[ad_1]
Nếu có hai thứ không bao giờ nên trộn lẫn với nhau, thì đó là an ninh mạng/tuân thủ quyền riêng tư và chính trị của công ty. Chưa hết, đó là trọng tâm của cuộc chiến tuân thủ giữa Microsoft và chính quyền Đức có thể dẫn đến việc trừng phạt khách hàng của công ty.
Datenschutzkonferenz của Đức — cơ quan quản lý được giao nhiệm vụ xử lý quy định của Đức về Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu — đã công khai tuyên bố rằng “không thể sử dụng Microsoft Office 365 tuân thủ bảo vệ dữ liệu.”
Đó là một tuyên bố tuyệt đối và táo bạo mà tôi từng thấy từ một cơ quan tuân thủ.
Cụ thể, các cơ quan quản lý đã không tìm thấy rõ ràng các vi phạm quy tắc tuân thủ cũng như họ tìm thấy các đường dẫn dữ liệu mà Microsoft sẽ không giải thích đầy đủ. Những đường dẫn này dường như chuyển dữ liệu lên các máy chủ do Microsoft kiểm soát tại Hoa Kỳ.
“Câu hỏi trọng tâm và lặp đi lặp lại của loạt cuộc thảo luận là trong trường hợp nào thì Microsoft đóng vai trò là bộ xử lý và trong trường hợp nào thì đóng vai trò là người kiểm soát. Điều này không thể được làm rõ một cách thuyết phục. Kiểm soát viên phải luôn có khả năng chứng minh trách nhiệm giải trình của mình theo Điều. 5 đoạn. 2 GDPR,” báo cáo cho biết, và sau đó nói thêm rằng họ “tiếp tục gặp khó khăn, vì Microsoft không tiết lộ đầy đủ quá trình xử lý chi tiết. Ngoài ra, Microsoft không giải thích đầy đủ quá trình xử lý nào diễn ra thay mặt cho khách hàng hoặc quá trình nào diễn ra vì mục đích riêng của họ. Các tài liệu hợp đồng không chính xác về mặt này và do đó, cho phép xử lý mà không thể đánh giá một cách thuyết phục, thậm chí có thể mở rộng cho mục đích riêng của một người.”
Không ngạc nhiên khi Microsoft không đồng ý và lập luận rằng sản phẩm của họ là phần mềm hoàn hảo.
“Hôm nay, Datenschutzkonferenz (DSK) của Đức đã công bố những lo ngại về cách Microsoft 365 (M365) tuân thủ luật bảo mật dữ liệu của Đức và EU,” Microsoft cho biết trong một tuyên bố. “Chúng tôi rất không đồng ý với quan điểm của DSK vì chúng tôi đảm bảo rằng các sản phẩm M365 của chúng tôi không chỉ đáp ứng, nhưng thường vượt quá, luật bảo mật dữ liệu nghiêm ngặt ở Liên minh Châu Âu. Khách hàng của chúng tôi ở Đức và trên khắp EU có thể tự tin sử dụng các sản phẩm M365 theo cách tuân thủ pháp luật để trao quyền cho họ làm được nhiều việc hơn với chi phí thấp hơn.”
Microsoft cũng cam kết sẽ thử và chia sẻ thêm thông tin về các quy trình của mình (hay còn gọi là tính minh bạch tốt hơn).
Công ty cho biết: “Chúng tôi ghi nhớ nỗ lực thúc đẩy tính minh bạch cao hơn của DSK và mặc dù các thông lệ về tài liệu và tính minh bạch của chúng tôi vượt trội so với hầu hết các công ty khác trong lĩnh vực của chúng tôi, nhưng chúng tôi cam kết sẽ làm tốt hơn nữa”. “Cụ thể, như một phần trong cam kết của chúng tôi về Ranh giới dữ liệu ở Liên minh Châu Âu, chúng tôi sẽ cung cấp tài liệu minh bạch bổ sung về luồng dữ liệu của khách hàng và mục đích xử lý. Chúng tôi cũng sẽ cung cấp tài liệu minh bạch hơn về quá trình xử lý và vị trí của các bộ xử lý phụ và nhân viên của Microsoft bên ngoài EU.”
Không rõ liệu Microsoft có đủ minh bạch hay không bằng cách giải thích chính xác cách thức hoạt động của luồng dữ liệu và lý do — và liệu công ty có sẵn sàng thay đổi chúng hay không.
Vậy điều này có ý nghĩa gì đối với Microsoft và quan trọng hơn là đối với các khách hàng CNTT doanh nghiệp của Microsoft?
Hãy bắt đầu với sự sụp đổ của Microsoft. So với Hoa Kỳ, Châu Âu rất coi trọng việc tuân thủ quyền riêng tư và an ninh mạng. Và có thể lập luận rằng Đức nổi tiếng là tuân thủ nghiêm túc hơn bất kỳ quốc gia nào khác ở EU hoặc Vương quốc Anh.
Về lý thuyết, điều đó có nghĩa là hậu quả nghiêm trọng đối với công ty. Nhưng theo Peter Do đó, một chuyên gia về quyền riêng tư ở Đức thường xuyên làm việc với các cơ quan quản lý, Microsoft sẽ không bị buộc phải thực hiện nhiều thay đổi hơn hoặc trả lời các câu hỏi cụ thể. Phần mềm của nó chỉ đơn giản là được phân phối rộng rãi đến mức nó sẽ không hấp dẫn về mặt chính trị để buộc vấn đề này.
Do đó, các cơ quan tuân thủ của Đức “có thể sống với tình huống Microsoft giả vờ làm mọi thứ đúng và các cơ quan chức năng giả vờ làm mọi thứ trong khả năng của mình để buộc Microsoft phải tuân thủ”. Thế giới máy tính. Microsoft “không đáp ứng các yêu cầu cơ bản nhất của GDPR. Họ thiếu minh bạch cơ bản. Chúng tôi không thể đánh giá những gì họ đang làm vì họ không nói cho chúng tôi biết.”
Đây là nơi chính trị phát huy tác dụng, nơi các lực lượng thực tế có thể tác động đến các hành động tuân thủ của chính phủ. Các cơ quan quản lý của Đức “sợ bị trả thù. (Với suy nghĩ của các nhà quản lý) chúng tôi sẽ không nhận được thêm ngân sách nếu chúng tôi nói rằng bạn không thể sử dụng Office nữa. Hoặc thậm chí là Google Analytics nữa,” Do đó nói. “Đây là những vấn đề chính trị. Không ai muốn trở thành kẻ xấu cả.”
Do đó, Microsoft có thể sẽ bỏ qua vấn đề này – ít nhất là vào lúc này. Nhưng còn các giám đốc điều hành CNTT của doanh nghiệp thì sao? Các công ty sử dụng sản phẩm của Microsoft có miễn nhiễm với các hình phạt tuân thủ không? Không cần thiết. Có vẻ không công bằng nếu để Microsoft thoát khỏi việc này mà phạt tiền và ngược lại trừng phạt khách hàng của mình, nhưng Do đó lập luận rằng điều đó rất có thể xảy ra. Và không chỉ ở Đức.
Do đó cho biết: “Ở Bỉ, Hà Lan, Đức và các nơi khác, đang có những vụ kiện chống lại khách hàng sử dụng các sản phẩm của Microsoft.
Điều này đưa chúng ta đến vấn đề tuân thủ CNTT doanh nghiệp thậm chí còn lớn hơn. Cách đây không lâu, có một câu ngạn ngữ nổi tiếng về CNTT là không ai có thể bị sa thải nếu mua IBM. Điều đó có nghĩa là gắn bó với các nhà cung cấp công nghệ lớn nhất thường bảo vệ các quyết định mua hàng của bạn ở một mức độ lớn.
Về tuân thủ, suy nghĩ tương tự cho thấy rằng khi các công ty sử dụng Microsoft, SAP, Oracle, Google hoặc một trong những công ty lớn khác, bộ phận CNTT có thể đảm nhận những vấn đề cơ bản —các vấn đề tuân thủ và an ninh mạng cơ bản nhất — đã được quan tâm (đặc biệt là khi nói đến một cái gì đó giống như GDPR).
Đó chưa bao giờ là một chiến lược khôn ngoan nhưng nó chắc chắn không phải là một chiến lược ngày nay. Nếu Microsoft vẫn còn lỗ hổng trong các vấn đề tuân thủ yêu cầu tối thiểu, thì chắc chắn rằng những người chơi lớn khác cũng vậy.
Nói thẳng ra, sự tuân thủ của bạn là sự tuân thủ của bạn. Sử dụng các nhà cung cấp tên tuổi lớn sẽ không bảo vệ bạn khỏi những cơn ác mộng về quy định. Các nhà chức trách có thể không đủ can đảm để chống lại những nhà cung cấp đó, nhưng việc lấy ví dụ về một vài doanh nghiệp trong danh sách Fortune 1000 lại là một câu chuyện hoàn toàn khác.
Bản quyền © 2022 IDG Communications, Inc.
[ad_2]
