Видео: Маленькое королевство Бена и Холли - Вылазка ⭐Лучшие моменты (Ноябрь 2024)
Поскольку внедрение облачных технологий становится повсеместным, для предприятий как никогда важно понимать правила и гражданские обязательства, связанные с хранением данных и приложений в облаке. Согласно результатам опроса Right Scale, компании по управлению облаком, более 93 процентов компаний используют облако каким-либо образом. Но те компании, которые хранят данные в публичных и гибридных облаках, особенно подвержены регулированию и штрафам в случае взлома данных или значительного времени простоя облака.
Большинство компаний, особенно малых и средних предприятий (SMB), подписывают стандартные соглашения об уровне обслуживания (SLA) с поставщиками облачных услуг. Эти соглашения об уровне обслуживания, как правило, приносят пользу поставщику больше, чем клиенту, и, как следствие, ограничивают убытки, которые поставщики облачных услуг оплачивают в случае и в случае аварии.
Чтобы помочь вам понять, что вам нужно знать, чтобы лучше подготовиться к юридическим последствиям перехода к облаку, и чтобы выяснить, защищены ли вы в случае взлома вашего публичного или гибридного облака, мы составили этот список вещи для рассмотрения.
1. Кто несет ответственность за информацию о клиентах после взлома данных?
Допустим, вы храните все данные о своих клиентах в стороннем облаке. Если хакер способен взломать это облако, украсть ваши данные и использовать их для причинения вреда вашим клиентам, кто-то может в итоге заплатить гражданские штрафы. В зависимости от формулировки вашего SLA, ваш поставщик облачных услуг, скорее всего, ограничит свои убытки «фактическими убытками», а не «косвенными убытками», за которые ваша компания, вероятно, несет ответственность.
«Обычно продавец собирается написать свое соглашение таким образом, чтобы его ответственность за обычную халатность была довольно минимальной, обычно ограничивалась« фактическим ущербом »и часто ограничивалась любой суммой, которую клиент заплатил поставщику в предыдущие шесть или 12 месяцев. «Стивен Эйр, бизнес-консультант в Fort Point Legal, фирме, которая специализируется на представлении предпринимателей и малого бизнеса. «Фактические убытки называются деньгами, которые клиент заплатил за услугу, которая не была предоставлена. Ограничивая убытки« фактическими убытками », соглашения исключают возможность того, что продавец может нести ответственность за« косвенные убытки »и другие классы ущерба. убытки как штрафные убытки. "
Ayr описывает косвенные убытки как финансовые потери, которые на один шаг устранены от нарушения или простоя облака. Например, если ваш клиент должен был предоставить большой объем продаж через вашу онлайн-платформу для совместной работы, но он или она не смогли этого сделать из-за того, что облако не работает, вы будете нести ответственность за косвенные убытки в результате этого простоя.
То же самое относится к утечкам данных или чистым авариям. Большинство соглашений об уровне обслуживания ограничивают убытки, которые должны платить поставщики облачных услуг, если элитные хакеры взломают самые современные системы или если третья сторона отключит оптоволоконные соединения за пределами центра обработки данных. Только если ваш адвокат может доказать «грубую небрежность», поставщик будет нести главную ответственность за финансовые обязательства облачной катастрофы. Грубая небрежность обычно относится к плохой безопасности или преднамеренным гнусным действиям, предпринятым продавцом.
2. Кто несет ответственность за предоставление данных в государственные органы?
Даже если вы работаете с самым безопасным поставщиком облачных услуг в мире, это не означает, что к вашим данным нельзя получить доступ без вашего согласия и без юридических действий с вашей стороны. Поскольку вы передаете свои данные поставщику облачных услуг, вы, по сути, даете поставщику разрешение на согласие с правительственными ордерами. Большинство соглашений об уровне обслуживания очень четко заявляют об этом, и вряд ли крупные поставщики облачных решений, такие как Amazon Web Services (AWS) или Microsoft Azure, готовы изменить свой стандарт SLA для компании, которая не является учетной записью белого кита.
Так что, если у вас есть крайние сомнения относительно вторжения правительства, вам, вероятно, лучше создать собственное частное облако или хранить ваши данные локально. При таких обстоятельствах вы сможете бороться с ордером и защищать данные своих клиентов. Но если вы решите использовать общедоступное или гибридное облако, вам лучше надеяться, что ваш вендор разделит вашу нетерпимость к Большому брату.
3. Каковы конкретные облачные правила по географии?
Достаточно сложно отслеживать ваши права на управление вашими данными в США. К сожалению, глобальные правила отличаются для каждой конкретной страны и, в некоторых случаях, в пределах каждой юрисдикции в каждой конкретной стране. Если вы работаете в многонациональном бизнесе с поставщиками облачных услуг в разных регионах, вам грозит серьезная головная боль, пытаясь понять связанные с ними правила и обязательства и управлять ими.
По словам Эйра, очень важно, чтобы компании, хранящие данные, работали в глобальном масштабе с юристами, чтобы определить виды данных, которые они хранят, географию, в которой они хранят данные, и какие конкретные законы действуют в этих юрисдикциях.
«Это может быть медленной, дорогой работой, - сказал Эйр, - потому что вы либо собираетесь заплатить кому-то, чтобы потратить время на изучение законов нескольких юрисдикций, с которыми они не знакомы, нанять адвоката в каждой юрисдикции, который уже знает эти законы или нанимает очень дорогого специалиста, который уже знает все тонкости каждой юрисдикции ".
К сожалению, самый простой и экономически эффективный способ обеспечить соответствие требованиям в каждой юрисдикции - это возложить ответственность на своего поставщика услуг. Поскольку глобальные поставщики услуг уже расширили свой бизнес и сделали все возможное, чтобы определить, как следует обрабатывать данные в глобальном масштабе, они с большей вероятностью будут располагать информацией и передовым опытом.
«В конце концов, гораздо дешевле нанять адвоката для проверки условий обслуживания провайдера на соответствие, чем нанять адвоката для создания условий, которые соответствуют требованиям, а затем договориться о них с провайдером», - сказал Эйр. Но это также означает, что вы полагаетесь на SLA, и мы уже изучили важные способы, которыми SLA может работать в пользу поставщика.
4. Почему вы должны чувствовать себя комфортно при хранении данных в облаке?
В США большинство компаний защищены законами о безопасности данных, которые регулируют обработку информации, позволяющей установить личность (PII). Эти законы требуют, чтобы поставщики создавали письменные политики с изложением своих стратегий защиты данных и вынуждали их принимать хотя бы некоторую ответственность за нарушения и простои. В случае нарушения эти законы также обязывают сообщать об этом Генеральному прокурору. Например, в штате Массачусетс этот закон называется 201 CMR 17.00. В Калифорнии закон называется SB 1386. На сегодняшний день в 47 штатах США есть подобные законы в книгах.
Если законов недостаточно для того, чтобы вам было удобно (а их не должно быть), есть поставщики облачных услуг, которые позиционируют себя как поборники конфиденциальности и безопасности. Такие компании, как поставщик услуг аварийного восстановления (DR) Spider Oak, известны как облачные сервисы с нулевым уровнем знаний; они зашифровывают данные на устройствах своих клиентов перед загрузкой данных в облако. Нулевое знание означает, что Spider Oak и его конкуренты никогда не обрабатывают дешифрованные данные. Эта практика помогает им ограничить потенциальный риск и никогда не ставить себя в положение, когда они вынуждены передавать данные правительственным организациям.
«Существует большое количество рисков, которые организации часто игнорируют при переносе систем и сервисов в облако», - сказал Майк Маккамон, президент и директор по маркетингу Spider Oak. «Мы бы суммировали четыре лучших: безопасность, конфиденциальность, непрерывность и контроль».
«Мы никогда не имеем пароль или версию их расшифрованных данных», - добавил Маккамон. «Даже наши собственные системные администраторы не могут знать больше о клиенте, чем объем данных, хранящихся в нашей системе. Единственные данные, которые мы собираем о пользователях, - это адрес электронной почты и платежная информация, если им требуется тарифный план».
Эйр утверждает, что независимо от того, работают ли компании с крупными поставщиками, такими как Amazon и Microsoft, или с небольшими поставщиками с нулевым уровнем знаний, такими как Spider Oak, они будут продолжать использовать облако.
«В своей работе со стартапами я обычно не вижу предприятий, которые особенно нервничают по поводу использования облака», - сказал Эйр. «Во всяком случае, новые компании, в лучшую или в худшую сторону, считают облако столь же безопасным и ничем не примечательным, как помещение документов в картотеку».
