Cloud-forskrifter: hva du trenger å vite for å være trygg

Ettersom skyadopsjon blir allestedsnærværende, er det viktigere enn noen gang for bedrifter å forstå regelverket og sivile forpliktelser knyttet til lagring av data og applikasjoner i skyen. Mer enn 93 prosent av virksomhetene bruker skyen på en eller annen måte, ifølge undersøkelsesresultatene fra Right Scale, et skystyringsselskap. Men de selskapene som lagrer data om offentlige skyer og hybride skyer, er spesielt utsatt for regulering og straffer hvis et datainnbrudd oppstår eller hvis det er betydelig skynedtid.

De fleste selskaper, spesielt små til mellomstore bedrifter (SMB), signerer standard servicenivåavtaler (SLA) med nettskyleverandører. Disse SLA-ene har en tendens til å være mer fordelaktig for leverandøren enn kunden, og som et resultat, begrenser de skader skyleverandørene betaler hvis og når en katastrofe oppstår.

For å hjelpe deg med å forstå hva du trenger å vite for å være bedre forberedt på de juridiske konsekvensene av å flytte til skyen, og for å hjelpe deg med å finne ut om du er beskyttet dersom din offentlige eller hybrid sky brytes, har vi samlet denne listen over ting å vurdere.

1. Hvem er ansvarlig for kundeinformasjon etter brudd på data?

La oss si at du lagrer alle kundedataene dine i en tredjeparts sky. Hvis en hacker er i stand til å bryte den skyen, stjele dataene dine og bruke dem for å skade kundene dine, vil noen avvikle med å betale sivile straffer. Avhengig av ordlyden i SLA-en din, vil skoleselgeren sannsynligvis begrense skadene til "faktiske skader" i motsetning til "følgeskader" som firmaet ditt sannsynligvis er ansvarlig for.

"Vanligvis vil en leverandør skrive avtalen sin på en slik måte at ansvaret for ordinær uaktsomhet er ganske minimalt, vanligvis begrenset til" faktiske skader "og ofte avkortet til det beløpet kunden har betalt leverandøren i løpet av de seks eller 12 månedene før, "sa Steven Ayr, forretningsadvokat i Fort Point Legal, et firma som spesialiserer seg på å representere gründere og små bedrifter. "Faktiske skader blir referert til som pengene kunden betalte for tjenesten som ikke ble levert. Ved å begrense skader til" faktiske skader ", eliminerer avtalene muligheten for at leverandøren kan være ansvarlig for" følgeskader "og andre klasser av erstatning som straffeskade. "

Ayr beskriver følgeskader som økonomiske tap som er ett skritt fjernet fra bruddet eller skyens driftsstans. For eksempel, hvis kunden din skulle gi et stort salgstittel via din online samarbeidsplattform, men han eller hun ikke kunne fordi skyen var nede, ville du være ansvarlig for følgeskader av denne driftsstansen.

Det samme gjelder datainnbrudd eller rene ulykker. De fleste SLA-er begrenser skadene som skoleselgere må betale hvis elite-hackere bryter gjennom topp moderne systemer eller hvis en tredjepart kutter fiberforbindelsen utenfor datasenteret. Bare hvis advokaten din kan bevise "grov uaktsomhet", vil leverandøren være hovedansvarlig for de økonomiske forpliktelsene til en sky-katastrofe. Brutto uaktsomhet gjelder vanligvis for dårlig sikkerhet eller forsettlige ubehagelige handlinger som foretas av leverandøren.

2. Hvem er ansvarlig for å sende inn data til myndighetsorganer?

Selv om du kanskje jobber med den sikreste skyleverandøren i verden, betyr det ikke at det ikke er mulig å få tilgang til dataene dine uten ditt samtykke og uten rettslig behandling. Fordi du overlater dataene dine til en skyleverandør, gir du i hovedsak leverandøren tillatelse til å samtykke til statlige warrants. De fleste SLA-er oppgir dette veldig tydelig, og det er lite sannsynlig at store skyselgere som Amazon Web Services (AWS) eller Microsoft Azure er villige til å endre sin standard SLA for et selskap som ikke er en hvithvalskonto.

Så hvis du har ekstreme forbehold om inntrenging fra myndighetene, har du sannsynligvis bedre å bygge din egen private sky eller lagre dataene dine lokalt. Under disse omstendighetene vil du kunne bekjempe garantien og beskytte dine kundedata. Men hvis du velger å gå med en offentlig sky eller en skysky, kan du håpe at leverandøren deler din intoleranse for Big Brother.

3. Hva er de spesifikke skyreguleringene etter geografi?

Det er vanskelig nok å følge med på rettighetene dine om hvordan dataene dine administreres i USA. Dessverre varierer globale forskrifter for hvert enkelt land og i noen tilfeller innenfor hver jurisdiksjon i hvert enkelt land. Hvis du er en multinasjonal virksomhet med skytjenesteleverandører i forskjellige geografier, er du ute etter en stor hodepine som prøver å forstå og håndtere tilhørende forskrifter og forpliktelser.

Ifølge Ayr er det avgjørende at selskaper som lagrer data globalt samarbeider med advokater for å identifisere hvilke typer data de lagrer, geografiene de lagrer dataene i, og hva de spesifikke lovene er innenfor disse jurisdiksjonene.

Men det kan være tregt, kostbart arbeid, sa Ayr, fordi du enten vil betale noen for å bruke tiden på å forske på lovene i flere jurisdiksjoner de ikke er kjent med, ansett en advokat i hver jurisdiksjon som allerede kjenner disse lovene, eller ansett en veldig kostbar fagekspert som allerede kjenner til og på outs i hver jurisdiksjon."

Dessverre er den enkleste og mest kostnadseffektive måten å sikre at du er kompatibel innenfor hver jurisdiksjon, å sette onus på tjenesteleverandøren. Fordi globale tjenesteleverandører allerede har utvidet virksomheten og gjort et arbeid for å finne ut hvordan data skal håndteres globalt, er det mer sannsynlig at de har informasjonen og beste praksis på plass.

"Det er tross alt mye billigere å ansette en advokat for å gjennomgå leverandørens tjenestevilkår for samsvar, enn å ansette en advokat for å opprette vilkår som er kompatible og deretter forhandle dem med en leverandør, " sa Ayr. Men dette betyr også at du er avhengig av SLA-er, og vi har allerede utforsket de viktige måtene en SLA kan fungere til fordel for leverandøren.

4. Hvorfor skal du føle deg komfortabel med å lagre data i skyen?

I USA er de fleste selskaper beskyttet av datasikkerhetslover som styrer håndteringen av personlig identifiserbar informasjon (PII). Disse lovene krever at leverandører oppretter skriftlige retningslinjer som beskriver deres databeskyttelsesstrategier og tvinger dem til å påta seg i det minste noe ansvar for brudd og driftsstans. I tilfelle brudd, gjør disse lovene det også obligatorisk å rapportere det til riksadvokaten. I Massachusetts, for eksempel, kalles denne loven 201 CMR 17.00. I California kalles loven SB 1386. Til dags dato har 47 amerikanske stater lignende lover på bøkene.

Hvis lovene ikke er nok til å gjøre det enkelt (og de burde ikke være det), er det skyselgere som markedsfører seg som forkjemper for privatliv og sikkerhet. Selskaper som leverandør av katastrofegjenoppretting (DR) Spider Oak er kjent som skytjenester med null kunnskap; de krypterer data på klientenes enheter før de laster opp dataene til skyen. Null kunnskap betyr at Spider Oak og konkurrentene aldri håndterer dekryptert data. Denne praksisen hjelper dem å begrense potensiell risiko og aldri sette seg i en posisjon der de er tvunget til å overlate data til myndighetene.

"Det er en god del risikoer organisasjoner ofte ignorerer når de migrerer systemer og tjenester til skyen, " sa Mike McCamon, president og CMO i Spider Oak. "Vi ville oppsummere de fire beste for å være sikkerhet, personvern, kontinuitet og kontroll."

"På ingen tid har vi passord eller en versjon av deres dekrypterte data, " la McCamon til. "Selv våre egne systemadministratorer kan ikke vite mer om en kunde enn datamengden som er lagret i systemet vårt. De eneste dataene vi samler inn om brukere er en e-postadresse og faktureringsinformasjon hvis de trenger en serviceplan."

Uansett om selskaper jobber med store leverandører som Amazon og Microsoft, eller små leverandører med null kunnskap som Spider Oak, vil de fortsette å bruke skyen, hevder Ayr.

"I mitt arbeid med nystartede selskaper ser jeg generelt ikke bedrifter som er spesielt nervøse for å bruke skyen, " sa Ayr. "Hvis noe, nye bedrifter, på bedre eller verre, se på skyen som like sikker og lite bemerkelsesverdig som å legge dokumenter i arkivskap."