Bulut Bilişim

Uyumluluk koşulları ve gereksinimleri

Çözümlerinizi barındırmak için bir bulut sağlayıcısı seçerken bu sağlayıcının yönetmelik ve standartlara uymanıza nasıl yardımcı olabileceğini anlamanız gerekir. Seçmeyi düşündüğünüz bir sağlayıcıya sormanız gereken sorulardan bazıları şunlardır:

  • Bulut sağlayıcı, hassas verilerin işlenmesi söz konusu olduğunda düzenlemelerle kadar uyumlu?
  • Bulut sağlayıcının sunduğu hizmetler düzenlemelerle ne kadar uyumlu?
  • Kendi bulut tabanlı çözümlerimi yetki ve onay belgesi gereksinimleri olan senaryolarda nasıl dağıtabilirim?
  • Sağlayıcının gizlilik bildirimi koşulları nelerdir?

Uyumluluk Teklifleri

Aşağıdaki listede mevcut uyumluluk tekliflerinin bazılarıyla ilgili ayrıntılara yer verilmiştir.

  • Ceza Adalet Sistemi Bilgi Hizmetleri (CJIS). FBI’ın CJIS veritabanına erişmek isteyen tüm ABD devlet kuruluşlarının ve yerel kuruluşların CJIS Güvenlik İlkesine uyması gerekmektedir. Azure, CJIS Güvenlik İlkesi ile uyum konusunda sözleşme ile garanti veren tek büyük bulut sağlayıcısıdır ve bu durum, Microsoft’un emniyet ve kamu güvenliği kurumlarının uyması gereken gereksinimleri karşılamaya dair bağlılığının bir göstergesidir.
  • Cloud Security Alliance (CSA) STAR Sertifikası. Azure, Intune ve Microsoft Power BI, bulut sağlayıcı olarak sağladığı güvenlik duruşunun bağımsız bir şirket tarafından sıkı bir değerlendirmeye tutulmasının ardından STAR Sertifikasını almaya hak kazanmıştır. Bu STAR sertifikası, ISO/IEC 27001 sertifikasının yanı sıra Cloud Controls Matrix (CCM) ile belirtilen ölçütlerin karşılanmasını gerek kılmaktadır. Bu sertifika bulut hizmeti sağlayıcısının:
    • İlgili ISO/IEC 27001 gereksinimlerini karşıladığını gösterir.
    • CCM ile belirtilen şekilde bulut güvenliği açısından kritik sorunlara çözümler geliştirdiğini gösterir.
    • CCM denetim alanlarındaki etkinliklerin yönetimi için STAR Yetenek Olgunluk Modeli kapsamında değerlendirildiğini gösterir.
  • Genel Veri Koruma Yönetmeliği (GDPR). GDPR gizlilik yasası 25 Mayıs 2018 tarihinden itibaren Avrupa’da yürürlüğe girmiştir. GDPR Avrupa Birliğinde (EU) bulunan kullanıcılara ürün ve hizmet sunan veya AB vatandaşlarıyla ilgili veri toplayıp analiz eden şirketlerin, kamu kuruluşlarının, kar amacı gütmeyen şirketlerin ve diğer kuruluşların uyması gereken yeni kuralları belirlemiştir. GDPR, bulunduğunuz konumdan bağımsız olarak geçerlidir.
  • AB Modeli Maddeleri. Microsoft, müşterilerine kişisel verilerin AB dışına aktarılması konusunda sözleşme kapsamında garanti sunan AB Standart Sözleşme Maddeleri sunmaktadır. Azure’ın kurumsal bulut müşterilerine sözleşme kapsamında sunduğu gizlilik koruması koşullarının verilerin uluslararası aktarımı açısından güncel AB standartlarını karşılaması nedeniyle Microsoft, AB Madde 29 Çalışma Grubundan ortak onay alan ilk şirkettir. Bu sayede Azure müşterileri Microsoft hizmetlerini kullanarak verilerini Microsoft’un Avrupa bulutundan diğer ülkelere serbest bir şekilde aktarabilir.
  • Sağlık Sigortası Taşınabilirliği ve Sorumluluğu Yasası (HIPAA). HIPAA, hastaların Koruma Altındaki Sağlık Bilgilerini (PHI) düzenleyen bir ABD federal yasasıdır. Azure, müşterilerine sunduğu HIPAA İş Ortağı Anlaşması (BAA) ile HIPAA ve Ekonomik ve Klinik Sağlık için Sağlık Bilgileri Teknolojisi (HITECH) Yasasındaki belirli güvenlik ve gizlilik hükümlerine uygunluk sağlamaktadır. Microsoft, müşterilerin uyumluluk çabalarına destek olmak için Azure müşterilerine sözleşme eki olarak bir BAA sunmaktadır.
  • Uluslararası Standartlar Kuruluşu (ISO) ve Uluslararası Elektroteknik Komisyonu (IEC) 27018. Microsoft, kişisel bilgilerin bulut hizmeti sağlayıcıları tarafından işlenmesini kapsayan ISO/IEC 27018 uygulama koşullarına uyum sağlayan ilk bulut sağlayıcısıdır.
  • Çok Katmanlı Bulut Güvenliği (MTCS) Singapur. MTCS Sertifikasyon Yetkilileri tarafından gerçekleştirilen zorlu değerlendirmelerin sonucunda Microsoft bulut hizmetleri üç hizmet sınıfında da MTCS 584:2013 Sertifikasını almaya hak kazanmıştır. Bu hizmet sınıfları şunlardır:
    • Hizmet Olarak Altyapı (IaaS)
    • Hizmet Olarak Platform (PaaS)
    • Hizmet Olarak Yazılım (SaaS)
    Microsoft, üç sınıfta da bu sertifikası almaya hak kazanan ilk küresel bulut çözümü sağlayıcısı (CSP) olmuştur.
  • Hizmet Kuruluşu Denetimleri (SOC) 1, 2 ve 3. Microsoft tarafından sunulan bulut hizmetleri, bağımsız üçüncü taraf denetçiler tarafından belirlenen SOC raporu kapsamında yılda en az bir kez denetimden geçmektedir. Microsoft bulut hizmetleri denetimleri veri güvenliği, kullanılabilirlik, işlem bütünlüğü ve gizlilik alanlarını kapsamakta ve her hizmet için kapsam içi güven ilkelerine göre yürütülmektedir.
  • Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Siber Güvenlik Çerçevesi (CSF). NIST CSF, siber güvenlik kapsamındaki riskleri yönetmek için oluşturulan standartları, yönergeleri ve en iyi yöntemleri kapsayan, gönüllülük esasına dayalı bir çerçevedir. Microsoft bulut hizmetleri bağımsız ve üçüncü taraf Federal Risk and Authorization Management Program (FedRAMP) Moderate ve High Baseline denetimlerinden geçmiş ve FedRAMP standartlarına göre sertifikalandırılmıştır. Ayrıca lider güvenlik ve gizlilik standartları geliştirme ve akreditasyon kuruluşlarından biri olan Health Information Trust Alliance (HITRUST) tarafından gerçekleştirilen doğrulanmış bir değerlendirme sonrasında Office 365, NIST CSF ile belirtilen hedefleri karşılayarak sertifikalandırılmıştır.
  • UK Government G-Cloud. UK Government G-Cloud, Birleşik Krallık’taki kamu kurumları tarafından kullanılan hizmetler için verilen bir bulut bilişim sertifikasıdır. Azure’a UK Government Pan Government Accreditor tarafından resmi akreditasyon verilmiştir.

Yorum Yap