企業(yè)被令人擔(dān)憂的不斷增長的合規(guī)要求所包圍，從SOX法案、PCI DSS標(biāo)準(zhǔn)到HIPAA法案/HITECH法案(Health Information Technology for Economic and Clinical Health )以及聯(lián)邦貿(mào)易委員會(FTC)的紅旗準(zhǔn)則(Red Flags Rules)。同時，隨著可供選擇的云服務(wù)提供商的數(shù)量不斷增長，企業(yè)有許多的選擇權(quán)，當(dāng)然有關(guān)云計算合規(guī)遵從也有許多需要考慮的問題。

　　盡管遷移服務(wù)到云上可能會有很多好處，但這也沒有免除企業(yè)的某些責(zé)任。值得注意的是，企業(yè)仍然被要求遵從各式各樣的合規(guī)和法律，似乎服務(wù)仍然位于公司的內(nèi)部。

　　在一些情形下，正如PCI DSS標(biāo)準(zhǔn)那樣，有一個明顯的趨勢是通過外包某些服務(wù)來減少公司的合規(guī)遵從范圍。值得注意的是，通過大規(guī)模地外包信用卡處理流程給某個第三方提供商，公司的PCI范圍會顯著地縮小(盡管沒有完全地消失)。不過，聯(lián)邦貿(mào)易委員會的紅旗規(guī)則情況不是這樣，因為聯(lián)盟貿(mào)易委員會強制要求任何外包的服務(wù)必須保持和企業(yè)內(nèi)部實施情形下同等或更好的安全水平。

　　當(dāng)你開始評估遷移服務(wù)到云時，考慮幾個云計算合規(guī)遵從的問題十分重要：

　　1.遷移到云的數(shù)據(jù)是否會在任何合規(guī)或相關(guān)要求之下?這些數(shù)據(jù)包括如個人可識別信息(PII)、個人健康信息(PHI)或公司財務(wù)相關(guān)的信息。

　　2. 如果這些問題一的答案是肯定的話，那么它在哪些合規(guī)要求的管轄之下以及需要什么控制措施?

　　3. 云服務(wù)提供商是否真的能提供你組織數(shù)據(jù)所要求的認可的或等同的控制?

　　4. 云服務(wù)提供商是否有必要的策略、流程和規(guī)程來正確地維護這些控制?

　　5. 供應(yīng)商是否具備恰當(dāng)?shù)臑?zāi)備恢復(fù)和業(yè)務(wù)持續(xù)性過程來滿足你的組織的業(yè)務(wù)需要?

　　6. 如果云服務(wù)提供商破產(chǎn)會發(fā)生什么?企業(yè)的數(shù)據(jù)會被當(dāng)作提供商的資產(chǎn)賣給債權(quán)人或進行拍賣嗎?

　　7. 如果我決定更換服務(wù)提供商，是否容易使用可用的格式導(dǎo)出我的數(shù)據(jù)?

　　8. 供應(yīng)商是否愿意修改它默認的服務(wù)條款以便保證或者提供圍繞第3至第7個問題的服務(wù)級別協(xié)議(SLA)?

　　***一個問題特別重要，因為許多云服務(wù)提供商拒絕簽署默認合同以外的內(nèi)容。這樣一來，就把他們排除在數(shù)據(jù)相關(guān)服務(wù)的潛在合規(guī)遵從服務(wù)商之外了。好幾個合作要求，如最為人關(guān)注的HIPAA/HITECH法案及聯(lián)盟貿(mào)易委員會的準(zhǔn)則，特別要求企業(yè)必須和它的服務(wù)提供商簽署合同要求恰當(dāng)?shù)目刂?、流程和?guī)程來與每個合規(guī)的指導(dǎo)要求保持一致。

　　類似地，如果提供商無法滿足第3至第7個問題，應(yīng)該把它們從你組織的業(yè)務(wù)考慮列表上刪掉。無法滿足要求是個問題，特別當(dāng)面對PCI DSS標(biāo)準(zhǔn)和HIPAA/HITECH法案時。這樣一來，你會很快地發(fā)現(xiàn)可供選擇的云服務(wù)提供商是有效的，至少在短期來看是這樣。盡管有傳聞好幾個大型的云服務(wù)提供商致力于改造它們的系統(tǒng)來滿足這些合規(guī)要求。在健康醫(yī)療面有少數(shù)的云服務(wù)提供商已經(jīng)專門地建立應(yīng)用來滿足醫(yī)療行業(yè)的需要，但是我還沒有看到對這些應(yīng)用的任何安全性評估，從而可以判斷它們的有效性。

　　在此期間，我推薦你給正在評估的提供商發(fā)送上述問題，就像你會為任何其它的外包項目發(fā)送信息請求(RFI)那樣，選擇滿足你要求的***提供商。

　　如果沒有一家能滿足，評估移除或混淆相關(guān)數(shù)據(jù)的方法(例如在遷移數(shù)據(jù)到云之前對其進行哈?；蛘呒用?，從而讓你的組織仍能從云獲得業(yè)務(wù)回報。