Hal yang harus Anda pertimbangkan saat memilih penyedia cloud, karena kemungkinan besar tidak ada faktor lain yang menyebabkan masalah perlindungan data bagi perusahaan di bidang komputasi awan.
Lengan panjang Paman Sam menjangkau hingga ke Eropa
Tidak kalah pentingnya Undang-Undang Patriot Amerika terus menimbulkan keresahan di kalangan perusahaan lokal. Sebaliknya, penyedia cloud Eropa bisa mendapatkan keuntungan dengan melanggar yurisdiksi AS dan mendapatkan keunggulan kompetitif.
Menurut dokumen inisiatif yang baru-baru ini diterbitkan NIFIS eV. 64 persen eksekutif yang disurvei menyatakan kekhawatirannya mengenai keamanan komputasi awan. Hasil ini konsisten dengan penelitian lain. Secara umum, masalah keamanan dapat dilihat sebagai hambatan terbesar dalam penerapan komputasi awan di Jerman. Yang lebih parah lagi adalah penawaran dari penyedia cloud AS umumnya tunduk pada hukum AS dan oleh karena itu secara langsung dipengaruhi oleh Undang-Undang Patriot AS.
Perusahaan Jerman yang sensitif terhadap keamanan masih menghadapi masalah dalam menggunakan layanan cloud dari penyedia AS. Undang-Undang Patriot, yang disahkan pada tahun 2001, mengizinkan otoritas AS untuk mengakses data pelanggan dalam kondisi tertentu. Hal yang paling mengejutkan adalah tidak menjadi masalah apakah data tersebut disimpan di AS atau di Eropa. Gordon Frazer dari Microsoft UK harus mengakui hal ini secara terbuka pada presentasi pengenalan Office 365 pada bulan Juni tahun lalu. Reaksi media terhadap ‘pengakuan’ dewan Microsoft Inggris tidak butuh waktu lama dan kemudian menyeret pemasok AS lainnya ke dalam pemberitaan negatif.
Sementara perusahaan-perusahaan AS seperti Microsoft dan Amazon mengeluhkan kelemahan kompetitif dan merasakan proteksionisme yang lebih menguntungkan pemasok dari UE, perusahaan-perusahaan Eropa yang bergerak di industri komputasi awan kemungkinan besar akan ikut campur. Mereka sudah secara eksplisit mengiklankan lokasi server domestik, sertifikat keamanan, dan kepatuhan ketat terhadap pedoman perlindungan data nasional. Ada daftar rinci penyedia cloud Jerman dan internasional awan.de.
Juga tidak ada cakupan 100% di Eropa
Secara umum, selama ada hubungan yang relevan dengan perusahaan yang berbasis di AS, Patriot Act juga berlaku di Eropa. Siapa pun yang ingin menyimpan datanya di luar jangkauan gurita data AS harus memastikan bahwa penyedia mereka di Eropa bukan anak perusahaan dari perusahaan AS atau memiliki perwakilan lain di AS. Tentu saja bukan usaha yang mudah, mengingat sifat industri TI yang global.
Kehati-hatian khusus diperlukan pada produk perangkat lunak sebagai layanan (SaaS) Eropa. Di sini, misalnya, banyak pemasok Jerman mengandalkan solusi infrastruktur yang lebih murah dari perusahaan-perusahaan Amerika. Seringkali terdapat kurangnya transparansi yang tepat. Lebih jauh lagi, setidaknya secara teoritis, otoritas AS dapat meminta wawasan mengenai kumpulan data asing melalui bantuan hukum internasional (perjanjian dengan negara lain). Dalam praktiknya, tindakan tersebut terutama digunakan untuk mencari penghindar pajak.
Tindakan penggunaan layanan cloud yang mematuhi perlindungan data
Terlepas dari bagaimana komputasi awan digunakan, perusahaan-perusahaan Jerman masih tunduk pada undang-undang perlindungan data Jerman. Pedoman khusus berlaku untuk pemrosesan data pribadi (seperti data pelanggan), yang diatur dalam Undang-Undang Perlindungan Data Federal (BDSG). Persyaratan yang lebih ketat berlaku untuk data yang sangat sensitif, seperti laporan kesehatan; pemrosesannya di cloud non-Eropa hampir tidak dapat ditegakkan secara hukum.
Kabar baiknya: Katalog Sepuluh Poin yang diadopsi pada tahun 2009 dapat memastikan tingkat kepatuhan perlindungan data yang lebih tinggi. Apa yang disebut pemrosesan data pesanan dimaksudkan untuk melindungi outsourcing pemrosesan data berdasarkan undang-undang perlindungan data. Setelah membuat kontrak yang sesuai dengan penyedia, data dapat dipindahkan ke cloud dengan relatif mudah. Penyedia cloud memproses data sesuai dengan instruksi ketat atas nama perusahaan pemohon dalam Wilayah Ekonomi Eropa.
Singkatnya, penyedia eksternal sebenarnya secara hukum didekatkan ke pusat data internal. Prasyarat pemrosesan data atas nama pelanggan adalah kontrak tertulis yang antara lain menentukan ruang lingkup pemrosesan data dan program yang digunakan. Sayangnya, dalam praktiknya, banyak perusahaan mengalami kesulitan untuk memenuhi persyaratan ekstensif dalam kontrak tersebut.
Sejak awal TI, perusahaan telah memanfaatkan enkripsi data yang sangat sensitif. Strategi yang telah terbukti ini juga dapat berguna dalam konteks komputasi awan dan, jika ragu, mencegah pencurian dokumen dan spionase industri. Sejumlah penyedia cloud telah mengkhususkan diri dalam enkripsi data perusahaan yang ditargetkan.
Deduksi
Terlepas dari semua keadaan dan konsekuensi drastis dari Patriot Act, penggunaan penawaran cloud Amerika tidak harus sepenuhnya dikesampingkan. Seperti yang sering terjadi, hal ini bergantung pada strategi individu dan konsep perusahaan yang bersangkutan. Yang terpenting adalah perusahaan menilai dengan benar kebutuhan pelanggan terkait keamanan data mereka. Jika tujuan utamanya adalah memproses data yang tidak penting, cloud AS seperti Amazon EC2 sering kali merupakan alternatif yang lebih baik.
Dalam kasus apa pun, disarankan untuk mempelajari kontrak dengan cermat sebelum menyelesaikannya dan secara berkala memeriksa kontrak yang berlaku untuk mengetahui adanya perubahan dalam undang-undang perlindungan data. Jika ragu, nasihat hukum harus dicari. Perencanaan awal dan penilaian persyaratan yang akurat setidaknya dapat mencegah kemungkinan tuntutan hukum pelanggan, denda, dan prosedur hukum yang mahal.
Masih harus dilihat apa yang akan terjadi dengan Patriot Act dan perlindungan data Eropa. Komisi UE yang bertanggung jawab di Brussel telah mengumumkan amandemen undang-undang tersebut untuk tahun ini – masih diragukan siapa yang akan mendapat manfaat dari hal ini. Perusahaan-perusahaan Jerman yang mencari penawaran cloud yang terjangkau tentu akan mendapatkan keuntungan dari meningkatnya tekanan persaingan di pasar komputasi awan Eropa.