云的符合性:避免云合规性陷阱
诺基亚首席执行官说,云公司正在缩减细胞服务
Mikko Hypponen说,在不太可能在不太可能的令人反感的AI
NVIDIA的Pascal-Powered Jetson TX2计算机吹走了覆盆子PI
报告称,混乱超过5G的价值超过5G
强盗:当软件工程师是英雄时
LG推出G6,5.7英寸。显示在窄体(+视频)
IT服务提供商HCL获取部门专业知识作为欧洲战略的一部分
索赔报告,DWP IT工程是“功能失调”,缺乏“提供的能力”
在违规之后,Verizon从Yahoo交易中敲了3.5亿美元
Android在平板电脑中挣扎,因为Windows 10 2-In-1S强劲
GELTOUCH为触摸敏感的控制增加了新的尺寸
Apple 3月Ipad Pro活动 - 预期
公司加强了数字技术的支出,但与战略斗争
在雅虎销售到Verizon之后,Mayer担任新控股公司首席执行官
回到未来:BlackBerry KeyOne带有物理键盘
道德黑客,86,上升到桑坦德的挑战
政府地理空间委员会打开OS MasterMap数据
发现并修补了11岁的根Linux内核
一台新机器的目标
澳大利亚政府用数字变换困境擒抱
Oracle决定欧洲金融电气创新中心的布鲁塞尔
NVIDIA的新型Quadro GP100 GPU为Windows计算机带来了NVLink
Palo Alto Networks在澳大利亚开设网络范围
随着利润暴跌,标记和斯宾塞速度加快数字转型计划
CIO采访:Gideon Kay,欧洲Cio,Dentsu Aegis网络
微软对Scap 2月安全更新的决定尚未感受补丁专家
安大略省癌症研究所使用开源云来帮助癌症研究
微软悄然延长了原始窗户10的生活
ICO表示,使用GDPR推动业务前进
想成为一个软件开发人员吗?现在是时候学习AI和数据科学了
政府获得新的数字签证服务
DOT指定10个新的美国。为自动驾驶汽车证明了理由
Microsoft在4月份发布Windows Defender安全中心
亚马逊为员工开发了变性资源
Heroku:Paas是开发工具的未来
专家担心赎金软件可以达到关键的基础设施
CIO采访:Richard Gifford,Cio,Wincanton
小组说,计算课程震动不能在一个五年议会期间发生
英国穆斯林挑战对重复的警察停止使用智能数据库
英国空间机构为NHS中使用空间技术提供4M英镑的基金
高通公司和Facebook在FWA宽带上工作
HMRC在轨道上为8月推出海关IT系统
NCSC报告强调了法律公司的网络威胁
板条箱和桶装在线平衡和离线销售
Raspberry PI的新计算模块3出售
去年暂停伦敦的Byod计划运输的承担
Sophos CEO声称企业赎金软件攻击的警报
深度健康必须透明,以获得公众信任,审查发现
从死者回来:英特尔的Atom芯片,在Panasonic的2,189美元的Android平板电脑中
您的位置:首页 >论坛 > 研究报告 >

云的符合性:避免云合规性陷阱

2021-08-08 09:44:07 [来源]:

最近的一项调查发现,四分之一的企业有一个以上的企业打算将所有IT基础架构和工作负载在未来12到24个月内移动到云端。

与此同时,83%的问题 - 备份软件制造商Veritas的研究 - 认为云服务提供商将保护客户的数据。

这是不切实际的,并且在目前的监管环境中,它是危险的,潜在的合规性陷阱。

当然,组织可以通过更高的效率,灵活性和较低的开展业务取得更高的云服务。

和混合动力和多云规定 - 组织结合自己的组织和供应商的基础设施 - 由于其性能和成本效益,越来越受欢迎。

但是,这些趋势可以在涉及云合规性时捕获组织。

在数据保护规范严重紧缩的时候,朝向更大使用的移动趋势。

欧洲联盟的一般数据保护条例(GDPR)不仅生效,而且其他法规,如PCI-DSS支付卡标准的更新,促使组织审查它们如何收集和处理信息。

诸如GDPR等法规为杀戮提供了一些额外的权利和保障措施,例如遗忘的权利和关于任何数据违约的强制性披露等组织的新义务。

然而,在GDPR中,很多并不是新的。相反,它是澄清和整合现有的数据保护规则。因此,具有稳固数据保护和隐私政策的组织应该能够处理到GDPR的过渡。

但对云计算的移动可能会揭示合规缺口 - 特别是对于处理个人数据的组织。GDPR规定了更清晰的“个人数据”定义。定义比在许多国家数据保护法范围内相当广泛。

在GDPR下,公司将很难争辩,他们不会收集,处理或存储个人数据。因此,不可避免地对使用云的组织存在后果。

“向云的举动不会豁免法规,”律师事务所金融公司的技术,媒体和电信团队合作伙伴说,丹贝尔斯说。但它可以使符合这些规则更难。

搬到云可以带来一系列实际,行政和监管挑战。

但是,为了合规性,首席信息官员和保安人员面临的关键问题是组织商店以及该数据所在的数据类型的数据。

运行自己的内部数据库,档案和存储系统的组织应该有一个职位,以确定最多,希望所有数据的位置。

他们可以指定系统和数据中心的位置,并设置它,以便限制对某个地理的数据 - 例如,在该地理中存储和处理。同样,从其他商业信息中删除个人数据,与良好的IT控件是可行的。

识别数据类型 - 数据分类 - 也应通过内部系统和合规官员可实现。

但是转移到数据存储和IT工作负载的外部位置会产生新的挑战。

云计算扫描器通过提供规模经济。为此,他们需要聚合数据。云提供商还构建了恢复力,并这样做将在多个位置寄出数据。

除非组织足够大以支付私有云系统 - 或可能是几个地理上分散的私有云 - 他们将把数据交给他们的云服务提供商,以便在他们看到适合时存储。

这在“数据主权”周围创造了挑战,并知道数据在任何时刻的位置。

CIO可能不知道他们的云服务存储数据中的哪些国家。云提供商甚至可能无法知道它们是否使用高度自动化系统进行负载平衡,并确保业务连续性和灾难恢复。

组织经常忽略了数据的确切位置。最安全的解决方案是使用将数据锁定到一个位置的云服务,或者至少将其保留在一个管辖区内,例如欧盟。

但首先,组织需要确定他们收集和流程的信息。如果CIO缺少触及云的数据类型的清晰图像,则禁止控制或审核数据位置的任何尝试都失败。

一些数据类型清晰可识别为敏感。国家保险号,银行和健康信息,地址和年龄细节都是客户希望企业保护的所有数据类型。

但是,GDPR下的个人数据的定义比个人识别信息(PII)的传统美学定义更广泛。

然后有机会在SaaS应用程序,电子商务甚至社交媒体中在云中创建敏感数据。随着最近的媒体头条新闻表明,将在线交互与inpidual的简档结合到个人数据的领域,将记录带入个人数据领域。

如果拍摄一个理论示例,风险就会越高 - 基于SaaS的客户关系应用程序或保险承保应用程序在社交媒体或其他来源的数据日志上绘制。

甚至认为匿名或清洁的记录甚至可以通过组合数据字段追踪inpidual的方法来恢复为个人数据。法律制造商称这种“马赛克识别”,以及在云中运行的应用程序可能会发生在没有CIO的情况下发生的风险。

幸运的是,有些步骤组织可以采取措施来解决云遵守的陷阱。

第一个和最剧烈的是限制云使用云或限制其对特定提供商的用途,具有稳健且透明的数据地理位置策略。

但是,对于需要使用公共云的组织 - 即,具有多供应商策略的组织 - 下一步是仔细审计所有数据以确保已确定,跟踪和数据主权策略所识别的个人数据。

一旦CIO和数据保护人员知道他们正在处理的数据,他们就可以采取实际步骤来保护它。建议基于客户的加密是良好的做法,因为它降低了数据丢失的风险,如果云服务被黑客攻击并削减在运输中丢失数据的风险,即使它没有地解决数据主权。

董事会还应仔细审查其云服务提供商,包括SaaS平台,以遵守自己的数据合规性政策和标准,如ISO27001。

对于混合和多供应商云,这仍然可能更难。多云数据管理工具,虽然市场仍然相对较新,但提供了它和数据保护团队的前景更快,更深入地监督他们存储的数据。

但是,任何处理云的人都需要以任何方式整理他们,他们不能外包责任。为了确保云提供商符合当前标准是尽职调查过程的一部分。遵守GDPR等法律,以及违规处罚正好在业务上,而不是云供应商。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。