Это утверждение легко подтвердить, и именно в этом заключается смысл данного вопроса. Соответствие требованиям GDPR для прокси-сети подразумевает наличие законного основания в соответствии со статьёй 6, согласие на участие устройства, отвечающее стандарту, установленному в статье 4(11), соглашение об обработке данных, готовое к подписанию, а также раскрытие информации о субподрядчиках. Поставщик, способный предоставить соглашение об обработке данных (DPA) и указать своё правовое основание, соответствует требованиям таким образом, что вы можете это проверить, а надёжный поставщик будет иметь эти документы в готовом виде.
SOC 2 и GDPR: о чём следует спросить у поставщика прокси-серверов для частных пользователей
Вопросы, которые стоит задать поставщику прокси-серверов с домашних адресов, начинаются с одной темы: откуда берется сеть. Сертификаты свидетельствуют о том, что поставщик эффективно осуществляет контроль, и они, безусловно, важны, но наиболее полезно понять, каким образом были получены IP-адреса, поскольку именно на этом основывается всё остальное. Эти вопросы уместно задавать любому партнёру по веб-данным, включая компанию Massive. В данном руководстве приведены эти вопросы в том порядке, в котором их следует задавать, а также указано, как распознать убедительный ответ и, где это уместно, как на них отвечает компания Massive. Это позволит вам отличить прокси-серверы для частных пользователей, действительно соответствующие требованиям GDPR, от тех, кто лишь на словах заявляет о своей соответственности. Уважаемая сеть предоставит на каждый из этих вопросов конкретные ответы.
Если вы отвечаете за выбор поставщика услуг по сбору данных из Интернета или объясняете этот выбор специалистам по информационной безопасности, эта статья предназначена именно для вас. В ней предполагается, что вы знаете, зачем ваша организация собирает общедоступные данные из Интернета, и основное внимание уделяется мерам должной осмотрительности, которые позволяют обеспечить надежность такого сбора и упростить его защиту.
Основные выводы
- Вопрос о выборе поставщиков — это первый вопрос, а не последний. Сертификаты подтверждают, что поставщик обеспечивает соблюдение мер контроля; информация о способах подключения объясняет, каким образом устройства получили доступ к сети. Прежде чем обращать внимание на какие-либо значки, поинтересуйтесь, каким образом устройства подключаются к сети.
- У SOC 2 есть сфера применения и тип, и оба эти аспекта имеют значение. Отчет SOC 2 типа II предусматривает проверку механизмов контроля в течение определенного периода времени; отчет типа I представляет собой однодневную «моментальную картину». Уточните, о каком именно типе отчета идет речь, за какой период он составлен и какие из пяти критериев доверия в нем охватываются.
- Соблюдение требований GDPR подразумевает наличие законного основания и соглашения о защите данных, которое вы можете подписать. В случае прокси-сети ключевым моментом является то, чтобы участие устройств соответствовало критериям согласия и чтобы вы могли заключить соглашение об обработке данных с указанием конкретного перечня субподрядчиков.
- Контрольный журнал является подтверждением прозрачности. Поставщик, способный отследить запрос до источника, давшего согласие, может продемонстрировать результаты своей работы. Это то же самое цепочка отслеживания происхождения Сеть с добровольным участием создана для того, чтобы обеспечивать.
- Надежный партнер с радостью ответит на эти вопросы. Надлежащая проверка предполагает сотрудничество, а не противостояние. Цель заключается в том, чтобы убедиться в прочности фундамента, и сеть, построенная на таком фундаменте, даст однозначный ответ.
Почему вопрос о выборе поставщиков заслуживает внятного ответа
Поставщик прокси-серверов для частного использования занимает важное место в вашей инфраструктуре: ваш трафик проходит через устройства, поставляемые этим поставщиком, поэтому то, как эти устройства подключаются к сети, является частью вашей собственной инфраструктуры. Именно поэтому понимание процесса выбора поставщика является важным и полезным моментом, а не просто формальностью.
Не каждая домашняя сеть построена на основе согласия, и именно поэтому вопрос об источнике данных заслуживает конкретного ответа, а не простого определения. Хорошая новость заключается в том, что сеть, основанная на согласии, упрощает этот процесс: она может указать механизм, через который пользователи дали свое согласие, сослаться на сертификаты, охватывающие каждую часть цепочки, и описать аудиторский след, связывающий запрос с устройством, давшим согласие. Задавая приведенные ниже вопросы, вы просто убеждаетесь в наличии этой основы, и именно такую тщательность ожидает и ценит надежный партнёр.
Вопросы, которые следует задать, в порядке их следования
Работайте с этими четырьмя группами последовательно. Группа по поиску поставщиков специально расположена первой, поскольку она является основой, на которой строится вся остальная работа.
Группа 1: Поиск поставщиков и получение согласия
Именно эта группа имеет наибольшее значение, и именно с неё стоит начинать.
- Как IP-адреса попадают в вашу сеть? Вам нужен конкретный механизм, открытый SDK и пользователи, дающие согласие на обмен ценностями.
- Что получил владелец устройства в обмен и было ли ему разъяснено, на что он соглашается? Действительное согласие в соответствии с Статья 4(11) Общего регламента по защите данных (GDPR) дается добровольно, является конкретным, осознанным и однозначным. Именно подлинный обмен ценностями делает его истинным.
- Может ли пользователь отказаться от участия, и что произойдет в этом случае? Статья 7(3) Общего регламента по защите данных (GDPR) предусматривает, что отзыв согласия должен быть столь же простым, как и его предоставление. Четкий ответ свидетельствует о надлежащей модели работы.
- Можно ли отследить конкретный запрос до устройства-источника, давшего согласие? Речь идет о вопросе, касающемся журнала аудита, и ответ «да» с соответствующим пояснением является самым убедительным сигналом, который может дать поставщик.
Группа 2: Сертификаты и их содержание
А теперь о значках — в том контексте, который придает им значение.
- Имеете ли вы сертификат SOC 2, и к какому типу он относится — I или II? Проверка типа II позволяет установить, действовали ли контрольные механизмы эффективно в течение определенного периода времени, в соответствии с Критерии AICPA в отношении трастовых услуг (Безопасность, доступность, целостность обработки, конфиденциальность, неприкосновенность частной жизни). Запросите отчет на условиях соглашения о неразглашении (NDA) и уточните период и критерии, включенные в сферу охвата.
- Есть ли у вас сертификат, подтверждающий саму процедуру регистрации приложения? AppEsteem проверяет приложения на соответствие требованиям, касающимся отдельного информированного согласия, раскрытия информации о входящих в состав приложения компонентах и полного удаления. В случае сети, использующей SDK, это служит прямым доказательством момента получения согласия.
- Имеете ли вы сертификат ISO/IEC 27001? Соответствующим является контрольный механизм A.5.19, касающийся взаимоотношений с поставщиками, а получение сертификата свидетельствует о наличии упорядоченной программы обеспечения безопасности.
Группа 3: Работа с данными и правовые вопросы
Документация, которая упрощает оформление усыновления.
- Собираетесь ли вы подписать соглашение об обработке данных, и каково ваше правовое основание в соответствии со статьёй 6 Общего регламента по защите данных (GDPR)? Вы хотите заключить соглашение о передаче данных (DPA), и поставщик должен быть в состоянии указать правовые основания для сбора данных.
- Кто является вашими субподрядчиками по обработке данных и каким образом нас уведомляют об изменениях? Статья 28 Общего регламента по защите данных (GDPR) регулирует гарантии, предоставляемые обработчиком данных, а также раскрытие информации о субподрядчиках. Наилучшим решением является составление конкретного перечня.
- Каковы ваши обязательства в отношении сроков хранения данных и уведомления о случаях утечки данных? Вам нужны четко определенные сроки хранения данных и график уведомлений, с учетом которых вы сможете планировать свою работу.
Группа 4: Оперативная деятельность и вспомогательные службы
Вопросы, которые будут интересовать службу безопасности после подписания договора.
- Каков ваш порядок действий при реагировании на инциденты и как нам связаться с сотрудником в такой ситуации? Для корпоративного заказчика канал прямой поддержки предпочтительнее, чем ожидание в очереди на обработку заявки.
- Как вы обеспечиваете исправную работу и мониторинг своей сети? Поставщик, который активно поддерживает свой пул, заботится о фундаменте, на который вы полагаетесь.
Как выглядит убедительный ответ: как «Massive» отвечает на каждый вопрос
Цель этих вопросов — получить конкретные сведения. Чтобы прояснить это, приведем пример того, как на них отвечает сильная сеть, взяв в качестве наглядного примера нашу собственную сеть. Рассматривайте это как образец хорошего ответа, а не как сценарий, который нужно повторять слово в слово.
Следует обратить внимание на конкретность ответов: надежный поставщик предоставляет ответы в виде описаний механизмов и соответствующих документов. Именно это позволяет ускорить процесс проверки, поскольку ответы уже готовы.
Анкета для поставщиков, которую можно использовать повторно
Включите эти десять вопросов непосредственно в ваш следующий анализ партнера по веб-данным. Их уместно задать любому, в том числе и нам:
- Опишите, как именно IP-адрес становится частью вашей сети.
- Что получает владелец устройства за участие и каким образом ему сообщается об этом?
- Как пользователь может выйти из системы и каковы последствия выхода?
- Можно ли отследить конкретный исходящий запрос до устройства-источника, давшего согласие? Опишите журнал аудита.
- Предоставьте отчет по стандарту SOC 2. Укажите его тип, отчетный период и критерии, включенные в сферу охвата.
- Какой сертификат регулирует вопросы получения согласия и раскрытия информации при регистрации приложения?
- Укажите правовое основание в соответствии с GDPR для привлечения персонала и подтвердите, что вы подпишете соглашение о обработке данных (DPA).
- Укажите ваших субподрядчиков по обработке данных и порядок уведомления об изменениях.
- Укажите сроки хранения данных и сроки уведомления о случаях утечки информации.
- Опишите ваш процесс реагирования на инциденты, а также каналы поддержки, доступные во время инцидента.
Партнер, который даёт конкретные ответы на все десять вопросов, — это тот, с кем вы можете смело наладить сотрудничество. Основа того, что делает сеть прокси-серверов, работающих в соответствии с этическими нормами Принцип «этичного происхождения» раскрывает вам контекст, лежащий в основе каждого вопроса.
Итог
Качественная оценка поставщика прокси-услуг, по сути, сводится к подтверждению наличия прочной основы, и начинается она с одного вопроса: каким образом были получены согласия владельцев IP-адресов. Сертификаты, соглашения о защите данных (DPA) и анкеты призваны подкрепить ответ документальными доказательствами, и у авторитетной сети такие доказательства всегда находятся под рукой. Поинтересуйтесь механизмом работы, сферой действия сертификатов и аудиторским следом, а также обратите внимание на конкретные детали.
Поставщики, с которыми стоит сотрудничать, будут рады ответить на эти вопросы, поскольку сеть, созданная на основе открытого добровольного участия, прошедшая аудит SOC 2 Типа I, соответствующая требованиям GDPR, имеющая сертификат AppEsteem и обеспечивающая полный аудиторский след от источника до запроса, создана именно для того, чтобы дать на них ответы. Чтобы узнать о механизме, лежащем в основе этой модели, ознакомьтесь с Как на самом деле работает прокси-сеть с добровольным подключением, и вы можете увидеть, как одна из сетей документирует свою политику обеспечения соответствия требованиям на сайте Massive.
Часто задаваемые вопросы
Тип I описывает меры контроля поставщика на определенный момент времени; Тип II проверяет, эффективно ли эти меры контроля функционировали в течение определенного периода, обычно от 3 до 12 месяцев. Отчет Типа II имеет наибольший вес в ходе проверки, поскольку отражает устойчивость функционирования. Уточните, какой тип отчёта, какой отчётный период и какие из пяти критериев доверия входят в сферу охвата.
Обратите внимание на сертификат SOC 2 Type II, подтверждающий наличие операционных контрольных механизмов, соответствие требованиям GDPR с возможностью подписания соглашения о защите данных (DPA) для обеспечения правовых оснований и получения согласия, а также сертификацию, охватывающую процесс регистрации приложений, например AppEsteem, для фиксации момента получения согласия. Наличие сертификата ISO/IEC 27001 является весомым дополнительным подтверждением. Данный набор сертификатов имеет большое значение, поскольку каждый из них охватывает отдельный аспект: регистрацию, правовые основания и операционную деятельность. В совокупности они свидетельствуют о наличии надежной системы безопасности.
Это обеспечивает вам подтверждаемую прозрачность. Поставщик, способный отследить запрос вплоть до исходного устройства, давшего согласие, может не просто утверждать, а фактически доказать, что его поставщики дали на это согласие. Именно это и является практическим доказательством, лежащим в основе заявления о происхождении данных, и именно такой ответ упрощает проведение проверки безопасности. Когда поставщик может подробно продемонстрировать вам эту цепочку, вы можете с уверенностью внедрить данную сеть.
