云中的合规性:避免云合规陷阱

欧盟的“通用数据保护条例”(GDPR)不仅已经生效,其他条例(如更新支付卡PCI-DSS标准)也促使组织审查其收集和处理信息的方式。像GDPR这样的法规为个人带来了一些额外的权利和保障,例如被遗忘的权利和组织的新义务,以及强制披露数据泄露事件等。

最近的一项调查发现,四分之一以上的组织计划在未来一到两年内将所有IT基础设施和工作负载转移到云端。

与此同时,在备份软件提供商Veritas公司的调查中,83%的受访者认为云计算服务提供商将会保护用户的数据。但这种想法是不切实际的,而且在目前的监管环境中,这是危险的,并且可能是潜在的合规性陷阱。

当然,组织可以通过提高效率、灵活性和降低业务成本从云计算服务中受益。

组织机构可以结合自己和供应商的基础设施采用混合云和多云服务,而这些云平台由于其具有的性能和成本优势而越来越受欢迎。而这些趋势将会促进组织的云计算应用。

云合规差距

在数据保护条例越来越严格的情况下,更多地使用云计算的举措正在出现。

欧盟的“通用数据保护条例”(GDPR)不仅已经生效,其他条例(如更新支付卡PCI-DSS标准)也促使组织审查其收集和处理信息的方式。

像GDPR这样的法规为个人带来了一些额外的权利和保障,例如被遗忘的权利和组织的新义务,以及强制披露数据泄露事件等。

然而,GDPR的情况并不是新生事物。相反,它是对现有数据保护规则的澄清和整合。因此,具有可靠数据保护和隐私政策的组织应该能够遵从GDPR法规。

但是,组织采用云计算的举措可能会暴露在合规性方面的差距,特别是对于主要处理个人数据的组织。GDPR法规对“个人数据”提出了更清晰的定义。这个定义比许多国家的数据保护法规定的定义要宽泛得多。

在GDPR的规定之下,组织在收集、处理或存储个人数据违规的情况很难争辩。因此,不可避免地会对使用云计算的组织产生影响。

Dentons律师事务所的技术、媒体和电信团队的合伙人Dan Burge说:“迁移到云计算并没有带来法规的豁免。”但它可能会让组织遵守这些规则更加困难。

多云也是多重挑战

组织将业务转移到云端可能会带来一系列实际的管理和监管挑战。

但是对于合规性,首席信息官和安全官员面临的关键问题是组织存储的数据类型以及数据的位置。运行自己的内部数据库、档案和存储系统的组织应该能够识别大部分数据的位置。他们可以指定系统和数据中心的位置,并进行IT设置,以便限制数据(例如欧盟)在特定的地理位置进行存储和处理。从其他业务信息中分离个人数据应该同样适用于良好的IT控制。

识别数据类型或是数据分类,也应该通过内部系统和合规人员来实现。但是,向外部位置迁移数据存储和IT工作负载会给组织带来新的挑战。

云计算供应商通过提供规模经济来发挥作用。要做到这一点,他们需要汇总数据。云计算提供商也建立了弹性,并且这样做将在多个位置承载数据。

详细了解存储和合规性

除非组织的规模足够大可以拥有并运营私有云系统,或者采用可能分散在几个地理上分散的私有云,否则他们需要将适合的数据交给云计算服务提供商进行存储。

这对用户的“数据主权”产生了挑战,并且用户知道数据在何时何地使用。

组织的CIO们可能不知道他们的云服务在哪些国家和地区存储数据。而云计算提供商可能不知道他们是否使用高度自动化的系统实现负载均衡,并确保业务连续性和灾难恢复。

数据的位置

组织经常忽视数据的确切位置。最安全的解决方案是使用云服务,并将数据锁定到一个位置,或者至少将数据保存在一个管辖区域内,如欧盟各国。

但首先,组织需要确定他们收集和处理的信息类型。如果其首席信息官不清楚进入云端的数据类型,任何控制或审计数据位置的尝试都会失败。

有些数据类型可以清楚地标识为敏感数据。例如,保险号码、银行账号、健康信息、地址、年龄等细节都是客户希望企业保护的所有数据类型。

但是,在GDPR法规下个人数据的定义比传统的以美国为中心的个人身份信息(PII)定义更宽。

SaaS应用程序、电子商务,甚至社交媒体都有可能在云中创建敏感数据。正如最近的媒体报道的事件,任何将在线互动与个人简介结合在一起的功能都能够快速将记录带进个人数据领域。基于SaaS的客户关系应用程序或保险承保应用程序利用来自社交媒体或其他来源的数据日志,风险会更高。

如果有某种方法通过组合数据字段追踪个人信息,即使匿名或清理记录也可以恢复。法律制定者称之为“马赛克识别”,并且可能会发生在云端运行的应用程序,而组织的CIO却没有意识到这个风险。

锁定数据

幸运的是,组织可以采取措施解决云合规问题。

首先是在特定的提供商服务中限制云计算的使用或将限制用途,而对于数据地理位置则采取健全且透明的策略。

但是,对于需要使用公共云的组织(即那些采用多供应商策略的组织),下一步是仔细审核所有数据,以确保个人数据得到识别、跟踪并实施数据主权政策。

一旦组织的CIO和数据保护人员知道他们正在处理的数据是什么样的,他们可以采取实际措施来保护数据。建议采用基于客户端的加密优化做法,因为如果云计算服务遭到黑客攻击,并具有丢失数据的风险,即使它没有解决数据主权问题,加密优化也可以降低数据丢失的风险。

组织还应该审查他们的云计算服务提供商的安全策略,其中包括SaaS平台和遵守他们自己的数据合规政策和标准,例如ISO27001。

对于混合云和多厂商云来说,尽管仍然可行,但很难实施。多云数据管理工具虽然对市场来说还相对较新,但它为IT和数据保护团队提供了对其存储数据进行更快速、更加深入监控的前景。

但任何采用云计算的组织都需要意识到,无论他们对IT部门如何改进,都不能将合规责任推卸出去。而确保云计算提供商符合当前标准是膙尽职调查流程的一部分。因此,遵守GDPR法规和违规处罚等法律责任则完全落在组织身上,而不是其云计算供应商。

版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。

(来源:企业网D1Net)

如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2018-05-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

2017年云计算可能更加动荡

如今,云生态系统的安全威胁矩阵正在发展演变。这是为什么?因为有更多的用户,更多的数据和新技术可以在分布广泛的距离上传送信息。事实上,最新的思科云端索引报告显示了...

3266
来自专栏镁客网

敲定了!微软以75亿美元收购代码托管平台Github | 热点

1636
来自专栏Youngxj

我的世界中国版发布会于4月7日在水立方召开 将公布首测日期

1584
来自专栏安全领域

物联网用例 - 2016

原文地址:https://dzone.com/articles/real-world-problems-solved-by-iot

3749
来自专栏腾讯开源的专栏

腾讯荣升Linux基金会白金会员助力支持开源社区

1716
来自专栏安全领域

物联网正在改变制造业的五种方式

物联网革命正在改变世界各地的企业开展业务的方式,帮助他们更有效地工作,取得比以往更好的成果。在工业领域,最能体现这一点的例子就是:制造商现在能够收集来自传感器的...

4375
来自专栏企鹅号快讯

15:21爆出的小程序功能升级,你还要对小程序观望吗?

今日15:21,小程序功能升级简短的7个字,把小程序从业者全都炸了出来。 微信更新的 6.6.1 版本突然开放了小游戏,微信启动页面还重点推荐了小游戏跳一跳。这...

2197
来自专栏人称T客

传统安全已不够用 2014年CIO不能忽视云和移动双重风险

 信息系统的安全在今天已是一个热门的话题,尤其许多焦点都集中在数据保护的议题之上。到了2014年,企业仍然需要使用安全产品如防火墙与入侵检测系统,持续地维护网络...

2734
来自专栏速成应用小程序开发平台

微信小程序商城成为标配 未来小程序电商渠道应该是什么姿态

这是蘑菇街、茵曼、享物说在小程序上的“牛刀小试”。如今提起电商,首先映入脑海的未必是万能的淘宝或者京东,拼多多、云集、一条、享物说、女王新款、蘑菇街女装、靠谱好...

1192
来自专栏云计算D1net

走好未来之路 剖析云计算五大信息安全瓶颈

随着企业云技术的发展,云计算已经成为了大多数企业员工茶余饭后的谈资。 何为云计算?对云计算的定义有多种说法。对于到底什么是云计算,至少可以找到100种解释。 目...

3905

扫码关注云+社区

领取腾讯云代金券