Трансграничное облако: где физически данные и как это проверяется

Облачные сервисы избавляют от необходимости держать собственные серверы, нанимать администраторов и думать о физической инфраструктуре. Это понятное и реальное преимущество. Но вместе с ним компания берёт на себя новый тип неопределённости: где именно находятся данные, кто имеет к ним физический и логический доступ, и как это можно проверить.

Пока данные лежали в собственном серверном шкафу, ответы на эти вопросы были очевидны. Когда данные уходят в облако - и особенно в облако иностранного провайдера - вопросы остаются, но ответы становятся менее очевидными. Отправная точка - понять, что SLA публичного облака вообще говорит, а о чём намеренно умалчивает.

Что конкретно вызывает вопросы

Первый вопрос - физическое местонахождение. Большинство крупных облачных провайдеров работают через глобальные сети дата-центров. Данные могут реплицироваться между регионами для обеспечения надёжности. Если явно не указано и не закреплено договором, в каком регионе хранятся данные - компания не может быть уверена, что они не покидают территорию нужной юрисдикции.

Второй вопрос - доступ сотрудников провайдера. Инженеры и сотрудники поддержки облачного провайдера могут иметь техническую возможность доступа к данным клиентов при обслуживании инфраструктуры. Насколько этот доступ ограничен, логируется и контролируется - существенный вопрос, который редко обсуждается до инцидента.

Третий вопрос - юрисдикционное право доступа. Компания, работающая под юрисдикцией одной страны, может быть обязана предоставить данные клиентов по запросу властей этой страны - даже если клиент находится в другой стране. Это не гипотетический сценарий. Это реальный правовой риск, который различается в зависимости от юрисдикции провайдера.

Почему это управленческий, а не только технический вопрос

ИТ-служба может выбрать технологически надёжного провайдера. Но решение о том, где хранить данные клиентов, какие категории данных допустимо размещать в иностранном облаке, и какие договорные гарантии нужны - это не ИТ-решение. Это решение с правовыми и репутационными последствиями.

Компании, работающие с персональными данными граждан, с финансовой информацией или с данными государственного сектора, часто имеют регуляторные требования к локализации данных. Нарушение этих требований - не технический сбой, это compliance-проблема.

Но даже там, где регуляторных требований нет, вопрос доверия остаётся деловым. Если клиент спрашивает, где хранятся его данные - "в облаке" не является ответом.

Что можно проверить, а что приходится принимать на веру

Некоторые вещи поддаются проверке. Договор с провайдером может и должен фиксировать: регион хранения данных, условия доступа сотрудников провайдера, процедуры при запросах со стороны властей, условия уничтожения данных при расторжении договора. Вопросы, которые надо задавать облачному провайдеру до передачи данных, в основном применимы и здесь - только с добавленным юрисдикционным измерением.

Наличие внешнего аудита безопасности и сертификаций (SOC 2, ISO 27001) даёт некоторую уверенность в том, что процессы существуют и проверяются независимой стороной.

Но многое всё же остаётся на уровне доверия. Провайдер декларирует политики - реальное их исполнение на уровне каждого инженера и каждой операции невозможно верифицировать извне полностью. Это надо честно признавать при принятии решения о размещении чувствительных данных.

Как подходить к выбору

Правильный подход начинается с классификации данных. Не все данные одинаково чувствительны. Маркетинговые материалы и публичные документы - одна категория. Персональные данные клиентов, финансовые записи, коммерческая тайна - другая. Режим работы с ними должен различаться.

Для чувствительных категорий стоит задать провайдеру конкретные вопросы и получить ответы в договорной форме, а не только в маркетинговых материалах. Если провайдер не готов фиксировать ответы договором - это само по себе информация для решения.

Вопросы, которые стоит задать провайдеру

Перед размещением чувствительных данных в облаке стоит получить письменные ответы на следующее:

1. В каком конкретном регионе или стране будут храниться данные?
2. Может ли провайдер гарантировать, что данные не покинут эту юрисдикцию без уведомления?
3. Какой доступ к данным клиентов имеют сотрудники провайдера и как он контролируется?
4. Как провайдер действует при получении запроса от государственных органов на доступ к данным клиента?
5. Что происходит с данными при расторжении договора - сроки и подтверждение удаления?

Если на эти вопросы нет чётких ответов - доверие к размещению строится на надежде, а не на договорённостях.