每个人都应该担心成为互联网上某处数据泄露的受害者。但是组织还需要更加关注其“受信任”的提供程序如何使用其机密数据,尤其是与机密数据有关的文件,这些机密数据委托给云计算提供商的存储设施。
本文提供了有关云存储的背景知识,并提出了五个常识性问题,以询问提供商有关云存储隐私以及他们如何使用客户数据的信息。因为Dropbox公司是众所周知的供应商,所以可以用它来说明有关云平台中数据保护的一些要点,但是请注意,这些观察结果也适用于许多其他云存储供应商,不仅是Dropbox公司。
典型的隐私政策视具体情况而定
典型的云存储隐私策略通常使用大量词语来传达很少的有用信息。Dropbox隐私页面提供了2,000个字的详细信息,但未提供有关谁可以查看和使用企业的数据的任何特定参考。实际上,很多隐私讨论都是关于Dropbox如何处理企业的信息的,企业政策注释包括cookie,联系人和使用情况。
但是客户数据的安全性和隐私性呢?
以一个数据可用性如何工作为例。用户甚至可以使用多因素身份验证使用其用户ID和密码登录Dropbox。然后,他们决定通过DropboxGUI与谁共享文件。此时,用户可能会假设未经明确许可,没有人可以查看其Dropbox文件。但是他们错了。
首先,Dropbox报告称,从2018年7月到2018年12月,该公司提供了526份搜查令的内容。因此,尽管Dropbox使用256位高级加密标准对它存储的数据进行加密,但很显然它还拥有加密密钥。毕竟,如果企业没有钥匙,就无法提供内容以响应搜查令。
用户许可
除了政府法院的命令外,Dropbox用户通过接受服务条款(ToS)协议来授予Dropbox广泛的许可。其用语解释了企业如何为用户提供各种服务,例如文档预览和光学字符识别,但是ToS表示,“要提供这些功能,Dropbox可以访问、存储和扫描企业的东西。并且此许可扩展到我们与之合作的会员和受信任的第三方。”
客户的宝贵和机密的业务数据只是对Dropbox更多的“东西”。Dropbox似乎可以在不违反接受服务条款(ToS)的情况下完成数据所需的任何操作。
向云存储供应商提出的数据保护问题
如果没有其他要求,用户有权知道如何使用其数据文件。如果“私人和机密”只是一个泡沫,那么Dropbox和其他公司应该对此予以清除。
这里有五个问题要问任何潜在的或当前的供应商以确保云存储的隐私和安全性。明确的答案将帮助企业更好地了解数据文件的真实性和机密性。
(1) 关于加密密钥:假设文件数据已在存储设备上加密,谁可以访问加密密钥?
(2) 关于技术支持对数据文件的访问:技术支持(员工、承包商或第三方)是否有权访问企业存储在云服务中的文件?
(3) 关键字扫描:企业或任何第三方扫描还是以其他方式处理数据文件?如果是这样,如何处理在扫描过程中获得的信息?
(4) 关于数据文件的副本:为了提供安全冗余的服务,是否可以安全地假设云计算提供商将企业的数据文件备份或复制到另一个位置或系统?如果是这样,有什么控制措施可以阻止内部人员或第三方访问其数据文件的这些副本?
(5) 审核:企业如何审核有关未经授权对客户数据文件的内部访问的内部策略?
具体来说,对于Dropbox,无法在其各种隐私、服务条款或透明度页面中找到任何关于这些问题的明确答案。企业应确保在使用此类服务之前进行研究。
尽管不是特别知名,但包括Tresorit、SpiderOak和pCloud在内的一些云存储供应商已实现了零知识服务。这些云存储提供商在客户的数据文件离开其电脑之前对其进行加密。然后只能使用只有客户拥有的密钥来解密文件。
京公网安备 11010502049343号