安全性

在安全無虞的情況下安心運作。查看我們如何致力於保護您在雲端、混合式和地端部署中的靜態和傳輸中資料。

隱私權

掌控一切。查看我們的政策,以決定您的資料存取和使用方式。

合規

在各個地區實現完善的合規程序。查看我們的完整合規標準和法規清單。

彈性

掌握解決方案狀態的最新資訊。存取透明化檢視,以瞭解全球產品與服務的可用性。

VMware Cloud 安全性具備的優勢

無論是雲端、混合式或地端環境,我們都將您的安全性視為優先要務。
豐富的安全經驗

從政府單位、國防,到全球規模最大的資料中心,VMware 長期耕耘全球最重視機密性的環境,為備受信任的合作夥伴。現在,我們的雲端方案也盡享此一卓越信譽。

 

內建合規機制

VMware 旗下的每個雲端解決方案,皆已內建安全性基礎。這表示我們的方案符合主要合規認證,以符合可滿足業界最佳實踐方式的標準。

 

加快腳步,無需妥協

無論您要移轉至雲端、建置新一代應用平台、擴充資料中心,或自動化多雲維運,都可充滿信心地靈活推展作業。

 

VMware Cloud 安全功能

軟體安全性

VMware 擁有世界級的安全性合作夥伴關係,以及領先業界的安全性開發生命週期程序,可確保雲端作業與安全性控制機制能符合業界基準與最佳實踐方式。

資料安全性

VMware 採用嚴謹的資料保護標準,以確保在處理、儲存、傳輸與銷毀各分類層級的資料時,皆能妥善處理。我們將與您共同肩負維護雲端資料安全性的責任,並定義控制機制,以確保客戶旗下的組織資料皆由客戶自身所擁有和掌控。



網路安全性

VMware Cloud 解決方案是採用基礎架構即服務合作夥伴所提供的基礎網路安全性技術建置而成。網路環境會以邏輯方式劃分,且受防火牆保護,以保障業務安全性需求,並確保適當的防護和隔離。

身分識別與存取管理

VMware Cloud 解決方案會依據最低權限原則,使用身分識別與存取管理控制功能來確保所有人員都具備適當的存取層級,好讓您的資料和系統安全無虞。

 

弱點與修補管理

VMware 提供完善的弱點管理計畫,包含跨越網路、應用程式和本機作業系統層的協力廠商弱點掃描與滲透測試,可協助您先行掌握最新和新興的安全性落差。

作業管理

VMware Cloud 解決方案會持續收集和監控關於公有與私有威脅摘要的環境日誌記錄,以找出可疑與不尋常的活動。為協助達成此目標,我們會與產業實體、風險和合規組織、當地主管機關及監管機關保持聯絡,以持續瞭解最新資訊,進而確保迅速掌握新的威脅。

相關資源

VMware 安全性部落格

透過 VMware 安全性主管和專家所提供的最新趨勢、秘訣和技術,確保貴企業安全無虞。

《VMware Cloud Services 安全性概觀》(VMware Cloud Services Security Overview)

本白皮書探討 VMware Cloud Services 中實作的安全控制功能,讓您可深入瞭解 VMware 採用的雲端安全性措施。

身為公司,我們如何保護所處理的資料

我們在收集、使用、揭露、傳輸和儲存個人資訊時,皆運用透明化的程序。

產品與服務聲明

適用於 VMware 針對您使用 VMware 產品及服務所收集和使用的個人資訊,包含:

 

  • 我們在提供產品或服務時可能使用的 Cookie 和類似追蹤技術。
  • 我們為改善產品、服務與您的客戶經驗所收集的資料。

如需與 VMware 產品與服務相關的 VMware 客戶經驗改善和分析計畫詳細資訊,請參閱這裡

隱私權聲明

適用於當您進行下列操作時,我們所收集的個人資料:

 

  • 造訪、使用我們的任何網站、社交媒體頁面、行動應用程式 (若連結至隱私權聲明)、線上廣告、行銷信件,或與之進行互動。
  • 造訪、使用我們的任何活動、銷售、行銷及其他離線活動,或與之互動。
  • 購買 VMware 產品與服務,並提供與帳戶相關的個人資訊。

Cookie 聲明

旨在說明當您使用我們的網站和線上財產,並與之互動時,VMware 會如何使用 Cookie 和類似追蹤技術。

其他聲明

VMware 可能會針對特定網站、活動和行動應用程式做出其他隱私權聲明,包含「即時」揭露事項和產品內的隱私權聲明。此等聲明會補充或釐清 VMware 隱私權事宜的常規做法,或針對 VMware 處理資料的方式提供其他選擇。

身為服務供應商,我們如何保護資料

協助您符合資料保護和隱私權需求。

處理客戶內容

VMware 會處理、儲存和代管您或您的終端使用者上傳至 VMware 服務的內容,亦即「客戶內容」(如同《VMware 服務條款》或其他相關協議所定義)。VMware 會根據您的指示,以「服務供應商」或「處理者」的身分來處理客戶內容所含之個人資料。請查看我們的常見問題以瞭解詳細資訊。

資料處理附錄

VMware 的《資料處理附錄》(DPA) 中,闡述了 VMware 身為資料處理者所應盡的義務和承諾。VMware 會依據此 DPA 和適用的協議來處理客戶內容所含之個人資料。如需每項產品與服務所適用的標準協議,請參閱我們的終端使用者條款與條件

企業自我約束守則

身為處理者,VMware 已達成企業自我約束守則 (BCR) 的要求,並確認我們已符合歐盟《個人資料保護法規》針對在國際間傳輸客戶內容所含之個人資料的相關標準。

輔助處理者

VMware 可能會使用協力廠商公司來代表我們提供特定服務。凡是處理客戶內容所含之個人資料的第三方服務供應商 (輔助處理者),將備有書面協議和資料傳輸機制,以依據《資料處理附錄》所述保護個人資料。

 

VMware Cloud 安全性

VMware 設有多項計畫、政策和實踐方式,以確保客戶內容所含之個人資料能受到適當保護 (包含讓負責處理資料的員工定期接受訓練,以及簽署保密協議),並協助識別、預防與解決旗下產品與服務中的安全性弱點。這些計畫將持續接受審查並進行更新。

 

 

統一端點管理

VMware 提供多項解決方案來協助您保護組織的資訊和系統,您可使用管理控制功能,以透過公司自有裝置或個人裝置來存取與提供這些解決方案。查看 Workspace ONE 的隱私權和安全性計畫資訊,以及該服務所收集與使用之資料的相關揭露事項。

 

相關資源

CloudHealth by VMware 隱私權

探索 VMware 如何在備受信任的平台上處理並保護個人資料,以將多雲環境最佳化。

VMware Carbon Black Cloud 隱私權

瞭解這款雲原生安全性解決方案會收集哪些個人資料,以及 VMware 如何處理並保護這些資料。

VMware SD-WAN by VeloCloud 隱私權

瞭解這款網路層疊解決方案會收集哪些個人資料,以及 VMware 在資料保護作業上所扮演的角色。

 

VMware Workspace ONE 隱私權

瞭解這款數位工作區平台會收集哪些個人資料,以及 VMware 如何處理並保護這些資料。

VMware Cloud on AWS 隱私權

瞭解誰負責處理 VMware Cloud on AWS 軟體定義的資料中心內的個人資料,以及 VMware 如何保護其網域中的任何資料。

攜手確保合規

VMware 持續監控現有以及新興的安全性標準和需求,並將合適的需求整合到我們雲端服務的合規計畫中。VMware 做為協助您實現合規的合作夥伴,也希望身為客戶的您能確保服務方案可滿足您的合規和監管義務。

若有任何關於合規的問題,歡迎您就自身業務目標與 VMware 業務代表共同商討。

現有雲端合規計畫

持續更新與您最相關的合規計畫資訊。
如需 VMware 產品合規資訊,請按一下這裡。
Filter by
Filter by

 

 

其他合規資訊

感謝您對 VMware 合規資訊的關注。

如需合規計畫的其他資訊,請聯絡您的 VMware 業務代表。您的業務代表也能協助您取得未開放下載的合規報告。

Service Status

Service Location

Service Status

常見問題

信任中心

如需關於 VMware Cloud 信任中心的詳細資訊,建議與您的 VMware 業務代表聯絡。您的業務代表可取得相關資訊,為您的要求提供最合適的支援。

隱私權

「您的內容」或「客戶內容」是指身為客戶的您上傳至服務方案的任何內容,如同您與 VMware 之間的協議 (例如《VMware 服務條款》) 所進一步定義。這包含所有文字、音效、影片或映像檔以及軟體 (包含機器映像),或是由您或您的任何終端使用者上傳至您在我們服務方案中所開設的帳戶,以進行處理、儲存或代管的其他資訊。舉例來說,客戶內容會包含您或您的終端使用者儲存於 Workspace ONE 中的資料。重要的是,您的帳戶資訊,包含與您帳戶相關的名稱、使用者名稱、電話號碼和帳單資訊,以及我們針對您使用我們服務方案所收集的任何資訊,皆不包含在「客戶內容」的定義範疇之內。VMware 會依據我們的隱私權聲明處理此類資訊。

您一律保有自身客戶內容的擁有權。您可決定要使用哪些 VMware 服務方案來處理、儲存和代管客戶內容,以及要將哪些資訊上傳至服務方案,以做為客戶內容使用。此外,除非基於為您提供服務方案的必要性,以及您與我們所簽署之《VMware 服務條款》所述且允許的用途,否則我們將不會存取或使用您的客戶內容。最後,我們不會將客戶內容做為行銷或廣告之用。

 

針對要求揭露任何客戶內容之傳票、法院命令、代理訴訟或其他法律或法規需求,VMware 針對其處理方法做出以下合約承諾,且如同《服務條款》之「必要揭露」一節所述:

若法律未禁止通知客戶,VMware 將會:

- 通知客戶:向客戶通知揭露客戶內容的任何要求。

- 將政府機構轉介給客戶:向相關政府機構告知 VMware 為代表客戶行事的服務供應商,且所有存取客戶內容之要求皆應以書面形式傳送至客戶告知我們的指定聯絡人,或傳送至客戶的法律部門。 

- 限制存取:僅在獲得客戶授權的情況下,提供對客戶內容的存取權。若客戶提出要求,我們將採取合理步驟以對任何要求提出異議,費用則由客戶承擔。 

若法律禁止 VMware 通知客戶,VMware 將會:

- 評估法律效力:VMware 將會評估揭露要求,以判斷其是否具有法律效力和約束力。 

- 質疑非法要求:若 VMware 合理相信命令不符合適用法律,則會對該命令提出質疑。 

- 限制揭露範圍:VMware 會將任何揭露範圍限制為僅含我們必須揭露的資訊,且會根據適用法律揭露該資訊。

VMware 致力於在遵守適用法律的同時保護其客戶的內容,因此 VMware 在其《VMware 服務條款》(必要揭露) 和《企業自我約束守則 (BCR) 處理者政策》中,針對 VMware 回應政府單位存取要求的方式做出了承諾,且詳情如下所示。VMware 已製備《VMware 處理政府單位存取客戶內容要求的原則》,以協助客戶進一步瞭解 VMware 處理政府單位存取要求的承諾和流程,且其中包含 VMware 之 BCR 所述的承諾。 

VMware 特別就其處理政府單位存取要求的方式做出以下合約承諾,且如同《VMware 服務條款》之「必要揭露」一節所述:

若法律未禁止通知客戶,VMware 將會:

- 通知客戶:向客戶通知揭露客戶內容的任何要求。

- 將政府機構轉介給客戶:向相關政府機構告知 VMware 為代表客戶行事的服務供應商,且所有存取客戶內容之要求皆應以書面形式傳送至客戶告知我們的指定聯絡人,或傳送至客戶的法律部門。 

- 限制存取:僅在獲得客戶授權的情況下,提供對客戶內容的存取權。若客戶提出要求,我們將採取合理步驟以對任何要求提出異議,費用則由客戶承擔。

若法律禁止 VMware 通知客戶,VMware 將會:

- 評估法律效力:VMware 將會評估揭露要求,以判斷其是否具有法律效力和約束力。

- 質疑非法要求:若 VMware 合理相信命令不符合適用法律,則會對該命令提出質疑。

- 限制揭露範圍:VMware 會將任何揭露範圍限制為僅含我們必須揭露的資訊,且會根據適用法律揭露該資訊。

在任何情況下,VMware 都不會以超出民主社會所需範圍的大量、不成比例和無差別之方式,揭露任何個人資料。

此外,在歐盟法院 (ECJ) 於資料保護委員會訴 Facebook Ireland 和 Maximillian Schrems 之案例 C-311/18 (Schrems II) 中做出裁決後,VMware 已製備《VMware 根據 Schrems II 應用 FISA 702 條款和第 12333 號行政命令的聲明》,以因應關於美國情報機關可存取從歐盟傳輸至美國之資料的疑慮,並協助客戶瞭解應用兩項美國主管規定的可能性:第 12333 號行政命令 (EO) 和《外國情報監控法》(FISA) 702 條款。有鑑於 VMware 所提供的服務性質,VMware 強烈相信其在提供服務方案時,受到 702 條款或 EO 12333 規範的可能性極低。

VMware 是一家跨國公司,需受到全球法律規範。在適用的輔助處理者清單中,闡述了會就特定服務方案處理客戶內容所含之個人資料的國家 / 地區清單,如同這裡的說明。針對如同《VMware 服務條款》所述之政府單位存取要求和必要揭露,就 VMware 所知,沒有任何適用法律會影響其遵守相關承諾之能力。

在向客戶提供 VMware 服務時,VMware 可能會以處理者的身分,將來自歐洲經濟區 (下稱「EEA」)、瑞士和英國之客戶內容中包含的個人資料 (此等詞彙之定義如同《VMware 資料處理附錄》所定義),傳輸至第三方國家 / 地區。《個人資料保護法規》(下稱「GDPR」) 已納入英國國內立法,因此 GDPR 允許在 EEA 境外用於傳輸個人資料的資料傳輸機制,也適用於來自英國的傳輸。瑞士的《聯邦資料保護法》(下稱「FADP」) 依循與 GDPR 類似的架構,因此相同的資料傳輸機制亦適用於來自瑞士的傳輸 (需進行必要的修訂以因應任何差異)。

客戶個人資料的接收者或匯入者包含 VMware 集團中的實體,以及我們聘僱代表我們處理個人資料以提供 VMware 服務的選定協力廠商 (下稱「輔助處理者」)。如需瞭解我們為了處理與服務方案及客戶支援相關之客戶個人資料,所採用的 VMware 集團實體和輔助處理者清單,以及其所在地點的詳細資訊,請參閱這裡

集團內部傳輸:只要 VMware 以處理者之身分分享源自 EEA 的個人資料,均將根據其愛爾蘭資料保護委員會 (Irish Data Protection Commissioner) 和獲得同儕核准之企業自我約束守則 (即 VMware 企業自我約束守則 (下稱「VMware 的 EEA BCR」)) 進行,前述守則可對此等個人資料提供充分的保護,且對 VMware 集團具有法律約束力。

VMware BCR 係經歐洲資料保護機關 (European Data Protection Authorities) 於 2018 年 5 月 23 日核准。您可以在這裡檢閱說明該審查已完成的確認資訊。如需關於 VMware 企業自我約束守則的其他資訊,以及存取 VMware 的 EEA BCR 處理者政策,請參閱 VMware 的處理者企業自我約束守則。若要查看哪些 VMware 關係企業已簽署 VMware 的 EEA BCR 集團內部協議,請按一下這裡。如需進一步資訊,請按一下這裡

VMware 於英國提交的企業自我約束守則申請 (下稱「VMware 的英國 BCR」) 目前為待審中,當英國 BCR 生效時,將會更新《VMware 資料處理附錄》。請參閱常見問題「有鑑於英國脫歐,VMware 採取的資料傳輸策略為何?」以瞭解詳細資訊。

傳輸至第三方輔助處理者:VMware 已與其輔助處理者簽訂資料處理協議 (DPA),其中納入了從控制者至處理者的現行 SCC 版本,以確保安全且合法地從 EEA、瑞士和英國傳輸資料,並保護任何後續傳輸作業。歐盟委員會已發布新的 SCC 草案版本,請參閱這裡。一旦新 SCC 獲得核准並生效後,VMware 將根據歐盟委員會制定的任何新規定採取必要步驟,以與其輔助處理者一同實施該等新 SCC。

有鑑於英國脫歐,為了因應客戶對於 VMware 採取之相關資料傳輸策略的疑慮,並特別說明關於企業自我約束守則 (BCR) 和標準契約條款 (SCC) 之使用方式,VMware 已製備常見問題「英國脫歐和國際資料傳輸」,請參閱這裡

如需其他資訊,以瞭解關於 VMware 為確保適當防護個人資料傳輸而實施的機制,請參閱常見問題「為確保當 VMware 以處理者身分於 EEA、瑞士和英國境外傳輸個人資料時可獲得適當防護,VMware 已實施哪些機制?」

對 VMware 而言,服務方案安全性有著無比的重要性。如需透過清單瞭解我們服務方案所部署的安全性措施,請參閱信任中心安全性頁面

在您使用服務方案時,您需負責設定與實施必要的技術、組織和管理控制措施,讓您能遵守適用於您使用服務方案的法律,而這可能取決於您選擇使用服務方案處理的資料類型。與您的客戶內容安全性相關的責任,如適用協議所述,且包含:(a) 就您提供予使用者之存取權限進行管控、(b) 就服務方案作出適當之設定、(c) 於客戶內容傳入或傳出服務方案之際,需確保其安全性、(d) 使用您認為必要的加密技術保護客戶內容,及 (e) 就客戶內容進行備份。

VMware 設立了符合 ISO 27001 標準 (在適用情況下) 的資訊安全性管理方案,至少會每年進行一次審查,以確保落實適當的控管、實踐方式和程序。如需透過清單瞭解我們服務方案所部署的安全性措施,請參閱信任中心安全性頁面

VMware 會聘僱並採用第三方以代表 VMware 執行服務,藉此提供 VMware 服務方案或支援和訂閱服務。請參閱這裡所提供的詳細資訊。針對聘僱第三方,讓其以輔助處理者身分處理個人資料 (此等詞彙之定義如同《資料處理附錄》所定義) 之作業,VMware 已實施下列流程和程序:

1.合約承諾和國際資料傳輸:VMware 會與所有輔助處理者簽訂資料處理協議,該等協議要求輔助處理者需根據相關條款,維護個人資料的適當隱私權、安全和機密性,且前述條款本質上近似於 VMware 在《資料處理附錄》中對其客戶所做的合約承諾。VMware 皆以歐盟標準契約條款 (Standard Contractual Clauses) 為依據,除非已採用其他合法資料傳輸機制,且輔助處理者已做出適當的合約承諾。

2.隱私權審查流程和注重隱私權的設計:VMware 已建立集中化的端對端協力廠商管理流程,以供新供應商加入之用,其中包含使用集中化工具以起始、執行並追蹤第三方隱私權與安全性審查,以協助其執行合規作業。VMware 隱私團隊會對輔助處理者提供的服務進行詳盡的隱私權審查,包含判斷所處理的個人資料類別和處理目的。為了降低關於輔助處理者存取和處理個人資料的風險而採用的隱私權控制措施,以及確保符合法規而採用的隱私權控制措施,其實施情況亦包含在前述審查內。

3.安全性審查流程:VMware 制定了政策與流程,以針對輔助處理者執行安全性審查。VMware 安全團隊會對任何新的輔助處理者執行初步安全性審查,並根據所識別的安全風險層級持續進行監控。

4.輔助處理者清單和新輔助處理者的通知:VMware 針對個別服務方案所使用的輔助處理者,以及與支援和訂閱服務相關的輔助處理者,維護了一份清單。請至這裡存取每個服務方案的清單。若客戶已訂閱透過 VMware 提供之機制接收特定服務的通知,VMware 會在聘僱任何新的輔助處理者時,事先通知客戶。若您希望接收新輔助處理者的通知,請至這裡設定,並啟用相關輔助處理者清單的通知。

VMware 已實施注重隱私權的設計架構,以確保其地端產品和服務方案的設計皆符合適用的隱私權原則和法律需求。在 VMware 的地端產品和服務方案的設計生命週期中,實施了隱私權審查流程,其中包含透過隱私權審查提交產品或服務的書面說明、執行隱私權審查的專屬法律顧問、資料處理影響評估 (若有需要),以及一般隱私權需求,以依循適用的資料保護和隱私權法律設計產品 / 服務。

此外,VMware 亦已建立集中化的端對端協力廠商管理流程,以供新供應商加入之用,其中包含使用集中化工具以起始、執行並追蹤第三方隱私權與安全性審查,以協助其執行合規作業。VMware 隱私團隊會對輔助處理者提供的服務進行詳盡的隱私權審查,包含判斷所處理的個人資料類別和處理目的。為了降低關於輔助處理者存取和處理個人資料的風險而採用的隱私權控制措施,以及確保符合法規而採用的隱私權控制措施,其實施情況亦包含在前述審查內。

VMware 設有一位資料保護長,其為外部資料保護顧問公司的律師與董事。在 GDPR 第 38 條和第 39 條中,說明了資料保護長的職務。資料保護長必須參與所有關於個人資料保護的議題、針對組織在 GDPR 規範下的義務提供建議、監控其合規性、針對任何資料保護影響評估提供建議,並擔任監管機構的聯絡人。VMware 隱私團隊會視需要請 VMware 的資料保護長參與作業。如需聯絡 VMware 的資料保護長,請傳送電子郵件至 dpo@vmware.com。VMware 隱私團隊會視需要處理查詢項目,並 / 或請資料保護長參與作業。

VMware 為歐盟《個人資料保護法規》(下稱「GDPR」) 所定義的客戶內容「處理者」。VMware 已於《資料處理附錄》中,列出我們在 GDPR 規範下身為處理者所應善盡的義務和承諾,而且 VMware 將依據適用的協議和《資料處理附錄》來處理客戶內容所含之個人資料。此外,針對個人資料之處理,VMware 業已以處理者身分取得企業自我約束守則 (下稱「BCR」) 之相關許可。請至這裡參閱 VMware 的 BCR 複本,而 VMware 的許可證明則可在歐盟委員會網站上查閱。

VMware 提供企業解決方案,讓客戶能夠在多個系統和環境之間建置、管理、保護和執行應用程式。雖然 VMware 認為根據其提供給客戶之服務方案的性質,一般並未保證政府單位可直接存取客戶內容的要求,但 VMware 已採取下列步驟以遵循 Schrems II 裁決,並協助客戶針對其以控制者身分處理的資料,執行相關的合規作業:

加強關於政府單位存取要求的合約承諾

VMware 已更新其《服務條款》之「必要揭露」一節,以透過新增下列承諾來闡明 VMware 處理政府單位存取要求的方式:

若法律未禁止通知客戶,VMware 將會:

- 通知客戶:向客戶通知揭露客戶內容的任何要求。

- 將政府機構轉介給客戶:向相關政府機構告知 VMware 為代表客戶行事的服務供應商,且所有存取客戶內容之要求皆應以書面形式傳送至客戶告知我們的指定聯絡人,或傳送至客戶的法律部門。

- 限制存取:僅在獲得客戶授權的情況下,提供對客戶內容的存取權。若客戶提出要求,我們將採取合理步驟以對任何要求提出異議,費用則由客戶承擔。

若法律禁止 VMware 通知客戶,VMware 將會:

- 評估法律效力:VMware 將會評估揭露要求,以判斷其是否具有法律效力和約束力。

- 質疑非法要求:若 VMware 合理相信命令不符合適用法律,則會對該命令提出質疑。

- 限制揭露範圍:VMware 會將任何揭露範圍限制為僅含我們必須揭露的資訊,且會根據適用法律揭露該資訊。

關於處理政府單位存取要求和美國主管機關規定的透明化流程

為了協助客戶進一步瞭解 VMware 處理政府單位存取要求的承諾和流程 (包含 VMware 之 BCR 所述的承諾),VMware 已製備《VMware 處理政府單位存取客戶內容要求的原則》。

此外,VMware 已製備《VMware 根據 Schrems II 應用 FISA 702 條款和第 12333 號行政命令的聲明》,以因應關於美國情報機關可存取從歐盟傳輸至美國之資料的疑慮,並協助客戶瞭解應用兩項美國主管規定的可能性:第 12333 號行政命令 (EO) 和《外國情報監控法》(FISA) 702 條款。有鑑於 VMware 所提供的服務性質,VMware 強烈相信其在提供服務方案時,受到 702 條款或 EO 12333 規範的可能性極低。

更新與輔助處理者之間的合約,以確保傳輸個人資料時具有法律依據

自歐盟 - 美國隱私權護盾無效之後,VMware 已針對先前以歐盟 - 美國隱私權護盾做為資料傳輸機制依據的輔助處理者,實施了標準契約條款。身為資料處理者,VMware 在提供適用的 VMware 服務方案時,是以企業自我約束守則做為在歐盟境外傳輸個人資料的依據,如同《VMware 資料處理附錄》所述。如需關於 VMware 之 BCR 的其他資訊,請參閱這裡VMware 信任中心。 

技術和組織措施

VMware 確認其承諾實施並維護適當的技術和組織措施,如同《VMware 資料處理附錄》所述。VMware 的信任中心網站列出了 VMware 就其服務方案所維護的第三方認證和稽核。有鑑於 VMware 服務方案的性質,客戶也可控制其設定服務方案的方式,並可視需求實施任何必要的管理和技術控制措施,以保護因其使用適用服務方案而受到處理的資料。在許多情況下,VMware 會為客戶提供地端和託管解決方案,讓客戶可在管理其系統與基礎架構時從中進行選擇。

將 VMware 服務處理的資料類型透明化 - 規格說明

歐洲資料保護委員會 (EDPB) 在其關於「Schrems II」的常見問題中,說明了在判斷於歐盟境外傳輸個人資料之保護層級是否足夠時,必須將傳輸資料的類型視為考量因素之一,且控制者應進行逐案分析,以判斷此類傳輸作業所帶來的風險。為了協助客戶瞭解因其使用 VMware 服務方案而受到處理的資料類型,VMware 針對每個服務方案提供了服務說明 (請參閱這裡),且也在 VMware 信任中心的隱私權部分提供了特定服務方案的規格說明。針對 Workspace One 服務方案,VMware 也提供 Workspace One 揭露事項

凡是為加州消費者提供服務的企業,都應遵守《加州消費者隱私權法案》(下稱「CCPA」)。該法案會賦予個人在處理其個人資料方面的特定權限。根據 CCPA 的規定,VMware 以客戶的「服務供應商」身分行事,需負責處理客戶內容所含之個人資料。除非為了根據適用協議規定而向客戶提供服務的必要性,以及為了依照《資料處理附錄》所述而協助客戶回應 CCPA 中規定的資料主體存取要求,否則 VMware 皆不會存取或使用該等個人資料。當 VMware 根據 CCPA 規範以「企業」身分行事時,在 VMware 的加州隱私權通知與其他隱私權聲明內提供了詳細資訊,說明 VMware 如何以企業身分處理該等個人資訊,其中包含與所收集和使用之資料類別相關的任何必要揭露事項,以及個人資訊的銷售等。如需關於 CCPA 適用於 VMware 之服務提供的詳細資訊,請按一下這裡

準備要開始使用了嗎?