本地部署比 SaaS 更容易满足 GDPR 要求吗?

  • Matt Campbell
  • 谢丽

2018 年 7 月 23 日

话题:DevOps

欧盟的GDPR引发了争论,有人认为迁移到本地解决方案更有利于满足 GDPR 的要求,而另一部分人则认为实现合规性与托管模型无关。

2018 年 5 月 18 日,欧盟颁布了《欧盟通用数据保护条例》(GDPR)。GDPR 为欧盟公民提供了针对个人信息保护、管理和清除的严格准则。该准则适用于任何处理欧盟公民数据的公司,而不管该公司在哪里,由于覆盖全球,所以大多数 SaaS 企业都会受到影响。

在 GDPR 的众多要求中,有两项与数据存储和处理相关的审查:数据迁移访问权。数据迁移是指用户有权接收公司持有的与他们有关的所有个人信息。访问权使用户可以询问存储和处理其个人信息的公司把数据用于什么用途以及该公司可能使用的任何子服务。

Gravitational 运营总监Taylor Wakefield认为,GDPR 的这两项内容会严重削弱 SaaS 公司。特别地,多租户体系结构可能会因为识别所有用户数据而产生额外的成本。正如 Wakefield 所言:

你需要知道自己持有每位用户的什么数据,并根据要求以一种电子格式免费提供……就像大海捞针。把什么数据都扔进数据湖然后再确定如何处理的时代已经过去了。

InfluxData 技术产品营销负责人Chris Churilo对 Wakefield 的观点表示赞同

这种实现的成本会很高,可能有必要向欧盟客户提供一个本地部署版本,使收集到的数据保存在欧盟,在客户自己的数据中心或私有云中。

Churilo 说,“传统上,构建 SaaS 解决方案的本地版本很困难,而且费用过高”。但她和 Wakefield 都认为,使用本地解决方案解决 GDPR 对于用户数据添加的额外限制是最有效的。然而,他们的博文都没有清楚地说明,为什么本地解决方案可以简化 GDPR 提供的数据条例。

Wakefield 博文的一名评论者详细探讨了这个观点,他指出,本地部署可能无助于满足提出控制者和处理者概念的 GDPR 限制。在 GDPR 中,控制者是一个决定数据处理目的或方式的实体。处理者按照控制者指令代表控制者处理数据。

如果你是一个 SaaS 提供商,可以把你的软件作为本地部署来销售,你几乎必然是一个处理者,而不是控制者。把 SaaS 软件部署到本地并不会有多少变化。如果我是一名控制者,购买某种大型的类似 SaaS 的产品自己运行,那么我会坚持要求它内置 GDPR 特性。第三方 SaaS 供应商将不得不编写 GDPR 特性,不管他们是把它作为 SaaS 还是本地部署销售。

不管你把软件托管在哪里,如果你处理或存储用户数据,你就需要能够满足 GDPR 的要求。作为软件提供商,你需要能够识别生态系统中存储或处理用户数据的所有服务。

正如 IMB 资深软件研发经理Ann Marie Fred最近的分享

你需要花时间记录下所有这些东西,第一次做的时候,需要大量的手动工作。

除非你很努力,否则你可能没法了解组织里的所有服务。

企业管理协会分析师John L. Myers赞同Fred 的观点:

如果没有一个清单可以列出客户、合作伙伴或供应商的所有数据在各种数据平台上的位置,那么开始时很难自动处理……

不管是 SaaS,还是本地部署,都需要这样做,转到本地部署可能并不能让这项工作变得简单。如果你正在艰难地识别作为生态系统组成部分的所有服务,而又不确定从哪里开始,Fred 给出了一些最终建议:

我要说,不要害怕开始。最好是竭尽全力,直到完全克服这个问题,然后说,我甚至都不用去想。基本的 IT 安全流程可以为你处理 [GDPR] 的许多要求。决定如何处理数据主体访问请求,因为它们到达的速度非常快。

如果你在一家有欧盟客户的 SaaS 公司工作,那么你的公司采用了什么方法?欢迎在下面的评论中和社区分享。

查看英文原文:Is On-Premise a Better Fit for SaaS Compliance with GDPR?

DevOps