Données à la conformité de la souveraineté des données et aux meilleures pratiques

Données souveraineté, localisation et résidence

Pour comprendre comment la gestion des données fonctionne dans le contexte de la confidentialité, vous devez d’abord reconnaître les termes de base qui y sont associés. Voici trois concepts principaux à savoir:

1. Data Souverainté. Les données sont soumises aux lois et réglementations du pays où elles sont générées ou stockées. La gestion des données doit se conformer aux lois de cette juridiction.
2. Localisation des données. Les données doivent être collectées, traitées et stockées à l’intérieur des frontières d’un pays avant d’être transférées à une autre juridiction, permettant aux données de rester sous la supervision de cette juridiction.
3. Résidence de données. Les données stockées dans un emplacement spécifié font l’objet des lois de cette juridiction.

Ces termes ne sont pas interchangeables et affectent directement la façon dont vous gérez les données dans une infrastructure cloud.

Data Souverainté et le cloud

Votre organisation doit être consciente des nombreux aspects différents de la souveraineté des données et apprendre à les gérer soigneusement dans son déploiement cloud. Les emplacements de stockage de données doivent tenir compte de plus que le simple fait d’être près du consommateur pour les transferts à faible latence. Vous devez sélectionner des emplacements en fonction des lois sur la confidentialité, l’accès du gouvernement aux informations des clients et la disponibilité des ressources.

Les autres considérations incluent les éléments suivants:

• Gestion des lieux pour un stockage de secours chaud, chaud et froid.
• Se préparer à se développer sur de nouveaux marchés dans différentes régions.
• Intégration de l’IA qui pourrait optimiser le stockage par le déplacement des informations.

Les pénalités pourraient être substantielles. Les entreprises doivent comprendre et se conformer aux lois et réglementations sur la souveraineté des données. La conformité de la souveraineté des données est essentielle.

Conformité et conséquences réglementaires

Les organisations sont confrontées à des défis uniques lorsqu’ils se conforment aux réglementations de souveraineté des données. Les données pourraient résider et être consommées au sein de diverses entités politiques du monde entier, notamment aux niveaux national, étatique, provincial et local. Les changements constants au sein de ces limites politiques sont une préoccupation, tout comme les changements dans les relations entre ces entités. Cela signifie que votre organisation doit jongler avec plusieurs juridictions et être consciente des relations entre ces juridictions.

Des exemples de lois standard de confidentialité des données comprennent les éléments suivants:

• RGPD. Les principales données d’Europe La loi de souveraineté accorde aux citoyens le contrôle et la protection des informations personnelles. Il s’agit de l’exemple de protection des données de facto.
• Hipaa. Le règlement prescrit la façon dont les organisations et les prestataires gèrent les informations de santé protégées aux États-Unis.
• Loi sur la protection des informations personnelles et les documents électroniques. Cette législation canadienne régit comment les entreprises privées collectent, utilisent et divulguent des informations personnelles, y compris les transferts de données transfrontaliers. La loi exige le consentement de la collecte et de l’utilisation des données.
• Loi sur la protection des données personnelles. Cette loi centrale à Singapour dicte comment les données personnelles sont collectées, utilisées, divulguées et protégées.
• Loi de 1988 sur la vie privée. Cette loi décrit la politique nationale de l’Australie pour gérer la collecte, l’utilisation et la divulgation de l’information à travers le gouvernement et les secteurs privés.

Les entreprises reconnues coupables d’avoir violé la souveraineté des données et les lois connexes sont généralement punies par des amendes, bien que les conséquences varient selon la juridiction. Les conséquences moins tangibles incluent l’érosion de la confiance des clients, les dommages à la réputation du public et les perturbations de l’entreprise, car il réaligne les exigences de souveraineté et de confidentialité.

Lors de l’évaluation de la conformité de la souveraineté des données, considérez ce qui suit:

• Sécurité des données. La sécurité des données est le principal objectif de la confidentialité et de la souveraineté. Les entreprises doivent sécuriser les données en transit, au repos et utilisées. La souveraineté des données réside sous ces concepts de sécurité plus larges car il nécessite toujours un contrôle d’accès physique et logique, des pratiques d’évitement de violation des données et des pratiques anti-anti-logiciels.
• Infrastructure de cloud computing. Le cloud computing augmente et réduit les lois sur les données de la souveraineté des données sur votre entreprise. Le fardeau est augmenté par le déchargement des responsabilités, l’automatisation des coulisses et le contrôle réduit, qui sont les caractéristiques du traitement distribué et du stockage du cloud computing. Il est beaucoup plus difficile de contrôler exactement où se trouvent vos données à un moment donné. Pourtant, les fournisseurs de services cloud (CSP) offrent également aux organisations une plus grande visibilité et contrôlent où leurs données sont envoyées. Les CSP aident également les petites organisations en garantissant divers niveaux de confidentialité et de gestion des paramètres régionaux, en réduisant la charge de travail de recherche et de conformité.
• Accès et collaboration des données. Le travail à distance et une main-d’œuvre distribuée exigent que les utilisateurs puissent accéder aux données chaque fois qu’ils en ont besoin. Les entreprises doivent comprendre comment les postes de travail à distance téléchargent des données et si ces téléchargements relèvent de la surveillance de lois et réglementations spécifiques. L’informatique Edge et les services compatibles AI doivent également être soigneusement pris en compte.
• Contraintes de coût. La conformité de la souveraineté des données peut être coûteuse, en particulier pour les petites organisations. Le coût est souvent divisé en deux parties: les exigences de conformité réelles et les ressources investies dans la compréhension de ces exigences et comment les adhérer. Dans certains cas, les CSP peuvent réduire ce coût en garantissant un niveau de conformité et en réduisant la quantité de recherches que votre organisation doit effectuer pour comprendre la conformité.
• Classification des données. La classification est essentielle lors de la gestion des données dans le contexte des lois sur la sécurité du cloud et la souveraineté des données. Votre organisation doit clairement comprendre les données dont il a, la sensibilité interne de ces données et l’impact de la gouvernance externe de la vie privée. La classification des données automatisées et basées sur l’IA devient encore plus critique avec les préoccupations de souveraineté des données à l’esprit.
• Gestion du cycle de vie. Le réglementation de la souveraineté des données augmente le besoin de gestion du cycle de vie. Les entreprises doivent comprendre, documenter et gérer la façon dont elles collectent, stockent, traitent, conservent et suppriment les données. Les données ne peuvent pas être régies efficacement sans comprendre son cycle de vie et l’utiliser au sein de l’organisation.
• Sécurité nationale. Les organismes gouvernementaux, les entreprises de l’industrie de la défense, les fournisseurs d’infrastructures – le pouvoir, les communications, l’eau, etc. – et d’autres organisations de sécurité nationale sont particulièrement affectées par la souveraineté des données. Comprendre et contrôler la transmission et le stockage de données qui ne peuvent jamais être interceptés par des puissances étrangères est crucial. Une gouvernance supplémentaire est nécessaire car ces organisations continuent de migrer vers le cloud.

Travaillez avec votre CSP

Toutes les organisations, en particulier les petites entreprises, doivent se rappeler qu’elles ne sont pas les seules dans la gestion des problèmes de souveraineté des données. Les CSP offrent des services étendus entourant ces problèmes. Attendez-vous à ce que ces services se développent à mesure que davantage de nations et d’États établissent des lois sur la confidentialité et le contrôle de l’information.

Des conseils et des services de souveraineté de données sont disponibles auprès d’AWS, Microsoft Azure et Google Cloud. Étant donné que ces fournisseurs ont une expérience des exigences de données satisfaisant à des milliers d’entreprises, elles ont développé des cadres de conformité. À cette fin, travailler avec les CSP est essentiel lors de la lutte contre les préoccupations de souveraineté des données.

Les organisations doivent commencer à expliquer comment elles gèrent la confidentialité de l’information dans le contexte de la souveraineté des données. Comprenez où résident vos données et quelles lois et réglementations s’appliquent. Attendez-vous à la complexité des déploiements cloud, des affaires interétatiques et internationales et des relations en constante évolution entre les gouvernements.

Travaillez avec vos CSP car ils comprennent comment implémenter les exigences de configuration dictées par la souveraineté des données.

Mettez la conformité aux données de la souveraineté en haut de votre liste de tâches annuelle, surtout si votre organisation n’a actuellement pas une approche complète pour traiter cette question essentielle. L’impact de la non-conformité est trop sévère. Commencez aujourd’hui.

Damon Garn possède la coaction Cogspinner et fournit des services indépendants d’écriture et d’édition informatique. Il a écrit plusieurs guides d’étude CompTia, y compris les guides Linux +, Cloud Essentials + et Server +, et contribue largement à Informa Techtarget Editorial, The New Stack and Comptia Blogs.