通用数据保护条例(GDPR)合规产品介绍

《通用数据保护条例》是迄今为止覆盖较为全面的全球性数据隐私保护法规,于2018年5月25日生效。UCloud非常重视客户的数据和基础设施的安全性,确保所有的产品和服务符合GDPR规定。

数据加密及安全

根据GDPR第32条,考虑最新的技术水平、实施成本、数据处理的范围、背景、目的,自然人的权利和自由可能面临不同程度的风险,数据的控制人 (controller)和处理人(processor)应当实施适当的技术和组织手段以确保数据的安全水平。

  • 云加密服务

    云加密服务部署在云计算平台中IaaS层,为云平台上的业务应用系统提供硬件密码运算服务和密钥管理服务,可有效保障业务系统中的用户信息数据等。

  • IPSec VPN

    UCloud IPSecVPN产品基于IPSec协议实现,用户可以通过IPSecVPN自由配置隧道的加密算法、认证算法、协商模式等,通过隧道传输的数据可以确保安全。

  • SSL证书管理

    SSL证书管理服务,为客户提供一站式SSL证书购买、审批、使用、吊销和删除的全生命周期管理。SSL证书可以实现Web业务系统HTTPS化,加密传输数据,有效防范用户数据信息在传输过程中被劫持、篡改、监听等。

  • Web应用防火墙

    Web应用防火墙,检测和防御攻击者针对客户Web业务系统发起的Web应用攻击,支持防护常规的Web应用漏洞攻击、CC攻击等。保障客户Web业务系统的正常运行,降低业务用户数据泄漏等安全风险。

  • 外网防火墙

    UCloud外网防火墙可以应用在UHost、NAT Gateway等多个产品上,利用iptables和ovs实现,用户可以使用该产品,方便的实现对端口、源IP、协议的控制,确保业务安全。

  • 云数据库

    • 指定数据的存储位置,包括存储类型和存储所在的物理地域
    • 指定数据的加密方式,包括不同级别、不同加密算法的加密
    • 审计所有的操作,包括用户执行的所有查询和数据更改的操作
    • 指定数据容灾的存储方式,包括容灾的存储介质和物理地域

访问来源追踪

根据GDPR第3条,该条例适用范围为数据是否来自欧盟的用户,而不考虑数据控制人(控制器)和数据处理人(处理器)是否在欧盟。根据第44条,在符合GDPR及欧盟其它法规的条件下,数据控制人和数据处理人可以将数据转移到其它国家或国际组织进行处理;但应保证自然人的数据安全水平不因此而降低。

网络流分析

UCloud 网络流分析产品,通过对外网流量的分光,使用基于DPDK的业务集群进行数据分析,可以对流量的协议、状态、访问源进行统计分析,方便用户查看EIP的访问源,并基于此进行业务的优化、安全防护等工作。

咨询客服

数据隔离及权限管理

GDPR第28条,数据处理人(processor)不应当在没有数据控制人(controller)具体或通用授权的情况下,与另外一个processor交互数据。

  • UVPC

    UCloud VPC基于OpenFlow协议实现,采用Open vSwitch、DPDK等技术自研转发面,采用自研的controller与后台控制平台自研控制面,保证UCloud云平台上的不同租户间的各个产品(例如UHost、UPHost、UMem、UDB等等)实现彻底的网络隔离,同租户的不同VPC可以由客户控制网络的互通和隔离。同时,用户可以通过EIP、NAT Gateway等产品,方便的控制VPC内部产品的外网互通需求。

  • 账号权限管理

    账号与权限管理(UCloud Access Manage )是身份认证和访问权限控制的服务;适用于同一组织下多成员共同管理UCloud云计算资源及财务信息的场景;可授予不同成员于不同的资源操作权限。利于企业规划管理资源及成员权限。

你可能想了解

  • 什么是GDPR?
  • 《通用数据保护条例》(GDPR) 是一项新的欧洲隐私法,于 2018 年 5 月 25 日生效。GDPR 将替换《欧盟数据保护指令》(也成为指令 95/46/EC) 。GDPR被各界认为是有史以来最为严格的数据保护法规。
  • GDPR适用于哪些人?
  • 欧洲隐私法律的地域适用范围正在通过GDPR不断扩大,除欧盟境内,位于欧盟境外许多组织也将随着GDPR的实施而不得不适用该隐私法律。
    GDPR首先适用于在欧盟境内设有业务机构的组织,只要这些组织的业务机构在欧盟境内的活动中处理个人数据(而不论此类处理行为是否实际发生在欧盟境内)。因此,如果业务机构(例如分公司或联络代理)的活动与位于欧盟境外的组织进行的个人数据处理密不可分,则应当适用GDPR。
    其次,如某一组织虽不在欧盟境内设立业务机构,但却处理欧盟境内个人的个人数据,并且此类处理行为与向欧盟境内个人提供商品或服务相关,无论该等商品或服务是否收费,则也应当适用GDPR。
  • UCloud在帮助客户遵守GDPR方面会提供什么服务?
  • GDPR要求侧重于确保有效控制和保护个人数据,这包括个人数据的搜集、存储、流动及使用。
    UCloud在自身符合GDPR的基础上,为客户提供符合的安全解决方案,帮助客户更好的遵守GDPR要求:
    • 堡垒机: 管控运维操作,防范内部运维人员未授权获取个人数据
    • 主机入侵检测系统: 防护涉及个人数据的主机不受黑客入侵,并完成脆弱性自检
    • WEB应用防火墙: 检测防御WEB应用系统被Web应用漏洞攻击未授权获取个人数据
    • WEB漏洞扫描系统: 对WEB应用系统进行安全漏洞扫描,及时检测出试图影响个人数据的漏洞
    • 数据库审计系统(即将上线,敬请期待):审计记录对个人数据的操作
    • 云加密机(即将上线,敬请期待):对个人数据进行加密操作
    此外,我们还提供安全合规服务,不仅向客户出示UCloud已获得的权威合规认证,还能帮助客户更快、更好的通过合规服务。目前已开展国内主要地区的等级保护合规服务,未来将逐步开展包括GDPR合规在内的各项合规服务,敬请期待。
  • UCloud是如何符合GDPR和保护个人数据的?
  • ——权威的合规保障
    UCloud已通过ISO 27001、ISO 20000、CSA STAR、SOC1、信息安全等级保护、可信云认证及工信部云服务认证等多项保护个人数据保护项目的合规认证,由权威机构证明UCloud对个人数据保护方面的合规性。
    ——安全的方案保障
    GDPR要求侧重于确保有效控制和保护个人数据,这包括个人数据的搜集、存储、流动及使用。UCloud在自身符合GDPR的基础上,为客户提供符合的安全解决方案,帮助客户更好的遵守GDPR要求。详见3、UCloud在帮助客户遵守GDPR方面会向提供什么服务
  • UCloud设置了哪些安全措施来保护系统?
  • UCloud是中国排名靠前的中立公有云服务商,值得客户信赖,将自身的系统和数据放在UCloud云上。安全管理方面,我们具备专业的安全专家团队、合规与审计团队,通过培训全员提高安全意识,通过体系约束人员行为。安全技术方面,我们从基础环境设施安全,到网络、系统和应用服务安全均有高安全性的管控措施。详情请参阅《UCloud云安全白皮书》。
    UCloud可以提供由第三方审核机构出具的合规性报告,这些审核机构已经测试并审核过我们是否符合各种计算机安全标准和法规(包括 ISO 27001、ISO 20000、等级保护和可信云等)。客户可以查看UCloud获得的各类合规证明或报告,以便充分了解这些措施的效果。无论自己是数据控制者还是数据处理者,客户都可以从此类报告中看出,我们在保护他们用于存储和处理个人数据的底层基础设施。
  • UCloud怎样帮助客户保护数据免受网络攻击?
  • UCloud为客户提供了多种产品和服务,用于防范网络攻击并保护数据安全。
    高防服务为已备案的域名或源站 IP提供 DDoS 攻击防护。当用户的域名或源站 IP在遭受大流量的 DDoS 攻击时,可以通过高防 IP 代理源站 IP 面向用户,隐藏源站 IP,将攻击流量引流到高防IP 进行清洗, 确保源站的稳定正常运行。
    企业应用防火墙用于针对 web 网站的常见攻击进行监测和阻断。支持发现 SQL 注入、 XSS 跨站等 web 攻击行为。可以为用户降低停机时间、篡改和数据失窃的风险,并隐藏源站,防止对源站的直接攻击。
  • 怎样加密UCloud云上的个人数据以防未经授权访问?
  • UCloud 通过安全的架构设计,保证用户数据和业务之间严格的逻辑隔离, 保证同一资源池用户数据互不可见,根据帐号进行隔离,通过网络隔离的技术保证不同用户间的数据互不可见,无法通过内网访问。
    此外,为更好的遵循GDPR等数据保护规范,UCloud即将为客户提供安全加密服务,客户可以对云上的个人数据或其他重要数据进行加密,敬请期待。
  • 客户要求删除数据时,UCloud怎样处理?
  • 在客户要求删除数据时,UCloud 会默认为客户数据保留一段时间,以防止用户由于某些原因误操作导致重要数据被删除。超过时间后,将彻底删除客户的资源和数据。
    对于客户确认要求一次性删除的数据,以及客户不再使用的设备,UCloud将对硬盘或磁盘进行符合国际/国内标准的数据擦除等规范化操作,保证数据无法复原。