Video: Essere al sicuro nel cloud (Settembre 2024)
Man mano che l'adozione del cloud diventa onnipresente, per le aziende è più importante che mai comprendere le normative e le responsabilità civili associate alla memorizzazione di dati e applicazioni nel cloud. Oltre il 93 percento delle aziende utilizza il cloud in qualche modo, secondo i risultati del sondaggio di Right Scale, una società di gestione del cloud. Ma quelle aziende che archiviano dati su cloud pubblici e ibridi sono particolarmente suscettibili di regolamentazione e sanzioni in caso di violazione dei dati o in caso di significativi tempi di inattività del cloud.
La maggior parte delle aziende, in particolare le piccole e medie imprese (PMI), firmano accordi standard sui livelli di servizio (SLA) con i fornitori di cloud. Questi SLA tendono a beneficiare il fornitore più del cliente e, di conseguenza, limitano i danni che i fornitori del cloud pagano se e quando si verifica un disastro.
Per aiutarti a capire cosa devi sapere per essere meglio preparato per le conseguenze legali dello spostamento nel cloud e per aiutarti a capire se sei protetto in caso di violazione del tuo cloud pubblico o ibrido, abbiamo compilato questo elenco di cose da considerare.
1. Chi è responsabile per le informazioni dei clienti dopo la violazione dei dati?
Supponiamo che tu memorizzi tutti i dati dei tuoi clienti all'interno di un cloud di terze parti. Se un hacker è in grado di violare quel cloud, rubare i tuoi dati e usarlo per danneggiare i tuoi clienti, qualcuno finirà per pagare sanzioni civili. A seconda della formulazione del contratto di servizio, è probabile che il fornitore del cloud limiti i suoi danni ai "danni effettivi" rispetto ai "danni consequenziali" di cui la tua azienda è probabilmente responsabile.
"Di solito un venditore scriverà il proprio accordo in modo tale che la sua responsabilità per negligenza ordinaria sia abbastanza minima, generalmente limitata a" danni effettivi "e spesso limitata a qualsiasi importo che il cliente ha pagato al venditore nei sei o dodici mesi precedenti ", ha affermato Steven Ayr, Business Counsel presso Fort Point Legal, una società specializzata nella rappresentazione di imprenditori e piccole imprese. "I danni effettivi sono indicati come il denaro pagato dal cliente per il servizio che non è stato fornito. Limitando i danni a" danni effettivi ", gli accordi eliminano la possibilità che il venditore possa essere ritenuto responsabile per" danni consequenziali "e altre classi di danni come danni punitivi ".
Ayr descrive i danni consequenziali come perdite finanziarie che sono un passo rimosse dalla violazione o dai tempi di inattività del cloud. Ad esempio, se si supponesse che il cliente fornisse un grande passo di vendita tramite la piattaforma di collaborazione online, ma non poteva perché il cloud era inattivo, si sarebbe responsabili dei danni conseguenti di questo tempo di inattività.
Lo stesso vale per violazioni dei dati o incidenti puri. La maggior parte degli SLA limita i danni che i fornitori di cloud devono pagare se gli hacker d'élite superano sistemi all'avanguardia o se una terza parte interrompe la connessione in fibra al di fuori del data center. Solo se il tuo avvocato può dimostrare "grave negligenza", il venditore sarà il principale responsabile delle passività finanziarie di una catastrofe nel cloud. La negligenza grave si applica in genere alla scarsa sicurezza o alle azioni intenzionali nefaste intraprese dal venditore.
2. Chi è responsabile per l'invio dei dati alle agenzie governative?
Anche se potresti lavorare con il fornitore di cloud più sicuro al mondo, ciò non significa che i tuoi dati non siano accessibili senza il tuo consenso e senza ricorso legale da parte tua. Poiché i dati vengono consegnati a un fornitore cloud, essenzialmente si sta dando il permesso al fornitore di acconsentire ai warrant governativi. La maggior parte degli SLA lo afferma in modo molto chiaro ed è improbabile che i grandi fornitori di cloud come Amazon Web Services (AWS) o Microsoft Azure siano disposti a modificare il loro SLA standard per un'azienda che non è un account di balena bianca.
Quindi, se hai riserve estreme sull'intrusione del governo, probabilmente stai meglio costruendo il tuo cloud privato o archiviando i tuoi dati localmente. In queste circostanze, sarai in grado di combattere il mandato e proteggere i dati dei tuoi clienti. Ma, se scegli di utilizzare un cloud pubblico o ibrido, faresti meglio a sperare che il tuo fornitore condivida la tua intolleranza per il Grande Fratello.
3. Quali sono i regolamenti cloud specifici per area geografica?
È abbastanza difficile tenere traccia dei tuoi diritti su come i tuoi dati sono gestiti negli Stati Uniti. Sfortunatamente, le normative globali differiscono per ciascun Paese specifico e, in alcuni casi, all'interno di ciascuna giurisdizione in ciascun Paese specifico. Se sei un'azienda multinazionale con fornitori di servizi cloud in diverse aree geografiche, hai un grosso mal di testa che cerca di comprendere e gestire le normative e le responsabilità associate.
Secondo Ayr, è fondamentale che le aziende che archiviano dati a livello globale collaborino con gli avvocati per identificare i tipi di dati che stanno archiviando, le aree geografiche in cui archiviano i dati e quali sono le leggi specifiche all'interno di tali giurisdizioni.
"Questo può essere un lavoro lento e costoso, " disse Ayr, "perché pagherai qualcuno per passare il tempo a ricercare le leggi di diverse giurisdizioni con cui non ha familiarità, assumere un avvocato in ogni giurisdizione che già ha conosce quelle leggi o assume un esperto in materia molto costoso che già conosce i dettagli di ogni giurisdizione ".
Sfortunatamente, il modo più semplice ed economico per garantire la tua conformità all'interno di ogni giurisdizione è quello di mettere da parte il tuo fornitore di servizi. Poiché i fornitori di servizi globali hanno già ampliato le proprie attività e svolto il lavoro di legwork per determinare come i dati dovrebbero essere gestiti a livello globale, è più probabile che dispongano delle informazioni e delle migliori pratiche.
"Dopo tutto, è molto più economico assumere un avvocato per rivedere i termini di servizio di un fornitore per la conformità piuttosto che assumere un avvocato per creare termini conformi e quindi negoziarli con un fornitore", ha detto Ayr. Ciò significa anche che ti affidi agli SLA e abbiamo già esplorato i modi importanti in cui uno SLA può operare a favore del fornitore.
4. Perché dovresti sentirti a tuo agio nell'archiviazione dei dati nel cloud?
Negli Stati Uniti, la maggior parte delle aziende è protetta dalle leggi sulla sicurezza dei dati che regolano il trattamento delle informazioni di identificazione personale (PII). Queste leggi impongono ai fornitori di creare politiche scritte che delineano le loro strategie di protezione dei dati e li costringono ad accettare almeno alcune responsabilità per violazioni e tempi di inattività. In caso di violazione, queste leggi rendono anche obbligatorio denunciarlo al Procuratore Generale. In Massachusetts, ad esempio, questa legge si chiama 201 CMR 17.00. In California, la legge si chiama SB 1386. Ad oggi, 47 stati degli Stati Uniti hanno leggi simili sui libri.
Se le leggi non bastano per metterti a tuo agio (e non dovrebbero esserlo), ci sono venditori di cloud che si propongono come campioni di privacy e sicurezza. Aziende come il provider di servizi di disaster recovery (DR) Spider Oak sono noti come servizi cloud a conoscenza zero; crittografano i dati sui dispositivi dei loro clienti prima di caricarli sul cloud. Conoscenza zero significa che Spider Oak e i suoi concorrenti non gestiscono mai i dati decifrati. Questa pratica li aiuta a limitare il rischio potenziale e a non mettersi mai in una posizione in cui sono costretti a consegnare dati a entità governative.
"Esistono numerosi rischi che le organizzazioni spesso ignorano durante la migrazione di sistemi e servizi nel cloud", ha dichiarato Mike McCamon, Presidente e CMO di Spider Oak. "Vorremmo riassumere i primi quattro come sicurezza, privacy, continuità e controllo."
"Non abbiamo mai una password o una versione dei loro dati decifrati", ha aggiunto McCamon. "Persino i nostri amministratori di sistema non sono in grado di sapere di più su un cliente del volume di dati archiviati nel nostro sistema. Gli unici dati che raccogliamo sugli utenti sono un indirizzo e-mail e le informazioni di fatturazione se richiedono un piano di servizio."
Indipendentemente dal fatto che le aziende lavorino o meno con grandi fornitori come Amazon e Microsoft o con piccoli fornitori a conoscenza zero come Spider Oak, continueranno a utilizzare il cloud, sostiene Ayr.
"Nel mio lavoro con le start-up, generalmente non vedo aziende particolarmente nervose nell'uso del cloud", ha affermato Ayr. "Semmai, nuove aziende, nel bene o nel male, considerano il cloud altrettanto sicuro e irrilevante come mettere i documenti in un archivio."
