云中的合规性：避免云合规陷阱

作者：Stephen Pritchard 2018-05-31 21:53:17

云计算 在备份软件提供商Veritas公司的调查中，83%的受访者认为云计算服务提供商将会保护用户的数据。但这种想法是不切实际的，而且在目前的监管环境中，这是危险的，并且可能是潜在的合规性陷阱。

最近的一项调查发现，四分之一以上的组织计划在未来一到两年内将所有IT基础设施和工作负载转移到云端。

与此同时，在备份软件提供商Veritas公司的调查中，83%的受访者认为云计算服务提供商将会保护用户的数据。但这种想法是不切实际的，而且在目前的监管环境中，这是危险的，并且可能是潜在的合规性陷阱。

[[231261]]

当然，组织可以通过提高效率、灵活性和降低业务成本从云计算服务中受益。

组织机构可以结合自己和供应商的基础设施采用混合云和多云服务，而这些云平台由于其具有的性能和成本优势而越来越受欢迎。而这些趋势将会促进组织的云计算应用。

云合规差距

在数据保护条例越来越严格的情况下，更多地使用云计算的举措正在出现。

欧盟的“通用数据保护条例”(GDPR)不仅已经生效，其他条例(如更新支付卡PCI-DSS标准)也促使组织审查其收集和处理信息的方式。

像GDPR这样的法规为个人带来了一些额外的权利和保障，例如被遗忘的权利和组织的新义务，以及强制披露数据泄露事件等。

然而，GDPR的情况并不是新生事物。相反，它是对现有数据保护规则的澄清和整合。因此，具有可靠数据保护和隐私政策的组织应该能够遵从GDPR法规。

但是，组织采用云计算的举措可能会暴露在合规性方面的差距，特别是对于主要处理个人数据的组织。GDPR法规对“个人数据”提出了更清晰的定义。这个定义比许多国家的数据保护法规定的定义要宽泛得多。

在GDPR的规定之下，组织在收集、处理或存储个人数据违规的情况很难争辩。因此，不可避免地会对使用云计算的组织产生影响。

Dentons律师事务所的技术、媒体和电信团队的合伙人Dan Burge说：“迁移到云计算并没有带来法规的豁免。”但它可能会让组织遵守这些规则更加困难。

多云也是多重挑战

组织将业务转移到云端可能会带来一系列实际的管理和监管挑战。

但是对于合规性，首席信息官和安全官员面临的关键问题是组织存储的数据类型以及数据的位置。运行自己的内部数据库、档案和存储系统的组织应该能够识别大部分数据的位置。他们可以指定系统和数据中心的位置，并进行IT设置，以便限制数据(例如欧盟)在特定的地理位置进行存储和处理。从其他业务信息中分离个人数据应该同样适用于良好的IT控制。

识别数据类型或是数据分类，也应该通过内部系统和合规人员来实现。但是，向外部位置迁移数据存储和IT工作负载会给组织带来新的挑战。

云计算供应商通过提供规模经济来发挥作用。要做到这一点，他们需要汇总数据。云计算提供商也建立了弹性，并且这样做将在多个位置承载数据。

详细了解存储和合规性

除非组织的规模足够大可以拥有并运营私有云系统，或者采用可能分散在几个地理上分散的私有云，否则他们需要将适合的数据交给云计算服务提供商进行存储。

这对用户的“数据主权”产生了挑战，并且用户知道数据在何时何地使用。

组织的CIO们可能不知道他们的云服务在哪些国家和地区存储数据。而云计算提供商可能不知道他们是否使用高度自动化的系统实现负载均衡，并确保业务连续性和灾难恢复。

数据的位置

组织经常忽视数据的确切位置。最安全的解决方案是使用云服务，并将数据锁定到一个位置，或者至少将数据保存在一个管辖区域内，如欧盟各国。

但首先，组织需要确定他们收集和处理的信息类型。如果其首席信息官不清楚进入云端的数据类型，任何控制或审计数据位置的尝试都会失败。

有些数据类型可以清楚地标识为敏感数据。例如，保险号码、银行账号、健康信息、地址、年龄等细节都是客户希望企业保护的所有数据类型。

但是，在GDPR法规下个人数据的定义比传统的以美国为中心的个人身份信息(PII)定义更宽。

SaaS应用程序、电子商务，甚至社交媒体都有可能在云中创建敏感数据。正如最近的媒体报道的事件，任何将在线互动与个人简介结合在一起的功能都能够快速将记录带进个人数据领域。基于SaaS的客户关系应用程序或保险承保应用程序利用来自社交媒体或其他来源的数据日志，风险会更高。

如果有某种方法通过组合数据字段追踪个人信息，即使匿名或清理记录也可以恢复。法律制定者称之为“马赛克识别”，并且可能会发生在云端运行的应用程序，而组织的CIO却没有意识到这个风险。

锁定数据

幸运的是，组织可以采取措施解决云合规问题。

首先是在特定的提供商服务中限制云计算的使用或将限制用途，而对于数据地理位置则采取健全且透明的策略。

但是，对于需要使用公共云的组织(即那些采用多供应商策略的组织)，下一步是仔细审核所有数据，以确保个人数据得到识别、跟踪并实施数据主权政策。

一旦组织的CIO和数据保护人员知道他们正在处理的数据是什么样的，他们可以采取实际措施来保护数据。建议采用基于客户端的加密优化做法，因为如果云计算服务遭到黑客攻击，并具有丢失数据的风险，即使它没有解决数据主权问题，加密优化也可以降低数据丢失的风险。

组织还应该审查他们的云计算服务提供商的安全策略，其中包括SaaS平台和遵守他们自己的数据合规政策和标准，例如ISO27001。

对于混合云和多厂商云来说，尽管仍然可行，但很难实施。多云数据管理工具虽然对市场来说还相对较新，但它为IT和数据保护团队提供了对其存储数据进行更快速、更加深入监控的前景。

但任何采用云计算的组织都需要意识到，无论他们对IT部门如何改进，都不能将合规责任推卸出去。而确保云计算提供商符合当前标准是膙尽职调查流程的一部分。因此，遵守GDPR法规和违规处罚等法律责任则完全落在组织身上，而不是其云计算供应商。