隨著個人資料保護法的實施和民眾對於個人隱私保護意識的增加,對於日漸普及的雲端服務,一旦包含了民眾的個人資料處理,對於資訊安全要求就顯得更加重要。對雲端服務提供商而言,如何讓雲端服務的客戶和其使用者,能夠信賴雲端服務的安全機制,並且願意使用雲端服務,透過取得國際標準的認證,將是一個最佳的展現方式。由於科技的進步,傳統的商業模式和服務,時至今日已經逐漸轉型,透過高度資訊化和方便的網路連結,讓各項交易和服務能夠以更即時的方式來運作。目前,應用雲端運算的強大資源,資訊服務也能夠以更有效率且節約成本的方式,傳遞給不分國界的使用者。在使用雲端科技方面,關於服務本身的透明度與資料的安全性,已是受到普遍關注的議題。以公有雲的服務來說,某種程度上就是一種委外服務,就像傳統的金融服務一樣,民眾在考量是否要將貴重物品或金錢存放在某家銀行時,主要考量的要素就是銀行是不是值得讓人信賴。同理,雲端服務客戶在採用雲端服務時,也會關心自己重要且有價值的資訊,是否能夠獲得雲端服務提供商妥善且安全地處理。
目前,藉由與資訊安全標準ISO/IEC 27001的結合,ISO/IEC 27018提供了雲端服務提供商一個在處理個人可識別資訊(PII)時,可以參考的最佳實務指引。這本標準的重點在於協助公有雲服務提供商在扮演PII處理者時,有足夠能力去處理公有雲服務的資安議題,並且在能夠滿足客戶合約和法令法規的前提下,有效地因應雲端上個人資料保護的特定風險。
取得ISO/IEC 27018的必要條件
有鑑於ISO/IEC 27018對於個人資料保護之要求相當完備,並且需要由獨立的第三方實施現場查核,藉由稽核過程中所獲得的客觀證據,才可作為業者已經遵循實施此一國際標準的佐證,這已經是業界公認在雲端服務上保護個資的有效機制。
基本上,適用此一標準而可以進行驗證的組織,以雲端服務提供商為主,而且是提供了公有雲服務,其業務型態包括了個人資料的蒐集、處裡、利用或傳輸等。ISO/IEC 27018要求在服務使用者同意的情況下,針對個人資料生命週期的各個階段,都需要採取適當的保護措施。同時,雲端服務提供商也有義務,需要對雲端服務客戶說明如何確保資料的完整性和透明性等議題,並且尊重使用者對於其個人資料的主張權益。
對於雲端服務提供商來說,在導入ISO/IEC 27018之後,所產生的效益包括了:
- 增加使用者的信任:提供更強的安全保護機制,以確認雲端服務客戶和利害關係人的個人資料已經受到妥善的保護。
- 強化商業競爭力:比同業的競爭對手提供更高層次的個資保護措施。
- 保護品牌和商譽:降低因資安或資料外洩事件的發生,以保護組織的聲譽。
- 有效降低資安風險:藉由實施風險評鑑的過程來選擇適當的控制措施,可有效地管理可能的資安風險。
- 協助組織營運成長:對於跨國的企業或提供不同國家服務的雲端服務提供商,可以提供一個共同的規範準則,協助組織更容易地在世界各地提供公眾使用的雲端服務。
ISO/IEC 27018國際標準的架構
ISO/IEC 27018標準的內容主要由兩個部份組成,它分別參考了ISO/IEC 27001附錄A,也就是ISO/IEC 27002的16項控制措施,以及根據ISO/IEC 29100的11項隱私權框架原則所追加的25項控制措施。以下僅針對個資隱私保護原則的部份,做簡要的說明。
1. 同意及選擇:這項要求只有追加一個「A.1.1 有關個人資料當事人權利的合作義務」控制措施,主要是要求公有雲的個資處理者,應該要提供個資當事人能行使其個資權利的方式,包括有能力可存取、更正或刪除屬於他們的個人資料。
2. 目的適法性及規定:這項要求包括了「A.2.1 公有雲PII處理者的目的」和「A.2.2 公有雲PII處理者的商業使用」二個控制措施,主要是要求公有雲的個資處理者應該要基於合約的使用目的,不能以獨立於合約的其他任何目的來處理個人資料,除非以重新獲得當事人的同意。另外,在商業使用方面,在沒有獲得同意之前,不應將個人資料作為行銷和廣告的目的來使用,而且也不應該以此作為客戶接受此項服務的條件,換句話說,應給予雲端服務客戶可以自由選擇的權利。
3. 資料極小化:這項要求的控制措施是「A.4.1 暫時性檔案的安全刪除」,主要是針對在處理個資的過程中,可能會產生許多暫時性的檔案,像是個資編輯修改的記錄、存取的日誌記錄、修改的副本暫存檔等,由於內容也可能涉及個資,因此應在指定或所約定的期間內被刪除或銷毀。
4. 利用、持有及揭露限制:這項要求包括了「A.5.1 PII揭露的告知」和「A.5.2 PII揭露的紀錄」,主要是規範當公有雲的業者遇到來自執法單位的具有法律約束力的個資揭露要求時,需要按照合約所約定的程序和時間,通知受影響的雲端服務客戶,除非是受到法律或其他方式要求禁止通知。此外,對於第三方揭露個資時,需要明確地記錄對誰?在什麼時間?揭露了哪些資料?目前實務上,可以透過定期提供透明度報告來向客戶告知相關訊息。
5. 公開、透明及告知:這項要求的控制措施是「A.7.1 委外PII處理的揭露」,它規範了公有雲業者若是採用分包商來處理個資時,需要在採用之前向相關的雲端服務客戶說明採用的方式和委外的情況。
6. 可歸責性:這項要求的控制措施,包括了「A.9.1 通知涉及PII的洩漏」、「A.9.2 管理的安全政策及指引的保存期間」及「A.9.3 PII的返還、傳輸及汰除」,主要是要求公有雲業者在任何未經授權存取個資,或是發生個資遺失、洩露或竄改時,應及時地通知相關的雲端服務客戶。另外,業者還需要保存服務提供期間的安全政策和作業程序副本,並在定期地更新,而且需要說明有關個資的返還、傳輸及汰除的政策內容,讓雲端服務客戶可以了解其作業方式。
7. 資訊安全:在資訊安全的要求方面,所要求的控制措施是最多的,包括了「A.10.1 機密性或保密協議」、「A.10.2 建立實體資料的限制」、「A.10.3 資料還原的控制和記錄」、「A.10.4 保護離開場所的儲存媒體上的資料」、「A.10.5 未加密可攜式媒體和裝置的使用」、「A.10.6 PII透過公眾網路傳輸的加密」、「A.10.7 實體資料的安全汰除」、「A.10.8 獨特的使用者ID」、「A.10.9 經授權使用者的記錄」、「A.10.10 使用者ID管理」、「A.10.11 合約措施」、「A.10.12 委外PII處理」,以及「A.10.13 先前使用的資料儲存空間上的資料存取」。
首先是保密的要求,對於有能力可以存取個資的工作人員,需具有保密的義務;針對個資方面,如果創建產生可顯示個資的實體文件,則需要受到限制;當業者進行資料還原時,需要記錄還原過程的程序和記錄;含有個資的儲存媒體,如磁碟、磁帶、光碟等需離開組織場所時,要經過適當授權和保護,而未加密的儲存媒體或可攜式裝置原則上是不該被使用的,若是在不可避免的情況下,則需要留下記錄;在透過公眾網路傳輸個資時,資料在傳輸前需經過加密處理,實體資料若需要汰除,應採取安全的機制,像是交叉切割、焚燒或水銷等方式銷毀;業者內部需要存取個資的工作人員,都要使用唯一的識別帳號以適當的區隔和授權,並且記錄使用者的活動概況,如果是已停用或過期的帳號,則不應再指派給其他人員使用;在合約方面,應明確說明所採取的安全措施,以確保資料不會被目的以外的方式進行處理;需要進行分包處理時,也應明確說明相關的處理程序和個資保護責任;因為雲端服務共同資源的特性,若先前使用過的資料儲存空間,要重新分配給其他用戶時,也要確保先前儲存的資料是不可見的。
8. 隱私遵循:這項要求的控制措施,包括了「A.11.1 個人資料的地理位置」和「A.11.2 個人資料的預期目的地」,由於雲端服務跨國的特性,主要是規範業者需明確說明,個資可能會被儲存在哪些國家。另外,若是透過網路來傳輸個資,也需要採取適當控制措施來確保資料可到達其預定的目的地。
以標準做法和國際服務要求接軌
ISO/IEC 27018是全世界第一個針對雲端服務提供商如何在公有雲上保護個人資料的國際標準,已順利通過ISO/IEC 27018的雲端服務提供商,可以宣告基於此國際標準的要求,對於雲端服務上個人資料的蒐集、處裡、利用或傳輸等,已經受到適當有效的安全保護。目前,已經通過驗證的雲端服務提供商,包括了微軟的Azure和Office 365、Amazon的AWS、Google、Dropbox、Box.com、香港的Ribose、日本的HDE和TKC、韓國的NAVER Business Platform Corp.等業者,期許台灣的雲端服務提供商,也能參考此一國際標準的要求,及早取得證書來和國際業界接軌。
(本文刊載於2017年2月號網管人雜誌)
沒有留言:
張貼留言