欧洲新数据保护法对于数据中心运营商意味着什么?
新的欧盟通用数据保护条例(GDPR)将于明年5月生效,适用于在世界各地收集有关欧洲客户或员工的敏感数据的大数据公司。欧盟通用数据保护条例(GDPR)还附带了严厉的违约通知要求,并对违规行为进行严厉处罚。一旦新的条例生效,数据中心运营商可能成为监管机构管理的主要目标。
来源:中国IDC圈编译
新的欧盟通用数据保护条例(GDPR)将于明年5月生效,适用于在世界各地收集有关欧洲客户或员工的敏感数据的大数据公司。欧盟通用数据保护条例(GDPR)还附带了严厉的违约通知要求,并对违规行为进行严厉处罚。一旦新的条例生效,数据中心运营商可能成为监管机构管理的主要目标。
总部位于美国佐治亚州亚特兰大的企业软件商OutSystems公司的首席信息安全官Jose Casinha表示,数据中心供应商是欧盟通用数据保护条例(GDPR)规定链条中重要的一环,因为这些公司拥有存储信息的实物资产。
MarkLogic公司的首席技术官Ken Krupa表示:"数据中心是欧盟通用数据保护条例信息监管的重点。"
他说,通常情况下,只有管理数据中心基础设施的人员真正了解数据的所有副本,特别是在考虑到高可用性,灾难恢复和备份等问题时。
这不仅仅是欧洲的数据中心
SANS研究所的律师兼讲师Benjamin Wright表示,然而许多数据中心供应商并不了解适用于他们这个法律条例,为此在时间和布置上没有为合规做好准备。例如,他们认为数据中心不必在欧洲受到法律的影响。
他说:"数据中心可以采取一个措施来限制风险,既获得客户的保证,即他们不存储或处理欧盟的数据,并确保数据中心免遭与数据保护条例(GDPR)执法有关的任何成本或损失。"
数据保护条例(GDPR)合规将作为产品特征
他说,也许数据中心运营商可以采取相反的做法,并使其遵从数据保护条例(GDPR)成为其一个优点。这意味着他们将需要任命一名数据保护官员进行风险评估,并建立合规记录。另外,数据中心运营商可能需要与客户一起工作,以便在72小时的窗口内确定哪些数据受到数据泄露的影响。
这并不容易
位于美国加州山景城的云计算安全供应商Bracket Computing公司产品管理副总裁Adam Conway表示,企业将需要对客户数据的位置和存储方式进行细粒度的控制,而这将需要数据中心技术的根本转变。
数据隐私部分
而不仅仅是网络安全。数据保护条例(GDPR)涵盖了与数据隐私相关的广泛领域。
Focal Point Data Risk的数据隐私实践主管Eric Dieterich说,例如,GDPR要求公司在客户或员工要求时删除个人资料。
他说:"数据中心可能需要提供一些功能,让客户能够执行删除数据中心存储个人数据的权利。"
更强大的物理安全性
旧金山软件商GoodData公司安全和合规总监Tomá?Honzák说,另一个挑战是数据中心可能需要建立更强大的物理安全性。
他说:"这会给数据中心运营商带来很大的压力,因为改变数据中心是一项战略和艰难的决定,但加强数据中心安全措施也可能是一项费时费力的工作。"
事实上,根据调研机构Gartner公司的说法,2018年底大多数企业在遵从数据保护条例(GDPR)方面仍然不完全达标。而不合规的处罚费用是相当昂贵的的,可能会面临最高2000万欧元的罚款,或企业每年全球收入的4%的罚款,两种方式以最高者为准。这意味着在法律生效之前,有的企业所面临的违规罚款从数百万美元可能会飙升到数十亿美元。