Nowe bastiony bezpieczeństwa danych
Czyli o tym, jak działa niemieckie centrum przetwarzania danych Tier 3 w czasach obowiązywania przepisów RODO i US CLOUD Act
W erze digitalizacji dane urosły do rangi cennego surowca każdego przedsiębiorstwa. W obliczu tego faktu nowe przepisy dotyczące ochrony danych osobowych mają ogromne znaczenie również dla niemieckich przedsiębiorstw, gdyż w kwestiach przetwarzania danych często korzystają one z usług zewnętrznych ośrodków data center. W jaki sposób i gdzie odbywa się przetwarzanie danych w centrach obliczeniowych najnowszej generacji? Jak dane te są chronione przed utratą lub kradzieżą? Odpowiedzi na te pytania z perspektywy eksperta w dziedzinie IT można znaleźć w poniższym artykule. W dalszej części artykuł naświetla również kwestie ustawy US CLOUD Act i związane z tymi regulacjami grożące nam niebezpieczeństwo zza oceanu.
W skład centrum przetwarzania danych wchodzą nowoczesne urządzenia służące do przetwarzania i przechowywania danych. Rozwiązanie to pozwala zaoszczędzić danej firmie koszty związane z rozbudową własnej infrastruktury IT. Planowanie i budowa centrum danych jest bowiem kompleksowym i długotrwałym procesem wymagającym ogromnych nakładów inwestycyjnych. Nikogo nie dziwi więc fakt, że licznym firmom bardziej opłaca się sięgnąć po usługi profesjonalnych operatorów data center. Takim właśnie operatorem jest firma Comarch, która od 2013 r. posiada w Dreźnie własny ośrodek przetwarzania danych spełniający standardy TIA-942 oraz Rated-3/Tier 3.
Zarys poszczególnych szczebli klasyfikacji Tier*
Tier 1- Ograniczona ochrona przed zdarzeniami natury fizycznej
- Brak redundancji
- Dostępność na poziomie 99,671 %
- Maksymalny czas braku dostępności rocznie to 1 729 minut
Tier 2
- Ulepszona ochrona przed zdarzeniami natury fizycznej
- Redundantne komponenty pojemnościowe wraz z jednym torem zasilania bez redundancji
- Częściowa redundancja zasilania i chłodzenia
- Dostępność na poziomie 99,741 %
- Maksymalny czas braku dostępności rocznie to 1 361 minut
Tier 3
- Ochrona przed większością zdarzeń natury fizycznej
- Redundantne komponenty pojemnościowe i kilka niezależnych torów zasilania
- N+1 Tolerancja błędu
- 72-godzinna ochrona przed awarią zasilania
- Dostępność na poziomie 99,982 %
- Maksymalny czas braku dostępności rocznie to 95 minut
Tier 4
- Ochrona przed prawie wszystkimi zdarzeniami natury fizycznej
- Redundantne komponenty pojemnościowe i kilka aktywnych niezależnych torów zasilania
- 2N+1 całkowicie redundantne
- 96-godzinna ochrona przed awarią zasilania
- Dostępność na poziomie 99,995 %
- Maksymalny czas braku dostępności rocznie to 26 minut
W Niemczech przetwarzanie danych odbywa się zgodnie z najbardziej rygorystycznymi europejskimi przepisami odnośnie ochrony danych. Aby wykluczyć sytuację utraty danych w regularnych odstępach czasu sporządzany jest backup, przy czym brane są pod uwagę wszelkie obowiązujące przepisy prawa, best practices, jak również ściśle określone wymogi danego klienta. W obszarze ICT Comarch obsługuje renomowanych klientów jak np. Valeo, Metro, Acco, BP, Schnellecke oraz wiele innych.
Od 2013 r. klienci mogą korzystać z usług informatycznych i rozwiązań chmurowych zlokalizowanych w nowo wybudowanym w Dreźnie ośrodku przetwarzania danych, Comarch Data Center, spełniającym najwyższe wymogi w zakresie dostępności, bezpieczeństwa, wydajności i skalowalności.
Łączna powierzchnia użytkowa umiejscowionych na dwóch kondygnacjach jednostek centrum danych Comarch wynosi 320 m². Każda z nich oferuje miejsce dla ok. 60 szaf serwerowych i ok. 2,5 tys. jednostek długości na potrzeby fizycznych systemów serwerowych. Centrum obliczeniowe w Dreźnie odpowiada standardowi Tier 3 i jest jednym z najbezpieczniejszych ośrodków obliczeniowych w rejonie Drezna i Niemiec Środkowych. Nowoczesne centrum danych to drugi ośrodek obliczeniowy w Niemczech, z którego Comarch oferuje swoje usługi (pierwszy znajduje się w Berlinie). W sumie Comarch dysponuje ponad 15 ośrodkami przetwarzania danych na całym świecie. Najnowsze z nich znaduje się w Lille we Francji.
Aby sprostać wysokim standardom bezpieczeństwa w Drezdeńskim ośrodku zainstalowano dwie stacje transformatorowe oraz jednostki rozdzielcze zapewniające bezawaryjne działanie serwerowni. Na wypadek ewentualnej awarii miejskiej sieci zasilania centrum danych dysponuje układem zasilania awaryjnego (UPS), który daje możliwość utrzymania danego poziomu zasilania przez 15 minut (przy pełnym obciążeniu), co wystarczy, by samoczynnie załączył się generator awaryjny. Ten ważący 9 ton i zainstalowany na dachu nowego budynku agregat diesel gwarantuje, że serwery są w stanie przetrwać bez jakiejkolwiek szkody nawet dłuższe awarie prądu. Fakt, że zbiornik na paliwo ma pojemność 20 tys. litrów i dysponuje zewnętrznym przyłączem sprawia, że centrum danych spełnia w kwestiach zasilania awaryjnego wymogi stawiane poziomowi Tier 4. Aby pomimo dość wysokiej ilości wydzielanego ciepła móc zapewnić w serwerowni niską, równomierną temperaturę zostały zainstalowane cztery zbiorniki do zimnej wody o łącznej pojemności 24 tys. litrów i dwa agregaty wody lodowej, z czego każdy z nich ma moc chłodzenia wynoszącą 550 kW. W mało prawdopodobnym przypadku wystąpienia dymu w obrębie centrum przetwarzania danych zainstalowane czujki dymu są w stanie natychmiast wykryć miejsce zagrożenia i zalać serwerownię nietrującym gazem gaszącym (Inergen), by w ten sposób zapobiec rozprzestrzenieniu się ognia.
Sześć poziomów bezpieczeństwa
W Drezdeńskim centrum danych realizowana jest wielopoziomowa koncepcja bezpieczeństwa zgodnie z międzynarodowymi standardami. Pierwszy poziom skupia się na zapewnieniu bezpieczeństwa fizycznego. Ośrodki przetwarzania danych gwarantujące najwyższy stopień bezpieczeństwa, jakim jest centrum danych Comarch, są monitorowane w trybie 24/7/365. W ich obrębie wydzielone są różne strefy wraz z wyodrębnioną strefą bezpieczeństwa i odpowiednią kontrolą dostępu pracowników do każdej z nich. Poza tym istnieje warstwa bezpieczeństwa ICT oraz ochrona peryferyjna.
Drugim wyznacznikiem bezpieczeństwa jest redundantne źródło zasilania. W tym zakresie centrum danych dysponuje kilkoma źródłami zasilania, tzn. generatorami prądotwórczymi N+1 oraz systemem UPS.
W celu zagwarantowania bezpieczeństwa środowiskowego w pełni klimatyzowane centrum danych zostało podzielone na kilka stref pożarowych. Kompleksowe mechanizmy ochronne zabezpieczają centrum danych przed pożarem i wdarciem się wody do pomieszczeń. System przeciwpożarowy bazuje na gazowej instalacji gaśniczej Inergen i FM-200.
Kolejnym mechanizmem zabezpieczającym jest backup i archiwizacja danych. Dodatkowo centra danych firmy Comarch dysponują najnowocześniejszymi mechanizmami zabezpieczającymi dane przed niepowołanym dostępem. W myśl tej zasady transmisja danych odbywa się za pomocą zaszyfrowanych kanałów, a w obrębie samego centrum obliczeniowego dane zabezpieczane są za pomocą wielokrotnie redundantnej infrastruktury jak np. shared storage lub shared backup.
Pod koniec warto podkreślić ogromnie ważną rolę monitoringu. W przypadku centrum obliczeniowego zlokalizowanego w Dreźnie techniczny monitoring sprawują centra Comarch NOC (Network Operations Center) i SOC (Security Operations Center). Zespół wysoko wykwalifikowanych inżynierów i specjalistów z różnych obszarów IT monitoruje na bieżąco działanie systemów i urządzeń klienckich, obsługuje incydenty zgodnie z najlepszymi praktykami ITIL i jest odpowiedzialny za terminowość i koordynowanie świadczonych usług oraz raportowanie.
Doskonałym uzupełnieniem ww. aspektów jest usługa disaster recovery oferowana w ramach kolejnego poziomu bezpieczeństwa.
Na wszelki wypadek: Disaster Recovery Service
Dodatkową możliwość optymalnego zabezpieczenia danych przed ich utratą stwarza usługa odtwarzania awaryjnego (ang.: disaster recovery). W ramach aktualnie realizowanego projektu jedna z wiodących firm niemieckich zdecydowała się na zakup nowoczesnego rozwiązania Comarch ERP Enterprise do obsługi gospodarki materiałowej, które to w roku 2018 zostało zaimplementowane we wszystkich jej oddziałach w Niemczech. Hosting tego rozwiązania odbywa się w Comarch Data Center w Dreźnie. Poza tym Comarch świadczy również usługi w zakresie serwera poczty i backupu. Jako uzupełnienie tej usługi Comarch stworzył zapasowe środowisko w ośrodku obliczeniowym Comarch Data Center w Berlinie. Na wypadek, gdyby w Drezdeńskim ośrodku obliczeniowym firmy Comarch na skutek zdarzenia losowego miała wystąpić awaria połączenia, infrastruktury lub oprogramowania, następuje ręczne przełączenie do ośrodka w Berlinie, dzięki czemu firma kliencka może kontynuować pracę bez jakichkolwiek przerw. Taka koncepcja daje gwarancję, że w bazie danych nie dojdzie do utraty danych.
Centra danych są zaprojektowane w taki sposób, by spełniać rygorystyczne wymogi dotyczące uzyskania dostępu do informacji i ich bezpieczeństwa. W związku z tym podlegają one licznym kontrolom. Przeprowadzane w regularnych odstępach czasu przez niezależne firmy audytorskie audyty oraz sami klienci korzystający z usług data center dowodzą, że ośrodki obliczeniowe spełniają wszelkie prawne i branżowe standardy (np. Tier wg TIA-942, ISO 27000, ISAE 3402, ITIL v3). Standardy te odnoszą się m. in. do fizycznego bezpieczeństwa (ochrona peryferyjna, warstwa bezpieczeństwa ICT) oraz gwarancja jakości usług (SLA).
RODO & co: Zabezpieczenia fizyczne muszą iść ramię w ramię z ochroną wartości intelektualnych
Fizyczne zabezpieczenie danych to tylko jedna strona medalu – drugą ważną kwestią jest przestrzeganie wszystkich obowiązujących regulacji prawnych, w tym przepisów w zakresie ochrony danych osobowych. Nowelizacja unijnego Rozporządzenia o ochronie danych osobowych (RODO) odnosi się m. in. do zakresu obowiązków i odpowiedzialności związanych z ochroną danych osobowych. To nowe rozporządzenie ma zastosowanie do przedsiębiorstw i inspektorów ochrony danych (ang.: controller), jak również wszelkich podmiotów podlegających dostarczanym przez nie instrukcjom, jak np. dostawcy usług chmurowych.
Z tego względu dla firm korzystających z usług centrum obliczeniowego bardzo ważnym aspektem jest zapewnienie całkowitej przejrzystości procesów zachodzących w przedsiębiorstwie, jak również zawarcie z dostawcą usług chmurowych odpowiednich umów. Wyjaśnić należy m. in. następujące kwestie: Gdzie przechowywane są określone dane, jak można to wykazać oraz w jaki sposób realizowane jest usuwanie danych?
Rozporządzenie RODO nakłada w szczególności następujące wymogi:- Przetwarzanie danych osobowych może odbywać się wyłącznie w ściśle określonym celu i dostęp do tych danych mogą otrzymać wyłącznie osoby odpowiedzialne za realizację tego celu
- Każdą zmianę w danych osobowych należy odpowiednio protokołować
- Należy ograniczyć udostępnianie danych osobowych osobom trzecim
- Należy protokołować udostępnianie danych osobowych (np. w formie eksportu z systemu ERP)
- Należy ograniczyć dostęp do danych osobowych
- Trzeba być w stanie wykazać, jakie dane odnoszące się do danej osoby są przechowywane
- Należy umożliwić usunięcie danych osobowych
Pod pojęciem danych osobowych rozumiane są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Wymienione powyżej wymogi są wiążące dla wszystkich przedsiębiorstw podlegających pod regulacje prawne Unii Europejskiej, nawet w sytuacji, gdy zatrudniają one mniej niż 250 pracowników.
Co kraj to obyczaj, a wraz z tym odmienne rozporządzenia?
Ze względu na lokalizację w Niemczech Comarch Data Center podlega rygorystycznym wymogom prawa niemieckiego i unijnego. Europejskie regulacje w zakresie ochrony danych osobowych oraz odpowiednie prawo krajowe gwarantują jeden z najwyższych stopni bezpieczeństwa danych osobowych na świecie. Nic więc dziwnego, iż użytkownicy końcowi oczekują, aby stopień ten został osiągnięty. Jednakże ośrodki przechowywania danych, których operatorami są firmy spoza Unii Europejskiej, jak np. usługodawcy ze Stanów Zjednoczonych, mogą te regulacje i ustawy naruszać. Zgodnie z RODO wprawdzie wszyscy usługodawcy podlegają pod regulacje unijne, jednak stwierdzenie, czy w lokalizacji znajdującej się za oceanem faktycznie spełniane są obowiązujące wymogi, może okazać się nie lada wyzwaniem. Ze względu na ten fakt zaleca się korzystanie z usług chmurowych oferowanych przez usługodawców europejskich i preferowanie tych, którzy posiadają ośrodek przechowywania danych na terenie UE. Oprócz tego dany operator powinien zostać zobligowany na podstawie umowy do przestrzegania obowiązujących w UE przepisów. Taki zapis umowny jest szczególnie ważny w sytuacji, gdy ośrodek przechowywania danych znajduje się poza terenem Unii Europejskiej. Zwłaszcza w przypadku dostawców pochodzących ze Stanów Zjednoczonych klienci powinni zwrócić uwagę na fakt, że obowiązujące w Stanach Zjednoczonych przepisy CLOUD Act są sprzeczne z obowiązującym na terenie Unii Europejskiej rozporządzeniem RODO. Nazwa amerykańskiej ustawy CLOUD to skrót pochodzący od „Clarifying Lawful Overseas Use of Data“. Od momentu wejścia w życie tej ustawy, w marcu 2018 r., amerykańskie firmy posiadające własne centra obliczeniowe w Niemczech bądź innych krajach podlegających pod jurysdykcję Unii Europejskiej, są mimo wszystko zobligowane do współpracy z amerykańskimi organami ścigania. Europejskie przedsiębiorstwa mogą się przed tym zabezpieczyć tylko poprzez wybór dostawcy usług w zakresie centrum obliczeniowego ze swego rodzimego rynku bądź innego kraju europejskiego.
Czy istnieje możliwość uzyskania certyfikatu RODO?
Pomimo faktu, iż Drezdeńskie centrum obliczeniowe Comarch spełnia wszelkie wymogi prawne, to jednak nie może ono poszczycić się posiadaniem certyfikatu RODO. Spójrzmy jednak prawdzie w oczy – tak naprawdę żadne centrum danych go nie posiada. Stąd do obietnic typu „Nasze centrum danych posiada certyfikat RODO“ powinno podchodzić się z dużym dystansem. Problem polega na tym, iż z momentem wejścia w życie przepisów RODO takie certyfikaty w ogóle jeszcze nie istniały, gdyż instytucje certyfikujące bądź odpowiedzialne organy nadzorcze nie przedłożyły kryteriów certyfikacji dot. ochrony danych osobowych. Obecnie Europejska Rada Ochrony Danych oraz krajowe organy nadzorcze zajmują się wypracowaniem ww. kryteriów.
O Comarch Data Center
Comarch posiada na całym świecie ponad 15 centrów obliczeniowych, z czego 6 zlokalizowanych jest na terenie UE. W samych Niemczech firma Comarch jest właścicielem nowoczesnego centrum danych w Dreźnie, a kolejny ośrodek, spełniający najbardziej rygorystyczne kryteria jakości, wynajmuje od firmy partnerskiej w Berlinie. Od ponad 10 lat firmy klienckie z branży logistycznej, handlowej, towarów konsumpcyjnych, motoryzacyjnej i produkcyjnej korzystają z profesjonalnych usług Comarch Data Center.
Comarchowy ośrodek obliczeniowy w Dreźnie spełnia standardy Tier 3 i jest jednym z najbezpieczniejszych ośrodków przetwarzania danych w Niemczech Środkowych. Drezdeński Comarch Data Center oferuje zarówno produkty chmurowe z rodziny Comarch Cloud, jak i usługi IT.
Łącznie grupa Comarch jest w posiadaniu czterech własnych ośrodków obliczeniowych, zlokalizowanych w Dreźnie, Lille, Warszawie i Krakowie. Dzięki współpracy z firmami partnerskimi oferującymi najwyższej klasy usługi grupa Comarch dysponuje dodatkowo kolejnymi ośrodkami obliczeniowymi usytuowanymi w 12 miastach na całym świecie, w tym m. in. w Berlinie, Luksemburgu, Singapurze, Chicago i Szanghaju.
Każdy z tych ośrodków spełnia najbardziej rygorystyczne wymogi w zakresie bezpieczeństwa i najwyższe standardy techniczne oraz zapewnia klientom bezawaryjne funkcjonowanie niezbędnych do prowadzenia biznesu aplikacji. Comarch Data Center oferuje najwyższą z możliwych dostępność, kompleksowe redundantne poziomy łączności, jak również całodobową obsługę klienta, zasilanie awaryjne UPS oraz najwyższe standardy bezpieczeństwa.
Świadczone przez Comarch usługi data center są doskonałą alternatywą w porównaniu z utrzymywaniem własnego zaplecza informatycznego. Celem usługodawcy jest zapewnienie firmom klienckim ciągłości prowadzonej przez nie działalności gospodarczej oraz możliwości skoncentrowania się na kluczowych procesach. Do tego celu Comarch korzysta z niezawodnych i wydajnych rozwiązań.
Autor: dr Eweliny Szajda-Birnfeld, Comarch