每個人都應該擔心成為互聯網上某處數據泄露的受害者。但是組織還需要更加關注其“受信任”的提供程序如何使用其機密數據，尤其是與機密數據有關的文件，這些機密數據委托給云計算提供商的存儲設施。

 

本文提供了有關云存儲的背景知識，并提出了五個常識性問題，以詢問提供商有關云存儲隱私以及他們如何使用客戶數據的信息。因為Dropbox公司是眾所周知的供應商，所以可以用它來說明有關云平臺中數據保護的一些要點，但是請注意，這些觀察結果也適用于許多其他云存儲供應商，不僅是Dropbox公司。

 

典型的隱私政策視具體情況而定

 

典型的云存儲隱私策略通常使用大量詞語來傳達很少的有用信息。Dropbox隱私頁面提供了2,000個字的詳細信息，但未提供有關誰可以查看和使用企業的數據的任何特定參考。實際上，很多隱私討論都是關于Dropbox如何處理企業的信息的，企業政策注釋包括cookie，聯系人和使用情況。

 

但是客戶數據的安全性和隱私性呢?

 

以一個數據可用性如何工作為例。用戶甚至可以使用多因素身份驗證使用其用戶ID和密碼登錄Dropbox。然后，他們決定通過DropboxGUI與誰共享文件。此時，用戶可能會假設未經明確許可，沒有人可以查看其Dropbox文件。但是他們錯了。

 

首先，Dropbox報告稱，從2018年7月到2018年12月，該公司提供了526份搜查令的內容。因此，盡管Dropbox使用256位高級加密標準對它存儲的數據進行加密，但很顯然它還擁有加密密鑰。畢竟，如果企業沒有鑰匙，就無法提供內容以響應搜查令。

 

用戶許可

 

除了政府法院的命令外，Dropbox用戶通過接受服務條款(ToS)協議來授予Dropbox廣泛的許可。其用語解釋了企業如何為用戶提供各種服務，例如文檔預覽和光學字符識別，但是ToS表示，“要提供這些功能，Dropbox可以訪問、存儲和掃描企業的東西。并且此許可擴展到我們與之合作的會員和受信任的第三方。”

 

客戶的寶貴和機密的業務數據只是對Dropbox更多的“東西”。Dropbox似乎可以在不違反接受服務條款(ToS)的情況下完成數據所需的任何操作。

 

向云存儲供應商提出的數據保護問題

 

如果沒有其他要求，用戶有權知道如何使用其數據文件。如果“私人和機密”只是一個泡沫，那么Dropbox和其他公司應該對此予以清除。

 

這里有五個問題要問任何潛在的或當前的供應商以確保云存儲的隱私和安全性。明確的答案將幫助企業更好地了解數據文件的真實性和機密性。

 

(1) 關于加密密鑰：假設文件數據已在存儲設備上加密，誰可以訪問加密密鑰?

 

(2) 關于技術支持對數據文件的訪問：技術支持(員工、承包商或第三方)是否有權訪問企業存儲在云服務中的文件?

 

(3) 關鍵字掃描：企業或任何第三方掃描還是以其他方式處理數據文件?如果是這樣，如何處理在掃描過程中獲得的信息?

 

(4) 關于數據文件的副本：為了提供安全冗余的服務，是否可以安全地假設云計算提供商將企業的數據文件備份或復制到另一個位置或系統?如果是這樣，有什么控制措施可以阻止內部人員或第三方訪問其數據文件的這些副本?

 

(5) 審核：企業如何審核有關未經授權對客戶數據文件的內部訪問的內部策略?

 

具體來說，對于Dropbox，無法在其各種隱私、服務條款或透明度頁面中找到任何關于這些問題的明確答案。企業應確保在使用此類服務之前進行研究。

 

盡管不是特別知名，但包括Tresorit、SpiderOak和pCloud在內的一些云存儲供應商已實現了零知識服務。這些云存儲提供商在客戶的數據文件離開其電腦之前對其進行加密。然后只能使用只有客戶擁有的密鑰來解密文件。