94%的云服务不符合GDPR规定

简介:

今年4月份,欧盟通过了一项新立法——通用数据保护条例(GDPR)。根据对超过20,000个云服务的调查分析,只有6%的云服务完全符合该法规。

这个新的标准化的数据保护法律最迟将于2018年春季在欧盟所有成员国内实施。严格意义上讲,也包括英国。尽管发生了英国退欧公投事件,但是在调用第五十条启动离开过程的两年时间内英国仍将是欧盟的正式成员。并且,第五十条目前尚未被调用。

我们做一个简单的自动假设,如果将数据放在云端,就免除了对数据的责任,并将责任转接给了云服务提供商。但是事实并非如此,GDPR对数据管理者和数据操作员做出了区分,管理者负有主要责任。如果一个公司在云中存储或使用数据,那么该公司就是数据的管理者, 在GDPR之下就要对数据负责。此外,GDPR即不受限于公司的国籍,也不受限于云服务的地理位置——所以只要涉及到一个欧洲公民的个人数据,那么GDPR就适用。

这实际上意味着将欧洲公民的个人数据存储到云中会降低公司符合GDPR规定的程度。根据Skyhigh的分析。这是一个令人担忧的问题。“云服务仍然是所有企业的关键,但欧盟GDPR使得云服务的立即可用变得困难重重。” Skyhigh Networks的首席欧洲发言人Nigel Hawthorn说到。“简单地说, GDPR中的标准条款和条件,使得几乎所有和云服务相关的公司都不再适合在欧洲做生意。一旦欧盟开始执行GDPR,那么几乎所有的公司都需要重新审核和谈判,或者被直接驳回。”

举例来说,84%的云服务不会在合同终止时立即删除客户数据。所以,一旦这些数据包含了欧洲公民的个人信息,那么马上该项云服务就违反了GDPR。

Skyhigh还指出,只有1%的云服务会在24小时内提供安全事件通知。GDPR要求数据管理者(记住,是指云服务的客户而不是云服务提供商)在72小时内通知相关数据保护监管机构。很明显,这是几乎是不可能的,因为大量的云服务用户会违反GDPR的通知要求。

用户IP则是另一个问题。Skyhigh指出,58%的云服务不能提供IP所有权的保证。一些云服务可能会取得所有上传IP的所有权,而其他的云服务根本无法做出保证。在某种程度上,这只是一个简单的业务问题;但是Skyhigh再一次声明,如果它包含了欧洲公民的个人数据,那么就会牵涉到GDPR。

此外,关于云服务和GDPR有两个问题需要仔细考虑。第一个问题是:现在的制裁力度与早些时候相比,有了大幅度的提高,现在最高可以罚款2000万欧元,即全球前一财政年度的年营业额的4%。第二个问题是:监管机构肯定会考虑公司做出的“努力”。如果一个公司可以表明它已经做出了努力去符合GDPR的规定,那么监管机构可能不会对该公司开出最大罚款。

“当考虑欧盟GDPR时,不只是‘服从或不服从’,‘安全或不安全’那么简单,” Skyhigh 说到。“该规定超过100条,这是一个庞大并且复杂的问题,需要每个公司在评估很多变量之后做出自己的判断。”所有这一切都意味着,GDPR规定只是其中一个因素(尽管它是一个严重的因素),但是现有CISOs还存在一个主要问题即对云供应商的管理。对此,Skyhigh为其客户提供了一项免费服务,可以对其云提供商是否合乎GDPR规定进行评估。

那么,面对GDPR,企业到底该何去何从?这个问题只有留待时间来解决了。

本文转自d1net(转载)

相关文章
|
1月前
|
安全 数据处理
(GDPR)是欧盟的一项全面的数据保护法
【10月更文挑战第7天】(GDPR)是欧盟的一项全面的数据保护法
140 3
|
5月前
|
存储 安全 数据处理
数据保护:个人与企业的共同责任
【6月更文挑战第23天】个人和企业在数据保护中同担重任。个人需了解隐私政策,保护个人信息,提升安全意识,使用强密码并控制数据共享。企业则须遵守法规,建立保护政策,采用技术防护措施,培训员工,并备有数据泄露应急计划。双方合作,共建安全数据环境,为数字时代保驾护航。
54 10
|
6月前
|
存储 安全 网络安全
评估云服务提供商的数据安全性
【4月更文挑战第28天】评估云服务提供商的数据安全性
83 2
|
6月前
|
运维 监控 安全
等保合规:保护企业网络安全的必要性与优势
等保,全称为“信息安全等级保护”,是国家强制性标准,要求特定行业和企业通过安全评估确保网络安全。等保涉及物理安全(如门禁、人员管理、设备保护等)、网络安全、主机安全、应用与数据安全、制度与人员安全、系统建设管理及系统运维管理等七个方面,确保信息系统的安全和可靠性。企业进行等保合规是为了满足《网络安全法》等法律法规要求,防止网络数据泄露,避免罚款。等保工作包括定级备案、安全测评、建设整改等,企业需建立良好的安全保护生态,确保网络安全。通过等保,企业能构建有效的安全保障体系,防御系统入侵,保障用户信息,提升故障修复效率,并符合法律义务。
|
6月前
|
存储 监控 数据挖掘
企业出海数据合规:“躲不了”的GDPR域外管辖
GDPR通过"设立机构标准"和"目标指向标准"拓展了数据管辖范围。"设立机构标准"适用于在欧盟境内设有机构的数据控制者和处理者,要求建立真实有效的联系。"目标指向标准"则适用于在欧盟外提供商品或服务、监控欧盟内数据主体行为的数据处理者。这强化了对数据控制者和处理者的管辖,扩大了在欧盟领域外的数据活动的监管范围。案例中TikTok因GDPR违规受罚,突显了欧盟对全球企业的数据保护要求。
173 1
|
存储 云安全 监控
[云架构 ]云安全和隐私:法律合规与风险管理指南,第1部分
[云架构 ]云安全和隐私:法律合规与风险管理指南,第1部分
|
存储 数据安全/隐私保护
数据隐私与GDPR合规:保护用户数据的技术和法规
在当今数字化时代,用户数据的隐私和保护成为了软件开发过程中的一个重要问题。特别是随着欧洲通用数据保护条例(GDPR)的实施,合规性变得更加关键。本文将探讨数据隐私的重要性,解释GDPR的基本原则,并提供一些技术实践和示例代码来保护用户数据,确保合规性。
440 0
|
运维 安全 网络安全
带你读《网络安全等级保护2.0定级测评实施与运维》——2.1 网络安全法律政策体系
带你读《网络安全等级保护2.0定级测评实施与运维》——2.1 网络安全法律政策体系
|
存储 监控 安全
「企业合规」开发符合GDPR标准的应用程序的15个步骤
「企业合规」开发符合GDPR标准的应用程序的15个步骤
|
存储 云安全 监控
【云架构】云安全和隐私:法律合规与风险管理指南,第2部分
【云架构】云安全和隐私:法律合规与风险管理指南,第2部分