اللوائح السحابية: ما تحتاج إلى معرفته لتكون آمنًا

عندما يصبح اعتماد السحابة في كل مكان ، من المهم أكثر من أي وقت مضى أن تفهم الشركات اللوائح والمسؤوليات المدنية المرتبطة بتخزين البيانات والتطبيقات في السحابة. أكثر من 93 بالمائة من الشركات تستخدم السحابة بطريقة ما ، وفقًا لنتائج استطلاع الرأي من Right Scale ، وهي شركة لإدارة السحابة. لكن تلك الشركات التي تخزن البيانات على السحب العامة والهجينة معرضة بشكل خاص للتنظيم والعقوبات في حالة حدوث خرق للبيانات أو في حالة تعطل كبير في السحابة.

توقع معظم الشركات ، وخاصة الشركات الصغيرة والمتوسطة الحجم (SMBs) ، اتفاقيات مستوى الخدمة القياسية (SLAs) مع الموردين السحابيين. تميل اتفاقيات مستوى الخدمة هذه إلى إفادة البائع أكثر من العميل ، ونتيجة لذلك ، تحد من الأضرار التي يدفعها البائعون السحابيون في حالة حدوث كارثة وعندما يحدث ذلك.

لمساعدتك على فهم ما تحتاج إلى معرفته لتكون أكثر استعدادًا للتداعيات القانونية للانتقال إلى السحابة ، ولمساعدتك على معرفة ما إذا كنت محميًا في حالة انتهاك سحابة عامة أو مختلطة ، قمنا بتجميع هذه القائمة من أشياء للإعتبار.

1. من المسؤول عن معلومات العميل بعد خرق البيانات؟

دعنا نفترض أنك تخزن جميع بيانات العملاء الخاصة بك داخل سحابة لجهة خارجية. إذا كان أحد المتطفلين قادرًا على اختراق هذه السحابة وسرقة بياناتك واستخدامها لإلحاق الضرر بعملائك ، فسينتهي أحدهم بدفع غرامات مدنية. اعتمادًا على صياغة اتفاقية مستوى الخدمة الخاصة بك ، من المحتمل أن يحدد البائع السحابي أضراره بـ "الأضرار الفعلية" بدلاً من "الأضرار التبعية" التي تتحمل شركتك المسؤولية عنها على الأرجح.

"عادةً ما يكتب البائع اتفاقه بطريقة تجعل مسؤوليته عن الإهمال العادي ضئيلة إلى حد ما ، وعادة ما تقتصر على" الأضرار الفعلية "وغالبًا ما يتم تحديدها بأي مبلغ يدفعه العميل للبائع في الأشهر الستة أو 12 السابقة وقال ستيفن آير ، مستشار الأعمال في Fort Point Legal ، وهي شركة متخصصة في تمثيل رواد الأعمال والشركات الصغيرة. "يشار إلى الأضرار الفعلية على أنها الأموال التي دفعها العميل مقابل الخدمة التي لم يتم تقديمها. عن طريق قصر الأضرار على" أضرار فعلية "، تلغي الاتفاقات احتمال أن يكون البائع مسؤولاً عن" الأضرار التبعية "وفئات أخرى من الأضرار مثل الأضرار العقابية ".

يصف Ayr الأضرار المترتبة على ذلك بأنها خسائر مالية تتم إزالتها خطوة واحدة من فترة التعطل أو السحب. على سبيل المثال ، إذا كان من المفترض أن يقدم عميلك عرض مبيعات كبير عبر نظام التعاون عبر الإنترنت الخاص بك ، ولكن لم يستطع ذلك بسبب توقف السحابة ، فستكون مسؤولاً عن الأضرار المترتبة على هذا التوقف.

وينطبق الشيء نفسه على خروقات البيانات أو الحوادث البحتة. تعمل معظم اتفاقيات مستوى الخدمة على الحد من الأضرار التي يتعين على البائعين السحابيين دفعها إذا قام المتسللون من النخبة باختراق أنظمة حديثة أو إذا قام طرف ثالث بقطع اتصال الألياف خارج مركز البيانات. فقط إذا كان المحامي الخاص بك يمكن أن يثبت "الإهمال الجسيم" سيكون البائع هو المسؤول الأول عن الالتزامات المالية لكارثة سحابة. ينطبق الإهمال الجسيم عادةً على سوء الأمن أو الإجراءات الشائنة المتعمدة التي يتخذها البائع.

2. من المسؤول عن تقديم البيانات إلى الجهات الحكومية؟

على الرغم من أنك قد تعمل مع أكثر موردي الخدمات السحابية أمانًا في العالم ، إلا أن هذا لا يعني أنه لا يمكن الوصول إلى بياناتك دون موافقتك ودون اللجوء القانوني في نهايتك. نظرًا لأنك تقوم بتسليم بياناتك إلى بائع سحابي ، فأنت بذلك تمنح البائع إذنًا للموافقة على أوامر حكومية. توضح معظم اتفاقيات مستوى الخدمة هذا بوضوح كبير ، ومن غير المرجح أن يكون كبار المورّدين السحابيين مثل Amazon Web Services (AWS) أو Microsoft Azure على استعداد لتغيير SLA القياسي لشركة ليست حسابًا للحوت الأبيض.

لذا ، إذا كان لديك تحفظات شديدة على اقتحام الحكومة ، فمن الأفضل أن تقوم ببناء سحابة خاصة بك أو تخزين بياناتك محليًا. في ظل هذه الظروف ، ستكون قادرًا على مكافحة أمر الحماية وحماية بيانات العميل الخاصة بك. ولكن ، إذا اخترت الذهاب مع سحابة عامة أو مختلطة ، فمن الأفضل أن يطلع بائعك على عدم تسامحك مع Big Brother.

3. ما هي اللوائح السحابية المحددة حسب الجغرافيا؟

من الصعب بما فيه الكفاية تتبع حقوقك حول كيفية إدارة بياناتك في الولايات المتحدة. لسوء الحظ ، تختلف اللوائح العالمية لكل بلد معين ، وفي بعض الحالات ، داخل كل ولاية قضائية في كل بلد معين. إذا كنت من الشركات متعددة الجنسيات مع مزودي الخدمات السحابية في مناطق جغرافية مختلفة ، فأنت تعاني من صداع كبير في محاولة لفهم وإدارة اللوائح والمسؤوليات المرتبطة بها.

وفقًا لـ Ayr ، من الأهمية بمكان أن تعمل الشركات التي تقوم بتخزين البيانات على المستوى العالمي مع المحامين لتحديد أنواع البيانات التي تخزنها ، والمناطق الجغرافية التي تقوم بتخزين البيانات بها ، والقوانين المحددة الموجودة داخل تلك الولايات القضائية.

وقال آير: "قد يكون هذا بطيئًا ، ومكلفًا بالعمل ، لأنك إما ستدفع لشخص ما لقضاء بعض الوقت في البحث في قوانين العديد من السلطات القضائية التي ليس لديها دراية بها ، وتوظيف محامٍ في كل ولاية قضائية تعمل بالفعل يعرف هذه القوانين ، أو يوظف خبيرًا باهظًا في الموضوع ويعرف بالفعل خصوصيات كل اختصاص ".

لسوء الحظ ، فإن الطريقة الأسهل والأكثر فعالية من حيث التكلفة لضمان التزامك داخل كل ولاية قضائية هي وضع المسؤولية على مزود الخدمة الخاص بك. نظرًا لأن مزودي الخدمة العالميين قد وسعوا أعمالهم بالفعل وقاموا بالعمل الجاد لتحديد كيفية التعامل مع البيانات على الصعيد العالمي ، فمن المحتمل أن يكون لديهم المعلومات وأفضل الممارسات في المكان.

وقال إير: "إن تعيين محامي لمراجعة شروط خدمة الموفر للامتثال أمر أقل تكلفة من استئجار محامي لإنشاء شروط متوافقة ومن ثم التفاوض مع موفر". ولكن هذا يعني أيضًا أنك تعتمد على اتفاقيات مستوى الخدمة ، وقد استكشفنا بالفعل الطرق المهمة التي يمكن أن تعمل بها اتفاقية مستوى الخدمة لصالح البائع.

4. لماذا يجب أن تشعر بالراحة تخزين البيانات في السحابة؟

في الولايات المتحدة ، تتم حماية معظم الشركات بواسطة قوانين أمان البيانات التي تحكم التعامل مع معلومات التعريف الشخصية (PII). تتطلب هذه القوانين من البائعين إنشاء سياسات مكتوبة تحدد استراتيجيات حماية البيانات وإجبارهم على قبول بعض المسؤولية على الأقل عن الانتهاكات والتوقف عن العمل. في حالة حدوث خرق ، تجعل هذه القوانين أيضًا الإبلاغ عن ذلك إلى النائب العام. في ولاية ماساتشوستس ، على سبيل المثال ، يسمى هذا القانون 201 CMR 17.00. في كاليفورنيا ، يُسمى القانون SB 1386. وحتى الآن ، يوجد لدى 47 ولاية أمريكية قوانين مماثلة في الكتب.

إذا كانت القوانين غير كافية لتهدئتك (ولا ينبغي أن تكون كذلك) ، فهناك بائعون سحابيون يقومون بتسويق أنفسهم كأبطال للخصوصية والأمن. تُعرف شركات مثل موفر خدمة الاسترداد بعد عطل فادح Spider Oak باسم الخدمات السحابية ذات المعرفة الصفرية. يقومون بتشفير البيانات على أجهزة عملائهم قبل تحميل البيانات إلى السحابة. المعرفة الصفرية تعني أن Spider Oak ومنافسوها لا يتعاملون مطلقًا مع البيانات المشفرة. تساعدهم هذه الممارسة على الحد من المخاطر المحتملة وعدم وضع أنفسهم في وضع يسمح لهم بتسليم البيانات إلى الكيانات الحكومية.

وقال مايك مكامون ، الرئيس ومدير الإدارة في Spider Oak: "هناك عدد كبير من المخاطر التي تتجاهلها المنظمات غالبًا عند نقل الأنظمة والخدمات إلى السحابة". "سنلخص المراكز الأربعة الأولى لتكون الأمن والخصوصية والاستمرارية والتحكم."

وأضاف مكامون "في أي وقت من الأوقات لا توجد لدينا كلمة مرور أو نسخة من بياناتها المشفرة". "حتى مسؤولو النظام الخاص بنا غير قادرين على معرفة أي عميل أكثر من حجم البيانات المخزنة في نظامنا. البيانات الوحيدة التي نجمعها عن المستخدمين هي عنوان البريد الإلكتروني ومعلومات الفوترة إذا كانوا يحتاجون إلى خطة خدمة."

بصرف النظر عما إذا كانت الشركات تعمل أم لا مع كبار البائعين مثل Amazon و Microsoft ، أو مع بائعين صغار المعرفة ، مثل Spider Oak ، فسوف يستمرون في استخدام السحابة ، كما يؤكد Ayr.

وقال آير "في عملي مع الشركات الناشئة ، لا أرى عمومًا الشركات التي تشعر بالقلق بشكل خاص من استخدام السحابة". "إذا كان هناك أي شيء ، فإن الشركات الجديدة ، للأفضل أو للأسوأ ، تعتبر السحابة بنفس القدر من الأمان وغير ملحوظة مثل وضع المستندات في خزانة ملفات."