保证云协作私密性的三大要素

On By Thomas Wingfield1 Min Read
data privacy
当涉及到数据隐私和云协作时,我们难以理清实现目标需要满足什么条件。在某个国家或地区,有些方面属于隐私范畴,但在另一个国家或地区却又不是。对于如何处理云数据,每个司法管辖区都有自己的规则。重要的是,不仅要满足本地合规性需求,还要实现最佳的隐私管理实践,可以随时随地进行追踪。 数据隐私正在成为世界各地每个组织的基本需求,以确保可以满足其用户和客户的法律隐私要求。但是,在数据保护的最佳实践方面,往往模棱两可。您应该担心数据驻留吗?应该担心合规性吗?应该担心认证吗?了解您的隐私计划的目标,这一点至关重要。当您清楚目标后,您可以提出正确的问题,并选择出一个符合需求且能保护数据的云协作解决方案。 对大多数组织来说,当涉及云协作中的数据隐私时,需要考虑以下 3 大要素: #1:组织数据治理:您能够控制在组织内部和外部共享哪些信息吗? #2:监管合规性:您是否遵守了当地法规或行业法规? #3:供应商可信任度:您的合作供应商能证明他们有能力保护您的数据吗?

1. 组织数据治理

您能完全控制您的数据吗?安全部门负责人认为,最重要的问题是如何控制组织内部共享的信息。他们希望确保用户在使用协作工具时不会意外或恶意泄露敏感信息。在支持用户无障碍协作时,保护组织的边界和规则极其重要。 在思考数据治理时,需要回答的重要问题包括: ·谁可以与谁合作? ·什么数据可以共享,什么数据不能共享? ·如果出现违规,会有什么后果? ·对数据控制方提供了什么样的控制措施?

Webex 防止信息落入坏人之手,并提供全面的控制。

通过实时防数据丢失 (DLP), IT 管理员可以阻止任何内外部用户访问敏感数据。这些功能由 Cisco Cloudlock 提供(已扩展到我们的合作伙伴生态系统)。这些功能可以标记防数据丢失 (DLP) 系统中的内容,无论这些内容是口头的、共享的还是展示出来的。 信息隔离墙功能是我们另一个强大的工具,这个功能允许 Webex 管理员禁止组织内各部门之间的 Webex 互动。最多可以禁止一个部门与五个不同部门的通信。 此外,借助 Webex,管理员始终可以控制组织的隐私,通过用户配置文件控制在取消服务时删除个人信息,控制用户生成的内容(指定信息存储多长时间),控制数据系统(为保留元数据以及思科隐私数据表的分处理方管理信息设置默认周期)。

2. 监管合规性

业务相关法律可能对组织内外部通信有监管要求。根据所在地区,政府可能会要求承诺保护数据隐私。越来越多的组织对实现数据本地化计划感兴趣,并希望确保服务供应商能够将数据储存在本地。根据思科最近的数据隐私基准研究,92% 的安全专业人士表示,数据本地化对组织非常重要,这是保护个人数据的必要手段。 为了实现数据本地化目标,您的供应商必须能够将数据保存在您所在的国家或地区。这并不意味着您的供应商一定要在您的地区建立数据中心,而是需要他们能够安全地在您所在的地区存储和处理数据。

Webex 致力于整合当地和地区的隐私标准

由于 Webex 的解决方案受特定数据的本地性和本地合规性需求驱动,所以允许客户将数据存储在本地。法兰克福和阿姆斯特丹数据中心允许欧盟 Webex 客户选择将数据存储在欧盟。用户对其数据的安全可以感到安心,他们的会议工件、消息、文件和白板等数据永远不会离开该地区。同样,加拿大的 Webex 用户可以选择将内容完全储存在自己的国家。 此外,多项认证均反映出我们在安全和隐私方面做出的承诺,其中包括 SOC2、CSA Star level 1 和 2、ISO 27001、27017 和 27018、HIPAA 自我评估,此外还有严格渗透测试、第三方审计以及各项新增的会议和通话安全和隐私保护选项。Webex 是第一家通过欧盟行为准则认证的云服务提供商。欧盟云行为准则承诺为云服务提供商提供法律确定性,证明其符合数据保护规则。

3. 提供商可信任度

通常,您的服务提供商就是您的数据保管人,而您的组织则是数据控制方。当您的终端用户有与隐私相关的需求时,您的提供商是否有足够的控制措施来满足这些需求?他们在这方面是否足够透明?分处理方呢?数据还会流向哪里?用于什么目的? 信任可以体现在很多方面,比如产品、原则和承诺等。 1.产品:数据保护、隐私和安全需求应融入产品当中。这些需求应该在设计和开发以及整个产品生命周期中加以考虑,应该提前内置相关功能,而不是事后在外部进行附加。产品需要应用各种安全框架来保护数据和客户,如零信任端到端安全。

数据保护在 Webex 深入人心

Webex 使用各种控制措施来保护数据,包括零信任端到端加密。Webex 会议平台上所有通信都是通过加密通道进行的。对数据有高保密需求的组织可能希望管理自己的加密密钥,以便设定密钥访问权限,以及可以使用密钥解密内容的权限。对于这些客户,我们通过 BYOK 功能提供了一种在云端设置和管理密钥的简单方法。这些密钥可用于 Webex Messaging,包括消息、文件和白板,还可用于 Webex Meetings 内容,包括录制、记录和呼叫(语音邮件)。 2.原则:在当今的数字世界中,供应商的原则和价值观应成为您做选择时的参考因素。在当下和未来的技术发展中,透明度或尊重数据权利等原则会推动数据的处理。例如,随着人工智能开始在协作技术中脱颖而出,这些原则将推动数据处理中责任和问责问题的解决。Webex 拥有最成熟、最全面的数据处理标准。

Webex 致力于以透明和负责的方式应对威胁

自 2017 年 12 月起,思科为客户提供了一个数据处理信息的统一在线位置,即信任门户网站,其中包括隐私数据表和隐私数据地图。 数据保护影响评估 (DPIA) 是思科隐私计划的组成部分,包括反映产品发展的周期性重新评估。公开的隐私数据表本质上是隐私评估的摘要,是我们发给客户的隐私通知。 思科的安全和信任组织协调数据事件响应过程,并管理以数据为中心的事件的企业级响应。该小组负责接收、调查和公开报告与思科产品和网络相关的安全漏洞。该团队与客户、独立安全研究人员、顾问、行业组织和其他供应商合作,确定思科产品和网络可能存在的安全问题。 3.承诺:提供商需要证明他们能够不断应对千变万化的安全、隐私和合规性需求的挑战。这包括获得和追求授权、认证,以及证明其符合您所在地区或行业的规定。 合规性是指提供商要证明其可以通过您所在国家/地区的数据中心来满足数据本地化需求。

Webex 的隐私和安全要求贯彻到每一步设计中

思科一直把安全和隐私放在首位。因此,我们在整个产品生命周期的产品设计和开发方法中纳入数据保护、隐私和安全要求,并使用各种安全框架来保护我们自身及客户的数据。我们根据思科安全开发生命周期 (SDL) 构建所有产品,其中包括隐私影响评估、主动渗透测试和威胁建模。

结语

您的合作供应商应能够从多个维度证明其有资格获得您的信任,并且确保数据在传输过程中、存储在云中以及存储在您期望地点时的安全性。Webex 主动采取措施,提供最高水平的安全和隐私保护。这个过程从设计之初到不断测试和意识到威胁,都是以隐私为基础的。 未来,Webex 需要在保护数据的各个层面上不断取得进展。 有关更多信息,请联系 Webex 销售 Cisco Webex | 联系销售人员

About The Author

Thomas Wingfield
Thomas Wingfield Consultant Cisco
Tom Wingfield is a consultant to Cisco managing product marketing for Webex’s government and public sector markets.
Learn more

Topics


More like this