CSA雲安全指南V4.0 D3 D4
CSA雲安全指南V4.0 D3 D4D3 法律問題,合同和電子舉證影響因素相關法案數據上雲法律案例合同與供應商選擇內部應盡職調查監控、測試和更新外部盡職調查合同談判依賴於第三方的審覈和認證電子舉證資產、保管和控制相關的雲應用和環境可搜索性和電子取證工具保存數據保存法律和記錄保持義務收集直接訪問本地生成認證在電子取證方面供應商和客戶之間的合作傳票或搜查令更多地信息塞多納會議基本科學指標數據庫(Essential Science Indicators,簡稱ESI)D4 合規和審計管理重點參考項雲供應商雲客戶
D3 法律問題,合同和電子舉證
影響因素
雲提供商所在的區域
雲用戶所在的區域
數據主體所在的區域
合同使用的法律管轄區域,可能與某些股東不同
不同區域之間的互認條約或法律文書
相關法案
澳大利亞-《隱私法》、《澳大利亞消費者權益法》
歐盟-《數據保護指令》、《通用數據保護法案(GDPR)》
美國-《金融服務現代化法案》、《醫療保險及責任法案》、《支付行業數據安全標準》
數據上雲法律案例
美國聯邦法
美國州法
標準-PCI DSS/ISO 27001
非美國法規-歐盟、經合組織、亞太經合組織
合同責任
針對跨國界數據傳輸的禁令
合同與供應商選擇
內部應盡職調查
監控、測試和更新
外部盡職調查
是否可靠
如何處理數據
如何運作和提供
數據是否與其他用戶匹配
如何保護入侵或災害
價格如何改變
滿足計算和訪問需求嗎
公司財務狀況如何
提供哪些服務水平
破壞安全的情況下會發生麼
合同談判
依賴於第三方的審覈和認證
評估範圍
評估中包含哪些特定的功能、服務
電子舉證
資產、保管和控制
相關的雲應用和環境
可搜索性和電子取證工具
保存
數據保存法律和記錄保持義務
收集
直接訪問
本地生成
認證
在電子取證方面供應商和客戶之間的合作
傳票或搜查令
更多地信息
塞多納會議
成立塞多納會議®系列SM工作組,深入研究反壟斷法、複雜訴訟、知識產權、數據安全和隱私法等領域的臨界點問題,旨在爲法官和律師帶來高質量、無黨派的評論和指導,使法官和律師立即受益。
基本科學指標數據庫(Essential Science Indicators,簡稱ESI)
世界著名的學術信息出版機構美國科技信息研究所於2001年推出的衡量科學研究績效、跟蹤科學發展趨勢的基本分析評價工具。
D4 合規和審計管理
重點參考項
跨境或多管轄權事例
證明合規能力
GRC
治理governance
風險risk
合規性compliance
合規性確保公司義務的認識和遵守。
審計是證明(或反駁)合規性的關鍵工具
根據合規繼承,雲供應商的基礎架構在客戶合規審計範圍之外,但是客戶配置和在認證的服務 之上建立的一切依然在審計範圍內
證據(Artifacts)是日誌、文件和其他在審計和證明合規性所需的材料的集合;他們是支 持合規活動的證據。
雲供應商
清楚傳達審計結果、認證和證明
評估範圍
覆蓋特定的服務
如何部署合規的應用程序和雲服務
額外的客戶責任和限制
維護認證並主動溝通任何狀態變化
遵守措施
爲客戶提供合規所需的證據及文件
雲客戶
部署、遷移或開發前,明確全部合規義務
評估提供商的認證
瞭解評估和認證範圍
嘗試選擇具有云計算經驗的審覈人員
確保瞭解供應商的合規證據,並收集和管理證據
雲安全聯盟控制矩陣可以支持雲供應商的註冊列表、相關的遵從性要求以及當前的狀態