CIO警示录--云计算法规问题不可忽视

  云计算虽然没有,但仍然存在一些潜在的问题,比如说数据安全、灾难恢复等。从目前发现的问题来看,法律责任也是一个不可忽视的大问题,特别对于CIO来说,云计算意味着企业IT结构的大调整,如果在这个转型期间,对法律责任问题的不重视将可能给企业带来诸多麻烦。

  现实中已经有例子出现:Amazon Web Services的和其他主流的公共云提供商的默认合同都把隐私方面的问题推给了客户,而不是他们自己。医药行业的巨人Eli Lilly,正在为了这类问题而和Amazon争论不休。

  Amazon的Werner Vogels拒绝接受Eli Lilly (LLY)已经停止使用AWS这种说法。Vogels写到:“Eli Lilly一直是一个非常大的客户,而且并没有停止使用AWS。”尽管如此,也并不是每一个人都对Amazon的合同政策很满意。在Burton Group的Catalyst大会上,Burton Group的分析师Drue Reeves说:我们并不认为Amazon有足够的透明度。我们愿意信任你(只是需要更多的信息)。”

  信任是重要的。上一次由于近700个Prozac.com的邮件提醒的订阅者的e-mail地址被意外的删除,Eli Lilly彻底被惹火了。公司当然不想重复这个悲剧,而且也没有哪个公司愿意因为云提供商的疏忽,而在数据损坏事故中独自承担责任。

  作为一家公司的主管,对于这种情况,你能做些什么呢?Info Law Group的创始人之一,Tanya Forsheit有一些建议。首先,Forsheit告诉我,你应该认识到:“许多云服务的提供商都倾向于提供‘one-size-fits-all’的合同。你不应该签署它们。你需要谈判。”

  实际上,Forsheit认为在你讨论合同以前,你应该首先注意一下每个长期的云交易的法律方面的问题。在开始阶段,甚至在你拿到合同以前,你应该首先问一些关于数据安全和隐私方面的问题。无论他们是否让你审查他们的安全性,你也应该问他们,他们提供了什么类型的隐私和安全控制,以及他们愿意承担什么责任。这些地方都有协商的余地。在你这边,你需要知道你要承担什么等级的风险。如果一个提供商不同意,甚至不愿意考虑和你谈判,这是一个危险的信号,你需要准备放弃这个交易。

  Forsheit说,许多公司发现放弃很难做到。公司会因为一个解决方案或一个提供商而变得激动万分,因为他们认为这个服务是优秀的,或在成本方面是优秀的,但是他们需要注意一下商业和法律方面的问题。通常,直到一切都为时已晚,法律问题都不会得到重视或者根本不会被考虑到,

  在另一方面,Forsheit提到,云提供商的法律策略,安全性和软件审核标准也是千差万别的。例如,Salesforce,在CRM(customer relationship management)方面有很好的支持,可以让客户审核他们的操作和与SAS (Statement on Auditing Standards) 70——一个服务审核标准的兼容性。而在其他方面就没有提供很好的支持了。

  Forsheit说:“最终,提供商都想让你接受他们的条款。许多提供商不接受可靠性和责任方面的条款。或者,他们想把他们的责任限制在你为他们的服务付了多少钱的范围内。”只需要为成百上千美元的损害赔偿花一点小钱,这种情况很可能要结束了。

  那么,对你的公司来说,迁移到云端值得吗?也许非常值得,但是做这个跳跃式的迁移以前,你需要让你的企业专职律师和你的IT职员检查一下这个服务包。然后,Forsheit补充道:“如果你没有内部的专家的意见,找外面的律师来检查每个你打算要进行的交易。

  我来总结一下吧!当涉及到云计算的时候,小心一点总比在法律和技术两方面都遗憾要好的多。祝您好运。