it-swarm.com.de

Sollten wir personenbezogene Daten auf Google Drive speichern?

Aus einer Reihe von Gründen, einschließlich der Fernzugriffsmöglichkeiten, möchte mein Unternehmen alle unsere Buchhaltungsunterlagen, Kontoanwendungen und Marketingmaterialien in die Apps for Work Drive von Google verschieben. Auf den ersten Blick klingt dies nach einer ziemlich schlechten Idee, aber ich habe weder das Wissen noch die Gründe aus erster Hand, um einen Fall dagegen zu argumentieren.

Die gespeicherten Informationen umfassen Bankinformationen, Namen und Adressen; sowie SSNs, meist in Form von PDF Dokumenten).

Können wir unsere Dateien legal bei Google Drive hosten, das für die mit einer Zugriffsverletzung verbundenen Kosten verantwortlich ist, und ist das Risiko die erhöhte Zugänglichkeit wert?

Vom Google-Support bereitgestellte Dokumente:

38
epool

Google Drive ist nicht mehr oder weniger sicher als jeder andere webbasierte Dienst mit einer einzigen Anmeldung. Ihr Unternehmen muss selbst entscheiden, ob es bereit ist, die Daten online zu stellen (wenn auch hinter der Authentifizierung von Google).

Zumindest würde ich das empfehlen

  1. Es wird eine 2-Faktor-Authentifizierung verwendet
  2. Alle Daten, die außerhalb der Organisation übertragen werden, werden verschlüsselt.

Google Drive ist vermutlich ziemlich sicher, aber wie wir bei iCloud gesehen haben, können (und tun) Benutzer manchmal Zugriff auf Systeme erhalten, auf die sie nicht zugreifen können sollten.

Ein Ratschlag, den mir ein Tutor an der Universität gab, war:

Behandeln Sie alles, was sich nicht hinter Ihrer Firewall befindet, wie auf einem USB-Stift, den Sie gerade in einem Zug gelassen haben

Das heißt: Nehmen Sie an, dass es in die falschen Hände geraten könnte, und stellen Sie sicher, dass Sie ausreichende Vorsichtsmaßnahmen getroffen haben, um es für sie unbrauchbar zu machen.

(Tatsächlich bin ich ein Fan davon, Dinge, die sind hinter meiner Firewall sind, gleich zu behandeln ...)

Bearbeiten

So ergänzen Sie die Frage "Haftung":

Dies hängt hauptsächlich davon ab, was in den Verträgen, Vereinbarungen (EULA oder ToS usw.) usw. zwischen Ihnen und Google sowie möglicherweise Ihnen und Dritten, denen die Daten gehören, angegeben ist. Beachten Sie, dass dies nicht nur Kunden/Kunden umfasst, sondern auch Ihre Mitarbeiter, wenn Sie deren personenbezogene Daten in der Cloud speichern. Dies kann also nicht nur finanzielle Probleme verursachen, sondern auch das Vertrauen der Mitarbeiter zerstören, wenn ein Verstoß vorliegt! Ihre Bank kann sich auch weigern, verlorenes Geld zu erstatten, wenn Bankdaten in der Cloud gespeichert sind, da dies als Fahrlässigkeit angesehen werden kann.

Im Allgemeinen jedoch: Sofern nicht ausdrücklich angegeben, verbleibt zumindest einige Haftung immer bei Ihnen. Eine gewisse Haftung kann oder kann nicht bei Google für Datenverletzungen usw. liegen, dies hängt jedoch von der Vereinbarung ab. Sie haften jedoch weiterhin für Daten Dritter, sofern Sie diese an Dritte anvertrauen.

Wenn es einen Datenverstoß gäbe, würde dies zu einer (wahrscheinlich sehr langen und langwierigen!) Rechtsfrage werden und sich darum drehen, ob Google oder Sie selbst fahrlässig waren, welche Art von Vereinbarung Sie getroffen haben und ob Sie beide alle übernommen haben angemessene Schritte zum Schutz dieser Daten.

Ich denke, der Kern Ihrer Frage lautet "Wird Google die Verantwortung für die Sicherheit der Daten auf Google Drive übernehmen?", Auf die die Antwort "Nein, wahrscheinlich nicht" lautet. Aber ich bin kein Anwalt und spiele auch keinen im Fernsehen.

48
Jon Story

Diese Antwort bezieht sich möglicherweise nicht direkt auf Ihre Frage, wer für Datenlecks haftbar gemacht wird.

Ich würde keine unverschlüsselten, sensiblen Daten auf Google Drive speichern, selbst wenn sie nur Ihre Daten verwenden, um operate, promote and improve their Services. Aus Googles Nutzungsbedingungen :

Wenn Sie Inhalte zu oder über unsere Dienste hochladen, senden, speichern, senden oder empfangen, erteilen Sie Google (und denjenigen, mit denen wir zusammenarbeiten) eine weltweite Lizenz zur Nutzung, zum Hosting, Speichern, Reproduzieren, Ändern und Erstellen von abgeleiteten Werken (wie den daraus resultierenden) von Übersetzungen, Anpassungen oder anderen Änderungen, die wir vornehmen, damit Ihre Inhalte besser mit unseren Diensten funktionieren), kommunizieren, veröffentlichen, öffentlich durchführen, öffentlich anzeigen und verbreiten solche Inhalte. Die Rechte, die Sie in dieser Lizenz gewähren, dienen dem begrenzten Zweck, unsere Dienste zu betreiben, zu fördern und zu verbessern sowie neue zu entwickeln.

22
mucaho

Das Speichern sensibler Daten außerhalb eines privaten Netzwerks ist immer ein Risiko.

Für böswillige Benutzer ist es viel einfacher, auf die Daten zuzugreifen. Mithilfe von Fangtechniken oder wenn Sie sich auf einem infizierten Computer in Ihrem Konto anmelden oder noch schlimmer, wenn Ihr Computer infiziert wird, kann ein böswilliger Benutzer auf Ihre Anmeldeinformationen zugreifen und diese für den Zugriff auf die Daten verwenden. Da Google-Server im Web verfügbar sind, ist es nicht schwierig, eine Verbindung herzustellen und Schaden anzurichten.

Wenn Sie andererseits die vertraulichen Daten in einem privaten Netzwerk aufbewahren, ist es immer schwieriger, auf die Daten zuzugreifen, selbst wenn die böswilligen Benutzer über die Anmeldeinformationen verfügen, da sie zuerst in Ihr Netzwerk eintreten müssten.

Um solche Situationen zu vermeiden, muss ein two-factor authentication wird immer empfohlen. Sofern der böswillige Benutzer keinen Zugriff auf Ihr physisches Gerät haben könnte, würde die Zwei-Faktor-Authentifizierung den Zugriff auf die Daten selbst mit den Anmeldeinformationen erschweren.

Ein weiterer wichtiger Aspekt ist die Art und Weise, wie Sie die Informationen speichern. Ich würde empfehlen, die Informationen verschlüsselt zu speichern (Sie können Truecrypt versuchen), da auf diese Weise selbst dann, wenn jemand physischen Zugriff auf das Gerät erhalten oder aus irgendeinem Grund die Daten protokollieren und anzeigen könnte, diese nicht lesbar wären.
Und die Google-Richtlinien für hochgeladene Daten ermöglichen es ihnen, die Daten für verschiedene Zwecke (wie Werbung, Übersetzungen usw.) zu verwenden, sodass Sie es nie erfahren.

12

Ich gehe davon aus, dass sie für körperliche Verstöße verantwortlich sind ...

Ich bezweifle, dass sie dafür so verantwortlich sein werden, wie Sie es erwarten. Insbesondere bezweifle ich, dass sie alle Kosten decken würden, die durch den Verlust oder das Durchsickern dieser Daten entstehen. Sofern sie diese Kosten nicht ausdrücklich decken, liegt dies in erster Linie an Ihrem Problem, da Sie die Daten dort hochgeladen haben.

Sie können sich bei Ihrem Cyber-Versicherer erkundigen, ob dieser die Kosten übernimmt (ich hoffe, dass Sie eine solche Versicherung haben, wenn Sie mit so sensiblen persönlichen Daten umgehen).

8
Steffen Ullrich

Verschlüsseln Sie die Daten, egal was passiert! Sensible Daten sollten sich nicht einmal in Ihrem eigenen Netzwerk befinden, ohne verschlüsselt und mit Zugriffskontrolle ausgestattet zu sein. Wenn es in erster Linie verschlüsselt ist, müssen Sie sich unter keinen Umständen weniger Sorgen machen. Vertrauen Sie nicht darauf, dass jemand anderes die Arbeit erledigt, die Sie eigentlich hätten erledigen sollen, und es geht mehr darum, sich selbst zu schützen. Abhängig von den Daten, die Sie übertragen, kann es illegal sein, sie unverschlüsselt zu übertragen und zu speichern. Und es sollte niemals unverschlüsselt außerhalb des Unternehmens sein. Wenn Sie es beispielsweise auf einem Laptop oder einem Flash-Laufwerk transportieren müssen, müssen diese Geräte verschlüsselt werden. Sie verlieren die Daten für unsachgemäße Praktiken, es ist Ihre Schuld.

4
David-

Warum nicht einen eigenen Server in Ihrem Unternehmen einrichten? Mein Schwiegervater arbeitete in einer Wirtschaftsprüfungsgesellschaft und richtete eigene Server für ihre Daten ein.

0
Robert