Sziasztok!

Elolvastam a cikket, és részben egyetértek az aggodalmakkal, részben nem.

Két fontos dolog ehhez az adatvédelem témához. Az egyik az,hogy ha megbízható adatközpontban szeretnénk elhelyezni a bizalmas és/vagy privát információkat, akkor annak a jelenlegi módja, hogy az adatközpontot a PSZÁF a meghatározott előírásoknak megfelelően bevizsgálja és tanusítványt állít ki a megbízhatóságáról. A PSZÁF vizsgálatot követően a megrendelő dönthet arról,hogy neki a kapott eredmény megfelelő-e. Felhő esetén itt jön az első probléma. Mivel a világ számos országában előrhető szolgáltatásról van szó, ezért gyakorlatilag akkor mondhatuk megbízhatónak, ha úgymond minden, a szolgáltatásra jogosult, ország a a saját PSZÁF jellegű intézményével bevizsgáltathatná, de valljuk be ez nehezen kivitelezhető. Itt jön képbe az a fogalom, hogy ISO szabvány, ami nemzetközileg elfogadott szabványt jelent. Ha találunk egy sabványt ,amely szerint tudjuk minősíteni az adattárházat, akkor már egy fokú biztonságérzetünk van. Ez jelneleg az ISO27001 (IS -re vonatkozó szabványa). Ennek a szabványnak a Google megfelel, továbbá a Microsoft Azure Cloud is. Továbbmenően, egy nemzetközi szabvány nyílván nem uniója az egyes országok PSZÁF szerinti követelményeinek az adatbiztonságra nézve. Ezért pl.: Microsoft az Azure aduttárházait még a BSI(British Standards Institutions)-el is bevizsgáltatta, amelynek megfelelt. Ez azt jelenti,hogy ez a tárház Nagy-Britanniában használható akár bizalmas intézményi adatok tárolására is.

Mi garantálja,hogy be is tartják a kapott minősítés szerinti kritériumokat?
Volt szerencsém a Microsoft Magyarország egyik vezető beosztású emberével erről beszélgetni.(Név nélkül és nem hivatalosan.). Ő elmondta, hogy az adatbiztonságot folyamatosan auditálják. Továbbá a szervereket úgy kell elképzelni,hogy hatalmas konténerekben vannak. Ezek a konténerek amíg adatokat tárolnak addig megbonthatatlanok, ezzel garantálva a fizikai hozzáférhetetlenséget az adatokhoz. Meghibásodás esetén sem bontják meg azonnal(!), hanem kiemelik a konténert és egy másikat raknak a helyére, majd ha a kiemelt konténer teljesen kiürült, adatokat nem tartalmaz már(auditált folyamat), akkor bontják meg és a hibás egységeket cserélik.Az ISO27001:2005 pedig a third-party access kizárását garantálja. Ezenfelül fontos még megemlíteni, hogy a GAE(Google App Engine) sikeresen teljesítette a SAS70 Type II, SSAE 16 Type II, és ISAE 3402 Type II szabványokat is.

Az adattárházak földrajzi elhelyezésének a kiválasztása nem egy véletlenszerű folyamat. Az adott államok törvényi lehetőségeit figyelembe véve helyezték el őket. Pl.: Microsoft esetén a BIS Certification garantálja, hogy a West Europe térségbe tartozó adattárházak tartalma, semmilyen, az érintett bevonása nélküli ,eljárás során nem vizsgálhatóak(amennyiben a tulajdonos nem adott hozzáférést semmilyen formában 3. félnek[vagy nem tanusított 4. fél], így esetleges illegális tartalom megosztása már kizárja ezt, hiszen az adatainkat mások számára is elérhetővé tettük, tehát büntethető), csak alapos gyanú és megfelelő számú bizonyíték esetén az érintett bevonosával(!) bírósági úton teljesíthető a követelés, de jelen esetben állami tulajdonú adatokról beszélve, az eljárás ugyanaz, mintha privát cloud(tehát lokális infrastruktúra) esetében történne a visszaélés.

Amvel a cikk nem foglalkozik eléggé: SLA(Service Level Agreement)
Ezzel kapcsolatban nem szeretnék sokat írni(így is jó hosszú lett ). Akit érdekel(szerintem elég meggyőző): http://www.google.com/apps/intl/en/terms/sla.html