Video: Quán massage lừa khách và o Äá» cưỡng Äoạt tiá»n (Tháng Chín 2024)
Khi việc áp dụng đám mây trở nên phổ biến, điều quan trọng hơn bao giờ hết là các doanh nghiệp phải hiểu các quy định và trách nhiệm dân sự liên quan đến việc lưu trữ dữ liệu và ứng dụng trong đám mây. Theo kết quả khảo sát từ Right Scale, một công ty quản lý đám mây, hơn 93% doanh nghiệp sử dụng đám mây. Nhưng những công ty lưu trữ dữ liệu trên các đám mây công cộng và lai đặc biệt dễ bị điều chỉnh và xử phạt nếu vi phạm dữ liệu xảy ra hoặc nếu có thời gian ngừng hoạt động của đám mây đáng kể.
Hầu hết các công ty, đặc biệt là các doanh nghiệp vừa và nhỏ (SMB), ký thỏa thuận cấp độ dịch vụ tiêu chuẩn (SLA) với các nhà cung cấp đám mây. Các SLA này có xu hướng mang lại lợi ích cho nhà cung cấp nhiều hơn khách hàng và do đó, hạn chế thiệt hại mà các nhà cung cấp đám mây phải trả nếu và khi thảm họa xảy ra.
Để giúp bạn hiểu những gì bạn cần biết để chuẩn bị tốt hơn cho việc phân chia hợp pháp khi di chuyển lên đám mây và để giúp bạn biết liệu bạn có được bảo vệ nếu đám mây công cộng hoặc lai của bạn bị vi phạm hay không, chúng tôi đã biên soạn danh sách này những điều cần cân nhắc.
1. Ai chịu trách nhiệm về thông tin khách hàng sau khi vi phạm dữ liệu?
Giả sử bạn lưu trữ tất cả dữ liệu khách hàng của mình trong đám mây của bên thứ ba. Nếu một tin tặc có khả năng vi phạm đám mây đó, đánh cắp dữ liệu của bạn và sử dụng nó để gây hại cho khách hàng của bạn, thì ai đó sẽ buộc phải trả tiền phạt dân sự. Tùy thuộc vào cách diễn đạt SLA của bạn, nhà cung cấp đám mây của bạn có khả năng giới hạn thiệt hại của mình đối với "thiệt hại thực tế", trái với "thiệt hại do hậu quả" mà công ty của bạn có thể phải chịu trách nhiệm.
"Thông thường, một nhà cung cấp sẽ viết thỏa thuận của họ theo cách mà trách nhiệm của họ đối với sơ suất thông thường là khá nhỏ, thường giới hạn ở" thiệt hại thực tế "và thường giới hạn ở bất kỳ số tiền nào khách hàng đã trả cho nhà cung cấp trong sáu hoặc 12 tháng trước đó, "Steven Ayr, Cố vấn kinh doanh tại Fort Point Legal, một công ty chuyên đại diện cho các doanh nhân và doanh nghiệp nhỏ nói. "Thiệt hại thực tế được gọi là tiền mà khách hàng đã trả cho dịch vụ không được cung cấp. Bằng cách hạn chế thiệt hại đối với 'thiệt hại thực tế', các thỏa thuận loại trừ khả năng nhà cung cấp có thể chịu trách nhiệm về 'thiệt hại do hậu quả' và các loại khác thiệt hại như thiệt hại trừng phạt. "
Ayr mô tả các thiệt hại do hậu quả là tổn thất tài chính được loại bỏ một bước khỏi vi phạm hoặc thời gian ngừng hoạt động của đám mây. Ví dụ: nếu khách hàng của bạn được yêu cầu cung cấp một doanh số lớn thông qua nền tảng cộng tác trực tuyến của bạn, nhưng anh ta hoặc cô ta không thể vì đám mây bị sập, bạn sẽ phải chịu trách nhiệm cho những thiệt hại do hậu quả của thời gian ngừng hoạt động này.
Điều tương tự cũng đúng với các vi phạm dữ liệu hoặc tai nạn thuần túy. Hầu hết các SLA giới hạn các thiệt hại mà các nhà cung cấp đám mây phải trả nếu các tin tặc ưu tú phá vỡ các hệ thống hiện đại hoặc nếu bên thứ ba cắt kết nối sợi quang bên ngoài trung tâm dữ liệu. Chỉ khi luật sư của bạn có thể chứng minh "sơ suất thô" thì nhà cung cấp mới chịu trách nhiệm chính cho các khoản nợ tài chính của thảm họa đám mây. Sơ suất thô thường áp dụng cho bảo mật kém hoặc hành động bất chính có chủ ý được thực hiện bởi nhà cung cấp.
2. Ai chịu trách nhiệm gửi dữ liệu cho các cơ quan chính phủ?
Mặc dù bạn có thể đang làm việc với nhà cung cấp đám mây an toàn nhất trên thế giới, điều đó không có nghĩa là dữ liệu của bạn không thể được truy cập mà không có sự đồng ý của bạn và không có sự truy đòi pháp lý nào về phía bạn. Vì bạn chuyển dữ liệu của mình cho nhà cung cấp đám mây, nên về cơ bản, bạn cho phép nhà cung cấp cho phép chấp thuận các lệnh của chính phủ. Hầu hết các SLA đều nêu rõ điều này và các nhà cung cấp đám mây lớn như Amazon Web Services (AWS) hoặc Microsoft Azure không sẵn sàng thay đổi SLA tiêu chuẩn của họ cho một công ty không phải là tài khoản cá voi trắng.
Vì vậy, nếu bạn đã có những bảo lưu cực đoan về sự xâm nhập của chính phủ, có lẽ bạn nên xây dựng đám mây riêng của mình hoặc lưu trữ dữ liệu cục bộ. Trong những trường hợp này, bạn sẽ có thể chống lại lệnh và bảo vệ dữ liệu khách hàng của bạn. Nhưng, nếu bạn chọn sử dụng đám mây công cộng hoặc lai, bạn nên hy vọng nhà cung cấp của mình chia sẻ sự không khoan dung của bạn đối với Big Brother.
3. Quy định đám mây cụ thể theo địa lý là gì?
Điều đó đủ khó để theo dõi các quyền của bạn về cách quản lý dữ liệu của bạn ở Hoa Kỳ. Thật không may, các quy định toàn cầu khác nhau đối với từng quốc gia cụ thể và, trong một số trường hợp, trong từng khu vực tài phán ở mỗi quốc gia cụ thể. Nếu bạn là một doanh nghiệp đa quốc gia với các nhà cung cấp dịch vụ đám mây ở các khu vực địa lý khác nhau, bạn sẽ rất đau đầu khi cố gắng hiểu và quản lý các quy định và trách nhiệm pháp lý liên quan.
Theo Ayr, điều quan trọng là các công ty lưu trữ dữ liệu trên toàn cầu phải làm việc với các luật sư để xác định các loại dữ liệu họ đang lưu trữ, các khu vực địa lý nơi họ lưu trữ dữ liệu và luật pháp cụ thể nằm trong các khu vực pháp lý đó.
"Đó có thể là công việc chậm chạp, tốn kém, " Ayr nói, "bởi vì bạn sẽ trả tiền cho ai đó để dành thời gian nghiên cứu luật của một số khu vực pháp lý mà họ không quen thuộc, hãy thuê một luật sư ở mỗi khu vực tài phán đã có biết những điều luật đó, hoặc thuê một chuyên gia về vấn đề rất đắt tiền, những người đã biết rõ về từng khu vực tài phán. "
Thật không may, cách dễ nhất và hiệu quả nhất về chi phí để đảm bảo rằng bạn tuân thủ trong từng khu vực tài phán là đặt trách nhiệm cho nhà cung cấp dịch vụ của bạn. Bởi vì các nhà cung cấp dịch vụ toàn cầu đã mở rộng kinh doanh và thực hiện các công việc cần thiết để xác định cách xử lý dữ liệu trên toàn cầu, nên họ có nhiều khả năng có thông tin và thực tiễn tốt nhất.
"Rốt cuộc, việc thuê một luật sư để xem xét các điều khoản dịch vụ của nhà cung cấp về sự tuân thủ sẽ rẻ hơn nhiều so với việc thuê một luật sư để tạo ra các điều khoản tuân thủ và sau đó thương lượng với nhà cung cấp, " Ayr nói. Nhưng điều này cũng có nghĩa là bạn đang dựa vào SLA và chúng tôi đã khám phá những cách quan trọng mà SLA có thể hoạt động có lợi cho nhà cung cấp.
4. Tại sao bạn nên cảm thấy thoải mái khi lưu trữ dữ liệu trên đám mây?
Ở Mỹ, hầu hết các công ty đều được bảo vệ bởi luật bảo mật dữ liệu chi phối việc xử lý thông tin nhận dạng cá nhân (PII). Các luật này yêu cầu các nhà cung cấp tạo ra các chính sách bằng văn bản phác thảo các chiến lược bảo vệ dữ liệu của họ và buộc họ phải chấp nhận ít nhất một số trách nhiệm pháp lý đối với các vi phạm và thời gian chết. Trong trường hợp vi phạm, các luật này cũng bắt buộc phải báo cáo với Tổng chưởng lý. Ví dụ, tại Massachusetts, luật này được gọi là 201 CMR 17.00. Tại California, luật được gọi là SB 1386. Cho đến nay, 47 tiểu bang của Hoa Kỳ có luật tương tự về sách.
Nếu luật pháp không đủ để giúp bạn thoải mái (và chúng không nên), có những nhà cung cấp đám mây tự quảng cáo là nhà vô địch về quyền riêng tư và bảo mật. Các công ty như nhà cung cấp dịch vụ phục hồi thảm họa (DR) Spider Oak được gọi là dịch vụ đám mây không kiến thức; họ mã hóa dữ liệu trên thiết bị của khách hàng trước khi tải dữ liệu lên đám mây. Không có kiến thức có nghĩa là Spider Oak và các đối thủ cạnh tranh không bao giờ xử lý dữ liệu được giải mã. Thực tiễn này giúp họ hạn chế rủi ro tiềm ẩn và không bao giờ đặt mình vào vị trí mà họ buộc phải bàn giao dữ liệu cho các thực thể chính phủ.
"Có rất nhiều rủi ro mà các tổ chức thường bỏ qua khi di chuyển các hệ thống và dịch vụ lên đám mây", Mike McCamon, Chủ tịch và CMO tại Spider Oak nói. "Chúng tôi sẽ tóm tắt bốn mục tiêu hàng đầu là bảo mật, quyền riêng tư, tính liên tục và kiểm soát."
"Không có lúc nào chúng tôi có mật khẩu hoặc một phiên bản dữ liệu được giải mã của họ, " McCamon nói thêm. "Ngay cả quản trị viên hệ thống của chúng tôi cũng không thể biết thêm về khách hàng ngoài khối lượng dữ liệu được lưu trữ trong hệ thống của chúng tôi. Dữ liệu duy nhất chúng tôi thu thập về người dùng là địa chỉ email và thông tin thanh toán nếu họ yêu cầu gói dịch vụ."
Bất kể các công ty có làm việc với các nhà cung cấp lớn như Amazon và Microsoft hay các nhà cung cấp nhỏ, không có kiến thức như Spider Oak hay không, họ sẽ tiếp tục sử dụng đám mây, Ayr cho biết.
"Trong công việc của tôi với các công ty mới khởi nghiệp, tôi thường không thấy các doanh nghiệp đặc biệt lo lắng về việc sử dụng đám mây", Ayr nói. "Nếu bất cứ điều gì, các doanh nghiệp mới, dù tốt hơn hay tồi tệ hơn, hãy xem đám mây cũng an toàn và không đáng kể như đặt tài liệu vào tủ hồ sơ."
