5 lo ngại về pháp lý trên đám mây

Quản Trị Mạng - Năm ngoái, một công ty sản xuất và phân phối thực phẩm toàn cầu đã phô trương quá trình quản lý nhân sự (HR) rất thông minh của họ bằng cách trao nó cho một nhà cung cấp phần mềm dịch vụ (software-as-a-service – SaaS). Tuy nhiên, khi luật sư của công ty này xem lại bản hợp đồng của kế hoạch đề ra, họ tìm thấy một số vấn đề tiềm ẩn có thể gây rắc rối cho công ty.

Khi mới bắt đầu, nhà cung cấp SaaS hoạt động ở Mỹ, Châu Âu và Canada. Rebecca Eisner, luật sư chuyên về thuê ngoài, là đại diện cho công ty thực phẩm trên khi hồi tưởng lại đã nói: “Châu Âu và Canada là 2 quốc gia có hệ thống pháp lý quy định nghiêm ngặt về thông tin cá nhân. Do đây là một hệ thống HR, nên sẽ có rất nhiều thông tin cá nhân”.

Nhà cung cấp cũng rất muốn có được sự linh hoạt trong việc di chuyển thông tin của công ty sang trung tâm dữ liệu ở bất kì nơi nào trên thế giới. Và đó chính là vấn đề công ty phải đối mặt với hệ thống pháp luật của bất kì quốc gia nào dữ liệu này đi qua hoặc được đặt ở quốc gia đó.

Dù vậy, vẫn không có sự quay trở lại nào cả. Công ty này dường như quá say mê với ứng dụng SaaS đến mức quên đi những mối nguy hiểm về pháp lý. Sau 2 tháng đàm phán, cả 2 bên đã thống nhất được một bản hợp đồng.

Eisner, đối tác ở văn phòng tại Chicago – Mỹ – của hãng luật Mayer Brown đã nói: “Nhà cung cấp SaaS không muốn thừa nhận rằng họ thiếu tinh tế trong những vấn đề như vậy. Tuy nhiên, họ hiểu được chúng ta đến từ đâu. Cuối cùng, họ cũng hiểu được rằng nếu họ có thể hợp tác làm ăn với công ty thực phẩm này – và các công ty toàn cầu khác trong tương lai – họ cần phải có những loại hình bảo vệ tối thiểu nhất. Vậy nên họ đã hợp tác với công ty này”.

Nếu bạn đang vận hàng trên đám mây hoặc dự định chuyển lên đó trong tương lai, dưới đây là 5 lĩnh vực nguy cơ về pháp lý không nên bỏ qua.

1. Bảo mật

Tổ chức Health Insurance Portability and Accountability Act (HIPAA) yêu cầu các công ty tiết lộ thông tin sức khỏe cá nhân cho bên thứ 3 phải ký vào hiệp định hợp tác kinh doanh. Polly Dinkel, luật sư của Sideman & Bancroft ở San Francisco – Mỹ đã nói: “Những bản hợp đồng này quy định cách những bên thứ 3 có thể sử dụng những dữ liệu như vậy. Rất nhiều người không nghĩ tới các yêu cầu khi họ làm việc với điện toán đám mây – họ không nghĩ về việc tiết lộ thông tin cho một bên thứ 3 nào đó. Tuy nhiên, thực tế lại như vậy”.

Tương tự, bộ luật Gramm-Leach-Bliley Act cũng yêu cầu các cơ quan tài chính phải ký kết hợp đồng với những bên thứ 3 mà họ chia sẻ thông tin cá nhân của khách hàng. Điều này nhằm đảm bảo rằng bên thứ 3 sẽ lưu trữ dữ liệu an toàn. Dinkel nói thêm: “Cần phải có các yêu cầu thực hiện và duy trì loại hình bảo mật này trong bản hợp đồng”.

Dan Masur, một đối tác của Mayer Brown cho biết: “Phần rắc rối là biết được chính xác nơi tất cả các trung tâm dữ liệu của nhà cung cấp đám mây và nhà thầu phụ được đặt”. Ông nói điều luật Sarbanes-Oxley Act yêu cầu chủ sở hữu thực sự của dữ liệu phải biết được dữ liệu của mình ở đâu và duy trì được kiểm soát dữ liệu trên đám mây.

Như Masur nói: “Dữ liệu của bạn di chuyển trên toàn thế giới, nhưng nơi nhà cung cấp dịch vụ đám mây có thể mang nó đi. Và không chỉ là nhà cung cấp mà còn các nhà cung cấp phụ và nhà thầu phụ cùng với các nền tảng. Nơi chính xác dữ liệu của bạn đang ở trong một thời điểm là ở đâu? Có bao nhiêu quốc gia nó đã đi qua và luật pháp ở các nước này là gì? Thậm chí nếu có ngay một bản hợp đồng với nhà cung cấp, bạn có chắc rằng họ có các điều khoản áp dụng thời hạn của hợp đồng với nhà thầu phụ?”

Khách hàng cần khẳng định rằng họ biết được nhà thầu phụ và thời hạn hợp đồng đó áp dụng với họ. Tin tốt là một số nhà cung cấp đám mây lớn sẽ chỉ cung cấp đám mây công cộng ở Mỹ, cũng như khẳng định rằng các điều khoản liên quan của hợp đồng đã được áp dụng với nhà thầu phụ.

Tại Schumacher Group, một công ty chăm sóc sức khỏe có trụ sở tại thành phố Lafayette – Mỹ, có khoảng 80 – 90% quy trình IT được host trên đám mây qua 12 nhà cung cấp dịch vụ khác nhau.

CIO Douglas Menefee đã nói: “Tất cả các nhà bán lẻ chúng tôi lựa chọn phải có chính sách HIPAA và tuân thủ chúng chính xác”. Ông cũng yêu cầu các nhà cung cấp đám mây phải ký vào hiệp định hợp tác kinh doanh rằng nhân viên của nhà bán lẻ chỉ có thể xem thông tin có liên quan tới công việc của họ và chỉ khi cần thiết.

2. Tuân thủ quyền hạn

Gartner's Global IT Council for Cloud Services – một nhóm các CIO đang cố gắng đưa ra chuẩn làm việc trên đám mây – phàn nàn rằng “nhà cung cấp dịch vụ đã không làm tốt vai trò của mình trong việc giải thích họ đặt dữ liệu vào phạm vi quyền hạn nào và các yêu cầu về luật pháp khách hàng theo đó cần phải tuân theo”.

Bản hợp đồng của nhóm này nói rõ rằng khách hàng “có quyền hiểu các yêu cầu về pháp luật của phạm vi quyền hạn nhà cung cấp đang sử dụng”. Nếu không, nếu nhà cung cấp dịch vụ lưu trữ hoặc chuyển dữ liệu của người dùng sang một quốc gia khác, “khách hàng trở thành đối tượng của luật pháp và các điều khoản họ có thể chưa bao giờ biết tới”.

Các điều khoản chính trong hợp đồng đám mây:

• Tránh các mối nguy hại về pháp luật trong đám mây bằng cách soạn thảo một bản hợp đồng có các điều khoản sau:
• Yêu cầu nhà cung cấp dịch vụ phải thông báo cho bạn nếu nhận được một lệnh khám hoặc giấy triệu tập của tòa án về thông tin.
• Giải thích rõ ràng quản lý bảo mật và chỉ ra nơi dữ liệu sẽ được lưu trữ
• Xác định rõ ràng nhà cung cấp sẽ phản ứng nhanh thế nào đối với yêu cầu khám phá điện tử - e-discovery – và đảm bảo rằng thông tin có thể dễ dàng truy hồi được.
• Yêu cầu nhà cung cấp dịch vụ thông bào cho bạn khi họ thuê một nhà thầu phụ hoặc chuyển dữ liệu sang một phạm vi quyền hạn mới.
• Cung cấp một điều khoản làm “lối thoát” nhằm bảo vệ bạn nếu hợp đồng không được thực hiện hoặc nhà cung cấp dịch vụ bị phá sản. Điều khoản này phải đảm bảo được rằng bạn có thể lấy lại dữ liệu của mình trong một định dạng cụ thể nào đó, trong một koảng thời gian nào đó.

Ví dụ, liên minh châu Âu (EU) có một số có một số điều luật về bảo mật nghiêm khắc nhất trên thế giới – và khi chiếu theo những điều luật này, nó thậm chí còn phức tạp hơn trên đám mây.

Dinkel nói: “truyền dữ liệu ra ngoài EU bị nghiêm cấm, trừ phi EU thấy rằng quốc gia nhận có một mức độ bảo mật tương đương. Và có rất ít quốc gia đáp ứng được những yêu cầu này. Điều này thực sự là một mối lo ngại nếu bạn có server ở châu Âu và có dữ liệu liên quan tới một người châu Âu nào đó cũng như đang chuyển dữ liệu từ server này sang server khác. Một số nhà cung cấp dịch vụ có đám mây cô lập với dữ liệu EU nhằm tránh né vấn đề này”.

Các nhà lãnh đạo châu Âu đang xem xét về điện toán đám mây nhằm chỉ ra công nghệ mới này phù hợp với khung làm việc hiện tại của họ như thế nào về các mặt sử dụng, sưu tập, lưu trữ và truyền dữ liệu cá nhân. Dinkel cho rằng người dùng điện toán đám mây có thể chờ đợi có được một bước tiến triển mới. Ví dụ, họ có thể nhận được các phê chuẩn đặc biệt cùng file báo cáo với ủy quyền về bảo mật dữ liệu của châu Âu có nội dung chi tiết về kế hoạch cho sử dụng và lưu trữ dữ liệu.

Người dùng đám mây cần phải biết rằng vị trí của nhà cung cấp hoặc vị trí server của họ có thể quyết định một vụ kiện cáo có thể xảy ra như thế nào khi có vấn đề nảy sinh. Dinkel nói: “Bạn có thể tự mình phải bảo vệ cho một hành động ở quốc gia khác, dựa vào trụ sở hiện tại của nhà cung cấp dịch vụ”.

Hợp đồng đám mây của Search Warrants yêu cầu rằng dữ liệu phải được lưu trữ tại các trung tâm ở Mỹ. Menefee nói: “Việc họ lưu trữ dữ liệu của chúng tôi ở nước ngoài chẳng có ý nghĩa gì cả”.

3. Lệnh khám

Theo Dinkel, một trong những mối nguy hiểm của đám mây công cộng là dữ liệu từ rất nhiều khách hàng có thể được lưu trữ trên cùng một server. Bà giải thích: “Nếu nhà cung cấp nhận được lệnh nào đó liên quan tới một trong những khách hàng và có rất nhiều dữ liệu của khách hàng khác được lưu trên cùng server này, tất cả những dữ liệu này có thể bị tịch thu và công ty không thể truy cập vào dữ liệu ngay cả khi họ không liên quan gì tới vụ việc”.

Kết hợp dữ liệu là một vấn đề nghiêm trọng trong năm 2009, khi FBI bất ngờ tấn công vào 2 trung tâm dữ liệu ở bang Texas, Mỹ. Đây là một phần của cuộc điều tra liên quan tới một trung tâm dữ liệu người dùng. Tổ chức FBI đã tịch thu khoảng 220 server cùng với router, switch, tủ server và thậm chí là cả ổ cắm điện. Báo cáo đã chỉ ra rằng vụ thu giữ này đã gây thiệt hại tới hàng triệu đô đối với trung tâm dữ liệu này. Nó cũng khiến rất nhiều khách hàng của trung tâm dữ liệu không kinh doanh nổi hoặc đứng trước nguy cơ bị đóng cửa.

Làm sao để có thể giảm thiểu những nguy cơ như vậy? Một đám mây cá nhân chắc chắn có thể loại bỏ việc kết hợp. Nếu đó không phải là một lựa chọn, hãy bắt nhà cung cấp dịch vụ đám mây phải đảm bảo về việc dữ liệu khách hàng được phân chia như thế nào để một lệnh khám hoặc thu giữ không làm ảnh hưởng tới dữ liệu của bạn.

4. E-discovery - Khám soát điện tử

Một chủ sở hữu dữ liệu bị bắt có nghĩa vụ phải giữ bất kì thông tin nào liên quan tới vụ kiện tụng và phải thu thâp nó nhằm phục vụ mục đích kiểm tra. Yêu cầu giữ dữ liệu được áp dụng nếu dữ liệu này nằm trong “kiểm soát, quản lý hoặc sở hữu” của bạn. Và đối với khách hàng đám mây là chủ dữ liệu, ngay cả khi dữ liệu ở trên đám mây, nó vẫn được cho là nằm trong tầm kiểm soát, quản lý và sở hữu của bạn. Vậy nên nếu một nhà bản lẻ không giữ nó hoặc không tạo dữ liệu trước hạn chót của vụ điều tra. Sau đó, người dùng đám mây có thể bị phạt vì điều này.

Thêm một vấn đề về việc kết hợp lưu trữ là các nhà cung cấp đám mây có các phương pháp lưu trữ khác nhau. Nếu dữ liệu không được lập bản đồ đúng cách, việc truy hồi sẽ rất khó khăn và tốn tiền.

Khi có một yêu cầu khám soát điện tử, bạn cần phải có được dữ liệu trong một khoảng thời gian. Nếu không, bạn sẽ bị phạt rất nặng (trong một số trường hợp, mức phạt có thể lên tới $50,000 một ngày). Thêm vào đó, các công ty có thể phải lấy lại dữ liệu liên quan từ 3 đến 5 năm trước bởi thường phải mất hằng năm trời mới hình thành vụ việc.

Các nhà cung cấp đám mây lớn nhận thức được nhu cầu đối với hành động ngay lập tức khi có yêu cầu khám soát điện tử, và chúng thường có thể theo dõi và truy hồi dữ liệu nhanh chóng bằng cách duy trì lý lịch dữ liệu gốc được gắn vào các bản ghi.

Luật sư nói rằng hợp đồng đám mây cần yêu cầu nhà bán lẻ phải duy trì lý lịch dữ liệu để dễ dàng truy hồi và thúc ép họ phải hoàn thành đúng thời hạn để tạo dữ liệu điện tử mỗi khi có yêu cầu.

5. Bảo mật dữ liệu

Các phương pháp để bảo vệ dữ liệu trên đám mây như mã hóa đều được cung cấp tài liệu rõ ràng. Tuy nhiên, vẫn còn rất nhiều nguy hiểm kết hợp với việc có rất nhiều bản ghi của công ty trong một khu vực lưu trữ, nơi chúng có thể “giúp” hacker có thể đánh cắp thông tin. Một số nhà cung cấp đã sẵn sàng cho nguy cơ này.

Ví dụ, mẫu bảo mật của Google Apps, cho phép dữ liệu lưu trữ được tách biệt ở cấp độ bit và được phân phát ở nhiều trang. Menefee, một người dùng Google Apps cho biết: “Chúng tôi thấy nó rất thú vị. Nếu chúng có một xâm phạm nào đó, hacker chỉ có thể có được các phần, đoạn nhỏ của một “câu hỏi lớn”.

Một câu hỏi khác: Ai sẽ trả phí về một vụ xâm phạm bảo mật trên đám mây? Dinkel nói: “Bạn sẽ muốn (nhà cung cấp dịch vụ) phải trả phí – bởi một lỗi nào đó có thể xuất phát từ bên phía họ và gây ra vụ việc”.

Ở rất nhiều bang của nước Mỹ, một tổ chức lưu trữ dữ liệu của khách hàng trên đám mây công cộng chịu trách nhiệm thông báo cho người dùng của họ nếu có xâm phạm dữ liệu xảy ra. Tuy nhiên, có thể bạn không thể biết được ngay lập tức khi có xâm phạm, trừ phi thời gian thông báo được ghi rõ trong bản hợp đồng.

Menefee bao gồm một số điều khoản liên quan đến bảo mật giống như các điều khoản trong hợp đồng đám mây của hãng Schumacher Group. Ông phát biểu: “ Nếu có bất kì vụ xâm phạm nào, chính họ mới là người phải chịu trách nhiệm chứ không phải chúng ta”.

Nguy hiểm luôn thay đổi vậy nên việc trao đổi với hội đồng luật sư là rất quan trọng mỗi khi hợp đồng cần được làm mới nhằm đảm bảo rằng các vấn đề mới đều trong tầm kiểm soát. Ví dụ, Menefee dự dịnh thêm một điều khoản “lối thoát” vào hợp đồng sắp tới nhằm bảo vệ hãng Schumacher Group nếu một nhà cung cấp thay đổi quyền sở hữu.