क्लाउड तृतीय पक्ष उपयोग संबंधी नीति

स्टेटमेंट:

पॉलिसी स्टेटमेंट

क्लाउड-आधारित समाधानों को आईटी सिस्टम माना जाता है और ये उन्हीं आंतरिक ऑडिट और सुरक्षा मानकों के अधीन होते हैं, जो सिस्टम और एप्लिकेशन आधार पर होस्ट किए जाते हैं।

प्रक्रियाओं का विवरण

एजेंसी की आवश्यकताएँ:

• पहले लिखित स्वीकृति — किसी तृतीय-पक्ष होस्टेड (क्लाउड) सेवा से अनुबंध करने, हस्ताक्षर करने या अन्यथा अनुबंध करने से पहले कार्यकारी शाखा एजेंसियों को वीटा एंटरप्राइज़ क्लाउड ओवरसाइट सेवा के ज़रिये लिखित अनुमोदन प्राप्त करना होगा।
• वीटा प्री-ऑथराइज़ेशन - क्लाउड-आधारित सेवाओं, भौतिक या वर्चुअल एप्लिकेशन, इंफ्रास्ट्रक्चर नेटवर्क, सिस्टम कंपोनेंट्स और किसी भी डेटा सेंटर सुविधा का अधिग्रहण वीटा द्वारा पहले से अधिकृत किया गया हो, यह पक्का करने के लिए कि क्लाउड-आधारित सेवाओं, भौतिक या वर्चुअल एप्लिकेशन, इंफ्रास्ट्रक्चर नेटवर्क, सिस्टम कंपोनेंट्स और किसी भी डेटा सेंटर सुविधा का अधिग्रहण किया जाए।
• Cलाउड कंप्यूटिंग सेवाएँ - वीटा द्वारा पहले से प्रदान नहीं की गई आईटी सेवाओं का उपयोग करने के प्रत्येक अनुरोध का मूल्यांकन कॉमनवेल्थ की आवश्यकताओं, अनुरोधित सेवाओं के पर्याप्त संचालन और क्लाउड सेवा खरीद के उचित नियमों और शर्तों के पालन के लिए किया जाएगा।
• निगरानी और शासन निकाय — तृतीय-पक्ष होस्टिंग (क्लाउड कंप्यूटिंग) सेवाओं के सभी उपयोगों के लिए निरीक्षण और शासन निकाय होना चाहिए। यह प्रशासनिक निकाय यह प्रमाणित करेगा कि बाहरी क्लाउड कंप्यूटिंग सेवाओं के इस्तेमाल को मंज़ूरी देने से पहले सुरक्षा, गोपनीयता और आईटी प्रबंधन से जुड़ी दूसरी ज़रूरतों का पूरा ध्यान रखा गया है।
• स्वीकृति की अवधि - सभी तृतीय-पक्ष होस्टिंग (क्लाउड कंप्यूटिंग) अनुरोध एक वर्ष के लिए मान्य होते हैं, जब तक कि अन्यथा निर्दिष्ट न किया गया हो।
• एंटरप्राइज़ क्लाउड ओवरसाइट सेवा — तीसरे पक्ष की क्लाउड सेवा के अनुरोध जिन्हें पहले वीटा की पिछली अपवाद प्रक्रिया के ज़रिये मंज़ूर किया जा चुका है, वे स्वीकृत अपवाद अनुरोध की समाप्ति पर एंटरप्राइज़ क्लाउड निरीक्षण सेवा के अधीन होंगे, जब तक कि वीटा द्वारा अन्यथा निर्दिष्ट न किया गया हो।
• नीति और प्रक्रियाओं की समय-समय पर समीक्षा — इस नीति और प्रक्रिया दस्तावेज़ की समीक्षा हर साल या उसके बाद, ऐसी किसी महत्वपूर्ण समस्या के लिए की जाएगी जिस पर पहले विचार नहीं किया गया था।

सप्लायर की आवश्यकताएँ:

सप्लायर कम से कम हर साल बार-बार जोखिम आकलन किए जाते हैं और किसी भी महत्वपूर्ण समस्या का फ़ौरन पालन किया जाता है।

• सुरक्षा अनुपालन — आपूर्तिकर्ता को राष्ट्रमंडल की जानकारी और डेटा की सुरक्षा के लिए उपयुक्त राज्य और संघीय विनियम, नीतियां, मानक और दिशानिर्देश (जैसे, SEC 501, SEC 525, IRS पब्लिकेशन 1075, NIST रिस्क मैनेजमेंट फ़्रेमवर्क, आदि) को शामिल करने के लिए ITRM नीतियों, मानकों और दिशानिर्देशों (जैसे, SEC, SEC, IRS पब्लिकेशन, NIST रिस्क मैनेजमेंट फ़्रेमवर्क, आदि) में बताई गई सभी लागू VITA नीतियों और मानकों का पालन करना चाहिए। & आपूर्तिकर्ता (ओं) को डेटा के सुरक्षा वर्गीकरण के अनुसार सभी निर्दिष्ट सुरक्षा मानकों का पूरी तरह से पालन करना होगा। सप्लायर के आकलन जवाब में, ज़रूरी तीसरे पक्ष के मानकों जैसे कि हेल्थ इंश्योरेंस पोर्टेबिलिटी एंड अकाउंटेबिलिटी एक्ट (HIPAA), फ़ेडरल टैक्स जानकारी (FTI) और पेमेंट कार्ड इंडस्ट्री डेटा सिक्योरिटी स्टैण्डर्ड (PCI DSS) के अनुपालन के बारे में जानकारी दी जाएगी।  इसमें यह पक्का करना शामिल है कि सूचना प्रणाली के सभी घटक और सेवाएँ संयुक्त राज्य अमेरिका में ही रहें। इसका उद्देश्य सभी प्रभावित व्यावसायिक संबंधों के लिए प्रभावी ढंग से शासन, जोखिम प्रबंधन, आश्वासन, और कानूनी, वैधानिक और विनियामक अनुपालन दायित्वों को सक्षम करना है।
• ऑडिट आवश्यकताएँ - आपूर्तिकर्ता हाल ही में पूरा किया गया ऑडिट, खासकर सेवा संगठन नियंत्रण प्रकार 2 (SOC2) प्रदान करेगा। एजेंसी या तीसरे पक्ष का ऑडिट संगठन 90 दिनों के अंदर सुरक्षा ऑडिट करने के लिए ज़िम्मेदार है, ताकि सप्लाई किए गए ऑडिट और होस्टेड पर्यावरण सूचना सुरक्षा मानक (SEC525) के बीच नियंत्रण की कमी का पता लगाया जा सके। अगर कोई ऑडिट नहीं दिया जाता है, तो SEC525 का इस्तेमाल करके पूरा सुरक्षा नियंत्रण ऑडिट किया जाना चाहिए। ऐसा न करने पर, कॉन्ट्रैक्ट के नियमों और शर्तों के मुताबिक उपाय किए जा सकते हैं। आपूर्तिकर्ता को अनुबंध द्वारा सहमत प्रक्रियाओं के ज़रिए एजेंसी और वीटा को किसी भी सुरक्षा उल्लंघन के बारे में तुरंत सूचित करने के लिए बाध्य होना चाहिए। सप्लायर को स्टोर किए गए डेटा तक अनधिकृत ऐक्सेस करने और उसे इस्तेमाल करने या उसमें बदलाव करने पर रोक लगानी होगी। इसके लिए तरीके और प्रक्रियाओं के बारे में अनुबंध की शर्तों में बताया जाना चाहिए।
• चार्जबैक मॉडल - सप्लायर के सर्विस चार्जबैक मॉडल में साफ़ दस्तावेजीकरण होना चाहिए। इससे यह पक्का होता है कि सेवा से संबंधित सभी लागू फीस और शुल्क संरचना के बारे में जानकारी मिल जाए।
• डेटा पर नियंत्रण — सप्लायर हर समय डेटा पर नियंत्रण बनाए रखेगा और चूक लागू होने की स्थिति में उसे कॉन्ट्रैक्ट एजेंसी को अपना डेटा सहमत फ़ॉर्मेट और समय सीमा में देना होगा, जैसा कि काम के विवरण (SOW) में बताया गया है। सप्लायर को जानकारी के आदान-प्रदान और उपयोग के लिए परिभाषित गैर-मालिकाना इंटरऑपरेबिलिटी और पोर्टेबिलिटी मानकों को उपलब्ध कराना चाहिए और उनका रखरखाव करना चाहिए। इस आवश्यकता का उद्देश्य इंटरऑपरेबल कंपोनेंट्स की सहायता करना और एप्लिकेशन को क्लाउड सप्लायर को और/या से माइग्रेट करने की सुविधा प्रदान करना है।

अधिग्रहण:

इस नीति के लिए ज़रूरी है कि वीटा सप्लाई चैन प्रबंधन को शामिल किया जाए और कार्यकारी शाखा एजेंसियों द्वारा क्लाउड आधारित सेवाओं की किसी भी खरीद में शामिल किया जाए।

• कॉन्ट्रैक्ट भाषा मंज़ूरी - सभी कॉन्ट्रैक्ट भाषाओं को वीटा सप्लाई चैन प्रबंधन द्वारा मंज़ूरी दी जानी चाहिए।
• अनुपालन — क्लाउड कंप्यूटिंग सेवाओं के किसी भी कॉन्ट्रैक्ट में ऐसी भाषा शामिल होनी चाहिए जिसमें कहा गया हो कि सप्लायर सभी कॉमनवेल्थ कानूनों, सुरक्षा आवश्यकताओं और किसी भी लागू फ़ेडरल या इंडस्ट्री मानकों और विनियमों का पालन करेगा। कॉन्ट्रैक्ट वाहन में उपयुक्त भाषा शामिल होनी चाहिए, जो क्लाउड सेवा प्रदाता की ज़िम्मेदारियों और सभी लागू मानकों और विनियमों को बनाए रखने के लिए कॉमनवेल्थ की ज़िम्मेदारी बताती है।
• नियम और शर्तें — वीटा सप्लाई चेन मैनेजमेंट के पास अधिग्रहण दस्तावेज़ों (अनुरोध और कॉन्ट्रैक्ट) में एजेंसी के इस्तेमाल के लिए क्लाउड सेवा के नियम और शर्तें हैं।
• सेवा की अवधि के अनुबंध — सेवा की शर्तों के अनुबंध अनुबंध की भाषा के रूप में पहचाने जाते हैं और इस तरह किसी भी अनुबंध पर हस्ताक्षर किए जाने से पहले ही वीटा सप्लाई चेन प्रबंधन द्वारा सेवा अवधि के अनुबंध को मंजूरी दी जानी चाहिए। डिजिटल हस्ताक्षर जैसे कि “ओके” पर क्लिक करना, कॉन्ट्रैक्ट पर हस्ताक्षर करने के बारे में माना जाता है और ये कॉन्ट्रैक्ट समीक्षा से पहले नहीं किए जा सकते हैं।

कंटीन्यूटी प्लानिंग:

• बाहर निकलने की रणनीतियाँ — एजेंसियों को हर ऐप्लिकेशन के लिए स्पष्ट एग्जिट प्लान की पहचान करनी चाहिए, जो गैर-आधार पर आधारित सप्लायर का फ़ायदा उठा रहा है। क्लाउड-आधारित सेवा का अनुबंध करने वाली किसी भी कार्यकारी शाखा एजेंसी को वीटा के साथ जुड़ना चाहिए और समन्वय करना चाहिए, ताकि यह पक्का किया जा सके कि इस्तेमाल किए जा रहे हर एप्लिकेशन या सेवा के लिए बाहर निकलने की रणनीतियों का दस्तावेजीकरण किया गया हो। पहला एग्जिट प्लान (ज़रूरी) एप्लीकेशन और सप्लायर के हिसाब से होना चाहिए और किसी बुरी असफलता की स्थिति में इसे लागू किया जाएगा, जैसे कि:
  • महत्वपूर्ण सुरक्षा उल्लंघन
  • आपूर्तिकर्ता का दिवालियापन
  • लागू कानूनों और विनियमों का अनुपालन करने में विफलता
• अतिरिक्त निकास मापदंड - दूसरा एग्जिट प्लान एक जेनेरिक प्लान हो सकता है जिसे किसी भी ऐप्लिकेशन या सेवा के लिए लागू किया जाता है, जो ठीक से काम नहीं कर पाती है और कॉन्ट्रैक्ट को जल्दी समाप्त किया जा सकता है। साथ ही, सभी एग्जिट प्लान में यह संकेत दिया जाना चाहिए कि किसी एजेंसी, उसके यूज़र, कॉमनवेल्थ के नागरिकों या पार्टनर द्वारा क्लाउड सेवा पर अपलोड किया गया डेटा कॉन्ट्रैक्टिंग एजेंसी की संपत्ति बना रहना चाहिए और बिना लिखित अनुमति के इसका इस्तेमाल नहीं किया जा सकता। इससे यह भी पता चलेगा कि एजेंसी के लिखित अनुरोध पर, सप्लायर ऐसी गोपनीय जानकारी को नष्ट कर देगा और खुलासा करने वाली एजेंसी को इस तरह के विनाश का लिखित प्रमाण देगा और अधिकृत यूज़र की गोपनीय जानकारी का और इस्तेमाल बंद कर देगा, चाहे वह मूर्त रूप में हो या अमूर्त रूप में।