پاسخ APIها به حاکمیت داده (APIs Respond to Data Sovereignty)
قوانین بیشماری برای حریم خصوصی و نحوه مدیریت داده که وابسته به کشورها هستند، طی سالهای اخیر در دنیای فناوری پدیدار شدهاند. GDPR، CCPA و دیگر قوانین، پایبندی سختگیرانهای را طلب میکنند و این موضوع عملیات سرویسهای نرمافزاری مانند APIها را که دادهها را در مرزهای بینالمللی نگهداری و پردازش میکنند پیچیدهتر کرده است. در واکنش به این وضعیت، حاکمیت داده بیش از هر زمان دیگری اهمیت یافته است.
برای اطمینان از رعایت الزامات حاکمیت داده توسط APIها، سازمانها باید اقدامات امنیتی قدرتمند، مکانهای واضح ذخیرهسازی و پردازش داده، و رعایت قوانین محلی را اجرا کنند، در حالی که سیاستها و رویههای داخلی شفاف را نیز حفظ میکنند.
در ادامه، توضیحی تفصیلیتر درباره حاکمیت داده و اینکه چگونه بهطور ویژه بر APIها تأثیر میگذارد ارائه میدهیم. همچنین چند استراتژی را بررسی میکنیم که سازمانها میتوانند برای همراستا ماندن با قوانین و رقابت در این فضای مقرراتی پیچیده اتخاذ کنند.
درک قوانین حاکمیت داده
پیش از آنکه هر ارائهدهندهای بفهمد چگونه باید به قوانین حاکمیت داده پاسخ دهد، باید ابتدا درک کند که این قوانین چه معنایی دارند و چگونه بر APIهای آنها تأثیر میگذارند.
قوانین بسته به مکانی که API در آن قرار دارد و قوانینی که کاربران تحت آنها قرار دارند بهشدت متفاوت هستند. بنابراین این امر نیازمند بررسی دقیق و انجام وظایف لازم است. نخست، ارائهدهندگان API باید بررسی کنند چه قوانینی خدمات آنها را در محل فعالیتشان پوشش میدهد. اگرچه حاکمیت داده الزاماً محدود به قوانینی که ارائهدهنده API مشمول آن است نیست، اما این موضوع پایه محکمی برای درک فراهم میکند. مناطقی مانند کالیفرنیا شیوههای بسیار متفاوتی درخصوص حریم خصوصی و جمعآوری داده نسبت به ژاپن دارند. بسیاری اوقات یک کسبوکار فعال در یک مکان ممکن است تحت پوشش قوانین همان منطقه قرار گیرد حتی اگر سرورهای اصلی آن در همان مکان نباشد.
سپس، ارائهدهندگان باید یک ممیزی انجام دهند تا بفهمند کاربران آنها عمدتاً در کجا قرار دارند. مفهوم اقامت داده اینکه داده بر اساس مکانی که تولید شده و مکانی که ذخیره میشود مشمول قوانین است نقش بسیار مهمی در نحوه مدیریت این داده و حمایتهای قانونی از آن ایفا میکند.
در نهایت، ارائهدهندگان باید مسیرهای انتقال را ممیزی کنند. دادهای که در یک کشور تولید شده اما به کشور دیگری منتقل میشود ممکن است مشمول هر دو مجموعه قوانین باشد. هنگامی که داده از یک کشور واسط عبور میکند، ممکن است حتی مشمول قوانین کشور سوم نیز بشود.
این فرآیند باید به ارائهدهندگان API کمک کند تا حوزه قضایی داده، حمایتها و مقررات احتمالی را درک کنند. وقتی تصویر کاملی از اینکه داده از کجا منشأ میگیرد، از کجا عبور میکند و در نهایت کجا ذخیره میشود داشته باشید، دید بهتری از قوانین احتمالی خواهید داشت. با این آگاهی، باید قوانین مرتبط اصلی مانند GDPR، CCPA، PCI-DSS و قوانین منطقهای و صنعتی دیگر را بررسی کرده و تعیین کنید آیا داده شما تحت قلمرو آنها قرار میگیرد یا خیر.
نتیجه: درک کنید چه قوانینی ممکن است داده و کاربران شما را پوشش دهد. قوانین وجود دارند، چه شما آنها را بشناسید چه نه.
بررسی جمعآوری لازم داده
یکی از اقدامات اصلاحی مهم در این روند، بررسی این موضوع است که چه دادههایی اساساً نیاز به جمعآوری دارند. در بسیاری موارد، ارائهدهندگان API داده زیادی جمعآوری میکنند که ممکن است استفاده فوری نداشته باشد. در اوایل اینترنت، این موضوع مسئله مهمی نبود، زیرا جمعآوری داده بیشتر تنها هزینه ذخیرهسازی اندکی داشت. اما امروز، این کار دادهها را در معرض خطر، شکایت، مقررات و جریمههای مالی قرار میدهد.
بر این اساس، ارائهدهندگان باید جمعآوری داده خود را بررسی کنند تا ببینند آیا چیزی هست که بتوان حذف کرد و آیا این کار تأثیری بر روندهای داده و مقررات دارد یا خیر.
برای مثال، ارائهدهندگان API ممکن است طیف گستردهای از دادهها را جمعآوری کنند که در ترکیب با یکدیگر، بهعنوان اطلاعات شخصی قابلشناسایی یا PII طبقهبندی میشوند. این دادهها تحت کنترل و مقررات GDPR هستند. بهعنوان یک اقدام اصلاحی، ارائهدهندگان API ممکن است با انتخاب عدم جمعآوری این دادهها که هیچ فایدهای ندارند و تنها بار مقرراتی ایجاد میکنند میزان مواجهه احتمالی خود را کاهش دهند.
نتیجه: مشکلات بالقوه را با جمعآوری فقط دادههای لازم کاهش دهید.
استقرار امنیت کافی و کنترلهای دسترسی
پس از تعیین ارزش و هدف داده، گام بعدی برای ارائهدهندگان API استقرار و ممیزی کنترلهای امنیتی و دسترسی کافی است. اکثر چارچوبهای قانونی در موضوع امنیت و کنترل دسترسی بسیار صریح عمل میکنند. بنابراین بهترین رویکرد این است که ارائهدهندگان API سیستمی را پیادهسازی کنند که بیشترین حد امنیت را داشته باشد و در عین حال انتظارات چارچوب قانونی را نیز برآورده سازد.
برای نمونه، تحت GDPR، موارد زیر یک الزام stated در فرآیند پردازش داده است:
این موارد به این معناست که داده باید از طریق اقدامات فنی بهطور کافی محافظت شود، شامل ناشناسسازی داده، رمزنگاری در حالت سکون و هنگام انتقال، و کنترلهای دسترسی قوی برای حفظ محرمانگی و نگهداشت داده. اگرچه GDPR مشخصات دقیق از «کار درست» ارائه نمیدهد، بسیاری از بخشها تلاش با حسن نیت را برای ایجاد چنین سیستمهایی الزامی میدانند. یعنی باید از امنترین سیستم ممکن استفاده کنید، نه اینکه حداقل کار لازم را انجام دهید.
این موضوع ممکن است برای ارائهدهندگان آمریکایی گیجکننده باشد، چرا GDPR باید بر فعالیت آنها اثر بگذارد؟ APIهای ایالات متحده در بسیاری موارد تحت GDPR قرار میگیرند، مانند زمانی که کاربر یک شهروند اتحادیه اروپا باشد و داده او جمعآوری یا پردازش شده باشد. وقتی یک شهروند فرانسوی از یک فروشگاه آمریکایی خرید میکند، معمولاً تحت GDPR قرار دارد، حتی اگر داده او در آمریکا ذخیره شود.
بنابراین بسیاری از شرکتهای آمریکایی برای حفظ دسترسی به بازار جهانی تلاش کردهاند تا مطمئن شوند مطابق GDPR عمل میکنند. برای APIها، این به معنی پیادهسازی راهحلهایی مناسب برای حوزه قضایی محلی و احتمالی بینالمللی است، حتی اگر جزئیات اجرای قوانین مدام در دادگاهها بررسی و تفسیر شوند.
بهعنوان بخشی از بسیاری مقررات، سازمانها باید سیستمهای خود را ممیزی و از نگهداشت امنیت مطمئن شوند. به همین دلیل، ارائهدهندگان API از ادغام ابزارهای لاگینگ، مانیتورینگ و observability سود زیادی خواهند برد تا مطمئن شوند کنترلهای امنیتی و دسترسی صحیح برقرار هستند.
نتیجه: امنیت پیشرفته، کنترل دسترسی و رمزنگاری در حالت سکون و انتقال را پیادهسازی کنید.
اجرای اقامتگاه سختگیرانه داده
راهحل دیگر، ایجاد و حفظ اقامتگاه داده سختگیرانه است. اقامت داده به سادگی به این معناست که داده تحت کنترلهای مکانی که داده در آن تولید و ذخیره میشود قرار دارد. این موضوع میتواند چند شکل مختلف داشته باشد.
سادهترین حالت، هممحل کردن داده با منبع تولید آن است. اگر داده درباره یک شهروند اتحادیه اروپا در داخل همان منطقه و هنگام خرید از یک فروشگاه آمریکایی تولید شده باشد، بسیار آسانتر است که یک سرور مجازی در منطقه EU راهاندازی کنید که مطابق GDPR باشد. با نگهداشت داده در همانجا که تولید شده و روی سیستمی مطابق با مقررات، مسائل مربوط به حوزه قضایی یا پیچیدگیهای انتقال داده را کاهش میدهید.
در مورد انتقال داده، میتوانید سیستمی ایجاد کنید که این مراکز داده هممحل همچنان داده قابلاستفاده و قابلانتقال تولید کنند. با استفاده از سیستمهای ناشناسسازی مانند k-anonymity میتوانید مجموعه داده را به اندازه کافی ناشناس کنید تا قابل انتقال و استفاده در مناطق دیگر با مقررات کمتر سختگیرانه شود. این کار به شما امکان میدهد همچنان با GDPR یا CPPA سازگار باشید و در عین حال قابلیت جابجایی داده را حفظ کنید.
در تمام موارد، ارائهدهندگان باید اطمینان حاصل کنند که وظایف لازم را در مستندسازی و تلاشهای انطباق انجام دادهاند. ثبت کنید چه دادهای جمعآوری میشود، چرا، کجا ذخیره میشود، و چگونه پردازش میشود. سپس این اطلاعات را مرور کنید تا مطمئن شوید با الزامات حاکمیت داده در منطقه مربوطه همراستا است. یک گام فراتر از این، تنها همکاری با فروشندگانی است که خودشان مطابق مقررات هستند، که این کار با استفاده از ارائهدهندگان محلی در مناطق دارای قوانین سختگیرانه بسیار آسانتر میشود.
نتیجه: اقامتگاه داده و محل ذخیرهسازی را مطابق بهترین شیوهها رعایت کنید.
ایجاد فرهنگ داخلی حاکمیت داده
ارائهدهندگان باید تلاش کنند فرهنگ داخلی حاکمیت داده ایجاد کنند. درست مانند فرهنگ امنیت داخلی که میتواند موجب ایجاد یک سرویس امنتر شود، ایجاد فرهنگی که حاکمیت داده را درک کند و به آن احترام بگذارد راهی طولانی برای اطمینان از مدیریت صحیح داده فراهم میکند.
در وهله اول، یک سیاست جامع حفاظت از داده تدوین و اجرا کنید که نحوه مدیریت داده توسط سازمان را مشخص کند. این سیاست باید شامل تمام موارد مربوط به حاکمیت داده و مفاهیم مرتبط مانند مدیریت رضایت (سازوکارهای اخذ رضایت و ارائه اطلاعات واضح درباره نحوه استفاده از داده افراد) و فرآیندهای حذف داده باشد.
در این مرحله، ممکن است مفید باشد ارائهدهندگان نقشهبرداری کامل داده انجام دهند. با نقشهبرداری جریان داده از ورود تا ذخیرهسازی، میتوانید مطمئن شوید که مقررات حاکمیت داده رعایت شده و همزمان نقاط ضعف یا بردارهای حمله احتمالی را شناسایی کنید.
نتیجه: فرهنگ داخلی حاکمیت داده به اندازه فرهنگ امنیت مهم است.
بازنگری راهحلهای فنی
در نهایت، ارائهدهندگان باید راهحلهای فنی خود را بررسی کنند و از انطباق آنها مطمئن شوند. اگر مطابق نبودند، میتوان با تغییرات کوچک مشکل را در مقیاس رفع کرد.
برای مثال، تصور کنید یک ارائهدهنده سرویسی دارد که هنگام ثبتنام، مقدار زیادی داده کاربر جمعآوری میکند. این داده پس از ثبتنام جمعآوری میشود، اما در این مرحله برای اجرای GDPR دیر است، زیرا داده در یک منبع جغرافیایی ایالات متحده جمعآوری و ذخیره شده است.
سادهترین راهحل پیادهسازی یک API Gateway برای فیلتر ترافیک بر اساس IP است. اگر سرویس کاربر (appUsers) تمام دادهها را جمعآوری میکند، میتوان عملکرد آن را تغییر داد و ذخیرهسازی داده را از رکورد حساب کاربری جدا کرد. وقتی کاربر وارد سیستم میشود، از طریق یک API Gateway عبور میکند که IP را بررسی کرده، از کاربر میخواهد موقعیت جغرافیایی خود را اعلام کند، و سپس درخواست را به یک میکروسرویس در EU هدایت میکند تا دادهها را جمعآوری کند. برای کاربران غیر-EU، این داده ممکن است بدون نیاز به میکروسرویس اضافی جمعآوری شود.
در برخی موارد حتی میتوان چنین درگاهی را بهعنوان درگاه رضایت پیادهسازی کرد، نه محدودیت جغرافیایی. به جای regionGate میتوانید یک میکروسرویس ایجاد کنید که از یک flag برای رد درخواستهای داده از سایر سرویسهای داخلی که ممکن است این دادهها را برخلاف GDPR ذخیره کنند استفاده کند.
در این حالت، ذخیرهسازی داده شما مطابق GDPR خواهد بود زیرا سرویس خاص EU یعنی euAPP از داده regionCheck استفاده میکند تا اطمینان دهد هیچ دادهای نامناسب ذخیره یا بازیابی نمیشود. در اصل، سرویس regionCheck بهعنوان واسطه عمل کرده و عملکردهای داخلی API را تحت نظر میگیرد تا انطباق حفظ شود.
نتیجه: راهحلهای فنی را پیش از راهحلهای نرم پیچیده بررسی کنید.
نتیجهگیری
راههای بسیاری برای پیادهسازی این سیستمها وجود دارد، اما یک واقعیت پابرجاست: حاکمیت داده از بین نمیرود و ناآگاهی از قوانین مانع اعمال آنها نخواهد شد. اینترنت دیگر غرب وحشی سابق نیست. با ملیگراتر شدن مناطق و محافظهکارتر شدن شبکهها، این واقعیت بیشتر و بیشتر پررنگ میشود.
پیش گرفتن این مسائل یک گام مهم برای اطمینان از این است که شما و APIهای شما میتوانید با قوانین فعلی و آینده هماهنگ بمانید.
