Облачни разпоредби: това, което трябва да знаете, за да сте безопасни

Тъй като приемането на облак става повсеместно, за бизнеса е по-важно от всякога да разбере регулациите и гражданските задължения, свързани със съхранението на данни и приложения в облака. Повече от 93 процента от предприятията използват облака по някакъв начин, сочат резултатите от проучване на Right Scale, компания за управление на облаци. Но онези компании, които съхраняват данни за публични и хибридни облаци, са особено податливи на регулации и санкции, ако се случи нарушение на данните или има значително прекъсване в облака.

Повечето компании, особено малки за средни предприятия (SMBs), подписват стандартни споразумения за ниво на обслужване (SLAs) с доставчици на облаци. Тези SLAs са склонни да облагодетелстват доставчика повече от клиента и в резултат на това ограничават плащанията на облачни доставчици на щети, ако и когато се случи бедствие.

За да ви помогнем да разберете какво трябва да знаете, за да сте по-добре подготвени за правните последици от преминаването към облака и да ви помогнем да разберете дали сте защитени, ако вашият обществен или хибриден облак бъде нарушен, съставихме този списък от неща за обмисляне.

1. Кой носи отговорност за информация на клиента след нарушения на данните?

Да речем, че съхранявате всичките си клиентски данни в облака на трета страна. Ако хакер е в състояние да наруши този облак, да открадне вашите данни и да го използва, за да навреди на клиентите ви, някой ще приключи да плаща граждански наказания. В зависимост от формулировката на вашия SLA, вашият доставчик на облаци вероятно ще ограничи своите щети до "действителни щети", за разлика от "последващи вреди", за които вероятно е отговорна вашата компания.

„Обикновено доставчикът ще напише съгласието си по такъв начин, че отговорността им за обикновена небрежност е сравнително минимална, обикновено е ограничена до„ действителни щети “и често е ограничена до каквато и да е сума, която клиентът е платил на доставчика през предходните шест или 12 месеца ", каза Стивън Ейр, бизнес съветник във Fort Point Legal, фирма, която е специализирана в представянето на предприемачи и малки предприятия. „Действителните щети се наричат ​​парите, които клиентът е платил за услугата, която не е била предоставена. Чрез ограничаване на щетите до„ действителни щети “споразуменията премахват възможността доставчикът да носи отговорност за„ последващи вреди “и други класове на вреди като наказателни щети. "

Ayr описва последващи щети като финансови загуби, които са една стъпка отстранени от нарушаването или престоя в облака. Например, ако вашият клиент е трябвало да даде голям шанс на продажбите чрез вашата онлайн платформа за сътрудничество, но той или тя не може, тъй като облакът е намалял, вие ще носите отговорност за последващите щети от този престой.

Същото е и при нарушения на данните или чисти злополуки. Повечето SLA ограничават щетите, които доставчиците на облаци трябва да платят, ако елитни хакери пробият най-съвременните системи или ако трета страна прекъсне връзката с влакна извън центъра за данни. Само ако вашият адвокат може да докаже "груба небрежност", продавачът ще носи главна отговорност за финансовите задължения в облачна катастрофа. Грубата небрежност обикновено се прилага за лоша сигурност или умишлено злобни действия, предприети от продавача.

2. Кой е отговорен за предоставянето на данни на държавните агенции?

Въпреки че може да работите с най-сигурния доставчик на облак в света, това не означава, че вашите данни не могат да бъдат достъпни без вашето съгласие и без законни искания от ваша страна. Тъй като предавате данните си на облачен доставчик, вие по същество давате разрешение на продавача да даде съгласие за правителствени варанти. Повечето SLA заявяват това много ясно и е малко вероятно големите доставчици на облаци като Amazon Web Services (AWS) или Microsoft Azure да са готови да променят стандартния си SLA за компания, която не е акаунт на бели китове.

Така че, ако имате екстремни резерви относно проникването в правителството, вероятно е по-добре да изградите свой собствен частен облак или да съхранявате данните си локално. При тези обстоятелства ще можете да се борите срещу варанта и да защитите вашите клиентски данни. Но ако решите да отидете с публичен или хибриден облак, по-добре се надявайте, че продавачът ви споделя вашата нетърпимост към Big Brother.

3. Какви са специфичните правила за облаците по география?

Достатъчно трудно е да следите правата си за това как се управляват вашите данни в САЩ. За съжаление глобалните разпоредби се различават за всяка конкретна държава и в някои случаи в рамките на всяка юрисдикция във всяка конкретна страна. Ако сте мултинационален бизнес с доставчици на облачни услуги в различни географски граници, ви предстои голямо главоболие, което се опитва да разбере и управлява свързаните регулации и задължения.

Според Ейър е изключително важно компаниите, съхраняващи данни в глобален мащаб, да работят с адвокати, за да идентифицират видовете данни, които съхраняват, географиите, в които съхраняват данните, и какви са специфичните закони в тези юрисдикции.

„Това може да е бавна и скъпа работа - каза Ейър, - защото или ще плащате на някой, който да отдели време за изследване на законите на няколко юрисдикции, с които не са запознати, наеме адвокат във всяка юрисдикция, който вече знае тези закони или наеме много скъп експерт по въпросите, който вече знае входовете и разходите на всяка юрисдикция."

За съжаление, най-лесният и най-рентабилен начин да се гарантира, че сте спазващи се във всяка юрисдикция, е да поставите отговорност на вашия доставчик на услуги. Тъй като доставчиците на услуги в световен мащаб вече разшириха бизнеса си и свършиха работата, за да определят как данните трябва да се обработват в световен мащаб, е по-вероятно да разполагат с информация и най-добри практики.

„В крайна сметка е много по-евтино да наемете адвокат, който да прегледа условията за предоставяне на услуги на доставчик за съответствие, отколкото да наемете адвокат, който да създаде съвместими условия и след това да ги договори с доставчик“, каза Айр. Но това също означава, че разчитате на SLAs и вече проучихме важните начини, по които SLA може да работи в полза на доставчика.

4. Защо трябва да се чувствате удобни за съхранение на данни в облака?

В САЩ повечето компании са защитени от закони за сигурност на данните, които уреждат работата с лична информация (PII). Тези закони изискват от доставчиците да създават писмени политики, очертаващи техните стратегии за защита на данните и да ги принудят да поемат поне някаква отговорност за нарушения и престой. В случай на нарушение, тези закони също така задължават да се докладва на генералния прокурор. В Масачузетс например този закон се нарича 201 CMR 17.00. В Калифорния законът се нарича SB 1386. Към днешна дата 47 щатски щата имат подобни закони по книгите.

Ако законите не са достатъчни, за да ви улесняват (и не бива да бъдат), има облачни доставчици, които се продават като шампиони за поверителност и сигурност. Компании като доставчик на услуги за възстановяване след бедствия (DR) Spider Oak са известни като облачни услуги с нулево знание; те криптират данни на устройствата на своите клиенти преди да качат данните в облака. Нулевото знание означава Spider Oak и неговите конкуренти никога не обработват декриптирани данни. Тази практика им помага да ограничат потенциалния риск и никога да не се поставят в положение, в което са принудени да предават данни на правителствените структури.

"Има голям брой рискове, които организациите често пренебрегват, когато мигрират системи и услуги в облака", заяви Майк Маккамон, президент и CMO в Spider Oak. „Бихме обобщили четирите най-добри за сигурност, поверителност, приемственост и контрол.“

"В нито един момент нямаме парола или версия на техните дешифрирани данни", добави Маккамон. „Дори нашите собствени системни администратори не са в състояние да знаят повече за клиент, отколкото за обема на данните, които се съхраняват в нашата система. Единствените данни, които събираме за потребителите, са имейл адрес и информация за фактуриране, ако те изискват план за обслужване.“

Независимо дали компаниите работят или не с големи доставчици като Amazon и Microsoft, или с малки доставчици на нулево знание като Spider Oak, те ще продължат да използват облака, твърди Ayr.

„В работата си със стартиращи компании по принцип не виждам фирми, които са особено изнервени от използването на облака“, каза Ейр. "Ако не друго, новите фирми, за по-добро или по-лошо, разглеждат облака също толкова безопасно и незабележимо, колкото поставянето на документи в картотека."