云的符合性:避免云合规性陷阱

2022-02-01 14:46:11来源:

最近的一项调查发现,四分之一的企业有一个以上的企业打算将所有IT基础架构和工作负载在未来12到24个月内移动到云端。

与此同时,83%的问题 - 备份软件制造商Veritas的研究 - 认为云服务提供商将保护客户的数据。

这是不切实际的,并且在目前的监管环境中,它是危险的,潜在的合规性陷阱。

当然,组织可以通过更高的效率,灵活性和较低的开展业务取得更高的云服务。

和混合动力和多云规定 - 组织结合自己的组织和供应商的基础设施 - 由于其性能和成本效益,越来越受欢迎。

但是,这些趋势可以在涉及云合规性时捕获组织。

在数据保护规范严重紧缩的时候,朝向更大使用的移动趋势。

欧洲联盟的一般数据保护条例(GDPR)不仅生效,而且其他法规,如PCI-DSS支付卡标准的更新,促使组织审查它们如何收集和处理信息。

诸如GDPR等法规为杀戮提供了一些额外的权利和保障措施,例如遗忘的权利和关于任何数据违约的强制性披露等组织的新义务。

然而,在GDPR中,很多并不是新的。相反,它是澄清和整合现有的数据保护规则。因此,具有稳固数据保护和隐私政策的组织应该能够处理到GDPR的过渡。

但对云计算的移动可能会揭示合规缺口 - 特别是对于处理个人数据的组织。GDPR规定了更清晰的“个人数据”定义。定义比在许多国家数据保护法范围内相当广泛。

在GDPR下,公司将很难争辩,他们不会收集,处理或存储个人数据。因此,不可避免地对使用云的组织存在后果。

“向云的举动不会豁免法规,”律师事务所金融公司的技术,媒体和电信团队合作伙伴说,丹贝尔斯说。但它可以使符合这些规则更难。

搬到云可以带来一系列实际,行政和监管挑战。

但是,为了合规性,首席信息官员和保安人员面临的关键问题是组织商店以及该数据所在的数据类型的数据。

运行自己的内部数据库,档案和存储系统的组织应该有一个职位,以确定最多,希望所有数据的位置。

他们可以指定系统和数据中心的位置,并设置它,以便限制对某个地理的数据 - 例如,在该地理中存储和处理。同样,从其他商业信息中删除个人数据,与良好的IT控件是可行的。

识别数据类型 - 数据分类 - 也应通过内部系统和合规官员可实现。

但是转移到数据存储和IT工作负载的外部位置会产生新的挑战。

云计算扫描器通过提供规模经济。为此,他们需要聚合数据。云提供商还构建了恢复力,并这样做将在多个位置寄出数据。

除非组织足够大以支付私有云系统 - 或可能是几个地理上分散的私有云 - 他们将把数据交给他们的云服务提供商,以便在他们看到适合时存储。

这在“数据主权”周围创造了挑战,并知道数据在任何时刻的位置。

CIO可能不知道他们的云服务存储数据中的哪些国家。云提供商甚至可能无法知道它们是否使用高度自动化系统进行负载平衡,并确保业务连续性和灾难恢复。

组织经常忽略了数据的确切位置。最安全的解决方案是使用将数据锁定到一个位置的云服务,或者至少将其保留在一个管辖区内,例如欧盟。

但首先,组织需要确定他们收集和流程的信息。如果CIO缺少触及云的数据类型的清晰图像,则禁止控制或审核数据位置的任何尝试都失败。

一些数据类型清晰可识别为敏感。国家保险号,银行和健康信息,地址和年龄细节都是客户希望企业保护的所有数据类型。

但是,GDPR下的个人数据的定义比个人识别信息(PII)的传统美学定义更广泛。

然后有机会在SaaS应用程序,电子商务甚至社交媒体中在云中创建敏感数据。随着最近的媒体头条新闻表明,将在线交互与inpidual的简档结合到个人数据的领域,将记录带入个人数据领域。

如果拍摄一个理论示例,风险就会越高 - 基于SaaS的客户关系应用程序或保险承保应用程序在社交媒体或其他来源的数据日志上绘制。

甚至认为匿名或清洁的记录甚至可以通过组合数据字段追踪inpidual的方法来恢复为个人数据。法律制造商称这种“马赛克识别”,以及在云中运行的应用程序可能会发生在没有CIO的情况下发生的风险。

幸运的是,有些步骤组织可以采取措施来解决云遵守的陷阱。

第一个和最剧烈的是限制云使用云或限制其对特定提供商的用途,具有稳健且透明的数据地理位置策略。

但是,对于需要使用公共云的组织 - 即,具有多供应商策略的组织 - 下一步是仔细审计所有数据以确保已确定,跟踪和数据主权策略所识别的个人数据。

一旦CIO和数据保护人员知道他们正在处理的数据,他们就可以采取实际步骤来保护它。建议基于客户的加密是良好的做法,因为它降低了数据丢失的风险,如果云服务被黑客攻击并削减在运输中丢失数据的风险,即使它没有地解决数据主权。

董事会还应仔细审查其云服务提供商,包括SaaS平台,以遵守自己的数据合规性政策和标准,如ISO27001。

对于混合和多供应商云,这仍然可能更难。多云数据管理工具,虽然市场仍然相对较新,但提供了它和数据保护团队的前景更快,更深入地监督他们存储的数据。

但是,任何处理云的人都需要以任何方式整理他们,他们不能外包责任。为了确保云提供商符合当前标准是尽职调查过程的一部分。遵守GDPR等法律,以及违规处罚正好在业务上,而不是云供应商。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章