点击链接下载查看完整版内容👉:《阿里云安全白皮书(2024版)》
点击链接下载查看上文👉:带你读《阿里云安全白皮书》(十三)——云上安全重要支柱(7)
坚守数据主权的数据安全保护
从成立第一天起, “保障客户数据安全”就被阿里云列为最重要的事情。阿里云在数据安全保障 上做出以下承诺:
客户掌权:客户完全拥有自身数据主权;未经授权,阿里云除执行客户的服务要求外不会访问、 使用或移动客户数据。
先进的数据安全保护技术:云上提供各维度行业领先的安全能力,帮助客户提升数据安全水位。
1 客户数据主权保障原则与态度
1.1 数据是客户资产,阿里云不会移作他用
阿里云用户对自身数据具有完全的知情权和控制权。用户可自行选择其生产数据部署或存放的云 服务可用区地点,未经用户授权 ,阿里云不会移动其生产数据的存储区域。
阿里云设计并实施了严格的租户隔离架构,不同用户之间都默认相互隔离,既 看不到彼此的数据,也不会相互影响。
在阿里云的零信任架构中,为防止在内部员工被恶意攻击者钓鱼情况下,恶意 攻击者通过内部员工身份开展的数据窃取行为,阿里云建立了严谨的授权机制。 通过设置严格的客户数据访问控制策略,确保仅在客户明确授权的必要场景, 方可允许内部员工访问客户数据。
1.2 夯实数据安全保障体系,全面保障客户数据安全
在云平台自身数据安全保护方面,阿里云严格遵守《数据安全法》《个人信息保护法》《一般 数据保护条例》(GDPR)以及行业相关法律法规要求,构建数据安全和个人信息保护管理和 技术体系:
建立数据安全管理组织,明确数据安全职责和分工,落实数据安全责任;
建立总纲、规范、指南和流程四级制度体系,覆盖数据采集、流动、存储、使 用和销毁的生命周期各个环节,明确数据生命周期安全管理要求,确保数据安 全管控措施到位;
建立数据安全风险运营机制,从人员管控、行为防护、安全监测和风险运营开 展数据安全管控;
建立数据安全事件应急响应机制,制定数据安全事件分类分级标准,组织开展 数据安全应急预案的制定和演练,全面保障数据安全风险治理和处置有序开展。
1.3 践行数据合规要求,验证数据主权与数据保护机制
阿里云严格遵循业务运营所在国家和地区的个人信息保护相关法律法规,尊重用户数据的归属权 和控制权,严格保障用户隐私安全,未经用户授权,不会访问和披露用户业务数据和隐私信息。
为进一步验证阿里云在数据安全与个人信息保护方面的高标准和专业能力, 阿里云通过了多项国内及国际权威机构的认证。阿里云先后通过了中国网络 安全审查认证和市场监管大数据中心 (CCRC) 的数据安全管理认证、韩国互 联网与安全局的信息安全管理体系认证(K-ISMS) 、新加坡网络安全局的 网络安全最高级别认证(Cyber Trustmark)、欧盟独立监督机构 SCOPE Europe 的EU Cloud Code of Conduct 二级认证(符合 GDPR 要求)、 英国标准协会 BSI 颁发的可信数字云最高级别钛金奖及其他全球性的数据 安全管理体系认证, 包括 ISO/IEC 27001:2022、ISO/IEC 37301:2021、
ISO/IEC 27040:2015、ISO/IEC 27701:2019、ISO/IEC 29151:2017、 ISO/IEC 27018:2019、ISO/IEC 27799: 2016、BS 10012:2017 和 TRUSTe 等。 阿 里 云 已 经 获 得 包 括 ISO/IEC 27701:2019、ISO/IEC 29151:2017、ISO/IEC 27018:2014、BS10012:2017 在内的所有关于 隐私保护标准认证的“全满贯”。
这些权威的三方认证和审计报告,验证了阿里云在数据获取、传输、存储、处 理、销毁过程中的合法合规性。
