Co to jest suwerenność danych?

Suwerenność danych to zasada, zgodnie z którą dane podlegają prawom i strukturom zarządzania kraju lub jurysdykcji, w której są gromadzone lub przechowywane. Może to wpływać na zdolność rządu do egzekwowania uprawnień prawnych wobec danych fizycznie znajdujących się w jego granicach, niezależnie od tego, gdzie organizacja pierwotnie przechowuje dane.

Jest to ważne, ponieważ zbiór przepisów regulujących Twoje dane nie zależy od miejsca, w którym znajduje się Twoja firma. Jest on określany przez miejsce przechowywania danych. Przykładowo, amerykańska firma przechowująca dane klientów na serwerach zlokalizowanych we Frankfurcie podlega prawu UE w odniesieniu do tych danych, jak również prawu amerykańskiemu.

Te trzy terminy są ze sobą powiązane, ale nie są identyczne. Przestrzeganie zgodności może być dotknięte różnicami w jego zastosowaniu.

•     Suwerenność danych jest koncepcją prawną. Prawo państwa do regulowania danych na swoim terytorium. Dotyczy pytania: “Kto ma jurysdykcję?”
•     Rezydencja danych jest wymogiem prawnym lub umownym, określającym, gdzie dane muszą być geograficznie zlokalizowane. Dotyczy pytania: “Gdzie rezydują dane?”
•     Lokalizacja danych ma najbardziej rygorystyczną formę. Jest to wymóg prawny, aby dane były zarówno przechowywane, jak i przetwarzane wewnątrz kraju, z ograniczeniami dotyczącymi transferu transgranicznego. Odnosi się do pytania: „Czy dane w ogóle mogą być przenoszone poza kraj?”

Chmura suwerenna to usługa chmurowa zaprojektowana w oparciu o potrzeby kraju w zakresie suwerenności danych. Aby mieć pewność, że zagraniczne rządy, sądy i korporacje nie mogą uzyskać danych bez zgody kraju goszczącego, chmury suwerenne są obsługiwane przez podmioty lokalne (lub poprzez ściśle kontrolowane partnerstwa), w przeciwieństwie do standardowych chmur publicznych zarządzanych przez globalnych hiperskalujących dostawców.

•     Lokalnie zarządzane i własnościowe: Prowadzone przez lokalną firmę lub spółkę joint venture, w której lokalni udziałowcy posiadają większość.
•     Izolacja Jurysdykcyjna: Krajowe lub regionalne przepisy miejsca przechowywania danych mogą wpływać na proces transgranicznego transferu danych.
•     Zgodność Regulacyjna: Są one tworzone zgodnie z krajowymi przepisami, takimi jak RODO, francuski SecNumCloud, czy niemiecki standard C5.

Ryzyka biznesowe obejmują:

Suwerenność danych to nie tylko kwestia spełniania wymogów prawnych; to także posiadanie odpowiednich systemów technicznych. Aby faktycznie zapewnić suwerenność, należy połączyć kilka technologii:

1.   Suwerenne platformy chmurowe to lokalne infrastruktury działające w ramach określonych granic prawnych i geograficznych, tym samym unikając zależności od systemów kontrolowanych przez obce mocarstwa.
2.   Klucze szyfrujące zarządzane przez klienta (CMEK) zapewniają organizacji kontrolę nad kluczami szyfrującymi, potencjalnie ograniczając zdolność dostawcy chmury do deszyfrowania danych, nawet w odpowiedzi na żądania prawne.
3.   Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK) to dwa różne poziomy oferowania klientowi możliwości zachowania klucza. Chmura zazwyczaj ułatwia operacje kryptograficzne, ale generalnie nie deszyfruje danych.
4.   Kontrole rezydencji danych to konfiguracje, które ograniczają replikację danych lub tworzenie kopii zapasowych do określonych regionów.
5.   Poufne przetwarzanie danych zapewnia wsparcie sprzętowe (np. za pośrednictwem Intel SGX lub AMD SEV) do ochrony danych podczas ich przetwarzania, oprócz danych w spoczynku lub przesyłanych.
6.   Architektura zero-trust opiera się na zawsze weryfikowaniu tożsamości i zasadzie najmniejszych uprawnień dla dostępu.

Praktyczne zastosowanie suwerenności danych może wiązać się ze złożonymi kwestiami. Główne obawy kategoryzuje się w trzech kluczowych obszarach:

1.   Koszt. Koszt związany z budową suwerennej infrastrukturę chmury jest odmienny od standardowej chmury publicznej.
2.   Zarządzanie. Organizacje działające w wielu jurysdykcjach muszą przestrzegać różnych zestawów zasad w każdym kraju.
3.   Prawo. Suwerenne systemy prawne mogą dopuszczać rozbieżne interpretacje, a rozwiązania techniczne mogą nie stanowić uniwersalnego rozwiązania.

Inne obszary do rozważenia obejmują:

•     W przeciwieństwie do globalnych hiperskalerów, liczba mniejszych dostawców zgodnych z przepisami suwerennymi może być związana z ich ofertą funkcji.
•     Różnice w rozwoju standardów w różnych krajach mogą wpływać na tworzenie spójnego globalnego podejścia do zgodności.