存儲專業人士如今有很多事情要做，但在隱私法規范圍不斷擴展的時代，他們的任務清單卻在不斷增加。包括GDPR法案、薩班斯-奧克斯利法案、HIPAA、PCIDSS、CCPA等法規在內的隱私法規使企業確保其存儲數據的合規性如今成為一項更大的挑戰。

 

然而，存儲專家是否承擔相對于企業中其他人更多的合規性責任因行業領域和企業規模而異。IDC公司分析師Andrew Smith表示，在零售行業等監管較少的行業中，當涉及到安全規則和合規性操作時，更常見的是看到存儲專業人員的責任更加廣泛。另一方面，在醫療保健公司等高度監管的行業中，負責安全和合規性的專門團隊通常更為普遍，有時由首席數據官提供支持。

 

 

·GDPR。《通用數據保護條例》(GDPR)控制與歐盟(EU)公民相關的數據保護和隱私，限制數據移動以及數據的使用方式。由于其廣泛的定義和難以承受的處罰，GDPR法規是所有數據管理員最關心的問題，他們必須非常謹慎以避免其陷阱。

 

·薩班斯-奧克斯利法案。該法案是一項美國在2002年發布的金融法規，它對在美國上市的公司采用了嚴格的數據保留規則。存儲專家必須注意法規所涵蓋的數據。

 

·HIPAA。1996年的《健康保險流通與責任法案》(HIPAA)是一項復雜的法規，涵蓋的不僅僅是數據。但是，其最相關的功能旨在保護與個人相關的醫療信息的隱私和機密性。因此，它關注數據的保留和訪問控制。

 

·PCIDSS。支付卡行業數據安全標準旨在保護存儲在任何地方的消費者信用卡信息——既防止欺詐又保護隱私。處理此類數據的組織需要接受各種定期審計。

 

·CCPA。《加利福尼亞消費者隱私法》(CCPA)是一項在概念和后果上與歐盟GDPR相似的州法律。

 

研究機構Enterpris Strategy集團分析師Christophe Bertrand指出，所有這些法規的最主要問題是了解企業擁有哪些數據以及哪些法規適用于這些數據。一旦確定，合規性就更容易管理。

 

 

IDC公司分析師Andrew Smith說，“通常情況下，我們看到存儲專業人員負責數據管理和記錄保護的基礎知識，無論數據類型如何。”他表示，這可能包括確保數據可用并受到保護(復制和備份)，而不管其數據類型如何，將提供適當的訪問控制和流程，并確保合規性。

 

他表示，歸檔和電子發現之間的關系通常是學科交叉的一個很好的例子。存儲管理員通常負責數據歸檔、數據策略、元數據和訪問。然后，合規專家將使用存檔中的原生工具或在集成應用程序的幫助下訪問這些數據，用于監視或電子發現目的。他補充說，“它們所扮演的角色非常不同，但都是信息治理目標不可或缺的一部分。”

 

Smith說，“在通常情況下，數據仍由IT組織中的存儲或數據經理管理。對于SaaS應用程序，這變得更加多樣化，可能經常看到業務應用程序所有者在他們使用的特定SaaS應用程序范圍內承擔數據管理任務。”

 

不過他表示，在與供應商和買家的溝通和對話中，存儲、數據管理、數據安全和法規遵從性之間的界限似乎開始模糊。在過去幾年中，市場已轉向為數據管理、數據彈性和數據平臺提供平臺和服務。

 

Smith表示，市場朝著這個方向發展的很大一部分原因是存儲專業人士必須“少花錢多辦事”。隨著企業對其運營、產品和服務的大部分實現數字化，存儲容量繼續呈指數級增長。這給存儲專業人員和IT管理員帶來了額外的負擔，以確保以經濟高效的方式存儲企業數據，并且更廣泛的應用程序和業務部門可以輕松訪問被認為是“關鍵任務”的數據。而目前流行的主題是“數據是新的石油，數據是最寶貴的資產”，企業面臨著捕捉和保留比以往更多的數據的壓力，并希望這些數據能夠以新穎的方式實現貨幣化。他補充說，“在許多情況下，存儲管理員需要經濟高效地管理存儲系統，這將面臨一個艱難的處境。”

 

盡管存儲和IT專業人員可能不具備滿足所有合規性要求或阻止每次網絡攻擊所需的所有工具和知識，但他們絕對是第一道防線，并且是企業數據戰略的一個重要組成部分。Smith說。“當我們向存儲經理詢問隱私法和合規性時，大多數人表示擔心其企業的合規能力。這些人通常關注性能、管理和安全等方面的挑戰，尤其是云存儲服務的安全性。”

 

 

Smith和其他分析師為關心如何應對合規性挑戰的存儲專業人士提出了六個建議或最佳實踐，其中包括：

 

(1)記錄行動

 

準備好證明政策和做法的合理性。Bertrand表示，所有法規都可以解釋，有些法規故意含糊不清，實際上具體規定了使用現代的做法。這意味著需要有某種關于存儲策略的解釋性信息來支持選擇的適當性，如果曾經被審計的話。

 

(2)利用工具

 

Grant Thornton公司負責人Lindsay Hohler表示，建議使用工具來實施和自動化數據治理。并確保每個人都了解他們的角色和職責。她補充說，“這不僅僅是一個由IT領導的計劃;它必須讓企業的利益相關者參與進來。”

 

(3)經濟高效地存儲數據

 

Smith指出，確保數據存儲在最具成本效益和性能的可用層上是最佳實踐。并確保滿足基本策略和訪問要求。例如，在分層或刪除數據之前，確定誰可以訪問哪些文件/存儲桶以及應保留特定時間段的特定數據。他補充說，“我們經常看到所有這些都在存儲專業人員的控制之下。”

 

(4)使用有效的產品和服務

 

Smith說，存儲和IT專業人員在出現問題時可以避免成為“替罪羊”的一種方法，是在合規性和安全性方面對供應商產品和服務進行更全面的審查和發現。他補充說，當涉及到數據隱私和合規性時，需要提出正確的問題以了解客戶與供應商的關系，以及共同責任與個人責任。

 

(5)利用自動化

 

這些服務的核心是傳統的存儲系統，但越來越多的IT購買者期望的不僅僅是文件系統或對象存儲庫。他們希望內置的高級數據管理工具能夠超越基本的配置。因此，據Smith稱，他們正在尋找管理工具來幫助自動化訪問控制、預測物理設備故障或識別性能瓶頸，以及跟蹤和審核數據日志，并識別惡意軟件或勒索軟件。

 

(6)匿名數據

 

Hohler指出，在某些情況下，受監管的數據可以匿名化，因此它不再違反GDPR和CCPA等法規，從而可以繼續保留，但風險較小。

 

Hohler表示，實施良好的數據保護和合規實踐的必然結果是確保企業也擁有健全和積極的數據處理實踐。她說，“多年來，企業一直致力于確保保留數據以滿足各種法規要求，但現在，我們看到更多的轉變是在數據具有商業意義時立即處理數據，并假設企業已經滿足合規性。”

 

Hohler補充說，最重要的是要意識到安全和合規計劃的實施可能需要一些時間。

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。