Dans le post précédent de cette série, nous avons discuté de la façon de qualifier les fournisseurs de cloud. Une fois ce processus terminé, la deuxième étape du maintien de la conformité consiste à documenter vos exigences réglementaires spécifiques dans un contrat avec le fournisseur de cloud, généralement sous la forme d'accords de niveau de service (SLA). Semblable aux sujets de qualification clés, vous souhaiterez des SLA de document dans les domaines suivants, notamment les engagements du fournisseur de cloud, ce qui se passe s'il ne respecte pas ces engagements et quelle partie – vous ou le fournisseur de cloud – est responsable de
Uptime / Downtime
- Quel est le pourcentage minimum de temps de disponibilité auquel vous pouvez vous attendre?
- Y a-t-il des moments précis où des temps d'arrêt sont prévus? Si oui, à quelle heure et à quelle fréquence?
- Si le temps d'arrêt dépasse le pourcentage convenu, serez-vous indemnisé d'une manière ou d'une autre?
- Si le système tombe en panne, à quelle vitesse le fournisseur de cloud s'engage-t-il?
Sauvegarde et restauration
- À quelle fréquence le fournisseur de cloud prend-il des sauvegardes? S'agit-il d'une mise en miroir en temps réel ou d'instantanés périodiques?
- À quelle vitesse les données perdues peuvent-elles être restaurées?
- Si l'une de vos données est perdue, serez-vous indemnisé? protéger proactivement la sécurité, et que fera-t-il si la sécurité est violée d'une manière ou d'une autre? Cela comprend: la sécurité physique, la cybersécurité (virus, piratage, phishing), le sabotage des employés, la fraude, le vol de données, etc.
Stockage de données
- Combien de temps vos données seront-elles conservées?
- Quel sera le coût du stockage, en particulier lorsque vous accumulez des données dans le temps?
Emplacement des données
- Où vont être stockées les données (y compris le pays)?
- être séparé des données d'autres sociétés ou être mélangé avec celles-ci?
Propriété des données
- À qui appartiennent les données (cela doit être vous, afin d'être conforme à la réglementation)? Ont-ils le droit de conserver une copie?
Surveillance des performances
- Quels seuils de performance le fournisseur de cloud utilise-t-il?
- Quel est son temps de réponse lorsqu'un seuil est franchi?
- A quel point la capacité est-elle ajoutée?
- Êtes-vous capable de recevoir des rapports sur les performances?
Résiliation du service
- Si vous devez vous séparer du fournisseur du cloud, êtes-vous capable de mettre fin à votre service sans pénalité?
- Comment allez-vous?
Gestion des défauts
- Quel est le processus d'escalade du fournisseur de cloud pour les défauts?
- À quelle vitesse s'engagera-t-il à résoudre le problème?
- Si une autre entreprise signale un défaut
Change Management
- Combien de préavis recevrez-vous lorsque des modifications (par exemple, correctifs, corrections de bogues, versions mineures, versions majeures) seront planifiées?
- Recevrez-vous un environnement de test dans avance du changement avec assez de temps t o testez et évaluez entièrement l'impact?
- Si vos tests révèlent des problèmes, auriez-vous la possibilité de conserver la version actuelle, ou au moins de retarder la mise à niveau jusqu'à ce que les problèmes soient résolus? Si la réponse à l'une de ces questions est non, le fournisseur de cloud pourrait ne pas convenir à des systèmes réglementés / validés (infrastructure, plateforme ou logiciel).
Conformité réglementaire
- Si l'une des réglementations en vigueur change, le fournisseur de cloud s'engage à faire en sorte que le système soit conforme avant la date d'entrée en vigueur des changements? Comme avec la gestion des changements, si le fournisseur de cloud n'est pas en mesure de prendre cet engagement, il peut ne pas être un choix approprié pour un système réglementé / validé.
Ce n'est pas une liste exhaustive, mais c'est un bon choix. début. Oh, et rappelez-vous que je ne suis pas avocat, donc rien de tout cela n'est un conseil juridique. J
Alors que nous terminons cette série (il ne reste plus que quelques messages!), Nous vous donnerons quelques conseils et bonnes pratiques ainsi qu'un résumé des points clés. Pendant que vous attendez, il vous suffit de remplir le formulaire ci-dessous pour télécharger notre guide complet sur la conformité au cloud.