Гарантії збереження даних у хмарних сховищах

Юридичні гарантії збереження і захисту інформації у хмарному сховищі.

Гарантії збереження даних у хмарних сховищах

Перше комерційне хмарне сховище з’явилося у далекому 1994 році – PersonaLink Services network від AT&T. Разом з ним виникла необхідність впровадження гарантій збереження даних у новому форматі. Обов’язкові технічні вимоги, які висуваються до онлайн-сховищ інформації, є наслідком первинних гарантій, що закріплюються у регуляторних правилах, регламентах, угодах, умовах користування і документах хмарних сховищ. Належним чином закріплені юридичні гарантії збереження даних – одна єдина річ, яка здатна захистити власника бази даних і гарантувати справедливе відшкодування у разі компрометації інформації.

З 2006 року і по нині відбувається стрімкий ріст попиту на хмарні сховища. У 2006 свій власний сервіс запускає Amazon – Amazon Web Services (AWS), який з часом набирає шаленої популярності серед бізнесу. Запит на нові сервіси і потужності, що почався у 2006 році, триває і зараз. На щастя, у теперішньому 2020 році, бізнесу є з чого обирати. Власники сервісів з хмарного збереження даних пропонують варіанти на будь-який смак.

Є і негативна тенденція – все більше обмеження відповідальності власників і операторів хмарних сховищ, зменшення гарантій та сум відшкодування, на які можуть розраховувати користувачі сервісів. Відверто сказати, це – наслідок здешевлення послуг надавачів сервісів зі збереження даних, перехід з SSD побудованих на SLC та MLC NAND Flash Memory до накопичувачів на TLC та QLC, застосування інших «прогресивних технологій», підвищення попиту на лоукост та «безкоштовні» сервіси, збільшення кількості програмних та апаратних уразливостей сховищ даних і пов’язаним із цим зламів. Для тих, хто передусім дбає про збереження бази даних, її захисту від псування і компрометації, отримання належних технічних і юридичних гарантій стало вкрай нелегкою задачею.

Юридичні гарантії збереження даних у хмарних сховищах.
Три види юридичних гарантій при користуванні хмарними сховищами.

Юридичні гарантії збереження даних – пріоритет в організації роботи з інформацією.

Що таке хмарне сховище даних? Хмарне сховище – це модель збереження цифрової інформації у «логічних масивах», за якої фактичне фізичне збереження даних має місце на різних серверах. Фізичні сховища, які обслуговують «логічний масив», можуть знаходитись у різних локаціях, навіть на різних континентах. Хмарні сховища мають численні переваги для бізнесу, серед них: відсутність необхідності витрачати матеріальні ресурси на створення і підтримку інфраструктури локального сховища, зменшення поточних витрат на електроенергію, захищеність від локальних ризиків (актуально для України в контексті її правоохоронної системи), мобільність та інші.

Юридичні гарантії покликані надати користувачу хмарного сховища можливість безпечно користуватись всіма перевагами цих сервісів, розуміючи наявність відповідальності з боку власника (оператора) сховища даних. Щоб гарантувати інтереси користувача, відповідальність оператора сервісу має бути пов’язана з дієвим механізмом відшкодування заподіяних збитків та оперативного відновлення пошкодженої інформації і стану її захищеності.

Юридичні гарантії збереження і захисту інформації у хмарному сховищі.
Надійний захист від знищення і втрати інформації, а також її компрометації, можливий за умови чітко визначених правових гарантій збереження даних у хмарних сховищах. Відсутність “юридичних запобіжників” – обов’язково призведе до збитків.

Три джерела правових гарантій збереження даних у хмарних сховищах:

Договори приєднання – Правила та умови користування (Terms of Use), Регламенти використання хмарних сховищ і Публічні угоди з користувачами. Адекватний сервіс має передбачати юридичні гарантії збереження даних, завантажених у сховище користувачами сервісу. Чудово, якщо в угоді з користувачем хмарного сервісу передбачено (перелік актуальний і для інших 2-х джерел, які наведені у наступних абзацах):

  • гарантії від випадкової втрати і псування даних;
  • гарантії на випадок компрометації і несанкціонованого  доступу;
  • положення про покриття збитків і відшкодування шкоди;
  • чіткі строки розгляду запитів з технічних і юридичних питань.

Додатково перевірте порядок розгляду спорів та розділ присвячений обмеженню відповідальності власника (оператора) хмарного сховища. Хмарні сервіси, зазвичай, прописують у цих 2 розділах вкрай несподівані положення для користувачів. Типові договори приєднання містять гарантії виключно юридичного характеру. Подробиці реалізації закріплених в офертах гарантій викладаються у технічній документації.

Посилання на технічну документацію хмарного сервісу нерідко міститься у тексті договору приєднання, наприклад, у Правилах користування хмарним сервісом. Гарантії, які передбачені односторонніми правовими застереженнями і технічною документацією відрізняються не тільки їх технічними подробицями. Положення цих документів легше оскаржити, якщо вони порушують законодавчо закріплені гарантії.

Крім того, “односторонні документи” і технічні регламенти сховищ легко оскаржуються і в тому випадку, коли вони не узгоджуються з Правилами користування сервісом та законодавством про захист прав споживачів. Останнє, на жаль, не актуально для “Business to Business” відносин. Розуміючи це, власники хмарних сховищ і відповідних сервісів намагаються максимально обмежити свою відповідальність перед користувачем.

Всі три різновиди документів, які мають надати гарантії на належне зберігання інформації, можуть бути використанні і проти користувача хмарних сховищ. І якщо, у випадку укладення двосторонніх угод, є поле для маневрів та можливість погодити окремі положення, то у випадку з договорами приєднання користувач має можливість прийняти лише 1 з 2 рішень – користуватись хмарним сховищем або ж ні. Будьте пильні, читайте Terms of Use, Terms of Service та інші цифрові документи з подвійною увагою!

Двосторонні угоди з власником (адміністратором) сервісу з надання послуг збереження даних у хмарному сховищі – кращий варіант для бізнесу. Єдиний варіант, який дозволяє нав’язати потрібні Вам гарантії збереження даних у хмарному сховищі. Двосторонні угоди будуть чи не єдиним варіантом для дійсно надійного збереження важливої і “чутливої” інформації.

Регламенти, директиви і міжнародні стандарти:

Ми не забули про законодавчі акти, регламенти, директиви, стандарти (наприклад, ISO/IEC 27017 “Code of practice for information security controls based on ISO/IEC 27002 for cloud services”) і регуляторні правила. По-перше, деякі з них не є обов’язковими у B2B відносинах і захищають лише споживачів (фізичних осіб). По-друге, Договори приєднання та Двосторонні угоди, які складені в інтересах власників та операторів сервісів хмарних сховищ, можуть законно відступати від окремих регуляторних правил і мати пріоритетне значення при врегулюванні спорів. По-третє, отримати ефективний юридичний захист і відшкодувати збитки на підставі приписів чинних регуляторних правил можна лише в судовому порядку. Висновок – встановлення юридичних гарантій має носити індивідуальний характер і передувати потенційним порушенням.

Недопустимі положення, які зводять нанівець всі гарантії:

  1. Положення про повну або часткову відмову від покриття збитків, що є наслідком втрати (пошкодження), компрометації та розкриття інформації з вини власника (адміністратора) хмарного сховища даних.
  2. Про заборону на звернення з колективною претензією (позовом).
  3. Про розгляд спорів між користувачем хмарного сховища і його власником комісіями, третейськими судами та іншими подібними “утвореннями”, які, зазвичай, прямо або опосередковано підконтрольні надавачу послуг.
  4. Інші положення, які обмежують право на судовий захист.
  5. Норми, які погіршують становище користувачів порівняно з базовими положеннями правил про захист прав споживачів (не застосовується у відносинах Business to Business).
  6. Положення, які перекладають відповідальність власника (адміністратора, оператора) на плечі їх підрядників. Також, положення, які виключають відповідальність власника (адміністратора, оператора) сервісу за порушення, допущенні залученими підрядниками та субпідрядниками.
  7. Норми, які прямо вказують на відсутність будь-яких гарантій належного збереження даних.

З осторогою варто ставитись до хмарних сховищ, які не можуть підтвердити сертифікацію згідно міжнародного стандарту з інформаційної безпеки ISO/IEC 27001 або хоча б задекларувати відповідність його рекомендаціям і практикам. Що ж, ми розглянули юридичні гарантії при користуванні хмарними сховищами, види і типи документів, якими вони закріплюються. Наостанок були названі недопустимі положення, які загрожують Вашим інтересам і зводять нанівець всі інші правові запобіжники.

Юридичні гарантії збереження даних у хмарних сховищах – перша тема, розкрита нами в контексті відносин з власниками таких сервісів. Заплановано ще 2 правові консультації, які будуть опубліковані на сторінках блогу Legal Support. Перша розкриє особливості укладення двосторонніх угод. Друга консультація пояснить порядок судового захисту у разі втрати інформації, її компрометації чи іншого порушення з боку власника хмарного сховища даних.

З повагою до читачів, юрист Євгеній Мовчун

LinkedIn – Yevgeniy-Movchun-Lawyer

Facebook
fb-share-icon
Twitter
Tweet
LinkedIn
Share