Koti liiketoiminta Pilvimääräykset: mitä sinun on tiedettävä ollaksesi turvassa

Pilvimääräykset: mitä sinun on tiedettävä ollaksesi turvassa

Video: 30 difficult Italian words to pronounce (practical tips) (Subs) (Marraskuu 2024)

Video: 30 difficult Italian words to pronounce (practical tips) (Subs) (Marraskuu 2024)
Anonim

Kun pilvien käyttöönotto tulee kaikkialle kuuluvaksi, yrityksille on tärkeämpää kuin koskaan ymmärtää tietojen ja sovellusten tallentamiseen pilveen liittyviä säännöksiä ja siviilioikeudellisia vastuita. Yli 93 prosenttia yrityksistä käyttää pilviä tietyllä tavalla, pilvihallintoyrityksen Right Scale -tutkimuksen mukaan. Mutta ne yritykset, jotka tallentavat tietoja julkisiin ja hybridipilviin, ovat erityisen alttiita sääntelylle ja rangaistuksille, jos tapahtuu tietosuojarikkomus tai jos pilvien seisokkeja on huomattavasti.

Useimmat yritykset, etenkin keskisuuret yritykset, allekirjoittavat standardit palvelutasosopimukset (SLA) pilvimyyjien kanssa. Nämä SLA-sopimukset hyötyvät yleensä myyjältä enemmän kuin asiakas ja sen seurauksena rajoittavat pilvimyyjien maksamia vahinkoja katastrofin yhteydessä.

Olemme laatineet tämän luettelon auttaaksemme sinua ymmärtämään, mitä sinun täytyy tietää, jotta pystyt paremmin varautumaan pilveen siirtymisen laillisiin seurauksiin ja jotta pystyt selvittämään, oletko suojattu, jos julkista tai hybridipilviäsi rikotaan. asioita, jotka on harkittava.

1. Kuka on vastuussa asiakastiedoista tietorikkomusten jälkeen?

Oletetaan, että tallennat kaikki asiakastietosi kolmannen osapuolen pilveen. Jos hakkeri pystyy rikkomaan kyseisen pilven, varastamaan tietosi ja käyttämään sitä vahingoittamaan asiakkaitasi, joku aikoo lopettaa siviilioikeuksien maksamisen. SLA: n sanamuodosta riippuen pilvimyyjäsi todennäköisesti rajoittaa vahingonsa "todellisiin vahinkoihin" toisin kuin "välillisiin vahinkoihin", joista yrityksesi todennäköisesti vastaa.

"Yleensä myyjä kirjoittaa sopimuksensa siten, että hänen vastuunsa tavallisesta huolimattomuudesta on melko vähäinen, rajoittuen yleensä" tosiasiallisiin vahinkoihin "ja rajoitettu usein siihen määrään, jonka asiakas on maksanut myyjälle viimeisen kuuden tai 12 kuukauden aikana. ", kertoi yrittäjien ja pienyritysten edustamiseen erikoistuneen Fort Point Legal -yrityksen neuvonantaja Steven Ayr. "Todellisiksi vahingoiksi viitataan rahana, jonka asiakas maksoi palvelusta, jota ei tarjottu. Rajoittamalla vahingot 'todellisiin vahingoihin', sopimukset poistavat sen mahdollisuuden, että myyjä voi olla vastuussa 'välillisistä vahingoista' ja muista luokista vahingoista kuten rangaistuksista. "

Ayr kuvaa seurauksena olevia vaurioita taloudellisiksi tappioiksi, jotka on poistettu yhden askeleen rikkomuksesta tai pilvien seisokkeista. Esimerkiksi, jos asiakkaasi piti antaa suuri myyntipiste online-yhteistyöalustasi kautta, mutta hän ei pystynyt, koska pilvi oli alhaalla, sinä olet vastuussa tämän seisokin aiheuttamista vahingoista.

Sama pätee tietojen rikkomuksiin tai puhtaisiin onnettomuuksiin. Suurin osa SLA-sopimuksista rajoittaa vahingot, jotka pilvimyyjien on maksettava, jos eliitin hakkerit menevät huipputeknisten järjestelmien läpi tai jos jokin kolmas osapuoli katkaisee kuituyhteyden tietokeskuksen ulkopuolella. Vain jos asianajajasi voi osoittaa "törkeän huolimattomuuden", myyjä on ensisijaisesti vastuussa pilvikatastrofin taloudellisista vastuista. Törkeä huolimattomuus koskee tyypillisesti huonoa tietoturvaa tai myyjän tahallisia laiminlyöntejä.

2. Kuka on vastuussa tietojen toimittamisesta valtion virastoille?

Vaikka olisitkin työskennellyt maailman turvallisimman pilvimyyjän kanssa, se ei tarkoita, että tietoihisi ei pääse käsiksi ilman suostumustasi ja ilman laillista turvautumista sinun päämääriisi. Koska luovutat tietosi pilvimyyjälle, annat lähinnä myyjälle luvan suostumukseen valtion takuupalveluihin. Useimmat SLA: t toteavat tämän hyvin selvästi, ja on epätodennäköistä, että suuret pilvimyyjät, kuten Amazon Web Services (AWS) tai Microsoft Azure, ovat valmiita muuttamaan vakio-SLA: taan yritykselle, joka ei ole valkoinenvalastili.

Joten, jos sinulla on äärimmäisiä varauksia hallituksen tunkeilusta, sinun on todennäköisesti parempi rakentaa oma yksityinen pilvi tai tallentaa tietojasi paikallisesti. Näissä olosuhteissa pystyt taistelemaan optiota vastaan ​​ja suojaamaan asiakastietojasi. Mutta jos päätät mennä julkisen tai hybridipilven kanssa, sinun on parempi toivoa, että myyjäsi jakaa suvaitsemattomuutesi Big Brotheriin.

3. Mitkä ovat maantieteen erityiset pilvimääräykset?

On tarpeeksi vaikeata seurata oikeuksiasi siitä, kuinka tietojasi hallitaan Yhdysvalloissa. Valitettavasti globaalit säädökset eroavat kussakin maassa ja joissain tapauksissa kunkin lainkäyttövallan sisällä kussakin tietyssä maassa. Jos olet monikansallinen yritys, jolla on pilvipalveluntarjoajia eri maantieteellisillä alueilla, sinulla on suuri päänsärky, kun yrität ymmärtää ja hallita niihin liittyviä säännöksiä ja vastuita.

Ayrin mukaan on ratkaisevan tärkeää, että tietoja maailmanlaajuisesti tallentavat yritykset työskentelevät lakimiesten kanssa tunnistaakseen tallennettavat tiedot, maantieteelliset alueet, joissa tietoja tallennetaan, ja mitkä erityiset lait ovat kyseisillä lainkäyttöalueilla.

"Se voi kuitenkin olla hidasta, kallista työtä", sanoi Ayr, "koska aiot joko maksaa jollekin viettää aikaa tutkia useiden tuntemattomien lainkäyttöalueiden lakeja, palkata jokaisesta lainkäyttäjästä asianajaja, joka jo tuntee nämä lait tai palkkaa erittäin kalliiden aiheiden asiantuntijan, joka tuntee jo kunkin lainkäyttövallan hyvät puolet."

Valitettavasti helpoin ja kustannustehokkain tapa varmistaa, että noudatat vaatimuksia jokaisella lainkäyttöalueella, on antaa palveluntarjoajalle vastuu. Koska globaalit palveluntarjoajat ovat jo laajentaneet liiketoimintaansa ja tehneet työtä määritelläkseen, miten tietoja tulisi käsitellä globaalisti, heillä on todennäköisemmin tiedot ja parhaat käytännöt paikoillaan.

"On oikeastaan ​​paljon halvempaa palkata asianajajaa tarkistamaan palveluntarjoajan palvelusehdot noudattamista varten kuin palkata asianajaja luomaan ehtoja, jotka ovat vaatimusten mukaisia, ja neuvottelemaan ne sitten palveluntarjoajan kanssa", Ayr sanoi. Mutta tämä tarkoittaa myös sitä, että luotat SLA-sopimuksiin, ja olemme jo tutkineet tärkeitä tapoja, joilla SLA voi toimia myyjän hyväksi.

4. Miksi sinun pitäisi tuntea olosi mukavaksi tallentaa tietoja pilveen?

Yhdysvalloissa suurin osa yrityksistä on suojattu tietoturvalakeilla, jotka sääntelevät henkilötietojen käsittelyä. Nämä lait edellyttävät myyjiä laatimaan kirjalliset käytännöt, joissa hahmotellaan tietosuojastrategiansa, ja pakottaa heidät ottamaan ainakin jonkin verran vastuuta rikkomuksista ja seisokkeista. Rikkomuksen sattuessa nämä lait myös velvoittavat ilmoittamaan siitä yleiselle syyttäjälle. Esimerkiksi Massachusettsissa tätä lakia kutsutaan 201 CMR 17.00. Kaliforniassa lakia kutsutaan nimellä SB 1386. Tähän mennessä 47 Yhdysvaltain osavaltiossa on vastaavat lait kirjanpidossa.

Jos lait eivät riitä laittamaan sinua (ja niiden ei pitäisi olla), on pilvimyyjiä, jotka markkinoivat itseään yksityisyyden ja turvallisuuden mestareina. Yrityksiä, kuten katastrofien palauttamisen (DR) palveluntarjoaja Spider Oak, kutsutaan nolla tietämyksen pilvipalveluiksi; he salaavat tietoja asiakkaidensa laitteilla ennen tietojen lähettämistä pilveen. Nollaosaaminen tarkoittaa Spider Oakia ja sen kilpailijoita koskaan käsittelemään salattua tietoa. Tämä käytäntö auttaa heitä rajoittamaan mahdollisia riskejä ja koskaan asettamaan itsensä tilanteeseen, jossa heidän on pakko luovuttaa tietoja julkisyhteisöille.

"On olemassa suuri joukko riskejä, jotka organisaatiot jättävät usein huomiotta siirtäessään järjestelmiä ja palveluita pilvelle", sanoi Spike Oakin presidentti ja yhteisen markkinajärjestelynjohtaja Mike McCamon. "Tiivistämme neljä parasta turvallisuuteen, yksityisyyteen, jatkuvuuteen ja hallintaan."

"Meillä ei ole missään vaiheessa salasanaa tai versiota heidän salatuista tiedoistaan", lisäsi McCamon. "Jopa omat järjestelmänvalvojamme eivät voi tietää enemmän asiakkaasta kuin järjestelmäämme tallennetun tiedon määrää. Ainoa käyttäjien keräämä tieto on sähköpostiosoite ja laskutustiedot, jos he vaativat palvelusuunnitelmaa."

Ayr väittää riippumatta siitä, toimivatko yritykset suurten myyjien, kuten Amazonin ja Microsoftin, tai pienten, nolla tietämystä tarjoavien myyjien, kuten Spider Oak, kanssa.

"Työskenteleessäni uusien yritysten kanssa en yleensä näe yrityksiä, jotka ovat erityisen hermostuneita pilvien käytöstä", Ayr sanoi. "Jos jotain, uudet yritykset, paremmin tai huonommin, näkevät pilvi yhtä turvallisena ja huomaamaton kuin asiakirjojen sijoittaminen arkistokaappiin."

Pilvimääräykset: mitä sinun on tiedettävä ollaksesi turvassa