Cloud outsourcing guidelines and data protection regulation in Europe : Context of online banking self-service channels
Pulkkinen, Tomi (2018)
Pulkkinen, Tomi
Jyväskylän ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201805107482
https://urn.fi/URN:NBN:fi:amk-201805107482
Tiivistelmä
Opinnäytetyössä tavoitteena oli kuvata vaatimustenmukainen arkkitehtuuri Euroopan pankkiviranomaisen (EBA) pilveen ulkoistamisen suositusten ja EU:n tietosuoja-asetuksen (EU GDPR) pohjalta.
Vuoden 2017 aikana Euroopan pankkiviranomainen (EBA) valmisteli luonnoksen suosituksista valvottaville ulkoistamisesta pilvipalveluntarjoajille. Suositus ja uusi EU-tasoinen henkilötieto-asetus (EU GDPR) eivät olleet vielä voimassa opinnäytetyöprosessin aikana. Tulokset pohjautuvat tulkintoihin suositusten ja lainsäädännön pohjalta. Tutkimusmenetelminä hyödynnettiin lainoppia ja laadullista päättelyä luokittelun pohjalta.
Tuloksena tunnistettiin ja kerättiin joukko suunnitteluperiaatteita, tietoturvakontrolleja, yksityisyydensuojan tekniikoita, toiminnallisia ja ei-toiminnallisia sekä sopimuksellisia että prosessitason vaatimuksia. Vaatimukset luokiteltiin ISO-IEC 27001:2013 standardin ja ENISA:n Information Assurance –kehyksen pohjalta.
Lisäksi suositusten pohjalta todettiin, että sääntely on itsepalvelukanavien näkökulmasta sallivaa, mutta esimerkiksi sopimuksellinen auditointi- ja pääsyoikeuksien turvaaminen koko pilvipalveluntarjoajan ulkoistusketjussa on haastavaa.
Riskienhallintaan pohjautuva systemaattinen, kirjallinen vaatimusten luokittelu ja implementointi, sopimuksellisten vaatimusten turvaaminen ja palvelutason mittareiden määrittely valvonnan mahdollistamiseksi, ovat onnistuneen ulkoistuksen ja vaatimustenmukaisen arkkitehtuurin peruspilareita.
Vuoden 2017 aikana Euroopan pankkiviranomainen (EBA) valmisteli luonnoksen suosituksista valvottaville ulkoistamisesta pilvipalveluntarjoajille. Suositus ja uusi EU-tasoinen henkilötieto-asetus (EU GDPR) eivät olleet vielä voimassa opinnäytetyöprosessin aikana. Tulokset pohjautuvat tulkintoihin suositusten ja lainsäädännön pohjalta. Tutkimusmenetelminä hyödynnettiin lainoppia ja laadullista päättelyä luokittelun pohjalta.
Tuloksena tunnistettiin ja kerättiin joukko suunnitteluperiaatteita, tietoturvakontrolleja, yksityisyydensuojan tekniikoita, toiminnallisia ja ei-toiminnallisia sekä sopimuksellisia että prosessitason vaatimuksia. Vaatimukset luokiteltiin ISO-IEC 27001:2013 standardin ja ENISA:n Information Assurance –kehyksen pohjalta.
Lisäksi suositusten pohjalta todettiin, että sääntely on itsepalvelukanavien näkökulmasta sallivaa, mutta esimerkiksi sopimuksellinen auditointi- ja pääsyoikeuksien turvaaminen koko pilvipalveluntarjoajan ulkoistusketjussa on haastavaa.
Riskienhallintaan pohjautuva systemaattinen, kirjallinen vaatimusten luokittelu ja implementointi, sopimuksellisten vaatimusten turvaaminen ja palvelutason mittareiden määrittely valvonnan mahdollistamiseksi, ovat onnistuneen ulkoistuksen ja vaatimustenmukaisen arkkitehtuurin peruspilareita.