数据保护令GDPR已经上路,最近陆续传出厂商尚未准备完全,因应可能高达2千万欧元或全球营业额4%的罚款,只好暂时停止服务欧洲用户,甚至结束营业的消息。面对这一波新考验,提供跨国服务的大型IT厂商,更是要严阵以待,以免吃上钜额罚金。像是VMware与AWS合作的混合云解决方案VMware Cloud on AWS,近日VMware也宣布,该解决方案已做足准备来因应GDPR。该公司表示,在GDPR规范下,提供VMware Cloud on AWS服务的VMware,其角色是数据处理者(Processor),而使用该服务的企业用户,若使用数据进行後续应用,在GDPR定义下,则属数据控制者(Controller)。VMware表示,除符合ISO 27001、ISO 27017、ISO 27018标准,自家服务也获得云端安全联盟(Cloud Security Alliance)认证。
而VMware也一一说明,该混合云解决方案因应GDPR的各项措施。首先是个人数据保护,该公司规范的数据处理准则,规定VMware作为数据处理者必须遵守GDPR,「根据企业用户的需求,处理个人隐私数据」,VMware表示,在该准则也明确规范作为数据处理者,拥有的操作权限
再者是资讯安全,VMware表示,该公司法遵部门、安全工程团队、安全事件应变小组和安全监控中心,会共同合作,建立归范、管理政策,预防产品出现漏洞。该公司也发展出一套实务准则,包含威胁评估、隐私查核、威胁侦测、持续安全监控,以及法遵稽核等。
第三个措施是数据迁移,VMware表示,使用该混合云解决方案的企业用户,拥有全权控制的权利。而该环境上执行的vSphere平台,符合开放虚拟化格式(Open Virtualization Format,OVF),vSphere环境中储存的用户数据,也都可以执行下载、复制、搬迁,或者转移。
而一旦遭外部人士入侵,收到安全监控中心通知後,VMware安全应变小组会马上启动,执行安全事件监识。VMware表示,如果该公司发觉,VMware Cloud on AWS出现安全事件,导致隐私数据流出、被非法存取,该公司也会马上通知企业用户,并且提供事件相关数据。最後则是跨国数据传输。VMware表示,如企业要将隐私数据搬迁至欧盟以外地区,GDPR也有进行规范,确保这些私密数据有足够保护。
