云服务提供商的GDPR--概述

云平台已经成为现代企业越来越重要的工具，这很容易理解--2020年，85%的美国公司数据在云存储中，预计到2025年公共云市场容量将达到6790亿美元（Statista，CRN）。

但是，随着越来越多的公司迁移到云端，云存储数据的安全问题也变得越来越重要--特别是考虑到2018年生效的严格的GDPR要求。

一些企业担心，他们通过使用云供应商为他们存储数据，使自己面临GDPR违规罚款。

虽然这是可以理解的，因为有第三方参与，但没有理由存储和管理的数据的安全性一定会降低。

什么是云？

简单地说，云是一个旨在存储大量数据的服务器网络。

公司可以利用这种硬件来存储自己的数据，并通过互联网进行访问。

流行的例子包括Dropbox，谷歌云，和亚马逊网络服务。

广义上讲，云计算软件可以分为三种类型。

1. 公共的--基于互联网的云服务，提供给多个组织，可以是免费的，也可以是按使用量付费的。
2. 私有云--专门为单个公司提供的内部云服务
3. 混合型--公共和私有云的混合

它们通常也被分解成另一种方式。

• 基础设施即服务（IaaS）--公司付费使用云供应商的计算和存储资源
• 软件即服务（SaaS）--公司付费通过互联网按需访问软件
• 平台即服务（PaaS）--一种具有开发和部署环境的服务，公司可以用它来在浏览器中构建应用程序。

云对企业的好处

云存储可以以包含的价格为企业带来巨大的好处：它降低了数据安全和管理成本，改善了沟通，并催化了更好的团队合作。

企业还受益于增强的安全性，减少因IT基础设施问题造成的停机时间，以及随着企业发展的出色可扩展性。

综上所述，云计算软件为企业提供了额外的灵活性，可以为他们带来关键的竞争优势。

• 84%的企业报告说，在引入云计算的头几个月里，运营状况得到了改善（Multisoft）。
• 中小型企业发现，采用第三方云平台比维护内部替代方案的成本效益要高40%（Multisoft）。
• 94%的企业报告说，在将数据迁移到云端后，在线安全得到了极大的改善（Salesforce）。

云软件是如何受到GDPR的影响的？

至关重要的是，91%的公司认为云存储平台对他们遵守政府要求的工作有很大帮助，如GDPR（Salesforce）。

长期以来，它们的设计一直以安全为前提和中心，在传输数据时采用先进的加密技术--这意味着未经授权的用户无法访问私人信息。

也就是说，GDPR已经永久性地改变了个人数据在云中的存储和处理方式，而EDPS--欧盟的隐私监督机构--正在调查亚马逊的AWS和微软的Azure云服务是否有效地保护公民数据。

GDPR对云服务提供者的要求如下。

• 制定处理个人数据的原则
• 确保数据处理的过程尊重GDPR的8项数据主体权利
• 为参与数据处理和控制活动的任何人建立隐私设计的要求
• 实施对数据所有权和数据可移植性权利的控制
• 引入安全措施，确保数据的隐私性
• 确立向国际各方处理数据的原则
• 制定管理数据泄露的政策和程序
• 制定有关建立合同协议、数据保留期和其他适用要求的政策。

公司对云中持有的数据的责任是什么？

第三方安全问题是GDPR的一个主要关注点，这些问题包括当第三方云平台代表客户企业存储数据时。

在涉及到对个人信息安全的责任时，GDPR区分了 "数据控制者 "和 "数据处理者"。

在这种情况下，企业是数据控制者，而云软件供应商是数据处理者--这意味着企业因此有责任保持个人数据的安全，无论它是否存储在他们自己的服务器上。

选择云平台时要考虑的问题

在迁移到云端之前，建议企业确保他们的个人数据流被正确地规划出来，并进行隐私影响评估。

这方面的核心是以下考虑。

• 数据 主权 GDPR法规规定，数据必须存储在欧盟境内。 幸运的是，有许多云服务提供商可以让你选择数据的存储地点，所以你可以选择一个在欧洲使用数据中心的供应商。
• 数据安全检查云存储平台有哪些安全保障，并选择一个提供端到端加密的平台。 最终，你需要确信该供应商有足够的安全程序。
• 尊重数据主体选择一个遵守欧盟数据主体的八项隐私权的云供应商--云公司应随时提供这一信息。
• 设计和默认的数据保护确保云公司已将安全纳入其设计和程序中--例如，通过使用限制访问敏感信息的零知识加密技术。 这是关键，因为任何数据泄露最终都将由你的公司负责。

遵守GDPR需要持续的工作

一旦公司将数据迁移到云端，明智的做法是进行定期审计，以确保操作程序和流程继续符合GDPR。

定期检查云平台是否继续符合任何安全保证也是明智的。

这项工作通常是由独立的第三方监督机构或审查网站进行的，在决定选择哪种方案之前，应该对其进行验证。