越来越多的企业把供应链管理系统部署在第三方云平台上,或者使用第三方SaaS工具来管理供应商关系。这些云服务带来了便利,但也带来了一个新问题:万一第三方云平台出了问题,责任怎么划分?数据安全由谁保证?
去年就有过一起引起行业关注的事件。一家知名的云协同办公平台发生了数据泄露,影响到使用该平台的数百家企业客户。这些企业客户的供应商数据、合同信息、项目文件大量流出。虽然云平台事后做了道歉和赔偿,但对于这些企业来说,泄露出去的信息已经收不回来了。
这个案例提醒了一个问题:企业对第三方云服务商的安全管理能力,很难像对直接供应商那样做现场审计。怎么在云端环境里行使企业的审计权利,怎么在事故发生前后确定责任边界,是当前供应链保密管理的新课题。
在签订第三方云服务协议时,有几个关于审计权利的条款值得认真谈判。
审计条款要写清楚企业的审计权限。很多云服务商的格式合同会把审计权限写得很模糊,或者要求客户提前很长时间预约,有些甚至完全拒绝客户做现场审计。但实际上,把数据放在云平台上,企业有权利了解这个平台的数据安全管理情况。可以争取的条款包括:企业每年有权对云服务商做一次独立安全审计,审计可通过第三方审计机构执行,费用由企业承担。云服务商提供必要的审计配合,包括提供系统架构说明、安全管理制度文档、近期安全事件记录。
如果没有办法做现场审计,退而求其次的是让云服务商提供第三方的安全认证报告。主流的云服务商基本都会定期做SOC认证、ISO 27001认证、等保测评等。企业可以要求云服务商提供近期的认证报告副本,并确认认证范围确实覆盖了企业的数据存储区域。认证报告的时效性和覆盖范围是重点。
另一个谈判要点是事故通知的时效约定。云服务商的数据安全事件发生时,多久通知到客户,这个时间差很重要。有些合同里写的是"合理时间内通知",这个表述太模糊,谈判时更好争取写到"二十四小时内"。时间越短,企业越能及时采取应对措施。
事故后的责任划分也需要在合同中明确。目前国内云服务商的服务协议中,对赔偿责任的限制通常比较严格,赔偿上限很保守。企业可以在合同谈判时提出更高的赔偿标准,或者约定在特定情况下的免责条款无效。对于一些依赖云服务做核心业务的企业来说,还可以考虑购买网络安全保险,把部分风险转移给保险公司。
值得一提的是数据可迁移性的问题。如果与云服务商的合作终止了,企业存储在云平台上的供应链数据能否完整取回,取回的数据格式是否可用,取回后云服务商是否彻底删除了数据副本,这些都需要在合作协议中明确。有些企业跟云服务商关系闹僵后,发现自己的数据拿不出来,或者拿出来的数据格式已经无法被其他系统识别,给业务带来了很大影响。
在正式签约之前,建议企业建立一个云服务商的安全评估清单。评估项目可以包括是否有独立第三方安全认证、是否支持数据加密存储和传输、是否有多因素认证能力、是否有完整的数据备份和恢复方案、是否有明确的安全事件响应流程。这些信息不一定要全部通过书面文件来获取,云服务商的销售团队通常会配合做一次技术层面上的安全说明。
第三方云服务的安全管理不能完全交给云服务商自己。企业作为数据的所有者,有责任也有权利了解自己的数据存放在什么样的环境中。花一些时间在签约前做好安全评估和条款谈判,比出了事之后再反思要实际得多。
