云服务提供商的职责
云合规性可确保云服务提供商满足其客户的合规性要求。在某种程度上。他们必定会就数据传输,存储,备份,检索和访问制定适当的政策和程序,但客户不应假定所有云服务提供商都将符合相同的标准。他们固然不应当期望服务提供商满足非常具体或独特的要求。
事实上,包括AWS和MicrosoftAzure在内的许多云提供商都指出,云合规性是两重责任,由提供商和客户共同承当。由于虽然云提供商对客户有一定的合同义务,但客户自己要照顾自己的最大利益。如果出现问题,使用“外包”作为防御不会走得太远。最少,这意味着在选择您的云服务提供商时要进行尽职调查,然后确保每种服务提供的合规性水平都与您公司的要求保持一致。
数据合规是共同的责任
它曾如此简单:数据存在于数据中心中,而IT团队则保证了数据的安全。如今,随着移动装备的普及和BYOD的工作实践,重要的公司信息比以往任什么时候候都具有更多的位置。再加上愈来愈多地使用基于云的利用程序和服务,和对数据进行单一而全面的了解(更不用说确保您满足所有领域的法规要求),这比以往任什么时候候都更具挑战性。
许多组织毛病地认为,一旦将数据发送到云,数据的所有安全性和合规性责任就会转移到云提供商。这不是真的。
一旦组织开始将数据发送到云,则负责数据安全性和合规性的责任就变成了共同的责任。
通常,请斟酌以下方面的安全性和合规性责任:
客户:负责云利用程序中的安全性和合规性
SaaS提供商:负责云中的安全性和合规性
云服务提供商:负责云的安全性和合规性
并且,除非您的组织租赁了“云堆栈”高层中的服务,否则您将承当实行和使用任何及所有安全性和合规性功能的责任,并确保将本地策略和进程扩大到云。
