Tác động của Đạo luật Điện toán đám mây Hoa Kỳ đối với Chiến lược Di động Doanh nghiệp của bạn

Nếu tổ chức của bạn sử dụng các dịch vụ đám mây có trụ sở tại Hoa Kỳ để quản lý thiết bị di động và dữ liệu doanh nghiệp, thì Đạo luật CLOUD của Hoa Kỳ là một quy định mà bạn không thể bỏ qua. Được ban hành thành luật vào năm 2018, Đạo luật Làm rõ việc Sử dụng Dữ liệu Hợp pháp ở Nước ngoài (CLOUD) đã thay đổi căn bản các quy tắc về truy cập dữ liệu xuyên biên giới và đối với các doanh nghiệp dựa vào các nhà cung cấp MDM có trụ sở tại Hoa Kỳ, rủi ro tuân thủ là có thật.

Đây là lúc việc lựa chọn nhà cung cấp trở nên quan trọng hơn bao giờ hết. Là một giải pháp MDM có trụ sở tại châu Âu và hoạt động ngoài phạm vi pháp lý của Hoa Kỳ, AppTec360 mang đến cho các doanh nghiệp lợi thế về cấu trúc mà không một điều khoản hợp đồng hay lựa chọn vị trí máy chủ nào có thể thay thế được khi nhà cung cấp của bạn chịu sự điều chỉnh của luật pháp Hoa Kỳ.

Đạo luật CLOUD của Hoa Kỳ là gì?

Đạo luật CLOUD, được ban hành năm 2018, cho phép các cơ quan thực thi pháp luật của Hoa Kỳ buộc các công ty công nghệ có trụ sở tại Hoa Kỳ phải giao nộp dữ liệu được lưu trữ bất kể dữ liệu đó nằm ở đâu về mặt vật lý. Vì vậy, ngay cả khi dữ liệu của bạn nằm trên máy chủ ở Frankfurt hoặc Amsterdam, nếu nhà cung cấp của bạn thuộc thẩm quyền của Hoa Kỳ, các cơ quan chức năng Hoa Kỳ có thể truy cập dữ liệu đó một cách hợp pháp.

Tại sao điều này lại quan trọng đối với tính di động của doanh nghiệp?

Các doanh nghiệp hiện đại phụ thuộc vào thiết bị di động để truy cập dữ liệu doanh nghiệp nhạy cảm, quản lý lực lượng lao động kết hợp và duy trì năng suất xuyên biên giới. Tuy nhiên, sự phụ thuộc vào cơ sở hạ tầng di động này lại đi kèm với một điểm mù về tuân thủ mà nhiều tổ chức vẫn chưa giải quyết triệt để.

Đạo luật CLOUD tạo ra mâu thuẫn trực tiếp với GDPR của EU. Khi một nhà cung cấp dịch vụ đám mây của Mỹ bị buộc phải giao nộp dữ liệu, các tổ chức dựa vào việc lưu trữ dữ liệu theo địa lý như một lá chắn tuân thủ có thể thấy mình bị lộ thông tin; các chính sách BYOD, quản lý ứng dụng di động và chiến lược ngăn ngừa mất dữ liệu đều tiềm ẩn rủi ro nếu cơ sở hạ tầng cơ bản thuộc thẩm quyền của Mỹ.

Đọc thêm

Hơn 10 xu hướng và số liệu thống kê về quản lý thiết bị di động (MDM)

Các bước thực tiễn cho chiến lược di động thích ứng với biến đổi khí hậu (CLOUD Act)

Việc điều chỉnh chiến lược di động doanh nghiệp không có nghĩa là từ bỏ các dịch vụ đám mây; mà là cần có sự cân nhắc kỹ lưỡng về cách bạn triển khai, quản lý và bảo vệ dữ liệu. Dưới đây là những điểm cần tập trung:

1. Kiểm tra phạm vi pháp lý mà nhà cung cấp của bạn phải tuân thủ:

Hãy lập bản đồ xem nhà cung cấp hệ thống nào của bạn (ví dụ: MDM) thuộc thẩm quyền pháp lý của Hoa Kỳ. Ngay cả các nhà cung cấp không có trụ sở chính tại Hoa Kỳ nhưng có hoạt động tại Hoa Kỳ hoặc có khách hàng tại Hoa Kỳ cũng có thể thuộc phạm vi điều chỉnh của Đạo luật CLOUD.

2. Áp dụng mã hóa mạnh và tách biệt dữ liệu:

Mã hóa là một trong những biện pháp phòng vệ mạnh mẽ nhất. Việc đảm bảo dữ liệu doanh nghiệp và dữ liệu cá nhân được tách biệt rõ ràng thành một tính năng nền tảng trong bất kỳ giải pháp quản lý thiết bị di động (MDM) mạnh mẽ nào sẽ hạn chế phạm vi tiếp xúc với các lỗ hổng bảo mật tiềm tàng. Các chính sách hiệu quả về mã hóa dữ liệu giữa các thiết bị và máy chủ, cùng với các biện pháp kiểm soát nghiêm ngặt ở cấp độ ứng dụng, là vô cùng cần thiết.

3. Đánh giá lại mô hình triển khai của bạn:

Các tổ chức có mức độ nhạy cảm dữ liệu cao cần cân nhắc kỹ các lựa chọn của mình: triển khai trên nền tảng đám mây mang lại sự tiện lợi, trong khi triển khai tại chỗ giúp giữ dữ liệu trong cơ sở hạ tầng của riêng bạn và giảm thiểu rủi ro phụ thuộc vào bên thứ ba. Một nền tảng quản lý thiết bị di động (MDM) được thiết kế tốt sẽ cung cấp cho bạn cả hai tùy chọn mà không làm giảm tính năng hoặc khả năng kiểm soát.

4. Tăng cường quản trị BYOD:

Phương pháp “Hai cá tính riêng biệt”, trong đó dữ liệu doanh nghiệp và dữ liệu cá nhân được tách biệt hoàn toàn trên các thiết bị thuộc sở hữu của nhân viên, càng trở nên quan trọng hơn theo Đạo luật CLOUD. Nhân viên sử dụng thiết bị cá nhân cho công việc không bao giờ được vô tình trộn lẫn dữ liệu doanh nghiệp với các dịch vụ đám mây cá nhân thuộc thẩm quyền của Hoa Kỳ.

AppTec360 hỗ trợ chiến lược di động tuân thủ quy định như thế nào?

Không giống như các nhà cung cấp MDM có trụ sở tại Hoa Kỳ, AppTec360 có trụ sở chính tại Thụy Sĩ và hoạt động ngoài phạm vi quyền tài phán của Hoa Kỳ, điều này có nghĩa là công ty không phải tuân thủ các yêu cầu của Đạo luật CLOUD. Trong bối cảnh địa chính trị hiện nay, khi các doanh nghiệp đang tích cực đánh giá lại sự phụ thuộc của họ vào các nhà cung cấp công nghệ của Hoa Kỳ, đây là một lợi thế về tuân thủ mang tính cấu trúc, vượt xa các tính năng hoặc chứng nhận.

Được hơn 6.400 công ty tại 107 quốc gia tin dùng, nền tảng Quản lý thiết bị di động (MDM) của AppTec360 kết hợp lợi thế về chủ quyền này với các khả năng bảo mật cấp doanh nghiệp phù hợp với việc tuân thủ Đạo luật CLOUD:

• Mã hóa đầu cuối các liên lạc giữa các thiết bị và máy chủ.
• Phân tách dữ liệu cá nhân và doanh nghiệp cho mô hình BYOD (Bring Your Own Device)
• Các chức năng kiểm soát DLP tập trung , bao gồm xóa dữ liệu từ xa, cho phép/chặn ứng dụng và quản lý chứng chỉ.
• Quản lý ứng dụng di động (MAM) chi tiết để kiểm soát ứng dụng nào có thể truy cập và đồng bộ hóa dữ liệu doanh nghiệp.
• Tùy chọn triển khai tại chỗ thông qua thiết bị ảo được cấu hình sẵn, giúp lưu trữ dữ liệu trong cơ sở hạ tầng của riêng bạn.
• Được đặt tại các cơ sở đạt chứng nhận ISO 27001 và PCI-DSS , với cơ sở hạ tầng được thiết kế để hỗ trợ tuân thủ GDPR.

Cho dù tổ chức của bạn hoạt động trên iOS, macOS, Android hay Windows, AppTec360 đều cung cấp một bảng điều khiển duy nhất, thống nhất để thực thi chính sách, giám sát việc tuân thủ và phản hồi các sự kiện bảo mật.

Tóm lại

Đạo luật CLOUD của Mỹ sẽ không biến mất, và phạm vi ảnh hưởng của nó chỉ ngày càng mở rộng khi các thỏa thuận song phương mới được hình thành. Đối với các doanh nghiệp quản lý đội ngũ thiết bị di động và dữ liệu nhạy cảm xuyên biên giới, thái độ thụ động đối với quy định này là một rủi ro mà không một nhóm CNTT nào có thể chấp nhận được.

Phần mềm quản lý thiết bị di động doanh nghiệp (MDM) phù hợp không chỉ quản lý thiết bị; nó còn cung cấp cho bạn khả năng kiểm soát, giám sát và tính linh hoạt trong triển khai để xây dựng chiến lược di động đáp ứng được sự giám sát của các cơ quan quản lý. AppTec360 được thiết kế để làm chính xác điều đó.

Bạn đã sẵn sàng khám phá cách AppTec360 có thể hỗ trợ các mục tiêu tuân thủ quy định và khả năng di động của bạn chưa? Yêu cầu bản demo miễn phí hoặc bắt đầu dùng thử miễn phí 30 ngày.

Câu hỏi thường gặp

1. Đạo luật CLOUD của Hoa Kỳ có áp dụng cho các công ty bên ngoài Hoa Kỳ không?

Đúng vậy, nếu nhà cung cấp MDM hoặc dịch vụ đám mây của bạn là một công ty có trụ sở tại Hoa Kỳ, dữ liệu của bạn có thể phải tuân theo các yêu cầu của Đạo luật Đám mây (CLOUD Act) bất kể trụ sở chính của tổ chức bạn đặt ở đâu. Việc lưu trữ dữ liệu trên các máy chủ không thuộc Hoa Kỳ không tự động giúp bạn tránh khỏi phạm vi áp dụng của đạo luật này.

2. Đạo luật CLOUD có mâu thuẫn với GDPR không?

Điều đó hoàn toàn có thể. GDPR quy định việc bảo vệ dữ liệu khỏi sự truy cập trái phép của bên thứ ba, trong khi Đạo luật CLOUD có thể buộc các nhà cung cấp dịch vụ của Hoa Kỳ phải tiết lộ dữ liệu, khiến các tổ chức hoạt động theo cả hai khuôn khổ này rơi vào tình thế khó khăn trong việc tuân thủ.