共用方式為

雲端運算:法律及法規問題

  • 發行項

移至雲端除了要斟酌技術與安全性議題,還必須考量其他一大堆法規、循規及法律問題。

Vic (J.R.) Winkler

改編自"保護安全雲計算:雲的電腦安全技術和戰術"(Syngress,印記 Elsevier,2011年)

雲計算不是靜態的周圍的法律和法規風景。 有正在擬議的新法律可能會改變雲計算租戶和供應商的責任。

雲計算,它採用混合動力、 社會或公共雲模型"創建新的動力學中組織和其資訊,涉及的協力廠商存在之間的關係:雲提供商。 這將創建新的挑戰,瞭解如何法律適用于多種資訊管理方案,"葛籣黑妞和雲安全同盟,Friends 在白皮書中"雲在重點關鍵領域的安全指南計算。"

在瞭解如何法律適用于各種情形下的各方,這將創建實用的挑戰。 無論您使用哪種計算模型,雲還是否則,您需要考慮法律問題,特別是圍繞你可能收集、 存儲和處理的任何資料。 可能會州、 國家或國際法律您 (或,最好的是,你的律師) 將需要考慮,確保您遵守法律。

租客或雲客戶在美國、 加拿大或歐盟運行,如果他們無數的監管規定。 這些包括控制目標的資訊和相關的技術及安全港。 這些法律可能涉及資料存儲或傳輸,以及如何從機密性方面保護此資料。

這些法律的一些適用于特定的市場,例如健康保險流通與責任法案 (HIPAA) 衛生保健業。 然而,公司經常存儲與健康相關的資訊,關於個別雇員,這意味著這些公司可能不得不遵守 HIPPA,即使他們不在市場的工作。

未能充分地保護您的資料可以有一些後果,包括潛在的罰款,由一個或多個政府或行業管理機構。 這種罰款可大量和潛在破壞性的小型或中型的業務。 例如,支付卡行業 (PCI) 可以判處罰款達 100000 元,每月為其法規遵從性侵犯。 雖然這些罰款將收取到獲取銀行上,他們有可能影響以及商人。

法律或法規通常指定在企業內誰應負上責任,負責資料的準確性和安全性。 如果您正在收集及持有 HIPAA 的資料,您必須具有指定以確保法規遵從性的安全位置。 Sarbanes–Oxley 》 指定的首席財務官和首席執行官有財務資料的共同責任。 Gramm–Leach–Bliley 》 是更廣泛,與整個董事會指定安全的責任。 聯邦貿易委員會 (FTC),這就需要對此負責公司內部的資訊安全計畫的特定個人不太具體了。

協力廠商的參與

如果您使用來自雲服務提供者雲基礎架構,您必須施加所有適用于您對您的供應商的企業的法律或法規的要求。 這是你的責任,不該提供程式的。 以 HIPAA 法規為例,任何你雇用的 (例如,雲服務提供者) 的分包中必須有一項條款規定提供程式將使用合理的安全控制,亦符合任何資料隱私規定的合同。

在美國聯邦和州政府機構如,公平貿易委員會和各種檢察長都取得了企業對其分包商的行為負責。 這是複製到其他地方,例如,對歐盟的資料保護機構。 隨著使用雲基礎架構變得更為普遍,風險的協力廠商訪問資料非法以及正在上升。

即使加密的資料,協力廠商可能會有訪問金鑰,因此必須對基礎資料的訪問。 放大風險往往,因為可能有協力廠商所涉及的一些:雲提供商 ; 雲的支援 ; 操作 ; 和管理小組 ; 加上其他人管理和支援的應用程式。 承建商為任何這些組織的工作可能進一步複合控制項中的消散。

合同問題

以下是一些您必須考慮合同過程的所有階段的問題:

  • 由於初始盡職調查
  • 合同談判
  • 實作
  • 終止 (或異常的任期結束)
  • 供應商轉讓

最初的適當盡職調查

進入雲供應商的一份合同,之前,您的企業應評估其具體需要和要求。 應定義您要尋找,連同任何限制、 規例或需要滿足的法規遵從性問題的服務範圍。 例如,如果你要去收集和存儲在雲計算雇員 HIPAA 資料,您必須確保任何供應商將符合 HIPAA 法規所定義的準則。 評估您的企業需要遵守不同法律法規可能好定義您可以將部署在雲計算,也可以使用哪種類型的服務。

您還應速率對您的業務對其臨界雲將部署的任何服務。 如果您要部署的服務,是業務的關鍵或會導致重大的中斷,如果它變得不可用,您會需要這因素到供應商的評估。

供應商數量正在進入這個市場,是不可避免的有些會失敗,或者簡單地停止提供服務,如果他們認為它不是為他們賺錢。 通常情況下,大公司將進入市場,但會保留它一旦獲得預期的利潤沒有兌現。 如果這是雲供應商的核心業務,它可能願意繼續經營的再小的利潤。

評價雲服務提供者之前應考慮的問題包括:

  • 此雲服務的提供程式的真正核心生意嗎?
  • 如何財政穩定是提供商?
  • 公司外包的協力廠商服務的任何方面,如果是這樣,協力廠商不會有適當的安排,與提供程式嗎?
  • 其資料中心的物理安全是否滿足您的法律、 法規和業務需要嗎?
  • 是其業務連續性和災難恢復計畫符合您的業務需求嗎?
  • 其技術水準在其操作團隊內的是什麼?
  • 公司一直提供服務,並沒有與可核實客戶的跟蹤記錄的多長時間?
  • 提供程式提供任何賠償呢?

一旦您的企業已盡的嚴肅的評價的提供商,您可以開始執行了。 這將減少的時間,你會在談判中的整體花費,確保正確的安全級別是在您的特定需要的地方。

你不能指望你的雲供應商,瞭解您的業務要求的詳細資訊。 很可能沒有意識到它必須遵守的規定。 如果有違反規例中,這將是您懲罰的企業和沒您選擇雲供應商。 所以選擇好 — — 但仍做家庭作業。

Vic (J.R.) Winkler

Vic (J.R.) Winkler 博思艾倫漢密爾頓 Inc.,提供技術諮詢,主要是美國的是高級助理 政府客戶。 他是發佈的資訊安全和網路安全研究人員,以及入侵和異常檢測的專家。

© 2011 Elsevier 公司 保留所有的權利。 列印的許可權從 Syngress,Elsevier 的烙印。 2011 年版權。 維也納國際中心 (建榮)"保護雲"溫克勒。 此標題和其他類似的書的詳細資訊,請訪問 elsevierdirect.com

相關內容