為什么數據中心需要了解 GLBA 合規性

但是，如果您的企業與其他有自己的政策和法規要遵循的企業互動，會發生什么？您是否必須采用這些規則才能讓您的企業繼續合作？在大多數情況下，答案是肯定的。

以數據中心為例。如果您經營此類業務，您可能制定了嚴格的規則來保護您代表客戶存放的數據。但您是否也遵守客戶制定的數據法規和隱私政策？如果您的回答是否定的，并且您的客戶受 Gramm-Leach-Bliley 法案 (GLBA) 保護，則您需要重新審視您的信息安全計劃以立即納入 GLBA 合規性。

什么是GLBA？

1999 年的 Gramm-Leach-Bliley 法案 要求金融機構和任何其他向消費者提供金融產品（如貸款、金融或投資建議和保險）的公司必須采取保護措施來保護其客戶的敏感數據。此外，他們還必須向客戶完整披露其信息共享實踐和數據安全政策。

1999 年的 GLBA 要求金融機構和任何其他向消費者提供金融產品的公司必須采取保護措施來保護其客戶的敏感數據

支票兌現業務、發薪日貸方、房地產估價師、專業稅務編制者、快遞服務、抵押貸款經紀人和非銀行貸方是不一定屬于“金融機構”類別但包含在 GLBA 中的企業示例。原因是這些組織大量參與提供金融產品和服務。因此，他們可以訪問個人身份信息 (PII) 和敏感數據，例如社會保險號、電話號碼、地址、銀行和信用卡號以及收入和信用記錄。

GLBA 合規性：不僅適用于 GLBA 涵蓋的企業

根據 GLBA，受此規則約束的組織必須制定書面信息安全計劃，詳細說明組織為保護客戶信息而實施的政策。安全措施必須適合企業規模和所收集數據的復雜性。此外，每家公司都必須指定一名員工或一個人事小組來協調和執行其安全措施。最后，組織必須不斷評估其制定的安全措施的有效性，識別和評估風險，以根據需要改進政策和措施。

此時，您可能會問自己：“這對我作為數據中心的業務有何影響？”

數據保護規則也適用于 GLBA 涵蓋的公司雇用的任何第三方附屬公司和服務提供商。因此，GLBA 涵蓋的公司有責任確保附屬第三方采取相同的步驟來保護他們代表公司與之交互或存儲的數據。這意味著 GLBA 下的公司將選擇像您這樣的第三方服務提供商，這些公司的運營也采用相同的步驟和政策來保護敏感數據。此外，GLBA 下的組織有權管理其服務提供商如何處理其客戶信息，以確保符合 GLBA。

“...GLBA 下的組織有權管理其服務提供商如何處理其客戶信息，以確保符合 GLBA”

因此，基于云的數據中心必須遵守 GLBA 的安全政策和執行規則，否則可能會失去這些組織和 GLBA 涵蓋的其他潛在客戶的業務。作為數據中心運營商，您可以通過以下三種方式之一進行處理：1) 根據每個客戶組織的需求，為每個客戶組織創建單獨的 GLBA 合規策略，2) 允許每個客戶組織描述他們所采用的 GLBA 合規策略3) 建立一套符合 GLBA 標準的政策，涵蓋數據保護和隱私的所有方面，適用于所有客戶組織和潛在的新業務。

GLBA 和數據銷毀

正如有計劃和人員在數據使用時監督數據保護一樣，根據 GLBA 必須有計劃和人員到位，以在數據達到其生命周期結束時監督數據銷毀。這些正確處置受保護數據的政策和計劃應納入組織的信息安全計劃，并應定期評估風險。雖然這對于 GLBA 涵蓋的公司來說是一項簡單的任務，但為第三方附屬機構或服務提供商（如數據中心）制定和執行符合 GLBA 標準的數據銷毀政策則完全是另一回事。

您不僅需要圍繞數據中心的數據和驅動器銷毀創建一組協議，還需要能夠向您的客戶組織證明您可以正確處置存儲數據的驅動器和數據本身。這是因為必須同時處理數據和驅動器，以便數據和驅動器在銷毀后都無法恢復或以其他方式重建。由于您的數據中心已經提供對您存儲的信息的遠程訪問，因此建議您 在您的中心購買和維護 數據銷毀設備。這樣，您還可以控制在數據銷毀事件期間處理敏感信息的位置。

在數據銷毀事件期間確保合規性的最簡單方法之一是與 GLBA 涵蓋的組織合作，在您的數據中心內為該任務分配某些人員。例如，在數據銷毀事件期間，您公司內的指定人員以及客戶公司的 GLBA 工作組將需要在現場。雙方將負責在數據中心強制執行數據銷毀，包括記錄每個數據銷毀事件，以確保合規性并在發生違規時減輕責任。