وضعیت در حال تغییر الزامات حسابرسی مرکز داده | دانش مرکز داده

تعداد کمی از مردم در مورد الزامات حسابرسی یا نظارتی هیجان زده می شوند. با این حال، با توجه به سرعت سریع تغییرات در چشم انداز مقررات و انطباق در سال های اخیر، دلیلی برای هیجان زده شدن در مورد حسابرسی مرکز داده وجود دارد. قوانین حسابرسی که مراکز داده باید رعایت کنند به جهاتی در حال تغییر هستند و ذینفعان اگر بخواهند مطابق با استانداردهای مختلف نظارتی و حسابرسی صنعتی که باید رعایت کنند باید تغییرات را ردیابی کرده و به آنها پاسخ دهند.

نمای کلی حسابرسی مرکز داده

روش های حسابرسی مرکز داده به دو دسته اصلی تقسیم می شوند:

• ممیزی هایی که اپراتورهای مرکز داده به طور داوطلبانه انجام می دهند تا به بهینه سازی هزینه، عملکرد، امنیت و سایر اولویت ها کمک کنند.
• ممیزی هایی که طبق مقررات یا استانداردهای صنعت مورد نیاز است.

مربوط: حسابرسی استفاده از ابرهای وزارت دفاع را بد تعریف و ردیابی می کند

دسته اول شامل ممیزی هایی است که ذهنی هستند و از یک مرکز داده به مرکز دیگر بسیار متفاوت هستند. با توجه به این موضوع، شناسایی هر گونه گرایش مرکزی مربوط به ممیزی داوطلبانه دشوار است.

روندهای حسابرسی مرکز داده

نوع دوم ممیزی مرکز داده – ممیزی هایی که به طور رسمی توسط مقررات مورد نیاز است – در سال های اخیر تغییرات زیادی را به خود دیده است.

مربوط: هکرهایی که سایت نفت عربستان را در حال بررسی شبکه برق ایالات متحده نابود کردند

شاید قابل توجه ترین تغییر، جایگزینی بود SAS 70 و SSAE 16که استانداردهای ممیزی هستند که نقش کلیدی در انطباق با SOC 2 دارند، با SSAE 18 که نسخه به روز شده استاندارد است. این تغییر اساساً الزامات گزارش دهی را برای مراکز داده ای که نیاز به رعایت SOC دارند تغییر نمی دهد، اما برخی از جزئیات گزارش را به روز می کند.

یکی دیگر از تغییرات عمده انطباق که در حال حاضر در حال انجام است، معرفی است PCI DSS 4.0، که در مارس 2022 اجرایی شد. PCI DSS مجموعه ای از استانداردهای انطباق است که توسط صنعت پردازش پرداخت حفظ می شود. قوانین به طور خاص برای مراکز داده طراحی نشده اند – در واقع، مراکز داده تمرکز صریح PCI DSS نیستند – اما برای مراکز داده ای که می خواهند بار کاری را میزبانی کنند که پرداخت ها را به نحوی پردازش می کنند، مورد توجه قرار می گیرند.

به همین دلیل، اپراتورهای مراکز داده ممکن است نیاز به به روز رسانی استراتژی های حسابرسی خود داشته باشند تا قوانین جدید معرفی شده توسط PCI DSS 4 را منعکس کنند – که در میان پیشرفت های دیگر، الزامات بسیار سخت گیرانه تری را در رابطه با امنیت و احراز هویت تحمیل می کند. این الزامات می‌تواند بر حفاظت‌های امنیتی فیزیکی و مجازی که مراکز داده برای دستیابی به انطباق با PCI DSS نیاز دارند، تأثیر بگذارد.

فراتر از حسابرسی: سایر تغییرات انطباق مرکز داده

فراتر از PCI DSS، مجموعه ای از مقررات و استانداردهای انطباق دیگر وجود دارد که برخی از مراکز داده ممکن است نیاز به رعایت آنها داشته باشند، به خصوص اگر آنها صنایع خاصی را ارائه می دهند یا در مناطق خاصی فعالیت می کنند.

به عنوان مثال، مراکز داده ای که بارهای کاری مرتبط با مراقبت های بهداشتی را میزبانی می کنند ممکن است نیاز داشته باشند مطابق با HIPAA، اصلی ترین مقررات حفاظت از حریم خصوصی داده های مراقبت های بهداشتی در ایالات متحده است. مقررات حفظ حریم خصوصی داده‌های GDPR، CPRA و CCPA همچنین بر مراکز داده‌ای تأثیر می‌گذارد که در حوزه‌های قضایی خاص مستقر هستند – یا در برخی موارد، صرفاً به کاربران مستقر در حوزه‌های قضایی خدمت می‌کنند.

این چارچوب‌های انطباق در سال‌های اخیر شاهد به‌روزرسانی‌های عمده‌ای نبوده‌اند، بنابراین استراتژی‌های ممیزی که مراکز داده از قبل برای کمک به پیروی از HIPAA، GDPR، CCPA و مقررات مشابه در نظر گرفته‌اند، باید تا آینده قابل پیش‌بینی به کار خود ادامه دهند.

با این حال، ممکن است برخی تغییرات در طول سال 2023 در حال انجام باشد حداقل برای HIPAAبنابراین اپراتورهای مرکز داده باید چشم انداز انطباق را از نزدیک زیر نظر داشته باشند تا مطمئن شوند که با هر گونه ممیزی یا سایر الزاماتی که مقررات تحمیل می کند مطابقت دارند.

نتیجه

الزامات حسابرسی که مراکز داده باید به آنها توجه کنند کاملاً تغییر نکرده است، اما آنها به روش های قابل توجهی در حال تغییر هستند. اگر توجه نمی کنید – و اگر استراتژی حسابرسی مرکز داده شما در دهه 2010 گیر کرده است – اکنون زمان آن است که بفهمید چگونه می توانید به دستورات حسابرسی جدید و نوظهور پاسخ دهید.