2019-03-02 08:27:34 智能時刻

在這個由兩部分組成的系列文章中，法律專家Robert McHale是“數據安全和身份盜竊：影響您的業務的新隱私法規”的作者，它提供了與雲計算相關的法律安全和隱私風險的全面概述。討論了管理雲活動的主要聯邦和州法律。第2部分提供了公司在簽訂雲服務協議之前應該諮詢的實際盡職調查清單。

盡職調查和雲服務協議

組織與雲服務提供商簽訂的合同協議可能是評估雲計算風險的最關鍵組成部分，因此在進入雲關係之前應該仔細檢查。

雲服務協議（CSA）應清楚地描述所提供的服務，擔保，保證，限制，責任以及各方的責任和權利。

適當的盡職調查需要對以下類別的問題進行調查：數據安全性，性能，服務限制，數據遷移，政府和第三方訴訟訪問，商業秘密/機密信息的處理以及退出計劃，所有這些都在詳情如下。

數據安全

為了正確管理與雲服務相關的運營風險，應仔細檢查雲提供商的數據安全級別。至少應確定以下內容：

雲提供商是否有義務在與客戶自己的內部政策相同的級別上保護客戶的數據？
誰有權訪問客戶數據，他們的背景是什麼？
提供商的數據中心在哪裡物理位置，以及防止數據中心未經授權訪問的保護措施（例如，全天候安全人員）？
提供商是否承諾維護特定轄區內的用戶數據和/或避免某些司法管轄區？
有關將內部數據移回內部或替代供應商的提供商的遷移政策是什麼？（公司需要確保沒有數據丟失或落入壞人之手。）
提供商是否定期進行備份和恢復測試？
提供商的安全策略是否符合所有適用的監管規則？
提供者是否願意接受按需或定期審核和安全認證？
提供者是否需要調查非法或不當活動？
提供商是否需要披露可能影響客戶數據機密性或其服務的完整性和可用性的任何新漏洞？
如果數據丟失或受損，數據是否可以備份，是否可以從備份中輕鬆重建？
提供商有關數據處理/管理和訪問控制的政策是什麼？是否存在適當的控制措施，以防止提供商或公司未經授權的員工不允許複製或刪除客戶數據？
數據被刪除後會發生什麼？
更換硬件時，雲硬件（例如，服務器的預告片）會發生什麼？

實踐要點

當雲服務提供商保留單方面更改其隱私政策條款和使用條款的權利時，與雲計算相關的安全和隱私風險會加劇。通過拒絕此類單方面變更條款，用戶可以避免將其經過仔細協商的風險分配帶走。

性能

對於許多公司而言，雲服務的持續可用性至關重要。無法訪問存儲在雲中的數據可能會導致嚴重的業務中斷，收入損失和商譽損失。在進入CSA之前，請務必獲得以下問題的滿意答案：

提供商是否有來自不同來源的多個電源？
提供商是否擁有來自不同供應商的多個通信鏈接（以防止因連接問題導致的服務中斷）？
提供商是否在過去六個月內支付了任何服務級別的積分，如果是，他們支付了什麼？
是否有任何提供商的客戶遇到服務中斷，如果有，需要多長時間？
提供商是否能夠持續提供服務（以及訪問客戶數據），甚至是在預定的服務停機時間內？
如果需要，供應商能否將客戶數據無縫轉移到備用供應商？
是否存在提供商已知的特殊情況，使服務中斷成為合理的可能性？（例如，提供商是否面臨財務困難？是否依賴財務困難的分包商？是否涉及訴訟？）
如果數據丟失，提供商執行數據恢復的速度有多快？
如果因不可抗力（例如戰爭，政府制裁，禁運或停電）導致服務中斷或數據丟失，提供商對用戶有何責任（如果有）？
在發生自然災害時，提供商的應急計劃是什麼？例如，提供商是否有能力快速傳輸客戶數據並將客戶應用程序重新部署到輔助位置？
提供商對正常運行時間承擔哪些合同義務（如果有），是否包括正常運行時間保修？

服務限制

CSA經常包含幾個排除條款，這些條款應該讓那些考慮遷移到雲的公司暫停的重要原因。應仔細審查這些條款，並酌情予以限定或刪除。最繁瑣的條款如下所示。

單方面限制，暫停或終止服務的權利（通知或不通知）（並且出於任何原因）
免責聲明與服務質量和可用性有關的責任
免責聲明所有保證，包括適銷性和適用於特定用途的默示保證
免責聲明第三方行為
補救限制，包括限制總損失（例如退還已支付的費用）和/或排除間接損害（例如利潤/收入損失）

實踐要點

許多CSA中的廣泛排除條款可能證明是雲提供商的合同撤銷。如果提供商同時拒絕提供質量和性能，聯邦和州消費者保護法一方面可能會對提供商聲稱的有效服務，可靠性和安全性表示不滿。

數據隔離

目前，大多數雲服務提供商都在共享服務器的基礎上提供服務。應特別注意確保貴公司的數據不會無意中與競爭對手的數據混合在一起。應詢問以下問題以確定提供者的數據隔離程序：

即使客戶和競爭對手都託管在同一臺服務器上，提供商還有哪些程序來確保競爭對手無法訪問客戶數據？
提供商監控其服務器以確認數據是否正確隔離的頻率如何？

政府和第三方訴訟准入

CSA應明確說明雲提供商將如何響應法律信息請求，以及雲用戶被批准的異議通知和機會。例如：

如果提供商收到傳票，搜查令或其他合法的用戶信息請求，提供商是否需要通知用戶？
雲提供商是否會尋求保護性命令以防止和/或限制公司數據的披露？
在訴訟案件中，訴訟如何執行？確保用戶數據被隔離和保留的程序是什麼？
如何處理電子發現請求？元數據如何受到保護？如何搜索和檢索信息？
哪一方承擔與為發現目的處理數據相關的成本？

商業秘密和機密信息

CSA應該包括一項規定，以維護公司的商業秘密和專有信息的機密性，儘管即使這樣，公司的商業機密與雲提供商的存儲也會帶來很大的風險。

根據“統一商業秘密法”，對於公司的專有信息被賦予商業秘密狀態，商業秘密必須至少是在這種情況下合理的努力主題，以保持其秘密。

是否將商業秘密轉讓給雲提供商的商業機密還未被裁定。即使在雲提供商承諾對其收到的任何信息保密的情況下，公司的商業機密也可能失去其身份。

當然，如果雲提供商的服務條款允許提供商查看，使用或披露信息，這可能會損害用戶聲稱信息是商業機密的說法。

實踐要點

從管轄角度來看，在雲中存儲商業秘密會帶來額外的風險。如果存儲用戶數據的管轄區內的商業秘密法對信息的保護程度低於用戶所在地管轄區的法律，則可能要求用戶在“不利”的情況下尋求執行其商業秘密權利。 “管轄權。此外，在另一個國家/地區持有的數據可能比用戶所在國家/地區的相同數據更容易受到政府訪問。使這些風險更加複雜的是，“雲”的位置並不總是容易確定，並且通常是多位的並且可能會發生變化。

同樣，應審查CSA以確定特權通信是否保持不變。

一般而言，如果與第三方共享特權通信，例如客戶對其律師的特權通信，則會被銷燬。

如果CSA允許提供者閱讀，使用或披露信息，那麼特權很可能會丟失。另一方面，如果CSA僅允許提供者存儲信息，而無權查看信息，則該特權可能在將數據傳輸到提供者後仍然存在。

退出計劃

在CSA中還應明確規定在終止服務時確定各方義務的退出計劃。例如，

服務終止後多久將客戶數據退還給客戶，以何種形式？
提供商是否需要協助客戶將數據傳輸到新的提供商或返回自我管理的平臺？
提供商是否需要永久性地在終止後維護客戶數據的備份副本，或者是否要在特定時間範圍內銷燬所有客戶數據？
如何在與提供商的關係結束時處理客戶數據？
如果提供商停業，客戶數據會發生什麼變化？
對於加密數據，如何在返回數據時對數據進行解密？
用戶的數據和應用程序是否可以隨時傳輸到雲端或從雲端傳輸，以避免被鎖定到任何特定的雲供應商？

當然，隨著雲服務被合併到少數大型企業中，協商CSA條款的能力將變得越來越困難。儘管如此，鑑於當前強大的雲競爭階段和消費者對雲安全的懷疑，談判條款的能力處於相對較高的水平。公司應利用這一事實堅持最大限度地保護其數據並最大限度降低其法律風險的條款。

實踐要點

由於用戶並不總是與所有相關參與者建立直接關係（因此具有可強制執行的合同相關性），因此在雲中實現合同保護可能會變得複雜。例如，組織可以保留用於遠程桌面備份服務的SaaS雲提供商，但是數據本身可以由其他人在IaaS或PaaS級別存儲和處理。作為其直接提供商的盡職調查的一部分，公司應要求確認直接提供商還對所有相關服務提供商進行了充分的盡職調查。在這方面，公司應堅持審查其直接提供商與任何二級提供商簽訂的合同，以確保維持合規性，並且不會產生額外的法律風險或義務。