Video: Solusi Keamanan Data di Era Cloud (Desember 2024)
Ketika adopsi cloud menjadi di mana-mana, lebih penting dari sebelumnya bagi bisnis untuk memahami peraturan dan kewajiban sipil terkait dengan penyimpanan data dan aplikasi di cloud. Lebih dari 93 persen bisnis menggunakan cloud dalam beberapa cara, menurut hasil survei dari Right Scale, sebuah perusahaan manajemen cloud. Tetapi perusahaan-perusahaan yang menyimpan data pada cloud publik dan hybrid sangat rentan terhadap regulasi dan hukuman jika terjadi pelanggaran data atau jika ada downtime cloud yang signifikan.
Sebagian besar perusahaan, terutama usaha kecil dan menengah (UKM), menandatangani perjanjian tingkat layanan standar (SLA) dengan vendor cloud. SLA ini cenderung menguntungkan vendor lebih dari pelanggan dan, sebagai hasilnya, membatasi kerusakan yang dibayar vendor cloud jika dan ketika terjadi bencana.
Untuk membantu Anda memahami apa yang perlu Anda ketahui agar lebih siap untuk konsekuensi hukum pindah ke cloud, dan untuk membantu Anda mengetahui apakah Anda dilindungi jika cloud publik atau hybrid Anda dilanggar, kami telah menyusun daftar hal yang perlu dipertimbangkan.
1. Siapa yang bertanggung jawab atas Informasi Pelanggan Setelah Pelanggaran Data?
Katakanlah Anda menyimpan semua data pelanggan Anda dalam cloud pihak ketiga. Jika seorang hacker mampu menembus cloud itu, mencuri data Anda, dan menggunakannya untuk membahayakan pelanggan Anda, seseorang akan membayar denda sipil. Bergantung pada kata-kata SLA Anda, vendor cloud Anda cenderung membatasi kerusakannya pada "kerusakan aktual" yang bertentangan dengan "kerusakan konsekuensial" yang menjadi tanggung jawab perusahaan Anda.
"Biasanya vendor akan menulis perjanjian mereka sedemikian rupa sehingga kewajiban mereka untuk kelalaian biasa cukup minimal, biasanya terbatas pada 'kerusakan aktual' dan sering dibatasi pada jumlah berapa pun yang telah dibayarkan pelanggan kepada vendor dalam enam atau 12 bulan sebelumnya., "kata Steven Ayr, Penasihat Bisnis di Fort Point Legal, sebuah perusahaan yang berspesialisasi dalam mewakili pengusaha dan bisnis kecil. "Kerusakan aktual disebut sebagai uang yang dibayar pelanggan untuk layanan yang tidak disediakan. Dengan membatasi kerusakan pada 'kerusakan aktual, ' perjanjian menghilangkan kemungkinan bahwa vendor dapat bertanggung jawab atas 'konsekuensial kerusakan' dan kelas-kelas lain dari kerusakan seperti kerusakan hukuman. "
Ayr menggambarkan kerusakan konsekuensial sebagai kerugian finansial yang satu langkah dihilangkan dari pelanggaran atau downtime cloud. Misalnya, jika pelanggan Anda seharusnya memberikan promosi penjualan yang besar melalui platform kolaborasi online Anda, tetapi dia tidak bisa karena awannya turun, Anda akan bertanggung jawab atas kerusakan yang diakibatkan dari downtime ini.
Hal yang sama berlaku untuk pelanggaran data atau kecelakaan murni. Kebanyakan SLA membatasi kerusakan yang harus dibayar vendor cloud jika peretas elit menerobos sistem canggih atau jika pihak ketiga memotong koneksi serat di luar pusat data. Hanya jika pengacara Anda dapat membuktikan "kelalaian besar" maka vendor akan bertanggung jawab terutama untuk kewajiban keuangan bencana awan. Kelalaian besar biasanya berlaku untuk keamanan yang buruk atau tindakan jahat yang disengaja yang dilakukan oleh vendor.
2. Siapa yang Bertanggung Jawab untuk Mengirimkan Data ke Instansi Pemerintah?
Meskipun Anda mungkin bekerja dengan vendor cloud paling aman di dunia, itu tidak berarti data Anda tidak dapat diakses tanpa persetujuan Anda dan tanpa bantuan hukum. Karena Anda menyerahkan data Anda ke vendor cloud, Anda pada dasarnya memberikan izin vendor untuk menyetujui waran pemerintah. Kebanyakan SLA menyatakan hal ini dengan sangat jelas, dan sepertinya tidak mungkin vendor cloud besar seperti Amazon Web Services (AWS) atau Microsoft Azure bersedia mengubah SLA standar mereka untuk perusahaan yang bukan akun paus putih.
Jadi, jika Anda memiliki keraguan ekstrim tentang intrusi pemerintah, Anda mungkin lebih baik membangun cloud pribadi Anda sendiri atau menyimpan data Anda secara lokal. Dalam keadaan ini, Anda akan bisa melawan surat perintah dan melindungi data pelanggan Anda. Tetapi, jika Anda memilih untuk pergi dengan cloud publik atau hybrid, Anda sebaiknya berharap vendor Anda membagikan intoleransi Anda kepada Big Brother.
3. Apa Regulasi Awan Spesifik berdasarkan Geografi?
Cukup sulit untuk melacak hak-hak Anda tentang bagaimana data Anda dikelola di AS. Sayangnya, peraturan global berbeda untuk setiap negara tertentu dan, dalam beberapa kasus, dalam setiap yurisdiksi di setiap negara tertentu. Jika Anda adalah bisnis multinasional dengan penyedia layanan cloud di geografi yang berbeda, Anda sedang dalam kesulitan besar berusaha memahami dan mengelola peraturan dan kewajiban terkait.
Menurut Ayr, sangat penting bahwa perusahaan yang menyimpan data secara global bekerja dengan pengacara untuk mengidentifikasi jenis data yang mereka simpan, geografi tempat mereka menyimpan data, dan apa hukum spesifik yang ada dalam yurisdiksi tersebut.
"Tapi itu bisa jadi pekerjaan yang lambat dan mahal, " kata Ayr, "karena kamu akan membayar seseorang untuk meluangkan waktu untuk meneliti undang-undang dari beberapa yurisdiksi yang mereka tidak kenal, menyewa pengacara di setiap yurisdiksi yang sudah tahu hukum-hukum itu, atau mempekerjakan ahli materi pelajaran yang sangat mahal yang sudah mengetahui seluk beluk setiap yurisdiksi."
Sayangnya, cara termudah dan paling hemat biaya untuk memastikan bahwa Anda patuh dalam setiap yurisdiksi adalah dengan menempatkan tanggung jawab pada penyedia layanan Anda. Karena penyedia layanan global telah memperluas bisnis mereka dan melakukan kerja keras untuk menentukan bagaimana data harus ditangani secara global, mereka cenderung memiliki informasi dan praktik terbaik.
"Bagaimanapun, jauh lebih murah untuk menyewa seorang pengacara untuk meninjau ketentuan layanan penyedia untuk kepatuhan daripada menyewa seorang pengacara untuk membuat persyaratan yang sesuai dan kemudian menegosiasikannya dengan penyedia, " kata Ayr. Tetapi ini juga berarti Anda mengandalkan SLA, dan kami telah menjelajahi cara-cara penting SLA dapat bekerja untuk vendor.
4. Mengapa Anda Merasa Nyaman Menyimpan Data di Cloud?
Di AS, sebagian besar perusahaan dilindungi oleh undang-undang keamanan data yang mengatur penanganan informasi pengidentifikasi pribadi (PII). Undang-undang ini mengharuskan vendor untuk membuat kebijakan tertulis yang menguraikan strategi perlindungan data mereka dan memaksa mereka untuk menerima setidaknya sebagian tanggung jawab atas pelanggaran dan downtime. Dalam hal terjadi pelanggaran, undang-undang ini juga mewajibkan untuk melaporkannya kepada Jaksa Agung. Di Massachusetts, misalnya, undang-undang ini disebut 201 CMR 17, 00. Di California, undang-undang itu disebut SB 1386. Hingga saat ini, 47 negara bagian AS memiliki undang-undang serupa tentang pembukuannya.
Jika undang-undang tidak cukup untuk membuat Anda nyaman (dan tidak seharusnya demikian), ada vendor cloud yang memasarkan diri mereka sebagai juara privasi dan keamanan. Perusahaan seperti penyedia layanan pemulihan bencana (DR) Spider Oak dikenal sebagai layanan cloud tanpa pengetahuan; mereka mengenkripsi data pada perangkat klien mereka sebelum mengunggah data ke cloud. Tanpa pengetahuan berarti Spider Oak dan pesaingnya tidak pernah menangani data yang didekripsi. Praktik ini membantu mereka membatasi potensi risiko dan tidak pernah menempatkan diri pada posisi di mana mereka terpaksa menyerahkan data kepada entitas pemerintah.
"Ada sejumlah risiko yang sering diabaikan oleh organisasi saat memigrasi sistem dan layanan ke cloud, " kata Mike McCamon, Presiden dan CMO di Spider Oak. "Kami akan merangkum empat teratas untuk keamanan, privasi, kontinuitas, dan kontrol."
"Tidak ada waktu kita memiliki kata sandi atau versi data dekripsi mereka, " tambah McCamon. "Bahkan administrator sistem kami sendiri tidak dapat mengetahui lebih banyak tentang pelanggan daripada volume data yang disimpan dalam sistem kami. Satu-satunya data yang kami kumpulkan tentang pengguna adalah alamat email dan informasi tagihan jika mereka memerlukan paket layanan."
Terlepas dari apakah perusahaan bekerja dengan vendor besar seperti Amazon dan Microsoft, atau vendor kecil tanpa pengetahuan seperti Spider Oak, mereka akan terus menggunakan cloud, Ayr berpendapat.
"Dalam pekerjaan saya dengan para pemula, saya biasanya tidak melihat bisnis yang sangat gugup menggunakan cloud, " kata Ayr. "Jika ada, bisnis baru, baik atau buruk, memandang cloud sama aman dan tidak menariknya seperti meletakkan dokumen di lemari arsip."