Cloud-Computing: Rechtliche und regulatorische Probleme

Abgesehen von den Problemen in Bezug auf Technologie und Sicherheit gibt es eine Vielzahl weiterer regulatorischer und rechtlicher Probleme sowie Probleme in Bezug auf die Compliance, die bei der Migration zur Cloud berücksichtigt werden müssen.

Vic (j.r.) Winkler

Angepasst von "Sicherung der Wolke: Computer Sicherheitstechniken und Taktiken Cloud"(Syngress, ein Abdruck von Elsevier, 2011)

Die rechtlichen und regulatorischen Landschaft rund um Cloud computing-keineswegs statisch ist. Es gibt neue Gesetze vorgeschlagen werden, die die Verantwortlichkeiten der Wolke computing Mieter und Anbieter ändern könnte.

Cloud-computing, die ein Hybrid, Gemeinschaft oder öffentlichen Cloud-Modell beschäftigt "neue Dynamik in der Beziehung zwischen einer Organisation und ihrer Informationen, bei denen die Präsenz einer dritten Partei erstellt: die Cloud-Anbieter. Dies schafft neue Herausforderungen zu verstehen, wie eine Vielzahl von Szenarien der Informationen, Gesetze"laut Glen Brünette und Rich Mogull von Cloud Security Alliance, in ihrem Weißbuch" Security Guidance für kritische Bereiche des Fokus im Cloud Computing. "

Dadurch praktische Herausforderungen zu verstehen, wie Gesetze für die verschiedenen Parteien unter verschiedenen Szenarien gelten. Unabhängig davon, welche computing-Modell Sie verwenden, Wolken oder anders, Sie betrachten müssen, die rechtlichen Probleme, insbesondere Daten sammeln, speichern und verarbeiten kann. Es werden wahrscheinlich staatliche, nationale oder internationale Gesetze, die Sie (oder, vorzugsweise, Ihre Anwälte) zu prüfen, um sicherzustellen, dass müssen sind in Einhaltung gesetzlicher Vorschriften.

Wenn der Mieter oder Cloud-Kunden in den Vereinigten Staaten, Kanada oder der Europäischen Union betreibt, sind sie unterliegen zahlreichen gesetzlichen Anforderungen. Dazu gehören Control Objectives für Informations- und verwandte Technologie und Safe Harbor. Diese Gesetze betreffen könnte wo die Daten gespeichert oder übertragen werden, als auch, wie gut diese Daten von einem Aspekt der Vertraulichkeit geschützt ist.

Einige dieser Gesetze gelten für bestimmte Märkte, wie den Health Insurance Portability and Accountability Act (HIPAA) für die Health Care Industrie. Unternehmen speichern jedoch häufig gesundheitsbezogene Informationen über einzelne Mitarbeiter, was bedeutet, dass die Unternehmen haben könnte, HIPAA einzuhalten, auch wenn sie nicht in diesem Markt tätig sind.

Fehler um Ihre Daten angemessen zu schützen kann eine Reihe von Konsequenzen, einschließlich der möglichen Geldstrafen von Regierung oder Industrie regulatorischen Organe haben. Solche Geldstrafen kann erhebliche und potentiell lähmenden für kleine und mittelständische Unternehmen. Beispielsweise kann der Payment Card Industry (PCI) Geldbußen von bis zu $100.000 pro Monat für Verstöße auf seine Kompatibilität. Obwohl diese Strafen auf die erwerbende Bank erhoben werden, sind sie wahrscheinlich den Händler sowie Auswirkungen.

Gesetze oder Verordnungen geben in der Regel, die innerhalb eines Unternehmens verantwortlich und rechenschaftspflichtig für die Korrektheit der Daten und Sicherheit gehalten werden sollte. Wenn Sie sammeln und HIPAA Daten, müssen Sie eine Sicherheit Position bestimmt zu gewährleisten. Das Sarbanes–Oxley Gesetz bezeichnet die CFO und CEO Mitverantwortung für die finanziellen Daten zu haben. Das Gramm–Leach–Bliley Gesetz ist breiter, mit gesamten Board of Directors die Verantwortung für die Sicherheit angeben. Weniger spezifisch ist die Federal Trade Commission (FTC), wonach nur eine bestimmte Person verantwortlich für die Information Security Programm innerhalb eines Unternehmens sein.

Beteiligung Dritter

Wenn Sie eine Cloud-Infrastruktur stammen aus einer Wolke Dienste-Anbieter verwenden, müssen Sie alle gesetzliche oder aufsichtsrechtlichen Anforderungen auferlegen, die für Ihr Unternehmen sowie Ihre Lieferanten gelten. Dies liegt in Ihrer Verantwortung, nicht der Anbieter. Die HIPAA-Bestimmungen müssen als Beispiel, Subunternehmer, die Sie (z. B. ein Wolken-Dienstleister beschäftigen) haben eine Klausel in den Vertrag, wonach der Anbieter verwenden angemessene Sicherheitskontrollen und auch alle Daten Datenschutz-Bestimmungen entsprechen.

In den Vereinigten Staaten haben sowohl Bundes- und Regierungsbehörden wie die FTC und verschiedenen Attorney General Unternehmen verantwortlich für die Handlungen ihrer Subunternehmer gemacht. Dies wurde replizierten an anderer Stelle, z. B. in der EU mit den Daten-Schutz-Agenturen. Da die Verwendung der Cloud-Infrastruktur häufiger wird, die Risiken einer dritten Partei den Zugriff auf Daten illegal steigen auch.

Auch mit verschlüsselten Daten könnte der dritte haben Zugriff auf Schlüssel und haben somit Zugriff auf die zugrunde liegenden Daten. Die Risiken sind häufig vergrößert, wie eine Reihe von beteiligten Dritten es könnte: die Cloud-Anbieter; Wolke-Unterstützung; Operationen; und Management-Teams; und andere, die Verwaltung und Unterstützung von Anwendungen. Auftragnehmer, die Arbeit für jeden von diesen Organisationen könnte weiter verschlimmern die Verlustleistung im Steuerelement.

Vertragliche Fragen

Dies sind nur einige der Fragen, die Sie in allen Phasen des Prozesses vertragliche berücksichtigen müssen:

• Erste durch Fleiß
• Vertragsverhandlungen
• Implementierung
• Kündigung (Ende der Begriff oder anormalen)
• Lieferanten-transfer

Erste Due Diligence

Bevor man einen Vertrag mit einer Wolke Anbieter, sollte Ihr Unternehmen seine spezifischen Bedürfnisse und Anforderungen bewerten. Sie sollten den Umfang der Dienste definieren, die Sie suchen, zusammen mit allen Einschränkungen und Kompatibilitätsprobleme, die erfüllt werden müssen. Zum Beispiel, wenn du gehst, zu sammeln und Speichern von Mitarbeiterdaten HIPAA in der Wolke, müssen Sie sicherstellen, dass jeder Lieferant vom HIPAA-Bestimmungen festgelegten Leitlinien erfüllen wird. Beurteilung der unterschiedlichen Rechts- und Verwaltungsvorschriften, die, denen Ihr Unternehmen braucht, zu befolgen, kann auch definieren, was Sie bereitstellen können, in einer Cloud oder welchen Dienst Sie verwenden können.

Bewerten Sie auch alle Dienste, die Sie in die Cloud in Bezug auf ihre Wichtigkeit für Ihr Unternehmen bereitstellen. Wenn Sie einen Dienst bereitstellen, der für das Geschäft oder eine größere Unterbrechungen führen würde, wenn es nicht mehr verfügbar war, dann müssen Sie dies in Ihre Lieferantenbewertung Faktor.

Wie eine Reihe von Anbietern in diesem Markt eingeben, ist es unvermeidlich, dass einige fehl oder der Dienstleistung, wenn sie halten, dass es profitabel für sie nicht einfach aufhören wird. Großunternehmen werden oft in den Markt eintreten aber es verlassen, sobald der erwartete Gewinn nicht materialisieren. Ist dies das Kerngeschäft von der Wolke Anbieter, kann es gerne weiterarbeiten für mehr mit einem kleineren Gewinn sein.

Fragen, die man beachten sollte vor Bewertung Anbieter von Cloud-Diensten gehören:

• Ist diese Cloud-Service eine echte Kerngeschäft des Anbieters?
• Wie finanziell stabil ist der Anbieter?
• Ist das Unternehmen outsourcing jeden Aspekt des Dienstes an Dritte und wenn ja, hat der dritte die geeigneten Vereinbarungen mit den Anbieter?
• Bedürfnisse die physische Sicherheit ihrer Rechenzentren Ihre rechtlichen, regulatorischen und geschäftlichen?
• Sind ihre Business-Continuity und Disaster Recovery-Pläne mit Ihren geschäftlichen Anforderungen?
• Was ist das Niveau des Fachwissens in der Operations-Team?
• Wie lange das Unternehmen bietet den Dienst, und es hat eine Erfolgsbilanz mit überprüfbaren Kunden?
• Bietet der Anbieter eine Entschädigung?

Sobald Ihr Unternehmen solche due Diligence durchgeführt hat können Sie ernsthafte Bewertung der Anbieter beginnen. Dies reduziert die Zeit, die Sie verbringen insgesamt in die Verhandlungen und stellen sicher, dass das richtige Maß an Sicherheit für Ihre Bedürfnisse zugeschnitten ist.

Sie können nicht erwarten, Ihre Wolke Anbieter Ihre geschäftlichen Anforderungen im Detail zu kennen. Es kann gut der Verordnungen nicht bewusst sein, die es eingehalten werden muss. Ist ein Verstoß gegen Vorschriften, wird es Ihrem Unternehmen, die bestraft wird und nicht die gewählten cloud Anbieter. Wählen Sie also gut – aber immer noch Ihre Hausaufgaben machen.

Vic (j.r.) Winkler Senior ist associate bei Booz Allen Hamilton Inc., die technischen Beratung vor allem USA Regierung-Kunden. Er ist ein veröffentlichten Informationen-Sicherheit und Cyber Security Researcher, sowie ein Experte in Intrusion und Anomalie-Erkennung.

© 2011 Elsevier Inc. Alle Rechte vorbehalten. Gedruckt mit Erlaubnis von Syngress, ein Abdruck von Elsevier. Copyright 2011. "Schützen die Wolke" von Vic (j.r.) Winkler. Für weitere Informationen zu diesem Titel und andere ähnliche Bücher, besuchen Sie bitte elsevierdirect.com.

Verwandter Inhalt

• Microsoft Forefront: Sicherer Zugriff auf Ihre Clouddienste
• Cloud-Sicherheit: Sicher teilen sie Lösungen
• Cloud-Computing: Immer in Richtung Cloud