Vídeo: norme & usage + sociolinguistique - Ma Langue dans Ta Poche #5 (De novembre 2024)
Com que l’adopció del núvol es converteix en omnipresent, és més important que mai que les empreses entenguin les regulacions i els passius civils relacionats amb l’emmagatzematge de dades i aplicacions al núvol. Més del 93 per cent de les empreses utilitzen el núvol d’alguna manera, segons els resultats de l’enquesta de Right Scale, una empresa de gestió del núvol. Però les empreses que emmagatzemen dades sobre núvols públics i híbrids són especialment susceptibles a la regulació i penalitzacions si es produeix un incompliment de dades o si hi ha un temps d'inactivitat important del núvol.
La majoria de les empreses, especialment petites per a les empreses mitjanes (SMB), signen acords estàndard de nivell de servei (SLA) amb proveïdors de núvol. Aquests SLA solen beneficiar el venedor més que el client i, per tant, limiten els danys que paguen els venedors al núvol si i quan es produeix un desastre.
Per ajudar-vos a comprendre el que heu de saber per estar més ben preparat per les ramificacions legals del desplaçament al núvol i per ajudar-vos a esbrinar si esteu protegits en cas que es trenqui el núvol públic o híbrid, hem compilat aquesta llista de coses a considerar.
1. Qui és el client per obtenir informació sobre el client després de incompliments de dades?
Suposem que emmagatzemen totes les dades de clients dins del núvol d’un tercer. Si un pirata informàtic pot incomplir aquest núvol, robar-vos les dades i utilitzar-lo per perjudicar els vostres clients, algú acabarà pagant penalitzacions civils. Segons la redacció del vostre SLA, és probable que el vostre venedor del núvol limite els seus danys als "danys reals", a diferència dels "danys conseqüents" dels quals és probable que la vostra empresa sigui responsable.
"Normalment un venedor ha de redactar el seu acord de manera que la seva responsabilitat per negligència ordinària sigui bastant mínima, generalment limitada a" danys reals "i sovint es limita a qualsevol quantitat que el client hagi pagat al venedor durant els sis o dotze mesos anteriors. ", va dir Steven Ayr, assessor empresarial de Fort Point Legal, una empresa especialitzada en representar empresaris i petites empreses. "Els danys reals es coneixen amb els diners que el client va pagar pel servei que no va ser proporcionat. En limitar els danys a" danys reals ", els acords eliminen la possibilitat que el venedor pugui ser responsable dels" danys conseqüents "i d'altres classes de danys com a danys punitius ".
Ayr descriu els danys conseqüents com a pèrdues financeres que es redueixen a un pas de la bretxa o del temps d'aturada del núvol. Per exemple, si el vostre client hauria de donar un gran volum de vendes a través de la vostra plataforma de col·laboració en línia, però ell o ella no podia ser perquè el núvol estava baixat, seríeu responsable dels danys conseqüents d’aquest temps d’inactivitat.
El mateix succeeix amb incompliments de dades o accidents purament. La majoria dels SLA limiten els danys que han de pagar els venedors del núvol si els pirates informàtics d'elit passen per sistemes més moderns o si un tercer talla la connexió de fibra fora del centre de dades. Només si el seu advocat pot demostrar una "negligència greu" el venedor serà el principal responsable dels passius financers d'una catàstrofe en núvol. La negligència bruta s’aplica normalment a una mala seguretat o accions nefastes intencionades realitzades pel venedor.
2. Qui és responsable d’enviar dades a les agències governamentals?
Tot i que potser treballeu amb el proveïdor de núvols més segur del món, això no vol dir que no es puguin accedir a les vostres dades sense el vostre consentiment i sense recurs legal al vostre final. Com que envieu les vostres dades a un venedor de núvols, essencialment esteu donant permís al venedor per consentir les garanties governamentals. La majoria dels SLA ho afirmen molt clarament i és poc probable que els grans proveïdors de núvols, com ara Amazon Web Services (AWS) o Microsoft Azure, estiguin disposats a canviar el seu SLA estàndard per a una empresa que no sigui un compte de balena blanca.
Per tant, si teniu reserves extremes sobre intrusions governamentals, és probable que preferiu construir el vostre propi núvol privat o emmagatzemar les dades localment. En aquestes circumstàncies, podreu combatre la garantia i protegir les dades del vostre client. Però, si decidiu anar amb un núvol públic o híbrid, preferiu que el venedor compartís la vostra intolerància per a Big Brother.
3. Què són les Normes específiques sobre núvols segons Geografia?
És prou difícil fer un seguiment dels vostres drets sobre com es gestionen les vostres dades als EUA. Malauradament, les regulacions mundials difereixen per a cada país concret i, en alguns casos, dins de cada jurisdicció de cada país concret. Si sou un negoci multinacional amb proveïdors de serveis en núvol en diferents geografies, us veurà un gran maldecap intentant comprendre i gestionar les regulacions i els passius associats.
Segons Ayr, és crucial que les empreses que emmagatzemen dades globalment treballin amb els advocats per identificar els tipus de dades que emmagatzemen, les geografies on emmagatzemen les dades i quines són les lleis específiques de les jurisdiccions.
"Tot i això, pot ser un treball lent i car", va dir Ayr, "perquè pagueu algú per dedicar el temps a investigar les lleis de diverses jurisdiccions que no coneixen; contracteu un advocat de cada jurisdicció que ja sigui. coneix aquestes lleis o contracta un expert en matèries molt costoses que ja coneix els aspectes externs de cada jurisdicció."
Malauradament, la manera més senzilla i rendible de garantir que compliu les competències a cada jurisdicció és posar-vos a disposició el vostre proveïdor de serveis. Com que els proveïdors de serveis globals ja han ampliat els seus negocis i han realitzat les funcions necessàries per determinar com s’han de gestionar les dades de manera global, és més probable que tinguin informació i bones pràctiques.
"Al capdavall, és molt més barat contractar un advocat perquè revisi els termes del servei d'un proveïdor per complir-lo que contractar un advocat per crear termes que compleixin i negociar-los amb un proveïdor", va dir Ayr. Però això també vol dir que confieu en SLA, i ja hem explorat les maneres importants en què un SLA pot funcionar a favor del venedor.
4. Per què us haureu de sentir còmode emmagatzemar dades al núvol?
Als Estats Units, la majoria de les empreses estan protegides per lleis de seguretat de dades que regeixen el maneig d’informació d’identificació personal (PII). Aquestes lleis exigeixen als venedors crear polítiques per escrit que detallin les seves estratègies de protecció de dades i obligin a acceptar almenys alguna responsabilitat per incompliments i temps d’inactivitat. En cas d’incompliment, aquestes lleis també obliguen a denunciar-ho al fiscal general. A Massachusetts, per exemple, aquesta llei s’anomena 201 CMR 17.00. A Califòrnia, la llei es diu SB 1386. Fins ara, 47 estats nord-americans tenen lleis similars sobre els llibres.
Si les lleis no són suficients per posar-vos a gust (i no haurien de ser), hi ha venedors de núvol que es comercialitzen com a campions de la privacitat i la seguretat. Les empreses com el proveïdor de serveis de recuperació de desastres (DR) Spider Oak es coneixen com a serveis al núvol de coneixement zero; xifren dades als dispositius dels seus clients abans de penjar-les al núvol. Cero coneixement significa Spider Oak i els seus competidors no gestionen mai dades xifrades. Aquesta pràctica els ajuda a limitar el risc potencial i a no posar-se mai en una posició en què estan obligats a lliurar dades a entitats governamentals.
"Hi ha un bon nombre de riscos que les organitzacions solen ignorar quan migren sistemes i serveis al núvol", va dir Mike McCamon, president i OCM de Spider Oak. "Es resumiria els quatre primers llocs per ser seguretat, privacitat, continuïtat i control".
"En cap moment tenim cap contrasenya ni una versió de les seves dades desxifrades", va afegir McCamon. "Fins i tot els nostres propis administradors del sistema no saben més informació sobre un client que el volum de dades que s'emmagatzema al nostre sistema. Les úniques dades que recollim sobre els usuaris són una adreça de correu electrònic i informació de facturació si requereixen un pla de servei."
Independentment de si les empreses treballen o no amb grans venedors com Amazon i Microsoft, o petits venedors de coneixement zero com Spider Oak, continuaran utilitzant el núvol, segons afirma Ayr.
"En el meu treball amb start-ups, no veig generalment empreses que estan especialment nervioses per l'ús del núvol", va dir Ayr. "Si hi ha alguna cosa, els negocis nous, en millor o pitjor, veuen el núvol tan igual de segur i no marca com posar documents en un gabinet".