數據保護令GDPR已經(jīng)上路,最近陸續傳出廠(chǎng)商尚未準備完全,因應可能高達2千萬(wàn)歐元或全球營(yíng)業(yè)額4%的罰款,只好暫時(shí)停止服務(wù)歐洲用戶(hù),甚至結束營(yíng)業(yè)的消息。面對這一波新考驗,提供跨國服務(wù)的大型IT廠(chǎng)商,更是要嚴陣以待,以免吃上鉅額罰金。像是VMware與AWS合作的混合云解決方案VMware Cloud on AWS,近日VMware也宣布,該解決方案已做足準備來(lái)因應GDPR。該公司表示,在GDPR規范下,提供VMware Cloud on AWS服務(wù)的VMware,其角色是數據處理者(Processor),而使用該服務(wù)的企業(yè)用戶(hù),若使用數據進(jìn)行後續應用,在GDPR定義下,則屬數據控制者(Controller)。VMware表示,除符合ISO 27001、ISO 27017、ISO 27018標準,自家服務(wù)也獲得云端安全聯(lián)盟(Cloud Security Alliance)認證。
而VMware也一一說(shuō)明,該混合云解決方案因應GDPR的各項措施。首先是個(gè)人數據保護,該公司規范的數據處理準則,規定VMware作為數據處理者必須遵守GDPR,「根據企業(yè)用戶(hù)的需求,處理個(gè)人隱私數據」,VMware表示,在該準則也明確規范作為數據處理者,擁有的操作權限
再者是資訊安全,VMware表示,該公司法遵部門(mén)、安全工程團隊、安全事件應變小組和安全監控中心,會(huì )共同合作,建立歸范、管理政策,預防產(chǎn)品出現漏洞。該公司也發(fā)展出一套實(shí)務(wù)準則,包含威脅評估、隱私查核、威脅偵測、持續安全監控,以及法遵稽核等。
第三個(gè)措施是數據遷移,VMware表示,使用該混合云解決方案的企業(yè)用戶(hù),擁有全權控制的權利。而該環(huán)境上執行的vSphere平臺,符合開(kāi)放虛擬化格式(Open Virtualization Format,OVF),vSphere環(huán)境中儲存的用戶(hù)數據,也都可以執行下載、復制、搬遷,或者轉移。
而一旦遭外部人士入侵,收到安全監控中心通知後,VMware安全應變小組會(huì )馬上啟動(dòng),執行安全事件監識。VMware表示,如果該公司發(fā)覺(jué),VMware Cloud on AWS出現安全事件,導致隱私數據流出、被非法存取,該公司也會(huì )馬上通知企業(yè)用戶(hù),并且提供事件相關(guān)數據。最後則是跨國數據傳輸。VMware表示,如企業(yè)要將隱私數據搬遷至歐盟以外地區,GDPR也有進(jìn)行規范,確保這些私密數據有足夠保護。
