Miejsce przechowywania danych

Prawo związane z zapewnieniem prywatności oraz ochroną danych osobowych różni się w poszczególnych krajach. Niekiedy danych dotyczących obywateli jednego kraju nie można przechowywać poza jego granicami, niezależnie od certyfikatów. Dodatkowy problem dotyczy centrów przetwarzania danych zlokalizowanych na terenie Stanów Zjednoczonych lub obsługiwanych przez firmy z główną siedzibą w tym kraju. Należy więc sprawdzić, w jakim kraju dostawca usługi ma swoje data center, jakie tam obowiązują uwarunkowania prawne i w jaki sposób korespondują z wymaganiami prawa w Polsce i z firmową polityką bezpieczeństwa. Jednym z argumentów marketingowych używanych przez niektórych dostawców jest lokalizacja firmy w całości na terenie Unii Europejskiej (a zatem obsługa USA przez osobny podmiot).

Polityka prywatności i ochrony informacji klientów

Każdy dostawca usług ma swój regulamin oraz założenia polityki prywatności i ochrony informacji przetwarzanych w ramach danej usługi. Razem z prawnikami należy takie dokumenty poddać analizie, by wywnioskować, jakie założenia bezpieczeństwa technicznego oraz logicznego obowiązują w ramach danej usługi i w jaki sposób można dopasować te założenia do potrzeb firmy. Regulacje i wymagania prawne mogą różnić się w zależności od sektora firmy, która z usługi ma korzystać, dotyczy to zwłaszcza sektora publicznego.

Analiza założeń polityki prywatności i ochrony danych klientów nie może zawierać zgody na udostępnianie podmiotom trzecim porcji składowanych informacji. Chociaż usługodawcy zazwyczaj udostępniają jedynie fragmenty, które nie są formalnie przypisane do klienta, ale należy mieć na uwadze, że nawet częściowo zagregowane informacje statystyczne można personalizować za pomocą rozwiązań do eksploracji danych (data mining). Niektórzy usługodawcy takie udostępnianie informacji mają zapisane w zawoalowany sposób, trudnym do zrozumienia językiem, dlatego należy dokonać analizy prawnej wszystkich umów i założeń polityki prywatności, by upewnić się, czy zapisy nie umożliwiają podobnego działania.

Podnajmowanie

Przy rozważaniu usług chmury dostarczanych przez zewnętrznego dostawcę należy zwrócić uwagę, czy przy realizacji nie są wykorzystywane usługi innego dostawcy. Przykładem podnajmowania infrastruktury jest chmura iCloud firmy Apple realizowana za pomocą usługi cloud computing świadczonej przez Microsoft. W podobny sposób działają niektóre przedsiębiorstwa, które wdrażają własne oprogramowanie uruchamiane w środowisku Amazon EC2 lub innych podobnych usług. W przypadku niektórych podmiotów sektora finansowego regulacje prawne zabraniają dalszego outsourcingu.

Obce podatności

Przy rozważaniu usługi należy upewnić się, że nie przynosi ona do środowiska IT dodatkowych podatności, które mogą wpłynąć na bezpieczeństwo danych. Dotyczy to nie tylko oprogramowania, z którego dana usługa korzysta, ale także procedur i usług związanych z przechowywaniem danych, takich jak backup. Infrastruktura, która służy do świadczenia usługi, może być zaprojektowana pod kątem zgodności z wymaganiami dostępności i retencji danych, o ile tylko dostawca dopuścił taką możliwość. Niektórzy dostawcy mają specjalne usługi dedykowane dla firm z wybranego sektora lub dostosowane pod kątem szczególnych wymagań.