一、云计算数据外包需要考虑的问题
然而,没有免费的午餐,云计算数据外包无法解决法律风险(伴随第三方对数据存储和传输位置的知晓而产生)这一关键问题。本文讨论的即是这一问题。在企业决定采用第三方云计算解决方案时,必须考虑到以下几点。
首先,当然需要定义我们在讨论的是什么,因为对于“云计算”,有很多定义。最近,一位知名CIO将其定义为:由某一组织控制虚拟服务器,终端用户可通过网络访问的计算应用技术。我们将“云计算”定义为:商业软件的服务提供,通过网络来应用软件和虚拟服务器上存储的数据。云计算提供了一种商业化的企业技术:基础设施即服务,软件即服务,及平台即服务,所有这些服务提供都是在线的,并且在Web2.0的框架之下。当第三方控制“云”的任何部分,相关的数据安全、隐私和从规问题就产生了。从某方面来看,从确定的数据线被通信方案(捆绑了来自n家公司的数据)所取代,这一问题就产生了。第三方试图充分提高虚拟化技术的效率,并将传统上企业自身拥有的功能(基础设施、系统平台和软件)商业化,与此同时,法律风险产生了。
第三方解决方案的好处是商业软件很好地建立了起来。从利用多用户需求的第三方软件解决方案供应商,到外包基础设施供应商(投资单一用户无法实现的更快更新的技术解决方案),第三方可实现规模效益,同时将所提供功能的成本降低。然而,有收益必然有风险,以下是云计算数据外包需要重点关注的风险问题。
云计算数据外包风险具体表现:数据的存储和转移
传统的外包协议中,用户可与供应商商议数据存储地点的控制情况(包括备份流程在哪里进行)。这样,用户和供应商均可了解,针对相关数据的传输法规,应提供哪种管理办法。然而,对云计算实施外包的成本效益很高,因为供应商可将数据转移到世界任何地方,也可将一个企业的数据发送到不同的地点,这取决于容量、应用情况和带宽。自由度的提高将导致处理流程不遵从全球众多与数据存储和转移相关的法规。
比如,早期的云供应商允许客户通过“可用区域”控制某些特定技术的数据存储地点。因为每个国家的数据转移法规不同,因此云供应商可将数据存储在某一事先确定的地区(比如,欧洲经济区);遵从此地的数据转出法规。采用这一方法,数据可不断地从这一供应商的欧洲服务器中进行转移,而不会出现从规问题,因为数据被存储在特定的经许可的区域。
数据安全
数据安全和数据保护通常是外包计划中主要关注的问题。外包协议计划精确设定了供应商必须采用的安全管理技术。这些安全管理计划的开展是由敏感数据(个人数据或财政数据)保护规则推动的。如何采用云计算解决方案对其进行控制?思科公司的CEO说云计算兼职如同一场数据安全的噩梦,并且无法用传统方式对其进行控制。对于大多数公司,对包含敏感数据或秘密数据的应用软件实施云计算技术外包,数据安全和数据保护是最大障碍。
因此,与云供应商签订外包合同需要更认真仔细,少包含术语和条件。用户应关注云计算解决方案是否保证了数据合规,最终,用户将依赖供应商提供的解决方案文本,并认为已确保合规(无论是直接——比如采用银行或医疗软件;还是间接,比如诠释特定的数据存储地点)。结果是,供应商没实现用户数据处理过程的合规即为服务失败,可被认为是未能遵循服务说明,需要依照合同进行赔偿。
跟任何外包计划一样,回顾供应商的解决方案以决定对于数据访问的控制,这是一个关键步骤。这一供应商解决方案是否实现了对企业数据访问权限的限制,是否实现了对访问者的监控(这样你可知道谁在何时访问了哪些数据)?哪些规范需要加密?数据归档的频率?是否所有的应用软件和软件进行了最新的安全升级?安全水平协议是否包括这一条款:安全系统的维持情况是一个性能参数。