Новые возможности хранения данных Zoom в ЕС: суверенитет данных
Скромный пересмотр инструментов и поддержки конфиденциальности Zoom позволяет платящим европейским клиентам выбрать хранение «определенных данных» в ЕС.
Но данные учетных записей и диагностические данные по-прежнему будут храниться в США, и даже если европейские клиенты явно отказались от обработки данных о звонках в центрах обработки данных США, они все равно могут проходить через них, сообщает Zoom.
Вариант хранения данных Zoom в Европе теперь доступен для платных пользователей и является одним из набора новых «улучшений конфиденциальности» компании, включая инструмент для запросов на доступ к субъектам данных и отслеживания журналов аудита.
Пресс-релиз на этой неделе был тщательно сформулирован: «Платные клиенты в ЕЭЗ могут выбрать определенные данные для встреч, вебинаров и командного чата, которые будут храниться в ЕЭЗ в дальнейшем. Эти данные будут передаваться командам США только в отдельных случаях и исключительных случаях. обстоятельства», — сказал Зум.
Zoom сообщил The Stack, что местом хранения данных для европейских клиентов, желающих нажать именно эту кнопку, являются центры обработки данных Zoom во Франкфурте, Германия, в которых работают «кластеры», размещенные на AWS.
(Почему Zoom решил сослаться на ЕЭЗ, а не на ЕС, неясно. Мы можем подтвердить, что данные не хранятся в Исландии, Лихтенштейне или Норвегии.)
Администраторы Zoom могут выбрать хранение облачных записей и расшифровок записей среди других наборов данных в определенных местах (например, в Германии), а также специально отказаться от их обработки в других центрах обработки данных.
Независимо от выбора места хранения клиентом, это «не включает данные учетной записи и диагностические данные, которые по-прежнему будут храниться в США».
Данные, выбранные для хранения «ЕЭЗ», «могут [также] проходить через сетевые каналы или сетевое оборудование в отключенных центрах обработки данных, в то время как они передаются [в] включенные центры обработки данных Zoom, используемые для обработки собраний участников в реальном времени и видео вебинара…» — указано в политике конфиденциальности Zoom.
Новые инструменты конфиденциальности Zoom для европейских клиентов появились через несколько недель после того, как комиссар по данным Ирландии наложил знаковый штраф в размере 1,2 миллиарда евро на владельца Facebook, Instagram и WhatsApp Мету за несоблюдение требований GDPR по защите данных; сбой, который предполагает постановление, может в равной степени относиться и к другим провайдерам SaaS, отправляющим данные в США.
(Дараг О Брайен из консалтинговой компании Castlebridge кратко описал этот штраф как «давно объявленную приостановку передачи данных в США в соответствии с SCC» – временными правилами передачи данных из ЕС в США, которые заменили трансатлантическое соглашение «Щит конфиденциальности», само по себе расстрелян Европейским судом 16 июля 2020 года постановлением Шремса II.)
Решение Zoom также связано с тем, что движение за «суверенитет данных» в Европе набирает устойчивую силу. Например, немецкая компания BWI, поставщик ИТ-услуг для вооруженных сил Германии, в декабре 2022 года запустила бета-версию своего BundesMessenger со сквозным шифрованием (E2EE), безопасного децентрализованного мессенджера для федеральных, региональных и местных органов власти Германии, который может быть размещается везде, где выбирает пользователь, и построен на основе протокола Matrix с открытым исходным кодом.
Тем временем Microsoft пообещала создать «границу данных» ЕС, которая будет хранить как данные клиентов, так и данные телеметрии в Европе для Azure, Microsoft 365, Dynamics 365 и Power BI. Джули Брилл, директор по конфиденциальности Microsoft, рассказала агентству: «Первым этапом будут данные о клиентах… мы [затем] будем перемещать данные журналов, сервисные данные и другие виды данных в границы» (к концу 2023 года и до конца 2023 года). 2024 года соответственно.)
Zoom сообщает, что новые функции конфиденциальности были разработаны совместно с голландским кооперативом SURF в области ИТ-образования, с которым компания начала работать в 2021 году в рамках оценки воздействия на защиту данных (DPIA), и отметил, что генеральный директор SURF Джет де Раниц «очень доволен» Увеличить Изменения конфиденциальности в Европе.