AWS 软件和技术解决方案

INSIGHT

软件公司如何解决法规、本地化和驻留问题

AWS 的首席解决方案架构师 Ray Zaman | 2024 年 10 月 25 日 | 思想领导力

概览

众所知知,走向全球能够让软件公司为长期成功做好准备,并为新的收入来源和更高的投资回报创造机会。企业渴望快速行动,但监管要求可能阻碍企业获得收益,甚至拖累他们的增长目标。

了解当地的监管要求之后,您就可以满怀信心地管理跨境数据传输,同时避免罚款、制裁、监管审查和声誉下降等风险。这些知识还可以帮助您避免由于未能满足要求而可能受到处罚。以欧洲的《通用数据保护条例》(GDPR)为例。如果您未能正确收集和管理欧洲数据主体的个人数据,可能被处以最高 2000 万欧元或者最高上一财年全球业务总营业额 4%(以较高者为准)的罚款。

监管环境在不断变化。尽管某些区域可能具有特定的要求,但印度等国家/地区的法规仍在不断变化,因为这些国家/地区在针对不同的行业完善其监管方法。例如,新的隐私法规通常会取代旧的法规,例如适用于在美国与欧盟之间交换数据的欧盟–美国隐私护盾。尽管这一法规由美国商务部和欧盟委员制定,以便为大西洋两岸的公司提供一种机制以遵守欧盟数据保护要求,但在将个人数据从欧盟传输到美国以支持跨大西洋商业时,欧洲法院于 2020 年裁定这一法规无效。法规因国家/地区而异,因此各个公司在新地区开拓业务时必须注意冲突的法规。尽管面临诸多挑战,但仍有一些成熟的监管合规方法。在本文中,我将分享软件公司如何在不影响速度或安全性的情况下满足数据本地化要求。

一个人用手按下笔记本电脑键盘上的按钮

了解您的数据流

第一步应该是了解您正在处理的数据的类型,特别是您的数据分类和流程。要确定哪些内容受到监管,请考虑数据的敏感程度以及数据的相关风险水平。这些数据可供公众自由访问吗? 还是只允许您的员工访问? 它们是否符合当地对受监管数据的定义,例如个人身份信息(PII)? 例如,澳大利亚的《1988 年隐私法》是保护个人信息处理的主要法律。这一处理包括在联邦公共部门和私营部门收集、使用、存储和披露个人信息。

尽管如此,并非所有类型的数据都受这项法律管辖,因此了解区别并相应地专注于优化安全性非常重要,尤其是对于高风险数据。您的软件、硬件和员工都可能影响数据的流动,因此必须规划数据从收集到处理再到存储的不同阶段。一旦您根据共同特征整理了数据并了解了它们从来源到目的地的路径,就可以更好地保护数据。

加快合规之路

在向新的地区扩张时,您必须遵守不同的数据保护法律、法规、政府政策和合同承诺。多种复杂的合规注意事项可能会妨碍您取得进展,尤其是在快速创新时。通过有条不紊地评估如何遵守各种法规,您可以帮助您的企业避免在将来遇到意想不到的问题。

有些法规,例如中国的《个人信息保护法》(PIPL),包含规范性指导,例如(在某些情况下)要求通过国家网络空间管理局组织的安全评估。其他区域的法规(例如巴西的《通用数据保护法》和欧盟的 GDPR)没有提供太多的规范性要求。这些法规没有是否通过合规性要求一说,因此各个公司必须根据自己能够承受的风险水平定义自己的技术控制措施和组织控制措施。

您可以在 AWS Security Assurance Services 等经过行业认证的评估团队的帮助下实施数据保护最佳实践,包括满足监管要求的特定控制措施,而不是仅仅依赖猜测或应对挑战。依靠专家指导,您可以基于 HITRUSTNIST CSFPCI DSS 框架在云端满足、保持和自动实现合规性。

尽管如此,并非所有类型的数据都受这项法律管辖,因此了解区别并相应地专注于优化安全性非常重要,尤其是对于高风险数据。您的软件、硬件和员工都可能影响数据的流动,因此必须规划数据从收集到处理再到存储的不同阶段。一旦您根据共同特征整理了数据并了解了它们从来源到目的地的路径,就可以更好地保护数据。

为您的数据选择正确的存储地点

俗话说得好:位置、位置、位置。房地产领域的这一箴言也可能适用于数据。您选择在哪里运行工作负载可能会影响您能够为客户创造的价值。全球数据驻留选项不仅符合有关
数据存储和处理方式的监管法规,还使您能够提供更好的用户体验。您可以在靠近用户的区域部署工作负载,这样就可以尽可能减小互联网延迟、数据包丢失或连接不佳等情况对应用程序性能的影响。此外,合同承诺和商业激励(例如税收优惠)也会影响数据的物理位置。

安全、广泛、可靠的全球云基础设施是提供卓越用户体验的一个必备条件。AWS 提供了 34 个地理区域,以帮助您在您希望扩张到的任何位置提供最佳的客户体验。每个区域都包含三个或更多的可用区(AZ),以便能够可靠地访问 AWS 服务,并继续根据客户需求推出新的区域和可用区。使用 AWS 提供的工具,您只需快速执行一个步骤,即可在全球范围内部署工作负载,以使特定的应用程序更加靠近您的最终用户。

如果您所在的位置没有 AWS 区域,最终用户仍然可以通过 AWS Local Zones 访问本地运行的应用程序,从而受益于非常低的延迟。通过将计算、存储和数据库等服务放在更靠近新目标客户的地方,Local Zones 还可以帮助您满足更多位置的数据驻留要求。

使用 AWS,您还可以选择使用 AWS Outposts 在您自己的数据中心中运行 AWS 服务。这样将使金融服务、医疗保健和其他行业受益,在这些行业中,本地或混合工作负载部署可以帮助满足性能、安全性或合规性要求。借助 Outposts,您可以在云端与边缘站点之间实现低摩擦的数据移动,从而控制数据的驻留位置并轻松适应法规变化。或者,借助 AWS Wavelength,您可以选择使用熟悉的 AWS 工具,同时将敏感数据驻留在地理边界内,而 AWS Direct Connect 能够让您的数据中心直接连接到 AWS 网络。好处是,数据在传输过程中始终受到保护,永远不会接触公共互联网。

使用全面的控制措施进行设置

您已经确定了位置,并且了解自己的数据、监管环境和最佳驻留选项。现在,您需要实施数据控制措施,以保护最关键的资产并满足数据本地化要求。考虑采取技术、运营和合同方面的措施,以使数据始终受到保护。您知道需要实施哪些保护措施和流程以管理隐私吗? 您的数据是如何使用的? 哪些人员有权访问您的数据,它们是如何加密的?

建立一种全面的合规方法可能具有挑战性,电子表格等传统保障方法可能无法随着您企业的发展壮大而扩展。不过,AWS 提供了各种服务、工具和资源,以帮助您快速、自信地满足合规需求。

归根结底,国际扩张并不像在新推出的区域采用相同的数据方法那样简单。但是借助适当的全球基础设施、服务和专业知识,您可以安全地加速流程并开始获得回报。

如果您希望详细了解如何管理数据本地化、驻留或主权,以及这对您的企业意味着什么,请联系我们。要快速开始向新区域扩张,请查看 AWS Global Passport申请参加讲习会

关于作者

AWS 的首席解决方案架构师 Ray Zaman

在帮助金融、医疗保健、保险、制造、媒体、石化、制药、公用事业、零售、半导体、电信和废物管理等行业的客户构建技术解决方案方面,Ray 积累了 30 多年的丰富经验。Ray 拥有新泽西理工学院环境工程硕士学位,现居(美国)新泽西州。

AWS 的首席解决方案架构师 Ray Zaman