Video: how to mix colors with oil paint (November 2024)
Keď sa zavádzanie cloudu stáva všadeprítomným, pre podniky je dôležitejšie ako kedykoľvek predtým porozumieť predpisom a občianskym povinnostiam spojeným s ukladaním údajov a aplikácií v cloude. Podľa výsledkov prieskumu spoločnosti Right Scale, spoločnosti zaoberajúcej sa správou cloud computingu, cloud využíva nejakým spôsobom viac ako 93 percent firiem. Avšak tie spoločnosti, ktoré ukladajú údaje na verejných a hybridných cloudoch, sú obzvlášť citlivé na reguláciu a pokuty, ak dôjde k porušeniu údajov alebo ak dôjde k výraznému výpadku v cloude.
Väčšina spoločností, najmä malých a stredných podnikov (SMB), podpisuje štandardné dohody o úrovni služieb (SLA) s dodávateľmi cloudu. Tieto zmluvy SLA majú tendenciu ťažiť pre dodávateľa viac ako pre zákazníka a v dôsledku toho obmedzujú škody, ktoré dodávatelia cloudu platia v prípade katastrofy.
Aby sme vám pomohli pochopiť, čo potrebujete vedieť, aby ste boli lepšie pripravení na právne následky prechodu na cloud, a aby sme vám pomohli zistiť, či ste chránení v prípade porušenia vášho verejného alebo hybridného cloudu, zostavili sme tento zoznam veci na zváženie.
1. Kto je zodpovedný za informácie o zákazníkoch po porušení údajov?
Povedzme, že ukladáte všetky svoje zákaznícke údaje do cloudu tretej strany. Ak je hacker schopný narušiť tento cloud, ukradnúť vaše údaje a použiť ich na poškodenie vašich zákazníkov, niekto skončí platením občianskoprávnych sankcií. V závislosti od znenia vašej SLA váš predajca cloudu pravdepodobne obmedzí svoje škody na „skutočné škody“ na rozdiel od „následných škôd“, za ktoré je pravdepodobne zodpovedná vaša spoločnosť.
„Zvyčajne predajca napíše svoj súhlas takým spôsobom, že jeho zodpovednosť za obyčajnú nedbanlivosť je pomerne minimálna, zvyčajne obmedzená na„ skutočnú škodu “a často obmedzená na sumu, ktorú zákazník zaplatil predajcovi za predchádzajúcich šesť alebo 12 mesiacov. “, povedala Steven Ayr, obchodná rada vo Fort Point Legal, firma, ktorá sa špecializuje na zastupovanie podnikateľov a malých podnikov. „Skutočné škody sa označujú ako peniaze, ktoré zákazník zaplatil za služby, ktoré neboli poskytnuté. Obmedzením škôd na„ skutočné škody “dohody vylučujú možnosť, že predajca by mohol byť zodpovedný za„ následné škody “a iné triedy náhrady škody, napríklad represívne náhrady škody. ““
Ayr popisuje následné škody ako finančné straty, ktoré sú jedným krokom odstráneným z porušenia alebo zastavenia cloudu. Napríklad, ak mal váš zákazník poskytnúť veľké množstvo predaja prostredníctvom vašej online platformy spolupráce, ale nemohol, pretože cloud bol vypnutý, ste zodpovedný za následné škody spôsobené týmto prestojom.
To isté platí pre porušenia údajov alebo čisté nehody. Väčšina zmlúv SLA obmedzuje škody, ktoré musia predajcovia cloudu zaplatiť, ak elitní hackeri prelomia najmodernejšie systémy alebo ak tretia strana preruší optické pripojenie mimo dátového centra. Len za predpokladu, že váš právnik dokáže „hrubú nedbanlivosť“, bude predávajúci zodpovedný za finančné záväzky v dôsledku katastrofy v cloude. Hrubá nedbanlivosť sa zvyčajne vzťahuje na zlé zabezpečenie alebo úmyselné škodlivé konanie dodávateľa.
2. Kto je zodpovedný za zasielanie údajov vládnym agentúram?
Aj keď možno pracujete s najbezpečnejším dodávateľom cloudov na svete, neznamená to, že k vašim údajom nie je možné pristupovať bez vášho súhlasu a bez právneho postihu. Pretože odovzdávate svoje údaje dodávateľovi cloudu, dávate dodávateľovi v zásade povolenie na súhlas s vládnymi zárukami. Väčšina zmlúv SLA to jasne uvádza a je nepravdepodobné, že by veľkí dodávatelia cloudových služieb, ako sú Amazon Web Services (AWS) alebo Microsoft Azure, boli ochotní zmeniť svoju štandardnú SLA pre spoločnosť, ktorá nie je účtom bielych veľrýb.
Ak máte extrémne výhrady k narušeniu vlády, pravdepodobne budete lepšie stavať svoj vlastný súkromný cloud alebo ukladať svoje údaje lokálne. Za týchto okolností budete môcť bojovať proti príkazu a chrániť svoje zákaznícke údaje. Ale ak sa rozhodnete ísť s verejným alebo hybridným cloudom, mali by ste radšej dúfať, že váš dodávateľ zdieľa vašu neznášanlivosť pre Big Brother.
3. Aké sú konkrétne cloudové nariadenia podľa geografie?
Je dosť ťažké sledovať vaše práva na spravovanie vašich údajov v USA. Globálne nariadenia sa, bohužiaľ, líšia pre každú konkrétnu krajinu av niektorých prípadoch v rámci každej jurisdikcie v každej konkrétnej krajine. Ak ste nadnárodná spoločnosť s poskytovateľmi cloudových služieb v rôznych zemepisných oblastiach, máte veľké bolesti hlavy, ktoré sa snažia porozumieť a riadiť súvisiace nariadenia a povinnosti.
Podľa Ayr je nevyhnutné, aby spoločnosti, ktoré ukladajú údaje na celom svete, spolupracovali s právnikmi s cieľom identifikovať druhy údajov, ktoré ukladajú, geografické oblasti, v ktorých ukladajú údaje, a aké konkrétne zákony spadajú do týchto jurisdikcií.
„Môže to však byť pomalá a nákladná práca, “ povedal Ayr, „pretože buď zaplatíte niekomu, kto strávi čas na skúmanie zákonov niekoľkých jurisdikcií, s ktorými nie sú oboznámení, najať právnika v každej jurisdikcii, ktorý už pozná tieto zákony, alebo si najme veľmi drahého odborníka na predmet, ktorý už pozná prínosy a nedostatky každej jurisdikcie. ““
Bohužiaľ, najjednoduchší a nákladovo najefektívnejší spôsob, ako zabezpečiť, aby ste dodržiavali pravidlá v každej jurisdikcii, je zaťaženie vášho poskytovateľa služieb. Pretože globálni poskytovatelia služieb už rozšírili svoje podniky a urobili úlohu, aby určili, ako by sa malo s údajmi zaobchádzať globálne, je pravdepodobnejšie, že budú mať k dispozícii informácie a osvedčené postupy.
„Koniec koncov, je oveľa lacnejšie najať si právnika, aby preveril dodržiavanie podmienok služby poskytovateľa, ako najať právnika, ktorý vytvorí podmienky, ktoré sú v súlade, a potom ich prerokovať s poskytovateľom, “ uviedol Ayr. Znamená to však aj to, že sa spoliehate na zmluvy SLA a už sme preskúmali dôležité spôsoby, ako môže zmluva SLA pracovať v prospech dodávateľa.
4. Prečo by ste sa mali cítiť pohodlne pri ukladaní údajov v cloude?
V USA je väčšina spoločností chránená zákonmi o bezpečnosti údajov, ktoré upravujú zaobchádzanie s osobnými údajmi (PII). Tieto zákony vyžadujú od dodávateľov, aby vytvorili písomné zásady, v ktorých načrtnú svoje stratégie ochrany údajov, a nútia ich, aby prijali aspoň časť zodpovednosti za porušenia a prestoje. Ak dôjde k porušeniu, tieto zákony tiež ukladajú povinnosť to nahlásiť generálnemu prokurátorovi. Napríklad v Massachusetts sa tento zákon nazýva 201 CMR 17, 00. V Kalifornii sa zákon nazýva SB 1386. K dnešnému dňu má 47 zákonov USA o knihách podobné zákony.
Ak zákony nestačia na to, aby vás zmiernili (a nemali by byť), existujú predajcovia cloudu, ktorí sa sami predávajú ako majstri súkromia a bezpečnosti. Spoločnosti ako poskytovateľ služieb obnovy po havárii (DR) Spider Oak sú známe ako cloudové služby s nulovými znalosťami; šifrujú údaje na zariadeniach svojich klientov pred ich odovzdaním do cloudu. Nulové znalosti znamenajú, že Spider Oak a jeho konkurenti nikdy nespracúvajú dešifrované údaje. Tento postup im pomáha obmedziť potenciálne riziko a nikdy sa nedostať do pozície, keď sú nútení odovzdávať údaje vládnym subjektom.
„Pri migrácii systémov a služieb do cloudu organizácie často ignorujú veľa rizík, “ uviedol Mike McCamon, prezident a CMO v spoločnosti Spider Oak. „Zhrali by sme prvé štyri, a to bezpečnosť, súkromie, kontinuitu a kontrolu.“
„V žiadnom momente nemáme heslo ani verziu ich dešifrovaných údajov, “ dodal McCamon. „Ani naši správcovia systému nedokážu vedieť viac o zákazníkovi, ako je objem údajov uložených v našom systéme. Jediné údaje, ktoré o používateľoch zhromažďujeme, sú e-mailová adresa a informácie o fakturácii, ak si vyžadujú servisný plán.“
Bez ohľadu na to, či spoločnosti spolupracujú s veľkými predajcami, ako sú Amazon a Microsoft, alebo s malými predajcami s nulovými znalosťami, ako je Spider Oak, budú naďalej využívať cloud, tvrdí Ayr.
„Vo svojej práci so začínajúcimi podnikmi zvyčajne nevidím podniky, ktoré sú obzvlášť nervózne z používania cloudu, “ povedal Ayr. „Pokiaľ ide o nové podniky, pre lepšie alebo horšie vnímanie cloudu je rovnako bezpečné a neprehliadnuteľné ako ukladanie dokumentov do kartotéky.“