“我們除了做好業務轉移到雲上,業務的海外擴張也需要快速推進了。”某快速消費品公司負責海外業務的王總站在北京CBD辦公室的投影旁邊說道。
這家剛剛把業務放在雲上的企業,正籌備著進軍歐盟市場。但面對龐大的海外市場,王總卻有些苦惱。
➤一是對當地法律法規不瞭解,不知是否能順利透過當地的行業標準及認證;
➤二是有大批訂單資料存在洩露風險,這兩大問題擺在王總面前,他亟需解決。
而和王總一樣被合規、資料保護等安全痛點困擾的出海企業不在少數。
1、沒有安全合規,企業出海將寸步難行
合規一直是資訊化建設中的重要命題,特別是當下經濟飛速發展,企業上雲的同時,也紛紛邁開出海的步子,而當地監管會審查企業所使用的雲平臺是否合規,企業的安全性是否足夠好等等,所使用的雲平臺安全合規性便成了出海企業首要考量因素。對出海企業來說,如果不符合當地的這些法律法規,在當地就不算合法經營。
這些國際法律法規要求到底嚴格到什麼程度呢?
GDPR: 對於違法行為,輕者處以1000萬歐元或者上一年度全球營收的2%(兩者取其高)的罰款;重者處以2000萬歐元或者企業上一年度全球營收的4%(兩者取其高)的罰款。
俄羅斯《Information, Information Technologies and Information Protection Act No. 149 FZ》:違法的公司將會被起訴,除此之外還將被處以最高達30萬盧布的罰款,並可能被俄通訊監管機構下令關停。
韓國《Act on the Development of Cloud Computing and Protection of its Users》:若違反,處以不超過5年的監禁或不超過五千萬韓元的罰款。
這些不算小數目的處罰正是對不符合當地法律法規企業的最直接的警告。所以,將服務放在可靠、合規的雲服務商平臺,就顯得至關重要:
➢一來使用者選擇安全可靠、合規的合作方,需要擔心的事自然少;
➢二來使用者需要關注自己責任範圍內的合規,規避准入方面的問題,大型的雲服務商能提供
可靠的安全能力供使用者選擇使用,如資料加密、金鑰管理、應用安全防護等等。
出於這些考慮,王總再三斟酌後將自己公司的服務放在騰訊雲上,並選擇了相應的安全服務,而這些安全服務的背後,則是騰訊安全雲鼎實驗室(簡稱雲鼎實驗室)不斷耕耘的身影。
在為其他企業提供海外業務安全合規諮詢之前,雲鼎實驗室已在安全合規上耕耘多年,不斷建立和落實適用於世界各地的雲安全合規體系。
早在騰訊雲國際化開展海外業務前,負責雲平臺安全合規的雲鼎實驗室先對海外合規要求進行分析,包括不同國家和地區在安全體系、資料安全、個人資訊保護、以及金融行業、政務行業等的合規要求。除此之外還會對韓國、日本、美國、德國、加拿大、泰國、俄羅斯等地網路安全、資料安全方面的合規要求進行分析,同時,也在積極進行各國合規認證,加速自身雲平臺國際合規性程式。
近3年,在雲鼎實驗室合規專家們的助力下,騰訊雲已連續透過ISO系列等多項國際標準合規認證、CSA STAR金牌認證,以及嚴格的SOC 1、SOC 2、SOC 3審計,在資訊保安管理體系、IT服務管理體系、業務連續性管理體系、質量管理體系、個人資訊保護以及網路安全控制等方面有著極強的保證。同時,也獲得歐盟CISPE資料保護行為準則認證,提升雲服務商遵循 GDPR 要求的合規程度。
對於開頭提到的王總,雲鼎實驗室合規專家美玲曾同這家公司做過深度交流:
他們公司的情況比較典型,出海的時候需要符合國際安全標準,他們不清楚如何進行自身應用系統的資料全生命週期保護,我們對資料收集梳理方面進行幫助,對部分敏感資料進行脫密處理,部分敏感資料進行加密儲存,資料使用時細顆粒度許可權劃分,還有傳輸加密和資料清除,解決了一直困擾客戶的合規落地與認證獲取的問題,幫助他們透過了ISO 27001 和 PCI DSS。
針對眾多企業所面臨的問題,雲鼎實驗室制定了相應解決方案,為出海企業合規上雲提供諮詢與安全技術保障。
2、資料沒保護好,鉅額罰款是最直接的教訓
除了合規的限制,資料安全也是制約企業出海的一大因素。
今年Verizon釋出的《Verizon 2019年資料洩露調查報告》對41686起安全事件進行分析,其中包括2013起已證實的資料洩露事件。
這周英國資訊專業辦公室(Information Commissioner’s Office, ICO)發出一則訊息,英國當地時間7月8日早上,英國資訊專員辦公室決定,對去年英國航空50萬使用者資訊洩露一事開出1.83億英鎊(約合人民幣15.8億元)的罰單。這是歐盟《通用資料保護條例》(GDPR)生效以來的最高金額罰單,約佔英國航空2018年收入的1.5%。
這類因沒有保護好使用者資料而遭遇罰款的情況頻繁爆發,而要想解決這個問題,除了做好企業內部人員的風控管理,還需要把放在雲伺服器上的資料保管好。
那雲鼎實驗室是如何保障使用者在雲上的資料安全的呢?
➤首先雲鼎實驗室會從人員、流程、技術上層層把關做好資料安全保護工作,從源頭上確保客戶資料的機密性、可用性和完整性;在使用者使用雲服務過程中,提供眾多安全解決方案諮詢,從物理安全、主機安全、網路安全、應用安全、終端安全等方面,多層次全方位確保使用者資料受到高規格的防護。對於使用者資料,雲平臺做到不感知、不觸碰。
➤此外,雲鼎實驗室還構建了健全的風險發現和應急響應機制,形成“雲+端”聯動的立體防禦體系,並對執行過程中的可疑行為進行問題排查與追溯,讓使用者免除後顧之憂。
一些建議:
騰訊安全雲鼎實驗室推出的企業出海合規諮詢解決方案正幫助著一家又一家出海企業,合規與資料加密服務已服務超數萬家客戶,對出海企業雲鼎實驗室也為之梳理了幾點安全建議:
1、 對當地的法律法規、行業准入資質的分析;
2、 企業做好資料保護、個人資訊保護、網路安全的能力建設;
3、 儘早透過一些國際的合規認證,來形成第三方背書,比如資訊保安方面的有ISO27001、支付卡資料安全PCI DSS等認證;
4、 選擇安全性高、合規資質全的合作方,如騰訊安全。
在這股出海與數字化轉型的浪潮中,騰訊安全會堅持幫企業做好安全保障,讓每一個企業都能安全出海,心無旁鷲的擴充自身業務發展。