{"id":62441,"date":"2021-03-22T23:15:57","date_gmt":"2021-03-22T22:15:57","guid":{"rendered":"https:\/\/blog.wedos.cz\/?p=62441"},"modified":"2021-03-29T22:52:59","modified_gmt":"2021-03-29T20:52:59","slug":"ziskali-jsme-dve-dulezite-cloudove-certifikace-iso-27017-a-iso-27018","status":"publish","type":"post","link":"https:\/\/blog.wedos.com\/cs\/ziskali-jsme-dve-dulezite-cloudove-certifikace-iso-27017-a-iso-27018","title":{"rendered":"Z\u00edskali jsme dv\u011b d\u016fle\u017eit\u00e9 cloudov\u00e9 certifikace ISO 27017 a ISO 27018"},"content":{"rendered":"

Na spu\u0161t\u011bn\u00ed slu\u017eby WEDOS Cloud<\/a> jsme se dlouhou dobu p\u0159ipravovali. Prob\u00edhal nejen v\u00fdvoj software a rozs\u00e1hl\u00e9 testov\u00e1n\u00ed hardware, ale tak\u00e9 jsme se v\u011bnovali ot\u00e1zk\u00e1m pr\u00e1vn\u00edm, bezpe\u010dnostn\u00edm a jak to v\u0161e zakomponovat do sou\u010dasn\u00e9ho sv\u011bta.<\/p>\n

Kdy\u017e u\u017e jsme tomu v\u011bnovali tolik \u010dasu, tak n\u00e1s napadlo, \u017ee by st\u00e1lo za to m\u00edt i n\u011bjak\u00e9 nez\u00e1visl\u00e9 potvrzen\u00ed, a tak jsme za\u010dali pracovat na z\u00edsk\u00e1n\u00ed certifikac\u00ed ISO 27017 a ISO 27018, kter\u00e9 jsem 16.03.2021 \u00fasp\u011b\u0161n\u011b z\u00edskali.<\/p>\n

<\/p>\n

Bezpe\u010dnost dat je obchodn\u00ed i politickou  prioritou<\/h3>\n

\u017dijeme v \u010cesk\u00e9 Republice, kter\u00e1 je sou\u010d\u00e1st\u00ed Evropsk\u00e9 Unie a tlak na bezpe\u010dnost a ochranu osobn\u00edch \u00fadaj\u016f je zde velk\u00fd. Na\u0161\u00edm c\u00edlem je nab\u00eddnout v\u00e1m takov\u00e9 slu\u017eby, u kter\u00fdch si s t\u011bmito ot\u00e1zkami nebudete muset d\u011blat starosti dnes ani v n\u00e1sleduj\u00edc\u00edch letech, kdy n\u00e1roky na ochranu osobn\u00edch \u00fadaj\u016f budou d\u00e1le stoupat.<\/p>\n

Mnoho na\u0161ich konkurent\u016f se nap\u0159\u00edklad ke GDPR postavilo zna\u010dn\u011b laxn\u011b. My jsme se t\u00e9matu GDPR u\u017e od za\u010d\u00e1tku v\u011bnovali opravdu intenzivn\u011b<\/a> a konzultovali v\u0161e s \u00fa\u0159ady a pr\u00e1vn\u00edky. V\u00fdsledkem pro z\u00e1kazn\u00edka je nap\u0159\u00edklad evidence zpracovatelsk\u00fdch smluv ke ka\u017ed\u00e9 jednotliv\u00e9 slu\u017eb\u011b, v\u010detn\u011b v\u0161ech reviz\u00ed, kter\u00e9 si mohou z\u00e1kazn\u00edci st\u00e1hnout. Syst\u00e9m a texty byly od spu\u0161t\u011bn\u00ed upravov\u00e1ny tak, aby odpov\u00eddaly po\u017eadavk\u016fm nejen u n\u00e1s, ale i v zahrani\u010d\u00ed. To je tak\u00e9 jeden z d\u016fvod\u016f, pro\u010d jsou dokumenty pro GDPR prozat\u00edm pouze v \u010de\u0161tin\u011b.<\/p>\n

GDPR je ale jen \u0161pi\u010dka ledovce, kter\u00e1 rozv\u00ed\u0159ila t\u00e9ma ochrany osobn\u00edch \u00fadaj\u016f a p\u0159ipravenost firem na r\u016fzn\u00e1 bezpe\u010dnostn\u00ed a pr\u00e1vn\u00ed \u00faskal\u00ed. Mnoho z\u00e1kazn\u00edk\u016f ne\u017e si n\u00e1s vybere, tak sleduje, zdali dodr\u017eujeme to, co n\u00e1m na\u0159izuje z\u00e1kon (nap\u0159\u00edklad v\u0161echny listiny publikujeme na jutice.cz), hledaj\u00ed re\u00e1ln\u00e9 reference anebo zdali u n\u00e1s prob\u00edhaj\u00ed r\u016fzn\u00e9 audity. Zat\u00edm jsme v\u0161\u00edm \u00fasp\u011b\u0161n\u011b pro\u0161li a z\u00edskali hodn\u011b zku\u0161enost\u00ed, co z\u00e1kazn\u00edci cht\u011bj\u00ed. I kdy\u017e n\u011bkdy mus\u00edme t\u0159eba vysv\u011btlovat, jak tak „mal\u00e1“ firma s m\u00e9n\u011b jak 50 zam\u011bstnanci, dok\u00e1\u017ee b\u00fdt dlouhodob\u011b jedni\u010dkou na \u010desk\u00e9m trhu.<\/p>\n

GDPR bylo hodn\u011b o firemn\u00edch procesech a postupech. Z na\u0161\u00ed strany jsme toho moc m\u011bnit nemuseli a to d\u00edky p\u0159\u00edsn\u00fdm podm\u00ednk\u00e1m, kter\u00e9 jsme si nastavili podle mezin\u00e1rodn\u00edch norem ISO 9001 (syst\u00e9m managementu kvality), ISO 14001 (syst\u00e9m environment\u00e1ln\u00edho managementu) a zejm\u00e9na ISO 27001 (syst\u00e9m managementu bezpe\u010dnosti informac\u00ed).<\/p>\n

ISO certifikace dr\u017e\u00edme a obnovujeme od roku 2011 (resp. 2013 pro ISO 27001), hlavn\u011b kv\u016fli z\u00e1kazn\u00edk\u016fm. Jsou z\u00e1rukou, \u017ee to co p\u00ed\u0161eme, nejsou jen pr\u00e1zdn\u00e1 slova, ale opravdu db\u00e1me na kvalitu a bezpe\u010dnost slu\u017eeb. V\u0161e je zaru\u010deno nez\u00e1visl\u00fdm auditem, kter\u00fd prob\u00edh\u00e1 ka\u017ed\u00fd rok jako dozorov\u00fd audit  a jednou za 3 roky pak rozs\u00e1hlej\u0161\u00ed recertifikace. \u017de m\u00e1me v\u0161e v po\u0159\u00e1dku a jsme zdrav\u00e1 spole\u010dnost dok\u00e1zal i n\u00e1ro\u010dn\u00fd akredita\u010dn\u00ed proces ICANN<\/a>.<\/p>\n

V\u011bt\u0161in\u011b z\u00e1kazn\u00edk\u016f tohle, spole\u010dn\u011b s re\u00e1ln\u00fdmi fotkami na\u0161ich datacenter, kancel\u00e1\u0159\u00ed a hardware sta\u010d\u00ed. Nicm\u00e9n\u011b u slu\u017eby WEDOS Cloud jsme opakovan\u011b narazili na po\u017eadavek ISO 27017 – Kontrola zabezpe\u010den\u00ed cloudov\u00fdch slu\u017eeb.<\/p>\n

ISO 27017 – Kontrola zabezpe\u010den\u00ed cloudov\u00fdch slu\u017eeb<\/h3>\n

ISO\/IEC 27017 je relativn\u011b nov\u00fd n\u00e1rodn\u00ed standard, kter\u00fd byl p\u0159ijat v prosinci 2015. Cel\u00fd n\u00e1zev je Code of practice for information security controls based on ISO\/IEC 27002 for cloud services<\/em> neboli Kodex praxe pro \u0159\u00edzen\u00ed bezpe\u010dnosti informac\u00ed odvozen\u00fd od ISO\/IEC 27002 pro cloudov\u00e9 slu\u017eby<\/em>.<\/p>\n

Roz\u0161i\u0159uje tedy ISO 27002 a implementuje pokyny vztahuj\u00edc\u00ed se konkretn\u011b ke cloudov\u00fdm slu\u017eb\u00e1m a z\u00e1kazn\u00edk\u016fm t\u011bchto slu\u017eeb. ISO 27002 je ur\u010deno pro provozovatele, kte\u0159\u00ed se staraj\u00ed o z\u00e1zem\u00ed (hardware, software, podpora) pro zpracov\u00e1n\u00ed dat.<\/p>\n

My jsme zvolili ISO 27001, proto\u017ee pro provoz slu\u017eeb jako je n\u00e1\u0161 sd\u00edlen\u00fd webhosting NoLimit, WMS, mailservery anebo i evidenci kontakt\u016f v administraci je pro n\u00e1s ide\u00e1ln\u00ed ISO 27001, proto\u017ee zde p\u0159ich\u00e1z\u00edme do kontaktu s daty z\u00e1kazn\u00edk\u016f a mus\u00edme se postarat o jejich bezpe\u010dn\u00fd provoz.<\/p>\n

Co obn\u00e1\u0161\u00ed ISO 27017 oproti ISO 27001 nav\u00edc<\/h4>\n

Do na\u0161ich intern\u00edch proces\u016f jsme museli zapracovat konkr\u00e9tn\u00ed postupy a odpov\u011bdn\u00e9 osoby pro:<\/p>\n