וִידֵאוֹ: A 5 ª Onda | Trailer Legendado com Chloë Grace Moretz | 21 de janeiro nos cinemas (נוֹבֶמבֶּר 2024)
ככל שאימוץ ענן הופך להיות נמצא בכל מקום, חשוב מתמיד לעסקים להבין את התקנות וההתחייבויות האזרחיות הקשורות לאחסון נתונים ויישומים בענן. יותר מ 93 אחוז מהעסקים משתמשים בענן בצורה מסוימת, על פי תוצאות הסקר של חברת Right Scale, חברת ניהול ענן. אך אותן חברות המאחסנות נתונים בעננים ציבוריים והיברידיים רגישות במיוחד לרגולציה ועונשים אם מתרחשת הפרת נתונים או אם קיימת השבתה משמעותית בענן.
מרבית החברות, במיוחד עסקים קטנים עד בינוניים (SMB), חותמות על הסכמי רמת שירות סטנדרטיים (SLA) עם ספקי ענן. SLAs אלה נוטים להועיל לספק יותר מהלקוח וכתוצאה מכך, מגבילים את הנזקים שמשלמי ענן משלמים אם וכאשר מתרחש אסון.
כדי לעזור לך להבין את מה שאתה צריך לדעת כדי להיות מוכנים טוב יותר להשלכות החוקיות של מעבר לענן, וכדי לעזור לך להבין אם אתה מוגן אם תפרוץ את הענן הציבורי או ההיברידי שלך, ריכזנו רשימה זו של דברים שצריך לקחת בחשבון.
1. מי אחראי למידע על לקוחות לאחר הפרות נתונים?
נניח שאתה מאחסן את כל נתוני הלקוחות שלך בענן של צד שלישי. אם האקר מסוגל להפר את הענן הזה, לגנוב את הנתונים שלך ולהשתמש בהם בכדי לפגוע בלקוחות שלך, מישהו עומד לפתור תשלום קנסות אזרחיים. תלוי בנוסח ה- SLA שלך, ספק הענן שלך עשוי להגביל את נזקיו ל"נזקים בפועל "לעומת" הנזקים התוצאתיים "עליהם כנראה אחראית החברה שלך.
"בדרך כלל ספק הולך לכתוב את הסכמתו בצורה כזו שהאחריות שלהם לרשלנות רגילה היא מינימלית למדי, מוגבלת בדרך כלל ל"נזקים בפועל" ולעיתים קרובות מכוסה בכל סכום שהלקוח שילם לספק לששת או 12 החודשים שקדמו לו. ", אמר סטיבן אייר, יועץ עסקי בפורט פוינט Legal, משרד המתמחה בייצוג יזמים ועסקים קטנים. "נזקים בפועל מכונים הכסף שהלקוח שילם עבור השירות שלא ניתן. על ידי הגבלת הנזקים ל"נזקים בפועל", ההסכמים מבטלים את האפשרות כי הספק יכול להיות אחראי ל"נזקים תוצאתיים "וסוגים אחרים של נזקים כמו פיצויים עונשיים. "
אייר מתאר נזקים תוצאתיים כהפסדים כספיים הנמצאים צעד אחד מההפרה או השבתת הענן. לדוגמה, אם הלקוח שלך היה אמור לתת מגרש מכירות גדול באמצעות פלטפורמת השיתוף המקוון שלך, אך הוא או היא לא יכלו בגלל שהענן לא היה מושבת, היית אחראי לנזקים הנובעים כתוצאה מההשבתה הזו.
הדבר נכון גם לגבי הפרות נתונים או תאונות טהורות. מרבית ה- SLA מגבילים את הנזקים שעל ספקי הענן לשלם אם האקרים מובחרים פורצים מערכות עדכניות או אם צד שלישי חותך את חיבור הסיבים מחוץ למרכז הנתונים. רק אם עורך הדין שלך יכול להוכיח "רשלנות גסה", הספק יהיה אחראי בעיקר להתחייבויות הכספיות של אסון ענן. רשלנות ברוטו בדרך כלל חלה על אבטחה לקויה או על פעולות מזויפות מכוונות שנעשו על ידי הספק.
2. מי אחראי למסירת נתונים לסוכנויות ממשלתיות?
למרות שאולי אתה עובד עם ספק הענן המאובטח ביותר בעולם, אין פירוש הדבר שלא ניתן לגשת לנתונים שלך ללא הסכמתך וללא כל פנייה חוקית בסופו של דבר. מכיוון שאתה מוסר את הנתונים שלך לספק ענן, אתה בעצם נותן לספק לספק את ההסכמה עם כתבי אופציה ממשלתיים. רוב SLAs מציינים זאת בצורה מאוד ברורה, ולא סביר שספקי ענן גדולים כמו Amazon Web Services (AWS) או Microsoft Azure מוכנים לשנות את ה- SLA הרגיל שלהם עבור חברה שאינה חשבון לוויתן לבן.
לכן, אם יש לך הסתייגות קיצונית מפני חדירה ממשלתית, סביר להניח שכדאי לך לבנות ענן פרטי משלך או לאחסן את הנתונים שלך באופן מקומי. בנסיבות אלה תוכל להילחם באחריות ולהגן על נתוני הלקוחות שלך. אבל, אם תבחר ללכת עם ענן ציבורי או היברידי, כדאי שתקווה שהספק שלך ישתף את חוסר הסובלנות שלך כלפי האח הגדול.
3. מהן תקנות הענן הספציפיות לפי גאוגרפיה?
קשה מספיק לעקוב אחר זכויותיך בנוגע לניהול הנתונים שלך בארה"ב. למרבה הצער, התקנות העולמיות שונות זו מזו בכל מדינה ספציפית, ובמקרים מסוימים, בכל תחום שיפוט בכל מדינה ספציפית. אם אתה עסק רב-לאומי עם ספקי שירותי ענן בגיאוגרפיות שונות, אתה זקוק לכאב ראש גדול שמנסה להבין ולנהל את התקנות וההתחייבויות הנלוות.
לדברי Ayr, חשוב כי חברות המאחסנות נתונים ברחבי העולם יעבדו עם עורכי דין כדי לזהות את סוגי הנתונים שהם מאחסנים, את הגיאוגרפיות בהן הם מאחסנים את הנתונים, ומה החוקים הספציפיים הנמצאים בתחומי השיפוט הללו.
"זו יכולה להיות עבודה איטית ויקרה, " אמר אייר, "מכיוון שאתה גם תשלם למישהו כדי להקדיש זמן לחקר החוקים של כמה תחומי שיפוט שהם לא מכירים, לשכור עורך דין בכל תחום שיפוט שכבר מכיר את החוקים האלה, או שוכר מומחה לנושא יקר מאוד שכבר יודע את הפרטים הקטנים של כל תחום שיפוט."
לרוע המזל, הדרך הקלה והחסכונית ביותר להבטיח שאתה תואם בכל תחום שיפוט היא להעמיד את כוחך על ספק השירות שלך. מכיוון שספקי שירותים גלובליים כבר הרחיבו את עסקיהם וביצעו את עבודת הרגל כדי לקבוע כיצד יש לטפל בנתונים באופן גלובלי, סביר להניח שיש להם את המידע והנהלים הטובים ביותר.
"אחרי הכל, הרבה יותר זול לשכור עורך דין לבחינת התנאים וההגבלות של הספק מאשר לשכור עו"ד כדי ליצור תנאים תואמים ואז לנהל משא ומתן עליהם עם הספק, " אמר אייר. אבל זה אומר גם שאתה סומך על SLAs, וכבר בחנו את הדרכים החשובות ש- SLA יכולה לעבוד לטובת הספק.
4. מדוע עליכם להרגיש בנוח לאחסן נתונים בענן?
בארצות הברית מרבית החברות מוגנות על ידי חוקים בנושא אבטחת מידע השולטים בטיפול במידע המאפשר זיהוי אישי (PII). חוקים אלה מחייבים את הספקים ליצור מדיניות כתובה המפרטת את אסטרטגיות הגנת המידע שלהם וכופה עליהם לקבל לפחות אחריות כלשהי בגין הפרות והשבתות. במקרה של הפרה, חוקים אלה גם מחייבים לדווח על כך ליועץ המשפטי לממשלה. במסצ'וסטס, למשל, חוק זה נקרא 201 CMR 17.00. בקליפורניה החוק נקרא SB 1386. עד היום, 47 מדינות אמריקאיות מחזיקות חוקים דומים על הספרים.
אם החוקים לא מספיקים כדי להקל עליכם בנוח (והם לא אמורים להיות), ישנם ספקי ענן שמשווקים את עצמם כאלופי הפרטיות והביטחון. חברות כמו ספק שירותי התאוששות מאסון (DR) ספיידר אוק ידועות כשירותי ענן עם ידע אפס; הם מצפינים נתונים במכשירי הלקוחות שלהם לפני העלאת הנתונים לענן. פירושו של אפס פירושו ספיידר אלון ומתחרותיה לעולם אינן מטפלות בנתונים מפוענחים. תרגול זה מסייע להם להגביל את הסיכון הפוטנציאלי ולעולם לא להציב את עצמם במצב בו הם נאלצים למסור נתונים לגורמים ממשלתיים.
מייק מק'קמון, נשיא וניהול משרד הבריאות בספיידר אוק, אמר כי "ישנם מספר רב של סיכונים שארגונים מתעלמים מהם לעיתים קרובות בעת העברת מערכות ושירותים לענן. "היינו מסכמים את ארבעת המובילים שהם אבטחה, פרטיות, המשכיות ושליטה."
"בשום זמן אין לנו סיסמא או גרסת נתונים מפוענחים שלהם", הוסיף מק'קמון. "אפילו מנהלי המערכת שלנו אינם יכולים לדעת יותר על לקוח מאשר נפח הנתונים המאוחסן במערכת שלנו. הנתונים היחידים שאנו אוספים על משתמשים הם כתובת דוא"ל ומידע חיוב אם הם זקוקים לתוכנית שירות."
לא משנה אם חברות עובדות עם ספקים גדולים כמו אמזון ומיקרוסופט או לא, או ספקיות קטנות וידע עם אפס כמו ספיידר אוק או לא, הן הולכות להמשיך להשתמש בענן, טוענת אייר.
"בעבודתי עם חברות סטארט-אפ, אני בדרך כלל לא רואה עסקים שעצבניים במיוחד בגלל השימוש בענן", אמר אייר. "אם בכלל, עסקים חדשים, לטוב ולרע, ראו את הענן בטוח ובלתי ניתן לציון כמו להכניס מסמכים לארון תיוק."
