Asla karıştırılmaması gereken iki şey varsa, o da siber güvenlik/gizlilik uyumluluğu ve kurumsal politikadır. Yine de bu, Microsoft ile Alman yetkililer arasında şirketin müşterilerini cezalandırmaya kadar varabilecek uyum mücadelesinin merkezinde yer alıyor.

Alman Datenschutzkonferenz – Almanya’nın Avrupa Birliği’nin lezzetini idare etmekle görevli düzenleyici kurum Genel Veri Koruma Yönetmeliği (GDPR) — kamuoyuna açıkladı “Microsoft Office 365’in veri koruma uyumlu kullanımı mümkün değildi.”

Bu, şimdiye kadar bir uyum kurumundan gördüğüm en kesin ve cesur ifade.

Daha spesifik olmak gerekirse, düzenleyiciler, Microsoft’un yeterince açıklamadığı veri yollarını buldukları kadar uyumluluk kurallarının ihlallerini açıkça bulmadılar. Bu yollar, verileri ABD merkezli Microsoft tarafından kontrol edilen sunuculara döküyor gibiydi.

“Tartışma dizisinin ana ve yinelenen sorusu, Microsoft’un hangi durumlarda işlemci, hangi durumlarda denetleyici olarak hareket ettiğiydi. Bu kesin olarak açıklığa kavuşturulamadı. Kontrolörler her zaman Madde uyarınca sorumluluklarını gösterebilmelidir. 5 paragraf 2 GDPR” dedi ve ardından “Microsoft hangi işlemenin gerçekleştiğini tam olarak açıklamadığı için zorluklar beklemeye devam ettiklerini” ekledi. Ayrıca Microsoft, hangi işlemlerin müşteri adına veya hangilerinin kendi amaçları doğrultusunda gerçekleştirildiğini tam olarak açıklamaz. Sözleşme belgeleri bu açıdan kesin değildir ve sonuç olarak, kesin olarak değerlendirilemeyen, hatta muhtemelen kişinin kendi amaçları için kapsamlı olan işlemeye izin verir.”

Şaşırtıcı olmayan bir şekilde, Microsoft aynı fikirde değil ve ürünlerinin yazılım mükemmelliği olduğunu savunuyor.

“Bugün, Alman Datenschutzkonferenz (DSK), Microsoft 365’in (M365) Alman ve AB veri gizliliği yasalarına nasıl uyduğuyla ilgili endişelerini yayınladı.” Microsoft yaptığı açıklamada. “M365 ürünlerimizin Avrupa Birliği’ndeki güçlü veri gizliliği yasalarını yalnızca karşılamasını değil, çoğu zaman bu yasaları aşmasını sağladığımızdan, DSK’nın görüşüne saygıyla katılmıyoruz. Almanya’daki ve AB genelindeki müşterilerimiz, M365 ürünlerini yasal olarak uyumlu bir şekilde güvenle kullanarak daha az kaynakla daha fazlasını yapmalarını sağlayabilir.”

Microsoft ayrıca süreçleri hakkında daha fazla bilgi paylaşmaya çalışacağına söz verdi (aka daha iyi şeffaflık).

Şirket, “DSK’nin daha fazla şeffaflık için çabalarını önemsiyoruz ve belgeleme ve şeffaflık uygulamalarımız alanımızdaki diğerlerinin çoğunu aşsa da, daha da iyisini yapmaya kararlıyız” dedi. “Özellikle, AB Veri Sınırı taahhütlerimizin bir parçası olarak, müşteri veri akışları ve işleme amaçları hakkında ek şeffaflık belgeleri sağlayacağız. Ayrıca, AB dışındaki alt işleyiciler ve Microsoft çalışanları tarafından işleme ve konum hakkında daha fazla şeffaflık belgeleri sağlayacağız.”

Microsoft’un veri akışlarının tam olarak nasıl çalıştığını ve nedenini açıklayarak yeterince şeffaf olup olmayacağı ve şirketin bunları değiştirmeye istekli olup olmadığı belli değil.

Peki bu, Microsoft ve daha da önemlisi Microsoft kurumsal BT müşterileri için ne anlama geliyor?

Microsoft serpintisiyle başlayalım. ABD ile karşılaştırıldığında, Avrupa gizlilik ve siber güvenlik uyumluluğunu çok ciddiye alıyor. Ve Almanya’nın uyumluluğu AB veya Birleşik Krallık’taki herkesten daha ciddiye alma konusunda bir üne sahip olduğu iddia edilebilir.

Teorik olarak, bu şirket için ciddi sonuçlar anlamına gelmelidir. Ancak Peter Dolayısıyla’ya göre, Almanya’da bir gizlilik uzmanı Düzenleyici makamlarla sık sık çalışan Microsoft’un daha fazla değişiklik yapması veya belirli soruları yanıtlaması pek olası değildir. Yazılımı o kadar geniş bir alana yayılmıştır ki, sorunu zorlamak politik olarak iştah açıcı olmayacaktır.

Alman uyum yetkilileri “Microsoft’un her şeyi doğru yapıyormuş gibi yaptığı ve yetkililerin Microsoft’u uyumlu olmaya zorlamak için ellerinden gelen her şeyi yapmış gibi göründüğü durumla yaşayabilir” dedi. Bilgisayar Dünyası. Microsoft “GDPR’nin en temel gereksinimlerini karşılamıyor. Temel şeffaflıktan yoksundurlar. Bize söylemedikleri için ne yaptıklarını değerlendiremiyoruz.”

Politikanın devreye girdiği yer burasıdır ve burada pratik güçler hükümetin uyumluluk eylemlerini etkileyebilir. Alman düzenleyiciler “cezalanmaktan korkuyorlar. (Düzenleyicilerin düşüncesiyle) Office’i artık kullanamazsınız dersek daha fazla bütçe alamayız. Hatta Google Analytics artık,” dedi Dolayısıyla. “Bunlar siyasi meseleler. Kimse kötü adam olmak istemez.”

Bu nedenle, Microsoft, en azından şimdilik, bu sorun üzerinde kayıyor gibi görünüyor. Peki ya kurumsal BT yöneticileri? Microsoft ürünlerini kullanan şirketler uyumluluk cezalarından muaf mı? Şart değil. Microsoft’un bundan paçayı sıyırmasına izin vermek yerine müşterilerini para cezasına çarptırmak ve cezalandırmak adil görünmeyebilir, ancak Dolayısıyla bunun oldukça muhtemel olduğunu savunuyor. Ve sadece Almanya’da değil.

Dolayısıyla, “Belçika, Hollanda, Almanya ve başka yerlerde Microsoft ürünlerinin müşterilerine karşı devam eden davalar var” dedi.

Bu bizi daha da büyük kurumsal BT uyumluluğu sorununa getiriyor. Kısa bir süre önce, popüler bir BT atasözü, hiç kimsenin IBM satın aldığı için kovulamayacağı şeklindeydi. Bu, en büyük teknoloji sağlayıcılara bağlı kalmanın genellikle satın alma kararlarınızı büyük ölçüde koruduğu anlamına geliyordu.

Uyum konusunda aynı düşünce, şirketler Microsoft, SAP, Oracle, Google veya diğer büyük oyunculardan birini kullandıklarında, BT’nin temel konuların -en temel siber güvenlik ve uyum sorunlarının- halledildiğini varsayabileceğini ileri sürer (özellikle konu söz konusu olduğunda). GDPR gibi bir şey).

Bu hiçbir zaman akıllıca bir strateji olmadı ama bugün kesinlikle öyle değil. Microsoft’un minimum gereksinim uyumluluğu konularında hala açık boşlukları varsa, diğer büyük oyuncuların da yaptığı kesin bir iddiadır.

Açık sözlü olmak gerekirse, uyumluluğunuz sizin uyumluluğunuzdur. Büyük isimli satıcılar kullanmak sizi düzenleyici kabuslardan korumaz. Yetkililer bu satıcılara karşı çıkacak cesarete sahip olmayabilir, ancak birkaç Fortune 1000 kuruluşunu örnek vermek tamamen farklı bir hikaye.

Telif hakkı © 2022 IDG Communications, Inc.



genel-13