企业被令人担忧的不断增长的合规要求所包围,从SOX法案、PCI DSS标准到HIPAA法案/HITECH法案(Health Information Technology for Economic and Clinical Health )以及联邦贸易委员会(FTC)的红旗准则(Red Flags Rules)。同时,随着可供选择的云服务提供商的数量不断增长,企业有许多的选择权,当然有关云计算合规遵从也有许多需要考虑的问题。
尽管迁移服务到云上可能会有很多好处,但这也没有免除企业的某些责任。值得注意的是,企业仍然被要求遵从各式各样的合规和法律,似乎服务仍然位于公司的内部。
在一些情形下,正如PCI DSS标准那样,有一个明显的趋势是通过外包某些服务来减少公司的合规遵从范围。值得注意的是,通过大规模地外包信用卡处理流程给某个第三方提供商,公司的PCI范围会显著地缩小(尽管没有完全地消失)。不过,联邦贸易委员会的红旗规则情况不是这样,因为联盟贸易委员会强制要求任何外包的服务必须保持和企业内部实施情形下同等或更好的安全水平。
当你开始评估迁移服务到云时,考虑几个云计算合规遵从的问题十分重要:
1.迁移到云的数据是否会在任何合规或相关要求之下?这些数据包括如个人可识别信息(PII)、个人健康信息(PHI)或公司财务相关的信息。
2. 如果这些问题一的答案是肯定的话,那么它在哪些合规要求的管辖之下以及需要什么控制措施?
3. 云服务提供商是否真的能提供你组织数据所要求的认可的或等同的控制?
4. 云服务提供商是否有必要的策略、流程和规程来正确地维护这些控制?
5. 供应商是否具备恰当的灾备恢复和业务持续性过程来满足你的组织的业务需要?
6. 如果云服务提供商破产会发生什么?企业的数据会被当作提供商的资产卖给债权人或进行拍卖吗?
7. 如果我决定更换服务提供商,是否容易使用可用的格式导出我的数据?
8. 供应商是否愿意修改它默认的服务条款以便保证或者提供围绕第3至第7个问题的服务级别协议(SLA)?
最后一个问题特别重要,因为许多云服务提供商拒绝签署默认合同以外的内容。这样一来,就把他们排除在数据相关服务的潜在合规遵从服务商之外了。好几个合作要求,如最为人关注的HIPAA/HITECH法案及联盟贸易委员会的准则,特别要求企业必须和它的服务提供商签署合同要求恰当的控制、流程和规程来与每个合规的指导要求保持一致。
类似地,如果提供商无法满足第3至第7个问题,应该把它们从你组织的业务考虑列表上删掉。无法满足要求是个问题,特别当面对PCI DSS标准和HIPAA/HITECH法案时。这样一来,你会很快地发现可供选择的云服务提供商是有效的,至少在短期来看是这样。尽管有传闻好几个大型的云服务提供商致力于改造它们的系统来满足这些合规要求。在健康医疗面有少数的云服务提供商已经专门地建立应用来满足医疗行业的需要,但是我还没有看到对这些应用的任何安全性评估,从而可以判断它们的有效性。
在此期间,我推荐你给正在评估的提供商发送上述问题,就像你会为任何其它的外包项目发送信息请求(RFI)那样,选择满足你要求的非常好的提供商。
如果没有一家能满足,评估移除或混淆相关数据的方法(例如在迁移数据到云之前对其进行哈希或者加密),从而让你的组织仍能从云获得业务回报。