摘要:企业被令人担忧的不断增长的合规要求所包围,从SOX法案、PCIDSS标准到HIPAA法案/HITECH法案(Health Information Technology for Economic and Clinical Health)以及联邦贸易委员会(FTC)的红旗准则(Red Flags Rules)。同时,随着可供选择的云服务提供商的数量不断增长,企业有许多的选择权,当然有关云计算合规遵从也有许多需要考虑的问题。 |
7.如果我决定更换服务提供商,是否容易使用可用的格式导出我的数据?
8.供应商是否愿意修改它默认的服务条款以便保证或者提供围绕第3至第7个问题的服务级别协议(SLA)?
最后一个问题特别重要,因为许多云服务提供商拒绝签署默认合同以外的内容。这样一来,就把他们排除在数据相关服务的潜在合规遵从服务商之外了。好几个合作要求,如最为人关注的HIPAA/HITECH法案及联盟贸易委员会的准则,特别要求企业必须和它的服务提供商签署合同要求恰当的控制、流程和规程来与每个合规的指导要求保持一致。
类似地,如果提供商无法满足第3至第7个问题,应该把它们从你组织的业务考虑列表上删掉。无法满足要求是个问题,特别当面对PCIDSS标准和HIPAA/HITECH法案时。这样一来,你会很快地发现可供选择的云服务提供商是有效的,至少在短期来看是这样。尽管有传闻好几个大型的云服务提供商致力于改造它们的系统来满足这些合规要求。在健康医疗面有少数的云服务提供商已经专门地建立应用来满足医疗行业的需要,但是我还没有看到对这些应用的任何安全性评估,从而可以判断它们的有效性。
在此期间,我推荐你给正在评估的提供商发送上述问题,就像你会为任何其它的外包项目发送信息请求(RFI)那样,选择满足你要求的最佳提供商。
如果没有一家能满足,评估移除或混淆相关数据的方法(例如在迁移数据到云之前对其进行哈希或者加密),从而让你的组织仍能从云获得业务回报。
责任编辑:Lily