Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

Zarządzanie ryzykiem prawnym – ważnym element GRC

Data publikacji: 16-06-2020 Autor: Krystian Lempicki

Zlecenie usługi outsourcingowej, jaką jest de facto korzystanie z usługi chmurowej, nie zwalnia z odpowiedzialności spełniania obowiązujących regulacji. Użytkownicy clouda powinni znać i rozumieć m.in. prawne konsekwencje przetwarzania danych w zależności od tego, gdzie są one przetwarzane przez dostawcę, oraz odpowiednio zarządzać ryzykiem prawnym.

 

W przypadku gdy charakter prowadzonego biznesu nakłada obowiązek spełnienia wielu wymagań regulacji prawnych, norm i standardów, należy przeanalizować, czy dostawca zapewnia określony we wspomnianych wytycznych poziom zabezpieczeń świadczonych usług. O ile to możliwe, należy zadbać również o odpowiednie zapisy w umowie określające obowiązki obu stron oraz sprawdzić, czy dostawca definiuje warunki i zasady świadczenia usług w sposób przejrzysty i zrozumiały. Przed podpisaniem kontraktu dobrą praktyką jest ocena dostawcy i możliwości spełnienia oczekiwanych przez firmę norm bezpieczeństwa. Pomocne mogą być takie certyfikaty jak ISO 27001, SOC1-3 (Service and Organization Controls) czy PCI DSS poświadczające spełnienie określonych wymagań.


– Dla wielu firm podstawową przeszkodą w przejściu do chmury ciągle jest obawa o bezpieczeństwo danych oraz niska znajomość mechanizmów i rozwiązań nią rządzących. Jak wynika z przeprowadzonych przez Aruba Cloud badań, aż dla 41% średnich i dużych firm obawy o bezpieczeństwo danych mogą być powodem, dla którego rezygnują one z migracji do chmury – mówi Marcin Zmaczyński, Head of Marketing CEE w Aruba Cloud. – Paradoksalnie prawidłowe wdrożenie tego rozwiązania to jeden z najskuteczniejszych sposobów zabezpieczenia danych przed wyciekiem i cyber­atakami. Wystarczy korzystać z profesjonalnego, certyfikowanego centrum danych i skutecznie przeprowadzić migrację – dodaje Marcin Zmaczyński.


TRUDNA POZYCJA USŁUGOBIORCY


Wdrożenie chmury wymaga przygotowania pod kątem organizacyjno-prawnym oraz wiąże się ze zmianami organizacyjnymi. Ich specyfika oraz rozmiar zależą głównie od wybranego modelu usług chmurowych ze względu na rodzaj (infrastruktura, platforma, oprogramowanie jako usługa) i rozmieszczenie (publiczna, prywatna, współdzielona, hybrydowa).


Biorąc pod uwagę kwestie funkcjonalne, należy odpowiedzieć sobie na pytanie, za co odpowiedzialny jest klient, a za co dostawca usługi. Nie jest to proste zadanie, ponieważ duzi gracze na rynku, w szczególności dostawcy usług chmury publicznej, w kwestii kontraktów wykorzystują swoją silną pozycję. Zapisy umowne są często sformułowane dość lakonicznie, w większości odsyłają do przygotowywanych przez dostawcę chmury regulaminów, które nierzadko są zmieniane. Umowa ma zwykle charakter jednostronny, rzadko (jeśli w ogóle) podlega negocjacjom, a zobowiązania są łagodne dla dostawcy.


Standaryzacja i ujednolicenie postanowień kontraktowych powoduje, że w praktyce jedyną decyzją, jaką klient może podjąć w stosunku do umowy dotyczącej cloud computingu, jest jej zawarcie lub nie. Taki rodzaj kontraktu określa się mianem umowy adhezyjnej (umowy przystąpienia), w której najważniejsze warunki określa jeden z kontrahentów, zazwyczaj ekonomicznie silniejszy, drugi natomiast może je zaakceptować i przystąpić do umowy lub zrezygnować z jej zawarcia. Przykładowo jeśli chcemy otworzyć rachunek bankowy na wynegocjowanych przez nas warunkach, korzystamy z usług bankowości prywatnej. Analogicznie jest w przypadku usług chmurowych. Jeśli nasz biznes wymaga spełnienia specyficznych wymagań prawnych czy zasad bezpieczeństwa, których nie zapewnią nam standardowe zapisy umowne, warto skorzystać np. z usług chmury prywatnej, gdzie dostawcy są bardziej elastyczni w kontekście zmian zapisów kontraktowych.

 

[...]

 

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"