数据库合规性认证及相关要求
上一篇:《第12章-2 虚拟机上的 MySQL》 ,接着了解合规性
数据库工程团队的角色是许多内部业务相关部门感兴趣的。正如我们已经介绍过的,你不仅要为性能和业务的在线时间进行规划,还要为基础设施成本、灾难恢复和各种合规性需求做规划。
DBA的工作并不局限于在业务运行时管理这些数据,还需要帮助企业保护数据,并使数据符合法律要求,或获得对企业至关重要的监管认证。你必须了解满足这些需求的业务目标,并将这些需求包括在所有数据体系结构设计中,包括如何自动化操作任务、管理访问,以及如何将管理任务转换为自动化此类任务的代码。
本章涵盖了企业可能需要的不同类型的合规性认证,以及它们所关注的各种特定于数据库的问题。我们会帮助解释如何针对不同的合规性需求进行设计,并讨论访问日志记录如何成为满足合规性要求的关键部分。最后,我们将讨论数据主权,其是所有类型的业务中数据架构实践的一个新兴关注点。
警告
本章并不是要给你提供法律建议。我们希望在你运行大量数据库时帮助你管理合规性需求,以及如何在早期为合规性进行设计。当寻求关于如何正确执行具体控制的建议时,你应该始终咨询公司的法律团队。
什么是合规性?
治理(Governance)、风险管理(Risk management)和合规性(Compliance),合称为GRC,它们是一些原则、流程和法律,用于指导企业如何评估和优先考虑其资产的风险,以及如何遵守个人或健康数据处理和传输的法律法规。早期的创业公司通常没有太多合规性需求,重要的是发现适合市场的产品。然而,随着业务的增长,你将开始碰到一些合规性要求。有些合规性要求适用于企业的所有数据,有些则适用于特定的部分数据。
合规性中经常使用的术语是控制。控制是公司内部定义的流程和规则,用于减少意外风险结果发生的概率。
让我们介绍一些你应该了解的合规性要求。稍后,我们将介绍一些更改体系结构的方式,可以使满足不同合规性要求的管理更容易。
服务组织控制第 2 型
服务组织控制第 2 型(SOC 2)(参见链接52 https://oreil.ly/PwWBg)是一组合规性控制要求,服务组织可以使用这些控制来报告其与安全性、可用性、处理完整性、机密性和隐私性相关的实践。希望获得SOC 2认证的组织中的数据库工程师需要在数据库变更管理、备份和恢复过程,以及管理对数据库实例的访问方面具有良好的实践经验。
萨班斯-奥克斯法案
2002 年萨班斯-奥克斯法案(SOX)(参见链接53 https://oreil.ly/qHAN0)是一项所有成为上市公司的公司都必须遵守的法案。它旨在通过提高根据证券法规定向投资者披露的公司披露的准确性和可靠性来保护投资者,并为其他目的。对于一个工程组织,SOX 职责要求证明包含影响收入的数据的数据库只能被有需要的人访问,并且对这些数据的任何更改都已记录,并且更改有记录的原因。
如果您是一家上市公司,SOX 控制 404 是一个您必须熟悉并履行的法律要求的控制。它旨在通过证据保证公司报告的财务状况得到数据访问和变更管理实践的支持,这些实践准确地将提供的服务归因于收取的收入,并为对此类数据的任何更改提供审计跟踪。
付款卡行业数据安全标准
付款卡行业数据安全标准(PCI DSS)(参见链接54 https://oreil.ly/V6GBh)是所有处理信用卡数据的金融机构所需遵守的标准。它的目的是保护信用卡持有人的数据不被泄露和用于欺诈交易。
作为数据库工程师,PCI-DSS控制的一个重要方面是管理对持卡人数据的访问。这意味着需要考虑架构中的控制,以确保卡数据被单独管理。我们将在本章稍后介绍角色分离时如何实现这一点。
健康保险可携带性和责任法案
1996 年的健康保险可携带性和责任法案(HIPAA)(参见链接55 https://oreil.ly/fKeQd)是美国的一项法规,旨在保护健康提供者、健康计划或其商业伙伴收集和处理的与个人健康相关的隐私数据。本法适用于被定义为电子个人健康信息(ePHI)的数据。提供符合HIPAA要求的产品的组织需要他们的数据库工程师实现控制,例如,对ePHI的访问控制、所有ePHI的加密,以及访问ePHI时的活动日志。
联邦风险和授权管理计划
对于在美国运营并希望与美国政府实体开展业务的公司,联邦风险和授权管理计划(FedRAMP)(参见链接56 Partners: Cloud Service Providers | FedRAMP.gov)是联邦政府提供的一项认证,旨在证明在美国运营并希望与美国政府实体开展业务的公司有资格成为联邦实体的云服务商。它是一个标准的集合,有资格以联邦实体作为客户的企业都需要满足该项认证。这些标准包括配置管理、访问控制、安全评估,以及对数据访问和更改的审核。
通用数据保护条例
通用数据保护条例(GDPR)是欧盟于2016年推出的一项法规,旨在管理作为数据处理机构的实体如何存储和管理欧盟人员的个人身份信息,无论这些实体的总部位于哪里。它引入了管理数据隐私的第一步,比如在收集私人数据前需要征得同意,对处理机构组织内访问私人数据设置限制,并为个人提供法律途径,允许个人提交申请,从数据处理机构的系统中清除任何可能通过他们的在线活动收集的数据。这被称为个人的“被遗忘的权利”。
施雷姆斯 II
2020年,欧盟司法法院裁决了欧盟和Facebook爱尔兰分部之间的一桩案件。这项通常被称为施雷姆斯 II,(参见链接57 CURIA - Documents)的裁决,对所有运营和收集欧盟人员数据的美国公司产生了广泛影响。
Privacy Shield(参见链接58 Privacy Shield Program Overview | Privacy Shield)是美国公司多年来在欧盟运营的合法平台。施雷姆斯的裁决宣布,当美国公司在欧盟的实体收集欧盟人员的数据时,不足以保护他们的隐私。取消的核心是由欧盟司法法院裁决的,隐私保护不足以提供保证,欧盟的人将不会由美国政府通过美国法律手段被监控[即使用一种机制所提供的1978年外国情报监视法案(参见链接59),或外国情报监视法],因此,美国实体收集的欧盟人员的个人身份数据必须留在欧盟,不能进入美国资产或被美国人获取。
与GDPR的初始版本相比,这项裁决使得对数据架构进行推理变得更加复杂。由于这项裁决是在最近才做出的,所以执行情况仍是个未知数。这种情况让每个业务决定它收集和处理的数据有多少在范围内,以及以何种方式处理。如果你在欧洲有任何当前或未来的客户,可以放心地假设Schrems II将为你运行的应用程序和数据基础设施提供服务。
上一篇:《第12章-2 虚拟机上的 MySQL》
下一篇:《第13章-2 合规控制构建》
扫一扫
1134
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
