云中的合規性:避免云合規陷阱
最近的一項調查發現,四分之一以上的組織計劃在未來一到兩年內將所有IT基礎設施和工作負載轉移到云端。
與此同時,在備份軟件提供商Veritas公司的調查中,83%的受訪者認為云計算服務提供商將會保護用戶的數據。但這種想法是不切實際的,而且在目前的監管環境中,這是危險的,并且可能是潛在的合規性陷阱。
當然,組織可以通過提高效率、靈活性和降低業務成本從云計算服務中受益。
組織機構可以結合自己和供應商的基礎設施采用混合云和多云服務,而這些云平臺由于其具有的性能和成本優勢而越來越受歡迎。而這些趨勢將會促進組織的云計算應用。
云合規差距
在數據保護條例越來越嚴格的情況下,更多地使用云計算的舉措正在出現。
歐盟的“通用數據保護條例”(GDPR)不僅已經生效,其他條例(如更新支付卡PCI-DSS標準)也促使組織審查其收集和處理信息的方式。
像GDPR這樣的法規為個人帶來了一些額外的權利和保障,例如被遺忘的權利和組織的新義務,以及強制披露數據泄露事件等。
然而,GDPR的情況并不是新生事物。相反,它是對現有數據保護規則的澄清和整合。因此,具有可靠數據保護和隱私政策的組織應該能夠遵從GDPR法規。
但是,組織采用云計算的舉措可能會暴露在合規性方面的差距,特別是對于主要處理個人數據的組織。GDPR法規對“個人數據”提出了更清晰的定義。這個定義比許多國家的數據保護法規定的定義要寬泛得多。
在GDPR的規定之下,組織在收集、處理或存儲個人數據違規的情況很難爭辯。因此,不可避免地會對使用云計算的組織產生影響。
Dentons律師事務所的技術、媒體和電信團隊的合伙人Dan Burge說:“遷移到云計算并沒有帶來法規的豁免。”但它可能會讓組織遵守這些規則更加困難。
多云也是多重挑戰
組織將業務轉移到云端可能會帶來一系列實際的管理和監管挑戰。
但是對于合規性,首席信息官和安全官員面臨的關鍵問題是組織存儲的數據類型以及數據的位置。運行自己的內部數據庫、檔案和存儲系統的組織應該能夠識別大部分數據的位置。他們可以指定系統和數據中心的位置,并進行IT設置,以便限制數據(例如歐盟)在特定的地理位置進行存儲和處理。從其他業務信息中分離個人數據應該同樣適用于良好的IT控制。
識別數據類型或是數據分類,也應該通過內部系統和合規人員來實現。但是,向外部位置遷移數據存儲和IT工作負載會給組織帶來新的挑戰。
云計算供應商通過提供規模經濟來發揮作用。要做到這一點,他們需要匯總數據。云計算提供商也建立了彈性,并且這樣做將在多個位置承載數據。
詳細了解存儲和合規性
除非組織的規模足夠大可以擁有并運營私有云系統,或者采用可能分散在幾個地理上分散的私有云,否則他們需要將適合的數據交給云計算服務提供商進行存儲。
這對用戶的“數據主權”產生了挑戰,并且用戶知道數據在何時何地使用。
組織的CIO們可能不知道他們的云服務在哪些國家和地區存儲數據。而云計算提供商可能不知道他們是否使用高度自動化的系統實現負載均衡,并確保業務連續性和災難恢復。
數據的位置
組織經常忽視數據的確切位置。最安全的解決方案是使用云服務,并將數據鎖定到一個位置,或者至少將數據保存在一個管轄區域內,如歐盟各國。
但首先,組織需要確定他們收集和處理的信息類型。如果其首席信息官不清楚進入云端的數據類型,任何控制或審計數據位置的嘗試都會失敗。
有些數據類型可以清楚地標識為敏感數據。例如,保險號碼、銀行賬號、健康信息、地址、年齡等細節都是客戶希望企業保護的所有數據類型。
但是,在GDPR法規下個人數據的定義比傳統的以美國為中心的個人身份信息(PII)定義更寬。
SaaS應用程序、電子商務,甚至社交媒體都有可能在云中創建敏感數據。正如最近的媒體報道的事件,任何將在線互動與個人簡介結合在一起的功能都能夠快速將記錄帶進個人數據領域。基于SaaS的客戶關系應用程序或保險承保應用程序利用來自社交媒體或其他來源的數據日志,風險會更高。
如果有某種方法通過組合數據字段追蹤個人信息,即使匿名或清理記錄也可以恢復。法律制定者稱之為“馬賽克識別”,并且可能會發生在云端運行的應用程序,而組織的CIO卻沒有意識到這個風險。
鎖定數據
幸運的是,組織可以采取措施解決云合規問題。
首先是在特定的提供商服務中限制云計算的使用或將限制用途,而對于數據地理位置則采取健全且透明的策略。
但是,對于需要使用公共云的組織(即那些采用多供應商策略的組織),下一步是仔細審核所有數據,以確保個人數據得到識別、跟蹤并實施數據主權政策。
一旦組織的CIO和數據保護人員知道他們正在處理的數據是什么樣的,他們可以采取實際措施來保護數據。建議采用基于客戶端的加密優化做法,因為如果云計算服務遭到黑客攻擊,并具有丟失數據的風險,即使它沒有解決數據主權問題,加密優化也可以降低數據丟失的風險。
組織還應該審查他們的云計算服務提供商的安全策略,其中包括SaaS平臺和遵守他們自己的數據合規政策和標準,例如ISO27001。
對于混合云和多廠商云來說,盡管仍然可行,但很難實施。多云數據管理工具雖然對市場來說還相對較新,但它為IT和數據保護團隊提供了對其存儲數據進行更快速、更加深入監控的前景。
但任何采用云計算的組織都需要意識到,無論他們對IT部門如何改進,都不能將合規責任推卸出去。而確保云計算提供商符合當前標準是膙盡職調查流程的一部分。因此,遵守GDPR法規和違規處罰等法律責任則完全落在組織身上,而不是其云計算供應商。
