导读 | 强调合规性的数据存储管理人员应该遵循行业机构分析师推荐的策略,其中包括采用自动化技术和匿名数据。存储专业人士如今有很多事情要做,但在隐私法规范围不断扩展的时代,他们的任务清单却在不断增加。包括GDPR法案、萨班斯-奥克斯利法案、HIPAA、PCIDSS、CCPA等法规在内的隐私法规使企业确保其存储数据的合规性如今成为一项更大的挑战。 |
然而,存储专家是否承担相对于企业中其他人更多的合规性责任因行业领域和企业规模而异。IDC公司分析师Andrew Smith表示,在零售行业等监管较少的行业中,当涉及到安全规则和合规性操作时,更常见的是看到存储专业人员的责任更加广泛。另一方面,在医疗保健公司等高度监管的行业中,负责安全和合规性的专门团队通常更为普遍,有时由首席数据官提供支持。
对于大多数企业来说,最主要的合规性驱动因素包括以下内容:
GDPR。《通用数据保护条例》(GDPR)控制与欧盟(EU)公民相关的数据保护和隐私,限制数据移动以及数据的使用方式。由于其广泛的定义和难以承受的处罚,GDPR法规是所有数据管理员最关心的问题,他们必须非常谨慎以避免其陷阱。
萨班斯-奥克斯利法案。该法案是一项美国在2002年发布的金融法规,它对在美国上市的公司采用了严格的数据保留规则。存储专家必须注意法规所涵盖的数据。
HIPAA。1996年的《健康保险流通与责任法案》(HIPAA)是一项复杂的法规,涵盖的不仅仅是数据。但是,其最相关的功能旨在保护与个人相关的医疗信息的隐私和机密性。因此,它关注数据的保留和访问控制。
PCIDSS。支付卡行业数据安全标准旨在保护存储在任何地方的消费者信用卡信息——既防止欺诈又保护隐私。处理此类数据的组织需要接受各种定期审计。
CCPA。《加利福尼亚消费者隐私法》(CCPA)是一项在概念和后果上与欧盟GDPR相似的州法律。
研究机构Enterpris Strategy集团分析师Christophe Bertrand指出,所有这些法规的最主要问题是了解企业拥有哪些数据以及哪些法规适用于这些数据。一旦确定,合规性就更容易管理。
IDC公司分析师Andrew Smith说,“通常情况下,我们看到存储专业人员负责数据管理和记录保护的基础知识,无论数据类型如何。”他表示,这可能包括确保数据可用并受到保护(复制和备份),而不管其数据类型如何,将提供适当的访问控制和流程,并确保合规性。
他表示,归档和电子发现之间的关系通常是学科交叉的一个很好的例子。存储管理员通常负责数据归档、数据策略、元数据和访问。然后,合规专家将使用存档中的原生工具或在集成应用程序的帮助下访问这些数据,用于监视或电子发现目的。他补充说,“它们所扮演的角色非常不同,但都是信息治理目标不可或缺的一部分。”
Smith说,“在通常情况下,数据仍由IT组织中的存储或数据经理管理。对于SaaS应用程序,这变得更加多样化,可能经常看到业务应用程序所有者在他们使用的特定SaaS应用程序范围内承担数据管理任务。”
不过他表示,在与供应商和买家的沟通和对话中,存储、数据管理、数据安全和法规遵从性之间的界限似乎开始模糊。在过去几年中,市场已转向为数据管理、数据弹性和数据平台提供平台和服务。
Smith表示,市场朝着这个方向发展的很大一部分原因是存储专业人士必须“少花钱多办事”。随着企业对其运营、产品和服务的大部分实现数字化,存储容量继续呈指数级增长。这给存储专业人员和IT管理员带来了额外的负担,以确保以经济高效的方式存储企业数据,并且更广泛的应用程序和业务部门可以轻松访问被认为是“关键任务”的数据。而目前流行的主题是“数据是新的石油,数据是最宝贵的资产”,企业面临着捕捉和保留比以往更多的数据的压力,并希望这些数据能够以新颖的方式实现货币化。他补充说,“在许多情况下,存储管理员需要经济高效地管理存储系统,这将面临一个艰难的处境。”
尽管存储和IT专业人员可能不具备满足所有合规性要求或阻止每次网络攻击所需的所有工具和知识,但他们绝对是第一道防线,并且是企业数据战略的一个重要组成部分。Smith说。“当我们向存储经理询问隐私法和合规性时,大多数人表示担心其企业的合规能力。这些人通常关注性能、管理和安全等方面的挑战,尤其是云存储服务的安全性。”
Smith和其他分析师为关心如何应对合规性挑战的存储专业人士提出了六个建议或最佳实践,其中包括:
准备好证明政策和做法的合理性。Bertrand表示,所有法规都可以解释,有些法规故意含糊不清,实际上具体规定了使用现代的做法。这意味着需要有某种关于存储策略的解释性信息来支持选择的适当性,如果曾经被审计的话。
Grant Thornton公司负责人Lindsay Hohler表示,建议使用工具来实施和自动化数据治理。并确保每个人都了解他们的角色和职责。她补充说,“这不仅仅是一个由IT领导的计划;它必须让企业的利益相关者参与进来。”
Smith指出,确保数据存储在最具成本效益和性能的可用层上是最佳实践。并确保满足基本策略和访问要求。例如,在分层或删除数据之前,确定谁可以访问哪些文件/存储桶以及应保留特定时间段的特定数据。他补充说,“我们经常看到所有这些都在存储专业人员的控制之下。”
Smith说,存储和IT专业人员在出现问题时可以避免成为“替罪羊”的一种方法,是在合规性和安全性方面对供应商产品和服务进行更全面的审查和发现。他补充说,当涉及到数据隐私和合规性时,需要提出正确的问题以了解客户与供应商的关系,以及共同责任与个人责任。
这些服务的核心是传统的存储系统,但越来越多的IT购买者期望的不仅仅是文件系统或对象存储库。他们希望内置的高级数据管理工具能够超越基本的配置。因此,据Smith称,他们正在寻找管理工具来帮助自动化访问控制、预测物理设备故障或识别性能瓶颈,以及跟踪和审核数据日志,并识别恶意软件或勒索软件。
Hohler指出,在某些情况下,受监管的数据可以匿名化,因此它不再违反GDPR和CCPA等法规,从而可以继续保留,但风险较小。
Hohler表示,实施良好的数据保护和合规实践的必然结果是确保企业也拥有健全和积极的数据处理实践。她说,“多年来,企业一直致力于确保保留数据以满足各种法规要求,但现在,我们看到更多的转变是在数据具有商业意义时立即处理数据,并假设企业已经满足合规性。”
Hohler补充说,最重要的是要意识到安全和合规计划的实施可能需要一些时间。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/126800.html