Gartner最近發布了提高云軟件即服務(SaaS)合同透明度的建議,包括強調年度安全審計和第三方認證,以驗證云供應商的運營/產品安全性�。
Gartner還建議,如果供應商未能采取任何實質性措施,則合同允許在發生安全漏洞時終止協議的選項�����。Gartner的報告《云合同需要安全服務級別以更好地管理風險》顯示,在未來兩年內,80%的IT采購專業人士仍將對與安全相關的SaaS合同語言和保護不滿意。
Gartner副總裁兼分析師Alexa Bona表示:“我們繼續看到云服務用戶對他們能夠從潛在和當前服務提供商那里獲得的透明度的形式和程度感到沮喪。”
那么,您如何才能對您的云服務提供商提供持續安全服務的能力保持完全透明呢?以下內容與可能向其他軟件即服務(SaaS)提供商提供服務的云基礎設施即服務(IaaS)提供商相關:
檢查合規審計報告��。至少每年應由獨立的第三方審計員進行一次的安全審計清單很長——這取決于您正在尋找什么以及您所處的行業��。隨身攜帶這份數據中心審計備忘單訪問您的數據中心�����。
訪問實際的數據中心。驗證您的云服務提供商擁有并運營他們的設施���,然后安排參觀以檢查他們的物理和技術安全性�����。與他們的員工交談,確保他們接受過處理敏感數據的培訓,以及他們關于訪問的政策��。
將行業合規性要求與其產品進行比較��。了解誰對什么負責可以消除整體安全方面的任何漏洞���,并弄清楚他們提供什么和不提供什么,還可以讓您深入了解他們的服務范圍。
了解他們的違規通知政策是什么��。如果他們發現違規行為����,詢問該條款是否包括標準通知政策,以及事件發生后涉及的程序。讓您的團隊參與管理他們的終端并確保識別聯系人�����。
投資于第三方風險工具��。正確的軟件工具可以幫助減輕第三方甚至第四方的數據泄露�。
獲得云提供商環境的透明度可能需要您的組織進行更多的前期工作���,但最終可能是值得的——Ponemon Institute在2013年數據泄露成本研究中透露���,數據泄露的成本在全球范圍內上升:全球分析(PDF)���。
沃卡惠
