Regulacje rozproszone, ale obowiązujące
Odpowiedzialność za właściwe funkcjonowanie środowisk chmurowych spoczywa zarówno na ich dostawcach, jak i użytkownikach. Jej zakres i poziom są regulowane przez wiele różnych przepisów. W każdym przypadku trzeba uwzględniać konkretne wymagania prawne.
W kontekście chmury znaczenie ma także Kodeks Cywilny.
Podstawą dobra umowa
W związku z tak dużym rozproszeniem regulacji prawnych dotyczących chmury obliczeniowej, szczególnego znaczenie nabiera umowa cywilno-prawna między usługodawcą i usługobiorcą. Obecnie stanowi ona podstawowy sposób określania relacji pomiędzy poszczególnymi stronami usługi chmurowej. Odpowiednio spisana, wskazująca konkretne, wzajemne zobowiązania i uprawnienia, staje się kluczem do dobrej współpracy biznesowej dostawcy środowiska chmurowego bądź jego partnera z klientami.
Wskazane jest, by znalazły się w niej nie tylko zasady i warunki podjęcia oraz realizacji współpracy, lecz również okoliczności rezygnacji z usług w chmurze. Chodzi o zabezpieczenie się dostawcy na wypadek poniesienia szkody w sytuacji rozwiązania przez użytkownika umowy bez ważnego powodu. Użytkownik jest wtedy zobowiązany do jej naprawienia, ale trzeba pamiętać, że ta reguła działa również w drugą stronę – także on, w sytuacji konfliktowej, może dochodzić swoich praw.
W umowie mogą zostać zawarte również wyłączenia lub ograniczenia odpowiedzialności dostawcy usług chmurowych. Nie zawsze jednak będą one dopuszczalne i możliwe. W relacjach biznesowych dostawcy usług chmurowych mogą próbować chronić swoje interesy przez ograniczenie odpowiedzialności w sytuacjach niedookreślonych lub nieprecyzyjnie uregulowanych. Ze względu na znaczącą rolę umów w kontraktach chmurowych, wśród przepisów o charakterze ogólnym istotne znaczenie będzie miał więc jeszcze Kodeks cywilny – warto pamiętać również o nim.
Długa lista Opublikowane w 2020 r. przez Ministerstwo Cyfryzacji „Narodowe Standardy Cyberbezpieczeństwa. Standardy Cyberbezpieczeństwa Chmur Obliczeniowych (SCCO)” zawierają wykaz przepisów i norm związanych z bezpieczeństwem przetwarzanych informacji w modelach chmur obliczeniowych. Znajduje się w nim 19 aktów prawnych, w tym 14 o charakterze krajowych ustaw, rozporządzeń i uchwał Rady Ministrów, a pięć w randze unijnych dyrektyw i rozporządzeń. W dokumencie wskazano również osiem norm ISO dotyczących zarówno stosowanych technik bezpieczeństwa, zarządzania nim, jak i zasad ochrony informacji. Listę uzupełniają wskazane na zasadzie referencyjnej wytyczne amerykańskiej agencji NIST (National Institute of Standards and Technology).
Branża z obawami Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) prowadzi prace nad europejskim schematem certyfikacji cyberbezpieczeństwa usług chmurowych (EUCS). Ma on zdefiniować wymagania dla technologii chmurowych i ich dostawców. Niektóre zapisy proponowanych regulacji budzą wątpliwości przedstawicieli branży cyfrowej. Chodzi o wymagania dotyczące certyfikatu wysokiego poziomu, który ma być najwyższym z trzech projektowanych poziomów certyfikacji bezpieczeństwa usług chmurowych. Siedziba główna dostawcy usług, który chciałby uzyskać ten najwyższy certyfikat, musiałaby znajdować się w Europie, a sam dostawca nie mógłby podlegać podmiotom spoza Unii Europejskiej. CEE Digital Coalition, w skład której wchodzą organizacje branżowe z 11 krajów Europy Środkowo-Wschodniej, proponuje zastąpienie powyższego przepisu wymogiem legalnej działalności oddziału dostawcy chmury na terenie Unii Europejskiej.
Podobne artykuły
Infrastruktura w modelu usługowym: czy i kiedy?
Kolejną rewolucją w branży IT – niemalże na miarę chmury – miała być dostępność zaawansowanych rozwiązań infrastrukturalnych w formie usługi rozliczanej abonamentowo. Oferta ta w niektórych krajach została przyjęta nadspodziewanie dobrze, ale wygląda na to, że w Polsce jeszcze na nią za wcześnie.
Platforma cyberbezpieczeństwa dla dostawców usług
Acronis umożliwia partnerom MSP świadczenie zaawansowanych usług, których celem jest ochrona zasobów IT. Mogą zapewnić swoim klientom backup rozszerzony o przywracanie pracy po wystąpieniu awarii, zabezpieczenie EDR, likwidację źródeł wycieku wrażliwych danych i zarządzanie maszynami.
Usługi cyberbezpieczeństwa: ostatnia deska ratunku
Nakłady ponoszone przez firmy na systemy bezpieczeństwa IT są niewspółmierne do osiąganych rezultatów. Jedną z przyczyn jest deficyt specjalistów, a remedium mogą stanowić usługi.