Ce este Suveranitatea Datelor?

Suveranitatea datelor este principiul conform căruia datele sunt supuse legilor și structurilor de guvernanță ale țării sau jurisdicției în care sunt colectate sau stocate. Acest lucru poate influența capacitatea unui guvern de a-și exercita autoritatea legală asupra datelor care se află fizic în interiorul granițelor sale, indiferent de locul în care organizația stochează în principal datele.

Acest lucru este important deoarece setul de reguli care guvernează datele dumneavoastră nu depinde de locul în care se află compania dumneavoastră. Este determinat de locul în care sunt stocate datele. De exemplu, o companie din SUA care găzduiește înregistrări ale clienților pe servere din Frankfurt este supusă legislației UE pentru acele înregistrări, precum și legislației americane.

Acești trei termeni sunt interconectați, dar nu identici. Respectarea conformității poate fi afectată de variațiile în aplicarea sa.

•     Suveranitatea datelor este un concept juridic. Dreptul unei națiuni de a reglementa datele pe teritoriul său. Abordează întrebarea “Cine are jurisdicție?”
•     Reședința datelor este o cerință legală sau contractuală care stipulează unde trebuie să fie localizate geografic datele. Abordează întrebarea “Unde sunt stocate datele?”
•     Localizarea datelor are cea mai stringentă formă. O cerință legală ca datele să fie atât stocate, cât și prelucrate în interiorul unei țări, cu restricții privind transferul transfrontalier. Abordează întrebarea “Pot datele fi mutate în afara țării deloc?”

Un cloud suveran este un serviciu cloud conceput pe baza nevoilor de suveranitate a datelor ale unei țări. Pentru a fi sigur că guvernele străine, instanțele și corporațiile nu pot obține date fără permisiunea țării gazdă, cloud-urile suverane sunt operate de entități locale (sau prin parteneriate strict controlate), spre deosebire de cloud-urile publice standard operate de hiperscalerii globali.

•     Gestionat și deținut la nivel local: Operat de o companie locală sau de o asociere în participație în care localnicii dețin majoritatea.
•     Izolare Jurisdicțională: Reglementările naționale sau regionale unde se află datele pot influența procesul de transfer transfrontalier de date.
•     Adecvare Normativă: Acestea sunt realizate în conformitate cu legile naționale, cum ar fi GDPR, SecNumCloud din Franța sau standardul C5 din Germania.

Riscurile de afaceri includ:

Suveranitatea datelor nu se rezumă doar la îndeplinirea cerințelor legale; ea implică și existența unor sisteme tehnice adecvate. Pentru a asigura cu adevărat suveranitatea, trebuie combinate mai multe tehnologii:

1.   Platformele cloud suverane se referă la infrastructuri locale operate în cadrul unor granițe legale și geografice definite, evitând astfel dependența de sistemele controlate de puteri străine.
2.   Cheile de Criptare Gestionate de Client (CMEK) oferă organizației control asupra cheilor de criptare, restricționând potențial capacitatea furnizorului de cloud de a decripta datele, chiar și ca răspuns la cereri legale.
3.   Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK) reprezintă două niveluri diferite prin care i se oferă clientului posibilitatea de a-și păstra cheia. Cloud-ul facilitează de obicei operațiunile criptografice, dar, în general, nu decriptează datele.
4.   Controlurile de rezidență a datelor sunt configurații care limitează replicarea sau backup-ul datelor la anumite regiuni.
5.   Calculul confidențial oferă suport hardware (de exemplu, prin Intel SGX sau AMD SEV) pentru protejarea datelor în timpul procesării, pe lângă datele în repaus sau în tranzit.
6.   Arhitectura zero-trust se bazează pe verificarea constantă a identității și pe principiul privilegiului minim pentru acces.

Aplicarea practică a suveranității datelor poate implica considerații complexe. Preocupările principale sunt împărțite în trei domenii cheie:

1.   Cost. Costul asociat cu construirea suverană Infrastructură cloud este distinct de cel al unui standard cloud public.
2.   Management. Organizațiile care operează în jurisdicții multiple trebuie să respecte seturi diferite de reguli în fiecare țară.
3.   Legi. Sistemele juridice suverane pot admite interpretări divergente, iar soluțiile tehnice s-ar putea să nu constituie un răspuns universal aplicabil.

Alte aspecte de luat în considerare includ:

•     Spre deosebire de hyperscalerii globali, numărul furnizorilor mai mici conformi suveranității ar putea fi asociat cu ofertele lor de funcționalități.
•     Diferențele în dezvoltarea standardelor între țări pot influența crearea unei poziții globale coerente de conformitate.