המנמ"ר, המנכ"ל וספק הענן – החלטות, החלטות, החלטות

מאמר שני בסדרה

כשעזבנו לאחרונה את המנמ"ר, היועץ המשפטי טען, כי החוזה המוצע עם ספקית הענן השאיר את החברה שלנו אחראית על אבטחת ואמינות המידע הנשלח לחברת הענן (חברה אמריקנית, להזכירכם. הוא הוסיף כי יוצא שעל פי החוזה הנ"ל חברת הענן אינה אחראית לשום אבדן מידע או חוסר נגישות אליו והדגיש, כי החברה שלנו היא האחראית לציות לכל חוקי הגנת הפרטיות והגנת הנתונים. המנמ"ר יצא מהפגישה ההיא כפוף משהו וכמעט נתקל פיזית במנהל הכספים הראשי. הוא סיפר למנהל הכספים את מה שנאמר לו והלה השיב: "אה, עורכי דין! ראה, החיסכון הוא כל כך גדול כך שאנחנו חייבים להיות בענן. כולם בענף שלנו נמצאים שם, מנהלי יחידות העסקים שלנו רוצים זאת, אז תמצא דרך שזה יצליח". המנמ"ר חזר טרוד למשרדו והחל למפות את עץ ההחלטות שלו.

בשנת 2011, הכדאיות הכלכלית של הענן אינה מוטלת בספק. לומר זאת בפשטות, במיחשוב ענן המיחשוב קורה מחוץ לחברה דרך חיבור האינטרנט. כך נחסכים לחברה שרותי התמיכה, השדרוגים, הטלאות האבטחה ואולי המשמעותי ביותר, רכישה ותחזוקת שרתים על ידי החברה. אך תחילה, לפני שנוכל להתייחס לשאלות הטכניות והציות המשפטי, החברה צריכה להחליט איזה מידע היא רוצה לשלוח לענן. החלטה זו תשפיע על בחירת מודל מיחשוב הענן, שרותי הענן הדרושים וההגנות שהחברה תדרוש בחוזה ה-SLA (הגנות אלה ואיך לנהל מו"מ יהיו נושא המאמר השלישי בסדרה זו).

עץ ההחלטות של המנמ"ר שלנו מכיל את השאלות הבאות:

1.    מלבד חסכון בהוצאות, מדוע החברה עוברת למיחשוב הענן? האם זה יסייע לביצוע עסקאות דרך הענן (רכישות און-ליין, העברות מסחריות, תקשורת אלקטרונית וכו')? חלק מהחברות שולחות את כל המידע החיוני לענן וחלק שולחות רק אפליקציות מסוימות או מידע כגון דואר אלקטרוני.

2.    האם נגישות למידע דרושה 24 שעות 7 ימים בשבוע? מה המשמעויות הפוטנציאליות אם ספק הענן "נופל" והגישה למידע נעשית מוגבלת או סגורה למשך זמן מסוים?

עו"ד קנת' נ. רשבאום3.    מה רמת האבטחה הדרושה למידע היוצא? האם יש כאן זכות קניינית (כגון סוד מסחרי)? האם על פי החוקים המקומיים מדובר במידע רגיש? מה המשמעות של הפרת חוקים אלה על ידי ספק הענן? המשמעויות העסקיות לכך? התשובות לשאלות אלה ישפיעו על החלטת בחירת ספק הענן והמו"מ על רמת האבטחה במסגרת ה- SLA.

4.    האם יש מגבלות במדינת ישראל ו/או במדינות בהן החברה פועלת עסקית  על העברת מידע פרטי או מידע מוגן לספק ענן שיש לו שרתים במדינות שאינן מספקות רמה שווה של הגנת מידע ופרטיות? רובכם לא מודעים ואף יתפלאו מכך שרמת הגנת הפרטיות והמידע בארה"ב נמוכה מזו בישראל וגם ביחס למדינות רבות בעולם.

5.    אם יש מגבלות שכאלה, האם המידע יכול להיות מוצפן בהעברות אל הענן וממנו? האם תנועת המידע לספק הענן יכולה להיות מותאמת לדרישות הציות דרך חריגים שבחוק או אולי דרך הסכמי העברת המידע המספקים את ההגנות הנדרשות?

ההערכות לגבי סוגי המידע הנשלח לענן וההשלכות לגבי ה-SLA עם ספק הענן יחייבו ללא ספק תשומות של מנהלי העסקים, מערכות המידע, הכספים והמשפטיים של החברה. קבוצת עבודה זו צריכה לייעץ  בעניין הצבת הדרישות לספק הענן ומאוחר יותר בעניין ניהול מידע הנתונים בענן. חברות רב לאומיות או הפועלות במספר מדינות יכולות למצוא כמועיל ביותר את ההתייעצות עם יועץ מנוסה בחוקי שמירת הפרטיות והמידע באותן מדינות בהן לחברה יש מתקנים, סניפים או חברות בת וכן בייעוץ וליווי בניהול מו"מ עם ספקיות הענן (שרובן כאמור נמצאות בארה"ב).

חמוש בעץ ההחלטות הזה, המנמ"ר שלנו חוזר להציג את טיעוניו פעם נוספת לפני המנכ"ל והיועץ המשפטי.

פניות ותגובות יתקבלו בברכה בכתובת הדוא"ל הבאה.

* המידע הנכלל במאמר זה הינו בבחינת מידע כללי בלבד ואינו מהווה חוות דעת ו/או ייעוץ משפטי

עו"ד אמנון פיראן מתמחה בדיני מחשבים, ביטוח ובתחום שמירת הון לדורות. בנוסף, חבר עו"ד פיראן בוועדת הביטוח ו-ועדת הנזיקין של לשכת עורכי הדין בישראל.

עו"ד קנת' נ. רשבאום (Kenneth N. Rashbaum, Esq) מניו-יורק מייעץ לחברות רב לאומיות בנושאי ממשל המידע בתאגידים, התאמה לדרישות רגולטוריות בנושאי שמירת מידע ופרטיות, גילוי וחשיפת מידע אלקטרוני וייצוג מוסדות, ארגונים וחברות בבתי משפט ומול ממשלות. בנוסף, משמש רשבאום כסגן בוועדת הטכנולוגיות ובוועדת שירותי המידע הבינלאומי במסגרת האגף הבינלאומי בלשכת עורכי הדין האמריקנית.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים