数据中心运营商和IT团队的任务是保持运营平稳运行,同时平衡优先级,例如治理和资源控制、协调、规模以及合规性和技术更新。
近几年数据安全一直被大众关注,Facebook甚至因此被推上了风口浪尖,甚至进行了罚款等处理。
所以作为数据中心管理人员遵守与数据隐私和数据处理相关的法律法规。不仅美国32个州已经制定了规范数据处理的法律,2018年5月欧盟通用数据保护法规(GDPR)的实施使数据中心运营商的作用更加复杂。企业现在必须“自我检查”以避免罚款,同时也要保护客户保护个人信息的权利。
企业必须如何处理美国数据处理法律以及他们可以使用哪些方,以确保数据安全且不可挽回地从IT资产中删除,这意味着可以轻松地认证过时的客户数据。有一件事是清楚的:如今的消费者对于他们的数据如何被使用(或被滥用)更加精明,而GDPR法规反映了这一事实。以下从美国的法律开始,以及数据中心运营商如何在阻止其组织受到审查方面发挥重要作用。
跟上美国数据处理法不断发展的步伐
许多人预测,GDPR法规将成为数据隐私的标准载体,引发美国和全球新法律的制定。鉴于对Facebook公司等社交媒体公司如何经常违反和滥用第三方数据的担忧,这种观点是有道理的。如前所述,超过32个州对数字数据有某种类型的数据处理规定,其中31个具体处理数字数据(亚利桑那州的数据处理法仅适用于纸质记录)。6月下旬,在Facebook和全剑桥分析公司的数据丑闻之后,加利福尼亚州通过了美国最严格、最全面的数据隐私法律之一。由于将于2020年1月1日生效,2018年的“加利福尼亚州消费者隐私法”规定了处理客户数据的大公司如何管理、存储和处理敏感数据的方式。
消费者定期披露个人身份信息(PII),无论他们是否知道。当他们申请工作或信用卡,买车或去杂货店时,他们会向各个公司披露他们的地址、婚姻状况等信息,在某些情况下,甚至是他们所在的地方(由于智能手机内置GPS跟踪)。滥用这些数据可能会对消费者产生灾难性影响。
新的加利福尼亚州法律表明,“未经授权披露个人信息和隐私权损失可能对个人造成破坏性影响,包括财务欺诈、身份盗窃、不必要的成本、个人时间和财务、破坏财产、骚扰、声誉受损、情绪紧张、甚至潜在的身体伤害。”
例如,对于总部设在密苏里州但在加利福尼亚州开展业务的企业而言,遵守最严格的法律可能意味着在运营中遵守同一级别。一旦这项法律生效,加利福尼亚州将拥有更多的数据自主权。
消费者有权要求企业收集用户的个人信息透露给消费者的类别和个人信息收集特定业务。
企业现在要对其管理个人数据的方式负责。这一事实对于听取有关数据处理和数据隐私的规定至关重要,因为组织面临巨额罚款和有损品牌的风险。客户现在可以要求企业随时删除其个人数据,并可能要求删除证明。
GDPR法规实施后的数据资产管理
经过多年高调的数据泄露,显然需要制定法规来保护消费者数据隐私。欧盟颁布了GDPR法规来做到这一点。该法律的一个复杂因素是实施适当的数据分类和相关的数据保留过程,GDPR法规“擦除权”将是必要的。
此外,只要确保没有来自欧洲公民的敏感个人信息被错放、误用或以任何可能触发处罚的方式泄露,数据中心的正确数据管理变得至关重要。如上所述,仅仅拥有欧洲公民的个人数据使企业受法律约束,因此合规性至关重要,应成为拥有全球客户群的美国公司的优先事项。
保护私有数据的重点往往集中在资产生命周期管理上,确保资产在生命周期结束时没有资产离开企业的物理安全环境,数据仍在其上,并确保安全的退役流程。这样做需要专业的资产处置流程。如果服务提供商执行这些流程,企业需要来自该提供商的审计跟踪以获得此保证。大多数企业都很好地控制了这个问题,但如果不这样做,那么这是企业应该考虑的数据安全最佳实践。
然而,GDPR法规远远超出了在这个级别管理企业的资产。数据保护也适用于资产生命周期,这意味着企业必须保护实际的数据生命周期。在该数据生命周期中,企业可以通过在保留期结束时,数据迁移后部署经过认证和可审计的数据擦除,或者作为管理机密数据或合规数据的日常卫生的一部分来提高IT安全性。
GDPR法规第17条,也称为“擦除权”或“被遗忘权”,规定企业必须在若干情况下删除个人的个人信息,包括要求将其删除。他们必须这样做,不要“不当拖延”,否则将面临严厉的处罚。组织必须证明遵守本文是首要任务,并在监管机构要求时生成擦除证书。
了解删除、重新格式化、擦除和其他术语与安全擦除之间的区别非常重要。真正的数据清理(包括数据擦除、验证和完整的审计跟踪)可确保敏感数据永远消失。数据擦除应该在数据生命周期的许多点以及各种情况下发生,包括客户需求、设备寿命终止、数据迁移和云端退出等。
在确保遵守快速发展的数据处理和数据隐私法律之前,数据中心管理人员必须确定组织使用的所有资产和运营系统。他们可以利用大数据分析从更大的洞察中获益,而不会使数据面临风险和/或失去对不良参与者的控制。隐私对企业的业务同样重要,因为客户满意度和收入。将隐私最佳实践构建到业务的每个部分是遵守全球法规的重要一步,例如GDPR法规和有关数据处理的美国新兴法律。
相关阅读: