Mivel a felhő bevezetése mindenütt jelenik meg, a vállalkozások számára fontosabb, mint valaha, hogy megértsék az adatok és alkalmazások felhőben történő tárolásához kapcsolódó szabályokat és polgári jogi felelősségeket. A Right Scale, a felhőkezelő társaság felmérésének eredményei szerint a vállalkozások több mint 93% -a valamilyen módon használja a felhőt. De azok a cégek, amelyek nyilvános és hibrid felhőken tárolnak adatokat, különösen érzékenyek a szabályozásra és a szankciókra, ha adat megsértése történik, vagy ha jelentős felhőállás áll fenn.
A legtöbb vállalat, különösen a közepes méretű vállalkozások (SMB-k), szabványos szolgáltatási szintű megállapodásokat (SLA) ír alá felhő-szolgáltatókkal. Ezek az SLA-k általában inkább az eladónak járnak, mint a vevőnek, és ennek eredményeként korlátozzák a felhőalapú szállítók által a katasztrófa bekövetkezésekor fizetendő károkat.
Hogy megértsük, mit kell tudnunk, hogy jobban felkészülhessünk a felhőbe való áthelyezés jogi következményeire, és hogy kitaláljuk, védtek-e a nyilvános vagy hibrid felhő megsértése esetén, összeállítottuk ezt a figyelembe veendő dolgok.
1. Ki felel az ügyféladatokért az adatok megsértése után?
Tegyük fel, hogy az összes ügyféladatot harmadik fél felhőében tárolja. Ha egy hacker megsértheti ezt a felhőt, ellophatja az Ön adatait, és az ügyfelek megsértésére felhasználhatja, akkor valaki polgári szankciókat fizet. Az SLA megfogalmazásától függően a felhő-gyártó valószínűleg a tényleges károkra korlátozza a kárt, szemben a „következményes károkkal”, amelyekért a vállalat valószínűleg felelős.
"Általában az eladó úgy írja meg megállapodását, hogy a rendes gondatlanságért való felelősségük meglehetősen minimális, általában a" tényleges károkra "korlátozódik, és gyakran arra korlátozódik, hogy az ügyfél az előző hat vagy 12 hónapban az eladónak fizetett-e. "- mondta Steven Ayr, a Fort Point Legal üzleti tanácsadója, amely vállalkozók és kisvállalkozások képviseletére szakosodott. "A tényleges károkra azt a pénzt nevezzük, amelyet az ügyfél a nem nyújtott szolgáltatásért fizetett. A károknak a" tényleges károkra "való korlátozásával a megállapodások kiküszöbölik annak a lehetőségét, hogy az eladó felelőssé váljon a„ következményes károkért ”és az egyéb típusú szolgáltatásokért. olyan károk, mint a büntető károk. "
Ayr a következményes károkat olyan pénzügyi veszteségekként írja le, amelyeket egy lépéssel eltávolítanak a jogsértésből vagy a felhő leállásáról. Például, ha az ügyfelének nagy online értékesítési szintet kellett volna megadnia az online együttműködési platformon keresztül, de nem tudta, mert a felhő le nem zuhant, akkor Ön lesz a felelős a leállások következményes károkért.
Ugyanez vonatkozik az adatsértésekre vagy a pusztán balesetekre. A legtöbb SLA korlátozza azokat a károkat, amelyeket a felhő-gyártóknak meg kell fizetniük, ha az elit hackerek áttörnek a legkorszerűbb rendszerekre, vagy ha egy harmadik fél megszakítja az optikai összeköttetést az adatközponton kívül. Csak akkor, ha ügyvédje bizonyítani tudja a "súlyos gondatlanságot", az eladó elsősorban a felhőkatasztrófa pénzügyi felelősségéért felel. A súlyos gondatlanság általában az eladó rossz cselekedeteire vagy szándékos hamis tevékenységeire vonatkozik.
2. Ki a felelős az adatok kormányzati ügynökségekhez történő továbbításáért?
Annak ellenére, hogy valószínűleg a világ legbiztonságosabb felhő-szolgáltatójával dolgozik, ez nem jelenti azt, hogy adataihoz nem férhet hozzá hozzájárulása és a végén jogorvoslat nélkül. Mivel adatait felhőszállítónak továbbítja, alapvetően engedélyt ad az eladónak a kormányzati engedélyek beleegyezésére. A legtöbb SLA ezt egyértelműen kijelenti, és nem valószínű, hogy a nagy felhő-szolgáltatók, például az Amazon Web Services (AWS) vagy a Microsoft Azure hajlandóak megváltoztatni a szokásos SLA-ját egy olyan társaság számára, amely nem egy fehér bálna-fiók.
Tehát, ha szélsőséges fenntartása van a kormány behatolásával kapcsolatban, akkor valószínűleg jobb, ha saját magánfelhőjét építi fel, vagy adatait helyben tárolja. Ilyen körülmények között képes lesz harcolni a végzéssel és megvédeni az ügyfelek adatait. De ha úgy dönt, hogy nyilvános vagy hibrid felhővel jár, akkor jobban reméli, hogy az eladó megosztja a Big Brother iránti intoleranciáját.
3. Melyek a földrajzi specifikus felhőszabályozások?
Elég nehéz ahhoz, hogy nyomon kövesse jogait az adatok kezelésében az Egyesült Államokban. Sajnos a globális szabályozás az egyes országokban eltérő, és egyes esetekben az egyes országok joghatóságain belül is. Ha multinacionális vállalkozás vagy, amely különböző földrajzi területeken működik felhőszolgáltatókkal, akkor komoly fejfájást okoz, ha megpróbálja megérteni és kezelni a kapcsolódó előírásokat és kötelezettségeket.
Ayr szerint alapvető fontosságú, hogy az adatokat globálisan tároló cégek az ügyvédekkel együttműködve azonosítsák az általuk tárolt adatok fajtáit, a földrajzi helyet, amelyben az adatokat tárolják, és hogy az adott joghatóságokon belül milyen törvények vonatkoznak rájuk.
"Ez azonban lassú, drága munka lehet" - mondta Ayr -, mert vagy fizetni fog valakinek, hogy időt töltsön több olyan jurisdikció törvényeinek megismerésére, amelyekben nem ismeri őket, minden joghatóság ügyvédjét bérelje fel, akik már ismeri ezeket a törvényeket, vagy bérel egy nagyon drága tárgyszakértőt, aki már ismeri az egyes joghatóságok hátrányait.
Sajnos az egyes joghatóságokon belül a legegyszerűbb és legköltséghatékonyabb módszer annak biztosítására, hogy megfeleljen a szolgáltatónak. Mivel a globális szolgáltatók már kibővítették üzleti tevékenységüket, és lépéseket tettek annak meghatározására, hogyan kell az adatokat globálisan kezelni, valószínűbb, hogy rendelkeznek az információkkal és a legjobb gyakorlatokkal.
"Végül is sokkal olcsóbb az ügyvédet felvenni, hogy felülvizsgálja a szolgáltató szolgáltatási feltételeit a megfelelőség szempontjából, mint egy ügyvédet felvenni, hogy hozzon létre megfelelő feltételeket, majd tárgyalja őket a szolgáltatóval" - mondta Ayr. De ez azt is jelenti, hogy az SLA-kra támaszkodik, és már megvizsgáltuk azokat a fontos módszereket, amelyekkel az SLA működhet az eladó javára.
4. Miért kellene kényelmesen tárolnia az adatokat a felhőben?
Az Egyesült Államokban a legtöbb társaságot olyan adatvédelmi törvények védik, amelyek a személyesen azonosítható információk (PII) kezelését szabályozzák. Ezek a törvények megkövetelik az eladóktól, hogy írásbeli politikákat dolgozzanak ki, felvázolva adatvédelmi stratégiájukat, és arra kényszerítik őket, hogy vállaljanak legalább bizonyos felelősséget a jogsértések és az állásidők miatt. Sértés esetén ezek a törvények kötelezővé teszik annak bejelentését a főügyésznek. Például Massachusettsben ezt a törvényt 201 CMR 17.00-nak hívják. Kaliforniában a törvény neve SB 1386. A mai napig 47 amerikai állam rendelkezik hasonló törvényekkel a könyvekre.
Ha a törvények nem elegendőek a megkönnyebbüléshez (és nem kellett volna), vannak felhő-gyártók, amelyek magukat a magánélet és a biztonság védelmezőjének tekintik. Az olyan cégeket, mint a katasztrófa utáni helyreállítási (DR) szolgáltató, a Spider Oak, nulla ismeretlen felhőszolgáltatásnak nevezik; titkosítják az ügyfelek eszközén található adatokat, mielőtt az adatokat felhőbe töltik. A nulla tudás azt jelenti, hogy a Spider Oak és versenytársai soha nem kezelik a dekódolt adatokat. Ez a gyakorlat segíti őket a lehetséges kockázatok korlátozásában, és soha nem helyezik magukat olyan helyzetbe, ahol kénytelenek vannak adatokat átadni kormányzati szervezeteknek.
"Számos olyan kockázat van, amelyet a szervezetek gyakran figyelmen kívül hagynak, amikor a rendszereket és szolgáltatásokat a felhőbe migrálják" - mondta Mike McCamon, a Spider Oak elnöke és közös piacszervezője. "Összefoglaljuk az első négy oldalt: biztonság, adatvédelem, folytonosság és ellenőrzés."
"Soha nem rendelkezünk jelszóval vagy a dekódolt adatok egy verziójával" - tette hozzá McCamon. "Még a saját rendszergazdáink sem tudnak többet tudni az ügyfélről, mint a rendszerünkben tárolt adatmennyiségről. Az egyetlen adat, amelyet a felhasználókkal kapcsolatban gyűjtünk, egy e-mail cím és számlázási információ, ha szolgáltatási tervre van szükségük."
Függetlenül attól, hogy a vállalatok együtt dolgoznak-e olyan nagy szállítókkal, mint az Amazon és a Microsoft, vagy a kicsi, nulla ismereteket nem teljesítő szállítókkal, mint például a Pók-tölgy, továbbra is a felhőt fogják használni, állítja Ayr.
"Az induló vállalkozásokkal végzett munkám során általában nem látom azokat a vállalkozásokat, amelyek különösen idegesek a felhő használatáért" - mondta Ayr. "Ha van valami, az új vállalkozások jobb vagy rosszabb szempontból ugyanolyan biztonságosak és figyelemre méltóak a felhő, mint a dokumentumok iratszekrénybe helyezése."
