Er zijn talloze voordelen voor juridische professionals om op afstand in de cloud te kunnen werken en samenwerken, maar het is belangrijk om ook bewust te zijn van de bijbehorende beveiligingsuitdagingen en kwetsbaarheden die cloudtechnologie met zich meebrengt. Een inbreuk op de beveiliging of het niet naleven van specifieke nalevingsrichtlijnen kan u en uw team mogelijk blootstellen aan aanzienlijke juridische en financiële problemen, om nog maar te zwijgen van mogelijke downtime en het verlies van het vertrouwen van uw klanten.

Het goede nieuws is dat veel gerenommeerde cloudserviceproviders hun gebruikers de mogelijkheid bieden om te vertrouwen op of gebruik te maken van de ingebouwde beveiligings- en nalevingscontroles die al aanwezig zijn in de applicatie-infrastructuur van de provider. Om u en uw juridische team te helpen bij het maken van de juiste keuze voor een cloudserviceprovider, hebben we 16 normen, certificeringen, auditrapporten, voorschriften en verklaringen geïdentificeerd, evenals Amerikaanse en internationale wetten, die u kunt gebruiken als indicatoren om te bepalen of uw samenwerking met individuele cloudserviceproviders veilig, betrouwbaar en compliant is. Hoe meer van deze 'controlapunten' uw leverancier voldoet of naleeft, hoe beter hij in staat is om beveiligings- en nalevingscontroles te implementeren die ten goede komen aan en bescherming bieden voor zijn cloudklanten, waaronder uw juridische team.

16 nalevings- en beveiligingsmaatregelen waar u op moet letten bij een cloudserviceprovider

Deze lijst met nalevings- en beveiligingscontroles omvat de wereldwijd erkende ISO 27000-normen en -controles van de Internationale Organisatie voor Standaardisatie (ISO), evenals internationale normen uit de VS die niet alleen vereist zijn binnen hun oorspronkelijke staat of land, maar sindsdien ook breder worden erkend als belangrijke beveiligingsbenchmarks.

1. ISO 27001 specificeert vereisten voor het opzetten, implementeren, onderhouden en continu verbeteren van een informatiebeveiligingsbeheersysteem (ISMS) binnen de context van de organisatie.
2. ISO 27017 biedt richtlijnen voor de informatiebeveiligingsaspecten van cloud computing en clouddiensten, evenals aanvullende implementatierichtlijnen voor relevante controles die zijn gespecificeerd in ISO/IEC 27002.
3. ISO 27018 stelt algemeen aanvaarde controledoelstellingen, controles en richtlijnen vast voor het implementeren van maatregelen ter bescherming van persoonlijk identificeerbare privacygegevens (PII) in overeenstemming met de privacyprincipes in ISO/IEC 29100 voor de openbare cloud computing-omgeving.
4. ISO 27701 is een privacy-uitbreiding op ISO/IEC 27001, ontworpen om het bestaande ISMS te verbeteren met aanvullende vereisten voor het opzetten, implementeren, onderhouden en continu verbeteren van een Privacy Information Management System (PIMS). Bovendien voldoen de controles in ISO 27701 aan veel van de vereisten in de Algemene Verordening Gegevensbescherming (AVG) van de EU, zodat certificering volgens de ISO 27701-controles ook kan worden gebruikt om onafhankelijk de naleving van de AVG te valideren.
5. Service Organization Controls (SOC) -rapporten helpen bedrijven om vertrouwen te wekken in hun dienstverleningsprocessen en controles. Dit wordt bereikt door middel van gedetailleerde informatie en garanties over het vermogen van een cloudserviceprovider om zich te houden aan enkele of alle vertrouwensprincipes: beveiliging, beschikbaarheid, privacy, verwerking, integriteit en vertrouwelijkheid.
6. De Federal Information Processing Standard (FIPS) (140-3) specificeert de beveiligingsvereisten waaraan cryptografische modules moeten voldoen en is een cruciale norm voor sterk gereguleerde sectoren. Het is belangrijk om het verschil te weten tussen FIPS 140-2, die voldoet aan de norm voor fraudebestendigheid , en FIPS 140-3, die voldoet aan de strengere norm voor fraudebestendigheid . Bovendien heeft FIPS 140-2 alleen betrekking op beveiligingsvereisten na voltooiing, maar FIPS 140-3 beoordeelt nu de beveiligingsvereisten in alle stadia van het maken van cryptografische modules: ontwerp, implementatie en uiteindelijke operationele inzet.
7. Het Federal Risk and Authorization Management Program (FedRAMP) is een certificeringsprogramma van de Amerikaanse overheid dat een gestandaardiseerde aanpak biedt voor beveiligingsbeoordeling, autorisatie en continue monitoring van cloudproducten en -diensten die worden geleverd aan overheidsinstanties, leveranciers en klanten.
8. Export Administration Regulations (EAR) zijn exportcontrolevoorschriften die worden beheerd door verschillende departementen van de Amerikaanse overheid, zoals het Amerikaanse ministerie van Handel, dat EAR beheert om de export te reguleren van "dual-use"-artikelen, waaronder technische gegevens en technische bijstand, die zijn ontworpen voor commerciële doeleinden maar ook militaire toepassingen kunnen hebben, zoals computers, vliegtuigen en pathogenen.
9. De vereisten en voorschriften van de Defense Federal Acquisition Regulation Supplement (DFARS) zijn bedoeld om de integriteit te waarborgen van Controlled Unclassified Information (CUI), oftewel gevoelige informatie die eigendom is van de Amerikaanse overheid en die door derden, zoals leveranciers, partners en brancheorganisaties, kan worden bewaard of gebruikt.
10. De Federal Information Security Management Act (FISMA) is Amerikaanse wetgeving die een kader vaststelt voor richtlijnen en beveiligingsnormen ter bescherming van overheidsinformatie en -activiteiten.
11. De Health Insurance Portability and Accountability Act (HIPAA) definieert nationaal gestandaardiseerde privacybescherming voor medische dossiers van patiënten en andere gezondheidsinformatie die voornamelijk wordt verstrekt aan en beheerd door zorgverzekeraars, artsen, ziekenhuizen en andere zorgverleners in de VS. De wet kan echter ook van toepassing zijn op werkgevers die collectieve zorgverzekeringen aanbieden en op bedrijven of personen die diensten verlenen aan artsen, zorgverleners en verzekeringsmaatschappijen.
12. SEC-regel 17a-4 is van toepassing op Amerikaanse broker-dealers en andere relevante partijen die effecten verhandelen of als makelaar voor handelaren fungeren, waaronder banken, effectenbedrijven en effectenmakelaars, en verplicht hen om alle bedrijfsdocumenten gedurende een periode van ten minste zes jaar op te slaan op niet-herschrijfbare en niet-wisbare media, waarbij de eerste twee jaar op een gemakkelijk toegankelijke plaats moeten worden bewaard.
13. De EU-modelclausules zijn gestandaardiseerde contractuele clausules die worden gebruikt in overeenkomsten tussen dienstverleners en hun klanten om ervoor te zorgen dat alle persoonsgegevens die de Europese Economische Ruimte verlaten, worden overgedragen in overeenstemming met de EU-wetgeving inzake gegevensbescherming en voldoen aan de AVG-vereisten.
14. De richtlijnen voor cloudbeveiliging van het Australian Cyber Security Centre (ACSC) informeren Commonwealth-entiteiten, cloudserviceproviders (CSP's) en beoordelaars van het Infosec Registered Assessors Program (IRAP) over hoe ze een uitgebreide beveiligingsbeoordeling van CSP's en hun diensten kunnen uitvoeren.
15. De Algemene Verordening Gegevensbescherming (AVG) regelt hoe bedrijven de persoonsgegevens van EU-burgers moeten beschermen en is voor veel landen de maatstaf voor privacywetgeving geworden.
16. De California Consumer Privacy Act (CCPA) is een staatswet die bedoeld is om de privacyrechten en consumentenbescherming voor inwoners van de Amerikaanse staat Californië te verbeteren.

Kies een cloudoplossing die veiligheid en naleving vooropstelt

Door te kiezen voor een cloudserviceprovider die is gevalideerd als zijnde in overeenstemming met veel van deze verschillende normen en voorschriften, kunt u vertrouwen op of 'erfgenaam' worden van de daaruit voortvloeiende nalevings- en beveiligingsmaatregelen die door die normen en wetten worden vereist. Het management van uw organisatie, uw juridische team en uw klanten kunnen erop vertrouwen dat uw gegevens in veilige en bekwame handen zijn.

Als native cloudoplossing die speciaal is ontworpen voor juridische professionals, biedt NetDocuments u en uw team de strenge beveiligings- en nalevingscontroles die het meest geschikt zijn voor juridisch werk, terwijl u toch gemakkelijk en efficiënt kunt werken en samenwerken.

Neem vandaag nog contact met ons op via (866) 638-3627 of klik hier om een demo aan te vragenvoor meer informatie over hoe NetDocuments u kan helpen bij het nakomen van nalevingsverplichtingen en klantmandaten om gevoelige informatie te beschermen.

Lees Davids originele artikel over dit onderwerp in de zomereditie 2022 van Peer to Peer magazine.