Skip to main content

GDPR สำหรับผู้ให้บริการระบบคลาวด์ - ภาพรวม

แพลตฟอร์มคลาวด์ได้กลายเป็นเครื่องมือที่สำคัญมากขึ้นเรื่อยๆ สำหรับธุรกิจสมัยใหม่ และมันก็เป็นเรื่องง่ายที่จะเข้าใจว่าทำไม - 85% ของข้อมูลบริษัทในสหรัฐฯ อยู่ในที่เก็บข้อมูลบนคลาวด์ในปี 2020 และปริมาณตลาดคลาวด์สาธารณะคาดว่าจะสูงถึง 679 พันล้านดอลลาร์ในปี 2025 (Statista, CRN ).

แต่ในขณะที่บริษัทต่างๆ ทำการโยกย้ายไปยังระบบคลาวด์ด้วยจำนวนที่เพิ่มมากขึ้นเรื่อยๆ ประเด็นเรื่องการรักษาความปลอดภัยข้อมูลที่จัดเก็บข้อมูลบนระบบคลาวด์ก็มีความสำคัญมากขึ้น โดยเฉพาะเมื่อพิจารณาจากข้อกำหนดของ GDPR ที่เข้มงวดซึ่งมีผลบังคับใช้ในปี 2018

ธุรกิจบางแห่งกังวลว่าพวกเขาเปิดรับค่าปรับจากการไม่ปฏิบัติตาม GDPR โดยใช้ผู้ให้บริการระบบคลาวด์เพื่อจัดเก็บข้อมูลสำหรับพวกเขา

และแม้ว่าจะเป็นเรื่องที่เข้าใจได้เนื่องจากบุคคลที่สามมีส่วนเกี่ยวข้อง แต่ก็ไม่มีเหตุผลใดที่ข้อมูลที่จัดเก็บและจัดการจะต้องมีความปลอดภัยน้อยกว่า

เมฆคืออะไร?

กล่าวง่ายๆ ก็คือ คลาวด์เป็นเครือข่ายของเซิร์ฟเวอร์ที่ออกแบบมาเพื่อจัดเก็บข้อมูลจำนวนมหาศาล

บริษัทต่างๆ สามารถใช้ฮาร์ดแวร์นี้เพื่อจัดเก็บข้อมูลของตนเอง ซึ่งสามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ต

ตัวอย่างยอดนิยม ได้แก่ Dropbox, Google Cloud และ Amazon Web Services

ซอฟต์แวร์ระบบคลาวด์โดยทั่วไปสามารถแบ่งได้เป็น 3 ประเภท:

  1. สาธารณะ – บริการคลาวด์บนอินเทอร์เน็ตที่ส่งไปยังหลายองค์กร ทั้งแบบฟรีหรือแบบจ่ายต่อการใช้งาน
  2. ส่วนตัว – บริการคลาวด์ภายในองค์กรที่ทุ่มเทให้กับบริษัทเดียว
  3. ไฮบริด – การผสมผสานระหว่างคลาวด์สาธารณะและส่วนตัว

พวกมันมักจะถูกแยกย่อยด้วยวิธีอื่น:

  • Infrastructure-as-a-Service (IaaS) – บริษัทจ่ายเพื่อเข้าถึงทรัพยากรการประมวลผลและการจัดเก็บของผู้ให้บริการคลาวด์
  • Software-as-a-Service (SaaS) – บริษัทจ่ายเงินเพื่อเข้าถึงซอฟต์แวร์ตามต้องการผ่านทางอินเทอร์เน็ต
  • Platform-as-a-Service (PaaS) – บริการที่มีสภาพแวดล้อมการพัฒนาและการใช้งานที่บริษัทต่างๆ สามารถใช้สร้างแอปพลิเคชันในเบราว์เซอร์

ประโยชน์ของระบบคลาวด์สำหรับบริษัท

ที่เก็บข้อมูลบนคลาวด์สามารถมีข้อได้เปรียบอย่างมากสำหรับองค์กรในราคาที่มีอยู่: ช่วยลดความปลอดภัยของข้อมูลและค่าใช้จ่ายในการจัดการ ปรับปรุงการสื่อสาร และกระตุ้นการทำงานเป็นทีมได้ดีขึ้น

ธุรกิจยังได้รับประโยชน์จากการรักษาความปลอดภัยที่เพิ่มขึ้น เวลาหยุดทำงานน้อยลงจากปัญหาโครงสร้างพื้นฐานด้านไอที และความสามารถในการปรับขนาดที่ยอดเยี่ยมเมื่อเติบโต

เมื่อนำมารวมกันแล้ว ซอฟต์แวร์ระบบคลาวด์ช่วยให้บริษัทต่างๆ มีความยืดหยุ่นมากขึ้น ซึ่งสามารถทำให้พวกเขาได้เปรียบในการแข่งขันที่สำคัญ:

  • 84% รายงานการปรับปรุงการปฏิบัติงานภายในเดือนแรกของการแนะนำ (Multisoft)
  • องค์กรขนาดกลางและขนาดย่อมพบว่าการใช้แพลตฟอร์มคลาวด์ของบริษัทอื่นนั้นคุ้มค่ากว่า 40% เมื่อเทียบกับการรักษาทางเลือกภายในองค์กร (Multisoft)
  • 94% ของธุรกิจรายงานการปรับปรุงความปลอดภัยออนไลน์อย่างมากหลังจากย้ายข้อมูลไปยังระบบคลาวด์ (Salesforce)

ซอฟต์แวร์ระบบคลาวด์ได้รับผลกระทบจาก GDPR อย่างไร

สิ่งที่สำคัญที่สุดคือ 91% ของบริษัทเชื่อว่าแพลตฟอร์มการจัดเก็บข้อมูลบนคลาวด์ได้ช่วยในเรื่องการปฏิบัติตามข้อกำหนดของรัฐบาล เช่น GDPR (Salesforce) ได้เป็นอย่างดี

ได้รับการออกแบบมาให้มีระบบรักษาความปลอดภัยและศูนย์กลางมานานแล้ว โดยใช้การเข้ารหัสขั้นสูงเมื่อส่งข้อมูล หมายความว่าไม่มีผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเข้าถึงข้อมูลส่วนตัวได้

กล่าวคือ GDPR ได้เปลี่ยนแปลงวิธีจัดเก็บและประมวลผลข้อมูลส่วนบุคคลในระบบคลาวด์อย่างถาวร และ EDPS ซึ่งเป็นหน่วยงานเฝ้าระวังความเป็นส่วนตัวของสหภาพยุโรป กำลังตรวจสอบว่า AWS ของ Amazon และบริการระบบคลาวด์ Azure ของ Microsoft ปกป้องข้อมูลพลเมืองอย่างมีประสิทธิภาพหรือไม่

ข้อกำหนดของ GDPR สำหรับผู้ให้บริการระบบคลาวด์มีดังนี้:

  • พัฒนาหลักการประมวลผลข้อมูลส่วนบุคคล
  • ตรวจสอบให้แน่ใจว่ากระบวนการประมวลผลข้อมูลเป็นไปตามสิทธิ์ของเจ้าของข้อมูล 8 ประการของ GDPR
  • กำหนดข้อกำหนดสำหรับความเป็นส่วนตัวโดยการออกแบบสำหรับทุกคนที่เกี่ยวข้องกับการประมวลผลข้อมูลและการควบคุมกิจกรรม
  • ใช้การควบคุมในการเป็นเจ้าของข้อมูลและสิทธิ์ในการพกพาข้อมูล
  • แนะนำมาตรการรักษาความปลอดภัยที่รับรองความเป็นส่วนตัวของข้อมูล
  • กำหนดหลักการประมวลผลข้อมูลให้กับฝ่ายต่างประเทศ
  • พัฒนานโยบายและขั้นตอนในการจัดการการละเมิดข้อมูล
  • พัฒนานโยบายเกี่ยวกับการจัดตั้งข้อตกลงตามสัญญา ระยะเวลาการเก็บรักษาข้อมูล และข้อกำหนดอื่นๆ ที่เกี่ยวข้อง

ความรับผิดชอบของบริษัทต่อข้อมูลที่เก็บไว้ในคลาวด์คืออะไร?

ปัญหาด้านความปลอดภัยของบุคคลที่สามเป็นปัญหาหลักของ GDPR และรวมถึงเมื่อแพลตฟอร์มคลาวด์ของบุคคลที่สามจัดเก็บข้อมูลในนามของธุรกิจลูกค้า

GDPR แยกความแตกต่างระหว่าง “ผู้ควบคุมข้อมูล” และ “ผู้ประมวลผลข้อมูล” ในเรื่องความรับผิดชอบต่อความปลอดภัยของข้อมูลส่วนบุคคล

ในบริบทนี้ ธุรกิจเป็นผู้ควบคุมข้อมูล ในขณะที่ผู้ให้บริการซอฟต์แวร์ระบบคลาวด์เป็นผู้ประมวลผลข้อมูล ซึ่งหมายความว่าธุรกิจมีหน้าที่รับผิดชอบในการรักษาข้อมูลส่วนบุคคลให้ปลอดภัย ไม่ว่าจะเก็บไว้ในเซิร์ฟเวอร์ของตนเองหรือไม่ก็ตาม

สิ่งที่ต้องคิดเมื่อเลือกแพลตฟอร์มคลาวด์

ก่อนที่จะย้ายไปยังระบบคลาวด์ ขอแนะนำสำหรับบริษัทต่างๆ เพื่อให้แน่ใจว่ามีการจัดลำดับการไหลของข้อมูลส่วนบุคคลอย่างเหมาะสมและดำเนินการประเมินผลกระทบต่อความเป็นส่วนตัว

ศูนย์กลางของสิ่งนี้จะเป็นข้อควรพิจารณาต่อไปนี้:

  • ข้อบังคับ GDPR ของข้อมูลอธิปไตยกำหนดว่าข้อมูลจะต้องจัดเก็บในสหภาพยุโรป โชคดีที่มีผู้ให้บริการระบบคลาวด์หลายรายที่ให้คุณเลือกได้ว่าจะจัดเก็บข้อมูลไว้ที่ใด คุณจึงสามารถเลือกผู้ให้บริการที่ใช้ศูนย์ข้อมูลในยุโรปได้
  • ความปลอดภัยของข้อมูลตรวจสอบความปลอดภัยที่แพลตฟอร์มการจัดเก็บข้อมูลบนคลาวด์มีอยู่ และเลือกแบบที่มีการเข้ารหัสแบบ end-to-end ในท้ายที่สุด คุณต้องพอใจที่ผู้ให้บริการมีขั้นตอนการรักษาความปลอดภัยที่เพียงพอ
  • การเคารพเจ้าของข้อมูลเลือกผู้ให้บริการระบบคลาวด์ที่ปฏิบัติตามสิทธิ์ความเป็นส่วนตัวแปดประการของเจ้าของข้อมูลในสหภาพยุโรป – บริษัทระบบคลาวด์ควรจัดเตรียมข้อมูลนี้ให้พร้อม
  • การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้นตรวจสอบให้แน่ใจว่าบริษัทระบบคลาวด์ได้รวมการรักษาความปลอดภัยเข้ากับการออกแบบและขั้นตอนต่างๆ เช่น โดยใช้การเข้ารหัส zer0-knowledge ที่จำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อน นี่เป็นกุญแจสำคัญเนื่องจากการละเมิดข้อมูลใด ๆ จะเป็นความรับผิดชอบของบริษัทของคุณในท้ายที่สุด

การปฏิบัติตาม GDPR จำเป็นต้องมีการทำงานอย่างต่อเนื่อง

เมื่อบริษัทได้ย้ายข้อมูลไปยังคลาวด์แล้ว ควรทำการตรวจสอบเป็นประจำเพื่อให้แน่ใจว่าขั้นตอนการปฏิบัติงานและกระบวนการต่างๆ ยังคงสอดคล้องกับ GDPR

ขอแนะนำให้ตรวจสอบอย่างสม่ำเสมอว่าแพลตฟอร์มระบบคลาวด์ยังคงปฏิบัติตามการรับประกันความปลอดภัยที่ให้ไว้

โดยปกติแล้ว งานนี้ดำเนินการโดยหน่วยงานตรวจสอบอิสระหรือไซต์ตรวจสอบซึ่งเป็นหน่วยงานอิสระภายนอก ซึ่งควรได้รับการตรวจสอบก่อนตัดสินใจว่าจะเลือกตัวเลือกใด