Frage:
Sollten wir personenbezogene Daten auf Google Drive speichern?
epool
2015-10-12 19:24:52 UTC
view on stackexchange narkive permalink

Aus einer Reihe von Gründen, einschließlich der Fernzugriffsmöglichkeiten, möchte mein Unternehmen alle unsere Buchhaltungsunterlagen, Kontoanwendungen und Marketingmaterialien in die Apps for Work Drive von Google verschieben. Auf den ersten Blick klingt dies nach einer ziemlich schlechten Idee, aber ich habe weder das Wissen noch die Gründe aus erster Hand, um einen Fall dagegen zu argumentieren.

Die gespeicherten Informationen umfassen Bankinformationen, Namen und Adressen. sowie SSNs, meist in Form von PDF-Dokumenten.

Können wir unsere Dateien legal bei Google Drive hosten, das für die mit einer Zugriffsverletzung verbundenen Kosten verantwortlich ist und die Höhe des Risikos darstellt Lohnt sich die verbesserte Zugänglichkeit?

Vom Google-Support bereitgestellte Dokumente:

Es ist wahrscheinlich nicht wünschenswert, es so zu gestalten, dass der Zugriff auf ein einziges Google-Konto den Zugriff auf all diese Informationen ermöglicht, nur als erster Gedanke.
Hier in der Schweiz wäre dies aufgrund des Datenschutzgesetzes und der Tatsache, dass Dropbox Rechenzentren in den USA nutzt, illegal.
Jeder PC / Laptop / Smartphone, der Zugriff auf dieses Google Drive hat, ist haftbar.
Danke, das waren auch meine Gedanken. Ich habe auch auf einer EDU-Website gelesen, dass ein Problem aufgetreten ist, da wir nicht garantieren können, dass nur US-Mitarbeiter Zugriff auf die Dokumente haben. Ich habe jedoch keine harten Fakten
Ich gehe davon aus, dass Sie aufgrund der Verwendung von SSNs in den USA sind. Ich wette (obwohl kein Anwalt), dass es Beschränkungen für den Export von Daten in den USA gibt (sicherlich hier in Großbritannien). Sie müssten garantieren können, dass die Daten in den USA bleiben (möglicherweise im selben Bundesstaat, ich weiß nicht). Kurz gesagt, Sie benötigen einen Anwalt, um sicherzustellen, dass dies konform ist.
[Verwandte Frage] (http://security.stackexchange.com/questions/62599/what-are-some-considerations-before-moving-personal-data-to-google-drive)
Bitte bearbeiten Sie die Frage, um mehr Kontext hinzuzufügen. Wie unsere [Hilfe] sagt: "Welchen Hintergrund sollte ich in meiner Frage angeben? Sicherheit ist ein sehr kontextbezogenes Thema: Bedrohungen, die in Ihrer Umgebung als wichtig erachtet werden, können für andere Personen keine Rolle spielen und umgekehrt. [...] Um dies zu erreichen Die hilfreichsten Antworten, die Sie uns geben sollten: [..] "Bitte klären Sie auch, was genau Ihre Frage ist. Können Sie? Natürlich kannst du. Solltest du? Ich weiß es nicht; das klingt subjektiv - was sind die kriterien? Ist es sicher? Nichts ist sicher. Ist es sicher genug? Sie müssen uns mitteilen, was Sie für "sicher genug" halten.
IANAL, aber ich würde die [Nutzungsbedingungen] (http://www.google.com/policies/terms/) sehr sorgfältig lesen. Insbesondere: "Wenn Sie Inhalte zu oder über unsere Dienste hochladen, senden, speichern, senden oder empfangen, erteilen Sie Google (und denjenigen, mit denen wir zusammenarbeiten) eine weltweite Lizenz zur Nutzung, zum Hosting, Speichern, Reproduzieren, Ändern, Erstellen abgeleiteter Werke ( B. solche, die sich aus Übersetzungen, Anpassungen oder anderen Änderungen ergeben, die wir vornehmen, damit Ihre Inhalte besser mit unseren Diensten funktionieren, kommunizieren, veröffentlichen, öffentlich durchführen, öffentlich anzeigen und verbreiten. " Das darf mit PII nicht fliegen.
Dies hängt von der geltenden Gesetzgebung ab, aber normalerweise benötigen Sie zumindest einen ordnungsgemäßen Vertrag mit Google und nicht nur die Sache "Klicken Sie hier, um ein kostenloses Konto zu erstellen". In diesem Vertrag müssen sie sicherstellen, dass sie alle Ihre Anforderungen erfüllen (wie bereits erwähnt, wo die Daten gespeichert sind, aber möglicherweise auch wer darauf zugreifen kann).
Sie sollten sich nicht einmal die verbraucherorientierten Systeme ansehen. Cloud-Systeme "... for Business", bei denen es sich wahrscheinlich um kostenpflichtige Dienste handelt, sind eher konform und sicher. Ich würde nur eine halbe Meile von ihnen entfernt laufen, wenn es meine Entscheidung wäre.
Wahrscheinlich können Sie, aber wenn Sie dürfen (legal) ist eine andere Frage. Ob Sie sollten: wahrscheinlich nicht.
"Ich gehe davon aus, dass sie für körperliche Verstöße verantwortlich sind". Was bringt dich dazu, das zu denken? Und welche Art von "Verantwortung" erwarten Sie - was erwarten Sie von Google, nachdem sie verletzt wurden?
Wie würden Sie die Informationssicherheitskompetenz von Google im Vergleich zur Kompetenz Ihres Unternehmens ehrlich bewerten? Hier sind zwei wichtige Testfragen, die Sie Ihrem CISO stellen sollten: 1. Wie viele Tage benötigen Sie, um ein Eindringen oder ein Leck zu erkennen? 2. Wie viele Tage haben Sie damit verbracht, diese zu beheben? Vergleichen Sie mit der Antwort eines unabhängigen IS-Experten für Google Apps for Work. Es lohnt sich, einen unabhängigen IS-Experten zu beauftragen, um die Vorteile gegenüber Unannehmlichkeiten, Risiken, Auswirkungen und Kosten richtig abzuwägen.
Der Audit-Satz von Grant Tornton (in Audit & Certification Summary) "Logische Sicherheitskontrollen bieten hinreichende Sicherheit, dass der logische Zugriff auf Produktionssysteme auf autorisierte Personen beschränkt ist." verwendet ein zu schwaches Schlagwort "** vernünftige Sicherheit **", das mein Gehirn im Wahrscheinlichkeitswert nicht berechnen kann: NaN!
Acht antworten:
Jon Story
2015-10-12 19:36:48 UTC
view on stackexchange narkive permalink

Google Drive ist nicht mehr oder weniger sicher als jeder andere webbasierte Dienst mit einer einzigen Anmeldung. Ihr Unternehmen muss selbst entscheiden, ob es bereit ist, die Daten online zu stellen (wenn auch hinter der Authentifizierung von Google).

Zumindest würde ich empfehlen, dass

  1. 2- Die Faktorauthentifizierung wird verwendet.
  2. Alle Daten, die außerhalb des Unternehmens übertragen werden, werden verschlüsselt.
    3. ol>

    Google Drive ist vermutlich ziemlich sicher, aber wie wir bei iCloud gesehen haben, können (und tun) dies ) erhalten manchmal Zugriff auf Systeme, auf die sie nicht zugreifen können sollten.

    Ein Ratschlag, den mir ein Tutor an der Universität gab, war:

    Behandeln Sie alles, was nicht ist hinter Ihrer Firewall, als wäre es ein USB-Stift, den Sie gerade in einem Zug gelassen haben

    Bedeutung: Nehmen Sie an, dass er in die falschen Hände geraten könnte, und stellen Sie sicher, dass Sie ausreichend genommen haben Vorsichtsmaßnahmen, um es für sie nutzlos zu machen.

    (Tatsächlich bin ich ein Fan davon, Dinge, die hinter meiner Firewall sind, gleich zu behandeln ...)

    Bearbeiten

    So fügen Sie der Frage "Haftung" Folgendes hinzu:

    Dies hängt hauptsächlich davon ab, was in der Kontra angegeben ist cts, Vereinbarungen (EULA oder ToS usw.) usw. zwischen Ihnen und Google und möglicherweise Ihnen und Dritten, denen die Daten gehören. Beachten Sie, dass dies nicht nur Kunden / Kunden umfasst, sondern auch Ihre Mitarbeiter, wenn Sie deren personenbezogene Daten in der Cloud speichern. Dies kann also nicht nur finanzielle Probleme verursachen, sondern auch das Vertrauen der Mitarbeiter zerstören, wenn ein Verstoß vorliegt! Ihre Bank kann sich auch weigern, verlorenes Geld zu erstatten, wenn Bankdaten in der Cloud gespeichert sind, da dies als Fahrlässigkeit angesehen werden kann.

    Im Allgemeinen jedoch: sofern nicht ausdrücklich angegeben, mindestens einige Eine starke Haftung bleibt immer bei Ihnen. Eine gewisse Haftung kann oder kann nicht bei Google für Datenverletzungen usw. liegen, dies hängt jedoch von der Vereinbarung ab. Sie haften jedoch weiterhin für Daten Dritter, sofern Sie diese einem Dritten anvertrauen.

    Wenn es einen Datenverstoß gäbe, würde dies zu einer (wahrscheinlich sehr langen und langwierigen!) Rechtsfrage werden und sich darum drehen, ob entweder Google oder Sie selbst fahrlässig waren, welche Art von Vereinbarung Sie getroffen haben und ob Sie beide getroffen haben Alle angemessenen Schritte zum Schutz dieser Daten.

    Ich denke, der Kern Ihrer Frage lautet "Übernimmt Google die Verantwortung für die Sicherheit der Daten auf Google Drive?". Die Antwort lautet "Nein, wahrscheinlich nicht". . Aber ich bin kein Anwalt und spiele auch keinen im Fernsehen.

Vielen Dank, sehr guter Rat. Wir haben gerade die 2-Schritt-Authentifizierung aktiviert, da eines unserer Benutzerkennwörter nur kompromittiert wurde. Sie wollen immer noch vorwärts gehen, weil Google ihnen den zweistufigen Prozess sichergestellt hat, dass wir sicher sind.
Die 2-Faktor-Authentifizierung ist nützlich, um zu verhindern, dass Personen Ihr Passwort erraten. Dies hilft zwar erheblich bei der Hauptschwäche von Onlinediensten, tut jedoch nichts, wenn jemand, der böswillig ist, Zugriff auf den Speicher hinter Google Drive erhält (dh direkt in das Google-System eindringt). Wenn Sie vertrauliche Daten haben, sollten Sie diese trotzdem verschlüsseln.
Es ist auch erwähnenswert, dass es niemanden vor einem kompromittierten Gerät schützt, nachdem es authentifiziert wurde. Z.B. Jemand, der unsere Dokumente später auf einem Computer synchronisiert hat, wird infiziert oder kompromittiert.
Angesichts der aktuellen Sicherheitspraktiken würde ich sagen, dass Sie ALLES so sicher behandeln sollten wie auf einem Flash-Laufwerk, das Sie in einem Zug verloren haben. Firewalls retten Sie nicht nur auf magische Weise. Suchen Sie nicht weiter als Sony, die NSA, das US-Militär, Ashley-Madison und unzählige andere wichtige Daten, um dies zu belegen.
Dasselbe wird Google passieren, da sie nicht in der magischen Welt leben, in der eine Wahrscheinlichkeit von 0 besteht, oder?
Bei Google Drive gespeicherte Daten sind in der Tat "Daten, die außerhalb des Unternehmens übertragen werden".
@SteveSether - das war wirklich der Punkt meiner Aussage "Tatsächlich bin ich ein Fan davon, Dinge, die sich hinter meiner Firewall befinden, gleich zu behandeln ...": Nehmen wir an, jemand wird versuchen, Zugriff zu erhalten und so viel wie möglich zu tun, um dies zu erreichen ihre Zeit nicht wert.
@craig - das war etwas der Punkt meiner Antwort? Dass alles, was auf Google Drive platziert wird, verschlüsselt werden sollte
@JonStory Das Problem bei diesen Angriffen und bei der Verschlüsselung der Dateien mit einem beliebigen System, das dem Benutzer einen transparenten Zugriff auf die Dateien auf seinem eigenen Computer ermöglicht, besteht darin, dass jede Malware, die auf ihren Computer gelangt, auch einen transparenten Zugriff auf die Dateien erhält. Mit anderen Worten, das Verschlüsseln der Dateien ist nett, aber angesichts der tatsächlichen Art von Angriffen wie DropSmack und diesen Token-Manipulationsangriffen fast sinnlos.
Es stimmt, aber die Frage hier lautet: "Sollten wir unsere Daten auf Google Drive speichern?" Und nicht: "Sollten wir von zu Hause aus auf Google Drive zugreifen?" Beantworten Sie nur die direkte Frage. Sicherlich gibt es zusätzliche Bedenken, wenn das GDrive dann mit anderen externen Computern synchronisiert wird, obwohl dies nicht anders ist als bei jeder anderen Methode, die Dateien auf einen Heimcomputer zu übertragen
mucaho
2015-10-13 00:04:55 UTC
view on stackexchange narkive permalink

Diese Antwort bezieht sich möglicherweise nicht direkt auf Ihre Frage, wer für Datenlecks haftbar gemacht wird.

Ich würde keine unverschlüsselten, vertraulichen Daten auf Google Drive speichern, selbst wenn sie Ihre Daten nur zum ihre Dienste betreiben, fördern und verbessern . Aus den Nutzungsbedingungen von Google:

Wenn Sie Inhalte zu oder über unsere Dienste hochladen, senden, speichern, senden oder empfangen, geben Sie Google (und die, mit denen wir arbeiten) ) eine weltweite Lizenz zum Verwenden, Hosten, Speichern, Reproduzieren, Ändern, Erstellen von abgeleiteten Werken (z. B. aus Übersetzungen, Anpassungen oder anderen Änderungen, die wir vornehmen, damit Ihre Inhalte besser mit unseren Diensten funktionieren), zum Kommunizieren, Veröffentlichen und öffentlichen Aufführen , solche Inhalte öffentlich anzeigen und verbreiten. Die Rechte, die Sie in dieser Lizenz gewähren, dienen dem begrenzten Zweck, unsere Dienste zu betreiben, zu fördern und zu verbessern sowie neue zu entwickeln.

Toller Fund! Dies ist ein gutes Argument für sich. Insbesondere dieser Teil gibt Anlass zu großer Sorge:> Zeigen Sie solche Inhalte öffentlich an und verbreiten Sie sie
@edward.pool Es gibt andere Cloud-Speicheranbieter, die behaupten, Ihre Daten auf Ihrem PC zu verschlüsseln, bevor sie sie in ihre Cloud hochladen, z. [MEGA] (https://mega.nz/#info).
Vielen Dank, das ist sehr nützlich. Ich habe auch über andere Lösungen gelesen, um die Dateien vor dem Speichern zu verschlüsseln und später wie [boxcryptor] anzuzeigen (https://www.boxcryptor.com/de/google-drive).
Würden die Nutzungsbedingungen erfüllt, wenn Google Ihre Daten entschlüsselt (d. H. "Übersetzt / angepasst / geändert / ein abgeleitetes Werk erstellt"), solange sie dies für ihre "begrenzten" Zwecke tun? "Oh, wir haben Ihre entschlüsselten Daten an das X weitergegeben, damit sie unseren Zugang zu Y nicht einschränken. Wir brauchen wirklich Zugang zum Y-Markt. Könnte eine teure Lektion / Klage sein, um das herauszufinden.
@JS. Wie Sie sagten, hängt davon ab, wie Sie den Umfang ihres unbegrenzten Zwecks interpretieren. Wahrscheinlich möchten Sie Ihre Daten jedoch sicher verschlüsseln, sodass sie sie mit den verfügbaren Ressourcen kaum entschlüsseln können
@mucaho, aber mit MEGA würde ich mir Sorgen machen, dass die Behörden sie und Ihre Daten damit entfernen.
@ChrisH Würden Sie näher erläutern, warum sie abgeschafft werden könnten?
MEGA ist der Nachfolger von Megaupload, das von den Behörden wegen Hosting von Urheberrechtsverletzungen abgeschaltet wurde. Sein Gründer ist immer noch ein Ziel für die Strafverfolgung aus diesem Fall. Ich schlage vor, dass sie trotz der Verwendung von Verschlüsselung anfälliger sind als Google und Microsoft, wenn die gesamte Website kurzfristig heruntergefahren wird. Schließlich können Benutzer, die Verschlüsselungsschlüssel verlieren, leicht nachweisen, was gehostet wird.
Seien Sie sich bewusst, dass sogar Dotcom sagt, Mega nicht mehr zu vertrauen. http://www.wired.co.uk/news/archive/2015-07/31/kim-dotcom-mega-3
@edward.pool: Die Klausel zum Veröffentlichen bezieht sich auf eine Funktion in Google Doc and Sheet, mit der Benutzer ein Dokument zur öffentlichen Ansicht veröffentlichen können. Google kann keine Dokumente ohne Ihre ausdrücklichen Berechtigungen veröffentlichen.
pedromendessk
2015-10-12 20:52:43 UTC
view on stackexchange narkive permalink

Das Speichern vertraulicher Daten außerhalb eines privaten Netzwerks ist immer ein Risiko.

Für böswillige Benutzer ist es viel einfacher, auf die Daten zuzugreifen. Mithilfe von Fangtechniken oder wenn Sie sich auf einem infizierten Computer in Ihrem Konto anmelden oder noch schlimmer, wenn Ihr Computer infiziert wird, kann ein böswilliger Benutzer auf Ihre Anmeldeinformationen zugreifen und diese für den Zugriff auf die Daten verwenden. Da Google-Server im Web verfügbar sind, ist es nicht schwierig, eine Verbindung herzustellen und Schaden anzurichten.

Wenn Sie die vertraulichen Daten in einem privaten Netzwerk aufbewahren, ist es immer schwieriger, auf die Daten zuzugreifen Wenn die böswilligen Benutzer über die Anmeldeinformationen verfügen, weil sie zuerst in Ihr Netzwerk eintreten müssten.

Um solche Situationen zu vermeiden, wird immer eine Zwei-Faktor-Authentifizierung empfohlen. Sofern der böswillige Benutzer keinen Zugriff auf Ihr physisches Gerät haben könnte, würde die Zwei-Faktor-Authentifizierung den Zugriff auf die Daten auch mit den Anmeldeinformationen erschweren.

Ein weiterer wichtiger Aspekt ist die Art und Weise, wie Sie die Informationen speichern. Ich würde empfehlen, die Informationen verschlüsselt zu speichern (Sie können Truecrypt ausprobieren), da auf diese Weise selbst dann, wenn jemand physischen Zugriff auf das Gerät erhalten oder aus irgendeinem Grund die Daten protokollieren und anzeigen könnte, diese nicht lesbar wären.
Und die Google-Richtlinien für hochgeladene Daten ermöglichen es ihnen, die Daten für verschiedene Zwecke (wie Werbung, Übersetzungen usw.) zu verwenden, sodass Sie es nie erfahren.

Steffen Ullrich
2015-10-12 20:18:20 UTC
view on stackexchange narkive permalink

Ich gehe davon aus, dass sie für physische Verstöße verantwortlich sind ...

Ich bezweifle, dass sie dafür verantwortlich sein werden, wie Sie es erwarten. Insbesondere bezweifle ich, dass sie alle Kosten decken würden, die durch den Verlust oder das Durchsickern dieser Daten entstehen. Sofern sie diese Kosten nicht ausdrücklich decken, liegt dies in erster Linie an Ihrem Problem, da Sie die Daten dort hochgeladen haben.

Sie können bei Ihrem Cyber-Versicherer nachfragen, ob sie diese Kosten übernehmen würden (ich hoffe, dass Sie eine solche haben Versicherung, wenn Sie mit solch sensiblen persönlichen Daten umgehen).

David-
2015-10-13 01:39:29 UTC
view on stackexchange narkive permalink

Verschlüsseln Sie die Daten, egal was passiert! Sensible Daten sollten sich nicht einmal in Ihrem eigenen Netzwerk befinden, ohne verschlüsselt und mit Zugriffskontrolle ausgestattet zu sein. Wenn es in erster Linie verschlüsselt ist, müssen Sie sich unter keinen Umständen weniger Sorgen machen. Vertrauen Sie nicht darauf, dass jemand anderes die Arbeit erledigt, die Sie eigentlich hätten erledigen sollen, und es geht mehr darum, sich selbst zu schützen. Abhängig von den Daten, die Sie übertragen, kann es illegal sein, sie unverschlüsselt zu übertragen und zu speichern. Und es sollte niemals unverschlüsselt außerhalb des Unternehmens sein. Wenn Sie es beispielsweise auf einem Laptop oder einem Flash-Laufwerk transportieren müssen, müssen diese Geräte verschlüsselt werden. Sie verlieren die Daten für unsachgemäße Praktiken.

Robert
2015-10-16 03:12:22 UTC
view on stackexchange narkive permalink

Richten Sie in Ihrem Unternehmen einen eigenen Server ein. Mein Schwiegervater arbeitete in einer Wirtschaftsprüfungsgesellschaft und richtete eigene Server für ihre Daten ein.

gr3y h47
2015-10-14 02:56:09 UTC
view on stackexchange narkive permalink

Auf der diesjährigen DefCon wurde bekannt, dass eine neue Art von Angriffsvektor namens MITC oder Man-In-The-Cloud verwendet wird, der bereits mehrere G-Drive- und DropBox-Konten gefährdet hat. Ich würde dringend davon abraten.

Fügen Sie bitte eine Referenz hinzu.
MITC ist seit der letzten DefCon bekannt. Ich bin mir nicht sicher, ob dies ein starker Grund ist, diese Daten nicht in der Cloud zu speichern - es gibt so viele andere bessere Gründe.
Greg
2015-10-15 00:16:16 UTC
view on stackexchange narkive permalink

Zusätzlich zu den obigen Kommentaren würde ich einen kleinen Leckerbissen hinzufügen. Die überwiegende Mehrheit der Cloud-Speicheranbieter verschlüsselt die Daten auf ihren Servern nicht "in Ruhe" für ihr "Standard" -Konsumentenangebot. Es gibt eine RIESIGE bemerkenswerte Ausnahme und dies ist "Box" (nicht Dropbox, nur "Box"; sie sind bei box.com). Sie sind nicht so billig wie Google Drive, aber die Tatsache, dass die Daten im Ruhezustand tatsächlich verschlüsselt sind, hat einen gewissen Wert. Dies könnte einige der Herausforderungen beim Verschlüsseln selbst verringern, bevor Sie es in der Cloud speichern.

Darüber hinaus verfügt der Dienst über eine HIPAA-kompatible Variante, die die Bedenken hinsichtlich des Datenschutzes mehr als befriedigen sollte. P. >

Weitere Informationen finden Sie hier: Box-Sicherheit und Datenschutz (Klicken Sie oben auf die Registerkarte Verschlüsselung, um weitere Einzelheiten zu erfahren.)

[Zitieren erforderlich] für "Die überwiegende Mehrheit der Cloud-Speicheranbieter verschlüsselt die Daten nicht" in Ruhe "".
Können Sie beschreiben, wie "Verschlüsselung in Ruhe" in einer Cloud-Umgebung bei dem in der Frage beschriebenen Problem hilft?
Dropbox verwendet anscheinend "Verschlüsselung in Ruhe": https://www.dropbox.com/business/trust/security/architecture
iCloud und Google Drive werden auch im Ruhezustand verschlüsselt (AES 128). OneDrive im Ruhezustand verschlüsselt, jedoch nur für Geschäftskunden.
Die Frage der Haftung ist eine komplexe Rechtsfrage, die stark von der Gerichtsbarkeit und dem staatlichen Recht abhängt. Aus Sicht der HIPAA (und ich erkenne, dass das OP nicht unbedingt eine verpflichtete Agentur ist) gibt es eine bestimmte Sprache in Bezug auf "Geschäftspartner", die ein Cloud-Anbieter möglicherweise in Betracht ziehen könnte. Von HHS: [Link] (http://www.hhs.gov/ocr/privacy/hipaa/understanding/summary/index.html) Siehe Abschnitt über Geschäftspartner im obigen Link.
Wenn das OP die Daten vor der Speicherung verschlüsselt, spielt die Verschlüsselung im Ruhezustand für den Dienstanbieter eine Rolle?
@schroeder natürlich nicht. Das größere Problem besteht darin, diese Verschlüsselung zu verwalten, bevor sie im Unternehmensmaßstab gespeichert wird. Box hat all diese Komplexität berücksichtigt, indem alle Zugriffskontrollen einschließlich 2-Faktor-Authentifizierung und mehr überlagert wurden.
@schroeder Ich kann nicht alle Cloud-Anbieter zitieren, die im Ruhezustand nicht verschlüsseln, auch weil nur sehr wenige von ihnen dies tatsächlich aufrufen. Diejenigen, die in Ruhe verschlüsseln, machen eine große Sache daraus. Folgendes verschlüsselt NICHT in Ruhe in ihrem normalen Verbraucherdienst: Google DriveMS OneDriveiCloud Drive
In Bezug auf die ursprüngliche Frage des OP ist das Speichern dieser Dokumente in der Cloud von Natur aus nicht illegal. Die Haftung wird teilweise durch "Due Diligence" bestimmt. Durch die Auswahl eines Cloud-Anbieters, der Verschlüsselung während des Transports und in Ruhe, physische Kontrollen des Rechenzentrums, HIPAA-Konformitätserklärungen usw. anbietet, könnte das OP meiner Meinung nach einem Due-Diligence-Test standhalten. Das staatliche Recht + die Rechtsprechung des OP-Staates würden die besten Hinweise dazu geben, wie viel Risiko eingegangen wird. Das Speichern dieser Daten intern unverschlüsselt und / oder ohne ausreichende Zugriffskontrolle würde wahrscheinlich die Due-Diligence-Tests nicht bestehen.
@schroeder Bitte geben Sie Zitate an, um die Aussage zu sichern, dass iCloud und Google Drive im Ruhezustand verschlüsseln. Beide Unternehmen haben auf meine E-Mails zu diesem Thema mit der gegenteiligen Aussage geantwortet - dass Daten im Ruhezustand nicht verschlüsselt werden.
Haben Sie die geschäftliche Seite per E-Mail benachrichtigt? Viele dieser Dienste verfügen über ein HIPAA-konformes Angebot, das nicht offensichtlich ist. Ich werde nicht alle meine Quellen zitieren (es ist leicht zu durchsuchen), sondern für iCloud: https://support.apple.com/en-ca/HT202303
Nein, mein Kommentar * SPEZIELL * identifizierte die Verbraucherseite.
Sie haben ein paar Probleme mit Ihrer Antwort: 1) Sie machen eine breite Aussage über Cloud-Anbieter, die unwahr zu sein scheint, 2) Sie haben auch eine Bemerkung gemacht, dass Ihre Aussage in Ihrer Antwort nur für "gewöhnlichen Verbraucherdienst" gilt, eine Qualifikation, die Sie haben in Ihrer Antwort nicht angegeben, aber Ihr Link zu Box war für den Business-Grade-Service.
Box hat keinen Verbraucherservice ... Oder besser gesagt, sie unterscheiden sich nicht wie die anderen. Es ist ein einziger Dienst. Sie "wählen" nicht, ob Sie Encyption in Ruhe bekommen möchten oder nicht, wie Sie es mit einigen der anderen können. Und ich entschuldige mich - ich dachte anscheinend, ich hätte in meiner Antwort die "Verbraucher" -Dienste zitiert, aber im Rückblick habe ich das nicht getan. Ich glaube, ich habe es versehentlich beim Bearbeiten für die Länge gehackt.
@schroeder Ich habe gerade meine ursprüngliche Antwort in Bezug auf die Verbraucherseite bearbeitet


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...