雲端 CRM / ERP / eCommerce 服務是否安全?

企業經常關注雲端服務是否安全,尤其是對於雲計算的隱私安全問題特別重視; 雲計算在信息安全方面,對企業一般來說有以下三種考慮:

  • 在未經授權的情況下,他人以不正當的方式進行數據侵入,獲得用户數據

  • 雲端服務供應商為獲取商業利益,未經授權下對用户信息進行收集和處理

  • 手機應用程式有大量私隱訊息有機會被程式開發商收集及泄露

香港法例在個人及商業資訊保安方面算是完善。要讓服務及數據受本地法律保護,企業可考慮優先選用本地雲端應用服務。在選擇服務供應商方面,除了比較服務範圍、產品功用外,可對比跟雲端應用服務商訂定的服務水平協議 (SLA,service level agreement),並選擇服務水準協議與你的業務重要性相符的服務供應商。

服務水平協議是一合約協議。服務供應商會在協議內訂明服務水平、責任、優先事項,並就服務的可用性、成效和其他方面作出保證。有關協議是一項主要參考資料,可供用户比較和監察不同的雲端服務。服務水平協議內一般包括:

  • 合約期限

  • 服務終止、約滿安排,譬如: 承諾完約服務後若干日數銷毀儲存數據; 能否退回資料及數據

  • 提早結束合約責任

  • 保障私隱聲明

  • 說明提供哪些保安功能或措施

對企業來說,客户服務及技術支援很重要。企業選擇服務商可考慮服務商是否有提供本地支援熱線 (customer service hotline) 及上門支援、培訓 (onsite support and training); 雲端應用服務優點是具彈性,服務商應可提供有限期的服務試用,並提供服務案例參考。

當企業計劃推行雲端應用服務,周詳考慮的要點包括:

  • 採取循序漸進,逐步實策略施

  • 諮詢專家意見

  • 選擇有經驗和技術的服務供應商,能夠提供雲端保安服務 (cloud security) 更佳

  • 做好合約上和技術上的安排,以備未來需要轉用其他服務供應

  • 可向本地服務商按雙方協議,要求提供服務終止將退回數據,並確保有關資料可供讀取和在需要時可復原

在確定業務需要和準備就緒採用雲端服務後,企業便可開始使用服務,營運一般包括以下各點:

  • 與雲端服務供應商制訂合約安排,並簽訂雙方同意的服務水平協議

  • 把現有系統內的應用程式資料數據遷移 (data migration)

  • 系統測試和驗收

  • 系統啓用

  • 用户培訓和支援

  • 持續管理和監察服務表現

原文刊登於 2015年出版「中小企使用雲端服務實用保安指南」cloud4sme.hk
2018年9月更新