摘要:企业被令人担忧的不断增长的合规要求所包围,从SOX法案、PCIDSS标准到HIPAA法案/HITECH法案(Health Information Technology for Economic and Clinical Health)以及联邦贸易委员会(FTC)的红旗准则(Red Flags Rules)。同时,随着可供选择的云服务提供商的数量不断增长,企业有许多的选择权,当然有关云计算合规遵从也有许多需要考虑的问题。 |
在一些情形下,正如PCIDSS标准那样,有一个明显的趋势是通过外包某些服务来减少公司的合规遵从范围。值得注意的是,通过大规模地外包信用卡处理流程给某个第三方提供商,公司的PCI范围会显著地缩小(尽管没有完全地消失)。不过,联邦贸易委员会的红旗规则情况不是这样,因为联盟贸易委员会强制要求任何外包的服务必须保持和企业内部实施情形下同等或更好的安全水平。
当你开始评估迁移服务到云时,考虑几个云计算合规遵从的问题十分重要:
1.迁移到云的数据是否会在任何合规或相关要求之下?这些数据包括如个人可识别信息(PII)、个人健康信息(PHI)或公司财务相关的信息。
2.如果这些问题一的答案是肯定的话,那么它在哪些合规要求的管辖之下以及需要什么控制措施?
3.云服务提供商是否真的能提供你组织数据所要求的认可的或等同的控制?
4.云服务提供商是否有必要的策略、流程和规程来正确地维护这些控制?
5.供应商是否具备恰当的灾备恢复和业务持续性过程来满足你的组织的业务需要?
6.如果云服务提供商破产会发生什么?企业的数据会被当作提供商的资产卖给债权人或进行拍卖吗?