Cloud Computing – zajímavé možnosti, ale i velká právní rizika

19. 5. 2010

Sdílet

Firmy si musí předem zodpovědět, případně konzultovat s právníkem, jestli povaha jejich dat dovoluje, aby byla uložena někde po hasačertech.

Představte si, že byste museli mít všechna data, v nichž hledáte na internetu, uložena na svém serveru nebo počítači. To by byla nemožná věc. Naštěstí nemusíte – skladují je firmy jako Google (který pro tyto účely má několik set tisíc serverů) a uživatelům zpřístupňují prostřednictvím internetu jen tu jejich část, kterou si přejete – namísto celé obrovské databáze poskytují velmi užitečnou službu. Stejně tak si např. uživatelé Gmailu nekupují softwarový produkt, ale jejich e-mailový účet je jim zřízen jako služba prostřednictvím internetu. Ač to naprostá většina uživatelů internetu netuší, participuje tak na novém obchodním konceptu – tzv. cloud computingu.

 

Oblaka v síti 

Termín „cloud“ je metaforou pro internet a cloud computing tak označuje využití „široširé“ internetové infrastruktury pro účely využití výpočetní techniky.

Obchodní koncept cloud computingu není nový – vychází z tzv. time sharingu nebo tzv. service bureau services, nebo z tzv. ASP (application service provision) služeb. To, co je nové, je využití tohoto konceptu v prostředí internetu.

Jedná se tedy o službu, kterou může uživatel, mající pouze připojení k internetu, získat funkčnost:

* svého počítače nebo své počítačové sítě – formou tzv. virtuálních CPU, virtuálních serverů aj.;

* softwarových produktů – např. Google Apps a Google Apps Marketplace;

* vývojového prostředí s „předpřipravenými“ aplikacemi, které si lze dotvořit podle vlastních potřeb a vkusu; jádro všech takových aplikací bude ale stejné, což umožní snadnou výměnu dat a jejich zpracování mezi všemi takovýmito aplikacemi, byť se mohou tvářit pro své uživatele velmi odlišně.

Obchodní koncept cloud computingu se rychle rozvíjí. Existuje celá řada různých typů cloud computingu – nejen jako veřejné služby, ale i jako služby neveřejné např. v rámci globálních prodejních sítí.

 

Vaše data u protinožců 

Pokud se zaměříme na právní rizika s cloud computingem spojená, dostane idylický obrázek určité trhliny. Jde například o to, že cloud computing a internet, na němž je toto řešení do značné míry založeno, jsou globální koncepty. Nutně tak dochází ke kolizím s lokálními právními řády v jednotlivých zemích a jejich požadavky. Firmy si tak musí předem zodpovědět, případně i konzultovat s právním poradcem, jestli povaha jejich firemních dat dovoluje, aby byla uložena v zahraničí nebo dokonce neznámo kde. Dále je třeba posoudit, jestli dokáže poskytovatel cloud computingu splnit předepsané zákonné požadavky na délku uchovávání dat – nebo naopak na jejich rychlé smazání. Rozsáhlá právní ochrana osobních údajů v EU představuje v tomto směru pořádný oříšek k rozlousknutí. Důležité je rovněž vědět, jaké je rozhodné právo příslušné služby, tedy kdo bude rozhodovat případné spory mezi vámi a poskytovatelem. Mandatorní právní ustanovení v řadě zemí mohou mít přednost před dohodou stran.

Zjistit by si firmy měly i to, jakou budou mít případně možnost převádět data mezi různými „cloudy“. Nestane se firma závislá na jediné platformě pro celé své IT prostředí? Producenti softwaru stojí v současnosti před strategickým rozhodnutím – zda se stát partnerem Google, eBay nebo někoho jiného. Vaše dnešní rozhodnutí proto mohou mít následky na řadu let do budoucnosti.

 

Důvěřuj, ale prověřuj 

Nelze ani zapomínat ani na to, že cloud computing do velké míry stojí a padá s internetem, který je poměrně zranitelný. Firma musí mít připravené záložní řešení pro případ, že se síť zhroutí nebo dojde k výpadku u jejich poskytovatele „cloudu“. Je třeba mít představu o tom, jak realistické a spolehlivé jsou plány na řešení krizových situací příslušného poskytovatele služeb v cloudu a zda je ochoten zavázat se k odpovědnosti za případné havárie internetu.

Důraz by měly subjekty, které se pro úložiště dat na internetu rozhodnou, klást i na to, zda je jejich poskytovatel auditovanou firmou a v jaké zemi sídlí. To je důležité při případném domáhání se právní ochrany při porušení smlouvy poskytovatelem cloudu. Klíčový je i fakt, kdo má nebo může mít k firemním datům v prostředí cloudu přístup a jak tam dokáže firma ochránit svoje důvěrné informace a obchodní tajemství. To lze alespoň částečně zajistit prostřednictvím šifrování. Pozor také na to, za jakých okolností bude mít k datům přístup policie nebo jiné státní orgány v zemi, kde jsou data uložena. Vyplatí se zeptat i na to, zda mohou být služby cloud computingu kryté vaší pojistkou.

 

Klíčovým nástrojem pro ochranu firem před riziky cloud computingu je smlouva uzavřená s poskytovatelem. Shrňme nyní hlavní okruhy, které by měly být ve smlouvě ošetřeny:

* Kdo má přístup k datům v cloudu a co je to za osoby?

* Je poskytovatel služby auditován a získal mezinárodně uznávané bezpečnostní certifikáty?

* Máte pod kontrolou místo či místa, kde jsou vaše data uložena?

* Kdo má technickou a právní odpovědnost za bezpečnost provozu cloudu? Víte, co se stane v případě porušení bezpečnostních pravidel?

* Používané šifrování dat z hlediska právních požadavků a bezpečnosti.

* Co se stane s vašimi daty v případě havárie v cloudu?

* Co se stane s vašimi daty a aplikacemi, pokud poskytovatel služeb ukončí činnost?

* Monitoruje poskytovatel služby cloud kvůli prevenci podezřelých či nezákonných praktik – například virových útoků?

* Je poskytovatel připravený s vámi jednat o záruce za dodržení dohodnutých kvalitativních ukazatelů – tzv. SLA?

 

Vítězí inteligence – od Aše až do Šanghaje... 

Přes relativní rizika je již nyní jasné, že pro jiné než citlivé výpočetní aktivity má cloud computing celou řadu předností před tradičními postupy výpočetní techniky – dokáže umožnit uživatelům srovnatelná plnění za kratší dobu a za nižších nákladů. U komplexních projektů s citlivými daty je nutné být ve vztahu ke cloud computingu opatrnější a do svých projektů určitě zabudovat úvodní experimenty v cloudu i dostatečně dlouhý pilotní provoz. U citlivých projektů je pak třeba zvážit paralelní uložení důležitých dat u několika poskytovatelů. Cloud computing představuje také příležitost pro chytré lidi kdekoliv na světě. Již přestává být důležité, odkud firma své služby poskytuje, jestli z New Yorku, Londýna nebo z Prahy – ale jak jsou její majitelé chytří a schopní.

 

Autor pracuje v advokátní kanceláři ROWAN LEGAL

 

Poznámka redakce: O tématu jsme již psali v článku Nebojte se cloud computingu

 

ICTS24