隨著雲端服務已廣泛地受到個人和企業所使用,隱私維護與個人資料保護,更是用戶和雲端服務供應商雙方必須要重視的課題。對服務供應商來說,透過自我的安全評估並展現保護個人資料的決心,將有助於提升用戶的信心,也能強化市場的競爭力。
4. 資料的傳輸
在此可說明資料在正常營運或是在緊急的情況之下,是否會進行跨境的傳輸與備份,如果跨境傳輸是受到法規限制的,也要說明法令的內容與限制的要求。
以歐盟為例,如果資料需要傳輸到歐盟以外的國家如美國,就必須說明法律許可進行的方式,以及是否符合了美國的安全港(Safe Harbor)協議。
5. 資料的安全措施
此處可說明雲端服務供應商為了對抗可能發生的資安事件,例如非法的存取使用、資料的遺失與不當揭露等危害資料安全的情況,所採取的技術面和管理面的做法,確認是否可以達成以下的安全目標。
‧ 機密性:說明採取了哪些措施來維持
機密性,例如在資料傳輸和閒置時實施加密,或是透過資安政策來宣告只有經過授權的員工才能存取資料,以及要求相關人員簽署保密協議,規範不得任意洩露所得知的機密訊息等。
‧ 完整性:描述如何確保資料內容的正確與完整,例
如透過加密和電子簽章等機制,確認個人資料內容不會遭到竄改等。
‧ 可用性:說明資料的備份與備援機制,一旦資安事
件發生時,多少時間內可回復原有的服務與資料。
‧ 隔離性:說明如何有效控管與監督有權可存取個人
資料的行為,例如在賦予角色與權限時,是否秉持了最小權限原則,並且定期地進行權限的檢視與審查等,以避免不當授權的情況發生。而針對雲端服務虛擬主機的使用,可說明如何透過Hypervisor的運作與管理,確保在同一實體主機下的所有虛擬主機用戶,不會發生不當的資料存取行為。
此外,如果服務供應商還參考並實施了來自其他國際標準的控制措施,例如ISO 27001、CSA CCM等,也可以一併在此描述所實施的內容和範圍。
6. 監控
描述是否讓用戶有權可針對所上傳的個人資料實施監控,或是能夠定期地進行實地審查,如果服務供應商不允許的話,是否可以提供獨立第三方的監控報告,以及委由公正業者來實施安全稽核。
另外,針對資料的存取行為,是否可以提供相關的記錄,以確保有能力可識別出未經授權的存取事件發生。
7. 第三方稽核
說明是否有第三方的獨立稽核報告可以提供給用戶,在報告中應呈現稽核的範圍、時間、頻率及發現等,由於報告中可能包括了服務供應商某些敏感的營運資訊,因此實務上通常也會要求索取稽核報告的用戶,必須要簽署保密協議,以避免營運資訊的不當洩露。
此外,如果服務供應商允許用戶可挑選適合的稽核員來實施審查,也可以在此說明相關的作業程序和所需負擔的費用成本等事項。
8. 個資侵害事件的通報
說明萬一發生資安事件,造成個人資料受到不當的遺失、揭露、損毀,以及受到非法的存取與利用時,服務供應商所採取的因應措施與通報方式,特別要指出通報的時間與方式,以避免當事人受到更大的損害。
9. 資料可移動性、移轉和傳輸的後端協助
在此指出可移動資料的格式與關聯性,以及任何與移動的資料、應用程式、服務可能會產生的成本與費用。建議具體說明如何協助用戶,將資料移轉至新的服務業者或是內部的IT環境中,所需的作業方式及必須花費的成本。
10. 資料保存、歸還和刪除
描述雲端服務供應商的資料保存政策,以及當服務終止時,如何歸還或銷毀所保存的個人資料。
11. 可歸責性
描述雲端服務供應商有哪些安全政策和程序,能夠確保所提供的雲端服務已符合法令法規的要求,實務上的做法為保存和維護在資料處理過程中所產生的文件化資料,並且提供可信賴的監控方式和登入帳號的記錄。在此也可標示出服務供應商已取得的第三方驗證證書,說明其適用的範圍和有效期間。
12. 協同合作
說明雲端服務供應商將如何與客戶充分合作,以確保符合法令法規和資料保護的要求,以便取信於用戶,並且因應所屬的主管機關進行的審查。
13. 執行法律時的存取行為
說明如何因應執法單位的要求,對所管理的個人資料來提出適當的回應或揭露,同時也會對利害關係人及時發出通知,並且維持在犯罪調查過程中,需要保護的資料機密性。
14. 補救與賠償
說明如果違反了PLA,在發生資安事件時可以提供給用戶的補救與賠償措施,在雲端服務方面,可能的賠償內容包括了損害事項的回復、進行訴訟的花費,以及合約明訂的賠償金額等。
15. 抱怨與爭議的處理
在與個人資料有關的抱怨和爭議中,提供主要可以聯絡的窗口,說明其接受處理問題的方式、回應的時間等,以及可以提供協助的其他資料保護組織等。
16. 雲端服務供應商的保險政策
說明雲端服務供應商的網路保險政策,以及任何有關安全事件的保險事宜。
遵循法規是雲端服務的基本原則
對雲端服務供應商而言,無論提供的是軟體、開發或基礎設施的雲端服務,一旦以商業化的方式來進行,除了確認能夠滿足用戶的需求之外,遵守合約中明訂的安全規範,以及所在區域的法令法規,將是維運雲端服務的基本原則。
對用戶來說,如果需要上傳屬於個人資料的內容至雲端服務,由於受到個資法的規範約束,尤其要特別小心,除了確保必須符合個資蒐集、處理和利用的要求之外,針對服務供應商的安全審查也是不可或缺的,這時候如果有PLA作為一項隱私保護評估的依據,對業者和用戶雙方都可達到事半功倍的效果。
<本文作者:花俊傑曾任IT雜誌主編、資安顧問,擁有CISSP、CISA、CISM、CEH、CCSK、CIPP/IT、CIPM等國際認證,自詡為資安傳教士,樂於分享資安心得,讀者可透過jackforsec@gmail.com與之聯繫。>