Strona główna Systemy Zintegrowane HONEYWELL: MAXPRO® Cloud – ochrona danych w chmurze

HONEYWELL: MAXPRO® Cloud – ochrona danych w chmurze

Michał Mielczarek
Honeywell Security

MAXPRO® Cloud firmy Honeywell jest rozwiązaniem umożliwiającym użytkownikom końcowym podłączenie systemów sygnalizacji włamania i napadu, kontroli dostępu i telewizji dozorowej lub kombinacji tych systemów do chmury. Od chwili, gdy Honeywell dostarcza hosting dla MAXPRO Cloud i przechowuje dane personalne za zgodą użytkowników końcowych, automatycznie staje się podmiotem przetwarzającym dane (Data Processor). Firma Honeywell traktuje temat danych personalnych w usłudze MAXPRO Cloud bardzo poważnie. Dzięki temu jest w stanie zagwarantować, iż przepisy o ochronie danych osobowych mają tutaj zastosowanie. W artykule zostaną opisane najważniejsze zadania stawiane przed dostawcą zintegrowanych rozwiązań w chmurze.

Prywatność poprzez odpowiednie zaprojektowanie usługi (Privacy by design)
W rozwiązaniach systemów bezpieczeństwa IT (opartych na sieciach) przetwarzających dane osobowe stosuje się wiele różnych technik ochrony tych danych. Wśród nich najbardziej rekomendowane do używania są pseudonymizacja (nadawanie priorytetów) oraz anonimizacja (zachowanie anonimowości). Zastosowanie tych technik pozwala znacząco zmniejszyć ryzyko dostępności do danych.

W przypadku rozwiązań firmy Honeywell anonimizacja, maskowanie, rozmazanie czy pikselizacja twarzy osób zostały zaprojektowane i wdrożone w celu ochrony wizerunku tych osób w systemach monitoringu wizyjnego. Dane osobowe (jak zdefiniowano w RODO) wprowadzone przez użytkownika końcowego są zabezpieczane poprzez anonimizację i maskowane, a następnie zapisywane w chmurze na okres zdefiniowany przez użytkownika. Po tym czasie są usuwane.
Odpowiedzialność za dane wrażliwe
GDPR zapewnia, że osoby fizyczne mają prawo do ochrony swoich danych osobowych i kontroli nad śladami cyfrowymi zostawianych w sieci. Podobnie jak w przypadku każdego systemu wizyjnego, kontroli dostępu lub sygnalizacji włamania, użytkownicy końcowi muszą stosować się do postanowień ustawy, informując swoich pracowników, gości, klientów i inne strony, których to dotyczy, poprzez odpowiednie oznakowanie oraz wcześniejsze powiadomienie i uzyskanie ich zgody, aby upewnić się, że wszystkie zainteresowane osoby są świadome, w jaki sposób systemy zabezpieczeń mogą mieć na nich wpływ, szczególnie gdy materiał wideo jest pobierany w określonym obszarze.
Użytkownik końcowy musi również skonfigurować procedury postępowania z dowolnym rodzajem żądania dostępu i zarządzania nim. Uzyskuje dostęp do chmury Honeywell po zaakceptowaniu i wyrażeniu zgody na warunki prawne, a następnie ma możliwość eksportowania klipów wideo, raportów itp. na indywidualne żądania, tak jak w przypadku rozwiązania innego niż w chmurze. Pomaga to zapewnić łatwą i odpowiednią reakcję na prawo dostępu do żądań.
Gromadzenie danych
GDPR ma znaczący wpływ na sposób, w jaki systemy bezpieczeństwa zbierają, przechowują i zabezpieczają dane osobowe. Wszelkie dane osobowe gromadzone za pomocą systemów dozoru wizyjnego, kontroli dostępu i sygnalizacji włamania powinny być przetwarzane w sposób uczciwy i zgodny z prawem oraz wyłącznie w określonych, jednoznacznych i legalnych celach, nie mogą też być dalej przetwarzane w sposób niezgodny z tymi celami (ograniczenie celu).

Rozwiązanie Honeywell MAXPRO Cloud przechowuje klipy wideo na podstawie alarmów i zdarzeń. Korzystając z odpowiedniej kombinacji harmonogramów zapisu, administrator danych może zminimalizować przetwarzanie i przechowywanie zbędnych danych osobowych i zachować zgodność z zasadą minimalizacji danych.
Podobnie jak w przypadku niektórych systemów kontroli dostępu i sygnalizacji włamania firmy Honeywell, użytkownik końcowy może wprowadzić określone dane, aby spełnić ich potrzeby biznesowe i bezpieczeństwa. Jeśli użytkownik końcowy lub administrator danych zdecydują się wprowadzić dane osobowe do rejestru posiadacza karty, obowiązkiem użytkownika końcowego jest upewnienie się, że ma do tego podstawę prawną (taką jak uzasadniony interes użytkownika końcowego). We wszystkich przypadkach użytkownik końcowy będzie musiał poinformować zainteresowane osoby z wyprzedzeniem o przetwarzaniu ich danych, w tym m.in. o rodzaju przetwarzanych danych i sposobie ich wykorzystania. Muszą mieć pewność, że minimalizują gromadzenie danych i skupiają się na danych, które są wystarczające i istotne dla celu.
Techniczne i organizacyjne środki bezpieczeństwa
Honeywell wdrożył w MAXPRO Cloud zarówno techniczne, jak i organizacyjne środki bezpieczeństwa, aby pomóc użytkownikowi końcowemu w spełnieniu wymogów RODO. Organizacyjne środki bezpieczeństwa obejmują zarządzanie dziennikami, zarządzanie kontami, procedury weryfikacji i zarządzanie dostępem.

Zarządzanie dziennikiem zdarzeń. Dzięki Honeywell MAXPRO Cloud klient może prowadzić rejestr przetwarzania danych i bezpiecznie przechowywać dane w bezpiecznym miejscu, aby zapobiec naruszeniu poufnych informacji. Dostęp do przechowywanych danych jest kontrolowany przez standardowe polityki bezpieczeństwa.

Zarządzanie kontami. Rozwiązania Honeywell Cloud umożliwiają organizacjom wybór użytkownika lub grupy użytkowników, którzy mogą mieć dostęp do różnych profili i zarządzać nimi. W ramach swojego systemu użytkownik końcowy musi zdefiniować odpowiedni poziom dostępu do systemu dla różnych użytkowników lub grup użytkowników. Rozwiązania Honeywell zapewniają różne poziomy uprawnień, aby pomóc w łatwym przyznaniu użytkownikom odpowiedniego poziomu uprawnień do przeglądania, uzyskiwania dostępu, wyszukiwania, eksportowania, usuwania lub wprowadzania poprawek (zgodnie z wymaganiami).

Procedury weryfikacji. Dzięki rozwiązaniom w chmurze Honeywell informacje o kontach użytkowników i hasłach są chronione zgodnie z praktykami branżowymi. Dane powinny być ujawniane wyłącznie na zasadzie „niezbędnej wiedzy”. Rozwiązania Honeywell Cloud chronią dostęp do danych za pośrednictwem dobrze zaprojektowanych systemów kontroli uprawnień. Zarządzający może również pytać i otrzymywać raporty z systemu chmurowego o różnych czynnościach (np. dodawanie poświadczeń) wykonywanych przez użytkowników, aby zapewnić odpowiednie zarządzanie danymi.

Oprócz organizacyjnych środków bezpieczeństwa Honeywell wspiera odpowiednie techniczne środki bezpieczeństwa. Szyfrowanie danych jest jednym z najważniejszych technicznych środków bezpieczeństwa sugerowanych przez RODO. System Honeywell MAXPRO Cloud został zaprojektowany zgodnie z solidną praktyką bezpieczeństwa cybernetycznego oraz standardami uwierzytelniania i szyfrowania. Dane użytkownika są przechowywane w wiodącej chmurze publicznej w branży platformy oraz zabezpieczone certyfikowanym oprogramowaniem przemysłowym i odpowiednimi narzędziami. Dostęp do platformy chmury, pamięć masowa i transmisja wykorzystują najnowsze standardy bezpieczeństwa. Standardy i praktyki bezpieczeństwa są stale aktualizowane, aby sprostać aktualnym wyzwaniom bezpieczeństwa.
Czas przechowywania danych
Rozwiązanie Honeywell MAXPRO Cloud pozwala użytkownikowi końcowemu na wybór czasu przechowywania nagrań wideo, uprawnień, alarmów z kontroli dostępu i systemu alarmowego. Proces jest kontrolowany i może być zmieniany przez użytkownika poprzez wybór odpowiednich pakietów licencyjnych i zdefiniowanie ich w profilach użytkowników. Efektem jest całkowite usunięcie danych z chmury po określonym czasie przechowywania.
MAXPRO® Cloud – przykładowy schemat zastosowania

Na ochronę danych osobowych korzystających z chmury składa się wiele czynników. Są to zarówno zabezpieczenia techniczne, programowe, jak i odpowiednio wdrożone procedury. System MAXPRO Cloud został tak zaprojektowany, aby spełniać wszystkie wymagania stawiane systemom bezpieczeństwa w odniesieniu do rozporządzenia o ochronie danych osobowych.

Honeywell
ul. Domaniewska 39,
02-672 Warszawa
www.security.honeywell.com/ee/