กฎระเบียบของคลาวด์: สิ่งที่คุณจำเป็นต้องรู้เพื่อความปลอดภัย

ในขณะที่การยอมรับระบบคลาวด์กลายเป็นสิ่งที่แพร่หลายมันสำคัญมากสำหรับธุรกิจที่จะเข้าใจกฎระเบียบและความรับผิดทางแพ่งที่เกี่ยวข้องกับการจัดเก็บข้อมูลและแอปพลิเคชันในระบบคลาวด์ ธุรกิจกว่าร้อยละ 93 ใช้ระบบคลาวด์ในบางรูปแบบจากผลการสำรวจจาก Right Scale บริษัท จัดการระบบคลาวด์ แต่ บริษัท เหล่านั้นที่จัดเก็บข้อมูลบนพับลิกคลาวด์สาธารณะและไฮบริดนั้นไวต่อการควบคุมและการลงโทษโดยเฉพาะอย่างยิ่งหากมีการฝ่าฝืนข้อมูลเกิดขึ้น

บริษัท ส่วนใหญ่โดยเฉพาะธุรกิจขนาดเล็กถึงขนาดกลาง (SMB) ลงนามข้อตกลงระดับบริการมาตรฐาน (SLA) กับผู้ขายคลาวด์ SLA เหล่านี้มีแนวโน้มที่จะเป็นประโยชน์ต่อผู้ขายมากกว่าลูกค้าและเป็นผลให้ จำกัด ผู้ขายคลาวด์ความเสียหายจ่ายถ้าและเมื่อเกิดภัยพิบัติ

เพื่อช่วยให้คุณเข้าใจในสิ่งที่คุณจำเป็นต้องรู้เพื่อเตรียมพร้อมสำหรับการแตกสาขาทางกฎหมายของการย้ายไปยังคลาวด์และเพื่อช่วยให้คุณทราบว่าคุณได้รับการคุ้มครองหรือไม่หากระบบสาธารณะหรือไฮบริดคลาวด์ของคุณถูกละเมิด สิ่งที่ต้องพิจารณา

1. ใครรับผิดชอบข้อมูลลูกค้าหลังจากการละเมิดข้อมูล

สมมติว่าคุณเก็บข้อมูลลูกค้าทั้งหมดไว้ในคลาวด์ของบุคคลที่สาม หากแฮ็กเกอร์สามารถทำลายระบบคลาวด์นั้นขโมยข้อมูลของคุณและนำไปใช้เพื่อทำอันตรายต่อลูกค้าของคุณบางคนจะยุติโทษทางแพ่ง ทั้งนี้ขึ้นอยู่กับถ้อยคำของ SLA ของคุณผู้จำหน่ายคลาวด์ของคุณมีแนวโน้มที่จะจำกัดความเสียหายให้กับ "ความเสียหายที่เกิดขึ้นจริง" ซึ่งตรงข้ามกับ "ความเสียหายที่ตามมา" ซึ่ง บริษัท ของคุณมีแนวโน้ม

"โดยปกติผู้ขายจะเขียนข้อตกลงในลักษณะที่ความรับผิดชอบของพวกเขาสำหรับความประมาทเลินเล่อทั่วไปนั้นค่อนข้าง จำกัด โดยปกติจะ จำกัด เพียง 'ความเสียหายที่เกิดขึ้นจริง' และมักจะ จำกัด อยู่ที่จำนวนเงินที่ลูกค้าจ่ายให้ผู้ขายในช่วงหกหรือ 12 เดือนก่อน "Steven Ayr ที่ปรึกษาทางธุรกิจของ บริษัท Fort Point Legal ซึ่งเป็น บริษัท ที่เชี่ยวชาญด้านการเป็นตัวแทนของผู้ประกอบการและธุรกิจขนาดเล็กกล่าว "ความเสียหายที่เกิดขึ้นจริงเรียกว่าเงินที่ลูกค้าจ่ายสำหรับการบริการที่ไม่ได้จัดเตรียมไว้โดยการจำกัดความเสียหายให้กับ 'ความเสียหายที่เกิดขึ้นจริง' ข้อตกลงกำจัดความเป็นไปได้ที่ผู้ขายจะต้องรับผิดชอบต่อ ความเสียหายเช่นความเสียหายเชิงลงโทษ "

แอร์อธิบายความเสียหายที่ตามมาเนื่องจากการสูญเสียทางการเงินซึ่งเป็นขั้นตอนเดียวที่ถูกลบออกจากการฝ่าฝืนหรือการหยุดทำงานของคลาวด์ ตัวอย่างเช่นหากลูกค้าของคุณควรจะให้ช่องทางการขายขนาดใหญ่ผ่านแพลตฟอร์มการทำงานร่วมกันออนไลน์ของคุณ แต่เขาหรือเธอทำไม่ได้เพราะระบบคลาวด์ล่มคุณจะต้องรับผิดชอบต่อความเสียหายที่เกิดขึ้นตามมาจากการหยุดทำงาน

เช่นเดียวกับการรั่วไหลของข้อมูลหรืออุบัติเหตุร้ายแรง SLA ส่วนใหญ่จำกัดความเสียหายที่ผู้ขายระบบคลาวด์ต้องจ่ายหากแฮ็กเกอร์ชั้นยอดบุกผ่านระบบที่ทันสมัยหรือหากบุคคลที่สามตัดการเชื่อมต่อไฟเบอร์นอกศูนย์ข้อมูล เฉพาะในกรณีที่ทนายความของคุณสามารถพิสูจน์ได้ว่า "ความประมาทเลินเล่ออย่างร้ายแรง" ผู้ขายจะต้องรับผิดชอบต่อภาระหนี้สินทางการเงินของภัยพิบัติในระบบคลาวด์เป็นหลัก ความประมาทเลินเล่ออย่างร้ายแรงมักนำไปใช้กับการรักษาความปลอดภัยที่ไม่ดีหรือการกระทำโดยเจตนาชั่วร้ายที่ดำเนินการโดยผู้ขาย

2. ใครเป็นผู้รับผิดชอบในการส่งข้อมูลไปยังหน่วยงานราชการ

แม้ว่าคุณอาจทำงานกับผู้จำหน่ายคลาวด์ที่ปลอดภัยที่สุดในโลก แต่ก็ไม่ได้หมายความว่าข้อมูลของคุณไม่สามารถเข้าถึงได้หากไม่ได้รับความยินยอมจากคุณและไม่มีการขอความช่วยเหลือทางกฎหมายในตอนท้าย เนื่องจากคุณมอบข้อมูลของคุณให้กับผู้จำหน่ายคลาวด์คุณจึงให้สิทธิ์ผู้ขายเป็นหลักในการยินยอมให้มีการรับประกันจากหน่วยงานของรัฐ SLA ส่วนใหญ่ระบุไว้อย่างชัดเจนและเป็นไปไม่ได้ที่ผู้ค้าคลาวด์รายใหญ่เช่น Amazon Web Services (AWS) หรือ Microsoft Azure ยินดีเปลี่ยน SLA มาตรฐานของพวกเขาสำหรับ บริษัท ที่ไม่ใช่บัญชีวาฬสีขาว

ดังนั้นหากคุณมีการจองมากเกี่ยวกับการบุกรุกของรัฐบาลคุณน่าจะดีกว่าที่จะสร้างระบบคลาวด์ส่วนตัวของคุณเองหรือจัดเก็บข้อมูลของคุณในพื้นที่ ภายใต้สถานการณ์เหล่านี้คุณจะสามารถต่อสู้กับใบสำคัญแสดงสิทธิและปกป้องข้อมูลลูกค้าของคุณ แต่ถ้าคุณเลือกที่จะไปกับคลาวด์สาธารณะหรือไฮบริดคุณควรหวังว่าผู้ขายของคุณจะแบ่งปันการแพ้ให้กับพี่ใหญ่

3. กฎระเบียบเมฆเฉพาะตามภูมิศาสตร์คืออะไร?

เป็นการยากที่จะติดตามสิทธิของคุณเกี่ยวกับวิธีการจัดการข้อมูลของคุณในสหรัฐอเมริกา น่าเสียดายที่กฎข้อบังคับสากลนั้นมีความแตกต่างกันไปในแต่ละประเทศและในบางกรณีภายในแต่ละเขตอำนาจศาลในแต่ละประเทศ หากคุณเป็น บริษัท ข้ามชาติที่มีผู้ให้บริการคลาวด์ในภูมิภาคที่แตกต่างกันคุณกำลังปวดหัวครั้งใหญ่ที่พยายามทำความเข้าใจและจัดการกฎระเบียบและหนี้สินที่เกี่ยวข้อง

ตาม Ayr เป็นสิ่งสำคัญที่ บริษัท จัดเก็บข้อมูลทั่วโลกทำงานร่วมกับนักกฎหมายเพื่อระบุชนิดของข้อมูลที่พวกเขาจัดเก็บภูมิศาสตร์ที่พวกเขาจัดเก็บข้อมูลและสิ่งที่กฎหมายเฉพาะอยู่ในเขตอำนาจศาลเหล่านั้น

“ นั่นอาจเป็นงานที่ช้าและมีราคาแพง” แอร์กล่าว“ เพราะคุณจะจ่ายเงินให้ใครบางคนเพื่อใช้เวลาค้นคว้ากฎหมายของเขตอำนาจศาลต่างๆที่พวกเขาไม่คุ้นเคยจ้างทนายความในแต่ละเขตอำนาจศาลที่มีอยู่แล้ว รู้กฎหมายเหล่านั้นหรือจ้างผู้เชี่ยวชาญเรื่องที่มีราคาแพงมากที่รู้เรื่องของเขตอำนาจศาลแต่ละแห่งอยู่แล้ว "

น่าเสียดายที่วิธีที่ง่ายที่สุดและคุ้มค่าที่สุดในการตรวจสอบให้แน่ใจว่าคุณปฏิบัติตามข้อกำหนดในแต่ละเขตอำนาจศาลคือการให้ความรับผิดชอบกับผู้ให้บริการของคุณ เนื่องจากผู้ให้บริการระดับโลกได้ขยายธุรกิจของพวกเขาไปแล้วและดำเนินการตามกฎหมายเพื่อกำหนดวิธีการจัดการข้อมูลทั่วโลกพวกเขามีแนวโน้มที่จะมีข้อมูลและแนวปฏิบัติที่ดีที่สุด

"เป็นเรื่องที่ถูกกว่ามากในการจ้างทนายความเพื่อตรวจสอบเงื่อนไขการให้บริการของผู้ให้บริการสำหรับการปฏิบัติตามกฎระเบียบมากกว่าการจ้างทนายเพื่อสร้างข้อกำหนดที่สอดคล้องและเจรจากับผู้ให้บริการ" Ayr กล่าว แต่นี่ก็หมายความว่าคุณต้องพึ่งพา SLA และเราได้สำรวจวิธีที่สำคัญที่ SLA สามารถใช้งานได้กับผู้ขาย

4. ทำไมคุณควรรู้สึกสะดวกสบายในการจัดเก็บข้อมูลในระบบคลาวด์

ในสหรัฐอเมริกา บริษัท ส่วนใหญ่ได้รับการคุ้มครองตามกฎหมายความปลอดภัยของข้อมูลที่ควบคุมการจัดการข้อมูลส่วนบุคคล (PII) กฎหมายเหล่านี้กำหนดให้ผู้ขายต้องสร้างนโยบายที่เป็นลายลักษณ์อักษรโดยสรุปกลยุทธ์การปกป้องข้อมูลของพวกเขาและบังคับให้พวกเขายอมรับความรับผิดอย่างน้อยสำหรับการละเมิดและการหยุดทำงาน ในกรณีที่มีการฝ่าฝืนกฎหมายเหล่านี้ยังบังคับให้ต้องรายงานต่ออัยการสูงสุดด้วย ตัวอย่างเช่นในรัฐแมสซาชูเซตส์กฎหมายนี้เรียกว่า 201 CMR 17.00 ในแคลิฟอร์เนียกฎหมายเรียกว่า SB 1386 จนถึงปัจจุบัน 47 รัฐของสหรัฐอเมริกามีกฎหมายคล้ายกันในหนังสือ

หากกฎหมายไม่เพียงพอที่จะทำให้คุณสบายใจ (และไม่ควรเป็นเช่นนั้น) มีผู้ขายคลาวด์ที่ทำตลาดตัวเองในฐานะแชมป์ความเป็นส่วนตัวและความปลอดภัย บริษัท ต่าง ๆ เช่นผู้ให้บริการการกู้คืนความเสียหาย (DR) สไปเดอร์โอ๊คเป็นที่รู้จักกันในชื่อศูนย์บริการคลาวด์ - รู้; พวกเขาเข้ารหัสข้อมูลบนอุปกรณ์ของลูกค้าก่อนที่จะอัพโหลดข้อมูลไปยังคลาวด์ ศูนย์ความรู้หมายถึง Spider Oak และคู่แข่งไม่เคยจัดการกับข้อมูลที่ถอดรหัส การปฏิบัตินี้ช่วยให้พวกเขาสามารถจำกัดความเสี่ยงที่อาจเกิดขึ้นและไม่เคยอยู่ในตำแหน่งที่พวกเขาถูกบังคับให้มอบข้อมูลให้กับหน่วยงานของรัฐ

“ มีความเสี่ยงจำนวนมากที่องค์กรต่างๆมักละเลยเมื่อทำการโยกย้ายระบบและบริการไปยังคลาวด์” Mike McCamon ประธานและซีเอ็มโอของสไปเดอร์โอ๊คกล่าว "เราจะสรุปสี่อันดับแรกเพื่อความปลอดภัยความเป็นส่วนตัวความต่อเนื่องและการควบคุม"

"ในเวลาไม่นานเรามีรหัสผ่านหรือข้อมูลถอดรหัสรุ่นหนึ่ง" McCamon กล่าว "แม้แต่ผู้ดูแลระบบของเราเองก็ไม่สามารถรู้อะไรเกี่ยวกับลูกค้ามากกว่าปริมาณข้อมูลที่เก็บไว้ในระบบของเราข้อมูลเดียวที่เรารวบรวมเกี่ยวกับผู้ใช้คือที่อยู่อีเมลและข้อมูลการเรียกเก็บเงินหากพวกเขาต้องการแผนบริการ"

ไม่ว่า บริษัท จะทำงานร่วมกับผู้ค้ารายใหญ่เช่น Amazon และ Microsoft หรือผู้ค้ารายย่อยที่ไม่มีความรู้เช่น Spider Oak พวกเขาจะใช้ระบบคลาวด์ต่อไป Ayr กล่าว

"ในการทำงานกับการเริ่มต้นธุรกิจฉันไม่เห็นธุรกิจที่กังวลใจเป็นพิเศษเกี่ยวกับการใช้คลาวด์" Ayr กล่าว “ ถ้ามีอะไรธุรกิจใหม่ที่ดีกว่าหรือแย่กว่านั้นก็ดูว่าระบบคลาวด์นั้นปลอดภัยและไม่มีมาตรฐานเหมือนการวางเอกสารในตู้เก็บเอกสาร”