全新的歐盟一般資料保護規範 (GDPR)將於 2018 年 5 月 25 日生效。因此,各種規模的公司都必須檢視 GDPR 發布的變更,並確定針對其自身的組織和技術影響。距離規定的截止日期不到一個月,許多公司仍被認為尚未「做好 GDPR 準備」。許多公司正手忙腳亂地實施正確的 IT 安全和隱私政策。雲端運算與更高水準的資料保護應該並行不悖。除了早期的一些焦慮之外,新的監管挑戰也可能為雲端服務提供商和雲端用戶帶來新的機遇。
太長不看?直接跳過至六大關鍵標準…
前言
在數位化的過程中,資料保護和資料安全越來越受到關注。它們被視為成功邁向數位轉型之路的關鍵資格。
GDPR 的背景和目標是協調歐盟成員國之間的關係,以便在歐盟境內適用統一的資料保護法,同時改善相關人員的法律地位。以下是因應 GDPR 做出的一些最重要變更:
- 違規罰款大幅增加 – 最高可達年度營收的 2% 或 4%,具體取決於違規的嚴重程度。
- 透過透明度和資訊要求,受影響個人的權利得到了顯著加強。
- 除了眾所周知的資料保護義務外,還引入了新的義務,例如電子設備的隱私友善預設設定。
- 新法規也適用於總部不在歐盟,但收集歐盟公民資料的公司。
挑戰
企業決策者和安全專家現在正自問,新的 GDPR 法規會是什麼樣子。以及他們應該如何準備和執行 GDPR 的實施。此外,“GDPR 準備就緒”的問題也引起了資訊安全長 (CISO) 的共鳴。
許多企業決策者會認為這是 “又一個來自布魯塞爾、沒人會注意到的新法規”。然而,GDPR 有充分的理由受到重視。首先,法規變更將加強所有相關人員的權利。這可能會在未來涉及影響歐盟公民的資料外洩時,導致重大的財務處罰。
除了潛在的物質損失外,對企業聲譽的潛在損害也具有重大意義。媒體正爭相報導隱私問題。這對於所有尚未具備符合新要求所需專業知識的公司來說是一個警訊。這是因為隨著 GDPR 於 2018 年 5 月生效,罰款將大幅增加。罰款最高可達 2000 萬歐元或年度營業額的 4%,GDPR 議題已引起各種規模公司管理層的關注。
雲端運算背景下的 GDPR
關於資料保護的新法規”既是挑戰也是機遇。衡量“GDPR 準備就緒”的關鍵指標是公司內部的資料保護思維以及所提供的資料保護水準,這意味著業務關鍵型工作負載在雲端基礎架構上運行的內容、位置和方式。
對許多企業而言,GDPR 是一項複雜的專案。由 GDPR 帶來的法律、技術和組織挑戰,迄今為止僅得到了部分解決。特別是在雲端運算環境、IoT 環境或大數據場景中的大型遷移專案中,日常業務幾乎沒有時間讓人去顧及 GDPR 的實施。然而,除了眾多的實施挑戰外,GDPR 還提供了透過重新定義和實施新的數據保護和 IT 安全策略來脫穎而出的機會,尤其是在雲端運算的背景下。
因此,在 GDPR 的背景下,雲端運算這一主題引發了許多問題。從技術角度來看,雲端運算是一項數據處理合約。因此,雲端用戶應隨時充分了解服務商處理其數據的方式。雲端服務商和資源提供商僅支持其功能,並依賴於主管機關的法律要求。換句話說,雲端服務商和企業都必須滿足 GDPR 下每項雲端服務的最低法律要求。
如何利用 GDPR 背後的潛在挑戰?主要有兩個問題。一方面,企業需要知道他們可以信任哪些雲端服務商。另一方面,企業需要知道他們必須採取哪些技術和組織措施,才能做到“符合 GDPR 規範”。
CISO 的機遇與義務 – 選擇合適的雲端合作夥伴
鑑於 GDPR,合適的雲端合作夥伴可以成為寶貴的協作夥伴。因為憑藉他們在合規性和安全性方面的專業知識,他們可以幫助您的企業做好“GDPR 準備”。
如果您採用多雲策略,則需要評估每個雲端服務商的數據保護政策。混合雲和多雲方法的協調要複雜得多,因此可能會帶來更高的數據保護風險。眾多不同的雲端服務商(尤其是在公共雲環境中)使得 CISO 難以確保 GDPR 合規性。GDPR 合規性的強度取決於最薄弱的環節。例如,在多雲部署中,單個雲端服務商的洩漏或不合規行為可能會使成功實現 GDPR 合規性的所有努力付諸東流。
六大關鍵標準
以下我們’列出了一組快速標準,您可以用來評估潛在的雲端合作夥伴(就其 GDPR 合規性而言):
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]安全與隱私
第一步是評估服務商在多大程度上能夠符合您的 IT 安全要求。雲端服務商證明其符合安全性和「預設隱私保護」(Privacy by Design)的一種簡單方法是獲得 ISO 27001 或 ISO 27018 認證。如果沒有,他們可以透過已執行的數據保護影響評估 (DPIA) 和/或安全評估來證明。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合規性
CloudSigma 已獲得 ISO 27001 認證,確保用於交付和管理您的雲端的所有基礎設施和服務方面,均符合與安全和數據隱私相關的最高 ISO 認證標準。
[/vc_column]
[/row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
風險管理
處理大量關鍵數據的企業必須提供充分的保證(根據 GDPR 法規第 28 條)。這些保證必須證明數據控制者使用的是:
「僅限提供足夠保證以實施適當技術和組織措施的處理者。且其處理方式應符合本條例的要求,並確保資料當事人的權利得到保護。」”
因此,您需要確保您的雲端服務供應商定期進行審計以供審查。此外,還需對技術和組織措施進行評分和評估,以保證處理的安全性。另外,您需要確保該雲端合作夥伴向其客戶授予審計權。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合規性
作為任何 CloudSigma 雲端平台的客戶,您正式享有權利 對我們向您提供的服務進行安全性、營運和流程審計。
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
資料儲存位置
您應該始終了解您資料的大致位置。然而,並非所有雲端合作夥伴都會為您提供與雲端位置相關的必要透明度。請注意,雲端供應商的總部不一定就是您資料的託管位置。此外,某些公司可能會在背景將您的資料在不同的雲端位置之間移動,而未告知您。這可能是雲端合作夥伴服務條款的一部分。最後但同樣重要的一點是,雲端服務供應商可能會將資料儲存在多個位置。其中一些可能位於歐洲經濟區(EEA)之外。作為資料控制者,您需要制定多國雲端策略,以遵守適當性要求以及資料在地化法律。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合規性
作為我們服務條款的一部分,CloudSigma 的架構在法律上按國家區分雲端位置。因此,每個位置僅受當地法律框架的約束。同時為終端客戶提供 100% 的本地雲端解決方案。
各位置在技術上也沒有互連,且 CloudSigma 確保關於確切資料位置的最大透明度,該位置絕不會在 雲端位置之間進行傳輸.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
安全功能
GDPR 要求一系列的資料保護安全措施,從靜態與傳輸中加密、存取控制,到資料假名化和匿名化。為了實現這一點,請選擇一個提供足夠安全功能供您選擇的雲端合作夥伴。例如 – 備份、加密、存取控制策略等。如果您的雲端合作夥伴沒有此類策略,您需要自己處理安全功能。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合規性
CloudSigma 致力於為客戶提供高度的安全性和隱私保護,並提供一系列功能和工具,使他們能夠保護其運算環境的各個方面。在我們的部落格上,客戶可以找到許多介紹不同安全功能 的文章,例如 啟動層級加密, 存取控制策略、雙重驗證、SSH 金鑰 等。
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
資料所有權
作為雲端服務提供商的客戶,您是 Data Controller(資料控制者)。這意味著您必須保持對自己資料的控制權和所有權。您可以透過與您的雲端合作夥伴簽署 Data Processing Agreement(資料處理協議)來實現這一點,以確保該合作夥伴遵守 GDPR 的資料隱私保護要求。您可以自行起草,也可以檢查您的雲端合作夥伴是否已將 DPA 作為 Terms of Service(服務條款)的標準部分。使用您自己起草的協議的好處是,您可以指定收集的個人資料和「特殊」資料的類型。無論您是使用合作夥伴的 DPA 還是您自己的 DPA,請確保條款中明確規定 Data Controller(即您)擁有該資料,且 Data Processor(即雲端合作夥伴)不會與第三方共享該資料。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合規性
CloudSigma 已制定了 資料處理協議 (DPA),這使客戶能夠履行其 GDPR 義務。我們已更新了 Terms of Service(服務條款)和 Privacy Policy(隱私權政策)文件的相關部分,以引用 DPA 並符合 GDPR 的規定。
此外,我們的標準 隱私權政策 是一份非常透明的文件,描述了雲端中所有客戶資料的收集、儲存和使用情況。
客戶在檔案系統層級對其資料保留完全且唯一的存取權。CloudSigma 系統無法存取或查看 VMs 或硬碟內部的內容。CloudSigma 雲端管理系統實施了存取控制框架,限制員工的權限和存取,並記錄在系統上執行的操作。
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
刪除資料
您需要確保一旦與雲端合作夥伴的合約結束,您可以下載/抹除資料。同時,一旦您終止服務,雲端合作夥伴也將刪除該資料。一些雲端提供商(特別是當他們通過 ISO 認證時)會使用標準化政策在合約到期後刪除資料。請試著了解雲端提供商需要多長時間才能刪除您的資料。
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 合規性
在 CloudSigma,系統會自動處理所有客戶資料。這包括硬碟刪除、已停用帳戶的排程刪除等。
CloudSigma 不會複製用戶端的硬碟資料。唯一的複本存在於我們的雲端中,除非客戶選擇將硬碟複製到另一個儲存系統。
此外,作為我們 資料處理協議 的一部分,您可以在終止服務使用期間或之後,要求更正、刪除、封鎖和/或提供您的資料。
[/vc_column]
[/vc_row]
那麼,您的公司今天在多大程度上做好了 “GDPR 準備”?
如需有關 CloudSigma 和 GDPR 的更多資訊,請隨時透過 dpo (at) cloudsigma.com 與我們聯絡。
來源:
留言
目前尚無留言。成為第一個留言的人吧。