数据加密及安全

根据GDPR第32条,考虑最新的技术水平、实施成本、数据处理的范围、背景、目的,自然人的权利和自由可能面临不同程度的风险,数据的控制人
(controller)和处理人(processor)应当实施适当的技术和组织手段以确保数据的安全水平。

GDPR

访问来源追踪

根据GDPR第3条,该条例适用范围为数据是否来自欧盟的用户,而不考虑数据控制人(控制器)和数据处理人(处理器)是否在欧盟。
根据第44条,在符合GDPR及欧盟其它法规的条件下,数据控制人和数据处理人可以将数据转移到其它国家或国际组织进行处理;但应保证自然人的数据安全水平不因此而降低。

GDPR

数据隔离及权限管理

GDPR第28条,数据处理人(processor)不应当在没有数据控制人(controller)具体或通用授权的情况下,与另外一个processor交互数据。

GDPR

你可能想了解

  • 什么是GDPR?
  • 《通用数据保护条例》(GDPR) 是一项新的欧洲隐私法,于 2018 年 5 月 25 日生效。GDPR 将替换《欧盟数据保护指令》(也成为指令 95/46/EC) 。GDPR被各界认为是有史以来最为严格的数据保护法规。
  • GDPR适用于哪些人?
  • 欧洲隐私法律的地域适用范围正在通过GDPR不断扩大,除欧盟境内,位于欧盟境外许多组织也将随着GDPR的实施而不得不适用该隐私法律。
    GDPR首先适用于在欧盟境内设有业务机构的组织,只要这些组织的业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。因此,如果业务机构(例如分公司或联络代理)的活动与位于欧盟境外的组织进行的个人数据处理密不可分,则应当适用GDPR。
    其次,如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内个人的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,则也应当适用GDPR。
  • UCloud在帮助客户遵守GDPR方面会提供什么服务?
  • GDPR要求侧重于确保有效控制和保护个人数据,这包括个人数据的搜集、存储、流动及使用。
    UCloud在自身符合GDPR的基础上,为客户提供符合的安全解决方案,帮助客户更好的遵守GDPR要求:
    • 堡垒机: 管控运维操作,防范内部运维人员未授权获取个人数据
    • 主机入侵检测系统: 防护涉及个人数据的主机不受黑客入侵,并完成脆弱性自检
    • WEB应用防火墙: 检测防御WEB应用系统被Web应用漏洞攻击未授权获取个人数据
    • WEB漏洞扫描系统: 对WEB应用系统进行安全漏洞扫描,及时检测出试图影响个人数据的漏洞
    • 数据库审计系统(即将上线,敬请期待):审计记录对个人数据的操作
    • 云加密机(即将上线,敬请期待):对个人数据进行加密操作
    此外,我们还提供安全合规服务,不仅向客户出示UCloud已获得的权威合规认证,还能帮助客户更快、更好的通过合规服务。目前已开展国内主要地区的等级保护合规服务,未来将逐步开展包括GDPR合规在内的各项合规服务,敬请期待。
  • UCloud是如何符合GDPR和保护个人数据的?
  • ——权威的合规保障
    UCloud已通过ISO 27001、ISO 20000、CSA STAR、SOC1、信息安全等级保护、可信云认证及工信部云服务认证等多项保护个人数据保护项目的合规认证,由权威机构证明UCloud对个人数据保护方面的合规性。
    ——安全的方案保障
    GDPR要求侧重于确保有效控制和保护个人数据,这包括个人数据的搜集、存储、流动及使用。UCloud在自身符合GDPR的基础上,为客户提供符合的安全解决方案,帮助客户更好的遵守GDPR要求。详见3、UCloud在帮助客户遵守GDPR方面会向提供什么服务
  • UCloud设置了哪些安全措施来保护系统?
  • UCloud是中国排名靠前的中立公有云服务商,值得客户信赖,将自身的系统和数据放在UCloud云上。安全管理方面,我们具备专业的安全专家团队、合规与审计团队,通过培训全员提高安全意识,通过体系约束人员行为。安全技术方面,我们从基础环境设施安全,到网络、系统和应用服务安全均有高安全性的管控措施。详情请参阅《UCloud云安全白皮书》。
    UCloud可以提供由第三方审核机构出具的合规性报告,这些审核机构已经测试并审核过我们是否符合各种计算机安全标准和法规(包括 ISO 27001、ISO 20000、等级保护和可信云等)。客户可以查看UCloud获得的各类合规证明或报告,以便充分了解这些措施的效果。无论自己是数据控制者还是数据处理者,客户都可以从此类报告中看出,我们在保护他们用于存储和处理个人数据的底层基础设施。
  • UCloud怎样帮助客户保护数据免受网络攻击?
  • UCloud为客户提供了多种产品和服务,用于防范网络攻击并保护数据安全。
    高防服务为已备案的域名或源站 IP提供 DDoS 攻击防护。当用户的域名或源站 IP在遭受大流量的 DDoS 攻击时,可以通过高防 IP 代理源站 IP 面向用户,隐藏源站 IP,将攻击流量引流到高防IP 进行清洗, 确保源站的稳定正常运行。
    企业应用防火墙用于针对 web 网站的常见攻击进行监测和阻断。支持发现 SQL 注入、 XSS 跨站等 web 攻击行为。可以为用户降低停机时间、篡改和数据失窃的风险,并隐藏源站,防止对源站的直接攻击。
  • 怎样加密UCloud云上的个人数据以防未经授权访问?
  • UCloud 通过安全的架构设计,保证用户数据和业务之间严格的逻辑隔离, 保证同一资源池用户数据互不可见,根据帐号进行隔离,通过网络隔离的技术保证不同用户间的数据互不可见,无法通过内网访问。
    此外,为更好的遵循GDPR等数据保护规范,UCloud即将为客户提供安全加密服务,客户可以对云上的个人数据或其他重要数据进行加密,敬请期待。
  • 客户要求删除数据时,UCloud怎样处理?
  • 在客户要求删除数据时,UCloud 会默认为客户数据保留一段时间,以防止用户由于某些原因误操作导致重要数据被删除。超过时间后,将彻底删除客户的资源和数据。
    对于客户确认要求一次性删除的数据,以及客户不再使用的设备,UCloud将对硬盘或磁盘进行符合国际/国内标准的数据擦除等规范化操作,保证数据无法复原。

立刻体验,即可享受30余款产品免费套餐

立即体验