企業(yè)被令人擔(dān)憂的不斷增長(zhǎng)的合規(guī)要求所包圍，從SOX法案、PCI DSS標(biāo)準(zhǔn)到HIPAA法案/HITECH法案（Health Information Technology for Economic and Clinical Health ）以及聯(lián)邦貿(mào)易委員會(huì)（FTC）的紅旗準(zhǔn)則（Red Flags Rules）。同時(shí)，隨著可供選擇的云服務(wù)提供商的數(shù)量不斷增長(zhǎng)，企業(yè)有許多的選擇權(quán)，當(dāng)然有關(guān)云計(jì)算合規(guī)遵從也有許多需要考慮的問題。

盡管遷移服務(wù)到云上可能會(huì)有很多好處，但這也沒有免除企業(yè)的某些責(zé)任。值得注意的是，企業(yè)仍然被要求遵從各式各樣的合規(guī)和法律，似乎服務(wù)仍然位于公司的內(nèi)部。

在一些情形下，正如PCI DSS標(biāo)準(zhǔn)那樣，有一個(gè)明顯的趨勢(shì)是通過外包某些服務(wù)來減少公司的合規(guī)遵從范圍。值得注意的是，通過大規(guī)模地外包信用卡處理流程給某個(gè)第三方提供商，公司的PCI范圍會(huì)顯著地縮?。ūM管沒有完全地消失）。不過，聯(lián)邦貿(mào)易委員會(huì)的紅旗規(guī)則情況不是這樣，因?yàn)槁?lián)盟貿(mào)易委員會(huì)強(qiáng)制要求任何外包的服務(wù)必須保持和企業(yè)內(nèi)部實(shí)施情形下同等或更好的安全水平。

當(dāng)你開始評(píng)估遷移服務(wù)到云時(shí)，考慮幾個(gè)云計(jì)算合規(guī)遵從的問題十分重要：

1．遷移到云的數(shù)據(jù)是否會(huì)在任何合規(guī)或相關(guān)要求之下？這些數(shù)據(jù)包括如個(gè)人可識(shí)別信息（PII）、個(gè)人健康信息（PHI）或公司財(cái)務(wù)相關(guān)的信息。

2．如果這些問題一的答案是肯定的話，那么它在哪些合規(guī)要求的管轄之下以及需要什么控制措施？

3．云服務(wù)提供商是否真的能提供你組織數(shù)據(jù)所要求的認(rèn)可的或等同的控制？

4.云服務(wù)提供商是否有必要的策略、流程和規(guī)程來正確地維護(hù)這些控制？

5.供應(yīng)商是否具備恰當(dāng)?shù)臑?zāi)備恢復(fù)和業(yè)務(wù)持續(xù)性過程來滿足你的組織的業(yè)務(wù)需要？

6. 如果云服務(wù)提供商破產(chǎn)會(huì)發(fā)生什么？企業(yè)的數(shù)據(jù)會(huì)被當(dāng)作提供商的資產(chǎn)賣給債權(quán)人或進(jìn)行拍賣嗎？

7.  如果我決定更換服務(wù)提供商，是否容易使用可用的格式導(dǎo)出我的數(shù)據(jù)？

8.供應(yīng)商是否愿意修改它默認(rèn)的服務(wù)條款以便保證或者提供圍繞第3至第7個(gè)問題的服務(wù)級(jí)別協(xié)議（SLA）？

最后一個(gè)問題特別重要，因?yàn)樵S多云服務(wù)提供商拒絕簽署默認(rèn)合同以外的內(nèi)容。這樣一來，就把他們排除在數(shù)據(jù)相關(guān)服務(wù)的潛在合規(guī)遵從服務(wù)商之外了。好幾個(gè)合作要求，如最為人關(guān)注的HIPAA/HITECH法案及聯(lián)盟貿(mào)易委員會(huì)的準(zhǔn)則，特別要求企業(yè)必須和它的服務(wù)提供商簽署合同要求恰當(dāng)?shù)目刂啤⒘鞒毯鸵?guī)程來與每個(gè)合規(guī)的指導(dǎo)要求保持一致。

類似地，如果提供商無法滿足第3至第7個(gè)問題，應(yīng)該把它們從你組織的業(yè)務(wù)考慮列表上刪掉。無法滿足要求是個(gè)問題，特別當(dāng)面對(duì)PCI DSS標(biāo)準(zhǔn)和HIPAA/HITECH法案時(shí)。這樣一來，你會(huì)很快地發(fā)現(xiàn)可供選擇的云服務(wù)提供商是有效的，至少在短期來看是這樣。盡管有傳聞好幾個(gè)大型的云服務(wù)提供商致力于改造它們的系統(tǒng)來滿足這些合規(guī)要求。在健康醫(yī)療面有少數(shù)的云服務(wù)提供商已經(jīng)專門地建立應(yīng)用來滿足醫(yī)療行業(yè)的需要，但是我還沒有看到對(duì)這些應(yīng)用的任何安全性評(píng)估，從而可以判斷它們的有效性。

在此期間，我推薦你給正在評(píng)估的提供商發(fā)送上述問題，就像你會(huì)為任何其它的外包項(xiàng)目發(fā)送信息請(qǐng)求（RFI）那樣，選擇滿足你要求的最佳提供商。

如果沒有一家能滿足，評(píng)估移除或混淆相關(guān)數(shù)據(jù)的方法（例如在遷移數(shù)據(jù)到云之前對(duì)其進(jìn)行哈?；蛘呒用埽?，從而讓你的組織仍能從云獲得業(yè)務(wù)回報(bào)。