加密控制
以架构实现主权,而非依赖证书。
由您托管。由您持有密钥。美国司法管辖的提供商无法被强制交出其未持有的内容。
每家超大规模云商都在营销主权,但没有人能保证您的数据不受美国法院命令约束。Rediacc可以做到。
正在检查所有存储库的密钥托管链...
密钥 ID 保管 HSM 托管 管辖
prod-main-v3 客户 YubiHSM 2 NO 客户-本地
prod-db-v2 客户 YubiHSM 2 NO 客户-本地
staging-main-v1 客户 software NO 客户-本地
backup-archive-v4 客户 YubiHSM 2 NO 客户-本地
输出仅作示例,实际运行可能有更多日志。
0
托管给任何提供商的密钥
100%
客户密钥托管
EU-only
运营商司法管辖
问题所在
您的云提供商可以交出您的数据,而您不会得到任何通知。
美国司法管辖的云提供商在法律上必须遵守CLOUD Act命令,即使数据存储在EU数据中心。合同承诺无法凌驾于美国法规之上。问题不在于您的提供商是否愿意这样做,而在于他们是否在法律上可以这样做。
"不,我无法保证" (Non, je ne peux pas le garantir) Microsoft France公共与法律事务总监在宣誓作证时,就EU Microsoft数据中心中的法国公民数据是否能免受美国当局查阅所作的回答 法国参议院,2025年6月18日 [1]
€12.6B 2026年EU主权云IaaS支出,2027年将增至€23.1B。市场已判定主权不是可选项。 Gartner,2026年2月 [2]
0 US primaries Cloud III: 欧盟委员会€180M主权云招标由四家EU联合体中标。美国总部主承包商数量为零。 欧盟委员会,2026年4月17日 [3]
传统方式
第1天 与美国司法管辖的云提供商签约
第1个月 DPO标记GDPR传输风险,需要TIA
第3个月 法务审查CLOUD Act风险敞口,无法保证
第6个月 监管机构审计,数据驻留已确认,主权未确认
结果 有驻留,无主权。合规差距持续存在。
使用 Rediacc
在您自己的基础设施上托管
持有您自己的密钥
CLOUD Act无法触及您
真实成本
美国司法管辖风险敞口会给您带来多少代价?
拖动滑块以匹配您的环境。查看主权差距的真实成本。
主权风险敞口计算器
美国司法管辖
GDPR传输风险敞口€5,000
数据法2027退出罚款风险€50,000
DORA第12条测试成本€8,000
年度主权风险敞口
€63,000
使用 Rediacc
GDPR传输风险敞口€0
数据法2027退出罚款风险€0
DORA第12条测试成本€800
年度主权风险敞口
€800
传输风险:记录数 x €0.04 x 10%监管审查概率。退出罚款:超大规模云支出的10%作为数据法第25条估算转换成本上限(2027年1月12日零费用截止日期)。DORA测试:小时数 x €200/小时工程师成本。使用Rediacc:自托管消除传输风险,开放格式消除退出罚款,恒定时间分叉将DORA恢复测试缩减至几分钟,与存储库大小无关。
工作原理
三个步骤。一套主权栈。
1
托管
在您自己的硬件、EU IaaS提供商或任意组合上部署。Rediacc OE在爱沙尼亚注册成立,无美国母公司,无美国控制平面,无CLOUD Act暴露面。
2
持有密钥
加密密钥永远不会离开您的掌控。密钥派生在客户端完成。Rediacc永远看不到明文。托管链可通过CLI按密钥审计。
3
证明它
一条命令生成签名的密钥托管报告。符合SecNumCloud 3.2、BSI C5:2026、ANSSI-BSI联合声明及EDPB建议01/2020用例2。
美国超大规模云 CLOUD Act风险敞口
S3 Bucket 美国管控
KMS Key 供应商持有
IAM Policy 美国治理
Audit Log 美国可访问
迁移
开放格式
您的主权栈 EU司法管辖
您的存储 客户自有
您的密钥 客户HSM
您的策略 EU治理
审计链 SHA-256签名
底层技术
为何数据驻留不等于数据主权
美国司法管辖的提供商可以将您的数据存储在法兰克福,仍然可能被美国法院强制要求披露。Rediacc的架构从根本上消除了强制向量:没有密钥可以交出,没有回传通道可以拦截。
无论密文存放在哪里,提供商均受美国司法管辖
运营商在爱沙尼亚注册,无美国母公司,无CLOUD Act强制面
供应商管理KMS:提供商可在法律要求下还原明文
客户端密钥派生:供应商从不持有密钥,强制在技术上毫无意义
跨境数据请求由供应商记录,客户不可见
SHA-256签名审计链:每次密钥访问和请求均被记录,客户可读
专有备份格式:退出需要供应商工具迁移
开放格式(btrfs send, tar):退出即得到可用副本,符合数据法
DORA恢复测试随数据量扩展,大型存储库需要数天
通过btrfs reflink实现恒定时间分叉:100 GB和100 TB在相同秒数内完成分叉
重要意义
您将获得什么
架构层面的CLOUD Act豁免
无美国司法管辖母公司。无供应商密钥托管。架构本身就是防御。Carniaux参议院证词(2025年6月18日)终结了合同可以替代司法管辖豁免的任何残余争议。
EU数据法2027就绪
架构上开放的数据格式,零切换费用。每次备份都是可移植的可用副本。在2027年1月12日零切换费用截止日期前完全符合数据法第23-31条。
与SecNumCloud及C5:2026对齐
四大支柱体系与2025年11月17日ANSSI-BSI联合声明一致:严格数据本地化、仅适用欧洲法律、无法外访问、无非EU依赖的业务连续性。
差距对比
主权对比
大多数供应商提供数据驻留。没有人能提供Rediacc通过架构实现的内容:客户密钥托管、纯EU运营商和CLOUD Act豁免。
| 能力 | Veeam | Rubrik | AWS Sovereign | Microsoft Bleu | Keepit | Rediacc |
|---|---|---|---|---|---|---|
| CLOUD Act豁免(无美国司法管辖母公司) | ✗[4] | ✗[4] | ✗[4] | ✓ | ✓ | ✓ |
| 客户持有密钥(技术不可读性) | ✗ | ✗[5] | ✗[5] | ✗ | ✗ | ✓ |
| 纯EU运营商(无美国母公司) | ✗[4] | ✗[4] | ✗[4] | ✓ | ✓[6] | ✓ |
| SecNumCloud / C5:2026认证路径 | ✗ | ✗ | ✗[7] | ✗ | ✗ | ✓ |
| 开放退出格式(数据法第30条) | ✗[8] | ✗[8] | ✗[8] | ✗ | ✗[8] | ✓ |
| 在客户基础设施上自托管 | ✓[9] | ✗ | ✗ | ✗ | ✗ | ✓ |
| 默认EU数据驻留 | ✗ | ✗ | ✓[10] | ✓ | ✓[13] | ✓ |
自托管任何工作负载,持有每一把密钥
GitLabNextcloudMariaDBMailcowGrafanaKeycloakVaultwardenMinIO
数据库、邮件服务器、CI/CD、ERP、CMS和AI模型存储:每个工作负载都是主权的,每把密钥都是您的。
探索其他解决方案
Encryption Control
您掌控的加密
您的密钥,您的加密,没有例外。
→ Encryption Control审计追踪
每项操作都有记录,无任何隐藏。
→ Encryption Control迁移安全
迁移不冒数据风险
→ Ransomware Survival不可变备份
勒索软件无法触及的备份
→ Multi Cloud云故障保护
AWS 宕机时,您不受影响
→ Verified Backups摆脱供应商锁定
从任何供应商退出。保留您的数据。
→ Verified Backups留存合规
自动满足每项留存要求
→ Development Environments环境克隆
60 秒克隆生产环境
→来源与参考文献
- Microsoft France公共与法律事务总监Anton Carniaux,法国参议院关于公共采购和数字主权的调查,2025年6月18日:「不,我无法保证这一点,但同样,这从来没有发生过。」The Register于2025年7月25日报道。 www.theregister.com
- Gartner,2026年2月:欧洲主权云IaaS支出预测,2026年为$12.6B,2027年为$23.1B,超越北美。 www.gartner.com
- 欧盟委员会,「Commission Advances Cloud Sovereignty Through Strategic Procurement」,2026年4月17日。Cloud III €180M招标由Post Telecom + OVHcloud + CleverCloud、STACKIT、Scaleway以及Proximus + S3NS + Clarence + Mistral AI中标。美国总部主承包商数量为零。 commission.europa.eu
- CLOUD Act(Clarifying Lawful Overseas Use of Data Act),18 U.S.C. 2713,2018年。授权美国当局强制美国司法管辖的提供商披露存储在世界任何地方的客户数据。 www.justice.gov
- EDPB建议01/2020,关于补充转移工具以确保符合EU个人数据保护水平的措施,第2.0版,2021年6月。用例2:作为补充措施的加密要求客户独占密钥托管及进口方的技术不可读性。 www.edpb.europa.eu
- Keepit A/S,哥本哈根。面向Microsoft 365、Salesforce和Google Workspace的纯SaaS备份。EU注册,无美国母公司。不备份自托管或本地工作负载。 keepit.com
- ANSSI SecNumCloud 3.2资质要求。提供商必须以EU为多数股东、EU总部所在地,且不受域外法律约束。非EU股东个人上限25%,集体上限39%。AWS Sovereign Cloud和Microsoft Bleu不符合资质。 www.ssi.gouv.fr
- EU数据法(Regulation (EU) 2023/2854),第23-31条。自2025年9月12日生效。自2027年1月12日起全面禁止切换费用。提供商必须确保切换后的功能等效性。 eur-lex.europa.eu
- Veeam Backup and Replication支持本地自托管部署。Veeam不直接持有主权认证,EU主权叙事依赖合作伙伴IaaS(尤其是OVHcloud)。 helpcenter.veeam.com
- AWS European Sovereign Cloud,2026年1月15日正式发布。在四个德国GmbH下运营。美国总部母公司(Amazon.com Inc.)仍受CLOUD Act约束。 aws.amazon.com
- ANSSI-BSI云主权标准联合声明,2025年11月17日。四项失格标准:严格的数据和支持本地化、仅适用欧洲法律、无法外第三方未经授权的访问,以及无需非EU技术维持业务连续性的能力。 www.bsi.bund.de
- 欧洲监管当局,「DORA下关键ICT第三方提供商的指定」,2025年11月18日。首批指定的19家CTPP包括AWS、Microsoft Azure、Google Cloud、IBM、Oracle、SAP、Salesforce。 www.eiopa.europa.eu
- Keepit 数据驻留政策:客户数据仅存储在欧盟数据中心(法兰克福、阿姆斯特丹、哥本哈根)。仅 SaaS 模式,运营商和存储均位于欧盟。 www.keepit.com
计算器估算使用行业标准成本模型,实际风险敞口因司法管辖区、合同结构和违规场景而异。