هیچ استاندارد انطباق عمده ای وجود ندارد که به طور خاص بر مراکز داده تمرکز کند. اما این بدان معنا نیست که مراکز داده هیچ نقشی در انطباق ندارند.
برعکس، روشی که یک کسب و کار طراحی، راه اندازی و ممیزی مراکز داده خود را انجام می دهد، می تواند برای توانایی آن در برآورده کردن الزامات مختلف انطباق که با آن مواجه است، کاملاً حیاتی باشد – مانند HIPAA، PCI DSS و GDPR، به نام چند مورد.
برای راهنمایی در مورد انطباق با مرکز داده، از جمله مکانهایی که مراکز داده در استراتژیهای انطباق قرار میگیرند، و همچنین آنچه که اپراتورها و مشتریان مرکز داده برای اطمینان از انطباق با مرکز داده باید انجام دهند، بخوانید.
مراکز داده و انطباق: یک مرور کلی
مراکز داده همیشه در مرکز بحث در مورد انطباق نیستند، زیرا هیچ یک از چارچوبهای اصلی انطباق شامل قوانین خاصی برای مراکز داده نمیشود – که با توجه به اینکه استانداردهای انطباق معمولاً بر فناوریها یا حوزههای فنی خاص تمرکز ندارند، جای تعجب ندارد. در عوض، هدف آنها ایجاد دستورالعملها و بهترین شیوههایی است که سازمانها بدون توجه به فناوریهایی که استفاده میکنند باید از آنها پیروی کنند.
گفته میشود، هر سازمانی که از مراکز داده استفاده میکند و تابع استانداردهای انطباق است، باید اطمینان حاصل کند که عملیات مرکز دادهاش با دستورات انطباق مطابقت دارد. اگر مراکز داده شما مطابقت نداشته باشند، به طور کلی نمی توانید مطابقت داشته باشید.
به عنوان مثال، GDPR، یک مقررات اتحادیه اروپا که برای محافظت از داده های شخصی طراحی شده است، شامل قوانینی است که زمان و چگونگی انتقال داده ها توسط مشاغل را به خارج از اتحادیه اروپا تعیین می کند. این بدان معناست که کسبوکاری که چندین مرکز داده را اداره میکند – برخی در داخل اتحادیه اروپا و برخی دیگر در خارج از آن – باید روشهایی را که دادههای شخصی بین مراکز داده مختلف خود جریان میدهند، مدیریت کند.
به عنوان مثال دیگری، HIPAA، مقررات مراقبت های بهداشتی ایالات متحده، قوانینی را وضع می کند که به حفاظت فیزیکی کافی برای داده های حساس مراقبت های بهداشتی نیاز دارد. به همین دلیل، هر مرکز داده ای که داده های موضوع HIPAA را میزبانی می کند باید به طور منطقی پیاده سازی کند کنترل های امنیتی فیزیکی.
استراتژی هایی برای اطمینان از انطباق با مرکز داده
اطمینان از اینکه مرکز داده شما از استراتژی انطباق شما پشتیبانی می کند و نه مانع از آن می شود، دقیقاً به دلیل این واقعیت که قوانین انطباق معمولاً شامل الزامات خاص مربوط به مراکز داده نمی شود، می تواند چالش برانگیز باشد.
در نتیجه، تعیین دقیق نحوه اعمال استانداردهای انطباق در مراکز داده می تواند دشوار باشد. هیچ چک لیست سادهای وجود ندارد که یک کسبوکار بتواند از آن پیروی کند تا تضمین کند که مراکز دادهاش با قوانین انطباق مورد نیاز مطابقت دارند.
با این حال، چندین مرحله وجود دارد که شرکت ها – و اپراتورهای مرکز داده – می توانند برای حمایت از انطباق با مرکز داده انجام دهند. در اینجا نگاهی به موارد اصلی داریم.
1. از چارچوب های انطباق داوطلبانه پیروی کنید
چندین چارچوب انطباق وجود دارد که هیچ سازمانی مجبور نیست قوانین آنها را رعایت کند، اما می تواند به ایجاد یک پایه سالم برای امنیت سایبری و حریم خصوصی داده ها کمک کند. نمونه های کلیدی این نوع چارچوب انطباق داوطلبانه عبارتند از SOC 2 و ISO 27001.
انتخاب مطابق با این چارچوب یا چارچوب داوطلبانه مشابه، تضمین نمیکند که مراکز داده شما با چارچوبهای نظارتی مانند HIPAA یا GDPR نیز مطابقت دارند. اما انطباق داوطلبانه فرصتی را برای ایجاد بهترین شیوهها و شناسایی شکافهای امنیتی که میتواند باعث نقض الزامات انطباق غیر داوطلبانه شود، فراهم میکند.
2. انجام ممیزی داوطلبانه
در امتداد خطوط مشابه، انجام ممیزی داوطلبانه راه خوبی برای شناسایی شکافها در عملیات مرکز داده است که میتواند منجر به مسائل مربوط به انطباق شود.
اپراتورهای مرکز داده می توانند ممیزی را با استفاده از تیم های حسابرسی داخلی خود انجام دهند یا می توانند حسابرسی را به یک ارائه دهنده حسابرسی خارجی برون سپاری کنند. (در برخی موارد، یک ممیزی خارجی برای اثبات اینکه شما از استاندارد انطباق برخوردار هستید، لازم است، اگرچه ممیزی داخلی نیز ممکن است مجاز باشد، بسته به اینکه کدام گواهی انطباق را میخواهید.)
3. دارایی ها و فرآیندها را مستند کنید
هرچه اطلاعات بیشتری را بتوانید با حسابرسان و تنظیم کننده ها به اشتراک بگذارید، اثبات مطابقت مرکز داده شما با استانداردهای مربوطه آسان تر خواهد بود. از اطلاعات به ظاهر پیش پا افتاده مانند برچسب های کابل مرکز دادهبرای دادههای با ریسک بالاتر مانند عملیات پاسخگویی به حوادث امنیت سایبری، همه چیزهایی را که دارید و در مرکز دادهتان انجام میدهید پیگیری کنید.
4. برون سپاری عملیات مرکز داده را در نظر بگیرید
در مواردی که یک کسب و کار در تلاش است تا اطمینان حاصل کند که مراکز داده خود مطابقت دارند، برون سپاری عملیات مرکز داده شاید انتخاب عاقلانه ای باشد برون سپاری به شما این امکان را می دهد که مسئولیت انطباق را به دست شخص ثالث بسپارید. مطمئناً مطمئن شوید که استانداردهای انطباق مورد نیاز شما در توافقی که با شرکت برون سپاری مرکز داده ای که استخدام می کنید به دست می آورید، نقش داشته باشد.
5. ابر را در نظر بگیرید
وقتی همه چیز شکست بخورد، انتقال حجم کار به ابر عمومی می تواند انطباق را ساده کند. اگرچه ارائهدهندگان ابر عمومی نمیتوانند تضمین کنند که همه جنبههای بار کاری شما مطابقت دارند، اما مسئولیتهای انطباق مربوط به حفاظت از زیرساختهای فیزیکی را بر عهده دارند.
البته مهاجرت به ابر با مجموعه ای از معاوضه ها همراه است و شامل چالش هایی مانند کاهش کنترل بر زیرساخت ها می شود. اما برای کسبوکارهایی که در یک مرکز داده خصوصی مشکل دارند، ابر میتواند منطقی باشد.
تبدیل مراکز داده به عنوان سنگ بنای انطباق
مراکز داده تنها یکی از اجزای عملیات انطباق برای اکثر مشاغل هستند. اما با توجه به نقش اساسی که مراکز داده در میزبانی حجم کاری ایفا می کنند، اغلب بسیار مهم هستند. به همین دلیل است که برای کسبوکارهایی که به مراکز داده وابسته هستند، هوشمندانه است که گامهای پیشگیرانهای برای برآورده کردن الزامات انطباق بردارند – مانند انجام ممیزی داوطلبانه یا در برخی موارد، برونسپاری عملیات مرکز داده به شرکتهایی که بیشتر با الزامات مطابقت مرکز داده آشنا هستند.