Juridisk, teknisk og kommersiell sjekkliste for inngåelse av skytjenester, IaaS, PaaS og lignende tjenester.
Legal, technical and commercial chechlist for contracting for cloud services, IaaS, PaaS and similar services.
Internet of things kristian foss slide share feb 2015
Software as a service og andre skytjenester - oversikt og sjekkliste
1.
2. Software as a service og andre skytjenester
Innovasjonsarkitekt Frank Lexberg
Advokat Kristian Foss
Det årlige IKT-rettskurset 2016, Juristenes utdanningssenter
Sandefjord, 4. mars 2016
3. Skytjenester i dag og i morgen
Dagens prioriteter:
Enkle løsninger, og de første seriøse steg…
Trender og skytjenester om noen år:
Komplekse integrerte løsninger, AI/analyse,
IOT….kjerneløsninger... Dagens kunder som
leverndører av SaaS til sine kunder….
4. Involverte ved innkjøp av skytjenester
Data
Forretn.enhet
Konsepteier
It - innkjøp
kontrakt
JuridiskIt-
sikkerhet
Risiko-
analyse
5. SaaS-model fra bank
IT anskaffelser Drift
Termi-
nering
Forr. enh. Hendelse
Bruker admin. overvåking
Risikovurdering
Incident
Uautorisert bruk
Rapport
Kontrakt prosjekt
Skykonsepteier
Juridisk
Sikkerhetsansvarlig
Risiko ansvarlig
Tar avgjørelser basert på:
Vedtatte retningslinjer
Kategorisering av informasjon
Sjekklister
6. Livsløp skytjenester og SaaS
Risikoanalyse
Leverandør-
analyse
Juridisk
analyse
Sikkerhet
Analyse/tiltak
Drift/guides
Overvåkning
Kontrakt
11. Implementasjon og drift
❏ Får kunden implementasjonsbistand?
❏ Konfigureringsbistand?
❏ Krav ved migrasjon av gamle systemer?
❏ Behov opplæring?
❏ Prøve og akseptanseperiode?
❏ Integrasjon egne systemer?
❏ Muligheter for audits og overvåking under drift?
❏ Kostnader ovennevnte?
12. Beredskap og katastrofe
❏Hvilke systemer har leverandøren?
❏Hvilke systemer kan du etablere?
❏Speiling annet datasenter mulig?
❏Risiko konkurs - forskjell stor og liten?
❏Escrow relevant?
13. Vurdering leverandørkandidater
❏Risikovurdering
❏ Infrastruktur og underleverandører?
❏ Se eget punkt om informasjonssikkerhet
❏Referanser?
❏Sikkerhetssertifiseringer?
❏Stabilitet?
❏Åpne standarder?
❏Revisjon
❏ Tredjepart?
❏ Tilgang egen revisor?
❏Pris og prisstruktur?
14. Forhandling av avtale
Rett forhandlingsspor?
Mentale utgangspunkter
Plassering risiko
Ansvar og mellomrisiko
Villig etterleve lovkrav?
Avtaleplikt vs. løfter
Gir garanti geo-plassering?
15. Eksempel AWS-vilkår - geoplassering
AWS Customer Agreement
“We will not move Your Content
from your selected AWS regions
without notifying you, unless
required to comply with the
law or requests of governmental
entities.”
AWS Enterprise Agreement
“AWS will not [...] (b) move
Customer Content from the AWS
regions Selected by Customer [...]
except [...] as necessary to maintain
[or provide] the Service Offerings,
[....] comply with the law or [...]
order of agovernmental or
regulartory body (such as a
subpoena or cort order).”
16. Samarbeidsforhold
❏Tilgang til ledelsen hos leverandør?
❏Selvbetjeningsverktøy?
❏SLA og bot?
❏Fakturering?
❏Rapportering av tjenestenivå og annet?
❏Referanser?
19. Oppfølging
❏ Mot avtale
❏ Jevnlig kontakt leverandør
❏ Følge med på info og endringsvarsler
❏ Teste backup og speiling
❏ Vurder forsikringsdekningen løpende
22. Aktuelle lenker
CSA Alliance: Gir god forståelse av områder som kan være
problematiske ved bruk av skytjenester.
https://downloads.cloudsecurityalliance.org/initiatives/pla/Priva
cy_Level_Agreement_Outline.pdf
https://cloudsecurityalliance.org/group/security-guidance/