黑帽研究人员:SaaS数据缺乏法律保护

日期: 2009-08-02 来源:TechTarget中国 英文

  正在使用SaaS服务的企业应该当心了,因为他们的SaaS数据是不受法律保护的,政府和民事调查机构可以搜查他们的SaaS服务提供商并扣押这些数据,而且事先不会通知企业,黑帽大会的研究人员披露说。

  “在云计算中,企业在数据被扣押之前根本无能为力,”安全咨询公司iSEC合伙公司的联合创始人兼合伙人Alex Stamos说。“企业甚至可能根本就无从知悉此事。因为法律没有要求SaaS服务商有通知企业的义务。事实上,很有可能是不允许它们通知客户的。”

  Stamos所提及的SaaS模式是指企业的所有IT任务,从服务器到前端JavaScript软件都被托管在企业之外的情形。既然SaaS数据不在企业内部,所以它就可能没法受到美国宪法第四修正案的保护,该修正案拒绝无理的搜查和财产扣押。结果是,执法者只须凭一纸传票就可以扣押企业或个人托管在其SaaS服务商服务器上的数据,Stamos说。而执法部门要搞到一张船票可以说是不困难的。反倒是申请搜查证,多少还需要经过司法部门批准才行。

  Stamos是在上周四在拉斯维加斯举办的2009美国黑帽大会上介绍云计算模式及其缺陷时强调指出了这一问题的。他和他的同事Andrew Becherer和Nathan Wilcox一起考察了平台服务商和基础设施服务商所引发的各种安全问题。

  非盈利的言论自由与数字版权组织电子前沿基金会已开始考虑这个问题,并告诫说,“把你自己的数据存放在自己的电脑上——不要依赖云——是保护隐私信息最为安全的做法,搜查这样存放的数据一般是需要申请搜查证并预先通知的。”

  Stamos说他询问过Google,Google答复说,它们规定,在接受任何司法行动之前是会通知客户的。但是Stamos指出,在Google所提供的Google Docs和其他云计算服务的终端许可协议(EULA)条款中并未找到这样的条款。Google的隐私策略申明,公司将会与政府部门共享数据,以满足“任何适用法规、司法程序或执法部门的要求。”

  “根据法律条文,不管律师们怎么说,机器的实际拥有者才是最重要的,”Stamos说。

  此外,大多数SaaS和云服务商的EULA协议根本没有向客户承诺任何东西。Stamos极力主张客户在与SaaS厂商签订服务协议时,务必要求服务商在涉及数据泄漏、数据丢失或其他需要恢复数据的灾难性事件中书面承诺可提供帮助。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

相关推荐