Nguyên lý đằng sau chủ quyền dữ liệu là thông tin số hoá được quản lý bởi luật pháp của nước có chứa dữ liệu, hay nguồn gốc của dữ liệu. Chủ quyền dữ liệu là một thách thức lớn với những tổ chức đang muốn chuyển hệ thống của họ “lên mây”, vì không có một thoả thuận quốc tế (hay thậm chí là quốc gia) nào cung cấp bộ yêu cầu chuẩn xuyên biên giới quốc gia. Điều đó buộc các công ty “dò dẫm” trong mê cung quốc tế của các luật bảo vệ quyền riêng tư và lưu giữ dữ liệu khi chúng thay đổi từ vùng này sang vùng khác, với một số nơi quy định chặt hơn. Và các công ty phải đối mặt với mức độ phức tạp cao hơn họ dự tính.
Các tổ chức sẽ sai lầm khi không tận dụng những lợi thế mà đám mây đem lại, ví dụ như lợi ích tài chính và các tính năng sáng tạo. Tuy lo lắng về các yêu cầu chủ quyền dữ liệu là hợp lý, nhưng các công ty không nên vì thế mà không tận dụng điện toán đám mây.
Khi một tổ chức quyết định đánh giá các dịch vụ đám mây, họ cần xác định: công ty có đang hoạt động trong một khu vực có các quy định về chủ quyền dữ liệu hay không? Loại dữ liệu mà các quy định này quản lý? Các biện pháp kiểm soát và quản trị có thể triển khai để đảm bảo tuân thủ các quy định đó?
Các luật về chủ quyền dữ liệu thay đổi tuỳ theo từng quốc gia. Các nước được xem là có luật nghiêm khắc về chủ quyền dữ liệu bao gồm Pháp, Nga và Đức. Những nước này buộc thông tin cá nhân có thể định danh của công dân phải được lưu trong máy chủ vật lý trong phạm vi biên giới quốc gia. Ngoài ra, chính phủ và một số ngành công nghiệp ở Hoa Kỳ như chăm sóc sức khoẻ còn đặt ra những quy định chặt chẽ hơn. Chẳng hạn như một số cơ quan liên bang Hoa Kỳ yêu cầu dữ liệu của họ được lưu chỉ trong phạm vi nước Mỹ.
Phần lớn các công ty thấy khó khăn ngay từ vấn đề đầu tiên. Họ nghĩ rằng vì có quy định về chủ quyền dữ liệu, nên họ không thể sử dụng đám mây. Tuy nhiên, khi họ nhận ra thư điện tử là một dạng của đám mây, họ bắt đầu thay đổi cách nghĩ. Và kết quả là việc biết loại dữ liệu nào bị quản lý trở nên quan trọng. Nhiều luật trên thế giới chỉ áp dụng với dữ liệu cá nhân có thể định danh và dữ liệu tài chính (gồm tên, số định danh, địa chỉ, thông tin thẻ tín dụng và những thông tin tương tự). Các quy định thường cho phép những thông tin đơn giản khác gắn với những dữ liệu đó lưu ở những chỗ khác nhau.
Khi các tổ chức hiểu các điều luật áp dụng, cũng như loại dữ liệu bị quản lý, họ có thể thiết lập nhiều biện pháp kiểm soát khác nhau để sử dụng đám mây một cách hiệu quả. Chẳng hạn như cho phép công dân của quốc gia có luật về chủ quyền dữ liệu truy cập dữ liệu nhạy cảm bên trong biên giới nước đó. Cách thứ hai có thể là bổ sung mã hoá tại chỗ và đảm bảo mọi dữ liệu trên đường truyền và tại nơi lưu trữ đều được mã hoá với các khoá nằm trong biên giới quốc gia gốc. Cách thứ ba là áp dụng chiến lược xoá dữ liệu cá nhân có thể định danh khỏi thông tin có thể được mã hoá và lưu trữ ở nơi khác.
Sau khi xác định được ba vấn đề trên, các công ty có thể tiến hành lựa chọn nhà cung cấp. Lựa chọn này là thiết yếu để đảm bảo tuân thủ các quy định của địa phương. Các công ty cần đưa các quy định này cho tất cả các nhà cung cấp được lựa chọn. Cần rà soát cẩn thận thoả thuận mức độ dịch vụ (SLA) và các tiến trình an ninh/kiểm soát của nhà cung cấp dịch vụ điện toán đám mây để đảm bảo sự tuân thủ.
Quá trình rà soát SLA cần đảm bảo nhà cung cấp dịch vụ và địa điểm của các trung tâm dữ liệu tuân thủ quy định của luật pháp địa phương. Nhà cung cấp cần có mạng lưới đủ rộng cũng như khả năng linh hoạt về vị trí lưu dữ liệu để chứng minh khả năng tuân thủ.
Ngoài ra, nhà cung cấp cũng phải cung cấp mức kiểm soát đủ để khách hàng cảm thấy thoải mái, yên tâm. Cụ thể, các doanh nghiệp cần đảm bảo họ có khả năng kiểm soát hoàn toàn đối với việc ai sẽ quản lý những dữ liệu bí mật và dữ liệu cá nhân có thể định danh của họ.
Cuối cùng, nhà cung cấp cần có các tiến trình để đảm bảo tuân thủ và trở thành một thành phần tích cực trong quá trình bảo vệ dữ liệu của khách hàng. Điều này phải bao gồm khả năng mã hoá end-to-end đối với tất cả dữ liệu trên đường truyền và dữ liệu được lưu trữ trong đám mây. Các khoá mã hoá phải được lưu tại các trung tâm dữ liệu ở những vị trí chọn trước trong phạm vi biên giới quốc gia.
Nhà cung cấp cần có khả năng cung cấp các biện pháp kiểm soát truy cập tinh vi như xác thực người dùng dựa theo vai trò. Điều đó đảm bảo chỉ những nhân viên được phân công, ở những quốc gia chỉ định, mới có thể truy cập dữ liệu cần thiết.
Với việc tuân theo những nguyên tắc trên, các tổ chức trên toàn cầu có thể hiện thực hoá lợi ích của việc chuyển dữ liệu lên đám mây. Và việc dịch chuyển dữ liệu lên đám mây sẽ bớt phức tạp hơn. Các tổ chức sẽ tự tin hơn vì họ tuân thủ với các quy định về chủ quyền dữ liệu và hơn thế bí mật thương mại của họ cũng được đảm bảo.
Nguyễn Anh Tuấn
Theo Information Management
08:00 | 25/02/2020
15:00 | 09/10/2017
14:00 | 31/08/2018
09:00 | 25/09/2017
16:00 | 03/05/2021
08:00 | 06/03/2020
14:00 | 17/05/2023
10:00 | 22/02/2021
15:52 | 27/04/2017
08:00 | 22/08/2024
Ngày 22/8/1998, Chủ tịch nước Cộng hòa xã hội chủ nghĩa Việt Nam đã ký Quyết định truy tặng danh hiệu Anh hùng Lực lượng vũ trang nhân dân cho Liệt sỹ Cơ yếu tình báo Nguyễn Văn Giai.
08:00 | 12/08/2024
Ngày 12/8/2004, Bộ trưởng, Chủ nhiệm Văn phòng Chính phủ đã ký Quyết định ban hành quy chế quan hệ quốc tế của ngành Cơ yếu Việt Nam.
16:00 | 04/08/2024
Để chuẩn bị cho Đại hội thi đua yêu nước của ngành Cơ yếu Việt Nam giai đoạn 2019 - 2024 (diễn ra vào ngày 5/8), sáng ngày 04/8, Đoàn công tác của ngành Cơ yếu Việt Nam do Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ làm Trưởng đoàn đã đến thắp hương, báo công dâng Bác tại Khu di tích K9 - Đá Chông, Ba Vì, Hà Nội.
08:00 | 04/08/2024
Với mục tiêu đào tạo, phát triển nguồn nhân lực phục vụ thắng lợi nhiệm vụ bảo đảm bí mật, an toàn, chính xác, kịp thời thông tin phục vụ sự lãnh đạo, chỉ đạo của Đảng, quản lý của Nhà nước, chỉ đạo, chỉ huy của lực lượng vũ trang nhân dân trong mọi tình huống, ngày 04/8/1983, Trưởng ban Ban Cơ yếu Trung ương ký Quyết định về việc thành lập Trường Đào tạo nhân viên cơ yếu tại Thanh Hóa, trực thuộc Ban Cơ yếu Trung ương.
Kaspersky sẽ ngừng cung cấp dịch vụ tại Mỹ do lệnh cấm của chính phủ, với khoảng một triệu khách hàng của họ sẽ được chuyển sang phần mềm chống mã độc UltraAV thuộc sở hữu của Pango. Việc này đánh dấu bước chuyển giao lớn trong thị trường an ninh mạng tại Hoa Kỳ.
08:00 | 18/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
10:00 | 10/09/2024
Ngày 10/9 vừa qua, Microsoft đã tổ chức một hội nghị thượng đỉnh để thảo luận về các bước cải thiện hệ thống an ninh mạng, sau khi bản cập nhật phần mềm bị lỗi từ CrowdStrike đã gây ra sự cố gián đoạn công nghệ thông tin phạm vi toàn cầu vào tháng 7.
09:00 | 17/09/2024