Stil krav til din cloud-leverandør

06. juli 2015

Det er efterhånden så nemt som at klø sig i nakken at flytte data og applikationer ud i skyen. Og netop af den grund ender mange virksomheder med at begive sig ud i cloud-eventyret uden omtanke for juridiske og kommercielle konsekvenser. Tillid er derfor et af de vigtigste parametre, når du vælger cloud-leverandør, og jeg har derfor samlet en række spørgsmål, som du bør kræve, at din cloud-leverandør kan svare på, inden du så meget som overvejer at lægge data ud i skyen.   

Hvor ligger mine data?

Og bliver mine data inden for EU? Når der er tale om personfølsomme data, kræver persondataloven, at data er opbevaret inden for EU/EØS. Det er altså ikke lige meget, om dine data er placeret i Danmark eller Indien, og du bør altid sikre dig, at din cloud-leverandør kan svare på, hvor dine data fysisk befinder sig.

Hvem har adgang til mine data?

Og har I processer for, hvordan I spærrer brugere og løbende fjerner inaktive brugere? Som kunde kan du kræve at se dokumentation for de processer, cloud-leverandøren anvender i forbindelse med adgangsstyring, så du ved, hvem der gør hvad, hvornår.  

Hvordan modtager, sletter og opbevarer I datamedier?

Og har I en proces for destruktion af datamedier? En disk med dine data skal ikke være tilgængelig for andre, selvom disken i princippet ikke virker længere. Cloud-leverandøren skal have en proces for, hvordan de krypterer data, inden de destruerer disken, så du har en garanti for, at dine data ikke ender i de forkerte hænder. 

Anvender I underleverandører?

Og overholder underleverandøren de samme regler, som I gør? Din cloud-leverandør er ansvarlig for sine underleverandører, men derfor bør du alligevel sikre dig, at din leverandør har et regelsæt og en proces for, hvordan underleverandørerne skal agere.

Kan I dokumentere garanti for sikkerhed?

Har I en beredskabsplan? Har I en Service Level Agreement-kontrakt (SLA)? Og hvordan er jeg stillet rent sikkerhedsmæssigt i tilfælde af nedbrud og tab af data? Når du overlader dine data til andre, har du brug for en garanti for, hvad der skal ske, hvis et datacenter går ned. Det betyder, at du skal vide, hvordan de gendanner dine data, applikationer, serveradgang, brugerkonti osv. Hvis uheldet er ude, bør du også vide, hvordan du rent forsikringsmæssigt er stillet, og det er den slags, du typisk får defineret i SLA’en. 

Baserer I leverancen på relevante ISO-standarder?

Og har I en ISAE3402-erklæring? Når din cloud-leverandør baserer leverancen på ISO-standarderne (ISO 27001 og ISO 27002) betyder det, at de har processer for, at din cloud-ydelse lever op til den gældende lovgivning på området. Hvis din virksomheds data omfatter personoplysninger, er det virksomhedens eget ansvar at sikre, at leverandøren overholder de sikkerhedskrav, som datatilsynet har opstillet for databehandlere. Du bør desuden kræve dokumentation for en ISAE3402-erklæring, som viser, at din cloud-leverandør efterlever gældende lovgivning og har en international anerkendt revisionserklæring.

Hvad sker der, når aftalen ophører?

Hvordan får jeg udleveret mine data? Og hvordan er jeg stillet, hvis I går konkurs? Når du indgår aftalen med din cloud-leverandør, skal du have med i kontrakten, hvordan du får udleveret din virksomheds data, hvis I af den ene eller anden grund afslutter samarbejdet.

Hvis du vil høre mere om, hvordan du sikkert begiver dig ud på et cloud-eventyr, kan du tilmelde dig To cloud or not to cloud-seminaret den 15. og 17. september 2015. Vi afholder seminaret i samarbejde med Plesner Advokater. Læs mere og tilmeld dig her.

Skriv en kommentar