企业被令人担忧的不断增长的合规要求所包围,从SOX法案、PCI DSS标准到HIPAA法案/HITECH法案(Health Information Technology for Economic and Clinical Health )以及联邦贸易委员会(FTC)的红旗准则(Red Flags Rules)。同时,随着可供选择的云服务提供商的数量不断增长,企业有许多的选择权,当然有关云计算合规遵从也有许多需要考虑的问题。 尽管迁移服务到云上可能会有很多好处,但这也没有免除企业的某些责任。值得注意的是,企业仍然被要求遵从各式各样的合规和法律,似乎服务仍然位于公司的内部。
在一些情形下,……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
企业被令人担忧的不断增长的合规要求所包围,从SOX法案、PCI DSS标准到HIPAA法案/HITECH法案(Health Information Technology for Economic and Clinical Health )以及联邦贸易委员会(FTC)的红旗准则(Red Flags Rules)。同时,随着可供选择的云服务提供商的数量不断增长,企业有许多的选择权,当然有关云计算合规遵从也有许多需要考虑的问题。
尽管迁移服务到云上可能会有很多好处,但这也没有免除企业的某些责任。值得注意的是,企业仍然被要求遵从各式各样的合规和法律,似乎服务仍然位于公司的内部。
在一些情形下,正如PCI DSS标准那样,有一个明显的趋势是通过外包某些服务来减少公司的合规遵从范围。值得注意的是,通过大规模地外包信用卡处理流程给某个第三方提供商,公司的PCI范围会显著地缩小(尽管没有完全地消失)。不过,联邦贸易委员会的红旗规则情况不是这样,因为联盟贸易委员会强制要求任何外包的服务必须保持和企业内部实施情形下同等或更好的安全水平。
当你开始评估迁移服务到云时,考虑几个云计算合规遵从的问题十分重要:
1.迁移到云的数据是否会在任何合规或相关要求之下?这些数据包括如个人可识别信息(PII)、个人健康信息(PHI)或公司财务相关的信息。
2. 如果这些问题一的答案是肯定的话,那么它在哪些合规要求的管辖之下以及需要什么控制措施?
3. 云服务提供商是否真的能提供你组织数据所要求的认可的或等同的控制?
4. 云服务提供商是否有必要的策略、流程和规程来正确地维护这些控制?
5. 供应商是否具备恰当的灾备恢复和业务持续性过程来满足你的组织的业务需要?
6. 如果云服务提供商破产会发生什么?企业的数据会被当作提供商的资产卖给债权人或进行拍卖吗?
7. 如果我决定更换服务提供商,是否容易使用可用的格式导出我的数据?
8. 供应商是否愿意修改它默认的服务条款以便保证或者提供围绕第3至第7个问题的服务级别协议(SLA)?
最后一个问题特别重要,因为许多云服务提供商拒绝签署默认合同以外的内容。这样一来,就把他们排除在数据相关服务的潜在合规遵从服务商之外了。好几个合作要求,如最为人关注的HIPAA/HITECH法案及联盟贸易委员会的准则,特别要求企业必须和它的服务提供商签署合同要求恰当的控制、流程和规程来与每个合规的指导要求保持一致。
类似地,如果提供商无法满足第3至第7个问题,应该把它们从你组织的业务考虑列表上删掉。无法满足要求是个问题,特别当面对PCI DSS标准和HIPAA/HITECH法案时。这样一来,你会很快地发现可供选择的云服务提供商是有效的,至少在短期来看是这样。尽管有传闻好几个大型的云服务提供商致力于改造它们的系统来满足这些合规要求。在健康医疗面有少数的云服务提供商已经专门地建立应用来满足医疗行业的需要,但是我还没有看到对这些应用的任何安全性评估,从而可以判断它们的有效性。
在此期间,我推荐你给正在评估的提供商发送上述问题,就像你会为任何其它的外包项目发送信息请求(RFI)那样,选择满足你要求的最佳提供商。
如果没有一家能满足,评估移除或混淆相关数据的方法(例如在迁移数据到云之前对其进行哈希或者加密),从而让你的组织仍能从云获得业务回报。
相关推荐
-
如何保护无服务器应用?
无服务器应用的新趋势有望帮助我们实现云计算的原始梦想。通过无服务器应用,不再有维护基础设施的工作,让你可专注于构建更好的应用,这是非常令人信服并相当强大的……
-
云是网络攻击的潜在金矿,端到端安全成迫切需求
为保企业借助云计算进行数字化转型成果不被网络攻击者破坏,企业在部署云服务之初就需要将云安全问题考虑在内,并通过部署整合的安全方案为企业的数据资产护航。
-
“安全即代码”:整合安全团队和DevOps团队
随着云计算开发和部署变得越来越快且越来越灵活,安全团队意识到,保护云应用和系统部署的唯一有效方法是开发可整合到部署管道的安全控制,以及尽可能自动化……
-
微软Secure Data Exchange是如何加强云数据安全的?
在云端安全共享数据一直是一个问题。云数据不仅需要在传输过程中进行加密,在静态也需要加密。这意味着与第三方共享数据只能通过先使用数据所有者的加密密钥解密才可实现……