Video: A Show of Scrutiny | Critical Role: THE MIGHTY NEIN | Episode 2 (Listopad 2024)
Jak se cloudové přijetí stává všudypřítomné, je pro podniky důležitější než kdy jindy porozumět předpisům a občanským závazkům spojeným s ukládáním dat a aplikací v cloudu. Více než 93 procent podniků využívá cloud nějakým způsobem, podle výsledků průzkumu od Right Scale, společnosti pro správu cloudů. Avšak společnosti, které ukládají data na veřejných a hybridních cloudech, jsou obzvláště citlivé na regulaci a sankce, pokud dojde k narušení dat nebo pokud dojde k významnému výpadku cloudu.
Většina společností, zejména malých a středních podniků (SMB), podepisuje standardní smlouvy o úrovni služeb (SLA) s dodavateli cloudů. Tyto smlouvy SLA mají sklon těžit z výhod pro dodavatele více než pro zákazníka a v důsledku toho omezují škody, které dodavatelé cloudu vyplácejí v případě katastrofy.
Abychom vám pomohli pochopit, co potřebujete vědět, abyste byli lépe připraveni na legální důsledky přechodu do cloudu, a abychom vám pomohli zjistit, zda jste chráněni, pokud by došlo k porušení vašeho veřejného nebo hybridního cloudu, sestavili jsme tento seznam věci zvážit.
1. Kdo je odpovědný za informace o zákaznících po porušení dat?
Řekněme, že všechna vaše zákaznická data ukládáte do cloudu třetí strany. Pokud je hacker schopen tento cloud porušit, ukrást vaše data a použít je k poškození vašich zákazníků, někdo skončí a zaplatí občanskoprávní pokuty. V závislosti na znění vaší smlouvy SLA pravděpodobně váš dodavatel cloudu omezí své škody na „skutečné škody“ na rozdíl od „následných škod“, za které je vaše společnost pravděpodobně odpovědná.
„Prodejce obvykle uzavře svůj souhlas tak, že jeho odpovědnost za obyčejnou nedbalost je poměrně minimální, obvykle omezená na„ skutečné škody “a často omezena na jakoukoli částku, kterou zákazník zaplatil prodávajícímu v předchozích šesti nebo 12 měsících. “, řekl Steven Ayr, obchodní poradce ve Fort Point Legal, firma, která se specializuje na zastupování podnikatelů a malých podniků. „Skutečná škoda se označuje jako peníze, které zákazník zaplatil za službu, která nebyla poskytnuta. Omezením škod na„ skutečné škody “dohody vylučují možnost, že by prodejce mohl být odpovědný za„ následné škody “a další třídy škody jako trestné škody. "
Ayr popisuje následné škody jako finanční ztráty, které jsou jedním krokem odstraněny z porušení nebo cloudových prostojů. Například, pokud měl váš zákazník poskytnout velkou prodejní výšku prostřednictvím vaší online platformy pro spolupráci, ale nemohl, protože cloud byl vypnutý, jste zodpovědní za následné škody způsobené tímto prostojem.
Totéž platí pro narušení dat nebo čisté nehody. Většina smluv SLA omezuje škody, které musí dodavatelé cloudu zaplatit, pokud elitní hackeři prorazí nejmodernější systémy nebo pokud třetí strana přeruší optické připojení mimo datové centrum. Pouze za předpokladu, že váš právník dokáže „hrubou nedbalost“, bude za finanční závazky cloudové katastrofy primárně odpovědný prodejce. Hrubá nedbalost se obvykle vztahuje na špatné zabezpečení nebo úmyslné škodlivé kroky prodávajícího.
2. Kdo odpovídá za zasílání údajů vládním agenturám?
I když možná pracujete s nejbezpečnějším dodavatelem cloudů na světě, neznamená to, že k vašim datům nebude možné přistupovat bez vašeho souhlasu a bez vašeho právního postihu. Protože předáváte svá data dodavateli cloudu, dáváte v zásadě prodejci povolení k souhlasu s vládními zárukami. Většina SLA to uvádí velmi jasně a je nepravděpodobné, že by velcí cloudoví dodavatelé, jako jsou Amazon Web Services (AWS) nebo Microsoft Azure, byli ochotni změnit svou standardní SLA pro společnost, která není účtem bílé velryby.
Pokud tedy máte extrémní výhrady k narušení vlády, pravděpodobně budete lépe stavět svůj vlastní privátní cloud nebo ukládat data lokálně. Za těchto okolností budete moci bojovat proti rozkazu a chránit data svých zákazníků. Ale pokud se rozhodnete jít s veřejným nebo hybridním cloudem, měli byste doufat, že váš prodejce sdílí vaši netoleranci pro Big Brother.
3. Jaká jsou specifická cloudová pravidla podle geografie?
Je dost obtížné sledovat vaše práva na to, jak jsou vaše data spravována v USA. Globální regulace se bohužel liší pro každou konkrétní zemi av některých případech i pro každou jurisdikci v každé konkrétní zemi. Pokud jste nadnárodní obchod s poskytovateli cloudových služeb v různých geografických oblastech, máte velké bolesti hlavy, které se snaží porozumět a spravovat související předpisy a závazky.
Podle Ayr je zásadní, aby společnosti, které ukládají data na celém světě, spolupracovaly s právníky, aby identifikovaly druhy údajů, které ukládají, geografické oblasti, ve kterých ukládají data, a jaké konkrétní zákony spadají do těchto jurisdikcí.
„Může to však být pomalá a nákladná práce, “ řekl Ayr, „protože buď zaplatíte někomu, kdo stráví čas zkoumáním zákonů několika jurisdikcí, s nimiž nejsou obeznámeni, najměte si právníka v každé jurisdikci, který již zná tyto zákony, nebo si najme velmi drahého odborníka na předmět, který už zná zisky a nedostatky každé jurisdikce. “
Bohužel nejsnadnějším a nákladově nejefektivnějším způsobem, jak zajistit, že budete v každé jurisdikci dodržovat své zásady, je přenechání zátěže poskytovateli služeb. Vzhledem k tomu, že poskytovatelé globálních služeb již rozšířili své podnikání a udělali legendy, aby určili, jak by se s daty mělo nakládat globálně, je pravděpodobnější, že budou mít informace a osvědčené postupy zavedeny.
"Koneckonců, je mnohem levnější najmout právníka, aby zkontroloval dodržování podmínek služby poskytovatele, než najmout právníka, aby vytvořil podmínky, které jsou v souladu, a poté je vyjednal s poskytovatelem, " řekl Ayr. Ale to také znamená, že se spoléháte na SLA a my jsme již prozkoumali důležité způsoby, jak může SLA fungovat ve prospěch dodavatele.
4. Proč byste se měli cítit pohodlně při ukládání dat v cloudu?
V USA je většina společností chráněna zákony o bezpečnosti dat, které upravují nakládání s osobně identifikovatelnými informacemi (PII). Tyto zákony vyžadují, aby prodejci vytvořili písemné zásady, v nichž uvedou své strategie ochrany údajů, a nutí je přijmout alespoň určitou odpovědnost za porušení a prostoje. V případě porušení těchto zákonů je také povinné nahlásit to generálnímu zástupci. Například v Massachusetts se tento zákon nazývá 201 CMR 17, 00. V Kalifornii se zákon nazývá SB 1386. K dnešnímu dni má 47 knih USA podobné zákony.
Pokud zákony nestačí k tomu, aby vás uklidnily (a neměly by být), existují cloudoví prodejci, kteří se prodávají jako mistr soukromí a bezpečnosti. Společnosti jako poskytovatel služeb obnovy po havárii (DR) Spider Oak jsou známé jako cloudové služby s nulovými znalostmi; šifrují data na zařízeních svých klientů před jejich odesláním do cloudu. Nulové znalosti znamenají, že Spider Oak a jeho konkurenti nikdy nezpracovávají dešifrovaná data. Tato praxe jim pomáhá omezit potenciální riziko a nikdy se nedostanou do pozice, kdy jsou nuceny předávat údaje vládním subjektům.
„Existuje mnoho rizik, které organizace často při migraci systémů a služeb do cloudu ignorují, “ řekl Mike McCamon, prezident a CMO ve společnosti Spider Oak. "Souhrnně bychom shrnuli první čtyři, a to bezpečnost, soukromí, kontinuitu a kontrolu."
„V žádném okamžiku nemáme heslo ani verzi jejich dešifrovaných dat, “ dodal McCamon. „Dokonce ani naši vlastní správci systému nemohou o zákazníkovi vědět víc, než je objem dat uložených v našem systému. Jediné údaje, které o uživatelích shromažďujeme, jsou e-mailová adresa a fakturační údaje, pokud vyžadují servisní plán.“
Bez ohledu na to, zda společnosti spolupracují s velkými prodejci, jako jsou Amazon a Microsoft, nebo s malými prodejci s nulovými znalostmi, jako je Spider Oak, budou cloud nadále používat, tvrdí Ayr.
"Ve své práci se začínajícími podniky obecně nevidím podniky, které jsou obzvláště nervózní z používání cloudu, " řekl Ayr. "Jestli něco nového, nové podniky, pro lepší či horší pohled na cloud, stejně bezpečné a nezanedbatelné jako vkládání dokumentů do kartotéky."
