2015年3月31日 星期二

[專欄] 讓雲端服務安全維護透明化 - 建立隱私等級協議 強化用戶信心與資料安全

隨著雲端服務已廣泛地受到個人和企業所使用,隱私維護與個人資料保護,更是用戶和雲端服務供應商,雙方都必須要重視的課題。對服務供應商來說,透過自我的安全評估並展現保護個人資料的決心,將有助於提升用戶的信心,也能強化市場的競爭力。 

目前,許多人對於雲端服務仍裹足不前的原因,有很大的一部份是來自於信任的問題,一旦個人或企業將自己擁有的資料上傳至雲端服務之後,就會擔心資料內容是否可能會被竊取或外洩,進而造成企業重大的損失。尤其是如果資料內容包含了個人資料的話,萬一遭到不當的揭露與使用,更可能會違反法令法規的要求,除了會造成企業的聲譽受損,很可能還要面對法律的懲處與求償。

為了強化雲端服務用戶的信心,並且讓業者能夠主動的自我要求與評估,由雲端安全聯盟(CSA)所發佈的PLA隱私等級協議綱要(Privacy Level Agreement Outline),雖然其主要目的是為了滿足歐盟(EU)對於隱私保護的要求,其實也非常適合作為雲端服務供應商在保護個人資料方面的參考。 

基本上,PLA綱要對於個人資料的揭露、隱私維護、資料保護政策、個人資料的處理與儲存方式等,提供了一個良好的文件化架構,一旦服務供應商完成了這項協議,對於現有的用戶和未來的客戶,就可以根據其所展現的實務做法,評估是否可以滿足個資保護的要求,並且作為在評選服務供應商的重要依據。

建立隱私等級協議的目的 

企業若採用了雲端服務,與業者的服務等級協議(SLA)往往是不可或缺的,而PLA即可作為雲端服務協議的一部分,更是服務供應商用來評估現有安全措施的一項工具,除了能夠自行檢測是否遵循了個資法規的要求,所展現的結果也能夠充分展現業者對於資料處理的透明性,以及對客戶資料保護所肩負的責任。

PLA的目標有二個,首先是提供了雲端服務用戶一項工具,可以用來評估雲端服務供應商是否信守承諾去保護個人資料;其次則是針對個資外洩可能造成的經濟損失和違反法規時所造成的影響,提供文件化的合約要求與約束。

在雲端安全聯盟所提出的綱要之中,主要宣示了以下幾個重點:
  • 雲端用戶內部與外部的盡職調查評估(due diligence)
  • 可上傳至雲端服務的個人資料類別
  • 雲端資料處理的方式 
  • 資料所在位置、傳輸、保存、監控及安全措施 
  • 個人資料外洩時的通報
  • 資料可移動性、移轉和傳輸的後端協助 
  • 可歸責性(Accountability) 
  • 依法實施的存取行動 
  • 補救與賠償
PLA的架構與綱要內容 

在PLA隱私等級協議綱要中,一共包括了16項要點,雲端服務供應商可在此陳述其所採取的實務做法,透過自我揭露的方式,讓用戶可以得知有關隱私維護與個資保護的現況,確保得以遵守來自內部與外部法規的要求,以下為各項要點的簡要說明。 

1. 識別雲端服務供應商的角色和資安隱私相關人員的聯絡方式
在此可說明雲端服務供應商的公司寶號、代表人和營業地點,以及在資料存取與處理過程中所扮演的角色,還有當用戶有資料安全和隱私相關問題時,提供能夠直接聯絡的管道與窗口,以顯示業者相當重視客戶有關安全的疑慮。 

2. 客戶禁止在雲端上傳送和處理的個人資料類別 
雲端服務供應商可在此說明用戶要求不能在雲端服務中處理的資料類型,常見的像是醫療資料、犯罪前科等特種個資,可能不太適合以公有雲方式來處理。 

3. 在雲端上處理資料的方式 
雲端服務供應商在其所提供的雲端服務中,隨著所扮演的角色不同,處理資料的方式也會不同,如果服務供應商是屬於資料處理者(processor),就必須說明因應資料控管者(controller)所要求的資料處理作法有哪些,其中最重要的就是資料處理者不可任意變更資料處理的目的,同時也包括資料儲存的地點、類型、監控方式等。另外,還需要說明有關資料中心對於個人資料的處理方式、存放地點和備份還原機制,如果雲端服務供應商本身採取了外包商的其他服務(例如Dropbox的儲存空間採用的是Amazon S3儲存服務),也就需要說明外包商在資料處理過程中涉入的程度、應負的安全責任及確保資料安全的作法。如果雲端服務還需要在用戶的電腦中,安裝附加程式如瀏覽器的plug-in等,也需要一併說明其目的和可能的影響。

4. 資料的傳輸 
在此可說明資料在正常營運或是在緊急的情況之下,是否會進行跨境的傳輸與備份,如果跨境傳輸是受到法規限制的,也要說明法令的內容與限制的要求。以歐盟為例,如果資料需要傳輸到歐盟以外的國家如美國,就必須說明法律許可進行的方式,以及是否符合了美國的安全港(Safe Harbor)協議。

5. 資料的安全措施
此處可說明雲端服務供應商為了對抗可能發生的資安事件,例如非法的存取使用、資料的遺失與不當揭露等危害資料安全的情況,所採取的技術面和管理面的做法,確認是否可以達成以下的安全目標。
  • 機密性:說明採取了哪些措施來維持機密性,例如在資料傳輸和閒置時實施加密,或是透過資安政策來宣告只有經過授權的員工才能存取資料,以及要求相關人員簽署保密協議,規範不得任意洩露所得知的機密訊息等。 
  • 完整性:描述如何確保資料內容的正確與完整,例如透過加密和電子簽章等機制,確認個人資料內容不會遭到竄改等。 
  • 可用性:說明資料的備份與備援機制,一旦資安事件發生時,能夠在多少的時間內回復原有的服務與資料。 
  • 隔離性:說明如何有效地控管與監督有權可存取個人資料的行為,例如在賦予角色與權限時,是否秉持了最小權限原則,並且定期的進行權限的檢視與審查等,以避免不當授權的情況發生。而針對雲端服務虛擬主機的使用,可說明如何透過hypervisor的運作與管理,確保在同一實體主機下的所有虛擬主機用戶,不會發生不當的資料存取行為。 
此外,如果服務供應商還參考並實施了來自其他國際標準的控制措施,例如ISO 27001、CSA CCM等,也可以一併在此描述所實施的內容和範圍。 

6. 監控 
描述是否讓用戶有權可針對所上傳的個人資料實施監控,或是能夠定期地進行實地審查,如果服務供應商不允許的話,是否可以提供獨立第三方的監控報告,以及委由公正業者來實施安全稽核。另外,針對資料的存取行為,是否可以提供相關的記錄,以確保有能力可識別出未經授權的存取事件發生。 

7. 第三方稽核 
說明是否有第三方的獨立稽核報告可以提供給用戶,在報告中應呈現稽核的範圍、時間、頻率及發現等,由於報告中可能包括了服務供應商某些敏感的營運資訊,因此實務上通常也會要求索取稽核報告的用戶,必須要簽署保密協議,以避免營運資訊的不當洩露。此外,如果服務供應商允許用戶可挑選適合的稽核員來實施審查,也可以在此說明相關的作業程序和所需負擔的費用成本等事項。 

8. 個資侵害事件的通報
說明萬一發生資安事件,造成個人資料受到不當的遺失、揭露、損毀,以及受到非法的存取與利用時,服務供應商所採取的因應措施與通報方式,特別要指出通報的時間與方式,以避免當事人受到更大的損害。 

9. 資料可移動性、移轉和傳輸的後端協助 
在此指出可移動資料的格式與關聯性,以及任何與移動的資料、應用程式、服務可能會產生的成本與費用。建議具體說明如何協助用戶,將資料移轉至新的服務業者或是內部的IT環境中,所需的作業方式及必須花費的成本。 

10. 資料保存、歸還和刪除 
描述雲端服務供應商的資料保存政策,以及當服務終止時,如何歸還或銷毀所保存的個人資料。 

11. 可歸責性 
描述雲端服務供應商有哪些安全政策和程序,能夠確保所提供的雲端服務已符合法令法規的要求,實務上的作法為保存和維護在資料處理過程中所產生的文件化資料,並且提供可信賴的監控方式和登入帳號的記錄。在此也可標示出服務供應商已取得的第三方驗證證書,說明其適用的範圍和有效期間。

12. 協同合作 
說明雲端服務供應商將如何與客戶充分合作,以確保符合法令法規和資料保護的要求,以便取信於用戶,並且因應所屬的主管機關進行的審查。 

13. 執行法律時的存取行為
說明如何因應執法單位的要求,對所管理的個人資料來提出適當的回應或揭露,同時也會對利害關係人及時發出通知,並且維持在犯罪調查過程中,需要保護的資料機密性。 

14. 補救與賠償
說明如果違反了PLA,在發生資安事件時可以提供給用戶的補救與賠償措施,在雲端服務方面,可能的賠償內容包括了損害事項的回復、進行訴訟的花費,以及合約明訂的賠償金額等。 

15. 抱怨與爭議的處理 
在與個人資料有關的抱怨和爭議中,提供主要可以聯絡的窗口,說明其接受處理問題的方式、回應的時間等,以及可以提供協助的其他資料保護組織等。 

16. 雲端服務供應商的保險政策 
說明雲端服務供應商的網路保險政策,以及任何有關安全事件的保險事宜。

遵循法規是雲端服務的基本原則 

對雲端服務供應商而言,無論提供的是軟體、開發或基礎設施的雲端服務,一旦以商業化的方式來進行,除了確認能夠滿足用戶的需求之外,遵守合約中明訂的安全規範,以及所在區域的法令法規,將是維運雲端服務的基本原則。 

對用戶來說,如果需要上傳屬於個人資料的內容至雲端服務,由於受到個資法的規範約束,尤其要特別小心,除了確保必須符合個資蒐集、處理和利用的要求之外,針對服務供應商的安全審查也是不可或缺的,這時候如果有PLA作為一項隱私保護評估的依據,對業者和用戶雙方都可達到事半功倍的效果。(本文刊載於2014年7月號網管人雜誌)

[參考資料] CSA Privacy Level Agreement Outline

沒有留言: