大约在去年的这个时候,云计算签约合同汹涌而来——不仅仅是诸如IT管理或电子邮件服务之类的产品,还包括更加贴近企业价值核心的软件和基础设施产品。之后没多久,我接到来自KPMG毕马威会计师事务所GregBell的电话。
“将企业的重要的数据交给第三方总是会有风险的。云计算所带来的知识产权问题与传统的外包服务类似,您将企业敏感的数据委托给的第三方可能并不会为您仔细着想。”外包分析HfS研究公司采购安全研究总监JimSlaby说。“您的应用程序将运行在您不拥有绝对控制权的基础设施上。”
但是,基于云的服务带来了更多的知识产权方面的风险。这自然包括业务方面的,无论其是软件、基础设施或平台为一种服务,您必须充分了解的是,这些数据存在着何处;谁有权访问这些数据;以及这些数据是如何被使用的。毕马威的Bell警告说。还有一个更高程度的虚拟化——从网络存储服务器。“例如,云服务供应商所使用的一个高度分散、高度虚拟化的云服务存储资源池可能会更难使用,无法保证被删除的文件已经被安全地删除,不只是删除文件覆盖的系统数据,还有实际数据本身。云服务提供商可能在某个位置存储了这些数据。”Slaby说。
“云供应商更有可能使用分包商以满足高峰时期的需求。云存储的数据往往在不同地区和国家之间传输,一些地区和国家的知识产权法律或执法薄弱。同样,如果您的供应商雇用的人员可以从那些知识产权法律或执法薄弱的地方远程访问您的数据,您就可能面临着自己公司的知识产权被盗窃或挪用的风险,而没有追索权。”美亚博国际法律事务所(MayerBrown)隐私和安全实践合伙人RebeccaEisner说。最后,由于许多云服务增加了消费产品,他们的合同标准严重缺乏。”一个长期合同中规定,云供应商拥有所有用户系统的内容,如果这些内容是您的狗的图片,那可能无所谓。但如果这些内容涉及到了您的开发环境可能就不那么好了。”Baker&McKenzie全球采购实践合作伙伴和联合主席EdwardHansen说。
“顾名思义,云中的数据和知识产权,任何供应商都有义务在交易过程中进行控制。通常情况下,客户都关注与降低成本和提高性能。知识产权被视为律师的问题。”MayerBrown的Eisner说。在现实中,对于知识产权保护,云服务提供商应该尽可能提供与审查信息安全,价格和技术解决方案同样的服务。我们看到一些客户已经意识到云供应商的合同在安全问题上的规定相当的薄弱。HfS研究的Slaby说。但更低的成本和更大的灵活性方面的诱惑,对于客户来说很难抗拒。
为了让您更好的在云计算环境下保护您企业的机密,我们建议您遵循如下九个步骤:
挑选合适的供应商。选择那些认真尽职的云服务供应商是至关重要的。“鉴于目前提供云服务的供应商们都还比较新,我们建议您先充分考虑好如果您的云服务提供商未能很好的履行合同,或者您和您的敏感知识产权超出了服务供应商的业务范围,或者他们被竞争对手收购,您要如何应对。”Slaby建议。“对云服务提供商的灾难恢复计划先进行全方位、多角度的查看。如果您希望自己复杂的商业秘密的得到充分保护,务必寻求那些安全性更高要求,提供先进的解决方案的唯一供应商。”
选择合适的服务。千万不要在您有史以来第一次采用云服务时就选择为您企业的核心业务上马签订合同。“许多客户选择采用云计算的好处就是为了故意在最后一步才涉及到知识产权方面的移动IP最后,先尝试从诸如IT服务管理或软件质量标准方面的商品与服务的测试开始。采用这种方式,以确保您与服务供应商之间就理解方面的差别降到最细微的程度。”Bell说。
仔细阅读合同而不是供应商的广告宣传册。云服务供应商的广告看似简单。Baker&McKenzie的Hansen说:“在许多情况下,简单的表象下隐藏着复杂性。因此,您需要仔细阅读服务供应商的合同,而不是仅仅简单的浏览他们的网站。合同里面有些内容是直接与供应商的广告宣传条款相背的,所以您需要在任何数据被迁移之前仔细确认这些条款。而这些条款在服务供应商的广告宣传册上是不常看到的。绝对不要在网上与云服务提供商签署合同,K&LGates外包合作伙伴ToddFisher建议。ToddFisher在其公司负责审查协议,提供服务的供应商可能会将客户的数据用于其他用途,或者将基于提供服务的客户端数据或衍生工程数据所有权外包给合作伙伴。
在合同中添加自己的相关条款。如果您的云计算交易涉及到知识产权相关的数据,强大的合同保护是至关重要的。MayerBrown的Eisner建议务必在您与服务提供商的合同中明确其必须遵守相关规定和批准的安全和其他行业标准,您拥有审计或接受定期审核或认证报告的权利;存储数据和应用程序的冠名权;批准分包商的权利;变更控制过程中,服务供应商要事先通知;对于那些悬而未决的变化,分清合理的责任。Slaby补充说,以便确保保护和控制是明确的和可衡量的。
准备好付出更多。标准的关于云服务的条款是很便宜的。毕马威的Bell说:“传统的经营模式是根据使用模式自动复制数据。当您删除一些特殊功能以便在您的环境下进行某些特定的活动时,您将需要创建额外的费用。”
考虑知识产权的创造因素。在云计算的交易和外包合同执行的过程中创建新的知识产权是不太可能的,但这也确有发生。K&LGates的Fisher说:“有些客户租用云服务提供商运行私有云,这可能是知识产权发展的机会。另一个例外是,如果顾客需要开发特定的接口来访问云服务的云服务提供商。在这种情况下,云服务的购买方可能要保留接口的所有权或防止云服务提供商向他们的竞争对手提供服务。”地理位置也成为问题。Baker&McKenzie的Church说:“如果知识产权将要在云环境中创建的话,知识产权申报所在地的法律就必须进行检查,以确保不出现意想不到的权利损失或障碍。
保护自己的安全。可以考虑增加一层额外的安全性数据。“除非他们的供应商愿意加强严格的合同条款和服务水平协议有关的数据隐私,许多企业都要考虑对端到端长期驻留在云中的任何数据进行加密。”HFS研究的Slaby说。“尤其是如果这涉及到合规性问题。”
防止知识产权被锁定。一些标准的云合同规定,如果交易在早期被取消,必须始终确保客户可以随时访问自己的知识产权,并认为,如果出于某种原因终止协议,他们可以要回知识产权。
定期重新控制。HFS研究的Slaby说:“买家必须对潜在的新威胁擦亮眼睛。例如,在一些地方虚拟化攻击:恶意软件破坏了一台虚拟机会使得相邻的虚拟机损坏或数据被窃取,无论从理论到实际都是可能的。”
准备撤退。如果充分保护知识产权的代价太过昂贵,或难以实现或跟踪,您可以选择撤退。如果基于云的服务不是一个很好的选择,记得给自己留条后路。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
定下一个200亿的小目标:浪潮云打造“1233”全新云战略
全新浪潮云战略将重点聚焦国内外政府、企业两个维度市场,进一步扩张云数据中心、打造开放云平台、完善云生态体系,力争到2020年实现200亿的云服务收入目标,成为全球领先云服务提供商。
-
成熟的云管理是什么样的?
新接触云的公司经常引用安全性作为主要关注点,但云的老用户已经认识到还有其他棘手的挑战。管理跨异构平台性能和控制成本可以让经验丰富的云用户脱颖而出……
-
选择外部数据中心:云安全十问
企业必须考虑各种潜在的威胁,然后才能迁移到云模型上。企业在选择外部数据中心时,文中的这10个问题需要仔细考虑清楚……
-
有了Azure Key Vault,云安全不再是空谈
拥有Azure订阅的管理员可以使用Azure Key Vault对秘钥和数据进行保护和加密,下面将会介绍如何使用PowerShell来进行配置。