Вечный вопрос безопасности данных клиента

Доброго времени суток!

Хотелось бы обсудить вопрос, который практически всегда задают потенциальные клиенты хостед сервисов, а именно вопрос о защите данных. Звучать он может по разному. Например:

• А вы надежно защищаете данные клиентов?
• А как я могу быть уверен что мои данные никто не прочитает?
• А где гарантии неприкосновенности моих данных?

ну и так далее. Вопрос неприятный, поскольку для сервис провайдера, защита данных - это вопрос скорее технологический и организационный, в то время, как для потенциального потребителя это скорее вопрос доверия. А доверие это такая штука, которой если нет, то никакими клятвами и доказательствами своей правоты ее не заполучишь.
То есть если я расшибусь в лепешку доказывая что у меня датацентр (к примеру) в атомном бомбоубежище с круглосуточной охраной, сигнализацией и системой защиты от сетевых атак, то это ровным счетом ничего не докажет человеку, который мне не доверяет или для которого сама идея хранить контакты и переписку не у себя вызывает неприятные ощущения внизу позвоночника.
И это по большому счету правильно, потому что все так или иначе понимают, что:

1. В основном данные воруются банальными методами подкупа персонала или кражей оборудования
2. "Что один человек построил, другой завсегда поломать сможет" ((с) "Формула любви")

Другими словами, если злоумышленники поставят перед собой цель заполучить чьи-нибудь личные данные не считаясь с затратами - они их рано или поздно получат. В этом нужно отдавать себе отчет и не пудрить мозги потенциальным клиентам степенями защиты.

По-видимому, нужно обратить внимание на 2 момента в предложении о злоумышленниках и личных данных: "не считаясь с затратами" и "рано или поздно".
Техническое оснащение сервис провайдера (а именно надежность его датацентра) делает операцию по незаконному (и что тоже немаловажно, незаметному) изъятию данных чрезмерно дорогой, по сравнению с кражей компьютера из офиса или переносного винчестера из сумки.
И для технически подкованного клиента, будет безусловно важно понимать, что у провайдера есть дублирование, архивация и шифрование данных, защищенные каналы, описанные и внедренные внутренние процессы, сертификация по каким-либо стандартам качества и т.д. Потому что он понимает, что все это понижает риск кражи данных. Но не убирает, а только понижает.


Для людей нетехнических, все эти аргументы должны дополняться документом с соглашением об уровне предоставления сервиса SLA (Service Level Agreement), который в обязательном порядке должен подписываться при заключении договора на предоставление сервисов. Договор, безусловно, тоже не дает 100% гарантии. Но это реальный рычаг давления на сервис провайдера, поскольку этот договор можно использовать при случае в суде.

Вообще, SLA и что должно в них содержаться - это отдельная тема и требует детального разговора. Поэтому, пока отложим эту тему.

Итак, что можно сделать для убеждения потенциального клиента в правильности выбора хостед сервиса и ответить на вопросы о защищенности своих данных? Реальным является следующее:

1. Показать, что хранение данных у провайдера снижает риск потери или кражи данных, по сравнению с хранением их локально.
2. Показать что клиент будет дополнительно защищен договором, что так же будет защищать его, с известной долей надежности.

Ну и наконец, слова об общемировой практике тоже не помешают :)
В конце концов, чужой пример заразителен. И это, по видимому, главный аргумент.