資料安全性和合規的重要性
資料安全性的用意,在於防範生命週期內的數位資訊,遭到非法存取、揭露、修改或毀損。唯有採用包含保護機制、原則和技術的架構,才能協助資料抵禦駭客、病毒、實體竊取和意外遺失等潛在威脅。
合規代表依循產業或內部政策所規範的特定法律、規則和標準之規定,以處理、儲存和保護資料。合規可確保企業合乎既定規則,以保護敏感資料、確保隱私權,並降低資料外洩的相關風險,或避免因違規而遭受處罰。
在與日俱增的資料保護、落地和治理法規下,企業需要投注超乎過往的心力,以確保資料安全性和資料合規。國家 / 地區規定早已超越資料落地的範疇,並擴大涵蓋資料保護、治理、揭露和報告等層面。舉凡美國《愛國者法案》、歐盟《個人資料保護法規》(GDPR)、澳洲 / 紐西蘭《隱私權法案》、新加坡 / 馬來西亞 / 泰國 / 印尼《個人資料保護法案》、加拿大《數位隱私權法案》,以及巴西 LGPD 等,都在國家 / 地區法規之列。
而歐盟的《個人資料保護法規》(GDPR),更成為世界各地的資料隱私權法規基礎。這項法規的主要原則,在於落實安全的個人資料處理。根據英國《個人資料保護法規》(GDPR) 之規定,安全性措施必須要能確保資料的機密性、完整性和可用性,並防範意外遺失、破壞或毀損。
而在推動資料保護方面,依循美國國家標準暨技術研究院 (NIST) 的《聯邦風險與授權管理計畫》(FedRAMP) 支付卡產業 (PCI)、國際標準組織 27001 (ISO27001)、國際標準組織 27032 (ISO27032)、英國國家標準機構 (BSI),以及網際網路工程任務組 (IETF) 等合規標準,更已成為優先要務之一。
由此可見,資料安全性確實相當重要,尤其在個人資料的處理上,更有著無比重要性。畢竟,政府單位、醫療照護和金融等重大領域若發生資料遺失,即有可能衍生身分識別遭竊等問題;若發生資料破壞、毀損和濫用,則有可能對企業和消費者造成無法挽回的衝擊。資料安全性的另一個關鍵部分,在於限制可存取敏感和受限制資料的對象,以及在需要進行資料移轉時,能確保信任和彈性。
《國家 / 地區法規正帶動主權雲的採用》(National Data Regulations Are Driving Adoption of Sovereign Cloud)
VMware Sovereign Cloud Initiative
主權雲的優勢
主權雲可運用在部分需受保護的工作負載上,不僅能提供私有雲的資料主權優勢,也不會造成 IT 負擔。使用主權雲,您就能一手掌控您的資料。主權雲可確保其他管轄區域無法對儲存在境外的資料行使公權力,或加以存取,藉此為包含中繼資料在內的所有資料,提供無與倫比的隱私權和保護。此外,主權雲也能輕鬆確保您的資料符合跨境移動的相關規定。主權雲可讓客戶善加運用資料,如此一來,他們就能駕馭位於國內的本地化資料,以發揮更多價值。
合規為遵循資料主權法律的重要關鍵,舉凡資料儲存地點和存取對象等層面,都包含在內。隨著法律持續演進,企業需要仰賴合規人員來瞭解並依循相關的當地和產業法規。主權雲供應商會藉助當地合規專家之力,以掌握最新的法律。
資料安全性和控管機制
主權雲會由主權國家公民管理代管,以遵守嚴格的資料主權規則。主權雲中的駐留網域,會與供應商的核心網路和網際網路加以隔離。管理和控制平台會完全於主權雲內代管,而且沒有任何會讓資料離開主權邊界的外部相依性。包含備份、中繼資料、會計和支援資訊在內的所有資料,都會儲存在國家 / 地區內。
使用主權雲,您就能保有最高等級的安全性,包括採用專屬的加密金鑰,以確保雲端供應商無法存取您的資料。主權雲可透過商用雲端缺乏的控管機制和服務,著手保護您的資料隱私權和主權。
資料合規
符合資料主權和隱私權法規的第一步,在於瞭解您的資料、其存放地點,以及各個地點的資料落地、隱私權和主權政策。正因如此,您需要將資料分門別類。
主權雲會採用完全在當地建置且通過驗證的平台,而該平台會依循當地法律和法規,以進行自訂、維護和運作。主權雲應由深具經驗的供應商執行,而該供應商需瞭解如何使用符合當地資料法規、法律和需求的進階安全性控管機制,協助雲端應用程式和資料抵禦不斷進化的攻擊媒介,進而保護最高等級和最敏感的資料和工作負載。
資料安全性與合規的最佳實踐方式
主權雲應由深具經驗的供應商執行,而該供應商需瞭解如何使用符合當地資料法規、法律和需求的進階安全性控管機制,協助雲端應用程式和資料抵禦不斷進化的攻擊媒介,進而保護最高等級和最敏感的資料和工作負載。此外,主權雲供應商也應使用獲得業界肯定的資格認證,且定期進行稽核的資訊安全性管理 (ISMS) 控管機制,以確保安全性。
為了保護您的資料,主權雲供應商應採用微分段,並落實零信任,以確保除非已特別取得許可,否則工作負載將無法相互通訊。另外,主權雲也需進行氣隙處理,並運用加密措施,以便與外界環境隔絕。採用多層安全性方法,有助於保護主權雲中的資料和應用程式,以避免其發生遺失、破壞或毀損等情況。
安全性和資料合規挑戰
安全性和合規所面臨的挑戰,在於資料隱私權法律會指定資料必須如何進行處理,以保護個人隱私權、機密性或機密資料。這些法律經常會納入特定安全性需求,並規定企業必須加以依循,以保護旗下資料。此外,安全性措施也是防範資料遺失或外洩的必要措施,而無論資料遺失或外洩,都會導致違規。
因此,企業不僅需要遵守這些資料隱私權法律和產業法規,也需證明自身的合規性。隨著隱私權法律的數量持續攀升,以及內容頻繁更動,保持合規的難度也水漲船高,而且如有違規,更有可能衍生驚人的罰款。
要達成現行法律和法規所規範的高度資料保護標準,採用穩健的資料安全性和合規策略是重要關鍵。VMware Cloud Provider 提供的主權雲,可協助您確保資訊系統和敏感資料的完整性、安全性及可用性。
- 主權雲供應商可依循下列準則,協助您的系統和資料抵禦安全性風險:
- 讓資料處於主權控制之下,並防止外國主管機關強行存取
- 將安全性視為優先要務,以抵禦不斷進化的攻擊媒介,從而保護您的資料和應用程式
- 提供超越商用公有雲的主權雲防護和合規服務
- 協助您使用資料獲利,透過與受信任的各方共用旗下資料,以振興國內經濟
- 為不斷演進的安全性和法規需求做好準備
- 提供安全、彈性的雲端,以帶動國內經濟和業務成長
