Cloud Computing : Négociation des contrats cloud
Le contrat entre votre société et un éventuel fournisseur de nuage peut être plus complexe que la plupart, donc il vaut bien le temps de s'assurer que vous obtenez droite.
Vic (J.R.) Winkler
Adapté de "Securing the Cloud" (Syngress, une empreinte de Elsevier)
Une fois que vous avez réduit votre sélection de fournisseurs de services cloud, vous devrez discuter avec votre fournisseur et épeler et s'entendre sur les détails du contrat réel. Selon les services pour lesquels vous êtes contractantes, cela peut ne pas être une question négociable du tout. Votre contrat peut être limitée à un ligne clics accord qui vous soit accepter ou vous n'avez pas.
Due diligence jouera évidemment une grande partie de décider ce que vous avez besoin en termes d'un contrat. Si vous avez besoin d'un contrat sur mesure, vous pouvez éliminer immédiatement un certain nombre de fournisseurs. La majeure partie des services de cloud sont moins susceptibles d'impliquer des contrats sur mesure que traditionnels d'hébergement ou de contrats d'impartition. L'économie de la cloud computing modèle de fournisseur de service (pour le fournisseur et le client) qui font l'affaire.
Il y aura de nombreux scénarios où vous allez accepter un accord de clics d'un fournisseur. Cela est dû à des économies financières (tant en termes de négociations de contrat minimale et les coûts du fournisseur) ou le profil de risque faible de votre application ou des données. Cependant, vous devez aussi regarder l'image plus grande et définir une stratégie et une procédure pour les futures applications de que votre entreprise, il faudra déployer.
Ayant d'autres unités d'affaires veulent suivre votre exemple sans faire une pleine mesure de due diligence est un autre risque. Souvent une partie de l'entreprise peut voir que vous utilisez une infrastructure de cloud. Cette business unit peut opter pour déployer des applications sans passer par la rigueur de déterminer ou non la solution est appropriée pour les nouvelles applications de la même façon. Ayant des normes bien définies et des procédures en place fera en sorte que les demandes de voyous ne sont pas déployées qui manqué à votre modèle de sécurité — ou, pire, qui ne respectent pas un ou plusieurs règlements par lequel votre entreprise est lié.
Lorsqu'il s'agit de points que vous voulez négocier au sein de votre contrat, s'assurer que vos exigences sont définies de manière que le fournisseur peut comprendre, et à laquelle le fournisseur peut convenir. Par exemple, spécifie que les données doit être tenue conformément aux règlements Health Insurance Portability and Accountability Act (HIPAA) peut être utile à votre entreprise. Cependant, le fournisseur de cloud ne peut pas comprendre pleinement la loi ou ses conséquences. Si vous savez que vous souhaitez que le fournisseur afin d'assurer la séparation des tâches, le personnel de contrôle, la confidentialité des données ou autres mesures de sécurité, vous devez entièrement définir ces paramètres.
Exigences du client sont lourdes pour les fournisseurs de cloud gérer quand chaque client présente les exigences d'une manière atypique et unique. Pour un fournisseur, pataugeoire grâce à nombreuses demandes de clients potentiels multiples dilapide la rentabilité. Le modèle nuage favorise l'allocation des ressources de la demande, pas à la demande de négociation.
Plutôt que d'avoir un fournisseur de services cloud de répondre aux nombreuses demandes de clients potentiels du contrat, il y a un certain nombre de fournisseurs peuvent obtenir les accréditations externes qui fournira la preuve qu'ils ont tous deux mis en place de sécurité appropriées et suivent sonore sécurité des pratiques. L'une d'elles est la déclaration no Auditing Standards (SAS) 70, communément appelé une vérification SAS 70. Cela a été publié par le American Institute of Certified Public Accountants (AICPA).
Cette vérification est des organismes de service, et il est conçu pour garantir qu'une société a des garanties et des contrôles adéquats lorsqu'il est accueillant ou traitement de données appartenant à l'un de ses clients. Une entreprise qui détient un certificat de SAS 70 a été vérifiée par un vérificateur externe. La vérificatrice a trouvé les objectifs de contrôle et les activités acceptables conformément aux exigences de la SAS 70. La Loi Sarbanes-Oxley Act Section 404 a trait au processus d'établissement de rapports sur l'efficacité des contrôles internes sur l'information financière.
Implémentation
Le cycle de vie du processus du contrat ne s'arrête pas lorsque le contrat est signé. Vous devrez évaluer continuellement l'État pendant toute la durée de l'accord. Ce sera évidemment moins rigoureux avec un accord de clics par opposition à un contrat négocié.
Cependant, même avec un accord de clics, vous avez besoin afin d'évaluer le fournisseur de cloud pour s'assurer que les services contractuels sont livrés en fait. Par exemple, si votre fournisseur d'effectuer des mises à jour OS contracter, vous devrez vérifier pour s'assurer que cela est effectué dans le délai et les modalités. Vérifications afin de s'assurer que toutes les politiques et procédures qui ont été contractées pour sont suivis sont importantes, même si elles peuvent être difficiles comme le fournisseur de cloud et enterprise peut-être être dans différents États ou pays.
Tout au long de la durée du contrat, vous et votre entreprise ont besoin de réévaluer vos besoins et le profil de risque perpétuel — qui peut être en raison de la nécessité ou le désir de déployer différentes applications ou données dans le nuage. Elle ait aussi à faire des changements dans les lois et règlements que l'entreprise doit respecter. Aussi, toute accréditation externe le fournisseur a — comme un certificat de SAS 70 — doit être vérifié pour s'assurer qu'ils sont renouvelés et pas révoqués en raison de la non-conformité.
Résiliation (fin de mandat ou anormale)
Lors de l'arrivée de la fin de la durée du contrat, que ce soit en raison d'atteindre à terme ou en raison de l'interruption anormale, il y a des besoins uniques, que vous devez considérer attentivement. Cette période de transition est lorsque les données sont plus à risque. Fin anormale peut survenir en raison d'un certain nombre de facteurs, tels que :
- Cessation des activités de fournisseur de nuage
- Rupture de contrat par une partie
- Faillite
Pendant ce temps, votre volonté sans doute être plus impliqué avec un vendeur de remplacement que celle des dépenses de temps et efforts, l'actuel fournisseur de services de police de sourcing. Les données seront toujours sur les systèmes du fournisseur et à leurs sauvegardes. Vous peuvent choisir de supprimer ces données plus tôt plutôt que plus tard, en fonction de son niveau de confidentialité. De toute évidence, si le contrat est résilié (pour une raison ou une autre) le fournisseur de cloud peut être moins disposé à aider dans le nettoyage de vos données.
Si vous pouvez définir ce que vous avez besoin en cas de résiliation de contrat initial, vous aurez une bonne base juridique pour s'assurer des données sont retirées et nettoyées selon les besoins. Le fournisseur de cloud peut être dans un autre ressort et vos données peuvent être stockées ailleurs, cela peut être un risque accru, que vous devrez accepter ou s'assurer qu'il est bien défini dans votre contrat.
Transfert de fournisseur
Si vous transférez services d'un fournisseur à l'autre, à la résiliation du contrat ou pendant la durée de vie du contrat, vous devrez tenir compte de bon nombre des mêmes facteurs qui ont été discutées dans la section précédente. Vous aurez également besoin de définir un plan pour savoir comment transférer les données de manière sécurisée entre les vendeurs.
Selon la quantité de données, vous peut juste déplacer retour à votre organisation. Puis vous pouvez le télécharger à nouveau le fournisseur. Vous pourrait aussi envisager de transférer directement entre les deux fournisseurs. Quelle méthode que vous utilisez, vous aurez besoin pour s'assurer que les données sont en sécurité pour chacun des transferts, peut-être en utilisant cryptage pour les données, alors qu'il est en transit.
Vous aurez besoin d'examiner minutieusement et de gérer ces facteurs lors de la rédaction, à examiner et à approuver un contrat avec un fournisseur de nuage. Vous entrent dans une relation potentiellement à long terme, donc vous aurez besoin pour s'assurer que les attentes et les responsabilités sont suffisamment comprises.
.jpg)
Vic (J.R.) Winkler est un principal adjoint à Booz Allen Hamilton Inc., fournissant une consultation technique principalement des États-Unis clients du gouvernement. Il est une sécurité de l'information publiée et chercheur en sécurité cybernétique, ainsi que d'expert en intrusion et détection d'anomalie.
© 2011 Elsevier Inc. Tous droits réservés. Imprimé avec la permission de Syngress, une empreinte de Elsevier. Copyright 2011. « Sécuriser le nuage » par Vic (J.R.) Winkler. Pour plus d'informations sur ce titre et d'autres livres similaires, veuillez visiter elsevierdirect.com.