咨询QQ:
      杂志订阅

      编辑

      网管

      培训班

      市场部

      发行部

电话服务:
 010-82024981
欢迎, 客人   会员中心   帮助   合订本   发布信息
设为首页 | 收藏本页
GDPR法规对数据中心所有者有何影响?
  • 欧盟通用数据保护条例(GDPR)至今已经实施了一年的时间。该法规强调需要强有力的物理安全和可靠的合同协议。那么,数据中心所有者的业务经营和设施运营发生了什么变化?
  • 欧盟通用数据保护条例(GDPR)至今已经实施了一年的时间。该法规强调需要强有力的物理安全和可靠的合同协议。那么,数据中心所有者的业务经营和设施运营发生了什么变化?
      
      GDPR法规最大的调整之一是数据的“处理者”有责任帮助“控制者”保护私有信息。对数据中心的影响取决于它们提供的服务类型以及它们与信息本身及其所在系统的距离。
      
      但总的来说,GDPR法规已经促使客户与数据中心运营商更紧密地合作,询问更多关于他们的信息存储在哪里的问题。事实上,根据数据中心所有者的说法,去年有大量客户要求实地考察,以完成详细的风险评估。
      
      英国数据中心所有者Node4公司的合规性经理Vicky Withey表示,在实施该法规后,客户通常希望对数据中心进行风险评估审计。
      
      Withey说,“在过去的一年里,我们的客户审计人数有所增加:人们希望能够实地考察并完成问卷调查。他们通常提出这样的问题:如何保护数据和访问机架?有时客户希望合同中有特定的参考,以确认他们有审计要求。”
      
      虽然托管服务提供商并不是数据处理者,但需要确保强大的物理安全性。他们还需要对摄像头的录像和其他现场措施等少量数据进行处理。
      
      Timothy Arnold是Six Degrees集团的主管,该公司在英国运营着三个数据中心,并提供一些额外的托管服务。
      
      Arnold表示,在数据中心托管方面,Six Degrees集团拥有的个人客户数据很少。但作为监管的一部分,它需要评估其为摄像头和门禁保留的个人客户信息。
      
      他说,“我们告知客户数据保留时间会有变化。我们过去通常保存一年的访问日志,现在我们不需要持有这些日志:在GDPR法规实施后,这些数据我们只保留90天的时间。”
      
      Six Degrees集团还必须为客户合同添加新的条款和条件,并为其员工提供有关如何处理数据的培训。
      
      政策与程序
      
      GDPR法规下的“数据处理”涉及范围很广:例如,存储和删除作为处理方法。因此,该规定对提供此类服务的人产生了更大的影响。
      
      Blancco公司的企业和云计算擦除解决方案副总裁Fredrik Forslund表示,在GDPR法规实施之前的那段时间以及此后的一段时间内,政策修订和更新已经大量采用。Blancco公司专注于生命周期结束时的数据中心服务,其中包括安全擦除和淘汰硬盘,以永久删除硬盘、LUN、服务器、虚拟机中的数据。
      
      Forslund说,“作为一个数据中心运营商,其业务模式是提供基于基础设施的服务,那么在法律方面就会有更多的投资。以前的合同可能很简单,但现在数据处理者和数据所有者之间的合同要复杂得多。例如,人们会问,‘如果我们退出你的基础设施会发生什么,如何清理数据?’”
      
      Graham Marcroft是Hyve管理咨询公司运营和合规总监,该部门负责提供数据中心的基础设施。他表示,这使得Hyve公司成为一个数据处理者。
      
      根据Marcroft的说法,该法规增加了更多的责任和数据处理者的责任,并与控制者密切合作。同时,控制者需要确保其数据处理器符合GDPR法规。
      
      他说,GDPR法规的实施让Hyve公司有机会了解现有的政策和程序,并评估这些需要调整或改变的地方。
      
      Marcroft说,“这让我们看看我们拥有的东西,并相应地调整它以符合要求。”
      
      他表示,Hyve公司在GDPR法规颁布之前就开始对其关注。他说,“我们与律师进行了沟通和探讨,以确保合同符合GDPR法规。我们不得不考虑重写合同要素,我们直接与信息专员办公室(ICO)联系,要求澄清特定领域。他们进行了解答,这为合同律师提供帮助,也可以应用于员工培训。”
      
      例如,Marcroft说,“Hyve公司已经制定了一个‘被遗忘权利’的合同流程。如果需要删除营销列表中某人的数据,则必须能够证明这一点。我们已经制定了相应的程序,以及在签订合同时客户将会告诉我们,‘你必须删除我们相关的数据,并证明你已经完成。’”
      
      他指出:“例如,用户需要能够从服务器提供审计日志,以证明在特定时间删除了信息。”
      
      Marcroft指出,Hyve公司每月进行两次内部审核,并已经引入了一些测试,例如询问员工这样一个问题,“我希望从系统中删除数据,告诉我将如何进行。”
      
      简单合规性
      
      Withey表示,如果组织遵循正确的控制措施,那么遵守GDPR法规作为纯粹的主机托管数据中心所有者是比较简单的。他说,“如果经过强有力的风险评估和良好的风险登记,并检查物理控制,任何事情都不会出错。即使电力中断,也能继续工作。我们想到了每一个可能发生的事情。”
      
      EltjoHofstee是LeasewebUK公司总经理,该公司在欧洲、亚洲、澳大利亚和北美拥有19个数据中心。Hofstee表示,在GDPR法规实施之后的变化中,客户需要证明数据管辖权。他说,“过去这对客户来说并不重要,但现在他们想知道它是否存储在那里,他们需要证明这一点。”
      
      因此,在GDPR法规实施一年之后,数据中心所有者正在接受对其流程所需的更改。
      
      但是未来会是怎样的呢?
      
      一个极具争议但有趣的话题是英国退欧。当英国准备退出欧盟时,许多客户都在询问数据中心所有者将如何影响业务发展。
      
      提供随需应变的云存储的Wasabi科技公司首席执行官兼联合创始人DavidFriend说,GDPR法规在英国退出后可能会对英国数据中心行业的发展产生重大影响。他说,“目前为欧盟客户提供服务的英国数据中心运营商可能会发现很多客户正在将其存储的数据迁移到阿姆斯特丹、法兰克福、突尼斯等欧盟的其他数据中心中。很多客户已经这样做了。”
      
      律师事务所GowlingWLG公司合伙人Jocelyn Paulley指出,还应注意的是,英国已经开始实施其自己的GDPR:《2018年数据保护法》。这意味着GDPR法规仍将在英国退欧之后继续生存和发展。
      
      设计安全是GDPR法规实施的关键,这强调了数据中心需要向客户证明其凭证。对于一些公司来说,这项法规甚至增加了额外的收入来源。
      
      Six Degrees公司的Arnold表示,已经有更多客户要求处理不需要的数据。他说,“在以往,当存储设备到达生命周期的末期时,很少有考虑如何处理。但现在,客户希望我们能够以一种安全的方式来解决。而如果硬盘出现故障,客户将会要求我们将其销毁,因为他们不希望保留这些不需要的数据。这是由GDPR法规推动的:客户不想自己处理,我们将会销毁更多的硬盘。”
      
      编辑:Harris
      
      

  •