資料保護令GDPR已經上路,最近陸續傳出廠商尚未準備完全,因應可能高達2千萬歐元或全球營業額4%的罰款,只好暫時停止服務歐洲用戶,甚至結束營業的消息。面對這一波新考驗,提供跨國服務的大型IT廠商,更是要嚴陣以待,以免吃上鉅額罰金。像是VMware與AWS合作的混合雲解決方案VMware Cloud on AWS,近日VMware也宣布,該解決方案已做足準備來因應GDPR。該公司表示,在GDPR規範下,提供VMware Cloud on AWS服務的VMware,其角色是資料處理者(Processor),而使用該服務的企業用戶,若使用資料進行後續應用,在GDPR定義下,則屬資料控制者(Controller)。VMware表示,除符合ISO 27001、ISO 27017、ISO 27018標準,自家服務也獲得雲端安全聯盟(Cloud Security Alliance)認證。

而VMware也一一說明,該混合雲解決方案因應GDPR的各項措施。首先是個人資料保護,該公司規範的資料處理準則,規定VMware作為資料處理者必須遵守GDPR,「根據企業用戶的需求,處理個人隱私資料」,VMware表示,在該準則也明確規範作為資料處理者,擁有的操作權限

再者是資訊安全,VMware表示,該公司法遵部門、資安工程團隊、資安事件應變小組和資安監控中心,會共同合作,建立歸範、管理政策,預防產品出現漏洞。該公司也發展出一套實務準則,包含威脅評估、隱私查核、威脅偵測、持續資安監控,以及法遵稽核等。

第三個措施是資料遷移,VMware表示,使用該混合雲解決方案的企業用戶,擁有全權控制的權利。而該環境上執行的vSphere平臺,符合開放虛擬化格式(Open Virtualization Format,OVF),vSphere環境中儲存的用戶資料,也都可以執行下載、複製、搬遷,或者轉移。

而一旦遭外部人士入侵,收到資安監控中心通知後,VMware資安應變小組會馬上啟動,執行資安事件鑑識。VMware表示,如果該公司發覺,VMware Cloud on AWS出現資安事件,導致隱私資料流出、被非法存取,該公司也會馬上通知企業用戶,並且提供事件相關資料。最後則是跨國資料傳輸。VMware表示,如企業要將隱私資料搬遷至歐盟以外地區,GDPR也有進行規範,確保這些私密資料有足夠保護。


Advertisement

更多 iThome相關內容