日前,欧洲网络和信息安全局(ENISA)公布了一项新的云计算服务操作指导办法——云计算合同监测指南。据悉,该项指南主要用于应对欧盟各成员国政府和企业采购云计算服务用于数据远程存储的上升趋势,由此而产生云计算服务涉及的数据安全问题。
云计算(cloud computing)是2007年提出的一种基于互联网的超级计算模式,它是在并行计算(parallel computing)、分布式计算(distributed computing)和网格计算(grid computing)基础之上发展而来的,或者说是这些科学概念的商业实现。
随着云计算技术的不断发展与成熟,许多国家的政府和企业纷纷携手进行云端之旅。一般来说,无论是企业还是政府间希望建立起业务关联的时候,都希望签署一份协议用于实现规定好各方的义务责任与注意事项,云计算领域当然也不例外。而在制定云计算合同的时候,难免会遇到这样或那样的问题。
数据安全是关键
“CIO没有尝试云计算的关键在于安全问题和集成问题没有彻底解决。我觉得讨论尝试云计算动力的时候,也要看清楚阻力。”德国舍弗勒投资(中国)有限公司的CIO高峻一语道出了大多数CIO对云计算安全的担忧。
数据安全意指通过一些技术或者非技术的方式来保证数据的访问受到合理控制,并保证数据不因人为或者意外的损坏而泄露或更改。从非技术角度上来看,可以通过法律或者一些规章制度来保证数据的安全性;从技术的角度上来看,可以通过防火墙、入侵检测、安全配置、数据加密、访问认证、权限控制、数据备份等手段来保证数据的安全性。
尽管国内外不乏大的企业对云安全问题提出了自己的解决策略,然而在云计算合同上有关云安全问题也是至关重要的内容。云计算客户应当确保其数据的保密性和安全性。在很多情况下,他们希望被告知任何可能影响数据的安全漏洞,而这些内容也应该在合同上有所显示。与此同时,所有解决供应商保密性和安全故障问题,以及分配各方责任的相关规定都是必不可少的。
使用权限需限制
客户应限制云计算供应商访问和使用客户的数据,除非确实是出于提供服务所需。该要求源于相关适用法律条文,例如健康保险携带责任法案(HIPAA)、金融服务业现代化法案(GLBA)或其他国外数据保护法律,此点是非常重要的。云计算供应商应当定位为一台主机或一个平台,它不应出于自身利益考虑而使用客户的数据,除非获得特别的授权。
同时数据所在的地理位置也是应当予以考虑的问题。相关各方应对数据的地理位置达成一致,因为其位置很可能将决定这些数据所适用的法律。例如,如果云计算服务提供商将个人数据转至位于阿根廷、比利时或加拿大的服务器,该数据将适用于所在国家的法律。而这些国家的数据保护法律包括了将个人数据转移出该国的具体规定。
知识产权应明确
在现实世界中,知识产权问题涉及方方面面,其形式更是五花八门。有些服务可能允许张贴或发布用户的照片、视频剪辑、诗歌或其他内容。当以无成本提供服务时,很有可能相关合同授权托管供应商免版税使用该内容。
有些云计算服务把一个用户使用许可证授权给云计算供应商。该许可证的应用范围较小。例如,可能限制使用某项功能或应用程序,并禁止任何修改。因此,用户可能只被允许使用通用的、标准化的功能,并被禁止进行使服务更简便、效率更高的二次开发。该服务可授权访问数据库,并严格限制用户使用数据库中的数据从事任何活动。
因此,对于云计算用户来说,了解彼此知识产权授权许可证确切范围是非常重要的。在平衡服务合同的利弊时,授予或收到许可证的范围可能是一个至关重要的因素。
