Jak czytać umowy chmurowe by nie narazić firmy na wyciek danych

Przez
Kamil Krawczyk
-
0
12
Rate this post

Nawigacja:

Od czego zacząć: kontekst biznesowy i ryzyko danych w chmurze

Jakie dane naprawdę trafią do chmury

Punkt wyjścia to lista danych, które mają być przetwarzane w chmurze. Nie „teoretycznie”, ale faktycznie – z nazwą systemu, typem danych i właścicielem biznesowym.

Najczęściej pojawiają się:

  • Dane osobowe – pracownicy, klienci, kandydaci, użytkownicy aplikacji. Tu wchodzi RODO i obowiązki administratora/podmiotu przetwarzającego.
  • Dane finansowe – księgowość, faktury, raporty, rozliczenia, dane kart (czasem pośrednio, np. maskowane). Dochodzą regulacje branżowe, np. dla sektora finansowego.
  • Własność intelektualna (IP) – kody źródłowe, projekty produktów, dokumentacja techniczna, algorytmy, plany rozwoju.
  • Dane operacyjne i logi – logi systemowe, dzienniki zdarzeń, telemetria, dane z monitoringu wydajności.

Przed lekturą umowy na usługi chmurowe warto spisać, które kategorie danych będą tam trafiać i jaką mają wartość biznesową. Inaczej czyta się umowę dla niekrytycznego narzędzia marketingowego, inaczej dla systemu kadrowo‑płacowego.

Prosty podział ryzyka: dostępność, poufność, integralność, zgodność

Dla każdego planowanego systemu w chmurze da się w kilku zdaniach opisać, co będzie największym problemem w razie incydentu:

  • Dostępność – ile godzin/dni system może nie działać, zanim firma poniesie realne straty (finansowe, wizerunkowe, regulacyjne).
  • Poufność – jak groźny będzie wyciek danych: kary, odszkodowania, ujawnienie tajemnic, utrata przewagi konkurencyjnej.
  • Integralność – co się stanie, jeśli dane zostaną zmodyfikowane po cichu, bez wycieku (błędne raporty, zła analiza, fałszywe faktury).
  • Zgodność regulacyjna – jakie przepisy mają zastosowanie: RODO, prawo pracy, przepisy sektorowe, wytyczne KNF/URPL/UODO itp.

Taki prosty profil ryzyka pozwala szybko ocenić, które paragrafy umowy są „must have”, a gdzie można dopuścić kompromisy. Dostawca będzie chronił siebie – ktoś musi chronić interesy twojej firmy i jej danych.

Regulamin usługi vs umowa B2B i DPA

Przy rozwiązaniach chmurowych często dostajesz kilka dokumentów naraz. Typowy zestaw to:

  • Regulamin usługi / Terms of Service – ogólne warunki, często pisane pod klienta indywidualnego i mały biznes, aktualizowane jednostronnie przez dostawcę.
  • Umowa B2B / główna umowa ramowa – dokument, który reguluje relacje biznesowe, płatności, SLA, odpowiedzialność, obowiązki stron.
  • Umowa powierzenia przetwarzania danych (DPA) – wymagana przez RODO, gdy dostawca przetwarza dane osobowe w imieniu klienta.
  • Aneksy techniczne i polityki – opis zabezpieczeń, lokalizacji centrów danych, listy podwykonawców, polityka prywatności, polityka backupu.

PDF z cennikiem i SLA to za mało, by bezpiecznie przetwarzać dane w chmurze. Do akceptacji (choćby mailowej) trzeba mieć spójny zestaw dokumentów. Jeżeli dostawca proponuje tylko regulamin online, bez DPA – w przypadku danych osobowych jest to sygnał ostrzegawczy.

Co przygotować przed lekturą umowy

Umowa chmurowa jest ostatnim etapem, nie pierwszym. Zanim zaczniesz ją analizować, dobrze mieć:

  • Własne minimum wymagań bezpieczeństwa – nawet w prostej formie: lista 15–20 wymogów (np. szyfrowanie, MFA, określona lokalizacja, logi, prawo audytu).
  • Politykę backupu i odzyskiwania danych – jak często dane mają być kopiowane, gdzie, jak szybko musisz je odzyskać po awarii, ile danych możesz utracić (RPO, RTO – choćby w formie opisowej).
  • Wymogi prawne – czy wchodzą wytyczne sektorowe, szczególne przepisy lokalne, wytyczne grupy kapitałowej.
  • Role i odpowiedzialności po swojej stronie – kto odpowiada za konfigurację bezpieczeństwa po waszej stronie, za zarządzanie kontami użytkowników, za reagowanie na alerty.

Dopiero na tle własnych wymagań możesz świadomie ocenić, czy umowa na usługi chmurowe jest wystarczająca, czy wymaga negocjacji lub zmiany dostawcy.

Rodzaj usługi chmurowej a treść umowy (IaaS, PaaS, SaaS)

Jak model IaaS/PaaS/SaaS zmienia rozkład obowiązków

Rodzaj usługi chmurowej wpływa na to, za co realnie odpowiada dostawca, a za co odpowiadasz ty. Ten podział musi być jasno widoczny w umowie.

  • IaaS (Infrastructure as a Service) – dostawca daje serwery, sieć, storage. Po twojej stronie jest system operacyjny, aplikacje, konfiguracja zabezpieczeń, zarządzanie użytkownikami.
  • PaaS (Platform as a Service) – dostawca zarządza infrastrukturą i platformą (bazy danych, środowisko aplikacyjne). Ty odpowiadasz za logikę biznesową, dane, uprawnienia użytkowników końcowych.
  • SaaS (Software as a Service) – dostawca odpowiada za aplikację i jej bezpieczeństwo techniczne. Twój zakres to konfiguracja, nadawanie ról, procesy biznesowe, polityka haseł w organizacji, wybór danych, które wprowadzasz.

Im „wyżej” w modelu (bliżej SaaS), tym bardziej interesuje cię bezpieczeństwo aplikacji i danych, a mniej szczegółów o infrastrukturze. Umowa powinna to odzwierciedlać.

Macierz shared responsibility w umowie, a nie tylko w marketingu

Duzi dostawcy chmury mają ładne diagramy „shared responsibility model”. Problem w tym, że te grafiki często nie są częścią umowy. Liczy się to, co jest w paragrafach, nie w prezentacji sprzedażowej.

Dobra umowa lub załącznik techniczny powinny jasno wskazywać:

  • za jakie warstwy bezpieczeństwa technicznego odpowiada dostawca (fizyczne zabezpieczenia centrów danych, sieć, hipernadzorca, aktualizacje sprzętu),
  • za co odpowiadasz ty jako klient (konfiguracja zabezpieczeń, zarządzanie tożsamościami, polityka haseł, segmentacja danych, własny backup, jeśli wymagany),
  • gdzie odpowiedzialności się stykają – np. backup w modelu SaaS (czy to dostawca ma robić, czy musisz kupić dodatkową usługę backupu).

Jeśli dostawca pokazuje ładny diagram shared responsibility, ale w umowie nie ma żadnego odwołania do tej macierzy, praktyczne znaczenie takiego modelu jest bliskie zeru.

Poziom szczegółowości zapisów: infrastruktura vs gotowa aplikacja

Dla IaaS i PaaS zwykle potrzebnych jest więcej zapisów technicznych: segmentacja sieci, ochrona przed DDoS, mechanizmy backupu na poziomie blokowym, wersjonowanie obiektów. Dla SaaS – więcej o zarządzaniu kontami, uprawnieniami, rolami administracyjnymi i logami aktywności użytkowników.

Jeżeli dostawca SaaS odsyła do „ogólnych standardów bezpieczeństwa infrastruktury chmurowej”, a nie mówi nic o:

  • logach użytkowników,
  • konfiguracji haseł, SSO, MFA,
  • ograniczeniu dostępu administratorów dostawcy,
  • segregacji danych między klientami (multi‑tenancy),

to taka umowa jest w praktyce niepełna. Z drugiej strony, przy IaaS nie ma sensu oczekiwać szczegółowego opisu mechanizmów wirtualizacji – ważniejsze jest zobowiązanie do utrzymania poziomu zabezpieczeń nie gorszego niż opisany w aktualnych certyfikacjach.

Przykład: hosting maszyn wirtualnych vs CRM SaaS

Przy IaaS (maszyny wirtualne) kluczowe punkty umowy to m.in.:

  • dostępność centrum danych i sieci,
  • mechanizmy kopii zapasowych na poziomie bloków/dysków,
  • izolacja między tenantami (inne maszyny wirtualne),
  • możliwość szyfrowania wolumenów i zarządzania kluczami,
  • prawo do samodzielnego zarządzania firewallami, siecią wirtualną, VPN.

Przy CRM w modelu SaaS kluczowe będą inne elementy:

  • zarządzanie kontami i rolami – czy da się ustawić minimalne uprawnienia,
  • logi działań użytkowników (kto, kiedy, do jakich danych zaglądał),
  • mechanizmy anonimizacji/pseudonimizacji danych,
  • eksport danych w ustrukturyzowanej formie (na wypadek zmiany dostawcy),
  • polityka backupu danych aplikacyjnych (częstotliwość, retencja, proces przywracania).

Treść umowy powinna odpowiadać modelowi usługi. Gdy umowa dla CRM SaaS wygląda jak przerobiony regulamin hostingu serwera, to zwykle oznacza, że kwestie bezpieczeństwa danych nie zostały przemyślane.

Kluczowe pojęcia w umowach chmurowych, które decydują o bezpieczeństwie

„Dane klienta”, „dane osobowe”, „metadane”, „logi systemowe”

To, jak zdefiniowane są dane, determinuje, co dostawca może z nimi zrobić. Trzeba czytać definicje z pierwszych paragrafów umowy i DPA.

Najważniejsze pojęcia:

  • Dane klienta – wszystkie informacje wprowadzone, generowane lub przechowywane w ramach usługi przez klienta. Dobrze, jeśli obejmują też kopie zapasowe, logi powiązane z kontami użytkowników oraz dane pochodne, które jednoznacznie da się przypisać do klienta.
  • Dane osobowe – w rozumieniu RODO. Umowa powinna wyraźnie podkreślać, że dostawca przetwarza je wyłącznie na udokumentowane polecenie administratora.
  • Metadane – np. dane o użyciu usługi, statystyki wydajności, informacje o konfiguracji. Problem zaczyna się tam, gdzie metadane mogą ujawniać tajemnice handlowe lub pozwalać na profilowanie.
  • Logi systemowe – zapisy aktywności technicznej. W umowach bywają wyłączone z definicji „danych klienta” i uznawane za dane dostawcy.

Kluczowe jest, czy w definicji danych klienta mieszczą się logi i metadane, czy nie. Jeśli nie, dostawca często zastrzega sobie prawo do „wykorzystywania ich do ulepszania usług”, co w skrajnych przypadkach może prowadzić do analizy zachowania użytkowników ponad to, czego się spodziewasz.

Administrator, podmiot przetwarzający, współadministrator, subprocesor

RODO wprowadza precyzyjne role. W umowie z dostawcą chmury trzeba patrzeć, czy faktyczne role zgadzają się z zapisami.

  • Administrator danych – twoja firma, jeśli decyduje o celach i sposobach przetwarzania danych osobowych w chmurze.
  • Podmiot przetwarzający – dostawca chmury, gdy działa wyłącznie na twoje polecenie (typowe w klasycznych usługach chmurowych B2B).
  • Współadministrator – sytuacja, w której ty i dostawca wspólnie decydujecie o sposobach i celach przetwarzania (bardziej złożone, wymaga dodatkowych ustaleń co do odpowiedzialności).
  • Subprocesor – podwykonawca dostawcy (np. inny operator data center, dostawca usługi e‑mail wbudowanej w produkt).

Umowa powinna jasno określać, że dostawca jest podmiotem przetwarzającym, a twoja firma – administratorem. Jeśli w umowie pojawia się rola współadministratora, trzeba sprawdzić, jakie obowiązki informacyjne i odpowiedzialność przewidziano dla każdej strony (np. wobec osób, których dane dotyczą).

Lista subprocesorów musi być dostępna, aktualna i weryfikowalna. W przeciwnym razie trudno kontrolować, gdzie i przez kogo dane są realnie przetwarzane.

„Incydent bezpieczeństwa” a „naruszenie ochrony danych osobowych”

Te dwa pojęcia często się mieszają, ale w umowie powinny być zdefiniowane osobno.

  • Incydent bezpieczeństwa – każde zdarzenie, które ma lub może mieć niekorzystny wpływ na poufność, integralność lub dostępność usług lub danych. Nie każdy incydent to naruszenie danych osobowych.
  • Naruszenie ochrony danych osobowych – konkretne, zdefiniowane w RODO zdarzenie: naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia danych osobowych lub do nieuprawnionego dostępu do nich.

W umowie należy sprawdzić:

  • jak dostawca definiuje incydent i naruszenie,
  • w jakim czasie musi powiadomić administratora po wykryciu naruszenia danych osobowych (czas liczony od wykrycia przez dostawcę, nie od samego zdarzenia),
  • czy obowiązkowo przekazuje informacje potrzebne do zgłoszenia naruszenia do organu nadzorczego i do osób, których dane dotyczą.

„Ulepszanie usług” i „cele statystyczne”

W wielu umowach dostawca zastrzega sobie prawo do wykorzystywania danych klienta w celu „ulepszania usług” lub „tworzenia statystyk”. Te zapisy trzeba czytać bardzo uważnie.

Bezpieczniejsza wersja to taka, gdzie wyraźnie wskazano, że dane używane są w formie zagregowanej i zanonimizowanej, uniemożliwiającej identyfikację twojej organizacji, użytkowników i klientów. Sformułowanie „pseudonimizowane” nie jest równoznaczne z anonimizacją.

Problemem są zapisy, które:

  • pozwalają dostawcy analizować treść danych biznesowych (np. dokumentów, ticketów, plików) poza koniecznością utrzymania usługi,
  • nie ograniczają celu – np. „w dowolnym celu biznesowym dostawcy”,
  • umożliwiają dalsze udostępnianie danych partnerom technologicznym.

Jeżeli dostawca potrzebuje danych do trenowania modeli AI, w umowie powinny być odrębne zapisy, najlepiej z możliwością wyłączenia takiego przetwarzania.

„Zgodność z prawem” i „zgodne z powszechnie przyjętymi standardami”

Ogólne sformułowania typu „zgodne z obowiązującym prawem” czy „zgodne z najlepszymi praktykami branżowymi” są zbyt miękkie, by budować na nich realne bezpieczeństwo.

Silniejsza pozycja to zapisy, które:

  • odwołują się do konkretnych norm (np. ISO 27001, ISO 27018, SOC 2) i załączonych zakresów certyfikacji,
  • zapewniają utrzymanie tych certyfikacji przez cały okres obowiązywania umowy,
  • przewidują informowanie o utracie lub zawieszeniu certyfikatu i konsekwencjach kontraktowych.

Jeśli w umowie jest tylko ogólne odwołanie do „standardów branżowych”, trzeba sprawdzić przynajmniej polityki bezpieczeństwa opublikowane przez dostawcę i dodać do umowy klauzulę ich niepogarszania.

Biznesmen w garniturze analizuje dokumenty przy biurku w biurze
Źródło: Pexels | Autor: Alena Darmel

Lokalizacja, transfer i przechowywanie danych – co musi być w umowie

Lokalizacja główna i lokalizacje zapasowe

Sam zapis „dane przechowywane są na terenie EOG” to za mało. W praktyce dane mogą być replikowane pomiędzy kilkoma regionami.

Umowa lub załącznik techniczny powinny precyzować:

  • jakie regiony (kraje/obszary) są używane do przetwarzania i przechowywania danych produkcyjnych,
  • gdzie trzymane są kopie zapasowe i repliki,
  • czy dane mogą być tymczasowo przenoszone do innych regionów np. w związku z DR (disaster recovery).

Dobrą praktyką jest ograniczenie transferu danych poza ustaloną listę lokalizacji bez uprzedniej pisemnej zgody administratora.

Transfer danych poza EOG i podstawy prawne

Jeśli dostawca lub jego subprocesorzy przetwarzają dane poza EOG, umowa musi jednoznacznie wskazywać podstawę prawną takich transferów.

W umowie należy szukać odniesień do:

  • decyzji stwierdzających odpowiedni poziom ochrony (np. dla konkretnych państw),
  • standardowych klauzul umownych (SCC) – z załączonymi lub dostępnymi treściami klauzul,
  • dodatkowych środków technicznych (np. szyfrowanie z kluczami pod kontrolą klienta) stosowanych przy transferach.

Jeżeli dostawca zastrzega prawo do dodawania nowych lokalizacji poza EOG, musi istnieć mechanizm sprzeciwu lub rozwiązania umowy bez kar w razie braku akceptacji.

Retencja danych i kopii zapasowych

Brak jasnych zasad retencji potrafi sparaliżować proces wyjścia z chmury lub realizację praw osób, których dane dotyczą.

Kluczowe pytania do umowy:

  • jak długo przechowywane są dane produkcyjne przy aktywnej umowie,
  • jakie są okresy retencji kopii zapasowych i w jakim trybie są one nadpisywane lub usuwane,
  • czy klient może wymusić skrócenie retencji dla określonych kategorii danych.

Przy danych wrażliwych (np. medycznych) dobrze jest mieć odrębny zapis, że kopie zapasowe podlegają takim samym ograniczeniom lokalizacyjnym i prawnym jak dane główne.

Procedura usuwania danych i „right to be forgotten”

W praktyce wielu dostawców usuwa dane logicznie, ale fizyczne usunięcie z wszystkich nośników trwa tygodnie lub miesiące. Umowa powinna to jasno opisywać.

W zapisach szukaj informacji:

  • co oznacza „usunięcie danych” – czy jest to usunięcie logiczne, kryptograficzne, fizyczne,
  • w jakim czasie dane znikają z systemów produkcyjnych po żądaniu usunięcia,
  • w jakim czasie są usuwane z backupów (i czy można to przyspieszyć).

Przy realizacji prawa do bycia zapomnianym musi być wskazane, jak dostawca wspiera administratora: funkcje w panelu, API, raport potwierdzający usunięcie.

Klauzule odpowiedzialności i ograniczenia odpowiedzialności za wyciek danych

Odpowiedzialność ogólna a odpowiedzialność za naruszenia danych

Umowy chmurowe prawie zawsze zawierają limit odpowiedzialności finansowej. Zwykle jest on liczony jako wielokrotność wynagrodzenia z określonego okresu (np. 12 miesięcy).

Ważne, by sprawdzić, czy:

  • odpowiedzialność za naruszenie ochrony danych osobowych nie jest całkowicie wyłączona,
  • istnieje wyższy lub osobny limit dla szkód związanych z wyciekiem danych,
  • koszty związane z notyfikacją naruszenia, obsługą roszczeń osób, audytami są objęte odpowiedzialnością.

Jeżeli odpowiedzialność za naruszenia danych jest limitowana do bardzo niskiego poziomu, może to oznaczać, że realne ryzyko finansowe zostaje w całości po stronie twojej firmy.

Wyłączenia odpowiedzialności – lista, która decyduje o wszystkim

Najgroźniejsze zapisy kryją się zwykle w sekcji „wyłączenia odpowiedzialności”. Często są tam wymienione sytuacje, w których dostawca nie ponosi odpowiedzialności za utratę lub ujawnienie danych.

Trzeba szczególnie przeanalizować wyłączenia dotyczące:

  • błędnej konfiguracji usługi przez klienta,
  • braku zastosowania zalecanych zabezpieczeń (np. MFA),
  • korzystania z usług w sposób „niezgodny z dokumentacją” lub „poza zakresem normalnego użycia”.

Jeżeli dostawca szeroko definiuje te kategorie, może próbować przerzucić niemal każde naruszenie na klienta. Dobrą kontrą są doprecyzowania oraz obowiązek dostawcy do zapewnienia domyślnie bezpiecznych konfiguracji.

Odszkodowania kontraktowe i kary umowne

Przy umowach z dużym wolumenem danych osobowych lub sensytywnych można rozważyć wprowadzenie odrębnej kary umownej za naruszenie bezpieczeństwa danych z winy dostawcy.

Takie klauzule powinny opisywać:

  • kryteria ustalenia winy (np. rażące naruszenie uzgodnionych środków bezpieczeństwa),
  • minimalną wysokość kary lub sposób jej liczenia,
  • relację do ogólnego limitu odpowiedzialności (czy kara jest w limicie, czy poza nim).

Nawet jeśli kwoty nie pokryją całości ryzyka, sama ich obecność zwiększa motywację dostawcy do faktycznego utrzymywania poziomu bezpieczeństwa.

Ubezpieczenie odpowiedzialności cywilnej dostawcy

Duzi dostawcy posiadają polisy obejmujące szkody związane z cyberincydentami. Umowa może wymagać utrzymania takiego ubezpieczenia.

W zapisach szukaj:

  • wysokości sumy ubezpieczenia,
  • zakresu (czy obejmuje szkody z tytułu naruszenia danych osobowych),
  • obowiązku przedstawiania potwierdzenia polisy na żądanie klienta.

To nie zastąpi twojego ubezpieczenia cyber, ale jest dodatkową warstwą zabezpieczenia i sygnałem dojrzałości dostawcy.

Bezpieczeństwo informacji w umowie: co musi być opisane konkretnie

Środki techniczne i organizacyjne (TOMs)

Załącznik dot. środków technicznych i organizacyjnych nie może być jedynie ogólnym opisem „stosujemy firewall, antywirus, szyfrowanie”. Szczegół decyduje, czy da się potem wyciągnąć konsekwencje.

Krytyczne elementy, które powinny się pojawić:

  • szyfrowanie danych w spoczynku i w tranzycie (algorytmy, poziom, zarządzanie kluczami),
  • kontrola dostępu (MFA, SSO, role, minimalizacja uprawnień),
  • segregacja środowisk (produkcja/testy),
  • ochrona przed złośliwym oprogramowaniem i DDoS,
  • procedury zarządzania podatnościami i aktualizacjami.

Jeśli dostawca odsyła tylko do publicznej polityki bezpieczeństwa, dobrze jest wprowadzić klauzulę, że nie może on jej istotnie osłabić bez prawa do wypowiedzenia umowy przez klienta.

Zarządzanie tożsamością i dostępem

W chmurze większość ryzyk koncentruje się wokół kont i uprawnień. Umowa musi wspierać realną kontrolę po twojej stronie.

Przydatne są zapisy gwarantujące:

  • obsługę SSO i MFA oraz brak dodatkowych opłat za ich włączenie dla wszystkich użytkowników,
  • możliwość definiowania ról z minimalnymi uprawnieniami i delegowania administracji,
  • mechanizmy automatycznego blokowania i usuwania kont (np. po określonym okresie nieaktywności).

Jeżeli dostawca ogranicza granularity uprawnień, trzeba się zastanowić, jakie ryzyko niesie to w kontekście np. danych finansowych lub zdrowotnych.

Szyfrowanie i zarządzanie kluczami

Szyfrowanie „gdzieś w tle” to za mało. Z umowy powinno jasno wynikać, kto kontroluje klucze i jakie są opcje.

Istotne kwestie:

  • czy dostępne jest szyfrowanie z kluczami zarządzanymi przez klienta (BYOK/KMS),
  • czy dostawca może uzyskać dostęp do danych w formie jawnej bez udziału klienta,
  • jak wygląda rotacja kluczy i procedura ich niszczenia (np. przy zakończeniu umowy).

Przy danych wymagających wysokiego poziomu poufności (tajemnica zawodowa, tajemnica przedsiębiorstwa) dobrze jest dodać klauzulę, że dostawca nie ma prawa obchodzić szyfrowania ani tworzyć „bocznych drzwi” do kluczy.

Ciągłość działania i procedury odtwarzania

Wyciek danych to jedno ryzyko, utrata dostępności to drugie. Umowa powinna obejmować oba.

Sprawdź, czy znajdują się w niej:

  • konkretne parametry RPO (Recovery Point Objective) i RTO (Recovery Time Objective),
  • opisane scenariusze disaster recovery i regiony zapasowe,
  • obowiązek testowania planów odtwarzania oraz informowania o wynikach tych testów.

Przy usługach krytycznych dobrze jest zastrzec prawo do udziału w testach DR lub przynajmniej otrzymywania raportów z takich ćwiczeń.

Dostęp, logi, audyty i prawo kontroli – zapisy, które często są za słabe

Dostęp administratorów dostawcy do danych klienta

Większość incydentów wewnętrznych wynika z nadmiernych uprawnień administratorów. Umowa musi ograniczać ten dostęp do minimum.

W zapisach szukaj:

  • zasady „need to know” i „least privilege” dla personelu dostawcy,
  • wymogu silnego uwierzytelniania i rejestrowania wszystkich dostępów uprzywilejowanych,
  • obowiązku okresowego przeglądu uprawnień pracowników i podwykonawców.

Dodatkowym zabezpieczeniem jest wymaganie, by dostęp do danych wrażliwych wymagał co najmniej dwóch osób (zasada czterech oczu) lub uzasadnionego zgłoszenia serwisowego.

Logi bezpieczeństwa i logi użytkowników

Bez kompletnych logów trudno jest wykryć i zbadać incydent. Wiele usług w wersji podstawowej udostępnia jedynie minimalne logi.

W umowie warto doprecyzować, że:

  • logi obejmują działania użytkowników (logowanie, zmiany uprawnień, eksport danych, masowe odczyty) oraz zdarzenia techniczne (nieudane logowania, zmiana konfiguracji bezpieczeństwa),
  • czas retencji logów jest wystarczający do prowadzenia dochodzeń (często minimum 6–12 miesięcy),
  • klient ma możliwość eksportu logów do własnego systemu SIEM bez zaporowych opłat.

Przykład z praktyki: firma wykryła podejrzany eksport danych z CRM, ale dostawca przechowywał logi tylko 7 dni. Incydentu nie dało się już odtworzyć.

Prawo do audytu i inspekcji

Zakres i forma prawa audytu

Prawo audytu bywa w umowach opisane jednym zdaniem i na tyle ogólnie, że w praktyce niewiele daje. Im bardziej precyzyjne zapisy, tym mniejsze ryzyko sporów w chwili incydentu.

Dobrze, gdy umowa określa:

  • czy audyt może być przeprowadzony bezpośrednio u dostawcy, czy wyłącznie w oparciu o raporty zewnętrzne (np. SOC 2, ISO 27001),
  • minimalną częstotliwość udostępniania raportów audytowych (np. raz do roku),
  • czas na udzielenie odpowiedzi na pytania audytowe klienta (SLA na odpowiedzi),
  • jakie obszary wyłączone są z audytu (np. inne systemy klientów, tajemnice handlowe).

Jeśli dostawca dopuszcza tylko własne raporty typu „security whitepaper”, bez niezależnego audytu lub certyfikacji, poziom przejrzystości jest niski.

Ograniczenia audytu a praktyczna wykonalność kontroli

Dostawcy często wprowadzają ograniczenia: krótki okres uprzedzenia, wąskie okno czasowe, zakaz testów penetracyjnych. Niektóre są zrozumiałe, ale zbyt restrykcyjne warunki robią z audytu fikcję.

Kontrola pozostaje użyteczna, jeśli:

  • okres uprzedzenia nie jest nadmierny (np. 10–15 dni roboczych, a nie 3 miesiące),
  • audyt może być wykonany zdalnie, na podstawie udostępnionych dowodów (zrzuty ekranów, procedury, logi),
  • dopuszcza się testy bezpieczeństwa w uzgodnionym zakresie, z procedurą szybkiego zgłaszania luk.

Przykład z praktyki: klient z branży finansowej negocjował prawo do zlecania testów penetracyjnych tylko w oknie serwisowym i po wcześniejszym zatwierdzeniu scenariuszy przez dostawcę. Zapis był wystarczający, by realnie sprawdzić zabezpieczenia.

Udział organów nadzorczych i audytów regulacyjnych

Dla sektorów regulowanych (finanse, energetyka, medycyna) kluczowe jest umożliwienie audytu także przez organ nadzorczy lub audytora zewnętrznego działającego na jego zlecenie.

W umowie dobrze doprecyzować, że:

  • dostawca będzie współpracował z organami nadzoru klienta w granicach prawa,
  • koszty takiej współpracy są opisane (np. rozliczane w uzasadnionym, udokumentowanym wymiarze),
  • dostawca nie będzie blokował dostępu do informacji niezbędnych do oceny zgodności z prawem ochrony danych.

Brak takiego zapisu może utrudnić organizacji wykazanie zgodności podczas inspekcji, nawet gdy sama robi wszystko poprawnie.

Dokumentacja i dowody z audytów

Sam zapis o prawie audytu to za mało. Istotne jest, jakie dowody dostawca musi udostępnić i w jakiej formie.

Warto ująć minimum:

  • aktualne certyfikaty bezpieczeństwa (np. ISO 27001) wraz z zakresem certyfikacji,
  • raporty z audytów typu SOC 2 / ISAE, jeśli są dostępne,
  • polityki i procedury dotyczące zarządzania incydentami, ciągłości działania, zarządzania podatnościami,
  • anonimizowane raporty z istotnych incydentów i działań naprawczych.

Brak obowiązku udostępniania takich materiałów uniemożliwia rzetelną ocenę ryzyka i przygotowanie się na kontrolę regulatora.

Rozliczanie kosztów audytu

Umowy często przewidują, że koszt audytu ponosi klient, ale nie określają wyjątków. To ważne, gdy audyt wykryje poważne naruszenia.

Rozsądny model to np.:

  • standardowe, okresowe audyty – finansowane przez klienta,
  • dodatkowe audyty zlecone z powodu podejrzenia istotnych niezgodności – jeśli się potwierdzą, koszt pokrywa dostawca,
  • obowiązek wdrożenia środków naprawczych w uzgodnionym terminie i prawo do re-audytu.

Taki mechanizm zwiększa presję na utrzymywanie deklarowanego poziomu bezpieczeństwa, a nie tylko na „zdanie jednego audytu raz na kilka lat”.

Ścieżka eskalacji po audycie

Po audycie często pojawiają się niezgodności. Umowa powinna przewidywać, co dzieje się dalej, zamiast zostawiać to negocjacjom na gorąco.

Przydatne elementy:

  • klasyfikacja niezgodności (np. krytyczne, istotne, drobne) i terminy ich usunięcia,
  • prawo do czasowego ograniczenia zakresu przetwarzania danych lub blokady nowych wdrożeń przy niezgodnościach krytycznych,
  • możliwość wypowiedzenia umowy ze skróconym okresem wypowiedzenia, jeśli dostawca nie usuwa poważnych niezgodności.

Bez takiej ścieżki klient zostaje z raportem i ryzykiem, ale bez realnych narzędzi nacisku na dostawcę.

Kontrola podwykonawców i podprocesorów

W chmurze dane rzadko są przetwarzane wyłącznie przez jedną firmę. Kluczowe jest, jak umowa reguluje audyt i kontrolę podwykonawców.

W zapisach szukaj lub dodawaj, że:

  • dostawca może korzystać z podwykonawców tylko z listy zaakceptowanej przez klienta lub po uprzednim powiadomieniu i prawie sprzeciwu,
  • umowy z podwykonawcami zawierają równoważne środki bezpieczeństwa i obowiązki audytowe jak umowa główna,
  • raporty z audytów kluczowych podwykonawców są udostępniane klientowi w zakresie, w jakim dotyczą jego danych.

Scenariusz, w którym dostawca spełnia wysokie standardy, ale trzyma dane backupowe u niezweryfikowanego partnera, jest częstszy, niż się wydaje.

Przejrzystość operacyjna i raportowanie bezpieczeństwa

Audyt raz na rok to za mało, jeśli system jest krytyczny biznesowo. Przydaje się stała przejrzystość działań dostawcy.

W umowie można wymagać:

  • cyklicznych raportów bezpieczeństwa z listą najważniejszych incydentów, wdrożonych poprawek i zmian w architekturze,
  • powiadamiania o istotnych zmianach w środowisku (np. migracja do innego regionu, zmiana technologii szyfrowania),
  • dostępu do paneli statusowych, w których klient widzi bieżącą dostępność i trwające incydenty.

Tego typu przejrzystość pozwala wcześniej wykryć trendy wskazujące na spadek jakości ochrony, zanim dojdzie do poważnego wycieku.

Najczęściej zadawane pytania (FAQ)

Na co zwrócić uwagę w umowie chmurowej, żeby nie doszło do wycieku danych?

Podstawą jest jasny podział odpowiedzialności za bezpieczeństwo (shared responsibility) oraz opis konkretnych środków technicznych: szyfrowanie danych, kontrola dostępu, logi, backupy. Te elementy powinny być w samej umowie lub aneksach technicznych, a nie tylko w materiałach marketingowych.

Kolejny punkt to poufność i odpowiedzialność dostawcy za incydenty: procedury zgłaszania naruszeń, czas reakcji, odszkodowania, wsparcie przy kontakcie z UODO/klientami. Sprawdź też, gdzie fizycznie przetwarzane są dane (kraje, regiony) i na jakich zasadach dostawca może korzystać z podwykonawców.

Jakie dokumenty oprócz regulaminu usługi powinien dać dostawca chmury?

Przy poważnym wdrożeniu sam regulamin online nie wystarcza. Zestaw minimum to: umowa B2B lub umowa ramowa, umowa powierzenia przetwarzania danych (DPA) przy danych osobowych oraz aneksy techniczne opisujące zabezpieczenia i lokalizacje danych.

Jeżeli dostawca przetwarza dane osobowe i nie oferuje formalnego DPA, to sygnał ostrzegawczy. Brak DPA oznacza problem z RODO i w praktyce brak podstaw do legalnego przekazania danych osobowych do chmury.

Jak ocenić ryzyko danych przenoszonych do chmury przed podpisaniem umowy?

Najpierw zrób listę systemów i typów danych, które mają trafić do chmury: dane osobowe, finansowe, IP, logi, dane operacyjne. Do każdego systemu przypisz właściciela biznesowego i określ, jaką realną wartość mają te dane.

Następnie opisz w kilku zdaniach ryzyko dla czterech obszarów: dostępność (jak długo system może nie działać), poufność (skutki wycieku), integralność (skutki cichej modyfikacji danych) i zgodność (jakie regulacje mają zastosowanie). Na tej podstawie tworzysz własne „must have” do umowy i wiesz, gdzie nie możesz iść na kompromis.

Czym różni się umowa na IaaS, PaaS i SaaS pod kątem bezpieczeństwa danych?

W IaaS dostawca daje infrastrukturę (serwery, sieć, storage), a po twojej stronie jest system operacyjny, konfiguracja bezpieczeństwa, firewall, konta użytkowników. Umowa powinna mocno opisywać dostępność infrastruktury, izolację między klientami, szyfrowanie wolumenów, sieć i backup na poziomie bloków.

W PaaS dochodzi zarządzana platforma (np. bazy danych), więc musisz jasno widzieć, kto dba o backup, aktualizacje i twardnienie platformy. W SaaS główny nacisk w umowie to zarządzanie kontami, role i uprawnienia, logi użytkowników, segregacja danych między klientami, zasady eksportu danych i polityka backupu aplikacyjnego.

Co to jest model shared responsibility w chmurze i czy musi być w umowie?

Shared responsibility to podział obowiązków między dostawcę a klienta: dostawca odpowiada np. za fizyczne centra danych, sieć i hypervisor, a klient za konfigurację bezpieczeństwa, konta użytkowników, polityki haseł czy segmentację danych. Szczegóły zależą od modelu IaaS/PaaS/SaaS.

Jeżeli ten model występuje tylko na ładnym slajdzie sprzedażowym, a nie w umowie lub aneksie, to prawnie niewiele znaczy. Macierz odpowiedzialności powinna być wprost opisana w dokumencie umownym, najlepiej tabelą lub listą z przypisaniem „dostawca/klient”.

Jakie minimalne wymagania bezpieczeństwa przygotować przed negocjacją umowy chmurowej?

Dobrą praktyką jest przygotowanie krótkiej listy (15–20 punktów), która obejmuje m.in.: szyfrowanie danych w spoczynku i w transmisji, MFA/SSO, zasady logowania i retencji logów, wymaganą lokalizację danych, backup i odzyskiwanie (RPO/RTO), ograniczenie dostępu administratorów dostawcy, prawo audytu lub raporty z audytów (np. ISO, SOC 2).

Do tego opisz własną politykę backupu (jak często, jak długo, gdzie), wewnętrzne role i odpowiedzialności za bezpieczeństwo w chmurze oraz wymogi prawne/branżowe (np. wytyczne KNF). Mając taki zestaw, możesz szybko odhaczyć, czy konkretna umowa spełnia twoje minimum, czy wymaga twardych negocjacji albo zmiany dostawcy.

Czy korzystając z SaaS muszę robić własny backup danych z chmury?

To zależy od umowy. W wielu usługach SaaS dostawca robi tylko backup techniczny „na wszelki wypadek”, ale nie gwarantuje przywrócenia danych usuniętych przez użytkowników ani przywrócenia do konkretnego punktu w czasie. Te szczegóły muszą być opisane w polityce backupu i w umowie.

Jeśli w umowie nie ma jasnych zapisów o częstotliwości kopii, czasie przechowywania i procesie przywracania, rozważ własny backup (np. dodatkową usługę backupu SaaS lub cykrowy eksport danych). Brak jasnych zasad backupu w SaaS to częsta przyczyna utraty danych mimo „bycia w chmurze”.

Kluczowe Wnioski

  • Punktem wyjścia jest konkretna lista systemów i typów danych, które realnie trafią do chmury (np. kadry, logi, kod źródłowy), wraz z ich właścicielami biznesowymi i znaczeniem dla firmy.
  • Ryzyko w chmurze trzeba opisać w czterech prostych kategoriach: dostępność, poufność, integralność i zgodność regulacyjna – to one decydują, które zapisy umowy są nienegocjowalne.
  • Bez pełnego zestawu dokumentów (regulamin, umowa B2B, DPA, aneksy techniczne) firma nie powinna przekazywać do chmury danych wrażliwych; sam regulamin online lub PDF z SLA jest zbyt słabym zabezpieczeniem.
  • Przed czytaniem umowy trzeba mieć swoje minimum wymagań bezpieczeństwa, założenia backupu/RPO/RTO, listę wymogów prawnych oraz jasno opisane role po stronie klienta – inaczej trudno ocenić realną jakość oferty.
  • Model usługi (IaaS, PaaS, SaaS) zmienia zakres odpowiedzialności: im bliżej SaaS, tym więcej zależy od bezpieczeństwa aplikacji dostawcy, a mniej od infrastruktury, ale konfiguracja, uprawnienia i procesy pozostają po stronie klienta.
  • Macierz „shared responsibility” musi wynikać z paragrafów umowy lub załączników technicznych, a nie tylko z materiałów marketingowych; szczególnie istotne są punkty styku, np. kto faktycznie odpowiada za backup w SaaS.
  • Dostawca naturalnie zabezpiecza przede wszystkim własne interesy, więc firma powinna aktywnie dopilnować zapisów o ochronie danych, zamiast polegać na domyślnych regulaminach i obietnicach handlowych.

Źródła informacji

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). Dziennik Urzędowy Unii Europejskiej (2016) – Podstawowe obowiązki administratora i podmiotu przetwarzającego dane osobowe
  • Wytyczne Europejskiej Rady Ochrony Danych dotyczące przetwarzania w chmurze. European Data Protection Board – Interpretacja RODO dla usług chmurowych i relacji administrator–procesor
  • Wytyczne dotyczące przetwarzania danych w chmurze obliczeniowej przez podmioty publiczne. Urząd Ochrony Danych Osobowych – Zalecenia UODO dla umów chmurowych, DPA i oceny ryzyka
  • Komunikat w sprawie przetwarzania danych w chmurze obliczeniowej przez podmioty sektora finansowego. Komisja Nadzoru Finansowego – Wymogi regulacyjne i bezpieczeństwa dla instytucji finansowych w chmurze
  • ISO/IEC 27017:2015 Code of practice for information security controls for cloud services. International Organization for Standardization (2015) – Zalecane środki bezpieczeństwa i podział odpowiedzialności w chmurze
  • NIST SP 800-144: Guidelines on Security and Privacy in Public Cloud Computing. National Institute of Standards and Technology (2011) – Identyfikacja ryzyk, modeli usług i zaleceń kontraktowych w chmurze
  • Cloud Computing Risk Assessment. European Union Agency for Cybersecurity – Analiza ryzyk dostępności, poufności i integralności w chmurze
  • Cloud Security Guidance. National Cyber Security Centre – Praktyczne wytyczne do oceny dostawców chmury i zapisów umownych
  • Cloud Computing: Benefits, risks and recommendations for information security. European Network and Information Security Agency (2009) – Kluczowe zagrożenia chmury i rekomendacje dla umów i kontroli

Inne wpisy, które mogą Ci się spodobać: