Проф. д-р Ради Романски

Технически университет – София
член на първия състав (мандат VI. 2002 – XII.2007) на
Комисията за защита на личните данни на Р. България
e–mail: rrom@tu–sofia.bg
http://tu-utc.com/Webpages/Teachers/R_Romansky.html

Правото на ненамеса в личното пространство на всеки отделен човек е всепризнато европайско и международно право. Една съществена страна от това право е свързана със защитата на личните данни (ЗЛД), която е прокламирана в множество документи на ниво Европейски съюз (ЕС). В съвременното информационно общество (ИО) непрекъснато нараства ролята на информационните и комуникационните технологии (ИКТ), което рефлектира върху изискванията към технологичните структури за ЗЛД. Обработката на информацията в „облака” (cloud computing) е съпътствана с непрекъснато нарастване на обработваната информация, включително – и лични данни и информация за персонална идентификация. Независимо от множеството положителни страни на облачните услуги, последното налага преразглеждане на политиката за защита на данните и на изискванията към системата за информационна сигурност при обработка на лични данни. В настоящата статия се прави връзка между особеностите на облачните услуги и принципите на обработка на лични данни, като се уточняват функциите на системата за информационна сигурност. Направена е систематизация на предизвикателствата на „облачните” услуги, налагащи промяна на политиката за информационна сигурност и на изисквания към ЗЛД.

Разбери повече за БГ Наука:

***

 1. Въведение

 Правото на личен живот е неотменно и всепризнато човешко право, което се разглежда като съвкупност от отделни компоненти, свързани със защита на личните даннии (ЗЛД), с неприкосновеност на личната кореспонденция и Интернет-комуникациите, обработка на персонална информация в социални форуми и пр. [1]. Известно е едно от първите определения за „право на личен живот – неприкосновеност на личността” (“privacy”) като “правото да бъдеш оставен на мира”. Дали, обаче, съвременното информационно общество (ИО), с непрекъснато развиващите се информационни и комуникационни технологии (ИКТ), споделянето на информационни ресурси и възможности за отдалечен достъп до тях, ще осигури изпълнение на това право? Отговорът е, че по-скоро се налага една ревизия на подходите за ЗЛД в посока увеличаване на ефективността на прилаганите методи и средства за защита на данните (като неотменна част от информационната сигурност), включително – за защита на персоналната идентификационна информация при достъп до среди и услуги в мрежовото пространство [4].

Защитата на личините данни е неизменен компонент на правото на лична неприкосновентост. Съвременното ИО, заедно с прилагането на новите ИКТ, налага нови изисквания към ЗЛД и променя разбирането за „неприкосновеност на личността”. Това води до необходимост от актуализация на прилаганите мерки за ЗЛД при използване на облачни услуги [3, 4, 5, 7, 12]. Преглед на сигурността при облачните услуги е представен в [11], а статията [8] дава едно виждане за законовите изисквания за спазване на ЗЛД при конкретен продукт (Conference Management Systems).

Облачните изчисления (компютърна обработка в облака – Cloud Computing) имат доста предимства, свързани с инфраструктурата, програмното осигуряване и предлаганите платформи, които могат да бъдат достъпвани от отдалечени работни места през глобалната мрежа (Remote Access). „Облакът”, от гледна точка на потребителя, е виртуална среда за компютърна обработка и съхраняване на данни, включваща и решаване на проблемите по осигуряване на информационната сигурност. Същественият проблем е, че персоналната информация в облака нараства значително [8, 11, 12]. Това се оценява и от Европейския супервайзор по ЗЛД (Петер Хюстингс) в неговото изказване “Data Protection and Cloud Computing under EU Law” направено по време на 3^rd European Cyber Security Awareness Day, April 2010.

Цел на настоящата работа е да дискутира основните принципи на ЗЛД, да уточни изсикванията при изграждане на адекватна система за информационна сигурност и да маркира основните предизвикателства на съвременното ИО, в частност на облачните услуги, към технологичните структури за ЗЛД.

2. Особености на облачните услуги

 Първата дефиниция на термина “cloud computing” е лансирана на една конференция през юни 2006 г., за да опише предлагани през глобалната мрежа компютърни и комуникационни технологии, средства и подходи като услуги за отдалечени клиенти. Така една облачна среда (инфраструктура) предлага отдалечен и независим достъп до разпределени (и споделени) ресурси в глобалното информационно пространство. Ефектът е минимизиране на разходи за инфраструктура, администриране и софтуерно поддържане, защото за решаване на своите задачи клиентите използват виртуални инструменти (апаратни и програмни), осъществявайки отдалечен достъп до тях [5].

В различни литературни източници се дават дефиниции на облака, като например:

(1) “A Cloud is a type of parallel and distributed system consisting of a collection of inter-connected and virtualized computers that are dynamically provisioned and presented as one or more unified computing resource(s) based on service-level agreement established through negotiation between the service providers and consumers.”

[Buyya, R et. Al. (2009). Cloud Computing and Emerging IT Platform: Vision, Hype, and Reality for Delivering IT Services as the 5^th Utility. Future Generation of Computer Systems, vol. 25, pp.599-616.}

(2) “   a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storages, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction”.

[IT Laboratory of the National Institute of Standards and Technology (NIST)]

(3) “· Cloud computing provides flexible, location-independent access to computing resources that are quickly and seamlessly allocated or released in response to demand.
· Services (especially infrastructure) are abstracted and typically virtualized, generally being allocated from a pool shared as a fungible resource with other customers.
· Charging, where present, is commonly on an access basis, often in proportion to the resources used.”

[5, 6]

На базата на горните дефиниции всеки компютър, свързан с глобалната мрежа, може да осъществи достъп до предлагани изчислителни възможности, място за съхраняване на данни, използване на платформи и пр. при осигурена информационна защита. Облачните ресурси се предлагат на потребителите (клиентите) като услуга, като обработката (и съхраняването) им може да се извършва в различни центрове за даннни и клъстери, разположени в различни страни. Това превръща работната станция (персоналния компютър) в терминал за достъп до облака през комуникационна инфраструктура (компютърна мрежа), а възможностите се управляват от доставчика на услугата (Cloud Service Provider – CSP).

 Дефинирани са три основни модела на облачни услуги [5, 9]:

ü Инфраструктура като услуга (Infrastructure as a Service – IaaS) – клент може да използва предоствена компютърна мощност (за изчисление на собствени задачи) и/или памет (за трайно съхраняване на данни или други информационни ресурси), като представлява ниското ниво на облачната обработка.

ü Платформа като услуга (Platform as a Service – PaaS) – предоставя възможност за разработване и реализация на клиентски приложения чрез достъп и използване на виртуални средства в облака, осъществявайки връзката между останалите два типа услуги.

ü Софтуер като услуга (Software as a Service – SaaS) – това е високото ниво на облачната функционалност, позволяващо разработване на собствени потребителски приложения чрез софтуера, предоставян от облака.

През последните 2-3 години доста частни потребители, компании и организации използват „облака” за съхраняване на свои данни, включително – и персонална информация. Причината за това са преимуществата на облачните услуги [9]: лесно използване; независимост на местата за разполагане на данни; намалени разходи; възможност за множествено наемане; надеждност и пр.

Националният институт по стандарти и технологии (NIST) е дефинирал 4 модела на облачните изчисления [4]: обществен облак (инфраструктурата се предоставя на различни наематели), частен облак (с частна инфраструктура), облак на определена общност (обслужва специфичните изисквания на съответната общност), хибриден облак (композиция от различни облаци).

Доставчиците на облачни услуги твърдят, че това е бъдещето на съвременната информационна обработка. Не трябва да се забравя, обаче, че това е свързано и с доста проблеми, повечето от които не са видими на „първо четене”. Проблемът е, че законовата регулация в ЕС на този етап не успява да дефинира отговорностите на базови участници в облачните услуги, което е породено от спецификата на самата дейност в облака. Последното е свързано с правото на собственика на лични данни да може да се запознае с политиката на сигурност, методите и средствата за ЗЛД, което в облака, меко казано, е доста ограничено.

3. Основни принципи на обработката на лични данни

 Основните задачи при ЗЛД са регулирани от различни документи на нива ЕС и ЕК, един от които е Директива 95/46 [1, 5, 13]. Тя разширява обхвата на основополагащата Конвенция 108 (1981 г.), като се добавят изисквания за ЗЛД и при не-електронни носители и се обособяват специализирани органи по ЗЛД за всяка отделна страна и на ниво ЕС. Един от приносите на директивата е дефинирането на основни понятия и категории при ЗЛД, които са обобщени на фиг.1.

® Лични данни (ЛД) – всяка информация, която позволява еднозначно идентифициране на дадено лице (притежател на ЛД) по определен начин (физически, психически, медицински, икономически и пр.).

® Обработка на ЛД – всяка операция или съвкупност от такива, свързана с представяне, съхраняване, преобразуване и пр. на ЛД чрез автоматизиран или не-автоматизиран подход.

® Администратор на ЛД (АЛД) – отговорният субект за коректната обработка на ЛД, изпълняващ това съгласно законови разпоредби при ясно дефинирана цел и процедури. Поддържа регистър на ЛД, като е задължен да предприема необходимите мерки за неговата защита.

® Обработващ  ЛД – извършва непосредствената обработка на ЛД при ясна оторизация от страна на АЛД и от негово име, което го задължава да спазва целите, процедурите и мерките по защита на регистрите с ЛД (РЛД).

Фигура 1. Категории и взаимоотношения при обработка на ЛД за физически лица

Основните отговорности по коректната обработка на ЛД е на АЛД, който трябва да я организира съгласно Европейските директиви и националното законодателство. Тъй като в ЕС се прилага т.нар. „централизиран модел“ (модел на централизирано законодателство), отделните страни-членки трябва да съгласуват своите правни норми по обработка на ЛД с общоевропейските. Това е от съществено значение в съвременното ИО [1, 3]. Базовата правна рамка се основава на няколко основни принципи на коректност, дефинирани още през 70-те години, като едно кратко обобщение е дадено по-долу.

® Относно правата на физическите лица (собственик на ЛД).

Всяка обработка на ЛД задължително трябва да става със съгласието на лицата, освен ако това е неуместно. Трябва да се осигури свободен достъп до информация за политиките и практиките, свързани с управлението на ЛД, както и възможност за проверка на коректността на ЛД, тяхната точност и пълнота и при необходимост да се изисква корекция.

® Относно задълженията на АЛД.

Събирането на ЛД може да става само при ясно дефинирана цел, определяща рамките на обработването им и да става на законно основание. Всяко отклонение от последното може да става единствено със съгласието на лицето или – в случаите, предвидени в закон. ЛД трябва да се съхраняват за време, необходимо за изпълнение на поставената цел.

® Относно поддържаните РЛД.

Поддържаните ЛД в регистрите трябва да са прецизни, пълни и актуални, трябва да са защитени с адекватни мерки за сигурност, като АЛД се задължават (чрез назначен служител) да опазват ЛД, които съхраняват.

Независимо от множеството документи на ЕК, дискутиращи отговорностите на АЛД при ЗЛД, в съвременното ИО процедурите по обработка на ЛД трябва да станат много по-ефективни. Осъзнавайки рисковете на Интернет-пространството, ЕК утвърди възможностите на т.нар. PET (Privacy Enhancing Technologies) за осигуряване на информационна сигурност за ЛД. Това е от особено значение при използване на облачните услуги [3, 7, 9, 12]. В много публикации се стига до извода, че задачите по информационна сигурност в облачните среди трябва да се пре-формулират и ЗЛД трябва да се адаптира към новите предизвикателства, отправени от обработката на данни в облака [4, 5, 8, 10, 13].

4. Защита на личните данни и политиката за сигурност

Непрекъснато променящите се по своите възможности ИКТ, прилагани в глобалното пространство, формират нови изисквания към политиките за информационна сигурност. Изграждането на разпределени среди със споделяни ресурси и отдалечен достъп до тях засилва необходимостта от прилагане на ефективни мерки за ЗЛД от институциите. Това налага разработване на ефективна Система за сигурност на личните данни (ССЛД) като част от политиката за ЗЛД, а последната да се разглежда като част от глобалната политика за обща сигурност – фиг. 2.

Фигура 2. Политиката за ЗЛД в общата рамка на политиката за сигурност

Първият стандарт за политика за сигурност (Trusted Computer System Evaluation Criteria – TCSEC, 1985, САЩ) я дефинира като съвкупност от правила, стандарти, процедури и инструкции за регулиране на управлението, защитата и разпространението на информацията. Информационната сигурност трябва да се възприема като базова компонента на политиката за сигурност [9], а политиката за ЗЛД е следствие на горното. Това, макар и не в дълбочина, е маркирано в Директива 95/46 [13]. Това налага политиката за ЗЛД да се хармонизира с правилата и нивата на политиката за ИТ сигурност, които определят конкретни изисквания, свързани с изграждане на адекватна и ефективна ССЛД – фиг. 3.

Фигура 3. Структурна организация по нива на Система за сигурност на ЛД (ССЛД)

ССЛД е съвкупност от технически и организационни подходи, инструментариум и конкретни средства за защита на структурите от данни (регистри с ЛД, персонална идентификационна информация, потребителски профили и пр.). Задачите на тази система са насочени към различни ИТ обекти, включително – към компютри и работни станции, публични и частни мрежи, разпределени и виртуални среди, мобилен Интернет и GRID, среди за облачни услуги и пр., а тяхното използване непрекъснато нараства [3, 4]. Това трябва да бъде анализирано [7], за да се осигури необходимата ЗЛД в съвременното мрежово общество [10] или – при съхраняване на персонална информация в облака [14].

Едно обобщение на стратегия за организация на ЗЛД, базирана на принципите на политиката за ИТ сигурност, е дадено на фиг. 4. Йерархичната организация определя последователни стъпки, започвайки от инфраструктурното изграждане, за да се достигне до създаването и поддържането на ССЛД. Важна отговорност на всеки АЛД е разработването на инструкция за мерките, осигурявящи необходимата защита на данните и правила за използване на ССЛД. Инструкцията трябва да включва стратегия, методи и средства за надеждна информационна сигурност и защита на ЛД от различни въздействия – преднамерени и случайни, както и препоръки и правила за реализация на общата политика за сигурност.

Фигура 4. Стратегия за организация на защитата на ЛД

Правилата трябва да дават конкретни норми за прилагане на ССЛД при:

ü минимизиране на възможностите за неправомерен достъп до информационни ресурси, вкл. копиране, разпечатване, кражба на носител и пр.;

ü ограничаване на неавторизирания достъп до информационните ресурси в рамките на корпоративната информационна система или административните регистри;

ü минимизиране на опасностите от загуба на функционалност, вътрешни и външни атаки, нарушаване на целостта и коректността на данните и пр.;

ü възстановяване на системни ресурси при възникнали атаки или други произшествия и пр.

5. Предизвикателства ва „облака” към ЗЛД

Направеният в [7] анализ на риска води до извода, че доставчиците на облачни услуги трябва да убедят своите клиенти относно адекватността на прилаганата политика за сигурност при защита на персоналната информация. Авторите са убедени за наличието на определен риск при обработка на данни в облака, тъй като е доста трудно за потребителя на облачни услуги (в ролята на администратор на ЛД) да проверява законосъобразността при обработка на ЛД от доставчика. Това е още по-значимо, когато става въпрос за трансфер на ЛД между различни облаци.

Особеностите и параметрите на облачната обработка трябва да бъдат внимателно анализирани от Европейските органи по ЗЛД, като ясно се дефинират отговорностите на предлагащите облачни услуги и ролята им като АЛД или обработващ ЛД. В Директива 95/46 се дискутират случаите на обработка на ЛД в зависимост от териториалното разположение на АЛД, но смисълът на облачната обработка налага нов поглед и съответната редакция. Това се посочва и в доклада “Data Protection and Cloud Computing under EU Law” на Peter Hustinx (Европейски супервайзор по ЗЛД) по време на 3^rd European Cyber Security Awareness Day, April 2010. Заключението е, че Директивата трябвада се актуализира, което е и изводът, направен в [13].

Основните предизвикателства на облачната обработка могат да се обобщят в следните няколко направления.

® На първо място, от съществено значение е различните участници в облачната обработка ясно да се идентифицират като АЛД, обработващ на ЛД или собственик на ЛД, както и да се определят техните отговорности по процедурите и политиката за ЗЛД. Една възможност е клиент на облака да се определи като АЛД, но това влиза в противоречие със задължението по определяне на средствата и предназначението на облачната обработка, което се прави от доставчика на облачни услуги. Проблемът в облачните среди е, че функциите на клиент, собственик и доставчик, както и взаимоотношенията между тях, могат да бъдат определени ясно само за конкретен случай.

® Вторият проблем е резултат на горното и се отнася за защитата на правата на собственика на ЛД. Съществува риск за неприкосновеността на личността при съхраняване на информацията за персонална идентификация в облака. Реално погледнато, ако доставчикът не е определен като администратор или обработващ ЛД, той няма законовите задължения за ЗЛД, и съответно отговорностте за предприемане на необходимите организационни и технологични мерки за защита. Самата възможност статусът на един доставчик на облачни услуги да бъде определян по различни начини, както и възможността за промяната му, прави извънредно трудно решаването на този проблем. Тази особеност дава възможност да се игнорират определени задължения по ЗЛД при предоставяне или прехвърляне на ЛД към трети страни (вкл. друг облак) за обработката им. Не по-малък проблем е и правото на собственика на ЛД за проверка, корекция, блокиране или изтриване на собствени данни в облака, което се гарантира от Европейското и националното законодателство. От друга страна пък, доставчикът на облачни услуги има пълен достъп до персоналните данни, съхранявани в облака.

® Друг проблем на “облака” са процедурите по заличаване (изтриване) на ЛД. Ако даден потребител на облачни услуги подаде заявка за изтриване на определени свои ЛД, той не може да получи ясни гаранции, че това наистина ще бъде (или е) направено. В определени случаи съществува възможност изтриването да е частично или да останат копия на ЛД при извършен преди това трансфер към трети страни (облаци).

® Характеристиката на облака “множествено наемане” се изтъква като предимство, но тя води до немалък риск за ЛД на потребителите. Наличието на много наематели в облака означава множествено споделяне на общи ресурси (включително – и информационни ресурси), достъпвани от отдалечени работни места. Това предопределя възможността за злонамерен или случаен (непреднамерен) достъп до чужди ЛД. В законодателството по ЗЛД отсъстват детайли по стратегията за споделяне на общодостъпни информационни ресурси от различни наематели.

® Самите общодостъпни ресурси също пораждат проблеми за ЗЛД. Известно е, че облачните среди се реализират в глобалната мрежа и Интернет-проблемите по информационната сигурност се пренасят и върху облачните услуги (загуба на данни, разрушаване на целостта, хакерски атаки, възможност за отчетност и пр.). В повече от случаите при отдалечен достъп до общи ресурси за потребителите не са известни прилаганите процедури за маршрутизация в мрежата, още повече, че ЛД могат да бъдат съхранявани в различни места (страни) с различна регулация по ЗЛД. В тези случаи собственикът на ЛД не може да се запознае с политиката и мерките за ЗЛД за противодействие срещу евентуални атаки. Дори ако клиентът на облака е АЛД, това пречи на изпълнението на задълженията му по закон. Това е още по-съществено в случаите на чувствителни данни (например, медицински записи), съхранявани в различни физически хранилища в облака.

® Международният трансфер на ЛД, съгласно Директива 95/46, може да се осъществява към страни с аналогична на ЕС ЗЛД. Прехвърлянето на данни е типична операция за облачните модели, защото трансферирането на клиентска информация между различни центрове за данни (хранилища в облака) в различни страни е нормална процедура за доставчиците. Това налага разработването на допълнителна регулация (подобна на споразумението Safe Harbor Program със САЩ), защото съгласно Директивата, ако една съхранена в облака информация се явява ЛД, то тя трябва да бъде надлежно защитена. В този смисъл, когато доставчик предлага облачни услуги на частно лице, то трябва да се разглежда като администратор на ЛД и достъвчикът трябва да осигури конкретни мерки за защитеност и конфиденциалност на предоставените в облака ЛД (за персонална идентификация и други).

® Не на последно място трябва да се обърне внимание на техническите и организационните мерки за ЗЛД, които са основно задължение на АЛД. Както беше изтъкнато, Интернет-спецификата на облака изисква засилено внимание към политиката за информационна сигурност за ЛД и мерките срещу опити за тяхната неправомерна обработка. Доставчикът на облачни услуги трябва да гарантира ефективна защита на ЛД относно тяхната цялост (integrity), достъпност (availability), достоверност (reliability), автентичност (authenticity), отчетност (accountability). Проблемът е, че нарастването на прилаганите мерки за сигурност води до намаляване на производителността на информационната обработка, което поставя достъвчиците на облачни услуги пред необходимостта от избор на най-подходящите подходи и средства за защита в конкретния случай.

6. Заключение

 Засилващото се навлизане на облачните услуги в обществения живот и нарастването на техните потребители, включително частни лица, компании и административни структури, поставят нови изисквания към конкретни страни на облачната обработка, свързани с подобряване на нормативната рамка. Някои от по-важните насоки, изискващи адекватна регулация, са свързани с процедурите за обработка на ЛД в облака, дефиниране на отговорностите на участниците в облачните услуги, спазване на всички права на клиентите като собственик на ЛД, решаване на проблемите по международния трансфер на ЛД, прилагане на подходящи организационни и технически мерки за информационна сигурност и защита на ЛД.

Конкретни предложения в тази посока са давани през последните 1-2 години, както от Европейският супервайзор по ЗЛД, така и от Работната група по член 29 (EU Article 29 Data Protection Working Party) [5, 6]. Някои от тях целят изясняване на статута на АЛД и обработващ ЛД в облака и определяне на отговорностите. При други се дискутира приложимостта на Директива 95/46 относно териториалното разположение на ресурсите на облака и изискванията при международен трансфер на ЛД.

 В заключение, оказва се доста трудно директното прилагане на принципите на основополагащата Директива 95/46 при облачните услуги, но не е невъзможно да се направят редакции и подобрения в нея с цел тя да отговори адекватно на предизвикателствата на облака. Необходимо е на Еропейско ниво (и в частност – на национално ниво) да се намерят ефективни решения на дискутираните по-горе проблеми.

Литература

 [1] Романски, Р., И, Нонинска. Информационни технологии в бизнеса. София, СУБ, 2010, 252с.

[2] Bennett, C.J. (2011). Privacy Advocacy from the Inside and the Outside: Implications for the Politics of Personal Data Protection in Networked Societies. Journal of Comparative Policy Analysis: Research and Practice, vol. 13, No. 2, pp.125-141.

[3] Chen, D., H. Zhao (2012). Data Security and Privacy Protection Issues in Cloud Computing. International Conference on Computer Science and Electronics Engineering (ICCSEE).
23-25 March 2012, vol. 1, pp.647-651.

[4] Cheng, Fa-Chang, Wen-Hsing Lai (2012). The Impact of Cloud Computing Technology on Legal Infrastructure within Internet—Focusing on the Protection of Information Privacy. International Workshop on Information and Electronics Engineering, Published in Procedia Engineering, vol. 29, pp.242-252.

[5] Hon, W. Kuan Hon, Ch. Millard, I. Walden (2011). The Problem of ‘Personal Data’ in Cloud Computing: what Information is Regulated? International Data Privacy Law, vol.1, No. 4, pp.211-228 (http://idpl.oxfordjournals.org/content/1/4/211.full.pdf+html).

[6] Hon, W Kuan, Ch. Millard (2012a). Data Export in Cloud Computing – How can Personal Data be Transferred outside the EEA? The Cloud of Unknowing, Part 4. Social Science Research Network, 38 p. (available at: http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1925066).

[7] Rana, S., Pr. Kumar Joshi (2012). Risk Analysis in Web Applications by using Cloud Computing. International Journal of Multidisciplinary Research, vol. 2, No. 1, pp. 386-394.

[8] Ryan, M. D. (2011). Cloud Computing Privacy Concerns on Our Doorstep. Communication of the ACM, vol. 54, No. 1, pp.36-38.

[9] Shaikh, R., M. Sasikumar (2012). Security Issues in Cloud Computing: A Survey. International Journal of Computer Applications, vol. 44, No. 19, pp. 4-10.

[10] Sluijs, J. P., P. Larouche, W. Sauter (2011). Cloud Computing in the EU Policy Sphere. TILEC Discussion Paper No. 2011-036, (available at: http://ssrn.com/abstract=1909877 or http://dx.doi.org/10.2139/ssrn.1909877)

[11] Subashini, S., V. Kavitha (2011). A survey on security issues in service delivery models of cloud computing. Journal of Network and Computer Applications, vol. 34, No. 1, pp. 1-11.

[12] Takabi, H., J.B.D. Joshi, G. Ahn (2010). Security and Privacy Challenges in Cloud Computing Environments. IEEE Security and Privacy, vol. 8, No. 6, pp.24-31.

[13] Wong, R. (2012). The Data Protection Directive 95/46/EC: Idealisms and Realisms. International Review for Computers and Law (available at: http://ssrn.com/abstract=1985298).

[14] Zhang, J. H., N. Zhang, Ch. Ch. Fu (2011). Privacy Protection in Cloud Storage. Applied Mechanics and Materials, vol. 55-57, pp.504-507.