摘要:在最近有关云计算法规服从复杂性的文章中,我们讨论了云计算对于企业组织的变化与挑战。很显然,在制定云策略的同时,你需要考虑大量重要的法规服从问题。 |
1.你的云计算供应商如何处理特殊行业需求,例如医疗、金融、零售业等等?你的云计算供应商是否雇佣了你所在行业的法律专家?
2.你的云供应商是否横跨多个司法管辖区?你系统所在的司法管辖区是否会影响到某些法律要求(是否跨越多个州界或国界)?
3.信息分类、保留和销毁是怎样实施的?云供应商在数据泄漏上有很大隐患——甚至是你的数据被“销毁”之后。
4.你的隐私策略是什么?你如实地回答自己的隐私策略是否可以适应云供应商的安全/隐私问题?
5.谁拥有你的数据?云计算供应商在操作你的数据上有多大权利?在需要数据时,你访问自身数据的权利又如何?如果这些方面没有在事前将清楚,你可能会自讨苦吃——另外在开发云策略的同时,让你的法律顾问也参与其中。
6.数据是混在一起的吗(与其他用户的数据在相同Web应用背后的同一个数据库上)?数据混放将导致严重的安全泄漏:它是一个云计算的安全漏洞,不光致别人的业务数据于危险之中,你的数据也是同样如此。
7.可靠性评估如何处理?你是可以自己随心扫描,还是必须依靠其他人的审计报告,他人的报告无疑会忽略很多应用级别的问题?至少,你应该要求审查一下他们最近的安全评估报告。
8.你的服务等级协议(SLA)又如何?你(或是你的云计算供应商)如何衡量他们的性能?正常运行时间以及业务连续性是你想要的全部吗?补丁、系统监控和其他的又怎么样呢?
9.你真的了解你的云计算供应商的恢复能力吗?如果这里有泄漏,结果又会怎样呢?每个人都指望别人承担责任?审查供应商的独立安全评估报告,以及他们的灾难恢复和事故责任方案是至关重要的。
10.你是否问过你的律师,自己的云策略会对自己的合同、政策、服务等级协议(SLAs)等产生怎样的影响?他们的答案是否只是通过合同和法律简单处理了这些问题?记住:纸上的不一定反映出实际情况,更不能防止安全泄漏。
11.在技术和法律上,你还有其他的保护措施吗?你能因为X、Y或Z的性能问题或安全问题而取消合同吗?
12.如果你的云计算供应商被其他公司收购了,结果又如何呢?
法律和律师本身不会在云计算上保护你的数据。这就要看你自己了,认真对待问题,确保合理的措施就位并正确地维护它们。在开发你的云策略时,不要害怕提难题。否则,你的云计算供应商会只顾自身发展而忽略了你的商业利益。
责任编辑:紫琪