Вы любите облака? К большому сожалению пользователей облачных сервисов, эта разновидность облаков не относится к "тучкам небесным, вечным странникам". Инфраструктура облачных провайдеров жестко привязана к конкретной стране и ее законам, а как известно незнание законов от ответственности не освобождает. Законы о конфиденциальности данных, об ограничении доступа к информации, о раскрытии данных в каждой стране свои. Сменить юрисдикцию, в которой находятся ваше "облако" не получится, однако стоит понимать, где провайдер будет хранить ваши данные, и как законодательство этой страны соотносится с деятельностью вашей компании. Во многих случаях законы действуют даже там, где компания использует облачные сервисы исключительно для внутренних нужд. А уж если вы открыли свой публичный сервис, использующий мощности AWS, Windows Azure и т.п., будьте готовы - рано или поздно вас попросят соответствовать. Ошибочно полагать, что российская компания попадает под действие только российских законов. Выводя собственные данные из России, вы попадаете в правовое поле, в котором требования могут быть намного жестче, чем у нас. Юридические и финансовые риски такого решения сложно прогнозировать. Именно поэтому, как бы не были плохи и дороги наши российские провайдеры, их бизнесу ничего не угрожает.
США
В США самыми известными стандартами информационной безопасности являются PCI-DSS и HIPAA / HITECH. Согласно PCI-DSS (Payment Card Industry Data Security Standard), организации несут полную ответственность за защиту информации о держателях карт (номер кредитной карты, имя владельца и срок действия) и за инфраструктуру, необходимую для этого. PCI распространяется на финансовые учреждения, розничную торговлю и интернет-магазины, а также на любые организации, у которой есть клиенты в сфере торговли или финансовых услуг, независимо от того работает она с данными о держателях карт или нет.
HIPAA (Health Insurance Portability and Accessibility Act) и HITECH (Health Information Technology for Economic and Clinical Health) направлены на защиту идентифицируемой медицинской информации, включая данные о здоровье человека, предоставленной медицинской помощи и ее оплате. Под действие HIPAA / HITECH подпадают не только медицинские учреждения, но и любые компании, которые работают с такого рода информацией (страховые компании, отделы кадров крупных компаний).
Закон Сарбейнса-Оксли (SOX) четко говорит, что организация несет ответственность за любые бухгалтерские или финансовые нарушения, даже если они вызваны действиями третьих лиц, таких как облачный провайдер. Если компания подпадает под SOX, у провайдера услуг должны быть все необходимые средства управления для соблюдения закона. Для этого разработан аудиторский стандарт SSAE 16. SSAE 16 (заменивший стандарт SAS 70) гласит, что в компании должен быть надлежащий внутренний контроль за работой с информацией данного типа и за возможными последствиями (финансовыми и иными) для других организаций. Некоторые положения SOX требуют, чтобы провайдер услуг прошел сертификацию по SSAE 16. Работа с такими провайдерами может избавить компанию от лишней головной боли.
С точки зрения клиента, законодательство США НЕ гарантирует конфиденциальность данных, которые были переданы третьим лицам (например, в облачные сервисы). Теоретически Patriot Act позволяет правительству США без получения ордера и уведомления владельца данных просматривать данные в американских центрах обработки данных. Сам факт хранения данных, в некоторых случаях, может классифицировать как ведение бизнеса в США, со всеми вытекающими последствиями.
Европа
Европейская директива о защите данных запрещает передачу персональных данных за пределы Европейского экономического сообщества (страны ЕС, а также Исландия, Лихтенштейн и Норвегия). Согласно директиве, данные которые обрабатываются в странах, не входящих в ЕЭС, не могут также передаваться через эти страны. Исключение составляют государства, входящей в список стран и территорий, которые обеспечивают "адекватную" защиту персональных данных, утвержденный Европейской комиссией. Таких стран всего 11 и ни Россия, ни другие страны СНГ в этот список не входят.
Кроме того европейцам тоже не нравится, что американский Patriot Act очень вольно подходит к конфиденциальности данных, поэтому США в этот список тоже не попали. Однако в отношении американских компаний действует отдельное соглашение Safe Harbor, которое определяет принципы по которым личные данные можно передавать в США:
- уведомление - клиенты должны быть проинформированы о том, какие данные собираются, и как они будут использоваться.
- выбор - люди должны иметь возможность отказаться от сбора и передачи данных третьим лицам.
- передача - передача данных может осуществляться только тем компаниям, которые подписали данное соглашение.
- безопасность - должны быть предприняты определенные усилия по предотвращению потери данных.
- целостность данных - данные должны быть достоверными и актуальными.
- доступ - люди должны иметь доступ к своим данным, чтобы исправить их или удалить, если он неточны.
- исполнение - должны иметься эффективные средства реализации этих принципов.
Европейской комиссией также разработаны типовые договоры о передаче данных. В Великобритании закон также позволяет компаниям передавать данные в страны не входящих в ЕЭС, если они удовлетворяют требованиям "адекватной" защиты или имею корпоративную политику конфиденциальности, утвержденную Комиссаром по защите персональных данных.
В настоящее время Европейское законодательство о защите данных пересматривается в сторону его ужесточения. Ограничения на обработку персональных данных будут касаться всех компаний, обрабатывающих персональные данные граждан ЕС. Также будут ужесточены санкции за нарушение закона.
Австралия
Основной австралийский закон регулирующий управление персональными данными Australia"s Privacy Act был принят в 2008 году. С 2012 года в Австралии рассматривается вопрос об ужесточении закона о защите данных. В частности, предполагается обязательное уведомление субъекта данных в случае нарушения их конфиденциальности, а также возможность наказывать организацию за нарушение закона без иска субъекта данных. Предполагается также, что провайдеры будут обязаны хранить метаданные (такие как IP-адреса) клиентов до двух лет. Федеральная полиция Австралии сможет получить доступ к таким данным клиентов, подозреваемых в совершении кибер-преступлений даже без ордера. Сама информация передается при предъявлении ордера.
Азия
В ряде стран Азии действует единая нормативно-правовая база по защите персональных данных - PDPA (Personal Data Protection Act). Компании должны оценить способность облачных провайдеров защитить корпоративные и личные данные. Особенно это актуально для удаленных центров обработки данных или облачной ИТ-инфраструктуры. В Малайзии PDPA уж вступил в силу в январе этого года, а в Сингапуре он начнет действовать с середины 2014 года. Но уже сейчас в Сингапуре действует Закон о банковской деятельности (Banking Act), который требует от банков, работающих в стране, соблюдения конфиденциальности данных клиента и их защиты от несанкционированного доступа. В новом законодательстве подобные требования будут предъявлены уже ко всем компаниям, а не только к банкам.
Россия
Разговор про ФЗ-152 "О персональных данных", который вступил в силу в 2011 году, требует отдельной публикации. В действующей редакции закона большая часть требований относится к документальному оформлению работы с персональными данными, а не к их фактической защите. Однако в 2013 году нас ждет много интересных новаций в этой области, в том числе появление технических требований к защите персональных данных.
В России модно ругать депутатов Госдумы за качество тех законов, которые они издают. Однако большая часть законодательства других стран, регулирующая защиту данных, написана столь расплывчатым и невнятным языком, что позволяет весьма широкие трактовки. К сожалению, общемировая практика - законы пишут и принимают вовсе не отраслевые эксперты. Остается только надеяться на необязательность и невозможность исполнения законов в отношении всех клиентов публичных облачных провайдеров, а также на отсутствие в криптоалгоритмах лазеек для спецслужб.