最好未雨綢繆 管理好云環境中的出口管制數據
原創評估云計算的公司必須考慮監管法規給這種新型計算模式帶來的影響。要關注的一個方面就是,貴公司的任何數據是否受到美國出口管制條例的管制,包括未按要求獲得出口準許,使用云服務會不會導致管制技術數據泄露出去。
及早考慮出口管制會給IT決策帶來什么影響很重要,因為美國的出口管制條例訂有嚴格的責任界定標準;這就意味著,無論未經準許泄露數據的行為是意外的、疏忽的還是有意的,都算違反條例。公司和個人對違反出口管制條例的行為都要負法律責任。針對違規行為的懲罰很嚴厲,每次違規需要支付25萬美元到100萬美元不等的罰金。個人有可能面臨長達20年的徒刑。
***的云計算方案是公共云計算。一個常見例子是基于Web的電子郵件服務,比如谷歌的Gmail。在公共云場景下,客戶一般無法控制也無法知道所提供資源的確切位置。而呈現在客戶面前的是一份標準的服務級別協議,基本上都是千篇一律的使用條款。要是無法根據公司的實際業務來確定具體的服務參數,公共云解決方案很可能滿足不了出口管制標準,如果說有這種需要的話。
最近,一些云服務提供商一直宣傳自己的服務符合出口管制條例。了解美國針對技術數據的基本出口管制條例,應該有助于公司確定提供給自己的云計算服務是不是滿足其所有系統和應用程序在出口管制條例方面的要求。
IT部門必須確定自己的系統上有沒有包含出口管制的數據,然后與法務部門共同制定一項計劃,以處理云環境內外的這類數據。為了便于本文討論,管制技術數據是指受到《國際武器貿易條例》(ITAR)或《出口管理條例》(EAR)管制的數據。這類信息通常存在于出口管制商品或服務方面的藍圖、圖紙、模型、公式、規格、照片、方案、說明或文檔中。
要是沒有出口準許證,美國公司不得將管制技術數據出口到某些外國。比如說,將附有出口管制技術數據的電子郵件發給印度的客戶就是將數據出口到印度,這可能需要出口準許。
出口管制條例還規定,要是未經出口準許,就不得在美國境內或境外將出口管制技術數據發送給某些外國。(要是有人這么做,就被認為是數據出口到該人的國籍所在國)。這個規定常常讓許多公司覺得很驚訝。比如說,要是在美國的一名美國籍工程師把出口管制商品的設計藍圖交給同一家公司的正好是印度籍的同事,或者通過電子郵件發給這位同事,此舉就被認為是出口到印度,可能需要出口準許。
國防行業的公司也應該認識到這點:按照ITAR,僅僅允許外國訪問國防技術數據,不管該外國有沒有實際查看數據,都被認為是出口行為,需要獲得準許。
在公共云場景下,客戶一般無法控制也無法知道其數據的確切位置;實際上,其數據的多個副本可能存放在多個地方。向建在美國境外的數據中心提供出口管制數據會被認為是出口到數據中心場地,這可能需要出口準許。
此外,一旦公司把其數據交給服務提供商,那么這個客戶在控制誰可以訪問其數據方面能力有限。從安全的角度來看,這毫無疑問是個大問題。除了需要采取嚴格的安全控制外,擁有出口管制數據的公司還必須實施相應措施,禁止外國訪問其出口管制數據。
不放心把數據交給公共云的公司一直在考慮私有云模式或混合云模式。前一種模式是指,云服務提供商專門為一家企業建立云;后一種模式是指,數據和應用程序能夠在私有云和公共云之間移植(以便比較敏感的數據能夠保存在私有云環境)。
不管是什么樣的情況,只要第三方服務提供商可以訪問貴公司的出口管制數據,都會帶來這樣的風險:數據違規泄露給該第三方,對此貴公司需要負法律責任。
為了盡量減小違規泄露出口管制數據的風險,你應該向云服務提供商詢問下列這些關鍵問題:
•云服務是如何創建的,以便符合美國的出口控制條例?
•你的數據將存放在世界上哪個地方?
•敏感數據是如何隔離和控制的?
•任何外國都可以訪問你的數據嗎?
•是否提供審計跟蹤記錄?
IT部門在評估云服務時弄清楚這些問題顯得很重要。
原文名:Managing Export-Controlled Data In The Cloud 作者:Marsha McIntyre
【本文乃51CTO精選譯文,轉載請標明出處!】
【編輯推薦】
