Так это не баг! Это фича! (С)

внимательно смотреть за системой, которая где то в облаке и обслуживается облачными базисниками (т.е. не вашими)? Можно конечно, но это надо знать чего опасаться и что искать.
А прокуратуру я привел для примера, мало ли какие у нас есть полномочные органы по запросу которых приоткроют систему.

Security Audit Log вам в помощь.
А если совсем серьезно, то сэкономив на базисе, инфраструктуре, поддержке, получив от этого бешенную прибыль, нанимаете суперспеца и он следит за всем, что нужно. И, на всякий пожарный, еще одного суперспеца, который следит за первым суперспецом.
Причем эти люди только следят, так что сами украсть они ничего не могут.
Это на случай, если вы подозреваете левого аудитора, который все смотрит втайне от вас.
Правда в этом случае вы только поймете, что у вас начинаются проблемы, не больше того.
Зато можно будет сыграть на опережение и это может быть крайне полезным!

Я это все к чему пишу - понятно, что в облаке есть риски, связанные с безопасностью.
Но когда люди на полном серьезе, считают, что раз они не в облаке, то рисков нет - они очень глубоко заблуждаются и эти риски, на самом деле, могут быть намного выше чем в облаке. И чаще всего именно так дело и обстоит. А сделать безопасное решение в облаке иногда проще, чем не в нём.

Дык в том то и дело, что копирование данных о клиентах без разрешения это по определению воровство. А когда человек это сознательно делает и потом предлагает свою информацию на продажу, то он это уже поступки из серии Робин Гуд. Я настучу на тех кто втихаря держит счета в Швейцарии и поэтому не платит налоги. А посему где хранятся данные в облаке или где то иначе фиолетово, добровольцы всегда найдутся или как

Зачем чего-то воровать, когда можно просто использовать. Обслуживает хозяин облака SAP-клиентов A, B, C и у него в распоряжении системы (или точнее их копии), из которых он может получить баланс, отчеты П+У, ДДС, проанализировать данные кредиторов/дебиторов и соответствующие потоки ДС от них/к ним. Ну чем это не инсайд, например, для успешной работы на бирже?! Миноритарии всякие, к примеру, видят официальный годовой баланс в лучшем случае спустя 3 месяца или полгода, а тут вся информация под рукой - только не ленись, бери и датамайни

А лежат они там в незащищенном и незашифрованном виде и передаются по открытым каналам, наверное?

FYI
Why the cloud helps to overcome Security Concerns
http://scn.sap.com/community/cloud/blog ... rcome-them

Куда передаются?! В серверной создали копию системы и обрабатывайте данные как вам хочется

Камим "в серверной создал копию системы"? А аудит для лохов?
Что мешает в серверной у клиента "создать копию" и обрабатывать данные, как хочется?

Ну уж нет давайте договоримся о терминологии инсайд у меня клиент, я его данные читаю, анализирую и использую без снятия копий. Это ай ай, тоже наказуемо, но пойди докажи ты из любопытства смотрел или по делу
А вот копие документов делать и предлагать фин.полиции другого государства, чтобы она ловила неплательщиков налогов это уже действия другого порядка. Да и действие сие было не один раз, а как минимум 5, так что думайте сами считайте сами . да к стати за CD платили от 1,5 млн. €

Совершенно верно - аудит для лохов! Одно дело создаст копию системы локальный базисник, который не знает что с ней делать (с данными), и совершенно другой расклад, когда в датацентре (к тому же, скорее всего, в другом государстве) стоят десятки, а то и стотни систем разных SAP-клиентов и подбирается серьезная команда, способная продатамайнить полученные данные и выгодно их использовать с финансовой точки зрения

Да блин, кто вам запрещает собрать команду и ломануть удаленно любого клиента, что на облаке, что не на облаке?
С точки зрения IT облачные кластеры от таких атак сильнее защищены, так как они своей ж*пой отвечают за безопасность, а не Вася-базисник.
А скопировать и ломануть можно почти все, что угодно, поэтому к безопасности серьезных дата-центров предъявляются повышенные требования и к людям предъявляются повышенные требования, как в банк, грубо.
Но, потворяю, скопировать и ломануть можно почти все, было бы сильное желание и бюджет.

Очевидно, что без доверия к сервис провайдеру лезть в его облако смысла нет. С другой стороны сервис провайдер должен быть заинтересован не в потайном датамайнинге, а в чем то ином. Если говорить о SAP - мне кажется инсайдить втихую для них было бы не самым разумным решением. А технически конечно это возможно, но такие схемы возможны только если SAP напрямую заинтересован в мошенничестве.

Допустим, вы большой и мощный SAP (или его партнер). Зачем что-то взламывать, если вам готовые сервера принесли на обслуживание?! Вы получаете законную ренту за то, что их обслуживаете и предоставляете доступ к ним клиентам. При этом у вас вообще практически бесконтрольный доступ ко всем данным - руку протянул и пощупал сервер и диски. Что мешает совместить приятное с полезным и получить дополнительный источник дохода, анализируя данные, которые у вас под рукой?!

Эм... не знаю. Репутация, например, вы же не такой дурак, чтоб ставить под удар всю корпорацию и полностью убивать свою репутацию, если такая фигня вскроется? А такая фигня вскроется рано или поздно, либо вашим внутренним аудитом, либо расследованием клиентов, которы будут искать утечки. Все таки не школьники собрались, а серьезный бузинесс!