Intralinks Infographic Compliance What To Consider

Где хранить данные компании: 4 основных фактора риска

Решение, где размещать корпоративные данные требует понимания соответствующих законов в разных странах, а также тщательного анализа рисков. Организации могут иметь правовые или этические обязательства для защиты определенных данных в одной юрисдикции, и обязательного их раскрытия — в другой. Кроме того, переход к хранению и обработке данных на основе облаков только усиливает юридические проблемы.

Есть четыре важных фактора, которые организациям следует учитывать при выборе физического местоположения хранилищ их данных:

  1. Предмет ваших данных. Фактическое содержание данных может поставить их под юрисдикцию какого-либо государственного органа, независимо от места нахождения. Например, в рамках государственного законодательства штата Массачусетс, личная информация о жителях подчиняется локальному закону о персональных данных, независимо от того, где она хранится.
  2. Договоры взаимной правовой помощи (MLAT —  mutual legal assistance treaties). Эти обязательные соглашения между странами, по которым агенты одной страны может обратиться за помощью к другой стране, чтобы получить информацию, к которой они не имеют прямого физического или юридического доступа.
  3. Транзитные модели путешествия данных. Информационный поток через Интернет часто включает в себя передачу через многие страны, путешествуя по пути наименьшего скопления трафика. Любая из стран, через которые осуществляется передача данных, может претендовать на доступ к ним — в том числе стран, где ваш трафик может быть «угнан» хакерами без последствий из-за недоработок местного законодательства.
  4. Связь данных с вашей корпоративной штаб-квартирой. Правительства стран, где ваша компания имеет связанные с коммерцией интересы, могут быть в состоянии получить доступ к данным, хранящимся в другом месте. Законы страны, где находится штаб-квартира компании или организации могут потребовать доступа к информации в пределах своих представлений о госбезопасности.

Лишь эти четыре критерия были использованы для оценки потенциальных мест оптимального размещения центров обработки данных. Организации должны изучить весь спектр возможных угроз через анализ рисков. Юрисдикции правительств по мониторингу/перехвату данных являются важным фактором. Правовая среда должны быть рассмотрена и взвешена наравне с другими факторами угроз.

Чтобы начать этот процесс, для организации важно знать законы и понять, как правительства могут действовать в рамках этих законов, а не вводить себя в заблуждение на основе популярных мнений или слухов. Кроме того, шифрование данных в трафике, независимо от их местоположения, является обязательным условием. Кроме того, должно быть обеспечено хранение данных, принадлежащих и контролируемых компанией, на основе многофакторных ключей шифрования в разных местах.

Задача, где располагать ваши данные не должна решаться «в вакууме». Облачные вычисления и удаленное хранение может облегчить многим организациям технологическое бремя понимания механики, которая движет облаками, но это не освобождает предприятия от бремени понимания законов в странах, где эти облака работают.

Ниже приводится рейтинг стран и регионов на основе их текущего состояния MLAT и позиции правовой защиты корпоративных данных — передаваемых и хранимых в состоянии покоя. В то время как полная разбивка законов о защите данных для каждой страны на земле потребует значительных объемов статьи — это краткий, селективный обзор. Во многих странах существуют законы, которые управляют общим раскрытием информации с перечисленными исключениями для правоохранительных органов.

Intralinks-Infographic-Compliance-What-to-consider

 

Эти страны получают оценку «А» для своих сильных законов в области разведки и правоохранительной деятельности, а также строгим требованиям защиты данных:

  • Канада
  • Швейцария
  • Испания
  • Бразилия
  • Япония

Приведенные ниже страны являются твердыми представителями B-класса. Их законы больше на стороне разведки и правоохранительной деятельности, но предполагают некоторую защиту данных.

  • Соединенные Штаты
  • Европейский союз (ЕС)
  • Австралия
  • Германия
  • Мексика

C-страны имеют минимальные правила для разведки и правоохранительной деятельности, а также ограниченную защиту данных:

  • Индия
  • Таиланд
  • Суматра
  • ЮАР

В следующих странах поставлена D или F — в связи с их текущими правилами по предоставлению данных для разведки и правоохранительной деятельности, а также несуществующих органов защиты данных:

  • Россия
  • Китай
  • Пакистан
  • Саудовская Аравия
  • Египет
  • Ливия
  • Гонконг

Важно отметить, однако, что Соединенные Штаты находится в уникальном положении по отношению к другим народам с точки зрения прямого доступа к данным. Большинство телекоммуникационного трафика в мире проходит через коммутаторы и серверы, расположенные непосредственно на территории США или стран под контролем американских интересов. Это объясняет, почему американские компании получают специальные требования при работе с данными граждан Европейского Союза, например.

Во многих странах, несмотря на верховенство законов, существует отсутствие ясности по вопросам внесудебных способов сбора данных — и это «мутит воду». Например, Закон по борьбе с терроризмом Германии предусматривает, что органам безопасности выдается прямой доступ к персональным данным. Без санкции федерального суда, правоохранители Германии могут на законных основаниях запустить специальный «Федеральный Троян» для проникновения в компьютерные системы и получения информации без уведомления владельца системы.

JohnLandy_tnАвтор обзора — Джон Лэнди (на фото). Он директор по безопасности компании IntraLinks — поставщика услуг защищенного совместного использования файлов для корпорация. До прихода в IntraLinks, Джон был главным архитектором в JPMorgan Invest.

comments powered by Disqus