클라우드 규정 : 안전을 위해 알아야 할 사항

클라우드 채택이 어디에나있게됨에 따라 기업은 클라우드에 데이터 및 애플리케이션을 저장하는 것과 관련된 규정 및 민사 책임을 이해하는 것이 그 어느 때보 다 중요합니다. 클라우드 관리 회사 인 Right Scale의 설문 조사 결과에 따르면 기업의 93 % 이상이 어떤 방식 으로든 클라우드를 사용한다고합니다. 그러나 퍼블릭 클라우드와 하이브리드 클라우드에 데이터를 저장하는 회사는 데이터 유출이 발생하거나 클라우드 다운 타임이 현저한 경우 특히 규제 및 처벌에 취약합니다.

대부분의 회사, 특히 중소 기업 (SMB)은 클라우드 공급 업체와 표준 서비스 수준 계약 (SLA)에 서명합니다. 이러한 SLA는 고객보다 공급 업체에게 더 많은 혜택을주는 경향이 있으며, 그 결과 재난 발생시 및 클라우드 공급 업체가 지불하는 피해를 제한합니다.

클라우드로의 이전에 따른 법적 영향에 대해 더 잘 대비하기 위해 알아야 할 사항을 이해하고 퍼블릭 또는 하이브리드 클라우드를 위반할 경우 보호되는지 확인하기 위해이 목록을 작성했습니다. 고려해야 할 것들.

1. 데이터 유출 후 고객 정보에 대한 책임은 누구에게 있습니까?

모든 고객 데이터를 타사의 클라우드에 저장한다고 가정 해 보겠습니다. 해커가 클라우드를 위반하고 데이터를 훔쳐 고객에게 해를 끼칠 수있는 경우 누군가가 민사 처벌을 받게됩니다. SLA의 표현에 따라 클라우드 공급 업체는 회사가 책임을지는 "결과적 손해"와 달리 "실제적인 손해"로 해당 손해를 제한 할 수 있습니다.

"보통 벤더는 보통의 과실에 대한 책임이 상당히 최소화되고 일반적으로 '실제 손해'로 제한되며 이전 6 개월 또는 12 개월 동안 고객이 벤더에게 지불 한 금액에 제한을받는 방식으로 계약을 작성하려고합니다. "라고 기업가와 중소 기업을 대표하는 회사 인 Fort Point Legal의 법률 고문 인 Steven Ayr가 말했습니다. "실제 손해는 고객이 제공하지 않은 서비스에 대해 지불 한 금액을 말합니다. '실제 손해'에 대한 손해를 제한함으로써 계약은 벤더가 '결과적 손해'및 기타 부류의 손해에 대해 책임을 질 가능성을 제거합니다. 징벌 적 손해와 같은 손해 "

Ayr은 결과적 손해를 위반 또는 클라우드 다운 타임에서 한 단계 제거 된 재정적 손실로 설명합니다. 예를 들어 고객이 온라인 협업 플랫폼을 통해 큰 매출을 올리려고했지만 클라우드가 다운되어 고객이 할 수없는 경우이 다운 타임의 결과적 손해에 대해 책임을집니다.

데이터 유출이나 순수한 사고의 경우에도 마찬가지입니다. 대부분의 SLA는 엘리트 해커가 최신 시스템을 뚫거나 타사가 데이터 센터 외부의 광섬유 연결을 끊는 경우 클라우드 공급 업체가 지불해야하는 피해를 제한합니다. 변호사가 "중과실"을 입증 할 수있는 경우에만 공급 업체는 주로 클라우드 재앙의 금융 부채를 책임집니다. 심각한 태만은 일반적으로 보안이 취약하거나 공급 업체가 의도적으로 악의적으로 행동하는 경우에 적용됩니다.

2. 정부 기관에 데이터를 제출할 책임은 누구에게 있습니까?

전 세계에서 가장 안전한 클라우드 공급 업체와 협력하고 있다고하더라도 귀하의 동의없이 법적으로 법적 동의없이 데이터에 액세스 할 수있는 것은 아닙니다. 클라우드 공급 업체에 데이터를 전달하기 때문에 기본적으로 공급 업체가 정부 영장에 동의 할 수있는 권한을 부여하고 있습니다. 대부분의 SLA는이를 매우 명확하게 설명하며, Amazon Web Services (AWS) 또는 Microsoft Azure와 같은 대규모 클라우드 공급 업체는 흰 고래 계정이 아닌 회사의 표준 SLA를 기꺼이 변경할 것 같지 않습니다.

따라서 정부의 침입에 대해 극단적으로 예약 한 경우 개인 클라우드를 구축하거나 로컬로 데이터를 저장하는 것이 좋습니다. 이러한 상황에서는 영장과 싸우고 고객 데이터를 보호 할 수 있습니다. 그러나 퍼블릭 클라우드 나 하이브리드 클라우드를 사용하기로 선택한 경우 공급 업체가 빅 브라더에 대한 편협성을 공유하기를 바랍니다.

3. 지역별 클라우드 규정은 무엇입니까?

미국에서 데이터를 관리하는 방법에 대한 귀하의 권리를 추적하기는 어렵습니다. 불행히도, 글로벌 규정은 특정 국가마다, 경우에 따라 각 특정 국가의 관할권마다 다릅니다. 여러 지역에 클라우드 서비스 제공 업체가있는 다국적 기업인 경우 관련 규정 및 부채를 이해하고 관리하려는 데 어려움을 겪고 있습니다.

Ayr에 따르면 전 세계에 데이터를 저장하는 회사는 변호사와 협력하여 자신이 저장하고있는 데이터의 종류, 데이터를 저장하는 지역 및 해당 관할 지역의 특정 법률이 무엇인지 식별해야합니다.

Ayr는 "하지만 그것은 느리고 값 비싼 일이 될 수있다"면서 "당신은 누군가에게 그들이 익숙하지 않은 여러 관할권의 법률을 연구하기 위해 시간을 보내려고했기 때문에 이미 각 관할권에서 변호사를 고용하기 때문에 "이러한 법률을 알고 있거나 각 관할 구역의 내용을 이미 알고있는 매우 비싼 주제 전문가를 고용하십시오."

불행히도, 각 관할권 내에서 규정을 준수 할 수있는 가장 쉽고 비용 효율적인 방법은 서비스 제공 업체에 책임을 두는 것입니다. 글로벌 서비스 제공 업체는 이미 비즈니스를 확장하고 전 세계적으로 데이터를 처리하는 방법을 결정하기 위해 노력을 기울 였기 때문에 정보와 모범 사례를 보유 할 가능성이 높습니다.

Ayr은 "결국 변호사를 고용하여 준수하는 용어를 작성한 후 제공자와 협상하는 것보다 변호사를 고용하여 공급자의 서비스 약관을 검토하는 것이 훨씬 저렴하다"고 말했다. 그러나 이것은 또한 귀하가 SLA에 의존하고 있음을 의미하며, SLA가 공급 업체를 위해 유리하게 작동 할 수있는 중요한 방법을 이미 살펴 보았습니다.

4. 왜 클라우드에 편안한 데이터 저장이 필요합니까?

미국에서는 대부분의 회사가 개인 식별 정보 (PII) 처리를 관리하는 데이터 보안법에 의해 보호됩니다. 이러한 법률에 따라 공급 업체는 데이터 보호 전략을 간략히 기술 한 서면 정책을 작성하고 최소한 위반 및 다운 타임에 대한 책임을 져야합니다. 위반이있을 경우, 이 법은 또한 법무 장관에게보고해야합니다. 예를 들어 매사추세츠에서는이 법을 201 CMR 17.00이라고합니다. 캘리포니아에서는이 법을 SB 1386이라고합니다. 현재까지 47 개 주에서 유사한 법을 보유하고 있습니다.

법이 충분하지 않아서 편안하지 않은 경우 개인 정보 보호 및 보안의 챔피언으로 자신을 마케팅하는 클라우드 공급 업체가 있습니다. 재해 복구 (DR) 서비스 제공 업체 인 Spider Oak와 같은 회사는 지식이없는 클라우드 서비스라고합니다. 클라우드에 데이터를 업로드하기 전에 클라이언트 장치의 데이터를 암호화합니다. 제로 지식은 Spider Oak와 그 경쟁 업체가 해독 된 데이터를 처리하지 않음을 의미합니다. 이 관행은 잠재적 인 위험을 제한하고 정부 기관에 데이터를 넘겨 줄 수있는 위치에 있지 않도록합니다.

스파이더 오크의 사장 겸 CMO 인 Mike McCamon은 "조직과 시스템을 클라우드로 마이그레이션 할 때 조직이 무시할 위험이 상당히 많다"고 말했다. "보안, 개인 정보 보호, 연속성 및 제어라는 4 가지를 요약했습니다."

McCamon은“언제든지 암호 나 해독 된 데이터 버전을 가지고 있지 않습니다. "시스템 관리자도 시스템에 저장된 데이터의 양보다 고객에 대해 더 이상 알 수 없습니다. 서비스 계획이 필요한 경우 사용자에 대해 수집하는 유일한 데이터는 전자 메일 주소 및 청구 정보입니다."

Ayr 씨는 기업이 Amazon 및 Microsoft와 같은 대규모 공급 업체 또는 Spider Oak와 같은 소규모의 무 지식 공급 업체와 협력하는지 여부에 관계없이 클라우드를 계속 사용할 것이라고 Ayr 씨는 주장합니다.

Ayr은 "스타트 업과의 작업에서 일반적으로 클라우드 사용에 특히 신경이 쓰이는 비즈니스를 보지 못합니다"라고 말했습니다. "새로운 비즈니스가 더 좋든 나쁘 든 클라우드를 문서 캐비닛에 문서를 넣는 것처럼 안전하고 눈에 띄지 않는 것으로 간주하십시오."