Хмарні правила: що потрібно знати, щоб бути безпечним

Коли прийняття хмари стає всюдисущим, бізнесу важливіше, ніж будь-коли, розуміти правила та цивільні зобов’язання, пов’язані зі зберіганням даних та програм у хмарі. Більше 93 відсотків підприємств користуються хмарою певним чином, згідно з результатами опитування Right Cloud Scale, компанії з управління хмарою. Але ті компанії, які зберігають дані про загальнодоступні та гібридні хмари, особливо схильні до регулювання та штрафних санкцій, якщо відбувається порушення даних або якщо спостерігається значний пробій у хмарі.

Більшість компаній, особливо малого середнього бізнесу (SMB), підписують стандартні угоди про рівень обслуговування (SLA) з постачальниками хмарних технологій. Ці угоди про угоду про надання послуг, як правило, приносять користь постачальнику більше, ніж замовнику, і, як наслідок, обмежують виплату постачальників хмарних збитків, якщо та коли трапиться катастрофа.

Щоб допомогти вам зрозуміти, що вам потрібно знати, щоб бути краще підготовленими до юридичних наслідків переходу до хмари, а також допомогти вам зрозуміти, чи захищені ви у випадку порушення вашої публічної чи гібридної хмари, ми склали цей список речі для розгляду.

1. Хто несе відповідальність за інформацію про клієнтів після порушення даних?

Скажімо, ви зберігаєте всі дані своїх клієнтів у хмарі третьої сторони. Якщо хакер здатний порушити цю хмару, вкрасти ваші дані та використати їх для заподіяння шкоди вашим клієнтам, хтось збирається завершити виплату цивільних штрафних санкцій. Залежно від формулювання вашої угоди про угоду про надання послуг, хмарний постачальник хмари, швидше за все, обмежить свої збитки "фактичними збитками" на відміну від "наслідкових збитків", за які ваша компанія, ймовірно, несе відповідальність.

"Зазвичай постачальник збирається скласти свою угоду таким чином, що їхня відповідальність за звичайну недбалість є досить мінімальною, зазвичай обмежується" фактичними збитками "і часто обмежується будь-якою сумою, яку клієнт заплатив продавцю за попередні шість або 12 місяців ", - сказав Стівен Ейр, бізнес-радник у Fort Point Legal, фірмі, яка спеціалізується на представленні підприємців та малого бізнесу. "Фактичні збитки називаються грошима, які клієнт заплатив за надану послугу. Обмежуючи збитки" фактичними збитками ", угоди виключають можливість того, що постачальник може нести відповідальність за" наслідкові збитки "та інші класи збитків, як каральних збитків ".

Ейр описує наслідкові збитки як фінансові втрати, які є одним кроком, усуненим від порушення або хмарного простою. Наприклад, якщо ваш клієнт повинен був забезпечити великий крок продажів через вашу онлайн-платформу співпраці, але він чи вона не змогла, оскільки хмара знизилася, ви будете нести відповідальність за наслідки пошкодження цього простою.

Те саме стосується порушень даних або чистих аварій. Більшість угод про обмеження угод обмежують збитки, які мусять платити постачальники хмарних ситуацій, якщо елітні хакери прорвуться через найсучасніші системи або якщо стороннє підприємство перерве з'єднання з волокнами поза центром обробки даних. Тільки якщо ваш адвокат може довести "грубу недбалість", постачальник несе головну відповідальність за фінансові зобов'язання хмарної катастрофи. Груба недбалість зазвичай стосується поганої безпеки або навмисних недобрих дій, які вживає постачальник.

2. Хто несе відповідальність за подання даних урядові установи?

Незважаючи на те, що ви, можливо, працюєте з найзахищенішим постачальником хмарних технологій у світі, це не означає, що до ваших даних не можна отримати доступ без вашої згоди та без будь-якого законного звернення. Оскільки ви передаєте свої дані постачальнику хмарних ситуацій, ви фактично даєте постачальнику дозвіл на згоду на урядові ордери. Більшість угод про угод свідчать про це дуже чітко, і навряд чи великі постачальники хмарних технологій, такі як Amazon Web Services (AWS) або Microsoft Azure, готові змінити свій стандартний угода про домовленість для компанії, яка не є обліковим записом білого кита.

Отже, якщо у вас є надзвичайні застереження щодо вторгнення у владу, вам, ймовірно, краще створити власну приватну хмару або зберігати свої дані локально. За цих обставин ви зможете боротися з ордером та захищати дані своїх клієнтів. Але якщо ви вирішите їхати з публічною або гібридною хмарою, краще сподіваєтесь, що ваш продавець поділяє вашу нетерпимість до Big Brother.

3. Які конкретні правила хмари за географією?

Досить складно відстежувати свої права щодо того, як керуються вашими даними в США. На жаль, глобальні норми відрізняються для кожної конкретної країни та, в деяких випадках, у межах кожної юрисдикції в кожній конкретній країні. Якщо ви багатонаціональний бізнес з постачальниками хмарних послуг у різних географіях, вам належить серйозний головний біль, намагаючись зрозуміти та керувати пов'язаними правилами та зобов'язаннями.

За словами Ейра, надзвичайно важливо, щоб компанії, що зберігають дані в усьому світі, співпрацювали з юристами для визначення типів даних, які вони зберігають, географії, в яких вони зберігають дані, та які конкретні закони є в цих юрисдикціях.

"Хоча це може бути повільною, дорогою роботою, - сказав Ейр, - адже ви або збираєтесь заплатити комусь, щоб витратити час на дослідження законів кількох юрисдикцій, з якими вони незнайомі, найняйте адвоката в кожній юрисдикції, який уже знає ці закони, або найнять дуже дорогого експерта з предметів, який уже знає внески та виходи кожної юрисдикції ".

На жаль, найпростіший та найвигідніший спосіб забезпечити відповідність у межах кожної юрисдикції - це надати відповідальність своєму постачальнику послуг. Оскільки глобальні постачальники послуг вже розширили свій бізнес і виконали роботу, щоб визначити, як слід обробляти дані в глобальному масштабі, вони, швидше за все, мають інформацію та кращі практики.

"Зрештою, набагато дешевше найняти адвоката, щоб перевірити умови надання послуг на відповідність, ніж найняти адвоката, щоб створити умови, які відповідають, а потім домовитись про них з постачальником", - сказав Ейр. Але це також означає, що ви покладаєтесь на угоди про угода про надання послуг, і ми вже дослідили важливі способи, якими угода про надання послуг може працювати на користь постачальника.

4. Чому слід відчувати зручне зберігання даних у хмарі?

У США більшість компаній захищені законами про захист даних, які регулюють обробку особистої інформації (PII). Ці закони вимагають від продавців розробити письмову політику, яка окреслює їхні стратегії захисту даних, і змушує їх приймати принаймні певну відповідальність за порушення та простої. У разі порушення цих законів також обов'язкове повідомлення про це Генеральному прокурору. Наприклад, у штаті Массачусетс, цей закон називається 201 CMR 17.00. У Каліфорнії закон називається SB 1386. На сьогоднішній день 47 штатів США мають подібні закони щодо книг.

Якщо законів недостатньо, щоб полегшити вас (а їх не повинно бути), є хмарові продавці, які продають себе в ролі чемпіонів приватності та безпеки. Такі компанії, як постачальник послуг по відновленню аварій (DR) Spider Oak, відомі як хмарні послуги з нульовим знанням; вони зашифровують дані на пристроях своїх клієнтів перед завантаженням даних у хмару. Нульове знання означає, що Дуб-павук та його конкуренти ніколи не обробляють розшифровані дані. Ця практика допомагає їм обмежувати потенційний ризик і ніколи не ставити себе в становище, коли вони змушені передавати дані державним структурам.

"Існує велика кількість ризиків, які організації часто ігнорують під час міграції систем та служб у хмару", - сказав Майк МакКамон, президент та CMO компанії Spider Oak. "Ми підсумуємо чотири найкращі - це безпека, конфіденційність, безперервність та контроль".

"У нас немає пароля чи версії їх розшифрованих даних", - додав Маккемон. "Навіть наші власні системні адміністратори не можуть знати більше про клієнта, ніж обсяг даних, що зберігаються в нашій системі. Єдиними даними, які ми збираємо про користувачів, є адреса електронної пошти та платіжна інформація, якщо вони вимагають план обслуговування."

Незалежно від того, чи працюють компанії з великими постачальниками, такими як Amazon і Microsoft, або з невеликими постачальниками нульових знань, такими як Spider Oak, вони продовжують використовувати хмару, вважає Ейр.

"У своїй роботі зі стартапами я взагалі не бачу підприємств, які особливо нервують використання хмари", - сказав Ейр. "Якщо що-небудь, нові підприємства, на краще чи гірше, вважають хмару настільки ж безпечною та непомітною, як розміщення документів у шафі для подачі заявок".