Kontrollspørsmål til leverandører av skytjenester

Disse punktene er spørsmål en leverandør skal kunne svare på før man inngår en avtale om bruk av en skytjeneste.

Hvilke opplysninger skal overføres?

Hvordan behandler leverandøren ulike kategorier av data?

Hvordan flyter data?

Hvilke data overføres hvordan? Og når?
Er overføringen kryptert? Kvalitet på kryptering? Hvilken score har serveren på ssllabs.com?
Flyter data tilbake til kundens systemer?

  • Kan dette påvirke integriteten til kundens lokale data?
  • Kan dette indirekte påvirke sikkerheten på kundens lokale løsninger?

Overføres informasjon om brukerne?

  • Brukernavn, fullt navn, e-post, telefonnummer?
  • Hvordan lagres denne informasjonen? Hvordan og når slettes den?
  • Provisjonering – ved bruk, eller i bulk?

Hva benyttes data til?

Benyttes dataene kun til kundens formål, og innenfor det avtalene tillater?

  • Er dette spesifisert godt nok?
  • Kan det skje endringer over tid?

Kan leverandøren benytte data til eget formål?

  • Forbedring av tjenestene?
  • Til reklame / markedsføring?
  • Kan data selges til tredjepart?
  • Til profilering av brukerne? Brukes systemer som f. eks. Google Analytics?

Brukerhåndtering og tilganger

Autentisering av brukerne

  • Er brukerne lokale for løsningen?
  • Synkroniserer løsningen passord fra UiO? Hvordan lagres disse?
  • Bruker løsningen en form for autentiseringsløsning - SAML2, FEIDE, Dataporten, LDAP, Active Directory, UHAD?

Autorisasjon og tilgangsstyring

  • Hvordan håndteres grupper?
  • Opprettes disse manuelt, eller brukes UiO sine kildesystemer?
  • Hvordan oppdateres disse?
  • Har man et rollebegrep?

Innrullering, avslutning og sperring

  • Hvordan gis tilgang? Av hvem?
  • Hvordan fjernes tilganger?
  • Kan kunden sperre en bruker ved tap av passord, eller mistanke om misbruk?

Hvem har gjort hva når?

  • Hvordan lagres historikken?
  • Sporing av endringer
  • Sporing av bruk
  • Kan man avdekke uautorisert bruk?
  • Tilgang for leverandørens driftspersonell
  • Tilgang for kundens driftspersonell

Merkantile forhold

Eierstrukturer hos leverandør - hvilke etableringer har virksomheten, og hvor er ansvaret lokalisert?
Hvilke underleverandører brukes av hovedleverandøren? Brukes disse i flere ledd og over landegrenser?
Hvilke rutiner gjelder for bytte av underleverandører? Blir kunden varslet? Påvirker dette avtalen?
Lisenser

  • Hvilke prismodeller opererer tjenesten med?
  • Må det ut på anbud?

Bruksvilkår - «fair use»
Er eierskap til dataene regulert i avtale?
Hva skjer når man vil si opp avtalen og slutte å bruke tjenesten?
Har man en «Exit-strategi»?
Hva skjer med dataene når avtalen avsluttes?
Har man en spesifisert tjenestekvalitet? Finnes det en SLA (Service Level Agreement)?
Hvordan håndteres variasjoner i bruksmønster, f. eks. ved semesterstart? («altinn.no»-effekten)
Hvilke sanksjonsmuligheter har kunden?
Avvikshåndtering - setter avtalene begrensninger?

Juridiske forhold

Har man inngått de nødvendige databehandleravtaler? Er man allerede dekket av en eksisterende slik avtale?
Risikoanalyser

  • Er systemet innenfor akseptabel risiko?
  • Hvem eier denne risikoen? UiO som kunde, eller sluttbruker?

Har man lovlig grunnlag for å overføre data til utlandet?

  •  EU/EØS? USA? Andre land?

Formåls- og hjemmelsvurderinger

  • Hvem utformer brukernes samtykke-erklæring? Kunden eller leverandøren?
  • Finnes det lovhjemmel for å samle inn data, for eksempel personopplysninger eller bedriftshemmeligheter til dette?

Personvern

  • Hvordan oppfyller leverandøren kravene til «Innebygd personvern»?
  • Har systemet trygge standard-innstillinger?

Oppdateringer, endringer og avvik

Hvordan oppdateres tjenesten?

  • Kontinuerlig? Varsles dette? Kan kunden styre det?
  • Kan endringer utløse endringer i avtaler eller risikoanalyser?
  • Kan det avtales rammer som det kan endres innenfor?

Sikkerhetshendelser

  • Hvordan blir kunden varslet om avvik og sikkerhetshendelser?
  • Har kunden muligheter til å avdekke det selv?
  • Har kunden tilgang til logger?
  • Når kan kunden få tak i leverandøren?

Driftsmiljø

Hvor lagres dataene? Serverhaller? Amazon Web Services? Microsoft Azure?
Hvordan håndteres backup (sikkerhetskopiering) og restore?
Hvordan holdes kundens data separat fra andre kunders data?
SLA – oppetid?
Tilgang til data

  • Fra kundens driftspersonell
  • Fra leverandørens driftspersonell
  • Fra utenlandske myndigheter
  • Fra underleverandører

Har kunden tilgang på logger?

Revisjon og tilsyn

Hvordan sikrer kunden at leverandøren overholder alle krav?
Kan kunden føre tilsyn? Kan kunden teste sikkerheten?
Kan tredjepart utføre tilsyn?

  • Har kunden tilgang på rapporter?
  • Hvilke muligheter har kunden ved avvik?

Hvilke sertifiseringer er involvert? Hvilke har leverandøren?

  • ISO 27001
  • ITIL
  • Hva er faktisk dekket i hele løsningen? Og hva er «reklame» fordi det bare gjelder en liten del av løsningen?

 

Publisert 29. nov. 2017 11:26 - Sist endret 4. des. 2017 15:19