Cloud computing: Problemi legali e normativi
Oltre ai problemi a livello tecnologico e di sicurezza, esistono inoltre una vasta gamma di problematiche normative, di conformità e legali da prendere in considerazione durante il passaggio al cloud computing.
Vic (J.R.) Winkler
Adattato da "assicurare la nuvola: Nuvola di tecniche di protezione del Computer e tattiche"(Syngress, un'impronta di Elsevier, 2011)
Il paesaggio intorno di cloud computing è in alcun modo statico legale e normativo. Ci sono nuove leggi proposte che potrebbero cambiare le responsabilità di fornitori e di inquilini calcolo nube.
Il cloud computing che impiega un ibrido, Comunità o modello pubblico nube "crea nuove dinamiche nel rapporto tra un'organizzazione e le sue informazioni, che comporta la presenza di una terza parte: il provider della nube. Questo crea nuove sfide nella comprensione di come le leggi si applicano ad un'ampia varietà di scenari di gestione informazioni,"secondo la Glen bruna e Rich Mogull Cloud Security Alliance, nel loro libro bianco," indicazioni della protezione per aree critiche di messa a fuoco nel Cloud Computing. "
Questo crea sfide pratiche nella comprensione di come le leggi si applicano ai diversi partiti sotto vari scenari. Indipendentemente dal quale modello di calcolo è utilizzare, nube, o in caso contrario, è necessario considerare le questioni giuridiche, in particolare quelli intorno a tutti potrebbe raccogliere, memorizzare ed elaborare i dati. Ci sarà probabilmente statale, nazionale o internazionale leggi che tu (o, preferibilmente, tuoi avvocati) dovrà valutare per assicurarvi sono in conformità legale.
Se il cliente inquilino o nube opera in Stati Uniti, in Canada o dell'Unione europea, sono oggetto di numerosi requisiti normativi. Questi includono Control Objectives per informazioni e relative tecnologie e Safe Harbor. Queste leggi potrebbero riguardare dove i dati sono memorizzati o trasferiti, così come quanto bene questi dati sono protetto da un aspetto di riservatezza.
Alcune di queste leggi si applicano a mercati specifici, quali l'Health Insurance Portability and Accountability Act (HIPAA) per il settore sanitario. Tuttavia, le aziende spesso memorizzano informazioni relative alla salute su singoli dipendenti, ovvero che quelle aziende potrebbero essere necessario rispettare HIPPA anche se essi non opera nel mercato in questione.
Fallimento di proteggere adeguatamente i dati può avere una serie di conseguenze, tra cui il potenziale di multe da uno o più governo o organismi di regolamentazione dell'industria. Tali sanzioni possono essere sostanziale e potenzialmente paralizzante per piccole o medie aziende. Ad esempio, l'industria di carta di pagamento (PCI) può infliggere ammende di fino a 100.000 dollari al mese per le violazioni alla sua conformità. Anche se queste multe saranno riscossi sulla riva incorporante, sono suscettibili di impatto il mercante pure.
Leggi e regolamenti in genere specificano che all'interno di un'impresa dovrebbe essere tenuto responsabile e responsabile per la sicurezza e precisione dei dati. Se siete raccogliendo e titolare di dati HIPAA, deve avere una posizione di sicurezza designata per garantire la conformità. L'atto Sarbanes–Oxley designa il CFO e amministratore delegato di avere responsabilità comune per i dati finanziari. L'atto di Gramm–Leach–Bliley è più ampia, specificando la responsabilità per la sicurezza con l'intero Consiglio di amministrazione. Meno specifico è la Federal Trade Commission (FTC), che richiede solo un individuo specifico di essere responsabile per il programma di protezione di informazioni all'interno di una società.
Coinvolgimento di terze parti
Se si utilizza un'infrastruttura di nube proveniente da un provider di servizi cloud, devono imporre tutti i requisiti legali o regolamentari applicabili alla vostra impresa sul vostro fornitore pure. È vostra responsabilità, non il provider. Ad esempio, prendendo i regolamenti HIPAA, eventuali subappaltatori che impiegano (ad esempio, un fornitore di servizi di nube) devono avere una clausola nel contratto stabilendo che il provider utilizza i controlli di sicurezza ragionevoli e anche rispettare tutte le disposizioni sulla privacy dei dati.
Negli Stati Uniti, sia enti governativi federali e statali come la FTC e vari procuratori generali hanno fatto imprese responsabili per le azioni dei loro subappaltatori. Questo è stato replicato altrove, ad esempio in Unione con le agenzie di protezione dei dati. Come l'uso di infrastruttura cloud diventa più prevalente, che i rischi di un terzo partito l'accesso ai dati illegalmente stanno aumentando.
Anche con i dati crittografati, il terzo potrebbe avere accesso alle chiavi e quindi avere accesso ai dati sottostanti. Spesso i rischi sono ingigantiti, come potrebbe esserci un certo numero di terzi coinvolti: il provider di nube; nube di supporto; operazioni; e il team di gestione; più altri che gestire e supportare le applicazioni. Gli appaltatori che potrebbe ulteriormente il lavoro per una qualsiasi di quelle organizzazioni composte la dissipazione nel controllo.
Questioni contrattuali
Queste sono alcune delle questioni che si deve prendere in considerazione in tutte le fasi del processo contratto:
- Iniziale dovuta diligenza
- Negoziazione di contratti
- Implementazione
- Terminazione (fine del termine o anormale)
- Trasferimento del fornitore
Iniziale dovuta diligenza
Prima di stipulare un contratto con un fornitore di nube, vostra impresa deve valutare le specifiche esigenze e requisiti. È necessario definire l'ambito dei servizi che stai cercando, insieme a eventuali restrizioni, regolamenti o problemi di conformità che devono essere soddisfatti. Per esempio, se hai intenzione di raccogliere e memorizzare i dati del dipendente HIPAA nella nube, è necessario assicurarsi che qualsiasi fornitore si incontrerà gli orientamenti definiti dai regolamenti HIPAA. Valutare diverse leggi e regolamenti che deve rispettare la vostra impresa può definire bene ciò che è possibile distribuire in una nuvola o quale tipo di servizio è possibile utilizzare.
Si dovrebbero anche tasso di tutti i servizi che si distribuisce a nuvola rispetto alla loro criticità per il vostro business. Se si desidera distribuire un servizio che è fondamentale per il business o causerebbe una perturbazione più importante se esso è diventato disponibile, quindi avrete bisogno di questo fattore nella vostra valutazione fornitore.
Come un certo numero di fornitori stanno entrando in questo mercato, è inevitabile che alcuni avrà esito negativo o semplicemente smettere di prestazione del servizio, se lo ritengono che non è vantaggioso per loro. Spesso, le grandi imprese saranno entrare nel mercato, ma lasciare che una volta non si concretizzano il profitto atteso. Se questo è il core business del fornitore nube, potrebbe essere disposto a continuare ad operare per più con un profitto più piccolo.
Domande che dovrebbero prendere in considerazione prima di valutare i provider di servizi cloud includono:
- Questo servizio nube è un vero core business del provider?
- Come finanziariamente stabile è il fornitore?
- È la società di outsourcing ogni aspetto del servizio a terzi, e in tal caso, il terzo ha ancora adeguati accordi con il provider?
- La protezione fisica dei suoi centri dati di soddisfare le vostre esigenze legali, normative e commerciali?
- Sono la sua continuità operativa e disaster piani di recupero coerente con le esigenze della tua azienda?
- Qual è il suo livello di competenze tecniche all'interno del suo team di operazioni?
- Quanto tempo l'azienda offre il servizio, e ha un track record con i clienti verificabili?
- Il provider offre qualsiasi indennizzo?
Una volta che la vostra azienda ha eseguito tale dovuta diligenza è possibile iniziare la valutazione seria dei fornitori. Ciò riduce il tempo potrai trascorrere in generale nei negoziati e assicurarsi che il corretto livello di sicurezza sia sul posto per le vostre particolari esigenze.
Non si può pretendere vostro fornitore nube per conoscere i requisiti di business in dettaglio. Può ben essere inconsapevole dei regolamenti a cui devono essere conformi. Se c'è una violazione nei regolamenti, sarà vostra impresa che è penalizzato e non scelto nube fornitore. Quindi, scegliere bene — ma ancora fare i compiti a casa.
.jpg)
Vic (J.R.) Winkler è un senior associate presso Booz Allen Hamilton Inc., fornendo consulenza tecnica principalmente Stati Uniti clienti di governo. Egli è una sicurezza delle informazioni pubblicate e cyber ricercatore per la sicurezza, nonché esperto di intrusione e di rilevazione delle anomalie.
© 2011 Elsevier Inc. Tutti i diritti riservati. Stampato con il permesso di Syngress, un'impronta di Elsevier. Copyright 2011. "Protezione della nube" da Vic (J.R.) Winkler. Per ulteriori informazioni su questo titolo e di altri libri simili, si prega di visitare elsevierdirect.com.