在云计算合同中遵循合规性需求

日期: 2010-08-18 作者:Linda Tucci翻译:陈德彦 来源:TechTarget中国 英文

希望把云计算基础设施用于数据备份和存储的公司,在签订合同之前,需要考虑合规性需求。   据两位市场专家讲,在某些情况下,云供应商能够满足合规性需求——但往往需要付出昂贵的代价。甚至价格谈判开始之前,CIO们就必须明白云中的数据备份和存储没有取消该公司附加在这些信息上的法律、法规和审计义务等的责任。   CIO们应该为云供应商准备一份合规性问题清单。

但是,不要指望他们的回答满足你的需求。事实上,在上个月,Gartner公司发表了一份报告。该报告指出,直到2012年,安全、隐私和合规性将阻止在受管制性行业和全球性公司采用云计算。   以下是来自Gartner企业内容管理分析师Debra Logan……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

希望把云计算基础设施用于数据备份和存储的公司,在签订合同之前,需要考虑合规性需求。

  据两位市场专家讲,在某些情况下,云供应商能够满足合规性需求——但往往需要付出昂贵的代价。甚至价格谈判开始之前,CIO们就必须明白云中的数据备份和存储没有取消该公司附加在这些信息上的法律、法规和审计义务等的责任。

  CIO们应该为云供应商准备一份合规性问题清单。但是,不要指望他们的回答满足你的需求。事实上,在上个月,Gartner公司发表了一份报告。该报告指出,直到2012年,安全、隐私和合规性将阻止在受管制性行业和全球性公司采用云计算。

  以下是来自Gartner企业内容管理分析师Debra Logan和CA的GRC管理套件的产品管理副总裁Tom McHale的一些指导方针和建议。

  谁有权访问云中的敏感数据?

  云中心往往提供SAS 70认证和一些审计功能。在云数据中心的安全性(尤其是边界安全)大部分时间是好的。但还需要回答很多人的问题。

  McHale说:“虽然你购买了基础设施,但你仍需要负责:谁有权访问这些应用、谁管理这些应用以及处理这些数据的人员的职责划分。”

  公司通常做定期的背景检查,以确保其雇员合格并值得信赖,他们需要看到云供应商遵循什么类型的人事过程。但是,McHale警告说,除非你是一个非常大的客户,否则,在规定人事政策上,你不会有很多运气:例如,要求每3个月做一次药物测试。他说:“你的公司可能有很好的策略。该策略对于处理敏感数据的人是一种很好限制,在这种情况下,这可能是一个挑战。”

  数据备份:频率、多久、多好?

  CIO们应该明确他们的系统将被备份的频率,以及当系统不可用时,供应商定期维护的窗口。McHale说:“备份可能需要五到六个小时。”

  一旦确定备份和维护计划,就应该考虑隐私和安全问题:当管理员开始做备份时,他们究竟可以看到什么?难道管理员必须有数据的访问权限?用什么工具确保备份(或副本)并没有备份到CD或拇指驱动(thumb drive)上,而仅仅备份到被认可的系统中?

  Gartner的Debra Logan推荐,你要求对基础设施的描述、数据保存的格式、备份磁带会发生什么变化以及您是否可以将特定的保留过程应用到你的数据上。

  您将如何管理电子发现(E-discovery)请求并满足不同的保留法规?

  公司都受到无数法律或法规的制约,规定他们以何种方式以及必须保存数据多长时间。许多国家——例如,德国和英国——具有电子邮件相关的具体规定。Logan指出,在民事案件中,美国律师必须遵循的民事诉讼法联邦规则(FRCP)要求在案件的早期阶段披露电子存储信息。这些都是供应商必须解决的问题。

  Logan建议:“为发现和保护需求的过程、成本以及职责,需要预先进行谈判,并且为维护律师和委托人特权相应的协议也应在一开始就规定。”

  Logan列出了协商云计算条款的几个问题:

  • 如果我需要保存数据会怎样?
  • 如果我需要产生数据,如何做数据收集工作?
  • 谁来做呢?
  • 假定在得到传票后,可以立即开始“保存”操作,且只允许90至120天用于生产数据,SLA是什么?
  • 您的数据中心在哪些管辖区域,以及在这些管辖区域中,如何保护隐私?
  • 您如何回应有关您的数据信息的政府要求呢?
  • 从托管服务导出数据,可能是什么格式的?
  • 你怎么保证满足数据存储的跨境法律限制?

  如果贵公司属于一个受到严格监管的行业,Logan认为在未来几年,在云中,你将做许多IT业务。Logan说,如果法律部门正关注公司何时采用云服务,他们将快速刹车。

  她说:“早期云服务的采用将极大地受到云提供商未能充分解决安全、隐私和风险担忧的抑制,尤其是在高度管制的产业。”

作者

Linda Tucci
Linda Tucci

Executive Editor Linda Tucci oversees news and e-zine projects for SearchCIO.com and SearchCIO-Midmarket.com. She has covered CIO strategy since joining TechTarget in 2005, focusing most recently on big data, mobile computing and social media. She also writes frequently about the CIO role and CIO careers for SearchCIO.com's weekly CIO Matters column. Prior to joining TechTarget she was a business columnist for the St. Louis Post-Dispatch. Her freelance work has appeared in The Boston Globe and T

相关推荐

  • 初创企业存储设备选择 安全低价一个不能少

    初创企业的高速发展离不开IT的支持,尤其是在保证数据安全的情况下实现数据驱动,这一切的背后都需要一台安全可靠、价格低廉同时可快速部署的存储设备,从这个角度来看,戴尔PowerVault MD1200无疑是个不二之选。

  • 小企业电子邮件归档方案分析

    小企业电子邮件归档解决方案的选择需要谨慎考虑。本文你将学会如何寻找电子邮件归档工具,以及云计算的出现如何能作为可选的电子邮件归档解决方案。

  • 中小企业值得关注的10大企业级创业公司

    面向企业的产品和服务是投资人看重的一个热门领域,国外媒体盘点了过去12个月以来融资数最多的创业公司,其中有很多你可能都没有听说过。

  • 虚拟化环境中企业级存储系统策略

    存储和服务器虚拟化的合理部署可以帮助公司减少资金投入,使持续支持和维护成本降到最低,并提高技术资源的利用率