Det finnes utallige fordeler for jurister å kunne jobbe og samarbeide eksternt i skyen , men det er også viktig å være klar over de tilhørende sikkerhetsutfordringene og sårbarhetene som følger med skyteknologi. Et sikkerhetsbrudd eller manglende overholdelse av spesifikke samsvarsretningslinjer kan potensielt sette deg og teamet ditt i fare for betydelige juridiske og økonomiske problemer, for ikke å nevne potensiell nedetid og tap av tillit fra klientene dine.

Den gode nyheten er at mange anerkjente leverandører av skytjenester tilbyr brukerne sine muligheten til å stole på eller «arve» de innebygde sikkerhets- og samsvarskontrollene som allerede finnes i leverandørens applikasjonsinfrastruktur. For å bedre hjelpe deg og ditt juridiske team med å ta det riktige valget av leverandører av skytjenester, har vi identifisert 16 standarder, sertifiseringer, revisjonsrapporter, forskrifter og attester, samt amerikanske og internasjonale lover, å se etter som indikatorer på at arbeidet ditt med individuelle leverandører av skytjenester er trygt, sikkert og i samsvar med regelverket. Jo flere av disse «sjekkpunktene» leverandøren din oppfyller eller overholder, desto bedre posisjonert er de til å ha sikkerhets- og samsvarskontroller på plass for å være til fordel for og beskytte sine skykunder, inkludert ditt juridiske team.

16 samsvars- og sikkerhetskontroller å se etter hos en skytjenesteleverandør

Denne listen over samsvars- og sikkerhetskontroller inkluderer den globalt anerkjente ISO 27000-familien av standarder og kontroller, samt USA-baserte internasjonale standarder som ikke bare er påkrevd i sin opprinnelige stat eller land, men som siden har blitt anerkjent bredere som viktige sikkerhetsstandarder.

1. ISO 27001 spesifiserer krav for etablering, implementering, vedlikehold og kontinuerlig forbedring av et informasjonssikkerhetsstyringssystem (ISMS) innenfor organisasjonens kontekst.
2. ISO 27017 gir veiledning om informasjonssikkerhetsaspekter ved skytjenester og skytjenester, samt ytterligere implementeringsveiledning for relevante kontroller spesifisert i ISO/IEC 27002.
3. ISO 27018 etablerer allment aksepterte kontrollmål, kontroller og retningslinjer for implementering av tiltak for å beskytte personlig identifiserbar personverninformasjon (PII) i samsvar med personvernprinsippene i ISO/IEC 29100 for det offentlige skymiljøet.
4. ISO 27701 er en utvidelse av personvernstandarden til ISO/IEC 27001, utformet for å forbedre eksisterende ISMS med ytterligere krav for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et personverninformasjonsstyringssystem (PIMS). I tillegg adresserer kontrollene i ISO 27701 mange av kravene i EUs personvernforordning (GDPR), slik at sertifisering i ISO 27701-kontrollene også kan brukes til å uavhengig validere samsvar med GDPR.
5. SOC-rapporter (Service Organization Controls) hjelper bedrifter med å etablere tillit og trygghet i sine prosesser og kontroller for tjenestelevering. Dette oppnås gjennom detaljert informasjon og forsikring om en skytjenesteleverandørs evne til å overholde noen eller alle tillitsprinsippene: sikkerhet, tilgjengelighet, personvern, behandling, integritet og konfidensialitet.
6. Federal Information Processing Standard (FIPS) (140-3) spesifiserer sikkerhetskravene som må oppfylles av kryptografiske moduler, og er en kritisk standard når man har med strengt regulerte bransjer å gjøre. Det er viktig å merke seg forskjellene mellom FIPS 140-2, som oppfyller standarden for manipuleringssikkerhet , og FIPS 140-3, som oppfyller den høyere standarden for manipuleringssikkerhet . I tillegg adresserer FIPS 140-2 bare sikkerhetskrav etter fullføring, men FIPS 140-3 evaluerer nå sikkerhetskrav i alle stadier av opprettelsen av kryptografiske moduler – design, implementering og endelig driftsdistribusjon.
7. Federal Risk and Authorization Management Program (FedRAMP) er et amerikansk myndighetsomfattende sertifiseringsprogram som tilbyr en standardisert tilnærming til sikkerhetsvurdering, autorisasjon og kontinuerlig overvåking av skyprodukter og -tjenester levert til offentlige etater, leverandører og kunder.
8. Eksportadministrasjonsforskrifter (EAR) er eksportkontrollforskrifter som administreres av forskjellige avdelinger i den amerikanske regjeringen, for eksempel det amerikanske handelsdepartementet, som administrerer EAR for å regulere eksport av «dobbeltbruks»-varer, inkludert tekniske data og teknisk assistanse, som er utformet for kommersielle formål, men som kan ha militære anvendelser som datamaskiner, fly og patogener.
9. Krav og forskrifter i Defense Federal Acquisition Regulation Supplement (DFARS) er ment å garantere integriteten til kontrollert, uklassifisert informasjon (CUI), eller sensitiv informasjon som tilhører den amerikanske regjeringen, og som tredjeparter som leverandører, partnere og bransjeforeninger kan oppbevare eller bruke.
10. Federal Information Security Management Act (FISMA) er amerikansk lovgivning som definerer et rammeverk for retningslinjer og sikkerhetsstandarder for å beskytte offentlig informasjon og drift.
11. HIPAA (Health Insurance Portability and Accountability Act) definerer nasjonalt standardiserte personvernregler for pasienters medisinske journaler og annen helseinformasjon som gis til og administreres primært av helseforsikringer, leger, sykehus og andre helsepersonell i USA. Dette kan imidlertid også gjelde for arbeidsgivere som tilbyr gruppeforsikringer og enhver bedrift eller enkeltperson som tilbyr tjenester til leger, helsepersonell og forsikringsselskaper.
12. SEC-regel 17a-4 gjelder for amerikanske meglere og andre relevante parter som handler verdipapirer eller fungerer som meglere for tradere, inkludert banker, verdipapirforetak og aksjemeglerfirmaer, og krever at de lagrer alle forretningsdokumenter i en periode på minst seks år på ikke-omskrivbare og ikke-slettelige medier, hvor de to første årene skal oppbevares på et lett tilgjengelig sted.
13. EUs modellklausuler er standardiserte kontraktsklausuler som brukes i avtaler mellom tjenesteleverandører og deres kunder for å sikre at alle personopplysninger som forlater Det europeiske økonomiske samarbeidsområdet, overføres i samsvar med EUs personvernlover og oppfyller GDPR-kravene.
14. Veiledningen for skysikkerhet fra Australian Cyber ​​Security Centre (ACSC) informerer Commonwealth-enheter, skytjenesteleverandører (CSP-er) og vurderere i Infosec Registered Assessors Program (IRAP) om hvordan de skal utføre en omfattende sikkerhetsvurdering av CSP-er og deres tjenester.
15. Personvernforordningen ( GDPR ) regulerer hvordan bedrifter beskytter EU-borgeres personopplysninger, og har blitt den viktigste personvernloven i mange land.
16. California Consumer Privacy Act (CCPA) er en statlig lov som har som mål å styrke personvernrettighetene og forbrukerbeskyttelsen for innbyggere i den amerikanske delstaten California.

Velg en skyløsning som prioriterer sikkerhet og samsvar

Ved å velge å samarbeide med en skytjenesteleverandør som er validert for å overholde mange av disse ulike standardene og forskriftene, kan du stole på eller «arve» de resulterende samsvars- og sikkerhetskontrollene som kreves av disse standardene og lovene. Organisasjonens ledelse, ditt juridiske team og dine kunder kan være trygge på at dataene dine er i trygge og kompetente hender.

Som en innebygd skyløsning designet med juridiske fagfolk i tankene, gir NetDocuments deg og teamet ditt de strenge sikkerhets- og samsvarskontrollene som er best egnet for juridisk arbeid, samtidig som dere kan jobbe og samarbeide enkelt og effektivt.

For å lære mer om hvordan NetDocuments kan hjelpe deg med å oppfylle samsvarsforpliktelser og klientmandater for å beskytte sensitiv informasjon , kan du kontakte oss i dag på (866) 638-3627 eller klikke her for å be om en demonstrasjon .

Les Davids originale artikkel om dette emnet i International Legal Technology Associations sommerutgave av Peer to Peer magazine for 2022 .