Скотт Дерби, специалист по защите информации в управлении по охране психического здоровья штата Нью-Йорк, рассматривает возможность использования модели ASP. Однако он опасается, что информация о пациентах может попасть в чужие руки.
Барбара Даффи, консультант PricewaterhouseCoopers, говорит, что опасения за безопасность данных снижает привлекательность ASP для государственных структур. "Подумайте, каковы будут коммерческие последствия, если хостинговая компания начнет продавать данные в области социального обеспечения или какие-либо другие данные правительственных агентств. Это неприемлемо, но может случиться".
И действительно случается.
Прадип Сингх, руководитель Management Information & Technology Consultans, выяснил, что 30% из 30 обследованных им ASP-компаний продавали данные своих заказчиков. Он раскрыл воровство данных в ходе проведения по просьбе своих клиентов негласной проверки поставщиков хостинговых услуг. При этом он использовал метод "посева", заключавшийся в предоставлении хостинговым компаниям ложной информации. Если он начинал получать почту под этими вымышленными именами, то делал вывод, что компании продавали данные своих заказчиков.
"Больше всего вызывает беспокойство то, что все эти хостинговые компании имели договоры о соблюдении конфиденциальности и нарушали их", — сказал Сингх.
Однако возможными получателями ворованных данных могут быть не только рекламные агентства или маркетинговые фирмы. Руководитель одной ASP-компании сказал, что некоторые поставщики ПО просили его разместить свои приложения для заказчиков с вертикальных рынков, с тем чтобы они могли извлекать данные из баз данных заказчиков.
Поставщики хотели выступать в качестве агентов по закупкам для участников этих вертикальных рынков, обеспечивая им возможность исследовать информацию в базах данных других участников рынка, что стимулировало бы перекрестные продажи.
"Если заказчики согласны с этим, то все прекрасно. Однако такой вариант очень сомнителен, — сказал этот руководитель, просивший не называть его. — Я все же думаю, что большинство компаний не хотят, чтобы кто-то рылся в их данных".
Джим Стерн, президент консалтинговой компании Internet Marketing Strategie Consulting, сказал, что к нему постоянно обращаются компании, заинтересованные в продаже данных. Однако его компания наводит справки, чтобы убедиться, что данные были получены с разрешения заказчиков. Правда, ASP-компаний среди них пока не было.
Продажа данных заказчиков — табу для большей части ASP, страшащихся последствий и перспективы быть причисленными к негодяям, которые скоро будут вышвырнуты из бизнеса.
"Если такое происходит, то это может иметь ужасные последствия для всей отрасли. Но я думаю, что большинство ASP рассматривают данные своих заказчиков как их священную собственность и никогда не решатся продавать их", — заметил Джон Макгрори, главный управляющий компании Applicast. Как и многие другие руководители ASP-компаний, он рекомендует включать раздел о соблюдении конфиденциальности данных в контракт с ASP на выполнение услуг.
"Предохраняйте свои данные от продажи, заблаговременно заключая с ASP-контракт о том, что он не имеет права продавать их. И внимательно отнеситесь к формулировкам, определяющим, что такое продажа, а что такое передача данных", — советует Марк Раш, вице-президент по компьютерному праву отделения Global Integrity компании SAIC (Science Applications International Corp.), занимающегося тестированием мер безопасности и средств защиты данных, применяемых поставщиками информационных услуг.
А что, если поставщик хостинговых услуг уходит из бизнеса? Позволено ли ему продавать информацию своих заказчиков как свои собственные активы (как это пыталась сделать компания Toysmart.com, прежде чем ее попытки были пресечены Федеральной комиссией по торговле)? И что будет, если ASP-компанию приобретет другая фирма? Будет ли она выполнять соглашение о конфиденциальности? ASP должен знать ответы на все эти вопросы.
Но, как отмечают эксперты, компании, размещающие данные, тоже должны принять меры, чтобы вопрепятствовать внутренним или внешним "мародерам" в получении доступа к информации о клиентах.
Многие ASP, например, наводят справки о сотрудниках центров данных и ограничивают их доступ к данным. Часто заказчик, а не ASP, определяет, кому предоставить доступ к данным, сказал Митчелл Хриковян, старший директор по безопасности и инфраструктуре в компании Interliant.
Как рассказал Сингх, еще одна мера защиты — это пропуск сотрудников центров данных через несколько барьеров защиты, в том числе через охранников и двери, открываемые карточками-ключами или даже такими биометрическими устройствами, как сканеры отпечатков пальцев. Частой ошибкой, присущей ASP-компаниям, является размещение центра данных в том же здании, где находится корпоративный офис.
"Можно просто сказать "Я работаю в этой компании", махнуть пропуском и пройти", — сказал Сингх. Можно пройти через внешнюю охрану центров данных, притворившись работающим в ночную смену уборщиком и просто сказав охраннику, что он работает вместе с бригадой, которая уже находится в здании.
Многие наблюдатели в отрасли считают, что для надлежащей проверки выполнения ASP-компанией ее обязательств в отношении конфиденциальности и мер защиты заказчикам следует нанимать внешнюю аудиторскую фирму. Например, организация TrustE, контролирующая соблюдение конфиндециальности данных, для проверки выполнения компанией своих обязательств в этой области использует метод "посева". Компания Global Integrity проверяет сети ASP-компании, чтобы выяснить, можно ли обойти ее систему защиты.
"Мы регулярно подвергаемся аудиту и так должно быть, — сказал Джонатан Родин, вице-президент по технической архитектуре хостинговой компании Navisite. — Заказчики должны заранее тестировать средства защиты у ASP-компании и использовать для текущего тестирования аудиторские фирмы".
Некоторые ASP-компании даже сами принимают участие в проведении аудита. Например, Breakaway Solutions, ASP-компания и интегратор систем электронной торговли, недавно создала собственное подразделениепо обеспечению безопасности. Компания осуществляет для заказчиков проверку систем защиты, разрабатывает архитектуру защиты, а также проводит текущее тестирование защиты на возможность ее взлома.
Еще одна гарантия "добропорядочности" ASP в области безопасности данных — сертификаты от таких организаций, как Better Business Bureau и TrustE. Последняя выдает Web-узлам сертификаты, которые называются "знаком доверия". Дейв Стир, директор по связям с общественностью TrustE, сказал, что компания рассматривает вопрос о расширении этой программы и включении в нее компаний, занимающихся ПО. Стир сообщил, что для получения сертификата в области защиты конфиденциальных данных такие компании должны сделать прозрачными свои процедуры сбора и распространения данных.
И такая практика может получить распространение. Рик Свансон, главный управляющий ASP-компании FreeMe.com, сказал, что клиенты ASP уделяют конфиденциальности данных все большее внимание. "Заказчики ASP-компаний относятся к обязательствам относительно конфиденциальности очень внимательно, — сказал Свансон. — И те заказчики, с которыми мы имели дело, не захотят работать с ASP, которые не дают серьезных гарантий на этот счет".