怎样做到让云计算“尽在掌控”？

无国界的云

你可能会认为，外包数据——不太像是使用Amazon的EC2或者微软的Azure——是不需要考虑安全问题的。但是，在上面我们提到的那家发现数据被转移到了中国的公司，他们可能会在无意之间丢掉了一位用户。

例如，Elastra是一家云计算管理厂商。他们的用户Christian James是一家基于SaaS模式提供POS应用的零售商。Christian James的产品PayGo SaaS可以被托管在你位于Amazon EC2云中的服务器，使用信用卡处理设备Authorize.Net来处理赊帐购买业务。这三家公司也许或者不会对你整个PCI遵从有影响。 Christian James公司新闻发言人表示，现在公司采取措施来确保他们的软件是符合PCI规定的，但是他们对托管在Amazon EC2中的应用流程并不确定。

MedCommons是一家专门提供保存和管理患者医疗数据相关软件的厂商，他们也遇到了类似的问题。MedCommons直接将他们的产品作为一项基于Amazon EC2的SaaS产品提供给用户。该公司首席科学家Adrian Gropper指出，作为SaaS许可的一部分，用户必须签订Amazon的用户协议和MedCommons的用户协议。

不管你是要遵守PCI还是HIPAA，你都需要详细了解数据保存在什么地方以及谁对这些数据负责，而且这些答案都是要写到合同中的。

不要嫌麻烦，向政府机构或者行业组织寻求相关帮助。不过他们有时候与技术发展并不是与时俱进的。

PCI安全标准委员会技术总监Troy Leach解释说，该委员会的宗旨是：“PCI安全标准委员会将保持一种技术中立的态度，指明与信用卡持有人数据环境相关的风险。我们正在不断检查PCI 数据安全标准1.2版本相关规定是否降低了潜在风险和减少与虚拟组件有关的漏洞。委员会希望在新的一年让这一话题更加明确化。”