Skip to main content

云服务提供商的GDPR--概述

云平台已经成为现代企业越来越重要的工具,这很容易理解--2020年,85%的美国公司数据在云存储中,预计到2025年公共云市场容量将达到6790亿美元(Statista,CRN)。

但是,随着越来越多的公司迁移到云端,云存储数据的安全问题也变得越来越重要--特别是考虑到2018年生效的严格的GDPR要求。

一些企业担心,他们通过使用云供应商为他们存储数据,使自己面临GDPR违规罚款。

虽然这是可以理解的,因为有第三方参与,但没有理由存储和管理的数据的安全性一定会降低。

什么是云?

简单地说,云是一个旨在存储大量数据的服务器网络。

公司可以利用这种硬件来存储自己的数据,并通过互联网进行访问。

流行的例子包括Dropbox,谷歌云,和亚马逊网络服务。

广义上讲,云计算软件可以分为三种类型。

  1. 公共的--基于互联网的云服务,提供给多个组织,可以是免费的,也可以是按使用量付费的。
  2. 私有云--专门为单个公司提供的内部云服务
  3. 混合型--公共和私有云的混合

它们通常也被分解成另一种方式。

  • 基础设施即服务(IaaS)--公司付费使用云供应商的计算和存储资源
  • 软件即服务(SaaS)--公司付费通过互联网按需访问软件
  • 平台即服务(PaaS)--一种具有开发和部署环境的服务,公司可以用它来在浏览器中构建应用程序。

云对企业的好处

云存储可以以包含的价格为企业带来巨大的好处:它降低了数据安全和管理成本,改善了沟通,并催化了更好的团队合作。

企业还受益于增强的安全性,减少因IT基础设施问题造成的停机时间,以及随着企业发展的出色可扩展性。

综上所述,云计算软件为企业提供了额外的灵活性,可以为他们带来关键的竞争优势。

  • 84%的企业报告说,在引入云计算的头几个月里,运营状况得到了改善(Multisoft)。
  • 中小型企业发现,采用第三方云平台比维护内部替代方案的成本效益要高40%(Multisoft)。
  • 94%的企业报告说,在将数据迁移到云端后,在线安全得到了极大的改善(Salesforce)。

云软件是如何受到GDPR的影响的?

至关重要的是,91%的公司认为云存储平台对他们遵守政府要求的工作有很大帮助,如GDPR(Salesforce)。

长期以来,它们的设计一直以安全为前提和中心,在传输数据时采用先进的加密技术--这意味着未经授权的用户无法访问私人信息。

也就是说,GDPR已经永久性地改变了个人数据在云中的存储和处理方式,而EDPS--欧盟的隐私监督机构--正在调查亚马逊的AWS和微软的Azure云服务是否有效地保护公民数据。

GDPR对云服务提供者的要求如下。

  • 制定处理个人数据的原则
  • 确保数据处理的过程尊重GDPR的8项数据主体权利
  • 为参与数据处理和控制活动的任何人建立隐私设计的要求
  • 实施对数据所有权和数据可移植性权利的控制
  • 引入安全措施,确保数据的隐私性
  • 确立向国际各方处理数据的原则
  • 制定管理数据泄露的政策和程序
  • 制定有关建立合同协议、数据保留期和其他适用要求的政策。

公司对云中持有的数据的责任是什么?

第三方安全问题是GDPR的一个主要关注点,这些问题包括当第三方云平台代表客户企业存储数据时。

在涉及到对个人信息安全的责任时,GDPR区分了 "数据控制者 "和 "数据处理者"。

在这种情况下,企业是数据控制者,而云软件供应商是数据处理者--这意味着企业因此有责任保持个人数据的安全,无论它是否存储在他们自己的服务器上。

 

选择云平台时要考虑的问题

在迁移到云端之前,建议企业确保他们的个人数据流被正确地规划出来,并进行隐私影响评估。

这方面的核心是以下考虑。

  • 数据 主权 GDPR法规规定,数据必须存储在欧盟境内。 幸运的是,有许多云服务提供商可以让你选择数据的存储地点,所以你可以选择一个在欧洲使用数据中心的供应商。
  • 数据安全检查云存储平台有哪些安全保障,并选择一个提供端到端加密的平台。 最终,你需要确信该供应商有足够的安全程序。
  • 尊重数据主体选择一个遵守欧盟数据主体的八项隐私权的云供应商--云公司应随时提供这一信息。
  • 设计和默认的数据保护确保云公司已将安全纳入其设计和程序中--例如,通过使用限制访问敏感信息的零知识加密技术。 这是关键,因为任何数据泄露最终都将由你的公司负责。

遵守GDPR需要持续的工作

一旦公司将数据迁移到云端,明智的做法是进行定期审计,以确保操作程序和流程继续符合GDPR。

定期检查云平台是否继续符合任何安全保证也是明智的。

这项工作通常是由独立的第三方监督机构或审查网站进行的,在决定选择哪种方案之前,应该对其进行验证。