很少有人对审计或监管要求感到兴奋。然而,鉴于近年来监管和合规环境的快速变化,我们有理由对数据中心审计感到兴奋。数据中心需要满足的审计规则在某些方面正在发生变化,利益相关者如果想继续遵守其需要满足的各种监管和行业审计标准,就必须跟踪并响应这些变化。
数据中心审计概述
数据中心审计程序分为两大类:
- 数据中心运营商自愿执行的审计,以帮助优化成本、性能、安全性和其他优先事项。
- 法规或行业标准要求的审计。
第一类审计是主观的,并且在不同的数据中心之间差异很大。鉴于此,很难确定任何涉及自愿审计的中心趋势。
第二种类型的数据中心审计——法规正式要求的审计,近年来发生了很大变化。
也许最显著的转变是用SSAE 18(该标准的更新版本)取代了SAS 70和SSAE 16,这两种审核标准在SOC 2合规性方面发挥着关键作用。这一变化并没有从根本上改变需要实现SOC合规性的数据中心的报告要求,但其确实更新了一些报告细节。
目前正在进行的另一项重大合规性变更是推出PCI DSS 4.0,该版本于2022年3月生效。PCI DSS是支付处理行业维护的一套合规标准。这些规则并不是专门为数据中心设计的——事实上,数据中心并不是PCI DSS的明确关注点,而是针对希望托管以某种方式处理支付的工作负载的数据中心的考虑因素。
因此,数据中心运营商可能需要更新其审计策略,以反映PCI DSS 4引入的新规则,该规则除其他增强功能外,还对安全和身份验证提出了更严格的要求。如果数据中心想要实现PCI DSS合规性,这些需求可能会影响数据中心需要实施的物理和虚拟安全保护。
除了审核之外:其他数据中心合规性变更
除了PCI DSS之外,一些数据中心可能还需要满足许多其他合规性法规和标准,特别是当其迎合某些行业或在某些地区运营时。
例如,托管医疗保健相关工作负载的数据中心可能需要遵守HIPAA(美国主要的医疗保健数据隐私保护法规)。GDPR、CPRA和CCPA数据隐私法规也会影响位于特定司法管辖区的数据中心,或者在某些情况下仅为位于特定司法管辖区的用户提供服务。
这些合规性框架近年来没有出现重大更新,因此数据中心已经采用的审计策略可以帮助遵守HIPAA、GDPR、CCPA和类似的法规,在可预见的未来,这些策略应该会继续发挥作用。
然而,至少在2023年,HIPAA可能会发生一些变化,因此数据中心运营商应密切监控合规情况,以确保其始终遵守法规所施加的任何审计或其他要求。
总结
数据中心必须注意的审计需求尚未完全颠覆,但正在发生显著变化。如果没有注意到这一点,并且数据中心审计策略还停留在2010年代,那么现在是时候弄清楚如何满足新的和正在出现的审计需求了。
