《企業網D1Net》10月4日訊
這個星期,歐盟委員會(EC)和信息專員辦公室(ICO)都就云計算安全發布了指導方針。
前者是關于確保理解和給予足夠清晰,以及利用財務效益,而ICO的指導方針則是關于提醒企業在進一步追尋云計算時別忘了對個人數據的責任。
ICO說,即使相關公司已經將個人數據遷移到云網絡供應商處,也仍熱富有照看個人數據的責任。ICO說至于究竟有多少企業根本沒有意識到他們就算將個人數據移交給云網絡供應商也仍然負有責任,實在令人擔心。
Simon Rice博士——ICO技術政策顧問,同時也是這些方針的作者——如此說道:“關于外包數據的法律十分清晰。作為一個企業,你對于保證你的數據安全毫無疑問負有責任。你可以外包一些數據處理過程,正如云計算中的那樣,但是那些數據被用作何事、獲得怎樣的保護,仍然是你的責任。”
“對于一個組織來說,若認為這些指導方針只是將一些數據存在不同處的一些工作,就實在太天真了。只要牽涉到個人信息的地方,賭注都很高,而ICO已經表明了它將在堅決反對那些不符合數據保護法的人。”
去年Field Fisher律師事務所的合伙人Stewart Room告訴SC雜志,數據保護指令的變化將包括一個“綁定安全處理器規則”,即數據所有者將不會承擔經云供應商之手造成的損失。
他說:“如果你外包給一個已認證的公司,一旦他們損害到你的數據,你不用自己承擔責任。我相信這對于那些至今為止依然對云端第三方責任以及安全性感到擔憂的企業采用云服務而言,將是重要的一步。”
Vormetric公司歐洲、中東、非洲地區副總裁Paul Ayers說,這些指導方針對于全體范圍內的企業數據保護責任以及可能伴隨數據不恰當管理接踵而至的危險來說,均是一個及時的提醒。
他說,“一些一廂情愿的公司相信,利用云就能給自己擺脫掉保護數據安全性的責任。但是事實并非如此。公司們仍要有能力確定他們的數據托管于何處以及哪些數據保護政策于此相關。
“云在敏捷度和成本節省前景方面提供了明顯的優勢,但是,擁有數據的企業作為最終義務所在地,必須擁有數據安全性的所有權。當涉及到公有云中的敏感數據時,企業是最終負責的,且需要進行盡職調查。”
信息安全論壇(ISF)的全球總裁Steve Durbin說,這些指導方針是一個提醒,提醒企業(而非服務供應商)早涉及到云時,對保護數據負有責任。
“作為結果,企業在將其移到云端之前需要評估所有數據的敏感性,并確保恰當的安全保護措施已經到位,”他說。
“我們建議組織首先開發一個云安全架構,詳細說明他們的數據將如何被使用,納入安全性控制,這在符合最新的使用諸如實時審計、加密和身份訪問管理政策等功能的隱私法案時會用得上。”
“其次,因為云計算供應商都是外部供應商,組織在和他們合作時就需要考慮許多的關鍵因素,例如誰有權訪問數據日志,以及誰將最終擁有這些信息。等等。”
一個外包云計算的關鍵領域是要確定你所外包的公司和你兼容的且經同樣的風險評估的。如ICO所言,企業仍舊對遵循數據保護法律負有責任,即使這些數據已被服務供應商所照管。
在其他相關新聞中,EC發布了關于云計算中數據所有權的指導方針。它說,它最新的策略是創建一個“針對云計算的單一規則,直到2020年使歐盟GDP每年增長€1600億。”
EC說,盡管云計算被大規模使用,無論是經由社會化媒體還是存儲或者通過節省辦公空間和減少對室內IT支持團隊的需要,歐盟還沒有獲得云計算的全部潛力,許多業務都因數據安全的不確定性或者因在不同云供應商之間轉移數據而推遲。
它提出了一個戰略,用一套將通過歐洲企業促進云計算使用的單一規則。它說這將能:確保用戶能夠從一個云端轉移數據至另一個云端或干脆撤出數據;提供一個歐盟范圍的對值得信任的云供應商的認證;同樣地推出針對云計算的“模型合同”,使法律責任更清晰。最終,它引進了一個公共部門和行業之間識別需求且確保歐洲IT部門能夠滿足的“歐洲云伙伴關系”。
EC的策略文件包括3個關鍵體制能發揮作用的領域:標準;服務水平協議;公共部門經歐洲云伙伴關系的采用。
Fiberlink的信息安全官David Lingenfelter說:“這是一個持續驗證,云計算并不只是一個可行的技術解決方案,還是一個關于互聯網和通訊在未來幾年將怎樣進步的堅實基礎。”
“隨著歐盟連續發力并采納這種集成云計算策略的通訊方式,他已經開始想更進一步在整個歐盟范圍采納云服務敞開大門。”
Michel Robert ,英國圖案管服務提供者MD——Claranet說,該報告應強烈建議云供應商給予他們的客戶對于他們的數據將托管在何處以及何時可能在本地設備上托管他們的數據有一個清晰的理解。
“在數據位置上沒有明確性,在云中保持并增強信用將會越來越難。我們期待并希望歐盟委員會能促進鼓勵服務供應商在其運營地使用國內數據中心,對他們的客戶要實現數據存儲地的透明,”他說。
數據保護專家,國際法律事務所TaylorWessing的合伙人Vinod Bange說,很難看出這些計劃怎樣針對云計算的挑戰提出新鮮的解決方案。
Bange 說:“一些措施是受歡迎的,比如安全標準認證,鼓勵歐盟數據保護改革逐漸加速”。但是,簡單指向諸如綁定企業規則(BCR)這樣的數據保護方案并不是最好的解決方法。事實是,從一開始就實施BCR方案,并以監管機構批準給它“生命”結束,可能需要花上數年才能實現。
“新思維會歡迎這些,例如允許云BCR方案在早期程序中已經被視為充分——比如諸如安全性認證這樣的關鍵里程碑一旦實現。比起其他,這將更快地提供更多的不違反數據法律的確定性”
本周宣布的聲明表明云計算安全的困境可能行將結束。有一個來自ICO 和EC的識別,已經存在,人們也正在做這件事,所以下一個挑戰是在一個監管框架內來做,且企業和用戶都能理解他們在做的事。
ICO指導方針很簡單,就是指導方針,但是因為它不再是“沒牙的老虎”,它的建議應該被考慮。至于EC,其計劃經常不得不經歷一個無邊的殺人機器,其中可能會有一些難以辨認的不同出現。
京公網安備 11010502049343號