中资企业出海合规面临的挑战和应对方法

中资企业出海合规面临的挑战和应对方法
Photo by Dan Nelson / Unsplash

近些年,随着世界经济数字化转型的需要,中资企业出海发展迅速,当中国企业去到海外开展业务面临的第一个问题就是数据安全合规问题,主要面临以下三个方面的问题:

第一,对当地法律法规不了解,缺少专业的合规专家与人才;

第二,企业本身安全体系建设不够完善,无法满足海外的合规要求,缺少体系化建设;

第三,在了解合规要求之后,如何合理的进行安全建设,减少重复投入,并以最低成本来规避因为业务快速发展带来的合规风险。

如何解决中资企业出海过程中面临的合规挑战?

1.什么是数据安全合规?

随着数字经济的发展,数据已经成为了和石油一样的珍贵资产,谁拥有了数据,谁就能预测未来,对经济和行业作出准确的商业决策,同时对国家和政府来说,公民个人隐私数据也是需要监管和保护,所以各个国家的行政机构和监管机构对数据具有监管和立法的权利和义务。

我们可以看下面这张图,以云计算为例,法院和政府,负责立法和出台相关条例,相关行业标准组织负责制定行业规范指南,并且对企业合规进行评测和评估,并出给评测结果,云厂商作为数据的处理者,协助企业完成对应的合规治理工作,企业作为数据的控制者,对自己的基础设施,软件业务和数据进行合规整改处理,最终达到数据合规的目的,同时受相关监管机构的监督和检查。

image-20221109163853698
image-20221109163853698


2.合规分类

首先我们澄清一下,法律合规主要有哪些。

法律合规一般分为三类,Law,Regulation,Standard,那么他们的区别是什么

Law:

Laws are legal rules that are created by government entities such as a congress or parliament.

Regulations:

Regulations are rules that are created by either other departments of government or external entities empowered by government.

Regulators are entities that ensure organizations are in compliance with the regulatory framework for which they are responsible. These can be government agencies, certification bodies, or parties to a contract (FTC, SEC, etc.).

Standard:Industry standards are standards formulated for technical requirements that do not have national standards but need to be unified within a certain industry in the country

国家安全法

法律Law是由国会或议会等政府实体制定的法律规则。如果不适当遵守法律,可能会导致惩罚性程序,包括罚款和监禁。

国家颁布的法律为指导性文件,一般由国家行政部门通过,以《国家网络安全法》为例,由中华人民共和国第二届全国人民代表大会常务委员会第二十四次会议于2016年11月17日通过。

条例Regulations 一般为具体的实施细则,具有可执行性,条例是由政府其他部门或政府授权的外部实体制定的规则。

监管机构是确保组织遵守其负责的监管框架的实体。这些机构可以是政府机构、认证机构。

比如中国的网络安全等级保护条例,网络安全等级保护条例,公安部发布《网络安全等级保护条例》,法律作为依据,具体的监管机构来发布可执行的条例。

行业标准

标准更多的是一些行业的规范和要求,不具备法律效益,更多的是作为一些准入的门槛,来要求和规范企业治理,比如PCI-DSS,HIPAA

个人信息保护

以GDPR为代表的个人隐私保护法律,主要用于个人隐私保护相关的要求,随着欧盟的GDPR推广,各个国家相继出台各自的PDPA法律

企业合规治理原则

对于一个企业,数据安全合规治理,也分成三个层次,

Policy : High level , data classification 更多是高层的治理策略,比如采用什么样的治理框架

Standard : 标准更多的是规定 采用什么样的规范标准技术,比如 encryption at AES 128 ,国密SM1-SM4

Procedure : 实践更多是指step-by-step ,某一类特殊任务 (实施安全最佳实践)

image-20221109163758108

对应在各个国家实施业务时,你需要去了解国家的法律法规,行业标准,以及安全产品实施时的基线标准。

3.区域分析

亚太地区

据世界银行全球营商环境报告显示(2020),东南亚五国总体营商环境排名依次为新加坡(No.2)、马来西亚(No.24)、泰国(No.26)、印度尼西亚(No.72)、菲律宾(No.113)除泰国局势动荡、马来西亚稍有不稳外,其余国家政治稳定;除泰国受疫情冲击经济短期萎缩外(看好其疫情后经济反弹态势),其余国家增长稳健,经济持续复苏,印尼实现连续增长东南亚总体人口红利大,人口过亿的分别是印尼和菲律宾;其中新加坡和泰国有老龄化趋势;总体人种多元、宗教环境复杂,英语为通用语言;新加坡营商环境、宜商环境及对华民意友好程度均处于发达经济体前列;

【新加坡】

世界银行营商环境报告中,新加坡在190个经济体中列第二位;2021调查显示新加坡为17个发达经济体中对华民意最友好的国家东南亚出海路径上,新加坡常作为出海第一站并设立总部。主要有两点原因:第一是新加坡作为高网络渗透率、高网络速率的国家,5G网络和数据中心基础设施建设十分完善。第二是新加坡和法律合规体系是介于西方国家的GDPR和东盟联合体的CBPR两者之间,同时满足西方国家的充分性认定和东盟联合体的充分性认定。

【马来西亚】总人口约3318万,人种多元(70%为马来人),伊斯兰教为国教 ,宗教环境复杂,伊斯兰教为国教,其他宗教有佛教、印度教和基督教等,官方语言为马来语,通用英语,华语使用较广泛

【菲律宾】

得益于电子商务和外卖服务,成为东南亚地区互联网经济增长最快的国家;国民约85%信奉天主教,4.9%信奉伊斯兰教,少数信奉独立教和基督教新教,华人多信奉佛教,原住民多信奉原始宗教。

【泰国】

•人口近7000W,2025年达到人口高峰,失去数字化人口红利,60岁以上人口已占总人口18%左右;步入老龄化社会,官方语言为泰语,通用英语泰国金融市场排名靠前的产品以本土银行的手机银行、电子钱包为主,同时免费榜 Top 100 中还有 包括信贷、财富管理等产品,整体市场相对稳健,主要是由于当地政府相对审慎的监管态度。 其中,Bitkub 是泰国当地最大的加密货币交易所,在泰国政府的合规监管下开展业务,在泰国合法 交易所中市场份额超过 90%,SCB(暹罗商业银行,泰国皇室创始的本土银行)正在计划收购其 51%股 份。

【印尼】

作为东南亚主要国家,印尼金融市场相对成熟,金融科技政府重视程度高。由于文化等因素, 印 尼人普遍有着超前的消费观,存钱、投资观念较为薄弱,这预示着印尼不断增长的消费信贷需求和庞 大的互联网金融市场。

以新加坡数据安全合规为例

【新加坡合规】

1.主要合规法律:

《网络安全法》: 规定了新加坡网络安全的监管框架,特别规定了在新加坡提供基本服务的关键信息基础设施(CII)的所有者 的网络安全义务。

《个人数据保护法》(PDPA)对各组织收集、使用和 披露个人数据的行为进行了规范,通常适用于组织。在 PDPA 中,组织被定义为包括 个人、公司、协会或法人或非法人团体。

2.主要监管机构:

新加坡网络安全局(CSA)作为中央机构监督和协调国家网络安全的所有方面。CSA 负责监督新加坡的国家网络安全事务 隶属于总理办公室(PMO)

资讯通信媒体发展 局 (IMDA) 负责监管新加坡的信息通信和媒体部门。 IMDA 在网络安全问题上没有具体的执法权,但有权在信息通信和媒体行业内 发布指导意见和建立实践标准

新加坡金融管理局(MAS)是金融监管机构和中央银行

3.安全合规数据保护指引

新加坡标准《SS 584:2015 多层云安全》(MTCS)于 2022 年 11 月 1 日生效。MTCS 涵盖了多层云安全,由信息技 术标准委员会 (ITSC) 为新加坡的各种云服务提供商 (CSP)制定。

《PDPA 关键概念咨询指南》PDPA 对组织收集、使用和披露个人数据的行为进行管理。PDPA 规定各 组织有义务保护其拥有或控制的个人数据,并要求各组织确保相关计算机系统 的安全。

《TRM 指南》TRM 指南概述了金融机构应采用的行业最佳做法,并详细说明了网络安 全方面的风险管理原则,以应对数据被盗、丢失和泄漏的风险。

有关东南亚五国的数据安全合规介绍,可以参考 云图全景(https://docs.snapano.cn)合规知识库。

中东地区

中东地区背景介绍

在地缘政治和疫情的影响下,中东国家逐渐重视数字化转型,以及和中资企业的合作。

【阿联酋】

提出经济复苏计划,长期鼓励对数字经济领域的投资,到2020年底,阿联酋已完成超过65项大型数字化转型,覆盖教育,公共卫生,数字政府等【沙特王国】

计划投入12亿沙特里亚尔,促进经济多元化发展,降低对石油产业的依赖。【卡塔尔】

2020年,卡塔尔完成“数字政府2020”战略,制定了“卡塔尔数字政府2026”新战略,包含缩短企业注册流程,消除商业障碍,创造舒适创业环境。

【巴基斯坦】

人口有优势,互联网人数使用人数较高,正在起草个人隐私保护相关的法律

沙特王国数据安全合规为例

【沙特阿拉伯】

1.主要合规法律:

《ECC基本网络安全控制》 基本网络安全控制考虑了沙特阿拉伯王国所有组织和部门的网络安全需求,是关键国家基础设施 (CNI)组织必须遵守最低网络安全要求。

个人数据保护法  Personal Data Protection Law(PDPL)

本法规适用于在沙特阿拉伯王国内以任何形式处理个人数据的行为,包括以任何方式通过王国境外的任何一方处理与居住在王国境内的个人相关的个人数据的行为;

2.主要监管机构:

沙特阿拉伯国家数据管理办公室(NDMO)负责沙特的数据安全管理的监管部门,负责规范和监控沙特的个人数据交易和处理。

通信和信息技术委员会(CITC)负责组织沙特的通信和信息技术部门,监督指定ICT相关的法规的标准化,监督和监管电信、信息技术和邮政部门对客户个人数据的使用和处理。

沙特阿拉伯数据和人工智能管理局(SDAIA)为沙特PDPL指定监管部门,负责规范沙特人工智能行业和沙特境内的数据处理行为。

3.安全合规数据保护指引

《CCC云计算控制》云计算控制是对基本网络安全控制的扩展和补充,旨在从云服务提供商和云服务租户的角度定义云计算的网络安全要求,以提高安全性并降低所有服务和用户的网络风险。

关于沙特阿拉伯数据管理和个人数据保护标准(Data Management and Personal Data Protection Standards)该标准由沙特阿拉伯国家数据管理办公室 National Data Management Office,以下简称NDMO)发布。

4.特殊点:

笔者在分析沙特王国的个人数据保护标准时,发现了一个不同于其他国家和地区的要求,•

PDPL规定个人数据的适用范围还包括能够导致死者以及死者的家庭成员被具体识别的死者的个人数据。

即便是对个人隐私数据保护要求极其严格的欧盟,也只是限定在欧盟境内的“自然人”,而沙特王国个人数据保护的范围,包含了导致死者被具体识别的个人数据,从这一点来看,中东国家的信仰和文化习俗导致数据保护要求,是不同于其他国家和地区的。

非洲地区

非洲各国不断加大基础设施投资,2021年非洲移动互联网用户数量达到4.8亿,预计到2025年非洲移动互联网用户将达到6.7亿。

中国企业目前在非洲在多个领域进行布局,在海外实现产品升级和品牌升级,提升全球竞争力。

【南非】

人口数:6000万,互联网渗透率:57% 高于其他非洲国家,国民消费水平有限,总的来说,稳定的收入增长率和渗透率增速将带来新的市场机会。

【尼日利亚】

人口数:2.1亿 互联网渗透率:73% 具有良好的国际光纤连接,宽带渗透率30%,位于非洲中位数水平,已经具备了相对完善的NDPR个人隐私保护法案

以尼日利亚数据安全合规为例

【尼日利亚】

1.主要合规法律:

尼日利亚数据保护条例(NIGERIA DATA PROTECTION REGULATION 2019)

2.主要监管机构:

国家安全顾问办公室(“ONSA”)是负责管理安全相关政策制定和执行的核心机构

国家信息技术发展局('NITDA') 国家信息技术发展署 (NITDA) 目前是尼日利亚涉及数据保护的主要监管机构。但是,包括尼日利亚通信委员会和尼日利亚中央银行在内的特定行业监管机构提供与数据保护相关的服务

尼日利亚通信委员会('NCC')根据 NCA 2003 第 132、133 条的规定,所有进入尼日利亚的电信设备在进口、销售或连接到尼日利亚电信网络之前必须获得 NCC 的型式批准。

3.安全合规数据保护指引

云计算服务尼日利亚云计算政策

将云计算定义为可配置和快速供应的计算资源(网络、服务器、存储、联邦公共机构 ('FPI') 和中小型企业 ('SME') 开展业务和运营所需的应用程序和服务等。该政策承认三类云计算服务,它们是:“SaaS”“PaaS”“IaaS”对于事业单位使用云计算服务,《政策》将数据分为四类:官方、公共或非机密数据:机密的常规政府业务数据:机密、敏感的政府和公民数据:机密或国家安全信息:。政策中提到的认证是:国际标准组织 ISO 27001 ,这是制定信息安全管理系统规范的国际标准;和 ISO/IEC 27018 实践代码,处理公共云中个人身份信息的保护。

拉美地区

2022年,拉美经济大幅放缓,GDP增长1.7%,巴西是最大的经济体,是拉美经济放缓的主要原因。

拉美是全球主要的铁矿石,农产品出口国,因为俄乌战争和疫情影响,同时因为政治风险,供应下降。

21年拉美地区12个国家主权债务评级下滑,持续上升的通胀和高债务水平,恶化了营商环境,投资水平和生产率偏低。

长期来看因为全球经济预期下滑,资源出口型国家承受巨大压力。

目前拉美地区和数据合规没有非常明确和严格的要求。

以墨西哥数据安全合规为例

【墨西哥】

1.主要合规法律:

《联邦个人数据保护法》适用主体是处理个人数据的第三方非政府机构、 组织或个人。

《隐私声明准则》经济部以监管机构的身份与国家信息获取和个人数据保 护研究所(INAI)发布了《隐私声明准则》

2.主要监管机构:

总检察长办公室(FGR)建立和维护保护个人数据的安全措施,并保证数据机密性、 完整性和可用性。根据公开信息,FGR 持有的个人数据的所有者可以提出访问、 更正、取消或反对处理 的请求。

国家信息获取和个人数据保护研究所INAI INAI 是 《联邦个人数据保护法》的执法机构,其职责包括“在职权范围内,监督和核查 数据保护法各规定的遵守情况”对于数据安全执法,INAI 具有调查权、纠正权、向受监管实体提供培训和 咨询、对违规行为进行行政罚款。

国家银行和证券委员会(CNBV)国家银行和证券委员会 (CNBV) 是墨西哥财政部和公共信贷部 (SHCP) 的 一个分权机构,对构成墨西哥金融体系的各个部门和实体,以及对那些开展金融 体系相关法律规定的活动的个人和法律实体拥有授权、管理、监督和制裁的权力。

欧盟地区

数字主权意识强烈,用法律法规保护本土数据,鼓励企业发展,公民隐私保护意识强烈,置于经济发展之上。

欧盟地区倾向于建立一种立场协调,法律标准严格清晰的管制只需,最大限度防止特定国家在欧洲国家范围内主导技术,避免根本上威胁到欧洲国家的系统性安全。

在数据安全方面,现行政策包括《GDPR》个人数据管理条例,FAIR数据治理原则,《非个人数据自由流动条例》等

欧盟对于数据安全体现在各个政策文件以及产品白皮书中,对于数据安全高度重视。

以德国,法国引领欧盟其他国家,强调技术主权。

以德国数据安全合规为例

【德国】

1.主要合规法律:

《通用数据条例》(GDPR) 为一项数据保护相关的欧盟法规,在欧盟成员国中均适用且具有相同的效力,包括联邦德国。同时,该条例也具有域外效力。

《德国联邦数据保护法》(BDSG) 就《通用数据条例》中的开放性条款制定了适用于联邦德国的特殊条款或更严苛的规定。同时,其不同行业还有专属的数据保护法律法规。

2018年 4月27日通过《个人信息保护调整和施行法》,其中包含新的德国BDSG《联邦个人信息保护法》。在这部新的法案中,已实施40年的BDSG进行了大幅调整以符合欧盟GDPR《通用数据保护条例》。

2.主要监管机构:

欧洲数据保护委员会(EDPB)

作为欧盟的数据保护机构,由各成员国的监管机关代表组成,旨在监督《通用数据条例》在欧洲的执行以及保证该条例解读的一致性

联邦数据保护及信息自由专员(BfDI)

作为德国国家层面的公法官员,独立行使职权,只服从于法律,受联邦政府法律监督,尽最大力度保障数据保护专员不受限于其他机关,保证其公正性。

德国联邦信息安全办公室(BSI)

作为信息安全监管机关有权对信息技术产品进行安全调查、检测及评估基础设施的安全风险及有权命令电信服务商采取措施防止信息安全事件等。

北美地区

以美国为首引领政策和立法方向,有军方机构负责网络安全保护,倡导或支持以国家安全为前提的数据流通,政府数据开放,加拿大关注云数据主权。

美国国家安全诉求的延伸。从国家安全角度出发,严格控制数据向中国等特定国家流动,保护美国的数字主权和本土优势科技企业对外扩张。西方国家92%的数据存储在美国,仅AWS一家公司就占据了全球公司数据托管服务器市场的三分之一,微软和谷歌分别为16%和8%,这三家总占57%的全球份额。随着GDPR的发布,2018年加州颁布了《2018加州消费隐私法案》

有关北美地区合规相关的说明,请访问云图全景知识库https://docs.snapano.cn

4.数据跨境流通

对于大部分企业来说,数据能否跨境流通,是企业最为关心的,因为这牵扯到两方面,

第一方面合规因素,数据在不范围业务所在国家的法律规定的情况下,企业更希望将数据回传,但是各个国家目前对个人隐私数据和某些特定行业数据有着严格的管控要求。

第二个方面成本因素,为了满足业务所在国家的监管合规要求,企业不得不采用存储一部分数据到本地,有一些企业为了规避方面甚至将业务所有数据存储在本地,这无疑增加了数据存储和IT采购的成本。安全是木桶原理,任何一个薄弱环节都可能会导致安全风险和违规事件,但是企业不可能无止境的投入,将所有的风险和威胁都通过技术和管理手段解决,所以企业面临一个安全合规投入回报比例的问题。

一般说来,数据跨境主要包含了两方面数据,行业数据跨境,个人隐私数据跨境。

行业数据跨境

以汽车行业数据为例

车联网相关数据(地图、车辆、新能源数据)在某些国家的地区是不允许跨境。

以欧盟成员国为例:

地图数据:除了部分成员国仅对卫星影像遥感等基础地理数据及其派生数据有数据使用或跨境限制等要求外,并未有对一般车联网收集或使用的地理数据有使用和跨境限制。

2014年欧盟委员会发布的《EDR安装益处研究报告》(Study on the Benefits Resulting from the Installation of Event Data Recorders: Final Report),对于在EDR中记录的数据,最有可能的数据所有者是车主。欧洲委员会于2016年11月30日发布的欧盟网联汽车战略亦指出,网联汽车传送的所有数据,原则上都构成个人数据,并且该等数据的处理从2018年5月起应符合GDPR 的规定。德国通过修订《道路交通法》明确:智能汽车均应配备“黑匣子”,以便记录行驶全称的操作数据以及认定事故责任。

另外, 健康医疗数据和金融行业数据在不同国家也有不同的要求,可以登录云图全景查看更多行业的数据跨境要求。

个人数据跨境

无论是欧盟的GDPR体系,还是亚太经合组织的CBPR体系,都是可以通过标准协议合同(流动示范合同条款),实现个人数据的跨境传输。

以新加坡为例

除非PDPC免除其义务,organization只有在确保境外接收主体提供不低于本法律数据安全保护水平的前提下做数据转移。

东盟跨境数据流动示范合同条款(MCCs)

MCCs 可作为数据传输的法律依据。MCCs 是合同条款和条件,可纳入跨境 传输个人数据的各方之间具有约束力的法律协议中。实施 MCCs 及其基本义务 有助于各方确保个人数据的转移符合东盟成员国(AMS)的法律和监管要求。

充分性认定国家

CBPR体系

是由亚太经合组织(Asia-Pacific Economic Cooperation,APEC)主导的跨境隐私规则(Cross-Border Privacy Rules, CBPR)体系

根据 CBPR 的文件,加入 CBPR 体系要求评估成员国当前的隐私保护法、隐私保护执法机构、隐私信任认 证机构、隐私法与 APEC 隐私框架的一致性。获得这一认证,在认证国的企业 即可以与 CBPRs 成员国的认证企业自由传输数据。

目前在CBPR体系内的东盟国家如下:

美国,日本,澳大利亚,加拿大,墨西哥,韩国,新加坡,中国台北

也就是说这些国家数据跨境流通是互认的。

GDPR体系

在GDPR体系内通过“充分性认定”确定数据跨境自由流动白名单国家,数据可以自由传输,欧盟也是通过这种方法来推广欧盟数据保护立法的全球影响力,

目前在GDPR体系充分性认定的国家名单如下:

安道尔,阿根廷,加拿大,法罗群岛,曼岛,根西岛,泽西岛,以色列,乌拉圭,瑞士,日本

欧盟有其认可的数据安全国度名单,在这个名单里的国家被认为有至少跟欧盟同级别的个人数据保护水平,所以从欧盟向这些国家传输个人数据并没有特殊的合规要求,就像在欧盟境内传输数据一样简单。

108号公约体系:

以俄罗斯为例

根据《个人数据保护法》,对个人数据提供充分保护的国家是 55 个《第 108号公约》的缔约国和其他一些得到 Roskomnadzor 批准的国家。提供充分保护个人数据的国家的现行名单(2019 年 1 月 14 日修订)包括:

安哥拉、阿根廷、澳大利亚、贝宁、加拿大、智利、哥斯达黎加、加蓬、以色列、日本、哈萨克斯坦、马来西亚、马里、蒙古、摩洛哥、新西兰、秘鲁、卡塔尔、新加坡、南非、韩国、突尼斯。

5.云安全合规方案

云安全产品组合

针对每个国家的数据安全合规要求,云图全景整理了每个国家法律数据合规对应的安全产品

以巴西颁布《NO. 5 规范指令》为例:

No.5规范指令规定了联邦政府机构和实体使用云计算解决方案的最低信息安全要求。作为已经使用或者希望使用云计算的联邦政府机构或实体应遵守的最低信息安全要求的指南,一方面,指令要求联邦政府机构或者实体需建立云计算安全管理组织与制度,另一方面,指令规定了联邦政府机构或实体在使用云计算服务提供商提供的服务时,需要满足的最低的信息安全管理或技术要求。
  • Art.13安全采用云计算要求
  • Art.22使用云代理

满足以上 Article 的云安全产品

统一身份认证服务(Identity and Access Management,简称IAM)

数据加密服务

  • Art.13安全采用云计算要求

满足以上 Article 的云安全产品

日志服务

  • Art.20云服务提供商要求

满足以上 Article 的云安全产品

云审计服务

态势感知 (SIEM security information and event management)

虚拟私有云**(Virtual Private Cloud,简称VPC)

  • Art.19安全采用云计算要求
  • Art.18安全采用云计算要求

云备份服务

有关更多不同国家的数据合规要求,对应云安全产品,可以参考云图全景(https://docs.snapano.cn)

安全基线检查

在企业采购了以上合规性安全产品后,仍然需要完成合规要求里的安全配置,就是安全基线整改

需要对安全产品进行适当的配置

统一身份认证服务(Identity and Access Management,简称IAM) 为例,

为了满足合规要求

IAM需要完成以下配置

RequirementDescription
The provider shall avoid the use of root/privilege account. Privilege account have access to all the resources. if the credentials are compromise, it could lead to major lossMinimizing the use of this account and adopting the principal of least privilege for access management will reduce the risk of unintended disclosure of the credentials.
The provider shall maintain a formally defined and implemented user access management process. The process should be reviewed and updated periodically.User access policies and procedures shall be established for ensuring appropriate identity, entitlement, and access management for all internal corporate and customer (tenant) users with access to data and organizationally-owned or managed (physical and virtual) application interfaces and infrastructure network and systems components.
The provider shall have a strong password policy for privilege accounts.The password policy should enforce all privilege users to set a password with at least one uppercase, lowercase, special symbol and minimum 14 characters length. A shorter password validity duration should be set for privilege accounts (i.e. 45 days)
The provider shall ensure to rotate the access keys within 90 days. Access keys consist of an access key ID and secret access key, which are used to sign in to account.Having the key not rotated within 90 days could increase the surface area and window of opportunity for the attackers.
The provider shall avoid the use of root/privilege account. Privilege account have access to all the resources. if the credentials are compromise, it could lead to major lossMinimizing the use of this account and adopting the principal of least privilege for access management will reduce the risk of unintended disclosure of the credentials.
The provider shall maintain a formally defined and implemented user access management process. The process should be reviewed and updated periodically.User access policies and procedures shall be established for ensuring appropriate identity, entitlement, and access management for all internal corporate and customer (tenant) users with access to data and organizationally-owned or managed (physical and virtual) application interfaces and infrastructure network and systems components.
The provider shall have a strong password policy for privilege accounts.The password policy should enforce all privilege users to set a password with at least one uppercase, lowercase, special symbol and minimum 14 characters length. A shorter password validity duration should be set for privilege accounts (i.e. 45 days)
The provider shall ensure to rotate the access keys within 90 days. Access keys consist of an access key ID and secret access key, which are used to sign in to account.Having the key not rotated within 90 days could increase the surface area and window of opportunity for the attackers.

那么需要客户来完成这些基线的安全配置要求,云图全景 https://docs.snapano.cn 整理了常见云安全服务需要配置的基线指南说明书供客户查阅。

总结

企业在走向国际化发展业务的同时,第一个面临的问题就是以最小的成本满足业务所在国合法合规,

云图全景知识库提供了一套完整的知识库系统,包含了50多个国家的法律合规说明,超过40个云服务,50个安全产品介绍,以及如何进行合规基线操作和配置说明,同时提供了一个3D可视化的Diagram,

让企业在最短的时间内,对自己当前的业务情况是否合规一目了然。

法律合规——云安全产品组合最佳实践 —— 基线检查设置 —— Diagram。