评估云计算的公司必须考虑监管法规给这种新型计算模式带来的影响。要关注的一个方面就是,贵公司的任何数据是否受到美国出口管制条例的管制,包括未按要求获得出口准许,使用云服务会不会导致管制技术数据泄露出去。
及早考虑出口管制会给IT决策带来什么影响很重要,因为美国的出口管制条例订有严格的责任界定标准;这就意味着,无论未经准许泄露数据的行为是意外的、疏忽的还是有意的,都算违反条例。公司和个人对违反出口管制条例的行为都要负法律责任。针对违规行为的惩罚很严厉,每次违规需要支付25万美元到100万美元不等的罚金。个人有可能面临长达20年的徒刑。
最流行的云计算方案是公共云计算。一个常见例子是基于Web的电子邮件服务,比如谷歌的Gmail。在公共云场景下,客户一般无法控制也无法知道所提供资源的确切位置。而呈现在客户面前的是一份标准的服务级别协议,基本上都是千篇一律的使用条款。要是无法根据公司的实际业务来确定具体的服务参数,公共云解决方案很可能满足不了出口管制标准,如果说有这种需要的话。
最近,一些云服务提供商一直宣传自己的服务符合出口管制条例。了解美国针对技术数据的基本出口管制条例,应该有助于公司确定提供给自己的云计算服务是不是满足其所有系统和应用程序在出口管制条例方面的要求。
IT部门必须确定自己的系统上有没有包含出口管制的数据,然后与法务部门共同制定一项计划,以处理云环境内外的这类数据。为了便于本文讨论,管制技术数据是指受到《国际武器贸易条例》(ITAR)或《出口管理条例》(EAR)管制的数据。这类信息通常存在于出口管制商品或服务方面的蓝图、图纸、模型、公式、规格、照片、方案、说明或文档中。
要是没有出口准许证,美国公司不得将管制技术数据出口到某些外国。比如说,将附有出口管制技术数据的电子邮件发给印度的客户就是将数据出口到印度,这可能需要出口准许。
出口管制条例还规定,要是未经出口准许,就不得在美国境内或境外将出口管制技术数据发送给某些外国。(要是有人这么做,就被认为是数据出口到该人的国籍所在国)。这个规定常常让许多公司觉得很惊讶。比如说,要是在美国的一名美国籍工程师把出口管制商品的设计蓝图交给同一家公司的正好是印度籍的同事,或者通过电子邮件发给这位同事,此举就被认为是出口到印度,可能需要出口准许。
国防行业的公司也应该认识到这点:按照ITAR,仅仅允许外国访问国防技术数据,不管该外国有没有实际查看数据,都被认为是出口行为,需要获得准许。
在公共云场景下,客户一般无法控制也无法知道其数据的确切位置;实际上,其数据的多个副本可能存放在多个地方。向建在美国境外的数据中心提供出口管制数据会被认为是出口到数据中心场地,这可能需要出口准许。
此外,一旦公司把其数据交给服务提供商,那么这个客户在控制谁可以访问其数据方面能力有限。从安全的角度来看,这毫无疑问是个大问题。除了需要采取严格的安全控制外,拥有出口管制数据的公司还必须实施相应措施,禁止外国访问其出口管制数据。
不放心把数据交给公共云的公司一直在考虑私有云模式或混合云模式。前一种模式是指,云服务提供商专门为一家企业建立云;后一种模式是指,数据和应用程序能够在私有云和公共云之间移植(以便比较敏感的数据能够保存在私有云环境)。
不管是什么样的情况,只要第三方服务提供商可以访问贵公司的出口管制数据,都会带来这样的风险:数据违规泄露给该第三方,对此贵公司需要负法律责任。
为了尽量减小违规泄露出口管制数据的风险,你应该向云服务提供商询问下列这些关键问题:
- ·云服务是如何创建的,以便符合美国的出口控制条例?
- ·你的数据将存放在世界上哪个地方?
- ·敏感数据是如何隔离和控制的?
- ·任何外国都可以访问你的数据吗?
- ·是否提供审计跟踪记录?
IT部门在评估云服务时弄清楚这些问题显得很重要。
原文名:Managing Export-Controlled Data In The Cloud 作者:Marsha McIntyre