数据遵从性和治理是指旨在保护个人信息隐私的规则和法规,通常会对不遵守这些规则和法规的组织进行处罚。这一点变得越来越重要,因为恶意数据泄露,例如勒索软件进行的数据泄露,威胁到比以往任何时候都更敏感的数据。
更进一步,数据主权是一个概念,即组织的数据受其所在国家的数据合规性和治理规则和条例的约束。
数据主权与我回国访问英国时的国际旅行没有什么不同,我必须遵守英国法律,但当我回到美国时,我需要遵守美国法律。我必须遵守所在国家的法律。如果我不这样做,我可能会受到惩罚。同样,数据主权意味着拥有位于多个国家的数据的企业必须确保它们遵守每个国家针对其位于这些国家的数据制定的数据隐私法,否则将受到风险处罚。
数据主权最具影响力的表述可能是《通用数据保护条例》(GDPR)。GDPR旨在保护英国和欧盟居民,并适用于所有组织,无论其是否位于英国或欧盟,处理和/或存储属于英国或欧盟居民的任何数据,这有效地将英国和欧盟的数据主权扩展到世界上几乎任何地方。
重要的是,《全球数据保护条例》还规定,其涵盖的任何数据不得从英国或欧盟转移出去,除非该国将制定类似的数据保护法。将这一点与更广泛的数据主权概念相结合,意味着任何收集或处理英国或欧盟居民个人信息的公司都必须将该数据存储在英国或欧盟或具有类似数据保护级别的地区。如果公司处理英国或欧盟居民的个人信息,无论数据收集、处理或存储在何处,都必须遵守GDPR。
数据主权的重要性
根据目前的大多数统计,至少有100个国家制定了国家数据主权法律。如果您的业务在这些国家/地区中的任何一个国家/地区运营,则数据主权应该与您有关。这包括美国公司。虽然美国本身没有联邦数据主权法,但它有类似的概念,如《澄清数据的合法海外使用(云)法案》,该法案规定谁可以访问在外国(尤其是英国)持有的与美国国民和实体有关的数据。
不关心数据主权的后果可能是痛苦的。看看过去两年中一些与GDPR相关的公司面临的罚款。
数据主权和云
数据主权法律不仅仅是云计算的结果,但由于其分散的性质打破了许多限制数据跨境存储的传统地缘政治壁垒,云已迫使数据主权成为中心舞台。向多云的转变,企业不仅依赖于一个云服务提供商,而且可能依赖于多个云服务供应商,这为企业带来了好处,同时也增加了数据可能有意或无意地扩展到具有不同数据主权法律的不同区域的风险。
简单地说,云模型的挑战,尤其是多租户部署,是作为云服务提供商客户,您不知道或控制数据最终存储在何处,也不知道数据的复制副本被推送到何处。您甚至可能在不知情的情况下违反数据主权和隐私义务。
将数据备份到云的挑战
3-2-1-1策略是数据备份和恢复的良好经验法则。
- 在不同的位置至少保存三份数据副本。
- 至少使用两种不同的存储介质。
- 至少在异地存储一份数据副本。
- 在不可变存储上至少保留一份数据副本。
越来越多的企业明智地转向云,以满足这种备份和恢复最佳实践。然而,许多组织未能解决数据主权适用于备份这一事实,就像它适用于生产工作负载一样。当这种情况发生时,例如,即使一家美国公司的欧盟相关生产数据在欧盟内正确创建、处理和存储,如果其企业备份软件将该数据的备份存储在云服务提供商处,并将备份传输到美国或其他非欧盟国家,该公司也很容易违反法规。
如何防止云数据备份给您带来麻烦
防止云数据备份与数据主权冲突的一个关键在于为数据备份和恢复提供灵活的云部署模型,您可以在其中控制服务和数据的托管位置。然而,有了许多数据备份和恢复工具,您几乎没有位置选择。理想的解决方案是,可以在数据所在的任何区域中,在您自己或提供商的租户中配置具有单租户部署体系结构的解决方案。单租户意味着软件应用程序和支持基础架构的单个实例仅为一个客户服务,而不是为多个客户服务。这为安全环境提供了最好的基础,您的数据不会跨境迁移,也不会意外违反数据主权规则;此外,与多租户模型相比,您的数据不会混合。
请记住,无论您的公司所在的国家是有数据主权法的国家,还是在有数据主权法律的国家开展业务,您都有责任确保您的数据(包括备份数据)在其可能驻留的任何地方都是合规的。而且,对不关心他人的惩罚可能很严厉。尽管云和多云基础设施有很多优点,但它们并不总是能让这一切变得更容易。数据备份和恢复的灵活云部署模型会有所帮助。
本文:https://www.forbes.com/sites/forbesbusinesscouncil/2022/09/28/are-your-…
- 登录 发表评论