Що таке суверенітет даних?

Суверенітет даних – це принцип, згідно з яким дані підпадають під дію законів та структур управління країни або юрисдикції, де вони збираються або зберігаються. Це може вплинути на здатність уряду застосовувати правові повноваження щодо даних, які фізично знаходяться в межах його кордонів, незалежно від того, де організація переважно зберігає ці дані.

Це важливо, оскільки набір правил, що регулює ваші дані, не залежить від того, де розташована ваша компанія. Він визначається тим, де зберігаються дані. Наприклад, американська компанія, що розміщує записи клієнтів на серверах у Франкфурті, підпадає під дію законодавства ЄС щодо цих записів, а також американського законодавства.

Ці три терміни взаємопов'язані, але не ідентичні. Дотримання норм може зазнавати впливу через відмінності в його застосуванні.

•     Суверенітет даних — це правова концепція. Право нації регулювати дані в межах її території. Він відповідає на питання: "Хто має юрисдикцію?"
•     Резидентність даних – це юридична або договірна вимога, що визначає географічне розташування даних. Вона відповідає на питання «Де знаходяться дані?»
•     Локалізація даних має найсуворішу форму. Це юридична вимога, згідно з якою дані повинні зберігатися та оброблятися в межах країни, з обмеженнями на транскордонну передачу. Вона відповідає на питання: "Чи можна взагалі вивозити дані?"

Суверенна хмара — це хмарний сервіс, розроблений з урахуванням потреб країни щодо суверенітету даних. Щоб бути впевненим, що іноземні уряди, суди та корпорації не зможуть отримати дані без дозволу країни-хоста, суверенні хмари управляються місцевими суб'єктами (або через суворо контрольовані партнерства), на відміну від стандартних публічних хмар, якими керують глобальні гіперскейлери.

•     Локальне управління та власність: Керується місцевою компанією або спільним підприємством, де місцеві жителі володіють більшістю.
•     Юрисдикційна ізоляція: Національні або регіональні норми, де зберігаються дані, можуть впливати на процес транскордонної передачі даних.
•     Відповідність нормативним вимогам: Вони розроблені відповідно до національних законів, таких як GDPR, французький SecNumCloud або німецький стандарт C5.

Бізнес-ризики включають:

Суверенітет даних – це не лише дотримання законодавчих вимог; він також передбачає наявність відповідних технічних систем. Щоб по-справжньому забезпечити суверенітет, необхідно поєднати кілька технологій:

1.   Суверенні хмарні платформи – це локальні інфраструктури, що функціонують у межах визначених юридичних та географічних кордонів, тим самим уникаючи залежності від систем, контрольованих іноземними державами.
2.   Ключі шифрування, керовані клієнтом (CMEK), надають організації контроль над ключами шифрування, потенційно обмежуючи здатність хмарного провайдера розшифровувати дані, навіть у відповідь на юридичні запити.
3.   Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK) — це два різні рівні пропозиції клієнту зберігати ключ. Хмара зазвичай сприяє криптографічним операціям, але, як правило, не розшифровує дані.
4.   Контроль резидентності даних — це конфігурації, які обмежують реплікацію або резервне копіювання даних певними регіонами.
5.   Конфіденційні обчислення забезпечують апаратну підтримку (наприклад, через Intel SGX або AMD SEV) для захисту даних під час їх обробки, на додаток до даних у стані спокою або в передачі.
6.   Архітектура нульової довіри базується на постійній верифікації ідентичності та принципі найменших привілеїв для доступу.

Практичне застосування суверенітету даних може включати складні міркування. Основні проблеми поділяються на три ключові сфери:

1.   Вартість. Витрати, пов'язані зі створенням суверенної Хмарна інфраструктура відрізняється від витрат на стандартну публічної хмари.
2.   Управління. Організації, що працюють у кількох юрисдикціях, мають дотримуватися різних наборів правил у кожній країні.
3.   Закони. Суверенні правові системи можуть допускати розбіжні тлумачення, а технічні рішення можуть не бути універсально застосовною відповіддю.

Інші аспекти, що потребують уваги, включають:

•     На відміну від глобальних гіперскейлерів, кількість менших провайдерів, що відповідають суверенним вимогам, може бути пов'язана з їхніми пропозиціями функціоналу.
•     Відмінності у розробці стандартів у різних країнах можуть впливати на створення послідовної глобальної позиції щодо відповідності.