我的数据和密码由谁拥有？

你们的企业应当拥有以下“业务所有权”：企业自有的业务数据、云端账号、以公司名义购买的软件许可证，以及用于控制这些内容所需的密码或密码管理器记录。如果你们聘请托管式 IT 服务提供商（MSP，Managed IT services provider），他们可能会协助搭建并管理日常工作，但这不应当让他们成为“所有者”。

一个好的提供商可能会有有限的技术访问权限，以便支持你们的系统，但“访问”并不等同于“所有权”。你们应当能够更换提供商，同时仍能保留你们的电子邮件、文件、设备、互联网服务、备份，以及你们为工具付费后对应的管理权限。

也确实存在例外。有些工具可能属于提供商自家的平台或捆绑服务的一部分。这不一定是坏事，但需要说清楚。你们应当知道哪些属于你们的企业、哪些属于提供商，以及如果合作关系结束，会发生什么。

如果所有权不清晰，原本简单的变更也可能演变成昂贵的问题。企业可能试图更换提供商，却发现例如：电子邮件管理员账号使用的是旧提供商的名字；或者备份记录、软件许可证、互联网账号并不容易转移。这会导致延误、混乱以及额外成本。

密码之所以也很关键，是同样的原因。如果只有提供商知道关键的管理员密码，你们企业在需要进行紧急变更时可能会被迫等待对方协助。好的支持应当让事情更容易，而不是让你们的企业依赖某一家外部公司。

这也与控制权和责任有关。企业所有者和办公室经理不一定需要亲自做所有技术工作，但企业内部应当清楚谁掌握对重要系统的“主访问权限”。这包括：电子邮件、文件存储、会计工具、域名、网站托管、薪资系统、电话系统、防火墙账号以及备份系统。

没有一家诚实的提供商会承诺零停机时间或无法被入侵的网络。但当所有权和访问规则清晰时，在人员变动、供应商更换或紧急问题出现时，可以减少混乱。

健康的设置应该说得清楚、做得到位。你们企业应当是核心服务的指定所有者或主要账号持有人。对这些服务的计费应当以你们企业名义进行，或在文档中有清晰说明。重要的管理员账号应当为你们企业所知、被安全保存，并且不应当只由某一个外部人员控制。

许多企业会使用密码管理器，这样公司密码可以安全地集中存放在一个地方。你们不必把所有信息都死记硬背，但应当有流程：哪些人可以访问这个“金库（vault）”，以及当员工或提供商发生变化时，所有权如何进行转移。NodeBridge IT 从不索取密码、网络凭据或系统访问权限。我们只在帮助你们找到独立提供商时收集基础的企业与联系信息。

在安全方面，许多企业还会启用多因素认证（MFA，Multi-Factor Authentication，多因素认证），意思是登录不仅需要密码，还需要第二步，例如应用程序代码或系统提示。对于所有者级或管理员级账号，企业应当掌控 MFA；或者至少要非常明确该如何进行管理。

如果确实涉及 MSP，请让他们把账号存放在哪里、法律上的所有者是谁，以及哪些凭据会与企业共享写进文档。这是正常、合理的要求。

你们不需要懂技术术语。用直白的问题通常最合适。询问：谁拥有这些账号？谁是主要管理员？密码由谁保存？如果你们停止服务会发生什么。

另外也要问：是否有任何工具与提供商自有系统绑定。一些提供商会使用远程监控与管理工具（RMM tools，Remote Monitoring and Management tools，远程监控与管理工具）来观察设备健康状况并处理常规工作。他们也可能使用端点检测与响应（EDR，Endpoint Detection and Response，端点检测与响应），这是一类安全软件，用于监视电脑和服务器上的可疑活动。这些工具可能由提供商安装并管理，但你们仍然应当理解：它们能访问哪些数据，以及报告或设置能否被转移。

请要求提供“退出流程”并写在文档里。应当涵盖：归还管理员访问权限、转移文件、移除由提供商拥有/控制的工具，以及移交当前记录。一个简单的清单就能避免很多未来的问题。

如果你们在对比不同选项，我们的 answers 页面可以帮助你们先理解常见术语；我们的 services 页面也解释了企业通常会要求 MSP 承担哪些工作。