgę opracowaną na podstawie danych i informacji pochodzących z różnych źródeł, w tym od europejskich decydentów publicznych i prywatnych. Wyniki badania pokazują, że migracja do chmury uznawana jest za konieczność, a bezpieczeństwo i suwerenność danych są jednym z głównych wyzwań. Ponadto z dokumentu wynika, że obecny paradygmat europejskiego rynku usług w chmurze nie wydaje się być trwały. Zidentyfikowano pięć scenariuszy, z których każdy przewiduje określone korzyści.
W jaki sposób OVHcloud gwarantuje poszanowanie suwerenności danych swoich klientów?
W OVHcloud wierzymy, że cyfrowa suwerenność jest kluczem do zapewnienia wolności użytkownikom naszych usług. Dzięki niej możemy dobrze planować przyszłość, dbać o utrzymanie miejsc pracy i zachować europejskie wartości. Wiąże się to ściśle z założeniami zaufanej chmury, która ma gwarantować ochronę suwerenności strategicznych danych państw, przedsiębiorstw i obywateli. Naszą misją jest dochowanie wierności pierwotnej idei Internetu, jaką jest uczynienie z technologii cyfrowej przestrzeni wolności, autonomii i innowacji.
OVHcloud, gracz "pure player", zaangażowana w tworzenie europejskiego ekosystemu cyfrowego
Dostawca suwerennej chmury zobowiązuje się, że nie będzie w żaden sposób wykorzystywał danych swoich klientów. Firma OVHcloud dotrzymuje tego zobowiązania, a ponadto, jako gracz pure player, nie świadczy usług konkurencyjnych dla usług swoich klientów. Jest również zaangażowana w budowę zaufanej chmury, która pomaga chronić suwerenność danych we wszystkich sektorach, a także w działania podejmowane przez europejskie instytucje publiczne i stowarzyszenia zawodowe broniące suwerenności cyfrowej w Europie.
Jako członek-założyciel stowarzyszenia CISPE (Cloud Infrastructure Services Providers in Europe) oraz projektu GAIA-X, OVHcloud aktywnie uczestniczy w kluczowych europejskich inicjatywach, które mają zapewnić bezpieczeństwo danych, interoperacyjność i transparentność. W 2020 roku OVHcloud uruchomiła program Open Trusted Cloud, którego misją jest współtworzenie, wraz ze wszystkimi podmiotami z branży cyfrowej, ekosystemu rozwiązań SaaS i PaaS w otwartej, odwracalnej i niezawodnej chmurze. Uczestnicy programu dokładają starań, aby wydobywać pełen potencjał z europejskich rozwiązań i udzielają sobie wzajemnego wsparcia.
Europejscy klienci chronieni przed ingerencją instytucji spoza Europy
OVHcloud wdraża środki techniczne i organizacyjne mające na celu ochronę danych hostowanych przez europejskich klientów na terenie Unii Europejskiej przed ingerencją podmiotów spoza Europy. Z technicznego punktu widzenia żaden oddział firmy OVHcloud ani żaden jej partner, z siedzibą w kraju trzecim, który nie zapewnia poziomu ochrony danych zgodnego z europejskim ustawodawstwem, nie ma możliwości dostępu ani obsługi infrastruktury hostingowej, na której przechowywane są dane.
Zasada ta ma na przykład zastosowanie w przypadku amerykańskich podmiotów OVHcloud. Nie mają one technicznej możliwości dostępu do danych hostowanych w europejskich centrach OVHcloud, ponieważ Stany Zjednoczone, od momentu unieważnienia „Tarczy Prywatności” przez wyrok Trybunału Sprawiedliwości UE w sprawie „Schrems II” w dniu 16 lipca 2020, nie są już uważane za kraj posiadający odpowiedni poziom ochrony. W związku z tym wspomniane podmioty amerykańskie nie mają kontroli nad danymi przechowywanymi w Europie i nie mogą ich przekazywać w odpowiedzi na wnioski składane przez instytucje Stanów Zjednoczonych.
Jedynie podmioty zlokalizowane na terenie Unii Europejskiej lub w krajach, których poziom ochrony został uznany za odpowiedni w wyniku decyzji Komisji Europejskiej (w szczególności w Kanadzie) mogą, zgodnie z obowiązującymi regulaminami, uczestniczyć w realizacji usług na rzecz europejskich klientów OVHcloud oraz wykonywać operacje techniczne na infrastrukturze, na której klienci przechowują swoje dane.
Pełne poszanowanie europejskich przepisów, wolności i praw podstawowych
Z organizacyjnego punktu widzenia, Grupa OVHcloud jest grupą europejską, w której europejskie podmioty gospodarcze, jak również podmioty, które mogą ingerować w infrastrukturę hostingową OVHcloud zlokalizowaną na terenie Unii Europejskiej i wykorzystywaną przez europejskich klientów, podlegają wyłącznej jurysdykcji państw członkowskich Unii Europejskiej lub państw, które zostały objęte decyzją Komisji Europejskiej w sprawie odpowiedniej ochrony danych osobowych. Podmioty te są bowiem kontrolowane przez OVH Groupe SAS, która jest spółką prawa francuskiego i nie jest powiązana z jakimkolwiek podmiotem lub organizacją podlegającą jurysdykcji państw niezapewniających odpowiedniego poziomu ochrony danych.
Zdarza się, że instytucje publiczne (rządowe, administracyjne, sądowe lub inne) działające poza Unią Europejską składają wnioski o udzielenie informacji o danych hostowanych przez europejskiego klienta OVHcloud w centrum danych zlokalizowanym na terenie Unii Europejskiej. OVHcloud ma jednak w tym przypadku prawo, zgodnie z postanowieniami art. 48 RODO oraz swoją wewnętrzną polityką dotyczącą rozpatrywania wniosków organów publicznych, odmówić udzielenia odpowiedzi. Wyjątek stanowią sytuacje, kiedy wniosek składany jest zgodnie z umową międzynarodową, taką jak umowa o wzajemnej pomocy prawnej, która obowiązuje między państwem ubiegającym się o pomoc a danym państwem członkowskim lub państwami członkowskimi Unii Europejskiej.
Ponadto w przypadku klientów, których wolą jest, aby dane powierzone OVHcloud przetwarzane były wyłącznie na terenie Europy, OVHcloud stosuje zasadę, zgodnie z którą w realizacji usługi uczestniczą wyłącznie podmioty europejskie, z wyłączeniem wszelkich innych podmiotów, w tym podmiotów z siedzibą w państwach trzecich, uznanych przez Komisję Europejską za posiadające odpowiedni poziom ochrony.
Zgodność z najwyższymi standardami bezpieczeństwa
OVHcloud nie ma dostępu do danych klientów. Wyjątek stanowią sytuacje, kiedy OVHcloud zostanie poproszona przez klienta o dostęp do jego danych lub kiedy klient wyrazi zgodę na dostęp, na przykład w związku z koniecznością przeprowadzenia operacji technicznych. W każdej z tych sytuacji zapewniamy pełną identyfikowalność działań i gwarantujemy suwerenność danych.
Wiza bezpieczeństwa SecNumCloud, uzyskana przez OVHcloud na początku 2021 roku, gwarantuje klientom korzystającym z certyfikowanych usług chmurowych, że poziom bezpieczeństwa i zaufania tych rozwiązań został zweryfikowany przez ANSSI (z fr. Krajowa Agencja Bezpieczeństwa Systemów Informatycznych). OVHcloud świadczy ponadto usługi cloud na rzecz instytucji francuskich (UGAP), brytyjskich (G-Cloud), włoskich (AgID), a także jednostek Komisji Europejskiej (DPS 1 MC5). Uczestniczy również w bieżących pracach Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) dotyczących certyfikacji cyberbezpieczeństwa usług w chmurze.
OVHcloud odpowiada także na potrzeby i wymagania operatorów usług kluczowych oraz dostawców usług, którzy w ramach swoich procedur homologacji mają obowiązek analizy ryzyka i wdrożenia polityki bezpieczeństwa. W procesie tym pomoże klientom dokumentacja OVHcloud odwołująca się do różnorodnych standardów (ISO 27001, ISO 27701, SecNumCloud, HDS, SOC, CSA Star, PCI-DSS i innych) oraz wdrożone przez nas środki zapewniające ochronę danych.
Ścisła kontrola łańcucha wartości
OVHcloud rozwija od ponad 20 lat zintegrowany model biznesowy pozwalający na pełną kontrolę łańcucha wartości, który obejmuje budowę centrów danych i ich zarządzanie, montaż serwerów i szaf rack w zakładzie produkcyjnym w Croix (Hauts-de-France) oraz obsługę sieci światłowodowej. Model ten zapewnia suwerenność danych i umożliwia lepsze zarządzanie łańcuchem dostaw. Pozwala również uniezależnić się od podwykonawców i dostawców technologii. Skuteczność takiego podejścia dała się zauważyć szczególnie w momencie wybuchu pandemii COVID-19 w 2020 r., kiedy to OVHcloud, mimo sytuacji kryzysowej na całym świecie, uniknęła przerw w dostawach i zapewniła ciągłość działania swoim klientom.
Firmę OVHcloud wyróżnia także fakt, że integruje w swoich produktach odwracalne technologie open-source oraz standardy rynkowe. Przestrzega zasad suwerenności danych i od początku do końca obsługuje klientów bez udziału zewnętrznych podwykonawców. Za każdym razem sprawdza, czy producenci oprogramowania, którzy dostarczają komponenty wchodzące w skład jej rozwiązań, również gwarantują suwerenność danych.
Zgodnie z postanowieniami szczegółowych warunków świadczenia usług, OVHcloud zapewnia, że partnerzy zaangażowani w utrzymanie danego rozwiązania działają tylko na terenie krajów europejskich lub zachowują poziom ochrony równoważny poziomowi gwarantowanemu w Unii Europejskiej i przestrzegają europejskich przepisów. Pełna kontrola i bardzo wysoki poziom integracji usług firm trzecich z produktami OVHcloud pozwala na budowę zaufanej chmury i zapewnienie suwerenności danych polskich i europejskich klientów.
Potrzebujesz pomocy lub informacji?
Doradca OVHcloud skontaktuje się z Tobą telefonicznie. Połączenie jest bezpłatne.