數(shù)據(jù)保護令GDPR已經(jīng)上路,最近陸續(xù)傳出廠商尚未準備完全,因應可能高達2千萬歐元或全球營業(yè)額4%的罰款,只好暫時停止服務歐洲用戶,甚至結束營業(yè)的消息。面對這一波新考驗,提供跨國服務的大型IT廠商,更是要嚴陣以待,以免吃上鉅額罰金。像是VMware與AWS合作的混合云解決方案VMware Cloud on AWS,近日VMware也宣布,該解決方案已做足準備來因應GDPR。該公司表示,在GDPR規(guī)范下,提供VMware Cloud on AWS服務的VMware,其角色是數(shù)據(jù)處理者(Processor),而使用該服務的企業(yè)用戶,若使用數(shù)據(jù)進行後續(xù)應用,在GDPR定義下,則屬數(shù)據(jù)控制者(Controller)。VMware表示,除符合ISO 27001、ISO 27017、ISO 27018標準,自家服務也獲得云端安全聯(lián)盟(Cloud Security Alliance)認證。
而VMware也一一說明,該混合云解決方案因應GDPR的各項措施。首先是個人數(shù)據(jù)保護,該公司規(guī)范的數(shù)據(jù)處理準則,規(guī)定VMware作為數(shù)據(jù)處理者必須遵守GDPR,「根據(jù)企業(yè)用戶的需求,處理個人隱私數(shù)據(jù)」,VMware表示,在該準則也明確規(guī)范作為數(shù)據(jù)處理者,擁有的操作權限
再者是資訊安全,VMware表示,該公司法遵部門、安全工程團隊、安全事件應變小組和安全監(jiān)控中心,會共同合作,建立歸范、管理政策,預防產(chǎn)品出現(xiàn)漏洞。該公司也發(fā)展出一套實務準則,包含威脅評估、隱私查核、威脅偵測、持續(xù)安全監(jiān)控,以及法遵稽核等。
第三個措施是數(shù)據(jù)遷移,VMware表示,使用該混合云解決方案的企業(yè)用戶,擁有全權控制的權利。而該環(huán)境上執(zhí)行的vSphere平臺,符合開放虛擬化格式(Open Virtualization Format,OVF),vSphere環(huán)境中儲存的用戶數(shù)據(jù),也都可以執(zhí)行下載、復制、搬遷,或者轉移。
而一旦遭外部人士入侵,收到安全監(jiān)控中心通知後,VMware安全應變小組會馬上啟動,執(zhí)行安全事件監(jiān)識。VMware表示,如果該公司發(fā)覺,VMware Cloud on AWS出現(xiàn)安全事件,導致隱私數(shù)據(jù)流出、被非法存取,該公司也會馬上通知企業(yè)用戶,并且提供事件相關數(shù)據(jù)。最後則是跨國數(shù)據(jù)傳輸。VMware表示,如企業(yè)要將隱私數(shù)據(jù)搬遷至歐盟以外地區(qū),GDPR也有進行規(guī)范,確保這些私密數(shù)據(jù)有足夠保護。
