กฎหมาย US CLOUD Act ไม่ได้จำกัดอยู่แค่ในพรมแดนสหรัฐฯ หากผู้ให้บริการคลาวด์ของคุณเป็นบริษัทสัญชาติอเมริกัน ข้อมูลของคุณจะอยู่ภายใต้การเข้าถึงของหน่วยงานสหรัฐฯ ไม่ว่าจะจัดเก็บอยู่ที่ใดก็ตาม

สำหรับองค์กรในกลุ่มประเทศ DACH นี่ไม่ใช่เรื่องสมมติ ภายใต้กฎหมาย US CLOUD Act ผู้ให้บริการคลาวด์สัญชาติอเมริกันอาจถูกบังคับให้เปิดเผยข้อมูลที่จัดเก็บอยู่ทั่วโลก รวมถึงบนเซิร์ฟเวอร์ที่ตั้งอยู่ในแฟรงก์เฟิร์ต อัมสเตอร์ดัม หรือซูริก GDPR และ DSGVO กำหนดให้ภาระการปฏิบัติตามกฎหมายตกอยู่กับผู้ควบคุมข้อมูล ซึ่งก็คือคุณ ไม่ใช่ผู้ให้บริการคลาวด์ของคุณ สิ่งนี้สร้างความตึงเครียดทางกฎหมายที่ไม่สามารถแก้ไขได้ด้วยการอ้างอิงข้อตกลงการประมวลผลข้อมูลกับผู้ให้บริการ Hyperscaler สัญชาติอเมริกัน

ผลกระทบที่เกิดขึ้นนั้นเป็นเรื่องจริงและจับต้องได้ คณะกรรมการและคณะกรรมการตรวจสอบในภาคส่วนที่อยู่ภายใต้การกำกับดูแลกำลังตั้งคำถามว่า Workload ที่ทำงานบน AWS, Azure หรือ GCP นั้นสอดคล้องกับข้อผูกพันด้านการคุ้มครองข้อมูลของยุโรปอย่างแท้จริงหรือไม่ ลูกค้าในภาคบริการทางการเงิน การดูแลสุขภาพ และภาครัฐ เริ่มเรียกร้องการรับประกันตามสัญญาว่าข้อมูลจะถูกประมวลผลเฉพาะในสหภาพยุโรปเท่านั้น ในอุตสาหกรรมที่มีการกำกับดูแลซึ่งมีข้อกำหนดด้านเขตอำนาจศาลที่เข้มงวด เช่น กฎระเบียบทางการเงินของสวิตเซอร์แลนด์, BSI C5 ของเยอรมนี, หรือการคงถิ่นข้อมูลด้านสุขภาพ คำถามไม่ใช่ว่าจะย้ายหรือไม่ แต่คือจะย้ายอย่างไรโดยไม่กระทบต่อการดำเนินงานที่กำลังใช้งานอยู่

Gradion ช่วยองค์กรในกลุ่มประเทศ DACH ประเมินความเสี่ยงด้านอธิปไตยทางข้อมูล ประเมินทางเลือก และดำเนินการย้ายระบบไปยังสภาพแวดล้อมคลาวด์ที่มีอธิปไตยทางข้อมูลในสหภาพยุโรป การทำงานของเราขับเคลื่อนด้วยหลักวิศวกรรมและคำนึงถึงการปฏิบัติตามกฎระเบียบ ไม่ใช่เพียงแค่การทำเครื่องหมายในช่องตรวจสอบ

สิ่งที่เราส่งมอบ

การประเมินอธิปไตยทางข้อมูลบนคลาวด์

เราตรวจสอบสภาพแวดล้อมคลาวด์ปัจจุบันของคุณในสามมิติหลัก หนึ่ง ข้อกำหนดด้านกฎระเบียบ: คุณประมวลผลข้อมูลประเภทใดบ้าง ข้อผูกพันเฉพาะภาคส่วนใดที่เกี่ยวข้อง (DSGVO, DORA, กรอบการทำงานที่เทียบเท่า HIPAA, BSI C5) และการจัดเตรียมโฮสติ้งปัจจุบันของคุณส่งมอบอะไรได้จริง สอง ความเสี่ยงและผลกระทบ: จุดที่การเปิดเผยข้อมูลสร้างความเสี่ยงด้านการปฏิบัติตามกฎระเบียบหรือชื่อเสียง Workload ใดที่มีความอ่อนไหวมากที่สุด และความเสี่ยงตามสัญญาของคุณเป็นอย่างไรภายใต้สถานการณ์ CLOUD Act สาม ต้นทุนและความซับซ้อนในการย้ายระบบ: การประมาณการที่สมจริงว่าการย้ายระบบจะต้องใช้อะไรบ้าง โดยพิจารณา Workload ทีละส่วน พร้อมการคาดการณ์ทางการเงิน ผลลัพธ์ที่ได้คือการประเมินที่พร้อมสำหรับผู้บริหาร ซึ่งช่วยให้คณะกรรมการและ CIOs มีมุมมองที่ชัดเจนเกี่ยวกับสถานะปัจจุบันและทางเลือกที่มี

การประเมินผู้ให้บริการ Sovereign Cloud

เราประเมินผู้ให้บริการคลาวด์ที่มีอธิปไตยทางข้อมูลในสหภาพยุโรปและดำเนินการโดยบริษัทในยุโรปในนามของคุณ ซึ่งรวมถึง STACKIT (คลาวด์ของ Schwarz Group ที่สร้างขึ้นเพื่อรองรับ Workload ขององค์กรที่สอดคล้องกับ GDPR), Hetzner, IONOS, OVHcloud, T-Systems Open Telekom Cloud, Deutsche Telekom และคลาวด์สำหรับภาครัฐที่ได้รับการรับรอง การเลือกผู้ให้บริการจะอิงตามข้อกำหนดทางเทคนิค ภาระผูกพันด้านการปฏิบัติตามกฎระเบียบ ความต้องการทางภูมิศาสตร์ และเป้าหมายด้านต้นทุนของคุณ เราไม่มีความร่วมมือกับผู้ให้บริการในลักษณะที่อาจก่อให้เกิดอคติในการเลือก การประเมินนี้เป็นของคุณโดยสมบูรณ์

การออกแบบและการดำเนินการย้ายระบบ

เราออกแบบแผนการย้ายระบบแบบเป็นขั้นตอน เพื่อลดการหยุดชะงักทางธุรกิจในขณะที่ย้าย Workload ไปยังสภาพแวดล้อมที่สอดคล้องกับกฎระเบียบ การปรับสถาปัตยกรรม การเปลี่ยนแปลงโครงสร้างเครือข่าย และการกำหนดค่า Identity และ Access ใหม่ ล้วนได้รับการจัดการด้วยความแม่นยำทางวิศวกรรมเช่นเดียวกับเหตุผลด้านการปฏิบัติตามกฎระเบียบ เราใช้ Playbook ที่ได้รับการพิสูจน์แล้ว ซึ่งพัฒนาจากการมีส่วนร่วมในการย้ายระบบคลาวด์ในประเทศต่างๆ เช่น เยอรมนี สิงคโปร์ ไทย และอียิปต์ มาตรการควบคุมด้านต้นทุน สถานะการปฏิบัติตามกฎระเบียบ และความปลอดภัย จะถูกกำหนดไว้ก่อนเริ่มการย้ายระบบ และมีการติดตามอย่างต่อเนื่องหลังจากนั้น

รูปแบบสถาปัตยกรรม GDPR/DSGVO

อธิปไตยทางข้อมูลไม่ได้เป็นเพียงเรื่องของการจัดเก็บข้อมูลเท่านั้น แต่ยังรวมถึงวิธีการไหลเวียนของข้อมูล ผู้ที่สามารถเข้าถึงข้อมูล และวิธีการกำกับดูแลและตรวจสอบการเข้าถึงนั้น เราออกแบบรูปแบบการคงถิ่นข้อมูลที่รับรองว่าข้อมูลส่วนบุคคลจะยังคงอยู่ในขอบเขตทางภูมิศาสตร์ที่กำหนด ใช้การเข้ารหัสและการจัดการคีย์ที่คงการควบคุมการเข้ารหัสไว้ในมือของยุโรป และกำหนดค่าการบันทึกการตรวจสอบที่ตอบสนองทั้งข้อผูกพันด้านความรับผิดชอบของ DSGVO และข้อกำหนดด้านธรรมาภิบาลภายใน

การติดตามการปฏิบัติตามกฎระเบียบอย่างต่อเนื่อง

ความมั่นคงทางอธิปไตยทางข้อมูลอาจลดลงเมื่อมีการเพิ่มบริการใหม่โดยไม่มีการตรวจสอบ เมื่อวิศวกรจัดสรรทรัพยากรในภูมิภาคที่ไม่ได้ตรวจสอบ หรือเมื่อความสัมพันธ์กับผู้ให้บริการมีการเปลี่ยนแปลง เราใช้การควบคุมแบบ Policy-as-Code เพื่อบังคับใช้ข้อจำกัดด้านอธิปไตยทางข้อมูลอย่างต่อเนื่อง แจ้งเตือนเมื่อเกิดความเบี่ยงเบนก่อนที่จะกลายเป็นเหตุการณ์ที่ไม่เป็นไปตามข้อกำหนด การกำหนดค่าทั้งหมดมีการควบคุมเวอร์ชันและสามารถตรวจสอบได้

หลักฐานจากระบบที่ใช้งานจริง

ผู้ให้บริการเทคโนโลยีธนาคารแห่งหนึ่งในสวิตเซอร์แลนด์ ซึ่งดูแลแอปพลิเคชันธนาคารหลักกว่า 300 รายการ ให้กับธนาคารรายย่อยหลายสิบแห่งทั่วสวิตเซอร์แลนด์ ดำเนินงานภายใต้ข้อกำหนดด้านอธิปไตยทางข้อมูลของ FINMA ที่ระบุว่าระบบทั้งหมดต้องอยู่ในเขตอำนาจของสวิตเซอร์แลนด์เท่านั้น ไม่สามารถต่อรองกับข้อผูกพันของผู้ให้บริการ Hyperscaler ในเรื่องศูนย์ข้อมูลระดับภูมิภาคได้ เมื่อหน่วยงานกำกับดูแลได้กำหนดขอบเขตที่ชัดเจนว่าข้อมูลต้องจัดเก็บอยู่ที่ใด

Gradion ได้ดำเนินการตรวจสอบสถาปัตยกรรมทั้งหมดของระบบแอปพลิเคชันของลูกค้า กำหนดโครงสร้างพื้นฐานคลาวด์แบบไฮบริดที่สอดคล้องกับข้อกำหนดบน Microsoft Azure และ Google Cloud ภายในเขตแดนของสวิตเซอร์แลนด์ และส่งมอบแผนการย้ายระบบแบบมีลำดับขั้นตอนภายใน 8 สัปดาห์ โดยไม่มีการหยุดชะงักของระบบและไม่มีข้อผิดพลาดด้านกฎระเบียบแม้แต่น้อย การฝึกอบรมพนักงานและการเตรียมความพร้อมสำหรับการปฏิบัติตามข้อกำหนด Instant Payments ถูกรวมอยู่ในโครงการเดียวกัน ผลลัพธ์ที่ได้คือสถาปัตยกรรม Cloud-Native ที่เป็นไปตามข้อกำหนดของ FINMA รองรับธุรกรรมได้ 500,000 รายการต่อวัน และพร้อมสำหรับข้อบังคับ Instant Payments ระหว่างธนาคารของสวิตเซอร์แลนด์

ติดต่อสอบถาม

โปรดอธิบายการตั้งค่าคลาวด์ปัจจุบันของคุณและข้อสงสัยด้านการปฏิบัติตามข้อกำหนดที่คุณกำลังเผชิญอยู่ เราจะประเมินขอบเขตด้านอธิปไตยทางข้อมูลและนำเสนอผลการประเมินภายในสามสัปดาห์