“我们除了做好业务转移到云上,业务的海外扩张也需要快速推进了。” 某快速消费品公司负责海外业务的王总站在北京CBD办公室的投影旁边说道。
这家刚刚把业务放在云上的企业,正筹备着进军欧盟市场。但面对庞大的海外市场,王总却有些苦恼。
一是对当地法律法规不了解,不知是否能顺利通过当地的行业标准及认证,二是有大批订单数据存在泄露风险,这两大问题摆在王总面前,他亟需解决。而和王总一样被合规、数据保护等安全痛点困扰的出海企业不在少数。
没有安全合规,企业出海将寸步难行
合规一直是信息化建设中的重要命题,特别是当下经济飞速发展,企业上云的同时,也纷纷迈开出海的步子,而当地监管会审查企业所使用的云平台是否合规,企业的安全性是否足够好等等,所使用的云平台安全合规性便成了出海企业首要考量因素。对出海企业来说,如果不符合当地的这些法律法规,在当地就不算合法经营。
这些国际法律法规要求到底严格到什么程度呢?
GDPR: 对于违法行为,轻者处以1000万欧元或者上一年度全球营收的2%(两者取其高)的罚款;重者处以2000万欧元或者企业上一年度全球营收的4%(两者取其高)的罚款。
俄罗斯《Information,Information Technologies and Information Protection Act No. 149 FZ》:违法的公司将会被起诉,除此之外还将被处以最高达30万卢布的罚款,并可能被俄通讯监管机构下令关停。
韩国《Acton the Development of Cloud Computing and Protection of its Users》:若违反,处以不超过5年的监禁或不超过五千万韩元的罚款。
这些不算小数目的处罚正是对不符合当地法律法规企业的最直接的警告。所以,将服务放在可靠、合规的云服务商平台,就显得至关重要,一来用户选择安全可靠、合规的合作方,需要担心的事自然少;二来用户需要关注自己责任范围内的合规,规避准入方面的问题,大型的云服务商能提供可靠的安全能力供用户选择使用,如数据加密、密钥管理、应用安全防护等等。出于这些考虑,王总再三斟酌后将自己公司的服务放在腾讯云上,并选择了相应的安全服务,而这些安全服务的背后,则是腾讯安全云鼎实验室(简称云鼎实验室)不断耕耘的身影。
在为其他企业提供海外业务安全合规咨询之前,云鼎实验室已在安全合规这条赛道上耕耘多年,不断建立和落实适用于世界各地的云安全合规体系。
早在腾讯云国际化开展海外业务前,负责云平台安全合规的云鼎实验室先对海外合规要求进行分析,包括不同国家和地区在安全体系、数据安全、个人信息保护、以及金融行业、政务行业等的合规要求。除此之外还会对韩国、日本、美国、德国、加拿大、泰国、俄罗斯等地网络安全、数据安全方面的合规要求进行分析,同时,也在积极进行各国合规认证,加速自身云平台国际合规性进程。
近3年,在云鼎实验室合规专家们的助力下,腾讯云已连续通过ISO系列等多项国际标准合规认证、CSA STAR金牌认证,以及严格的SOC 1、SOC 2、SOC 3审计,在信息安全管理体系、IT服务管理体系、业务连续性管理体系、质量管理体系、个人信息保护以及网络安全控制等方面有着极强的保证。同时,也获得欧盟CISPE数据保护行为准则认证,提升云服务商遵循 GDPR 要求的合规程度。
对于开头提到的王总,云鼎实验室合规专家美玲曾同这家公司做过深度交流:“他们公司的情况比较典型,出海的时候需要符合国际安全标准,他们不清楚如何进行自身应用系统的数据全生命周期保护,我们对数据收集梳理方面进行帮助,对部分敏感数据进行脱密处理,部分敏感数据进行加密存储,数据使用时细颗粒度权限划分,还有传输加密和数据清除,解决了一直困扰客户的合规落地与认证获取的问题,帮助他们通过了他们过了ISO 27001 和 PCI DSS。”
针对众多企业所面临的问题,云鼎实验室制定了相应解决方案,为出海企业合规上云提供咨询与安全技术保障。
数据没保护好,巨额罚款是最直接的教训
除了合规的限制,数据安全也是制约企业出海的一大因素。今年Verizon发布的《Verizon 2019年数据泄露调查报告》对41686起安全事件进行分析,其中包括2013起已证实的数据泄露事件。这周英国信息专员办公室(Information Commissioner’s Office, ICO)发出一则消息,英国当地时间7月8日早上,英国信息专员办公室决定,对去年英国航空50万用户信息泄露一事开出1.83亿英镑(约合人民币15.8亿元)的罚单。这是欧盟《通用数据保护条例》(GDPR)生效以来的最高金额罚单,约占英国航空2018年收入的1.5%。
这类因没有保护好用户数据而遭遇罚款的情况频繁爆发,而要想解决这个问题,除了做好企业内部人员的风控管理,还需要把放在云服务器上的数据保管好。那云鼎实验室是如何保障用户在云上的数据安全的呢?
首先云鼎实验室会从人员、流程、技术上层层把关做好数据安全保护工作,从源头上确保客户数据的机密性、可用性和完整性;在用户使用云服务过程中,提供众多安全解决方案咨询,从物理安全、主机安全、网络安全、应用安全、终端安全等方面,多层次全方位确保用户数据受到高规格的防护。对于用户数据,云平台做到不感知、不触碰。
此外,云鼎实验室还构建了健全的风险发现和应急响应机制,形成“云+端”联动的立体防御体系,并对运行过程中的可疑行为进行问题排查与追溯,让用户免除后顾之忧。
一些建议
腾讯安全云鼎实验室推出的企业出海合规咨询解决方案正帮助着一家又一家出海企业,合规与数据加密服务已服务超数万家客户,对出海企业云鼎实验室也为之梳理了几点安全建议:
1、 对当地的法律法规、行业准入资质的分析;
2、 企业做好数据保护、个人信息保护、网络安全的能力建设;
3、 尽早通过一些国际的合规认证,来形成第三方背书,比如信息安全方面的有ISO27001、支付卡数据安全PCI DSS等认证;
4、 选择安全性高、合规资质全的合作方,如腾讯安全。
在这股出海与数字化转型的浪潮中,腾讯安全会坚持帮企业做好安全保障,让每一个企业都能安全出海,心无旁鹫的拓展自身业务发展。