超级会员免费看
政府云业务认证、法规及合规风险解析
1. 引言
公共部门(涵盖政府和军事客户)是一个充满挑战的领域。在一定程度上,若商业公司深度参与军事或政府数据及产品的交互、生产、销售或处理,也需遵循相关法规。各国政府客户所采用的要求和法规并不统一,基本上每个国家都制定了自己的规则。虽然在加密使用方面存在一些相似之处,但由于加密软件或硬件必须获得各国政府的认证,这一相似性的作用有限。此外,政府要求数据本地存储,并由当地公民管理,这对采用全球轮班支持模式且缺乏特定国家本地资源的云服务提供商而言,是一项巨大挑战。云服务提供商可能需要维护数十个孤立的、特定国家的云实现和认证。
2. 通用云认证与合规
在云环境中运行的应用或系统具有特殊属性,需要在通用认证和合规控制框架中加以考虑。例如,云系统镜像、快照或云存储磁盘易于创建、复制和全球传输存储。这种全球分布和可用性在可扩展性、可用性和性能方面是云的一大优势,但也可能带来监管合规风险。同时,云服务提供商正日益成为全球攻击者的焦点,因为众多有价值的公司数据集中在少数数据中心或云解决方案中。
云虽具有全球性,但各国仍依据本地司法管辖区和法律行事。一个符合美国或加拿大法规的云服务器镜像,可能不符合欧盟的隐私或银行法。因此,若要在欧盟开展生产性银行业务,从这些镜像创建云服务器实例可能会出现问题。云服务器上运行关键业务系统时,管理员应尽早考虑特定国家的法规。
部分法律或监管合规方面由云服务提供商及其认证覆盖。云客户需检查所需的认证,如数据中心、存储、网络和虚拟化等基础服务的认证是否齐全。常见的认证包括行业独立的 SOC1/SSAE16/ISAE3402 和 SOC2 Type II 报告及认证,以及 ISO27001、I
订阅专栏 解锁全文
扫一扫
29
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
