今年举行的RSA会议上公布的一项调查显示,使用云计算服务的企业很担心相关安全问题,但是他们并没有对供应商提供的安全性与其所承诺的安全进行对比核查。
这项由Deloitte-Ponemon研究所进行的调查表明,使用云服务的受访者中,大多数都表示他们在与服务供应商的合同中涵盖了安全要求,但是82.6%的受访者表示他们并没有对安全要求进行合规检查的计划。
这个问题是多层次的,关键数据可能会丢失、更改或者盗窃,虽然供应商承诺按照客户要求保护数据,但是如果他们不能按要求保护数据,也不需要承担客户数据的责任。
因此,如果客户的信用卡号码被盗窃,在云中存储这些号码的企业仍然有责任,法律责任仍然是企业的,他们可能可以通过漫长的法律过程从供应商那里收回一些钱。
如果某些数据被破坏,并且必须公开报告,那么对企业声誉造成的影响也许将是无法弥补的。
虽然对于企业来说,与供应商进行合法法律协商是很重要的,不过企业客户也必须采取其他措施来避免这种风险:
· 核查供应商采取了适当的措施来保护数据。
·运行测试服务程序,确保数据受到保护和妥善保存,即使与企业政策要求的方式不相符。只有当测试服务通过后,才在整个企业部署云服务。
·阅读供应商要求客户签订的所有合同,很多企业客户并没有细读这些合同。
与供应商的合同是很重要的,虽然这些合同本身并没有保护实际数据。