Đạo luật CLOUD của Hoa Kỳ không chỉ giới hạn trong biên giới nước này. Nếu nhà cung cấp dịch vụ đám mây của bạn là công ty Hoa Kỳ, dữ liệu của bạn có thể bị các cơ quan chức năng Hoa Kỳ tiếp cận, bất kể dữ liệu đó được lưu trữ vật lý ở đâu.

Đối với các doanh nghiệp tại khu vực DACH, đây không phải là một mối lo ngại lý thuyết. Theo Đạo luật CLOUD của Hoa Kỳ, các nhà cung cấp dịch vụ đám mây của Mỹ có thể bị buộc phải tiết lộ dữ liệu được lưu trữ ở bất kỳ đâu trên thế giới, kể cả trên các máy chủ đặt tại Frankfurt, Amsterdam hay Zurich. GDPR và DSGVO đặt gánh nặng tuân thủ lên chủ thể kiểm soát dữ liệu (data controller) – tức là bạn, chứ không phải nhà cung cấp dịch vụ đám mây của bạn. Điều này tạo ra một sự căng thẳng pháp lý không thể giải quyết chỉ bằng cách viện dẫn một thỏa thuận xử lý dữ liệu với một nhà cung cấp đám mây siêu quy mô của Mỹ.

Những hệ quả thực tiễn đã rõ ràng. Các hội đồng quản trị và ủy ban kiểm toán trong các lĩnh vực chịu quy định đang đặt câu hỏi liệu các khối lượng công việc (workloads) chạy trên AWS, Azure hay GCP có thực sự tuân thủ các nghĩa vụ bảo vệ dữ liệu của Châu Âu hay không. Khách hàng trong lĩnh vực tài chính, y tế và khu vực công đang bắt đầu yêu cầu các cam kết hợp đồng về việc xử lý dữ liệu chỉ trong EU. Trong các ngành công nghiệp chịu quy định với các yêu cầu pháp lý nghiêm ngặt về quyền tài phán – như quy định tài chính của Thụy Sĩ, BSI C5 của Đức, hay yêu cầu lưu trú dữ liệu y tế – câu hỏi không phải là có nên di chuyển hay không, mà là làm thế nào để thực hiện mà không làm gián đoạn các hoạt động đang diễn ra.

Gradion hỗ trợ các doanh nghiệp DACH đánh giá mức độ rủi ro về chủ quyền dữ liệu, đánh giá các lựa chọn thay thế và thực hiện di chuyển sang các môi trường đám mây có chủ quyền tại EU. Công việc của chúng tôi được dẫn dắt bởi chuyên môn kỹ thuật và nhận thức sâu sắc về tuân thủ, không chỉ là một quy trình kiểm tra hình thức.

NHỮNG GÌ CHÚNG TÔI CUNG CẤP

Đánh giá Chủ quyền Đám mây

Chúng tôi kiểm tra môi trường đám mây hiện tại của bạn theo ba khía cạnh. Thứ nhất, các yêu cầu pháp lý: bạn xử lý những loại dữ liệu nào, những nghĩa vụ cụ thể theo ngành áp dụng (DSGVO, DORA, các khuôn khổ tương đương HIPAA, BSI C5), và các thỏa thuận lưu trữ hiện tại của bạn thực sự mang lại điều gì. Thứ hai, rủi ro và tác động: nơi dữ liệu bị lộ có thể tạo ra rủi ro tuân thủ hoặc rủi ro về danh tiếng, những khối lượng công việc nào nhạy cảm nhất, và mức độ rủi ro hợp đồng của bạn trong các kịch bản Đạo luật CLOUD. Thứ ba, chi phí và độ phức tạp của việc di chuyển: một ước tính thực tế về những gì việc di chuyển sẽ đòi hỏi, từng khối lượng công việc một, kèm theo các dự báo tài chính. Kết quả là một bản đánh giá sẵn sàng cho cấp điều hành, cung cấp cho hội đồng quản trị và các CIO cái nhìn rõ ràng về tình hình hiện tại và các lựa chọn của họ.

Đánh giá Nhà cung cấp Đám mây Có chủ quyền

Chúng tôi thay mặt bạn đánh giá các nhà cung cấp đám mây có chủ quyền tại EU và do Châu Âu vận hành, bao gồm STACKIT (đám mây của Schwarz Group, được xây dựng chuyên biệt cho các khối lượng công việc doanh nghiệp tuân thủ GDPR), Hetzner, IONOS, OVHcloud, T-Systems Open Telekom Cloud, Deutsche Telekom và các đám mây khu vực công được chứng nhận. Việc lựa chọn nhà cung cấp dựa trên các yêu cầu kỹ thuật, nghĩa vụ tuân thủ, nhu cầu địa lý và mục tiêu chi phí của bạn. Chúng tôi không hợp tác với các nhà cung cấp theo cách tạo ra sự thiên vị trong lựa chọn. Quyết định đánh giá cuối cùng thuộc về bạn.

Thiết kế và Thực thi Di chuyển

Chúng tôi thiết kế các lộ trình di chuyển theo từng giai đoạn nhằm giảm thiểu gián đoạn kinh doanh trong khi chuyển các khối lượng công việc sang môi trường tuân thủ. Việc điều chỉnh kiến trúc, thay đổi cấu trúc mạng, và cấu hình lại danh tính và quyền truy cập được xử lý với sự chặt chẽ về kỹ thuật tương đương với lý do tuân thủ. Chúng tôi sử dụng các quy trình đã được chứng minh, phát triển từ các dự án di chuyển đám mây tại Đức, Singapore, Thái Lan và Ai Cập. Các biện pháp kiểm soát về chi phí, tình trạng tuân thủ và bảo mật được thiết lập trước khi quá trình di chuyển bắt đầu và được giám sát liên tục sau đó.

Các Mô hình Kiến trúc GDPR/DSGVO

Chủ quyền dữ liệu không chỉ là về nơi dữ liệu được lưu trữ. Mà còn là về cách dữ liệu luân chuyển, ai có thể truy cập và cách thức truy cập đó được quản lý và kiểm toán. Chúng tôi thiết kế các mô hình lưu trú dữ liệu đảm bảo dữ liệu cá nhân nằm trong các ranh giới địa lý xác định, triển khai mã hóa và quản lý khóa để giữ quyền kiểm soát mật mã trong tay Châu Âu, và cấu hình ghi nhật ký kiểm toán đáp ứng cả nghĩa vụ giải trình của DSGVO lẫn các yêu cầu quản trị nội bộ.

Giám sát Tuân thủ Liên tục

Tình trạng chủ quyền dữ liệu có thể suy yếu khi các dịch vụ mới được thêm vào mà không qua kiểm duyệt, khi kỹ sư cấp phát tài nguyên ở các khu vực không được kiểm soát, hoặc khi mối quan hệ với nhà cung cấp thay đổi. Chúng tôi triển khai các biện pháp kiểm soát bằng "policy-as-code" để liên tục thực thi các ràng buộc về chủ quyền, cảnh báo về sai lệch trước khi chúng trở thành sự cố tuân thủ. Cấu hình được kiểm soát phiên bản và có thể kiểm toán.

Minh chứng thực tế

Một nhà cung cấp công nghệ ngân hàng Thụy Sĩ, vận hành hơn 300 ứng dụng ngân hàng cốt lõi cho hàng chục ngân hàng bán lẻ trên khắp Thụy Sĩ, phải tuân thủ các yêu cầu về chủ quyền dữ liệu của FINMA: tất cả các hệ thống phải nằm trong phạm vi quyền hạn của Thụy Sĩ. Không có chỗ cho sự thỏa hiệp với cam kết trung tâm dữ liệu khu vực của một nhà cung cấp dịch vụ đám mây lớn khi cơ quan quản lý đã vạch ra ranh giới rõ ràng về nơi dữ liệu có thể lưu trữ vật lý.

Gradion đã thực hiện kiểm toán kiến trúc toàn diện trên toàn bộ hệ thống ứng dụng của khách hàng, xác định một hạ tầng đám mây lai tuân thủ quy định trên Microsoft Azure và Google Cloud trong biên giới Thụy Sĩ, đồng thời cung cấp kế hoạch di chuyển theo trình tự trong 8 tuần - với cam kết không gián đoạn hoạt động và không sai sót về quy định. Đào tạo nhân sự và chuẩn bị tuân thủ Thanh toán Tức thời (Instant Payments) cũng được tích hợp vào cùng một dự án. Kết quả: một kiến trúc cloud-native đáp ứng FINMA, hỗ trợ 500.000 giao dịch mỗi ngày và sẵn sàng cho yêu cầu Thanh toán Tức thời liên ngân hàng của Thụy Sĩ.

Hành động

Hãy mô tả thiết lập đám mây hiện tại của bạn và các vấn đề tuân thủ mà bạn đang gặp phải. Chúng tôi sẽ đánh giá phạm vi chủ quyền dữ liệu và cung cấp kết quả trong ba tuần.