Kto naprawdę kontroluje Twoje dane? Governance i jurysdykcja w ujęciu SOV-1 i SOV-2

W chmurze kluczowe pytanie nie brzmi już „gdzie przechowywane są dane?”, lecz „kto ma nad nimi kontrolę?”. Sama lokalizacja przestaje mieć znaczenie, jeśli o dostępie do danych, zasadach ich przetwarzania lub zmianach w platformie mogą decydować podmioty objęte inną jurysdykcją.

Dlatego w Cloud Sovereignty Framework obszary Governance (SOV-1) i Jurisdiction (SOV-2) znajdują się na samym początku. Określają one, kto podejmuje decyzje, komu podlega dostawca i jakie ramy prawne mają zastosowanie do danych klienta. Od tych elementów zależy, czy pozostałe mechanizmy suwerenności mają realną wartość.

Dla organizacji publicznych i regulowanych nie są to kwestie teoretyczne. Coraz częściej decydują o dopuszczalności dostawcy, warunkach umowy oraz o tym, czy dane pozostają pod rzeczywistą kontrolą klienta.

SOV-1: Governance

Kto tak naprawdę podejmuje decyzje?

Governance w ujęciu Komisji Europejskiej nie dotyczy wyłącznie operacyjnego zarządzania danymi. To znacznie szerzej rozumiana „władza nad środkiem trwałym, jakim są dane i infrastruktura”. W praktyce chodzi o odpowiedzi na kluczowe pytania:

• Kto może podejmować decyzje dotyczące przetwarzania danych?
• Kto kontroluje kluczowe elementy infrastruktury – od centrów danych po warstwę operacyjną?
• Czy dostawca może zmienić warunki świadczenia usługi bez Twojej zgody?
• Czy istnieją mechanizmy, które umożliwiają wymuszenie dostępu do danych przez podmioty trzecie?

Na poziomie SEAL organizacje w Unii Europejskiej oceniają dziś nie tylko samą technologię, lecz także kontekst, w jakim działa dostawca chmury. Pod uwagę brana jest struktura właścicielska oraz ewentualne powiązania kapitałowe poza Europejskim Obszarem Gospodarczym, a także ryzyko wywierania presji politycznej lub wpływu czynników zewnętrznych na sposób funkcjonowania usługi. Istotna staje się również odporność dostawcy na przyszłe przejęcia lub formy ingerencji, które mogłyby zmienić jego status prawny lub operacyjny. W praktyce sprowadza się to do jednego pytania: czy nad chmurą sprawowana jest kontrola, której organizacja rzeczywiście może zaufać?

SOV-2: Jurisdiction

Czyjemu prawu faktycznie podlegają Twoje dane?

Jurysdykcja przez długi czas pozostawała na marginesie dyskusji o chmurze, aż do momentu pojawienia się regulacji umożliwiających eksterytorialny dostęp do danych, takich jak CLOUD Act. Wówczas stało się jasne, że sama fizyczna lokalizacja danych nie jest wystarczającym kryterium oceny ryzyka. Kluczowe znaczenie zyskało pytanie o to, które porządki prawne mogą mieć do danych zastosowanie.

W ujęciu Cloud Sovereignty Framework jurysdykcja obejmuje nie tylko prawo, któremu podlega bezpośrednio dostawca chmury, lecz także regulacje dotyczące podmiotów powiązanych oraz właścicieli. Istotne jest również to, czy mimo przechowywania danych na terenie Unii Europejskiej mogą one podlegać przepisom prawa państw trzecich.

Właśnie ten aspekt okazał się dla wielu europejskich organizacji zaskakujący. Dane mogą znajdować się w Polsce lub innym kraju UE, a jednocześnie podlegać jurysdykcji spoza Unii, co istotnie wpływa na ocenę ryzyka prawnego i operacyjnego.

SEAL 3 i SEAL 4 wprowadzają precyzyjne wymagania dotyczące suwerenności chmurowej. Dostawca nie może pozostawać pod kontrolą podmiotu działającego w jurysdykcji uznawanej za wysokiego ryzyka. Infrastruktura musi być obsługiwana i utrzymywana wyłącznie przez personel znajdujący się na terenie Unii Europejskiej. Dodatkowo nie może istnieć żadna prawna możliwość wymuszenia dostępu do danych przez państwo trzecie, co zapewnia klientowi pełną kontrolę oraz bezpieczeństwo operacyjne w całym cyklu życia informacji.

Weryfikacja suwerenności chmurowej: kluczowe pytania

Organizacje coraz częściej sprawdzają nie tylko funkcjonalność chmury, ale także warunki, na jakich jest ona oferowana. Dotyczy to w szczególności sektora publicznego oraz organizacji objętych regulacjami. Kluczowe staje się potwierdzenie, kto faktycznie kontroluje dane i jakie przepisy prawne mogą mieć do nich zastosowanie.

W praktyce oznacza to potrzebę uzyskania jasnych odpowiedzi na pytania o wpływ dostawcy i podmiotów powiązanych na dane, możliwość ich ujawnienia podmiotom spoza UE, strukturę właścicielską, sposób zarządzania infrastrukturą oraz potencjalne zależności prawne poza Europejskim Obszarem Gospodarczym.

• „Kto ma realny wpływ na dane?”
• „Czy ktokolwiek spoza UE może zażądać ich ujawnienia?”
• „Jaka jest struktura właścicielska dostawcy?”
• „Czy dostawca sam kontroluje centra danych, czy je wynajmuje?”
• „Czy w łańcuchu zależności znajduje się podmiot objęty prawem spoza EOG?”

Dostawcy chmury, którzy chcą pozostać konkurencyjni na rynku europejskim, muszą być przygotowani na przedstawienie tych informacji w sposób rzetelny, udokumentowany i możliwy do zweryfikowania.

Dlaczego SOV-1 i SOV-2 zaczynają decydować o przyszłości rynku chmurowego

Przez wiele lat decyzje dotyczące wyboru chmury opierały się głównie na technologii i cenie. Firmy porównywały funkcje, wydajność i koszty, traktując chmurę jak narzędzie optymalizacji operacyjnej. Dziś jednak na pierwszy plan wysuwa się zupełnie nowy czynnik: zaufanie regulacyjne i jurysdykcyjne. To ono w coraz większym stopniu decyduje o tym, która oferta przetrwa proces przetargowy, a która zostanie odrzucona.

W praktyce w przetargach UE pytania wynikające z obszarów SOV-1 i SOV-2 mogą odpowiadać nawet za 20–40% całkowitej oceny oferty. Coraz częściej zdarza się, że dostawcy spoza Unii Europejskiej przegrywają nie dlatego, że ich technologia jest mniej wydajna czy mniej innowacyjna, lecz dlatego, że nie są w stanie spełnić wymogów dotyczących rzeczywistej kontroli danych i ich jurysdykcji.

Rynek chmurowy przechodzi dziś transformację porównywalną z rewolucją, którą dekadę temu przeszła energetyka. Wówczas liczyła się przede wszystkim wydajność i koszt produkcji; dziś kluczowa staje się niezależność i stabilność strategiczna.

Fundamenty zaufania

W coraz bardziej złożonym środowisku regulacyjnym i prawnym sposób zarządzania chmurą oraz obowiązujące jurysdykcje mają bezpośredni wpływ na poziom kontroli nad danymi. W takich warunkach kwestie governance i jurysdykcji przestają być elementem drugoplanowym i stają się podstawą oceny bezpieczeństwa oraz suwerenności cyfrowej.

Jeżeli organizacja nie ma pełnej przejrzystości co do tego, kto faktycznie sprawuje kontrolę nad jej danymi, nawet najbardziej zaawansowane rozwiązania technologiczne nie zapewnią realnej niezależności ani odporności operacyjnej. Dlatego obszary SOV-1 i SOV-2 są traktowane jako pierwszy i kluczowy etap oceny suwerenności chmurowej. To na nich opierają się kolejne warstwy wymagań, obejmujące bezpieczeństwo kryptograficzne, zarządzanie operacjami oraz cały łańcuch dostaw.

Ostatnie wpisy

• 

  news | technologia

  Kick-off: Suwerenność chmurowa w przetargach UE. O co chodzi z SOV i SEAL.

• 

  news | technologia

  Postęp Prac w Projekcie Next Gen Cloud – Zadanie 1

• 

  news | technologia

  Next Gen Cloud przyspiesza – bezpieczeństwo, skalowalność i technologia made in EU  

Może zainteresują Cię także…

• 

  usługi

  Jak wdrożyć DevOps i nie zrazić do siebie ludzi?

  4 lipca 202214 listopada 2022
• 

  usługi

  4 korzyści z Managed Kubernetes przy migracji do mikroserwisów

  28 lutego 202114 listopada 2022
• 

  usługi | webinary

  Webinar: Rozwiązania chmurowe dla Urzędów

  28 stycznia 202214 listopada 2022