将您的数据迁移到云意味着这些数据分散在世界各地的服务器上。云跨越国界的方式为将数据存储到已有数据隐私和保护法律的国家或地区或允许从这些国家或地区访问数据带来了合规性挑战。
企业在收集、存储和处理云中的电子数据之前必须考虑这些法律。
隐私法规情况
对消费者隐私和数据安全的日益担忧导致了法律法规的制定和实施,旨在使组织对其如何管理和共享收集的人员信息更加负责。欧洲的《通用数据保护条例》(GDPR)现在被认为是数据隐私法规的里程碑。
GDPR的影响超越了欧盟边界。GDPR中包含的要求正在塑造全球的隐私法规。例如,《加利福尼亚消费者隐私法》(CCPA)和新的巴西数据保护规则(LGPD)都包含与GDPR相似的要求。
尽管有许多相似之处,但跨国开展业务的公司将发现自己面临着错综复杂的要求。各机构必须持续监测隐私监管情况,并交叉参考相关要求。如果他们的隐私计划已经有了坚实的基础,满足额外的监管要求将需要更多的努力。
迁移上云之前的隐私考虑
在组织将数据迁移到云中之前,在保护云中的数据和隐私时,他们应该考虑一些特定的因素。
云安全不是数据隐私
云安全模式是一种共享模式。共同责任意味着云安全供应商将负责云的安全,而客户则对他们存储在云中的数据负责。组织负责保护和加密数据,对资产进行分类,并为身份和访问管理授予权限。这些安全控制措施是为了保护公司的数据!
然而,组织需要记住,安全和隐私是互补但不同的领域,有不同的目标。成功地保护云中的数据和隐私意味着两者必须结合起来。
隐私是一个上下文概念,有各种定义,但通常与个人对自己及其与他人关系的信息控制有关。数据隐私是隐私的一个子集,指的是组织在处理其雇员或客户的个人数据时适用的规则。另一方面,云安全一般是指通过网络安全、防火墙、加密等技术,防止对个人信息的未授权访问。
数据隐私是对现有数据安全的补充和加强。这两者对于保护云中的数据和隐私,保持个人数据的安全和可用都是非常重要和必要的。
我的数据究竟在哪里?
根据数据隐私法和监管机构的规定,当企业决定将其数据转移到云端时,他们被视为数据控制者。因此,他们必须确保他们的数据得到充分的保护。他们还必须了解他们所经营的每个国家适用的数据保护法,如果不遵守将面临巨额罚款。数据控制者负责保护云中的数据和隐私。
然而,云计算平台可以将其处理过程分布在多个司法管辖区,例如,从欧洲到美国。这是一种常见的做法。作为平台正常运作的一部分,宝贵的客户数据可以在没有任何通知的情况下被重新定向。
数据定位和主权是数据保护和隐私的一个主要关切。欧洲法院的施莱姆斯二世规则使欧盟-美国关于数据共享的隐私保护协议无效,理由是由于过度的监控行为,美国并不是欧盟公民数据的安全港。
数据本地化是与云供应商讨论需求时必须考虑的一个因素,因为它引发了各种隐私和安全控制。加密数据、匿名客户数据,但仍要保持这些数据的可用性,这可能成为一种艰难的平衡行为。
隐私设计
就像迁移上云时,云安全不应该是事后的考虑,数据隐私也是如此。企业应该积极主动地确保数据隐私的管理已经嵌入到他们的云计算设计过程中。隐私应该是他们云计算战略的一个关键因素。让数据隐私的纪律成为企业文化的一个组成部分,比加装一个解决方案要好得多。由于GDPR第25条将 “设计和默认的数据保护 “列为一项法律要求,它可以使企业免受昂贵的处罚。
云安全专家如何提供帮助
企业对数据的态度正在发生变化。他们正意识到,仅仅在不同的技术层保护数据是不够的。他们需要一个整体的云安全和隐私的方法,必须在整个生命周期内保护信息,从它被捕获的那一刻到它被销毁的那一天。
这就是云安全专家的价值所在。利用围绕云安全、隐私控制和法规的知识,他们可以应用授权、记录、保密性和完整性等核心支柱来保障云中企业数据的安全和隐私。
- 授权。 一旦他们确定了需要保护的数据,云安全专家就必须确定谁可以访问什么。他们必须应用最小特权原则,并建立一个强大的身份和访问管理(IAM)计划。IAM计划应确保员工拥有完成工作所需的权力,但不应拥有太多的权限,以免在其凭证受损时造成安全风险。
- 记录。 审计和记录有助于满足隐私法规的问责制和透明度要求。当出错时,可以审查审计跟踪,但它也可以帮助识别安全缺陷和差距,或系统妥协。
- 保密性。 确保数据只被授权方查看或共享是很重要的,这不仅是为了保持客户和利益相关者的信心,也是为了保持合规。不遵守法律会导致严厉的罚款和处罚。
- 诚信。 除了确保访问个人数据的个人或应用程序的有效性,云安全专业人员还必须防止这些数据被意外或恶意修改。加密和标记化很有用,因为它们使数据难以被篡改。同时,他们需要确保对加密密钥和令牌的保护,以避免被破坏或被盗。
CCSP认证如何帮助您成功
ISC2注册云安全专家(CCSP)是解决您在云中所有数据隐私问题的答案。CCSP是云安全认证的基准,并多次被公认为是最有价值和最全面的云安全认证。
CCSP是一个与厂商无关的认证,确保认证的从业人员具备的安全知识,能够在任何云环境中成功地保障和保护数据。正是CCSP的独特标准将其提升到一个标准,使其成为首屈一指的云安全认证,在日益激烈的企业环境中提供了竞争优势。
获得CCSP认证表明您拥有先进的技术技能和知识,能够使用ISC2网络安全专家们所制定的最佳实践、政策和程序来设计、管理和保护云中的数据、应用程序和基础设施。
想了解更多关于CCSP认证如何帮助您获得专业知识并推动您的职业生涯,请下载我们的白皮书《云安全技能让您的职业发展前景无限(甚至更远)》。
配置云通常需要复杂和专业的知识及培训。如何确保您的安全团队为云计算做好准备?点此阅读博客了解更多。
更多内容请见英文原文