新的欧盟《通用数据保护条例》(GDPR)将于2018年5月25日生效。因此,各种规模的企业都必须审查GDPR颁布的变化,并确定针对其自身的组织和技术影响。距离强制截止日期只有不到一个月的时间,许多公司仍未被视为“做好GDPR准备”。其中许多公司正争分夺秒地实施正确的IT安全和隐私政策。云计算和更高水平的数据保护应该相辅相成。除了早期的一些担忧之外,新的监管挑战可能会为云服务提供商和云用户带来新的机遇。
太长不看?跳过至六个关键标准…
引言
在数字化进程中,数据保护和数据安全正日益受到关注。它们被视为成功走上数字化转型之路的关键资质。
GDPR的背景和目标是实现欧盟成员国之间的协调一致,从而在欧盟地区实施统一的数据保护法,同时改善相关人员的法律地位。以下是针对GDPR做出的一些最重要变化:
- 违规罚款大幅增加 – 最高可达年收入的2%或4%,具体取决于违规的严重程度。
- 通过透明度和信息要求,受影响个人的权利得到了显著加强。
- 除了众所周知的数据保护义务外,还引入了新的义务,例如电子设备的隐私友好型默认设置。
- 新规也适用于总部不在欧盟但收集欧盟公民数据的公司。
挑战
企业决策者和安全专家现在正在思考新的GDPR法规会是什么样子,以及他们应该如何准备和执行GDPR的实施。此外,“GDPR准备就绪”的问题也引起了首席信息安全官(CISOs)的共鸣。
许多企业决策者会认为这是“又一个来自布鲁塞尔、没人会注意到的新规”。然而,GDPR有充分的理由受到重视。首先,法规的变化将加强所有相关人员的权利。这可能会在未来发生涉及欧盟公民的数据泄露时导致重大的经济处罚。
除了潜在的物质损失外,对企业声誉的潜在损害也具有重大意义。媒体正致力于宣传隐私问题。对于所有尚未具备符合新要求所需专业知识的公司来说,这是一个警钟。这是因为随着GDPR于2018年5月生效,罚款将大幅增加。由于罚款高达2000万欧元或年营业额的4%,GDPR这一话题已引起各种规模企业管理层的关注。
云计算背景下的GDPR
关于数据保护的新规”既是挑战也是机遇。衡量“GDPR准备就绪”的一个关键指标是企业内部的数据保护意识以及所提供的数据保护水平,这意味着业务关键型工作负载在云基础设施上运行的内容、位置和方式。
对于许多公司而言,GDPR 是一项复杂的工程。由 GDPR 带来的法律、技术和组织挑战迄今为止仅得到了部分解决。特别是在云计算环境、IoT 环境或大数据场景中的大型迁移项目中,日常业务几乎没有时间让人去顾及 GDPR 的实施。然而,除了众多的实施挑战外,GDPR 还提供了一个通过重新定义和实施新的数据保护和 IT 安全策略来脱颖而出的机会,尤其是在云计算的背景下。
因此,在 GDPR 的背景下,云计算这一主题引发了许多问题。从技术角度来看,云计算是一种数据处理合同。因此,云用户应随时充分了解提供商处理其数据的方式。云提供商和资源提供商仅支持其功能,并依赖于负责机构的法律要求。换句话说,云提供商和企业都必须满足 GDPR 下每项云服务的最低法律要求。
如何利用 GDPR 背后的潜在挑战?主要有两个问题。一方面,公司需要知道他们可以信任哪些云提供商。另一方面,公司需要知道他们必须采取哪些技术和组织措施才能做到“符合 GDPR 规范”。
CISOs 的机遇与义务 – 选择合适的云合作伙伴
鉴于 GDPR,合适的云合作伙伴可以成为宝贵的协作伙伴。因为凭借他们在合规性和安全性方面的专业知识,他们可以帮助您的公司做到“做好 GDPR 准备”。
如果您采用多云策略,则需要评估每个云提供商的数据保护政策。混合云和多云方法的协调要复杂得多,因此可能会带来更高的数据保护风险。众多不同的云提供商(特别是在公共云环境中)使 CISOs 难以确保 GDPR 合规性。GDPR 合规性的强度取决于最薄弱的环节。例如,在多云部署中,单个云提供商的违规或不合规行为可能会破坏为成功实现 GDPR 合规所付出的所有努力。
六大关键标准
下面我们列出了一套快速标准,您可以用来评估潜在的云合作伙伴(就其 GDPR 合规性而言):
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]安全与隐私
第一步是评估提供商在多大程度上能够满足您的 IT 安全要求。云提供商证明其符合安全性和“Privacy by Design”(设计保障隐私)要求的一种简单方法是获得 ISO 27001 或 ISO 27018 认证。如果没有,他们可以通过执行数据保护影响评估 (DPIA) 和/或安全评估来证明这一点。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合规性
CloudSigma 已获得 ISO 27001 认证,确保用于交付和管理您的云的所有基础设施和服务的各个方面都符合与安全和数据隐私相关的最高 ISO 认证标准。
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
风险管理
处理大量关键数据的公司必须提供充分的保证(根据 GDPR 条例第 28 条)。这些保证必须证明数据控制者使用的是:
“只有提供充分保证以实施适当技术和组织措施的处理者。并且其处理方式应符合本条例的要求,并确保数据主体的权利得到保护。”
因此,您需要确保您的云提供商定期进行审计以供审查。此外,还要对技术和组织措施进行评分和评估,以保证处理的安全性。此外,您还需要确保云合作伙伴向其客户授予审计权。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合规性
作为任何 CloudSigma 云平台的客户,您被正式授权对我们向您提供的服务进行安全、运营和流程审计。
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
数据位置
您应该始终了解您数据的大致位置。然而,并非所有的云合作伙伴都会为您提供与云位置相关的必要透明度。请注意,云提供商的总部不一定就是您数据的托管位置。此外,一些公司可能会在后台在不同的云位置之间移动您的数据,而无需告知您。这可能是云合作伙伴服务条款的一部分。最后但同样重要的是,云服务提供商可能会将数据存储在多个位置。其中一些可能在欧洲经济区(EEA)之外。作为数据控制者,您需要制定多国云战略,以遵守充分性要求以及数据本地化法律。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合规性
作为我们服务条款的一部分,CloudSigma 的架构在法律上按国家隔离了云位置。因此,每个位置仅受当地法律框架的约束。同时为最终客户提供 100% 的本地云解决方案。
各位置在技术上也没有互连,CloudSigma 确保了关于确切数据位置的最高透明度,数据绝不会在 云位置之间进行传输.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
安全功能
GDPR 要求采取一系列数据保护保障措施,从静态和传输中加密到访问控制,再到数据伪匿名化和匿名化。为了实现这一目标,请选择一个拥有足够安全功能供您选择的云合作伙伴。例如 – 备份、加密、访问控制策略等。如果您的云合作伙伴没有此类策略,您需要自己负责安全功能。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合规性
CloudSigma 致力于为客户提供高度的安全性和隐私保护,并提供一系列功能 and 工具,使他们能够保护其计算的各个方面。在我们的博客上,客户可以找到许多介绍不同安全功能的文章,例如启动级加密, 访问控制策略、双重验证、SSH 密钥等。
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
数据所有权
作为云服务提供商的客户,您是数据控制者(Data Controller)。这意味着您必须保持对自身数据的控制权和所有权。您可以通过与您的云合作伙伴签署《数据处理协议》(Data Processing Agreement)来实现这一点,以确保该合作伙伴遵守 GDPR 规定的数据隐私保护要求。您可以自行起草,也可以检查您的云合作伙伴是否已将 DPA 作为服务条款的标准组成部分。使用您自己起草的协议的好处是,您可以指定所收集的个人数据和“特殊”数据的类型。无论您是使用合作伙伴的 DPA 还是您自己的 DPA,请确保条款中明确规定数据控制者(即您)拥有数据,并且数据处理者(即云合作伙伴)不会与第三方共享数据。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合规性
CloudSigma 已创建了一份 《数据处理协议》(DPA),这使客户能够履行其 GDPR 义务。我们已更新了服务条款和隐私政策文件的相关部分,以引用 DPA 并符合 GDPR 的要求。
此外,我们的标准 《隐私政策》 是一份非常透明的文件,描述了云中客户数据的所有收集、存储和使用情况。
客户在文件系统级别保留对数据的完全唯一访问权。CloudSigma 系统无法访问或查看 VMs 或驱动器内部。CloudSigma 云管理系统实施了访问控制框架,限制员工的权限和访问,并记录在系统上执行的操作。
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
删除数据
您需要确保一旦与云合作伙伴的合同结束,您可以下载/擦除数据。同时,一旦您终止服务,云合作伙伴也会删除这些数据。一些云提供商(特别是通过 ISO 认证的提供商)会使用标准化的策略在合同到期后删除数据。试着了解云提供商需要多长时间才能删除您的数据。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合规性
在 CloudSigma,系统会自动处理所有客户数据。这包括驱动器删除、已弃用账户的计划删除等。
CloudSigma 不会复制客户的驱动器数据。唯一的副本保存在我们的云中,除非客户选择将驱动器克隆到另一个存储系统。
此外,作为我们 《数据处理协议》 的一部分,您可以在终止服务使用期间或之后,要求对您的数据进行更正、删除、屏蔽和/或提供。
[/vc_column]
[/vc_row]
那么,您的公司今天在多大程度上做好了 “GDPR 准备”?
如需了解有关 CloudSigma 和 GDPR 的更多信息,请随时通过 dpo (at) cloudsigma.com 与我们联系。
来源:
评论
暂无评论。发表第一条评论吧。