云计算中的数据机密性是企业关注的主要问题,但供应商往往缺乏详细信息。这是在采用服务之前要问的问题。每个人都应该担心成为互联网某处数据泄露的受害者。但组织也需要更多地关注他们“信任”的提供商如何使用他们的机密数据,尤其是与委托给云提供商存储设施的机密数据相关的文件。本文提供了云存储的背景知识,并提出了五个常识性问题,以向提供商询问有关云存储隐私以及他们如何使用客户数据的信息。由于Dropbox是一家知名提供商,它可以用来说明有关云中数据保护的一些要点,但请注意,这些观察结果也适用于许多其他云存储提供商,而不仅仅是Dropbox。典型的隐私政策因具体情况而异典型的云存储隐私政策通常使用大量词语来传达很少的有用信息。Dropbox隐私页面提供了2,000字的详细信息,但没有提供任何关于谁可以查看和使用企业数据的具体参考。事实上,很多隐私讨论都是关于Dropbox如何处理有关企业的信息,公司政策说明包括cookie、联系人和使用情况。但是客户数据的安全和隐私呢?举一个数据可用性如何工作的例子。用户甚至可以使用他们的用户ID和密码使用多重身份验证登录Dropbox。然后他们决定通过DropboxGUI与谁共享文件。此时,用户可能会认为未经明确许可,任何人都无法查看他们的Dropbox文件。但他们错了。首先,Dropbox报告称,从2018年7月到2018年12月,该公司送达了526份搜查令的内容。因此,虽然Dropbox使用256位高级加密标准来加密它存储的数据,但很明显它也拥有加密密钥。毕竟,如果企业没有密钥,就无法提供内容来响应搜查令。用户许可除了政??府法院命令外,Dropbox用户还通过接受服务条款(ToS)协议授予Dropbox广泛的许可。它的语言解释了企业如何为用户提供各种服务,例如文档预览和光学字符识别,但ToS说,“为了提供这些功能,Dropbox可以访问、存储和扫描企业资料。该许可扩展到我们的关系与合作成员和可信赖的第三方合作。”客户宝贵且机密的业务数据只是Dropbox的“东西”之一。Dropbox似乎能够在不违反接受服务条款(ToS)的情况下对数据做任何它需要的事情。向云存储提供商提出的数据保护问题如果不出意外,用户有权知道他们的数据文件是如何被使用的。如果“隐私和机密”只是一个泡沫,那么Dropbox和其他公司应该将其清除。这里有五个问题要问任何潜在的或当前的供应商,以确保云存储的隐私和安全。明确的答案将有助于企业更好地了解数据文件的真实性和机密性。(1)关于加密密钥:假设文件数据在存储设备上是加密的,谁可以访问加密密钥?(2)关于技术支持对数据文件的访问:技术支持(员工、承包商或第三方)是否有(3)关键字扫描:企业或任何第三方是否扫描或以其他方式处理数据文件?如果是这样,扫描过程中获得的信息将如何处理?(4)关于数据文件的复制:为了提供安全和冗余的服务,假设云计算提供商将企业的数据文件备份或复制到另一个位置或系统是否安全?如果是这样,采取了哪些控制措施来防止内部人员或第三方访问其数据文件的这些副本?(5)审计:业务部门如何审计有关未经授权内部访问客户数据文件的内部政策?在透明度页面上找到这些问题的任何明确答案。企业应确保在使用此类服务??之前进行研究。虽然不是特别出名,但一些云存储提供商,包括Tresorit、SpiderOak和pCloud,已经实施了零知识服务。这些云存储提供商在客户离开计算机之前对客户的数据文件进行加密。然后只能使用只有客户拥有的密钥来解密文件。
