在資料隱私和雲端協作方面,要辨別達成目標的必要項目可能不太容易。在某個國家或地區視為隱私的內容,在其他地方可能算不上是隱私。每個管轄區域都有其各自處理雲端資料的規則。您除了必須符合當地的法規遵循需求外,還必須隨時隨地實現您的隱私管理最佳作法。 資料隱私逐漸成為世界各地所有組織的基本需求,以確保符合其使用者和客戶的隱私權相關規定。然而,有關確保資料安全無虞的最佳作法經常存在歧義。您需要擔心資料落地的問題嗎?法規遵循?認證?最重要的事是瞭解您的隱私權計畫目標。當您清楚瞭解自己的目標時,將能提出正確的問題並選擇符合需求以及可確保資料安全無虞的雲端解決方案。 對大多數組織而言,在雲端協作中的資料隱私權方面有 3 項關鍵考量因素: 1. 組織資料控管:您是否能夠控制在組織內部和外部共用的資訊? 2. 符合法規:您是否符合當地或業界規定? 3. 信任您的提供者:您的協作提供者是否可以證明自己能夠保護您的資料?
1. 組織資料控管
您是否能充分掌握自己的資料?安全性領導者表示,能夠控制從組織內部共用的資訊為其首要考量。他們希望確保使用者在使用其協作工具時不會意外或惡意洩漏敏感資訊。在為使用者提供順暢的協作時,保護您的組織界限和規則極為重要。 在思考資料控管時,必須回答的重要問題包括: 哪些人可以一起進行協作? 哪些內容可以或不能共用? 如果發生違規行為會發生什麼事? 為資料控制者提供的控制項類型有哪些?Webex 可防止資訊落入有心人士手中並提供全面的控制措施。
透過即時資料遺失防範 (DLP),IT 管理員可以防止任何內部或外部使用者存取敏感資訊。這些功能由 Cisco Cloudlock 提供支援(此功能可延伸至我們的合作夥伴生態系統),而且無論是口語、共用或顯示內容,它們都會在資料遺失防範 (DLP) 系統中加以標示。 我們的倫理牆功能是另一項強大工具,可讓 Webex 管理員禁止組織內多個部門之間的 Webex 互動。管理員可禁止部門與多達 5 個不同群組通訊。 有了 Webex,管理員也可透過能在取消佈建服務時移除個人資訊的使用者設定檔控制項、可指定資訊儲存期間的使用者產生內容控制項、具有中繼資料預設保留期間的資料系統控制項,以及思科隱私資料表的子處理器管理資訊,隨時掌控組織的隱私權。2. 符合法規
與您的業務相關的法律可能會規定組織內部和外部的通訊必須符合法規要求。視您的地區而定,政府可能也會要求提供對資料隱私的保護與承諾。由於有越來越多組織有意實作資料本地化計畫,因此也會希望確定您的服務提供者可以將資料保留在當地。根據思科最近的資料隱私基準研究指出,92% 的安全性專業人員表示,資料本地化對其組織而言相當重要,同時也是保護個人資料的必要措施。 為確保達成資料本地化目標,您的提供者必須能夠將資料保留在您所在的國家或地區。這並不代表您的提供者需要在您所在的地區設有資料中心,而是必須能夠在您所在的地區安全地儲存和處理資料。Webex 致力於結合當地和區域的隱私權標準
Webex 的方法可讓客戶基於特定資料地域性和當地法規遵循需求,將資料儲存在本機,這點已成為其中的驅動因素。法蘭克福和阿姆斯特丹資料中心可讓歐盟 Webex 客戶選擇將其資料儲存在歐盟地區。歐盟使用者可以安心確知其資料絕不會離開該地區,包括會議資料、訊息、檔案及白板等。同樣地,在加拿大的 Webex 使用者也可以選擇將其內容完全保留在加拿大境內。 此外,為實現我們對安全性與隱私權的承諾,我們取得了多項認證(包括 SOC2、CSA Star 層級 1 和 2、ISO 27001、ISO 27017 和 ISO 27018),並進行 HIPAA 自我評定、嚴謹的滲透測試、第三方稽核,以及新增會議和通話的各種安全性與隱私權選項。Webex 是第一個取得歐盟行為準則認證的雲端服務提供者。歐盟雲端行為準則承諾為雲端服務提供者提供法律明確性,證明其符合資料保護規則。3. 信任您的提供者
我們通常將您的服務提供者視為資料監管人,而您的組織則為資料控制者。當一般使用者具有隱私權相關需求時,您的提供者是否具備足夠的控制項可讓您用來滿足這些需求?他們在此方面是否足夠公開透明?有關子處理器的部分呢?資料還會流向何處以及其用途為何? 信任可透過多種形式呈現,包括產品、原則及承諾。 1.產品:應將資料保護、隱私權及安全性需求整合到產品中。在設計和開發階段與整個產品生命週期中,都應該將此點納入考量。我們要強調必須內建其中,而非事後才附加上去。此外,也必須在產品中套用各種安全性架構以保護資料和客戶,例如零信任端對端安全性。保護資料深入 Webex 內部
Webex 使用多種控制措施來保護資料,包括零信任與端對端加密。Webex Meetings 平台上的所有通訊均透過加密管道進行。嚴格要求資料保密的組織可能需要管理其加密金鑰,以便控管哪些人員可以存取金鑰,以及哪些人員有權使用金鑰將內容解密。我們為這些客戶提供簡單易懂的方法,讓他們能透過自攜金鑰 (BYOK) 功能,在雲端中設定及管理金鑰。這些金鑰可以與 Webex Messaging(包括傳訊、檔案和白板功能)及 Webex Meetings 內容(包括錄影、轉錄文字和通話(語音信箱))搭配使用。 2.原則:提供者在現今數位時代中的原則和價值觀應可指引您做出選擇。公開透明或尊重資料權等原則將可帶動現在和未來技術發展中的資料處理。例如,隨著人工智慧開始成為協作中的重要因素,這些原則也將推動資料處理中的責任制度與責任歸屬。Webex 具備最成熟和完善的資料處理標準。Webex 致力於在處理威脅時保持公開透明並落實責任制度
自 2017 年 12 月以來,思科即為客戶提供了可集中取得資料處理資訊的線上位置 Trust Portal,其中包括隱私資料表和隱私資料地圖。資料保護影響評估 (DPIA) 是思科隱私權計畫中不可或缺的一部分,包括可反映產品開發的週期性再評估。可公開取用的隱私資料表實質上為隱私權評估摘要,可做為提供給客戶的隱私權注意事項。思科資安技術和信任組織會協調資料事件回應程序,以及管理企業整體對以資料為中心的事件所做的回應。此團隊也負責管理與思科產品與網路相關的資安漏洞接收、調查和公開報告,並與客戶、獨立資安研究人員、顧問、業界組織及其他廠商合作,以找出思科產品與網路可能存在的資安問題。 3.承諾:提供者必須證明自己能夠持續因應安全性、隱私權及法規遵循需求不斷變遷的挑戰。當中包括取得和尋求授權、認證,以及證明自己符合您所在地區或產業的規定。法規遵循可能意味著證明提供者能夠在您所在的國家/地區設置資料中心,進而滿足資料本地化要求。Webex 隱私權與安全性內建於設計的所有層面
思科始終將安全性與隱私權視為第一要務。因此,在整個產品生命週期內,我們都會將資料保護、隱私權和安全性需求納入產品設計和開發方法中,並使用多種安全性架構保護我們和客戶的資料。我們根據 Cisco Secure Development Lifecycle (SDL) 打造所有產品,該程序包括隱私權影響評估、主動滲透測試及威脅模型建立。結論
您的協作提供者應能夠在各種不同層面證明自己有資格獲取您的信任,並確保您的資料在傳輸過程中、儲存於雲端以及位於所需位置時均安全無虞。Webex 採取主動措施來提供最高層級的安全性與隱私權。此程序從一開始就在最初的設計中內建隱私權,並且延伸至持續的測試與威脅認知中。Webex 的未來必然要在保護資料的各個層面不斷獲取進步。 如需詳細資訊,請聯絡 Cisco Webex 銷售人員 | 聯絡銷售人員About The Author
Thomas Wingfield Consultant Cisco
Tom Wingfield is a consultant to Cisco managing product marketing for Webex’s government and public sector markets.
Learn more
