1. Первый вопрос, который клиент должен поставить перед потенциальным провайдером облачных услуг: "Как давно у вас проводился независимый аудит по соблюдению актуальных требований регулирующих органов?". Если ответ - никогда, смело прощайтесь с таким провайдером. Это особенно важно в жестко регулируемых отраслях типа здравоохранения, но и в более простых ситуациях наличие строгого аудита является явным плюсом.
2. Не так уж трудно удовлетворить требованиям по защите данных в одной стране. Однако обеспечить такое соответствие нормам всех государств - задача не из простых. Проблема осложняется и чревата юридическими рисками в случаях, когда клиент не знает в точности, где на самом деле в облаке хранятся все его данные. Одним из путей решения данной проблемы автор, как ни удивительно, считает еще более широкое использование облаков, поскольку их провайдеры в силу принципиальной интернациональности подобных сервисов, должны будут обеспечивать требования всех юрисдикций.
3. Некоторые облачные провайдеры предоставляют своим клиентам криптографические сервисы, но при это сохраняют полный контроль за ключами шифрования. Такой подход чреват огромными рисками: от криптографии мало толку, если ключи находятся в чужих руках.
4. Облачный провайдер не должен в предлагаемом контракте оставлять лазейку для распространения ответственности на третьи стороны. Иначе, может получиться так, что при общей утечке данных по вине провайдера ответственность с ним могут разделить и клиенты.
5. Обсуждая вопросы защиты данных и положения SLA, не следует смиренно "проглатывать" ссылки провайдера на то, что - это их стандартные условия, общие для всех. В том же духе вы можете, обосновывая свои предложения, ответить ему, что это ваши "стандартные поправки к стандартным соглашениям". При заключении облачных контрактов переговоры - это обычная практика. И немного нахальства с вашей стороны лишним не будет.
Что касается SLA, и вообще соглашений между провайдеров и потребителем, то, наверное, нужно четко разделять публичные и частные услуги.
В случае публичных. возможности потребителя выставить свои условия и даже просто узнать что-то у провайдера сведены к минимуму. Или их даже нет. Вы имеет дело с типовым договором (и типовыми ценами) и можете их или принять или нет.
В случае частных услуг - это уже предмет договоренности. Советы американского юриста, наверное, относятся именно к этому случаю.
Я писал недавно по этому поводу: Как раз для регулирования отношений в случае публичных сервисов нужно законодательство. Именно потому, что пользователь не имеет возможности "рулит" соглашением, нужно некоторые общие положения, защищающие его. Некоторые "обязательный" уровень, который должен обеспечить провайдер.
И что очень важно - нужно международное законодательство, которое решало бы трансграничные аспекты темы.