视频: 「開箱ã€?試å?ƒæ€ªå‘³é›·æ ¹ç³–ï¼?ï¼?原來鼻屎是這個味é?“...?ï¼?「 哈利波特怪å (十一月 2024)
随着云技术的普及,对于企业而言,了解与在云中存储数据和应用程序相关的法规和民事责任比以往任何时候都更为重要。 根据云管理公司Right Scale的调查结果,超过93%的企业以某种方式使用云。 但是,那些在公共云和混合云上存储数据的公司特别容易受到法规和处罚的影响,如果发生数据泄露或云停机时间很长的话。
大多数公司,尤其是中小型企业(SMB),都与云供应商签署标准服务级别协议(SLA)。 这些SLA往往使供应商比客户受益更多,因此,如果发生灾难时以及灾难发生时,云服务提供商可以限制云供应商支付的损失。
为了帮助您了解为更好地准备迁移到云所产生的法律后果所需了解的信息,并帮助您确定如果您的公共云或混合云受到违反,您是否会受到保护,我们整理了以下清单:要考虑的事情。
1.数据泄露后谁负责客户信息?
假设您将所有客户数据存储在第三方的云中。 如果黑客能够突破该云,窃取您的数据并使用它来伤害您的客户,那么有人就要付出民事罚款。 根据您的SLA的措辞,您的云供应商可能会将其损失限制为“实际损失”,而不是贵公司可能负责的“间接损失”。
“通常情况下,卖方将以这样一种方式写出协议,即他们对普通过失的责任很小,通常仅限于'实际损害',并且通常以客户在前六个月或十二个月内向卖方支付的金额为上限”,Fort Point Legal商业顾问,史蒂文·艾尔(Steven Ayr),该公司专门代表企业家和小型企业。 “实际损失是指客户为未提供的服务所支付的款项。通过将损失限制为“实际损失”,协议消除了卖方可能对“间接损失”和其他类别的赔偿责任的可能性。损害赔偿,例如惩罚性赔偿。”
Ayr将间接损失描述为财务损失,这是从漏洞或云停机时间中消除的第一步。 例如,如果您的客户应该通过您的在线协作平台提供很大的销售机会,但由于云停机而无法这样做,那么您将对这次停机造成的相应损失负责。
数据泄露或纯事故也是如此。 如果精英黑客突破了最先进的系统,或者第三方切断了数据中心外部的光纤连接,大多数SLA都会限制云供应商必须支付的损失。 仅当您的律师可以证明“重大过失”时,卖方才对云灾难的财务责任负主要责任。 重大过失通常适用于安全性差或供应商采取的故意恶意行为。
2.谁负责向政府机构提交数据?
即使您可能正在与世界上最安全的云供应商合作,但这并不意味着您的数据未经您的同意也不会获得法律援助,就无法访问。 因为您将数据移交给云供应商,所以实际上是在授予供应商同意政府保证的权限。 大多数SLA非常清楚地说明了这一点,而且像Amazon Web Services(AWS)或Microsoft Azure这样的大型云供应商不太可能愿意为非白鲸帐户的公司更改其标准SLA。
因此,如果您对政府的入侵行为持极端保留态度,那么最好建立自己的私有云或在本地存储数据。 在这种情况下,您将可以与认股权证作斗争并保护您的客户数据。 但是,如果您选择使用公共云或混合云,则最好希望您的供应商与您分享对老大哥的不宽容态度。
3.按地理位置划分的具体云法规是什么?
跟踪您在美国如何管理数据的权利已经非常困难。 不幸的是,全球法规针对每个特定国家而有所不同,在某些情况下,在每个特定国家中的每个司法管辖区内也不同。 如果您是一家跨地区的云服务提供商的跨国公司,那么您就很难理解和管理相关的法规和负债。
根据Ayr的说法,至关重要的一点是,在全球范围内存储数据的公司必须与律师合作,以识别其存储的数据类型,存储数据的地理位置以及这些辖区内的具体法律。
艾尔说:“不过,这可能是一项缓慢而昂贵的工作,因为您要么要花钱去花时间研究他们不熟悉的几个司法管辖区的法律,要么在每个司法管辖区都聘请一名律师知道这些法律,或者聘请一位非常昂贵的主题专家,他们已经了解每个司法管辖区的来龙去脉。”
不幸的是,确保您在每个司法管辖区都合规的最简单,最具成本效益的方法是让服务提供商承担责任。 由于全球服务提供商已经扩大了业务范围,并做出了确定如何在全球范围内处理数据的工作,因此他们更有可能掌握适当的信息和最佳实践。
“毕竟,雇用律师审查提供商的服务条款以使其合规要比雇用律师创建符合条件的条款然后与提供商进行协商要便宜得多。” 但是,这也意味着您依赖SLA,并且我们已经探索了SLA可以对供应商有利的重要方式。
4.为什么要舒适地在云中存储数据?
在美国,大多数公司都受到数据安全法律的保护,这些法律规范了个人身份信息(PII)的处理。 这些法律要求供应商制定书面政策,概述其数据保护策略,并迫使他们至少承担一些违反和停机的责任。 如果发生违规,这些法律还规定必须向司法部长报告。 例如,在马萨诸塞州,此法律称为201 CMR 17.00。 在加利福尼亚州,该法律被称为SB1386。迄今为止,美国47个州的相关法律也有类似规定。
如果法律还不足以让您放心(也不应该这样),那么有云供应商会将自己推崇为隐私和安全的拥护者。 灾难恢复(DR)服务提供商Spider Oak等公司被称为零知识云服务; 他们先将客户设备上的数据加密,然后再将数据上传到云中。 零知识意味着Spider Oak及其竞争对手从未处理过解密数据。 这种做法有助于他们限制潜在风险,并且永远不会使自己处于被迫将数据移交给政府实体的位置。
Spider Oak总裁兼首席营销官Mike McCamon表示:“将系统和服务迁移到云时,组织经常会忽略很多风险。” “我们将安全性,隐私性,连续性和控制性排在前四名。”
McCamon补充说:“我们绝对没有密码或解密数据的版本。” “即使我们自己的系统管理员也无法比客户了解更多有关客户的信息。我们所收集的有关用户的唯一数据是电子邮件地址和账单信息(如果他们需要服务计划)。”
艾尔认为,无论公司是与大型供应商(例如亚马逊和微软)合作,还是与零知识的小型零供应商(例如Spider Oak)合作,他们都将继续使用云。
艾尔说:“在与初创企业合作时,我通常不会看到对使用云感到特别紧张的企业。” “无论如何,无论好坏,新业务都将云视为安全和毫不平凡,就像将文件放在文件柜中一样。”
