Nguyên lý đằng sau chủ quyền dữ liệu là thông tin số hoá được quản lý bởi luật pháp của nước có chứa dữ liệu, hay nguồn gốc của dữ liệu. Chủ quyền dữ liệu là một thách thức lớn với những tổ chức đang muốn chuyển hệ thống của họ “lên mây”, vì không có một thoả thuận quốc tế (hay thậm chí là quốc gia) nào cung cấp bộ yêu cầu chuẩn xuyên biên giới quốc gia. Điều đó buộc các công ty “dò dẫm” trong mê cung quốc tế của các luật bảo vệ quyền riêng tư và lưu giữ dữ liệu khi chúng thay đổi từ vùng này sang vùng khác, với một số nơi quy định chặt hơn. Và các công ty phải đối mặt với mức độ phức tạp cao hơn họ dự tính.
Các tổ chức sẽ sai lầm khi không tận dụng những lợi thế mà đám mây đem lại, ví dụ như lợi ích tài chính và các tính năng sáng tạo. Tuy lo lắng về các yêu cầu chủ quyền dữ liệu là hợp lý, nhưng các công ty không nên vì thế mà không tận dụng điện toán đám mây.
Khi một tổ chức quyết định đánh giá các dịch vụ đám mây, họ cần xác định: công ty có đang hoạt động trong một khu vực có các quy định về chủ quyền dữ liệu hay không? Loại dữ liệu mà các quy định này quản lý? Các biện pháp kiểm soát và quản trị có thể triển khai để đảm bảo tuân thủ các quy định đó?
Các luật về chủ quyền dữ liệu thay đổi tuỳ theo từng quốc gia. Các nước được xem là có luật nghiêm khắc về chủ quyền dữ liệu bao gồm Pháp, Nga và Đức. Những nước này buộc thông tin cá nhân có thể định danh của công dân phải được lưu trong máy chủ vật lý trong phạm vi biên giới quốc gia. Ngoài ra, chính phủ và một số ngành công nghiệp ở Hoa Kỳ như chăm sóc sức khoẻ còn đặt ra những quy định chặt chẽ hơn. Chẳng hạn như một số cơ quan liên bang Hoa Kỳ yêu cầu dữ liệu của họ được lưu chỉ trong phạm vi nước Mỹ.
Phần lớn các công ty thấy khó khăn ngay từ vấn đề đầu tiên. Họ nghĩ rằng vì có quy định về chủ quyền dữ liệu, nên họ không thể sử dụng đám mây. Tuy nhiên, khi họ nhận ra thư điện tử là một dạng của đám mây, họ bắt đầu thay đổi cách nghĩ. Và kết quả là việc biết loại dữ liệu nào bị quản lý trở nên quan trọng. Nhiều luật trên thế giới chỉ áp dụng với dữ liệu cá nhân có thể định danh và dữ liệu tài chính (gồm tên, số định danh, địa chỉ, thông tin thẻ tín dụng và những thông tin tương tự). Các quy định thường cho phép những thông tin đơn giản khác gắn với những dữ liệu đó lưu ở những chỗ khác nhau.
Khi các tổ chức hiểu các điều luật áp dụng, cũng như loại dữ liệu bị quản lý, họ có thể thiết lập nhiều biện pháp kiểm soát khác nhau để sử dụng đám mây một cách hiệu quả. Chẳng hạn như cho phép công dân của quốc gia có luật về chủ quyền dữ liệu truy cập dữ liệu nhạy cảm bên trong biên giới nước đó. Cách thứ hai có thể là bổ sung mã hoá tại chỗ và đảm bảo mọi dữ liệu trên đường truyền và tại nơi lưu trữ đều được mã hoá với các khoá nằm trong biên giới quốc gia gốc. Cách thứ ba là áp dụng chiến lược xoá dữ liệu cá nhân có thể định danh khỏi thông tin có thể được mã hoá và lưu trữ ở nơi khác.
Sau khi xác định được ba vấn đề trên, các công ty có thể tiến hành lựa chọn nhà cung cấp. Lựa chọn này là thiết yếu để đảm bảo tuân thủ các quy định của địa phương. Các công ty cần đưa các quy định này cho tất cả các nhà cung cấp được lựa chọn. Cần rà soát cẩn thận thoả thuận mức độ dịch vụ (SLA) và các tiến trình an ninh/kiểm soát của nhà cung cấp dịch vụ điện toán đám mây để đảm bảo sự tuân thủ.
Quá trình rà soát SLA cần đảm bảo nhà cung cấp dịch vụ và địa điểm của các trung tâm dữ liệu tuân thủ quy định của luật pháp địa phương. Nhà cung cấp cần có mạng lưới đủ rộng cũng như khả năng linh hoạt về vị trí lưu dữ liệu để chứng minh khả năng tuân thủ.
Ngoài ra, nhà cung cấp cũng phải cung cấp mức kiểm soát đủ để khách hàng cảm thấy thoải mái, yên tâm. Cụ thể, các doanh nghiệp cần đảm bảo họ có khả năng kiểm soát hoàn toàn đối với việc ai sẽ quản lý những dữ liệu bí mật và dữ liệu cá nhân có thể định danh của họ.
Cuối cùng, nhà cung cấp cần có các tiến trình để đảm bảo tuân thủ và trở thành một thành phần tích cực trong quá trình bảo vệ dữ liệu của khách hàng. Điều này phải bao gồm khả năng mã hoá end-to-end đối với tất cả dữ liệu trên đường truyền và dữ liệu được lưu trữ trong đám mây. Các khoá mã hoá phải được lưu tại các trung tâm dữ liệu ở những vị trí chọn trước trong phạm vi biên giới quốc gia.
Nhà cung cấp cần có khả năng cung cấp các biện pháp kiểm soát truy cập tinh vi như xác thực người dùng dựa theo vai trò. Điều đó đảm bảo chỉ những nhân viên được phân công, ở những quốc gia chỉ định, mới có thể truy cập dữ liệu cần thiết.
Với việc tuân theo những nguyên tắc trên, các tổ chức trên toàn cầu có thể hiện thực hoá lợi ích của việc chuyển dữ liệu lên đám mây. Và việc dịch chuyển dữ liệu lên đám mây sẽ bớt phức tạp hơn. Các tổ chức sẽ tự tin hơn vì họ tuân thủ với các quy định về chủ quyền dữ liệu và hơn thế bí mật thương mại của họ cũng được đảm bảo.
Nguyễn Anh Tuấn
Theo Information Management
08:00 | 25/02/2020
15:00 | 09/10/2017
14:00 | 31/08/2018
09:00 | 25/09/2017
16:00 | 03/05/2021
08:00 | 06/03/2020
14:00 | 17/05/2023
10:00 | 22/02/2021
15:52 | 27/04/2017
16:00 | 19/04/2024
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 15/03/2024
Hàng năm, Microsoft phát hành Báo cáo phòng thủ kỹ thuật số. Đây là một bản đánh giá toàn diện về bối cảnh các mối đe dọa toàn cầu và các xu hướng lớn nhất trong lĩnh vực an ninh mạng. Năm 2023 tiếp tục ghi nhận sự gia tăng các mối đe dọa mạng cả về độ tinh vi cũng như tốc độ và quy mô, gây tổn hại đến các nhóm dịch vụ, thiết bị và người dùng. Các chuyên gia của Microsoft tin rằng trí tuệ nhân tạo (AI) có thể giúp tạo ra một sân chơi bình đẳng nhưng các nhóm bảo mật cần phải có hiểu biết sâu sắc và nguồn lực cần thiết để tận dụng tối đa tiềm năng của công nghệ này.
10:00 | 28/02/2024
Theo thông báo vào ngày 20/2/2024, FBI và các đồng minh quốc tế đã triệt phá và kiểm soát trang web tống tiền do nhóm tội phạm mạng nguy hiểm nhất thế giới LockBit sử dụng để tống tiền nạn nhân.
12:00 | 01/02/2024
Tình báo Ukraine tuyên bố đã thực hiện thành công một cuộc tấn công mạng nhằm đánh sập máy chủ của Bộ Quốc phòng Nga.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.
09:00 | 19/04/2024