Det finns otaliga fördelar för jurister att kunna arbeta och samarbeta på distans i molnet, men det är viktigt att också vara medveten om de säkerhetsutmaningar och sårbarheter som är förknippade med molntekniken. Ett säkerhetsbrott eller underlåtenhet att uppfylla specifika efterlevnadsriktlinjer kan potentiellt utsätta dig och ditt team för betydande juridiska och ekonomiska problem, för att inte tala om potentiella driftstopp och förlust av kundernas förtroende.

Den goda nyheten är att många välrenommerade molntjänstleverantörer erbjuder sina användare möjligheten att förlita sig på eller "ärva" de inbyggda säkerhets- och efterlevnadskontroller som redan finns i leverantörens applikationsinfrastruktur. För att bättre hjälpa dig och ditt juridiska team att göra rätt val av molntjänstleverantörer har vi identifierat 16 standarder, certifieringar, revisionsrapporter, regler och intyg, samt amerikanska och internationella lagar, som indikatorer på att ditt arbete med enskilda molntjänstleverantörer är säkert, tryggt och efterlevt. Ju fler av dessa "kontrollpunkter" din leverantör uppfyller eller följer, desto bättre är de rustade att ha säkerhets- och efterlevnadskontroller på plats som gynnar och skyddar deras molnkunder, inklusive ditt juridiska team.

16 efterlevnads- och säkerhetskontroller att leta efter hos en molntjänstleverantör

Denna lista över efterlevnads- och säkerhetskontroller omfattar den globalt erkända standard- och kontrollserien ISO 27000 från Internationella standardiseringsorganisationen (ISO) samt internationella standarder baserade i USA som inte bara är obligatoriska i sin ursprungliga delstat eller sitt ursprungliga land, utan som sedan dess har erkänts mer allmänt som viktiga säkerhetsriktmärken.

1. ISO 27001 specificerar krav för att upprätta, implementera, underhålla och kontinuerligt förbättra ett informationssäkerhetsledningssystem (ISMS) inom organisationen.
2. ISO 27017 ger vägledning om informationssäkerhetsaspekter av molntjänster och molnbaserad databehandling samt ytterligare implementeringsvägledning för relevanta kontroller som anges i ISO/IEC 27002.
3. ISO 27018 fastställer allmänt accepterade kontrollmål, kontroller och riktlinjer för genomförande av åtgärder för att skydda personligt identifierbar information (PII) i enlighet med integritetsprinciperna i ISO/IEC 29100 för den offentliga molnbaserade datormiljön.
4. ISO 27701 är en utvidgning av ISO/IEC 27001 som syftar till att förbättra det befintliga ISMS med ytterligare krav för att upprätta, implementera, underhålla och kontinuerligt förbättra ett system för hantering av personuppgifter (PIMS). Dessutom uppfyller kontrollerna i ISO 27701 många av kraven i EU:s allmänna dataskyddsförordning (GDPR), så certifiering enligt ISO 27701 kan också användas för att oberoende validera efterlevnaden av GDPR.
5. SOC-rapporter (Service Organization Controls) hjälper företag att skapa förtroende och tillit till sina processer och kontroller för tjänsteleverans. Detta uppnås genom detaljerad information och försäkran om en molntjänstleverantörs förmåga att följa vissa eller alla förtroendegrunder: säkerhet, tillgänglighet, integritet, behandling, integritet och konfidentialitet.
6. Federal Information Processing Standard (FIPS) (140-3) specificerar de säkerhetskrav som kryptografiska moduler måste uppfylla och är en viktig standard när det gäller starkt reglerade branscher. Det är viktigt att notera skillnaderna mellan FIPS 140-2, som uppfyller standarden för manipuleringssäkerhet , och FIPS 140-3, som uppfyller den högre standarden för manipuleringssäkerhet . Dessutom behandlar FIPS 140-2 endast säkerhetskrav efter färdigställande, medan FIPS 140-3 nu utvärderar säkerhetskrav i alla skeden av skapandet av kryptografiska moduler – design, implementering och slutlig driftsättning.
7. Federal Risk and Authorization Management Program (FedRAMP) är ett certifieringsprogram som omfattar hela den amerikanska regeringen och som tillhandahåller en standardiserad metod för säkerhetsbedömning, auktorisering och kontinuerlig övervakning av molnprodukter och -tjänster som tillhandahålls till myndigheter, leverantörer och kunder.
8. Export Administration Regulations (EAR) är exportkontrollbestämmelser som förvaltas av olika avdelningar inom den amerikanska regeringen, till exempel det amerikanska handelsdepartementet, som administrerar EAR för att reglera exporten av produkter med dubbla användningsområden, inklusive teknisk data och teknisk assistans, som är avsedda för kommersiella ändamål men som kan ha militära tillämpningar, såsom datorer, flygplan och patogener.
9. Kraven och bestämmelserna i Defense Federal Acquisition Regulation Supplement (DFARS) syftar till att garantera integriteten hos kontrollerad icke-klassificerad information (CUI), eller känslig information som tillhör den amerikanska regeringen och som tredje parter såsom leverantörer, partners och branschorganisationer kan inneha eller använda.
10. Federal Information Security Management Act (FISMA) är en amerikansk lag som fastställer ett ramverk för riktlinjer och säkerhetsstandarder för att skydda myndigheters information och verksamhet.
11. Health Insurance Portability and Accountability Act (HIPAA) definierar nationellt standardiserade integritetsskydd för patienters journaler och annan hälsoinformation som tillhandahålls och hanteras främst av sjukförsäkringsbolag, läkare, sjukhus och andra vårdgivare i USA. Den kan dock även tillämpas på arbetsgivare som erbjuder gruppförsäkringar och alla företag eller individer som tillhandahåller tjänster till läkare, vårdgivare och försäkringsbolag.
12. SEC-regel 17a-4 gäller för amerikanska mäklare och andra relevanta parter som handlar med värdepapper eller fungerar som mäklare för handlare, inklusive banker, värdepappersföretag och aktiemäklare, och kräver att de lagrar alla affärshandlingar under minst sex år på icke-omskrivbara och icke-raderbara medier, varav de första två åren på en lättillgänglig plats.
13. EU:s modellklausuler är standardiserade avtalsklausuler som används i avtal mellan tjänsteleverantörer och deras kunder för att säkerställa att alla personuppgifter som lämnar Europeiska ekonomiska samarbetsområdet överförs i enlighet med EU:s dataskyddslagar och uppfyller kraven i GDPR.
14. Australian Cyber Security Centre (ACSC) riktlinjer för molnsäkerhet informerar Commonwealth-enheter, molntjänstleverantörer (CSP) och bedömare inom Infosec Registered Assessors Program (IRAP) om hur man genomför en omfattande säkerhetsbedömning av CSP och deras tjänster.
15. Den allmänna dataskyddsförordningen (GDPR) reglerar hur företag ska skydda EU-medborgares personuppgifter och har blivit en referenspunkt för integritetslagstiftningen i många länder.
16. California Consumer Privacy Act (CCPA) är en delstatslag som syftar till att stärka integritetsrättigheter och konsumentskydd för invånare i den amerikanska delstaten Kalifornien.

Välj en molnlösning som prioriterar säkerhet och efterlevnad

Genom att välja att arbeta med en molntjänstleverantör som är certifierad enligt många av dessa olika standarder och regleringar kan du lita på eller "ärva" de efterlevnads- och säkerhetskontroller som krävs enligt dessa standarder och lagar. Din organisations ledning, ditt juridiska team och dina kunder kan vara säkra på att dina data är i trygga och kompetenta händer.

NetDocuments är en molnbaserad lösning som är utvecklad med jurister i åtanke. Den ger dig och ditt team de strikta säkerhets- och efterlevnadskontroller som passar bäst för juridiskt arbete, samtidigt som ni kan arbeta och samarbeta enkelt och effektivt.

För mer information om hur NetDocuments kan hjälpa dig att uppfylla efterlevnadskrav och kundkrav för att skydda känslig information, kontakta oss idag på (866) 638-3627 eller klicka här för att begära en demonstration.

Läs Davids originalartikel om detta ämne i International Legal Technology Associations sommarutgåva 2022 av Peer to Peer.