《企業(yè)網(wǎng)D1Net》9月7日訊
云很可能是一個(gè)IT高管的夢(mèng)想成真——一個(gè)減小成本并為其他IT項(xiàng)目騰出資金的機(jī)會(huì)。
但是,穿過(guò)恐懼的雷區(qū),來(lái)自不同季度的對(duì)于云安全的不確定和懷疑均可以通過(guò)創(chuàng)建一個(gè)應(yīng)急計(jì)劃并了解澳洲和海外的法律法規(guī)來(lái)緩解。
對(duì)于康斯律師事務(wù)所的高級(jí)合伙人Johanna O’Rourke(她專攻ICT法律方向)來(lái)說(shuō),擁有一個(gè)合適的計(jì)劃意味著能在一個(gè)組織的數(shù)據(jù)被盜或者管理者不得不訴諸法律保護(hù)公司之前,將安全和訴訟難題縮到最小。
O’Rourke在悉尼IDC云會(huì)議上發(fā)表講話告訴代表們,組織們被要求要保持大量電子信息,這對(duì)日常運(yùn)作是很重要的。
深度觀察:避免在線失職索賠
“當(dāng)首席信息官移動(dòng)數(shù)據(jù)到云,這意味著他們需要放棄控制數(shù)據(jù),而且這就是法律問(wèn)題會(huì)出現(xiàn)的地方,”她說(shuō)。比如說(shuō),公司可能面對(duì)不適當(dāng)泄露的風(fēng)險(xiǎn),聲譽(yù)損失,數(shù)據(jù)泄露事件牽涉的第三方的起訴以及監(jiān)管機(jī)構(gòu)的起訴,例如澳大利亞政府信息專員辦公室。
“澳大利亞隱私專員,Timothy Pilgrim,并不害怕調(diào)查數(shù)據(jù)泄露以及發(fā)表與之相關(guān)的陳述,”她警告道。
例如,專員調(diào)查了2011年4月7700萬(wàn)用戶賬號(hào)被盜的索尼PlayStation網(wǎng)絡(luò)的數(shù)據(jù)數(shù)據(jù)泄露事件。
根據(jù)O’Rourke的說(shuō)法,此次事件發(fā)生在2011年4月17和19號(hào)之間。但是,索尼知道4月26號(hào)才公布數(shù)據(jù)泄露。
“雖然政府專員發(fā)現(xiàn)已經(jīng)沒(méi)有違反隱私法的行為了,但他確實(shí)對(duì)索尼花了十天才告知用戶其賬號(hào)泄露表示擔(dān)憂,”她說(shuō)。
隱私法
說(shuō)道法律法規(guī)時(shí),O’Rourke指出,澳大利亞的1988年隱私法沒(méi)有處理云計(jì)算,所以應(yīng)用現(xiàn)存的隱私法對(duì)科技行業(yè)來(lái)說(shuō)是個(gè)重要問(wèn)題。
“在云計(jì)算環(huán)境中,該法案適用于正在澳洲收集數(shù)據(jù)并在海內(nèi)外存儲(chǔ)數(shù)據(jù)的澳大利亞公司,”她說(shuō)。
“它也適用于在澳洲做生意并在轉(zhuǎn)換數(shù)據(jù)到海外之前在此地存儲(chǔ)數(shù)據(jù)的外國(guó)公司。”
但是,該法案不適用于不在澳洲收集數(shù)據(jù)的海外企業(yè)。
“我辛苦的申明此點(diǎn)是因?yàn)樵S多云供應(yīng)商事實(shí)上并不為隱私法所約束,”她說(shuō)。
根據(jù)O’Rourke的說(shuō)法,許多云服務(wù)供應(yīng)商在澳大利亞都沒(méi)有一間辦公室。結(jié)果是,這里沒(méi)有服務(wù)器或數(shù)據(jù)駐扎在這兒。
但是,使用海外云服務(wù)供應(yīng)商的服務(wù)的澳大利亞公司仍然沒(méi)該法案約束。結(jié)果是,如果這些公司決定轉(zhuǎn)移私人數(shù)據(jù)至云中,需要將額外的保護(hù)寫入與這些供應(yīng)商的合同中。
“隱私法下所應(yīng)用的與云計(jì)算相關(guān)的條例是NPP4,它討論的是數(shù)據(jù)安全和維護(hù)數(shù)據(jù)的要求,”她說(shuō)。
“另一項(xiàng)條例是NPP9,它涵蓋了運(yùn)輸者數(shù)據(jù)流。之所以說(shuō)它相關(guān),原因是在云環(huán)境中,你不能轉(zhuǎn)移數(shù)據(jù),除非你已經(jīng)收到了私人信息主人的許可或它已經(jīng)被轉(zhuǎn)移至與隱私法相似的法律權(quán)限內(nèi),”她說(shuō)。
根據(jù)O’Rourke的說(shuō)法,歐洲隱私法被認(rèn)為是相似的,但美國(guó)和新加坡隱私法并不被澳大利亞隱私專員所承認(rèn)。
再看2012隱私修正案,一個(gè)IT高管應(yīng)注意的主要的改變是關(guān)系到跨境披露。
“在新法律下,轉(zhuǎn)移數(shù)據(jù)的組織將保持在違反安全時(shí)間發(fā)生時(shí)負(fù)責(zé),”她說(shuō)。
這意味著嚴(yán)格的責(zé)任,所以如果公司的云供應(yīng)商有數(shù)據(jù)泄露情況,該公司管理者將要負(fù)責(zé)。
“你將會(huì)想在你的合同中要保護(hù)措施來(lái)確保你有能力在偶然事件發(fā)生時(shí)恢復(fù)元?dú)猓?rdquo;她說(shuō)。
“這是最糟糕的情況,所以你想要對(duì)供應(yīng)商做盡職調(diào)查來(lái)確保他們已經(jīng)盡可能的來(lái)確保環(huán)境安全而你甚至根本不會(huì)到達(dá)數(shù)據(jù)安全泄露的那個(gè)地步。”
非盈利云體驗(yàn)
對(duì)于天主教教育辦公室首席技術(shù)官M(fèi)ilton Scott來(lái)說(shuō),在和谷歌簽合同前盡職調(diào)查是最重要的,他的70%的系統(tǒng)都建設(shè)在云中。
“我們已經(jīng)有兩個(gè)法律團(tuán)隊(duì)專門服務(wù)于查看藏在某人(如谷歌)后臺(tái)的隱私、條目和條件,”他說(shuō)。這包括天主教教育辦公室主持的學(xué)生信息保健問(wèn)題的責(zé)任。比如說(shuō),關(guān)于學(xué)生的健康和安全信息或Google Mail中沒(méi)有留存的雇員信息。
Scott補(bǔ)充道,云使用對(duì)一個(gè)非盈利組織的節(jié)約來(lái)說(shuō)是理想的。“我們從微軟、谷歌獲得的云產(chǎn)品的種類在一個(gè)區(qū)別于商業(yè)冒險(xiǎn)的教育價(jià)位。”
另一個(gè)被該辦公室應(yīng)用的云安全創(chuàng)舉是一個(gè)Novell身份管理系統(tǒng),它準(zhǔn)許所有員工身份,區(qū)別于一個(gè)雇員目錄。
“一旦一位雇員離開(kāi),他們的名字就從哪個(gè)身份管理系統(tǒng)中除去,而應(yīng)用程序就對(duì)他們限制使用,”Scott說(shuō)。
京公網(wǎng)安備 11010502049343號(hào)