Video: Kako varni so moji podatki v oblaku? (November 2024)
Ko sprejetje oblaka postane vseprisotno, je za podjetja pomembneje kot kdaj koli prej razumeti predpise in civilne obveznosti, povezane s shranjevanjem podatkov in aplikacij v oblaku. Več kot 93 odstotkov podjetij uporablja oblak na nek način, kažejo rezultati ankete podjetja Right Scale, podjetja za upravljanje oblakov. Toda podjetja, ki hranijo podatke o javnem in hibridnem oblaku, so še posebej dovzetna za predpise in kazni, če pride do kršitve podatkov ali če pride do znatnega izpada oblaka.
Večina podjetij, zlasti majhnih za srednje velika podjetja (SMB), podpiše standardne sporazume o ravni storitev (SLA) z dobavitelji v oblaku. Ti SLA-ji ponavadi koristijo prodajalcu bolj kot kupcu in posledično omejijo plačilo prodajalcev oblakov za škodo, ki jih plačujejo, če in ko pride do katastrofe.
Da bi lažje razumeli, kaj morate vedeti, da boste bolje pripravljeni na pravne posledice selitve v oblak in da boste lažje ugotovili, ali ste zaščiteni v primeru kršitve vašega javnega ali hibridnega oblaka, smo sestavili ta seznam stvari, ki jih je treba upoštevati.
1. Kdo je odgovoren za informacije o strankah po kršitvah podatkov?
Recimo, da shranjujete vse podatke o strankah v oblaku tretjih oseb. Če heker lahko zlomi ta oblak, ukrade vaše podatke in jih uporabi za škodo strankam, bo nekdo prenehal plačevati civilne kazni. Glede na besedilo SLA bo vaš prodajalec v oblaku verjetno škodo omejil na "dejansko škodo" v nasprotju s "posledično škodo", za katero je verjetno odgovorno vaše podjetje.
"Običajno prodajalec svoje soglasje napiše tako, da je njihova odgovornost za navadno malomarnost dokaj minimalna, običajno omejena na" dejansko škodo "in pogosto omejena na kateri koli znesek, ki ga je stranka plačala prodajalcu v predhodnih šestih ali 12 mesecih, "je dejal Steven Ayr, poslovni svetovalec v Fort Point Legal, podjetju, ki je specializirano za zastopanje podjetnikov in malih podjetij. "Dejanske škode se imenujejo denar, ki ga je stranka plačala za storitev, ki ni bila opravljena. Z omejevanjem škode na" dejansko škodo "sporazumi odpravljajo možnost, da bi bil prodajalec odgovoren za" posledično škodo "in druge razrede odškodnine, kot so kazenske odškodnine. "
Ayr posledično škodo opisuje kot finančne izgube, ki so v koraku odstranjene zaradi kršitve ali zastoja v oblaku. Na primer, če bi morala vaša stranka doseči velik prodajni potencial prek vaše spletne platforme za sodelovanje, vendar ni mogel, ker se je oblak spustil, bi bili odgovorni za posledične škode zaradi tega izpada.
Enako velja za kršitve podatkov ali čiste nesreče. Večina SLA omeji škodo, ki jo morajo plačati prodajalci oblakov, če elitni hekerji prebijejo najsodobnejše sisteme ali če tretja stranka prekine povezavo z vlakni zunaj podatkovnega centra. Samo če lahko vaš odvetnik izkaže "hudo malomarnost", bo prodajalec odgovoren predvsem za finančne obveznosti katastrofe v oblaku. Groba malomarnost se običajno nanaša na slabo varnost ali namerno zlobna dejanja, ki jih je izvedel prodajalec.
2. Kdo je odgovoren za pošiljanje podatkov vladnim agencijam?
Čeprav morda sodelujete z najbolj varnim prodajalcem oblakov na svetu, to še ne pomeni, da do vaših podatkov ne morete dostopati brez vašega soglasja in brez kakršnega koli pravnega varstva. Ker svoje podatke izročite prodajalcu oblakov, prodajalcu v bistvu dajete dovoljenje za soglasje k vladnim nalogom. Večina SLA-jev to navaja zelo jasno, in malo verjetno je, da bodo veliki prodajalci oblakov, kot sta Amazon Web Services (AWS) ali Microsoft Azure, pripravljeni spremeniti svoj standardni SLA za podjetje, ki ni račun belih kitov.
Če imate skrajne zadržke glede vdorov v državo, je verjetno bolje, da zgradite svoj zasebni oblak ali shranite podatke lokalno. V teh okoliščinah se boste lahko spopadli z nalogom in zaščitili podatke svojih strank. Če pa se odločite za javni ali hibridni oblak, raje upajte, da bo prodajalec delil vašo nestrpnost do Big Brotherja.
3. Kakšni so posebni predpisi glede oblaka glede na zemljepis?
Dovolj težko je spremljati svoje pravice glede upravljanja podatkov s podatki v ZDA. Na žalost se globalni predpisi razlikujejo za vsako posamezno državo in v nekaterih primerih znotraj posameznih pristojnosti v posamezni državi. Če ste večnacionalno podjetje z ponudniki storitev v oblaku različnih zemljepisov, vas čaka velik glavobol, ki poskuša razumeti in upravljati s tem povezane predpise in obveznosti.
Po Airjevem mnenju je ključnega pomena, da podjetja, ki shranjujejo podatke na svetovni ravni, sodelujejo z odvetniki pri določanju vrst podatkov, ki jih hranijo, zemljepisov, v katerih hranijo podatke, in kakšne posebne zakone imajo v teh jurisdikcijah.
"To pa je lahko počasno, drago delo, " je rekel Ayr, "ker boste plačali nekomu, ki bo porabil čas za raziskovanje zakonov več jurisdikcij, s katerimi niso znani, najemite odvetnika v vsaki jurisdikciji, ki že pozna te zakone ali najame zelo dragega strokovnjaka za zadeve, ki že pozna vse in za vsako zakonodajo."
Na žalost je najlažji in stroškovno najučinkovitejši način, da zagotovite skladnost znotraj vsake pristojnosti, to, da prevzamete odgovornost pri svojem ponudniku storitev. Ker so svetovni ponudniki storitev že razširili svoje podjetje in naredili delo, da bi določili, kako naj bodo podatki obdelani po vsem svetu, je večja verjetnost, da bodo imeli informacije in najboljše prakse.
"Navsezadnje je veliko ceneje najeti odvetnika, ki bo pregledal ponudnikove pogoje glede skladnosti, kot pa najeti odvetnika, da ustvari pogoje, ki so skladni, in se nato z njimi dogovoriti s ponudnikom, " je dejal Ayr. To pa tudi pomeni, da se zanašate na SLA in že smo raziskali pomembne načine, kako lahko SLA deluje v korist prodajalca.
4. Zakaj bi se morali počutiti udobnega shranjevanja podatkov v oblaku?
V ZDA je večina podjetij zaščitena z zakoni o varnosti podatkov, ki urejajo ravnanje z osebno prepoznavnimi informacijami (PII). Ti zakoni od prodajalcev zahtevajo, da pripravijo pisne pravilnike, v katerih bodo opisani svoje strategije varstva podatkov, in jih prisilijo, da sprejmejo vsaj nekaj odgovornosti za kršitve in izpade. V primeru kršitve teh zakonov obvezno poroča tudi generalnemu pravobranilcu. V Massachusettsu se na primer ta zakon imenuje 201 CMR 17.00. V Kaliforniji se zakon imenuje SB 1386. Do danes ima 47 ameriških zveznih držav podobne zakone o knjigah.
Če zakoni niso dovolj, da bi vas olajšali (in ne bi smeli biti), obstajajo prodajalci v oblaku, ki se tržijo kot prvaki zasebnosti in varnosti. Podjetja, kot je ponudnik storitev za reševanje po nesrečah (DR) Spider Oak, so znani kot storitve v oblaku z ničelnim znanjem; pred prenosom podatkov v oblak šifrirajo podatke na napravah svojih strank. Ničelno znanje pomeni Spider Oak in njegovi konkurenti nikoli ne obdelujejo dešifriranih podatkov. Ta praksa jim pomaga, da omejijo potencialno tveganje in se nikoli ne postavijo v položaj, ko so prisiljeni izročiti podatke vladnim organom.
"Obstaja veliko število tveganj, ki jih organizacije pogosto prezrejo pri selitvi sistemov in storitev v oblak, " je dejal Mike McCamon, predsednik in CMO v Spider Oak. "Najpomembnejše štiri bi povzeli po varnosti, zasebnosti, kontinuiteti in nadzoru."
"Nikoli nimamo gesla ali različice njihovih dešifriranih podatkov, " je dodal McCamon. "Tudi lastni sistemski skrbniki ne morejo vedeti več o stranki kot o količini podatkov, ki so shranjeni v našem sistemu. Edini podatki, ki jih zbiramo o uporabnikih, so e-poštni naslov in podatki za obračun, če ti potrebujejo načrt storitev."
Ayr trdi, da ne glede na to, ali podjetja sodelujejo z velikimi prodajalci, kot sta Amazon in Microsoft, ali z majhnimi prodajalci z ničelnim znanjem, kot je Spider Oak, bodo še naprej uporabljali oblak.
"Pri svojem delu s start-up podjetji na splošno ne vidim podjetij, ki so zaradi uporabe oblaka posebej nervozna, " je dejal Ayr. "Če kaj drugega, nova podjetja na boljše ali slabše vidijo oblak prav tako varno in neopazno, kot dajanje dokumentov v vložnico."
