國際雲端服務的合規議題分析
軟體
瀏覽數:395
發布日期:2022/02/21
雲端運算服務(雲服務)發展至今,不論技術或商業模式都步入成熟期,許多企業因應新的數位轉型趨勢,逐漸將自身IT系統從過去的自建機房模式轉向雲端架構,隨著雲服務被廣泛採用,其安全性、品質、數據使用等標準開始受到更多重視,許多國際組織、各國政府陸續推出多種對雲服務的監管措施,這讓雲服務的合規議題浮上檯面,成為供應商與使用者相當重視的一環。
 
雲服務廣泛採用,同時帶出兩項較常被檢視的問題。首先是資訊安全與信任的疑慮,雖然多數雲服務供應商強調產品的安全性,但事實上,即使三大公有雲商—AWS、微軟、Google 近年皆出現資安漏洞事件,例如Amazon旗下直播平台Twitch遭駭客入侵,數千名直播主的分潤資訊被公開;微軟Azure的Cosmos DB資料庫服務被發現有嚴重的安全漏洞,外部使用者可下載、刪除或操控用戶的商業資料庫;Google App被發現存在資安漏洞,若遭惡意人士利用,容易被駭客入侵。
 
過去企業自建IT機房,駭客入侵、資料遺失等資安事件的風險由企業自行承擔,進入雲端時代,不論選用IaaS、PaaS、SaaS形式,都是將IT系統「外包」給供應商,如果出差錯,責任歸屬是企業自身或雲服務供應商?
 
美國第一資本銀行2019年發生大規模數據洩漏事件,合作的公有雲廠商為AWS,事後第一資本銀行被主管機關重罰8,000萬美元,AWS卻全身而退,即使AWS官方的「風險與合規白皮書」已先聲明客戶應承擔的風險,但仍有責任分配不合比例的爭議。
 
為確保雲服務廣泛使用下能有效降低問題的疑慮,許多國際組織、各國政府推出相關法規、認證規範雲服務的標準,歐盟2016年推出「通用數據保護條例(GDPR)」、美國加州2018 年通過「加州消費者隱私保護法」等,是從個人隱私保護角度出發,要求雲服務商的產品須符合特定資安標準與數據使用限制。雲服務業者也會因某些產業具有較高的監管級別而受到規範,例如金融領域的「支付卡產業資料安全標準」(PCI DSS)、醫療領域「健康保險便利和責任法案(HIPAA)」等。
 
這些法規依其目的,對雲端產品有不同的要求,部分法規要求雲產品須通過指定的資安相關標準,或有些法規會限制數據存放位置與流通區域,這些規範多為「硬限制」,也就是說雲服務須符合法規標準,才能在特定地區販售、營利,因此其合規與否成為雲服務商面對的課題,而隨著他們將版圖拓展到全世界,這個課題會愈來愈複雜。
 
對客戶來說,不合規的雲服務可能帶來巨大損失,以HIPPA法案為例,若企業選用違反其標準的雲服務,最嚴重可能得面臨25萬美元罰款及十年監禁。不論是從供、需方來看,雲的合規議題已是當今顯學,許多組織招募數名員工,甚至整個部門專責追蹤、處理雲服務的合規性問題,以確保組織在雲端化的道路上,能同時符合複雜的監管環境。
 
近幾年連一向較保守的金融、醫療、國防等行業開始推動內部IT雲端化,證明雲服務已相當成熟,未來將逐漸取代傳統企業IT架構成為新的主流。雲服務被廣泛使用並成為大眾的必需服務後,就連帶受到相對應的監管壓力,各國政府將陸續針對雲服務的品質、安全、規格釋出更多標準。
 
雲服務具有外包的性質,多數企業擔心服務商無法保護數據而裹足不前,為獲得企業信任,資安是雲服務合規議題重中之重,雲服務商要藉由獲得多種第三方的資安標準認證,來證明產品可靠性,預期未來資安將成為雲服務合規議題的核心。
 
(本文刊登於2022/01/23 經濟日報A11版)
關鍵字: 雲端運算 ; 合規