很多企業,要么已經配置了云計算,要么即將配置云計算。云計算是提高靈活性、減少成本的最新技術。通過提供捆綁、可升級的軟件、基礎設施、數據存儲及通信解決方案,外包云計算供應商使公司節約了資金、避免了高成本IT承諾、獲得了基于所需的有效系統規模,并且可迅速配置最新服務。
一、漫步云端前需要考慮的問題
然而,沒有免費的午餐,外包云計算無法解決法律風險(伴隨第三方對數據存儲和傳輸位置的知曉而產生)這一關鍵問題。本文討論的即是這一問題。在企業決定采用外包云計算解決方案時,必須考慮到以下幾點。
首先,當然需要定義我們在討論的是什么,因為對于“云計算”,有很多定義。最近,一位知名CIO將其定義為:由某一組織控制虛擬服務器,終端用戶可通過網絡訪問的計算應用技術。我們將“云計算”定義為:商業軟件的服務提供,通過網絡來應用軟件和虛擬服務器上存儲的數據。外包云計算提供了一種商業化的企業技術:基礎設施即服務,軟件即服務,及平臺即服務,所有這些服務提供都是在線的,并且在Web 2.0的框架之下。當第三方控制“云”的任何部分,相關的數據安全、隱私和從規問題就產生了。從某方面來看,從確定的數據線被通信方案(捆綁了來自n家公司的數據)所取代,這一問題就產生了。第三方試圖充分提高虛擬化技術的效率,并將傳統上企業自身擁有的功能(基礎設施、系統平臺和軟件)商業化,與此同時,法律風險產生了。
第三方解決方案的好處是商業軟件很好地建立了起來。從利用多用戶需求的第三方軟件解決方案供應商,到外包基礎設施供應商(投資單一用戶無法實現的更快更新的技術解決方案),第三方可實現規模效益,同時將所提供功能的成本降低。然而,有收益必然有風險,以下是需要重點關注的風險問題。
1、數據的存儲和轉移
傳統的外包協議中,用戶可與供應商商議數據存儲地點的控制情況(包括備份流程在哪里進行)。這樣,用戶和供應商均可了解,針對相關數據的傳輸法規,應提供哪種管理辦法。然而,對外包云計算的成本效益很高,因為供應商可將數據轉移到世界任何地方,也可將一個企業的數據發送到不同的地點,這取決于容量、應用情況和帶寬。自由度的提高將導致處理流程不遵從全球眾多與數據存儲和轉移相關的法規。
歷史上,外包計劃中,用戶和供應商之間通常談論的風險是:用戶要求供應商采用特定流程,以實現的數據轉移流程合規。沒有這些要求,供應商就不對用戶數據的存儲和轉移負法律責任。隨著時間的發展,供應商意識到自己應該對用戶的要求做出回應,并且為了保證規模經濟的持續增長,他們必須將這些需求整合進解決方案。最終,我們相信外包云計算供應商會將數據轉移的從規組件內置于其商業化技術服務,從規的成本會由于用戶規模的擴大而被平衡,同時,外包供應商在制定服務價格時將計入這一成本。
比如,早期的云供應商允許客戶通過“可用區域”控制某些特定技術的數據存儲地點。因為每個國家的數據轉移法規不同,因此云供應商可將數據存儲在某一事先確定的地區(比如,歐洲經濟區);遵從此地的數據轉出法規。采用這一方法,數據可不斷地從這一供應商的歐洲服務器中進行轉移,而不會出現從規問題,因為數據被存儲在特定的經許可的區域。
2、數據安全
數據安全和數據保護通常是外包計劃中主要關注的問題。外包協議計劃精確設定了供應商必須采用的安全管理技術。這些安全管理計劃的開展是由敏感數據(個人數據或財政數據)保護規則推動的。如何采用外包云計算解決方案對其進行控制?思科公司的CEO說云計算兼職如同一場數據安全的噩夢,并且無法用傳統方式對其進行控制。對于大多數公司,對包含敏感數據或秘密數據的應用軟件實施外包云計算,數據安全和數據保護是最大障礙。
有了ASP、電信傳輸、Service Bureau協議,云計算協議將逐漸成為單向的,且協商起來較為困難。比如,一份在線的云供應商合同是無法協商的,并且相當偏向供應商:供應商對數據安全不負任何責任;用戶對數據的安全、保護和備份負全責;對所有未授權訪問、使用、毀壞、刪除和損失的任何數據,供應商也不負任何責任。
因此,與云供應商簽訂外包合同需要更認真仔細,少包含術語和條件。用戶應關注外包云計算解決方案是否保證了數據合規,最終,用戶將依賴供應商提供的解決方案文本,并認為已確保合規(無論是直接——比如采用銀行或醫療軟件;還是間接,比如詮釋特定的數據存儲地點)。結果是,供應商沒實現用戶數據處理過程的合規即為服務失敗,可被認為是未能遵循服務說明,需要依照合同進行賠償。
跟任何外包計劃一樣,回顧供應商的解決方案以決定對于數據訪問的控制,這是一個關鍵步驟。這一供應商解決方案是否實現了對企業數據訪問權限的限制,是否實現了對訪問者的監控(這樣你可知道誰在何時訪問了哪些數據)?哪些規范需要加密?數據歸檔的頻率?是否所有的應用軟件和軟件進行了最新的安全升級?安全水平協議是否包括這一條款:安全系統的維持情況是一個性能參數。
3、更換供應商
采用外包云計算服務必須考慮到的另一個風險是:在外包服務終止前確保業務連續性(business continuity)。大多數外包協議都商定了退出計劃及轉移服務,這包括:將某一格式的數據(可被另一供應商或企業內部解決方案利用)進行轉移。特定的云服務協議不包含這些問題的處理條款。比如,在線云供應商協議允許供應商在任意時間中止協議,且沒有保持數據的責任。至多,協議承諾不會在三十天內有意清除數據。你必須與供應商就終止服務的問題進行協商,內容包括:將數據轉移到另一供應商或企業內部,同時你應該確保數據定期轉移到備份供應商那里,以保證在災難事件發生時業務的連續性。
4、其他風險
外包云計算解決方案的風險有很多與其他外包解決方案相同,但是這些風險很難通過協議進行轉嫁。比如,外包意味著將服務水平的測量和報告任務轉給供應商,依靠供應商的基礎設施來發送關鍵性能信息。在云解決方案中,定制空間更小。相似的,除非進行精確的外包條款協商,一旦出現問題或合作關系解除,大多數供應商給用戶的賠償數額不足。而相對傳統的外包協議,云合作協議所提供的談判空間很小。但是云外包的價格卻很有誘惑力。
二、建議
因為企業對數據的控制負有責任,因此必須確保企業的云供應商從規。以下是在實施外包云計算時,一些有用的數據保護措施:
確定是否外包云計算適合你的應用軟件。如果包含有敏感數據,則不適宜外包。
在將數據發到云系統之前進行加密。業內專家認為這是減少潛在風險的好方法。
控制數據訪問。確保供應商限制了數據的訪問者,并確保了訪問者被監控。
銘記e-discovery責任和迅速獲取供應商電子記錄的需求。
遵從所有必須遵從的規則。因為你的企業必須承擔所有不遵從數據保護法規而引發的問題。必須明確企業數據的存放地點,云供應商必須給你提供這一信息,這樣就可以自檢是否存在從規風險。如果供應商未告知你數據的存放地點,那么不該發送任何敏感數據。
可能的情況下,控制數據的存放地點。這是確保供應商(更深層次說,對于用戶同樣如此)遵從數據安全法規的最好辦法。限制云供應商對數據集存放地點的決定權。
通過協議條款來要求供應商更新其保護系統,以實現與業內最佳實施策略相一致。
制訂適宜的災難恢復和業務連續性計劃。要求供應商對你的企業數據進行存檔,這樣在系統崩潰時仍可訪問數據。
由非云供應商的另一方對定期你企業的數據進行備份和/或存儲。
利用技術和從規審計來確保數據安全及系統的完整性。
在協約終止時,數據傳回或供應商備份的流程清晰。
靈活地控制與外包云計算供應商之間關系,利用服務水平來保證供應商從規。
京公網安備 11010502049343號