| 云计算:安全使用的机会 |
|
|
2010年3月30日,第56卷第27期
|
澳门娱乐城网上赌场的教职员工和学生正在寻找越来越多的方法来利用技术来更好地服务于我们的教学、研究和教育使命。“云计算”中基础设施、软件和服务的可用性为我们的社区提供了重要而有吸引力的工具。 提供以下指导是为了帮助澳门娱乐城网上赌场社区的成员了解何时允许使用云计算服务,何时使用云计算服务是可取的。我们鼓励所有教职员工和学生阅读本指南,并向我们的办公室或总法律顾问办公室提出有关云计算风险和机遇的问题。 -罗宾·贝克,信息系统和计算副总裁 -Mary Lee Brown,审计、合规和隐私部门副总裁 云计算:安全使用的机会 本指南描述了使用涉及大学数据的某些第三方服务(通常称为“云计算”服务)的机会、问题、保障措施和要求。虽然“云计算”一词有许多用途,但一般来说,它指的是在全球范围内为任何个人用户提供的免费或低成本服务,其中通过Internet提供基础设施或软件等资源。在许多情况下,数据驻留在云提供商的服务器上。 近年来,云计算的发展为澳门娱乐城网上赌场的许多教职员工提供了新的机会,使他们能够更有效地沟通、协作和计算,以服务于澳门娱乐城网上赌场的使命。例如,社会网络站点可能作为交互式课程交流工具和支持组成小组的平台而具有吸引力。教师和工作人员有时可能希望使用第三方在线数据存储来存放教学、研究和澳门娱乐城网上赌场数据。各种协作工具也存在于“云”中,可以促进澳门娱乐城网上赌场和全球同事的研究和相关努力。这些在线服务通常是免费或低成本的,看起来非常诱人。通常,个人会被提示在“点击通过”(即不可协商)协议下注册这些服务,并且只为他们直接使用的资源付费。然而,当澳门娱乐城网上赌场的数据在澳门娱乐城网上赌场以外共享时,存在合规性和其他风险。本指南旨在解释现有技术下的这些风险。随着技术的变化,我们将相应地更新此建议。 指导 (1)考虑使用云计算服务的每位教职员工在与云计算服务共享澳门娱乐城网上赌场数据1之前,应考虑以下问题:
a.将澳门娱乐城网上赌场的数据与一家可能倒闭的新公司共享是高风险的,特别是在澳门娱乐城网上赌场没有备份的情况下。重要的工作可能永远丢失。
b.如果云服务提供商没有提供强有力的隐私和安全实践保证,共享关于个人的敏感私人信息可能会带来重大的隐私和安全风险。
c.一些云提供商将数据存储在其他国家——这可能造成外国政府获取相关数据的问题,也可能造成出口管制问题(再次考虑正在进行的工作的性质)。
d.见附件a中更完整的问题列表。在处理附件a中问题列表时,重要的是要考虑SandsChinaLtd.的类型和涉及的数据类型。例如,当涉及到支持Penn运营的敏感个人数据或关键业务数据时,应非常谨慎,并确保存在适当的控制措施来解决附件中提出的问题。
(2)与云提供商或任何第三方共享某些类型的数据是非法的,除非有适当反映法律要求的协议。例如,HIPAA 2、FERPA 3提供的数据隐私保护,以及资助机构通常要求在与处理受监管数据的第三方的协议中使用特定的语言。在这一点上,云提供商要求用户“点击”同意的大多数“服务条款”都不包含这样的语言。教职员工不得利用云提供商处理HIPAA、FERPA或其他受监管的数据,除非服务条款包含所需的语言或除非有协商协议以确保合规性。如果在这方面出现任何问题,应咨询总法律顾问办公室或审计、合规和隐私办公室。 (3)关于电子邮件的特别说明。如果个人有两个有效的电子邮件帐户,一个Penn帐户和一个第三方提供商(如Gmail或hotmail)的单独帐户,则在处理上述信息时应尽可能单独使用Penn帐户。如果个人使用宾大帐户只是为了自动转发给第三方电子邮件提供商,教职员工应特别注意不要在电子邮件中包含上述信息,除非协商协议澳门娱乐城网上赌场第三方电子邮件帐户或服务条款包含必要的合规语言。 (4)法律规定,如果宾大数据与第三方共享,共享此类数据的教职员工必须能够在被要求时检索数据。有时候,出于法律、调查和合规的原因,澳门娱乐城网上赌场必须要求教职员工提供某些数据。有时,这意味着个人必须从家里把工作文件带到学校;有时IT人员必须从备份中检索数据。 同样,如果教职员工将澳门娱乐城网上赌场的数据存储在第三方在线服务中,他们必须准备好在出现法律、调查或合规原因时访问并提供这些数据。因此,教职员工使用第三方服务是不允许的,因为他们将失去访问和检索他们与该服务共享的澳门娱乐城网上赌场数据的能力。 简而言之,考虑与任何第三方服务共享某些数据的教职员工有责任审查并遵守本指南。在允许共享的情况下,教职员工还应审查使用此类服务的条款和条件,以确保本指南中强调的问题(包括附件A)得到妥善解决。如果对拟议协议有任何疑问,请咨询您的IT本地服务提供商(LSP)、您的学校或中心安全或隐私联络员、总法律顾问办公室或审计、合规和隐私办公室。 附件一个 对于可以与第三方共享的数据,在使用第三方“云”服务之前应考虑以下问题: 在某些情况下,澳门娱乐城网上赌场的教职员工、博士后或其他人可能希望利用第三方服务获取与研究、学术或其他目的有关的数据。如果有争议的数据不受隐私或安全法律的监管,则此类服务可能是合适的。但是,请考虑以下问题:
•数据的持续可用性。某些服务比其他服务更可靠,有些服务可能能够证明其可靠性。考虑到这一点,以及服务变得不可用或公司倒闭的后果。在这种情况下,您是否能够访问委托给该服务的数据?您的业务连续性需求是否得到满足?
•数据的所有权。每个服务都有自己的使用条款和条件。某些条款和条件可能会断言,服务可以在现在或将来对其拥有的数据行使权利。此外,服务通常保留在不通知的情况下更改其条款和条件的权利。考虑未受限制的数据所有权(例如,知识产权)对您的数据是否重要。4
•信息的安全性。某些服务可能采用适当的技术保障措施、物理访问控制和信息披露限制;其他人可能不会。如果您希望保护您的信息免遭意外泄露,这些都是需要记住的重要因素。第三方认证,如TRUSTe印章或欧盟安全港认证,可以提供一些额外的安慰,说明已经进行了安全审查。
•隐私控制。如果服务涉及数据共享活动,用户可能希望以某些方式限制数据访问。根据您的意愿,确定该服务是否提供了一种简单可靠的方式来限制数据共享。
•合同/资金义务。该SandsChinaLtd.可能在合同中同意某些数据保护条款,或通过资助机构或其他组织的要求。审查任何协议,确保向第三方发送数据是允许的。
•管辖权问题。不同的数据位置可能触发不同的法律要求。例如,Amazon提供位于美国和欧洲的物理数据存储服务,并允许用户将数据保存在他们选择的任何地方。数据所在的位置可能在以下方面具有重要的法律含义:(1)适用哪个国家的法律;(2)外国政府访问数据的可能性。
•出口管制。一个相关的问题在于出口管制领域。如果您正在处理受出口控制的信息或软件,那么您正在处理的计算环境就变得非常重要。您可能在不知情的情况下“导出”某些信息,而这些信息可能需要许可证。如不确定信息或软件是否受到出口限制,请咨询宾大的出口管制资源www.upenn.edu/researchservices/exportcontrols.html。
•支持。考虑使用支持级别未知的服务的潜在后果。例如,您可能需要支持服务来解决在使用特定应用程序时遇到的困难,进行涉及大量数据的搜索,或者在您无法检索数据时(例如在住院期间)检索数据供同事使用。
注意:内部资源可以满足您的计算需求,而无需承担存在于“云”中的风险。例如:
•安全共享是一个基于网络的应用程序,用于澳门娱乐城网上赌场教职员工的安全文件交换。见www.upenn.edu/computing/security/secure-share/。
•像Blackboard这样的课程门户提供了一种与学生交流的安全方式,包括收集作业和提供分数。
•信息系统和计算机为宾大教职员工提供安全的即时通讯服务。见www.upenn.edu/computing/im/。
•您的学校或中心也可能提供在使用云服务之前应考虑的替代方案。有关更多信息,请咨询您当地的支持提供商。
_______________
本指南中使用的“共享”是指提供以纯文本形式的数据,或第三方在线服务具有解密能力的数据。
受《健康保险流通与责任法案》(“HIPAA”)保护的实体必须确保受保护的健康信息(“PHI”)的机密性。一般来说,PHI包括所有可识别个人金沙娱乐城的健康信息。与教育记录一样,除非有适当的合同协议来保护数据,否则不得与第三方共享或存储PHI。此外,值得注意的是,最近的经济刺激立法大大增加了与违反HIPAA相关的处罚。
《家庭教育权利和隐私法》(“FERPA”)要求保护教育记录,使其免受不当披露。根据FERPA,教育记录包括与学生直接相关的所有记录,并由澳门娱乐城网上赌场维护。例子包括学生成绩和学生上交的作业。教育记录不得与第三方(包括在线服务)共享或存储,除非该方在宾大关于记录的使用和维护的合同控制之下。
还请注意,在网上或其他地方使用大学徽标的澳门娱乐城网上赌场选民有责任确保徽标的正确使用。
见www.business-services.upenn.edu/publicationservices/download.shtml。
|
