CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 1
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 2
说明与感谢
云安全联盟(CSA)GDPR 合规行为准则(COC)由 Paolo Balboni 教授和 Francoise Gilbert 主
持的专家工作组(WG)开发完成。 Paolo Balboni 教授,ICT 法律咨询机构发起人,马斯特里
赫特大学法学院欧洲隐私法教授、网络安全和 IT 合同法教授,欧洲隐私协会主席。Francoise
Gilbert 教授,Greenberg Traurig 合伙人,共同主持 PLI 隐私和安全法律研究院联席主席,
《全球隐私与安全法》创作者和编辑。
Paolo Balboni 教 授 也 是 PLA 隐 私 水 平 协 议 的 主 要 作 者 。 Daniele Catteddu 和
EelfTeRoSkutaRIS 对本文件也有很大的贡献。
PLA WG 是由云服务提供商、地方监督机构的代表,独立的安全和隐私专业人员组成的。
我们还要感谢CSA员工,Hillary Baron,Daniele Catteddu,Damir Savanovic,Kendall
Scoboria, and Eleftherios Skoutaris,感谢他们为本文件的提供的支持和贡献。
我们的赞助商 GEMALTO 和 Shellman 也为本文件的出版提供了极大的贡献。
中文版翻译说明:
由中国云安全联盟(C-CSA)秘书处组织翻译 CSA GDPR 合规行为准则 Code of Conduct for
GDPR Compliance,中国云安全联盟专家委员会专家翻译并审校。
翻译审校工作专家:(按字母顺序排列)
组长:王永霞 副组长:高轶峰、赵元勋 组员:赵锐、沈勇、张伟、顾伟、刘德林、王世晞、
马韶华、陈皓、杨喜龙、郭春梅、魏琳琳、姚凯、莫展鹏、张全伟、张威、刘广坤、何斌第、
伏伟任、张涛、王滨。(排名不分先后)
C-CSA 工作人员:
史晓婧(C-CSA 研究助理)
该文件的第 3部分,即 PLA COC 隐私水平协议合规行为准则治理部分,由欧盟委员会资助项目欧洲安全认证框
架(EU-SEC)的贡献而开发完成。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 3
版权声明
©2017 云安全联盟-保留所有权利。
云安全联盟(CSA)针对欧洲通用数据保护规范(GDPR)合规行为准则(COC)及其附件(如附
件 1:PLA 模板,附件 2:遵守声明模板),(统称“CSA GDPR 合规行为准则”)由云安全授
权,归属于创新共享非商业性衍生产品 国际版权(CC-BY-NC-Nd 4)。
分享
您可以在任何媒介或任何形式共享和分发 GDPR 合规行为准则。
归属
由云安全联盟在本链接发布,
全联盟对您或您的使用的认可。
非商业性
使用、共享或重新分发 GDPR 合规行为准则不产生任何商业行为或金钱补偿。
非衍生产品
如果您对 CSA GDPR 合规行为准则进行更新或转换,您不能发布、共享或分发任何修改后的材
料。
无附加限制
你不得运用法律术语或技术措施来限制他人使用本文件的授权。
商业许可证
如果你因为任何创收目的,运用,改进更新,或分发 CSA GDPR 合规行为准则,您必须首先从
中获得云安全联盟适当的许可。请与我们联系 info@.。
通告
CSA GDPR 合规行为准则上的所有商标、版权说明或其他通知,必须同时复制,不得删除。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 4
目录
序言.....................................................................................................................................................
Ⅰ.介绍...............................................................................................................................................
II. 背景信息.....................................................................................................................................
III. GDPR 合规的 CSA 行为规范指南框架......................................................................................
第一部分.............................................................................................................................................
云安全联盟行为规范的目标、范围、方法、假设和注释说明.....................................................
1.云安全联盟行为规范的目标.....................................................................................................
2.范围和方法.................................................................................................................................
3.假设.............................................................................................................................................
云客户的内部尽职调查.....................................................................................................
云客户的外部尽职调查.....................................................................................................
4.说明性注释.................................................................................................................................
第二部分...........................................................................................................................................
隐私等级协议实践守则.....................................................................................................................
1.云服务提供商(CSP)合规和责任声明...................................................................................
2.云服务提供商(CSP)相关联系人及其角色...........................................................................
3.数据将被处理的方式.................................................................................................................
一般信息.............................................................................................................................
个人数据位置.....................................................................................................................
分包商.................................................................................................................................
在云客户系统上安装软件.................................................................................................
数据处理合同(或其他有约束力的法律行为).............................................................
4.记录保存.....................................................................................................................................
CSP 数据控制者的记录保存..............................................................................................
CSP 数据处理者的记录保存..............................................................................................
5.数据传输.....................................................................................................................................
6.数据安全措施.............................................................................................................................
7.监测.............................................................................................................................................
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 5
8.个人数据泄露.............................................................................................................................
9.数据可移植性,迁移和转移回收.............................................................................................
10.限制处理...................................................................................................................................
11.数据保留,恢复和删除...........................................................................................................
数据保留,恢复和删除政策...........................................................................................
数据保留...........................................................................................................................
数据保留符合行业特定的法律要求...............................................................................
数据恢复和/或删除.........................................................................................................
12 与云客户合作...........................................................................................................................
13 法律要求披露...........................................................................................................................
14 云客户的补救措施...................................................................................................................
15 云服务提供商保险政策...........................................................................................................
第三部分.....................................................................................................................................
CSA 治理及相关机制的实践守则......................................................................................................
1.技术部分.....................................................................................................................................
PLA 准则实践.....................................................................................................................
认证方案/保持机制...........................................................................................................
CoC 自我认证.................................................................................................................
道德准则.............................................................................................................................
隐私等级协议和开放认证框架工作组.............................................................................
2.管理主体,角色和责任.............................................................................................................
PLA 工作组..........................................................................................................................
OCF 工作组..........................................................................................................................
云安全联盟(Cloud Security Alliance,CSA)..........................................................
与数据保护监管机构的合作和支持..................................................................................
3.管理过程和相关活动.................................................................................................................
PLA 执行规范的审核过程................................................................................................
CoC 认证审核过程............................................................................................................
CoC 标志发布,依从性声明发表和投诉管理................................................................
审查过程的道德规范.......................................................................................................
PLA 和 OCF WG 章程文档审核过程..................................................................................
附录 1: PLA [3] 模板..................................................................................................................
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 6
附录 2: 遵守(PLA CoP: 隐私水平协议实施规程)的声明模板...........................................
附录 3:CSA STAR 项目及开放认证框架(OCF).....................................................................
附录 4:道德准则..........................................................................................................................
附录 5: 隐私级别协议工作组宪章.............................................................................................
附录 6: 开放认证框架(OCF)工作组章程...............................................................................
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 7
序言
2018 年 5 月 25 日,欧洲议会通过的《通用数据保护条例》(General Data Protection
Regulation,GDPR)法案正式生效实施。这意味着欧盟对个人信息保护及其监管达到了前所未
有的高度,堪称史上最严格的数据保护法案。
云安全联盟 CSA 近期发布了 CoC for GDPR Compliance(CSA GDPR 合规行为准则),旨
在为云服务提供商(CSP)、云消费者、及相关企业提供 GDPR 合规解决方案,并提供涉及云服
务提供商应提交的关于数据保护级别的透明性准则。这个准则为各种规模的客户提供工具来评
估其个人数据保护水平从而支持决策。它也指导任何规模和地点的云服务提供商,遵守欧盟
(EU)个人数据保护法规,并以结构化的方式披露其提供给客户的个人数据保护级别。
GDPR 对于中国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处
罚,以及对中国与数据相关的法学研究都具重要意义。CSA 准则在德国、法国等欧盟国家受到
首席隐私保护官的认可,在国际和国内即将推出 GDPR 合规自检和第三方认证。中国云安全与
新兴技术安全创新联盟(简称:中国云安全联盟 C-CSA)组织专家进行翻译为中文版本,相信
一定会有助中国企业对 GDPR 的认知并帮助它们在欧洲的业务避免隐私风险。
我代表中国云安全联盟和云安全联盟大中华区在此感谢参与此项目的翻译和支持工作者们。
中国云安全与新兴技术安全创新联盟常务副理事长
CSA 云安全联盟大中华区主席
李雨航 Yale Li
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 8
Ⅰ.介绍
数据保护合规越来越以风险为基础.1数据控制者和处理者应负责确定和实施适合本组织的
个人数据处理保护级别。在这种决定中,他们必须考虑诸如技术水平、实施成本以及性质、范
围、背景和加工目的等因素;以及自然人权利和自由所存在的不同可能性和严重程度的风险。
2因此,云服务提供商(CSP)将负责确定他们需要处理的个人数据的保护级别。
正是在这种背景下,云安全联盟(CSA)制定了应对欧洲通用数据保护法规(GDPR)合规
的 CSA GDPR 合规行为准则。
The CSA CoC for GDPR Compliance(CSA GDPR 合规行为准则)旨在为云服务提供商
(CSP)和云消费者提供 GDPR 合规解决方案,并提供涉及云服务提供商应提交的关于数据保护
级别的透明性准则。
CSA GDPR 合规行为准则实质上旨在提供:
•为各种规模的云客户提供工具来评估不同云服务提供商提供的个人数据保护水平(从而
支持决策)3
•指导任何规模和地点的云服务提供商,遵守欧盟(EU)个人数据保护法规,并以结构化
的方式披露其提供给客户的个人数据保护级别。
CSA GDPR 合规行为准则有两个主要组成部分,即隐私水平协议实施规范(PLA CoP),是
一项技术标准,具体说明了 GDPR 中包含的要求,以及与之相关的认证计划和遵守机制。
由于 CSA GDPR 合规行为准则主要关注法律要求,因此 CSA 建议将本准则与其他 CSA 最佳实
践和认证相结合,例如云控制矩阵(CCM)和 STAR 证明(STAR 认证或 STAR 自我评估),提供
关于技术控制和信息安全目标的额外指导。
1 参见欧洲议会和理事会 2016 年 4 月 27日欧盟议会和理事会 2016/679 号条例(欧盟)2016 年第 67 号序言
83 和第 25,32,33,34 和 35 条关于保护自然人处理 个人数据和这些数据的自由移动,以及废除指令 95/46 /
EC(通用数据保护条例 - GDPR)。
2 参见 GDPR 第 24,25,32,35 和 39条。
3 “所有在欧洲经济区(EEA)提供服务的云提供商应向云用户提供所有能够正确评估此类服务利弊所需的信
息。 提供云计算服务的关键驱动因素是安全性,透明度和用户的法律确定性。” 欧委会数据保护工作组第 29
条,关于云计算的意见(” / 2012“),第二页; “依赖云计算安排的前提条件是控制者[云客户端]
执行适当的风险评估工作,包括处理数据的服务器位置以及从数据保护角度考虑风险和收益 。“第四页。
(
recommendation/files/2012/)。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 9
在这种背景下,采用诸如云控制矩阵等信息安全技术标准或其同类标准(例如基于 ISO
27001 支持扩展的 ISO 27017 或 27018、AICPA 信托服务标准)以及与其相关的认证(例如
STAR Certification, STAR Attestation, STAR Self-Assessment, ISO 27001, or SOC2)将
提供证据证明云服务提供商实施了安全计划或信息安全管理体系(ISMS),可充分保护消费者
数据免受风险评估和数据保护影响评估中发现的威胁。
CSA GDPR 合规行为准则反映了与云领域相关的 GDPR 要求,并且是 STAR 的一个组成部分。
CSA GDPR 合规行为准则的受众群体包括云计算和欧盟个人数据保护法案中的所有利益相
关方,如云服务提供商,云客户和潜在客户,云审计师和云代理商。
最后,值得注意的是,任何针对 CSA GDPR 合规行为准则的认证并不会减少数据控制者或
处理者遵守 GDPR 的责任,也不会损害国家数据保护机构(DPA)的职责和权力。
II. 背景信息
2013 年 2 月,欧盟发布了用于推广云服务的“隐私级别协议大纲(The Privacy Level
Agreement Outline,PLA [V1])”。该大纲作为规范工具,提供了一种结构化的方式。
PLA [V1]发布以后得到了很多欧盟监管机构的认可,并被用于欧盟在与云计算相关的个人
数据保护问题中的进一步研究,作为未来最佳实践、行为规范指南的参考基准。
然而,PLA [V1]发布以后,该大纲的研究工作组发现,不管是云服务供应商还是客户,仍
然难以确定整个欧盟遵守个人数据保护的必要基线。
因此,为了让云计算市场中的所有相关方获得一个真正便捷的合规工具,而不仅仅是一个
透明化机制,PLA 工作组将 PLA [V1]更新为 PLA[V2]。
PLA[V2]依据的是欧盟关于个人资料保护的强制性法律要求(第 95/46/EC 号指令及其在欧
盟成员国的执行情况)。
2016 年 5 月,欧盟 2016/679(GDPR)1条例公诸于世。并且 GDPR 将于 2018 年 5 月 25 日
在所有欧盟成员国中正式实施。在这样的形势下,PLA 工作组又认识到在新法规合规要求下,
1
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 10
云服务供应商与用户都需要一套成熟的方针指南。因此,该工作组又发布了与 GDPR 紧密相关
的 PLA [V3]2。
PLA 是一整套实现隐私与数据保护透明度、保密性与合规性的实施指南。
PLA 现行版本,即 PLA[v3],仍将根据监管机构制定的相关立法、意见、指南和建议进行
必要的更新。
PLA[v3]主要通过整合 PLA[V2]框架与全新的 GDPR 要求,帮助云服务供应商与云服务用户
满足欧盟个人数据保护的强制性要求(即第 95/46/EC 号指令及其在欧盟成员国的执行情况)。
它也能够帮助云供应商及云用户完成从欧盟数据保护旧制度向新制度的过渡,并为 GDPR
在云服务行业的应用作出实际贡献。
PLA[v3]详细说明了 GDPR 在云环境中的应用,主要包含以下几个方面的要求:
1. 公开透明地处理个人数据;
2. 向公众和数据主体提供的信息(GDPR 第 4 条第 1款);
3. 数据主体权利的行使;
4. 第 24 条和第 25 条所述的措施与程序;第 32 条所述的确保数据处理安全的措施;
5. 向监管机构汇报有关个人数据违规的事件(GDPR 第 4 条第 21 款),并将违规情况及
时告知数据主体;
6. 向第三国转移个人数据。
此外,PLA [V3]还包含以下机制:GDPR 第 41 条第 1款所述机构能够在不影响第 55 条或
第 56 条所规定的监管机构的任务和权力的情况下,对承诺适用该条的管理人员或数据处理员
的各项规定遵守情况进行强制监管。
因此,我们可以说,PLA 实施指南[V3](第 2 部分)以及治理部分(第 3 部分)是依照
GDPR 第 40 条的行动指南“草案”。
III. GDPR 合规的 CSA 行为规范指南框架
CSA GDPR 行为规范指南(亦称为“CSA Code of Conduct”、“CoC”或“本指南”)总
共包含三个部分:
第 1 部分描述范围、目标、方法论等,并提供解释性说明;
2为体现 GDPR 条款要求,PLA 工作组在 PLA[V2]的基础上增加了相关内容。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 11
第 2 部分介绍了由 CSA PLA 工作组所制定的 PLA 实施指南[V3]及其实质性规定;
第 3 部分概述了 CSA GDPR 行为规范指南的治理结构与遵守机制。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 12
第一部分
云安全联盟行为规
范的目标、范围、方
法、假设和注释说明
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 13
1.云安全联盟行为规范的目标
1. 云安全联盟行为规范旨在作为云服务协议的一个附录,针对云服务提供商提供的隐私
保护级的描述。虽然服务等级协议(SLA)通常用于提供服务的性能的度量和其他信息,但行
为规范将提供隐私信息和个人数据 6保护实践。
2. 在行为规范中,云服务提供商将清楚地描述它对相关数据处理中所承诺和遵守的隐私
和数据保护的级别。7
3. 通过全球范围内的行为规范可以促进强大的全球行业标准,加强协调和促进符合适用
的欧盟数据保护法。
4. 行为规范根本上是打算提供以下内容:
云的客户和潜在客户,任何规模大小的,都可以使用一个工具来评估不同的云
服务提供商们提供的个人数据保护的水平(从而为决策作支持);8和
任何规模的云服务提供商们为实现符合欧盟个人数据保护立法的指导披露,他
们以结构化的方式,提供给用户的个人数据保护的水平。
2.范围和方法
该代码只涉及企业对企业(B2B)方案,考虑云客户作为公司而不是个人(与企业对消费
者或 B2C 场景相反)。该代码解决两种类型的客户情况:
云客户是数据的“控制者”9,CSP 云服务提供商是一个数据的“处理者”。
云客户和云服务提供商都是数据控制者。
作为本文件的发起人, PLA 工作组认识到,可能存在更复杂/混杂的情况(例如,作为联
合数据控制者的 CSP),超出了该行为的范围,并建议 CoC 的用户仔细评估案件涉及的各方各
自的隐私角色。SIS 明确认定相关义务。12 在复杂/混杂的情况下,PLA 的行为实践(即 CoP)
(即强调这一行为的技术标准)仍然可以作为一种有用的工具,特别是在“CSP 是数据控制者”
或“CSP 是数据处理者”的情况下,具体地分配那些已经明确识别的各方各自的义务。PLA[V3]
模板在“附录 1” 13
CoC 行为规范考虑了第 29 条数据保护工作组关于数据可移植性的准则 14( WP242/
16),数据保护官指南 15( WP243/16),数据保护影响评估指南(DPIA),并确定处理
是否“可能导致高风险”,以用于第 2016/679 条 16( WP248/17), 关于云计算的评价
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 14
05 / 201217( WP05/2012)和对数字服务提供商最低安全措施实施要求的 ENISA 技术指
南 18(EISA 指南 2017 年 2 月 16 日)。
因此,CoC 行为规范不仅基于适用欧盟个人数据保护框架的强制性法律规定, 同时也反
映了欧洲监管机构的相关解释以及相关机构制定的相关最佳做法。该规范旨在成为一个检验水
平的工具,可以用来实现和评估横跨不同部门和领域的遵守欧盟的个人数据保护立法的情况。
PLA 工作组意识到,欧盟成员国有可能在 GDPR 之上提供豁免或减损、更具体的规则和附加要
求;19 以及是否存在适用于特定服务的欧盟个人数据保护规定(例如,隐私和电子通信指令,
20以及网络和信息系统指令 21)。因此,PLA 工作组建议,该法典的使用者可识别会员国和/或
部门特定的附加要求。COC 也被考虑写入 ISO/IEC 27018,22 “云服务级别协议标准化指南”
23该工作开展由云计算组织选择产业集团开展行为规范 24,由欧洲的云基础设施服务提供商
(CISPE)25和云问责制项目。26
该规范反映了在云计算领域中相关的 GDPR 需求,并且在 GDPR 施行的“地域范围”之后,
PLA 规范实践者 CoP 将扩展到欧洲以外地区。27
该 CoC 行为规范的目标受众者包括所有在云计算领域和欧盟个人数据保护立法领域拥有利
益关系的相关者,如 CSPs,云客户和潜在客户,云审计员和云经纪人。
6“个人数据”指与被识别或可识别的自然人(“数据主体”)有关的任何信息;可识别的自然人是指可以直
接或间接识别的人,特别是通过标识符,例如姓名、身份证号码、位置数据、在线标识符或特定于身体、生理、
遗传、心理、经济、文化或社会身份的一个或多个因素来识别自然人”。第 4条(1)GDPR。
7“处理”的意思是对个人数据或个人数据集进行的任何操作或一组操作,不论是否采用自动化手段,如收集、
记录、组织、存储、改编或更改、检索、咨询、使用、通过传输、传播等或以其他方式进行可用、对齐或组合、
限制、擦除或销毁。“第 4条(2)GDPR。
8“所有在 EEA 提供服务的云提供商都应该为云客户端提供所有必要的信息,以正确评估采用这些服务的利弊。
客户的安全性、透明度和法律确定性是云计算服务提供背后的关键驱动力。第 29条数据保护工作组,关于云
计算的 05/2012 意见(“ WP05/2012”); 第 2页:“依靠云计算安排的先决条件是控制者[云客户]进
行适当的风险评估演习,包括数据处理的服务器的位置和从数据保护的角度考虑风险和收益。第 4页 ID,
/数据保护/ Touth-29/文档/意见推荐/文件/ 2012 /。
9“控制者”是指自然人或法人、公共机关、机构或其他机构,单独或与他人共同决定个人资料处理的目的和
手段;这种处理的目的和方法是由工会或会员国法确定的,控制器或其指定的具体标准可由工会或会员国法律
提供。第 4条(7)GDPR。
10“处理者”指的是自然人或法人、公共权力、机构或其他机构,代表控制者处理个人数据。第 4条(8)
GDPR。
11 在这方面,值得指出的是,根据第 28 条第(8)款 GDPR:“不损害第 82, 83 条和第 84条的规定,如果一
个处理者通过确定处理的目的和手段违反本规定,则该处理者应被视为该处理的一个控制者。”
12 用户可以参阅第 29 条数据保护工作组意见 1/2010 关于“控制者”和“处理者”“ WP01/2010”的概
念。
(
13 请参阅第 26 条 GDPR:“1”中有关联合控制者的纪律。
1. 两个或者两个以上的控制者共同确定处理的目的和方法的,应当是联合控制者。它们应以透明的方式确定
其履行本条例规定义务的各自责任,特别是有关行使数据主体权利及其各自义务的义务。在第 13条和第 14 条
中所指的信息,在它们之间的安排下,除非和控制者的各自的可靠性是由控制者所受的联合或成员国法律确定
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 15
的。该安排可以指定数据主体的接触点。2. 第 1款所指的安排应适当地反映联合控制者相对于数据主体的各
自作用和关系。安排的实质应对数据主体提供。3. 不管第 1款所指的安排条款如何,数据主体可以根据本条
例行使他或她对各控制者的权利。
14 .
15
16
17
recommendation/files/2012/.
18
providers.
19 参见 GDPR 规定的第 37 条第(4)款和第九章关于特定处理情况的。
202002 年 7 月 12 日欧洲议会和理事会通过了关于个人数据处理和电子通信领域隐私保护的指令第 2002/58 号
/EC,随后 2009 年 11月 25 日欧洲议会和 25国理事会通过修正案修订了第 2009/136 号/EC 指令。制定了关于
电子服务网络和服务的普遍服务和用户权利的指令第 2002/22 号/EC;关于个人数据处理和保护电子通信部门
和法规中的隐私指令第 2002/58 号/EC;关于负责保护消费者权益法的国家主管部门之间的合作监管(EC)第
2006/2004 号。还请参阅关于隐私权和电子通信的规定,
21 2016 年 7 月 6日欧洲议会和理事会通过了关于欧盟网络和信息系统高度安全水平措施的指令(欧盟)第
2016/1148 号;
22
ISO/IEC 7018:2014 信息技术——安全技术——公共云中个人身份信息(PII)保护的实用规则
23
standardisation-guidelines.云服务级协议标准化指南
24 云计
算选拔行业行为规范
25
26
27 见 GDPR 第 3 条:”2. 本规则适用于在联盟中未设立控制者或处理者来处理在联盟中数据主体的个人数
据。处理活动涉及:(a)不论是否需要支付数据主体,货物或服务的提供给该联盟中的数据主体;或者(b)
监视他们的行为,直到他们的行为发生在联盟内部。”
3.假设
在签订提供云服务的合同之前,或当根据GDPR要求审查此类合同时,建议当前和潜在的云
客户分别进行内部和外部尽职调查评估。 比如:
可以利用内部尽职调查来识别可能伴随或阻止云服务潜在使用的限制和约束(例如,
云实际上是实体希望在云中处理的数据类型的可行解决方案吗?).
外部尽职调查确定所提出的云提供商是否满足潜在客户的需求和合规义务。它可以帮
助评估云服务供应商将提供的个人数据保护的水平。例如,提议的云服务供应商是否
提供了隐私和数据保护的水平以及公司需要遵守的欧盟法律的水平,因为这个级别是
由公司本身决定的,还是因为它是适用法律所要求的?
云客户的内部尽职调查
作为内部尽职调查的一部分,除了其它事项外,一个打算将个人数据转入云端的实体可以
考虑:
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 16
1. 定义其安全性、数据保护和遵从性要求。
2. 识别将要移动到云的数据/过程/服务。
3. 审查其自身的内部安全和隐私/数据保护政策以及对其使用个人数据的其他限制,如预
先存在的合同、适用的法律法规、指南和最佳实践。
4. 分析和评估风险(例如,在GDPR第35条所要求的范围内执行数据保护影响评估)29。
5. 识别哪些安全控制和认证是必需的或有用的,以便在云处理过程中实现对其雇员或客
户个人数据的充分保护。
6. 定义安全控制实施的职责和任务(比如,了解哪些安全控制在组织的直接治理下,哪
些安全控制在云服务供应商的责任之下)。
7. 确定实体应该监视哪些服务供应商的活动以及如何监控(例如,需要现场访问,还是
依赖于来自第三方的认证或证据?)。
云客户的外部尽职调查
云客户也可以考虑对其云服务供应商的实践进行尽职调查评价。除了其它事项外,可能包
括:
8. 评估是否云供应商——包括它的(子)承包商/处理者是否满足云客户的需求关于隐私
和数据保护的要求,使用隐私等级协议实施规程。
9. 基于独立性确定云供应商是否持有任何基于第三方的相关认证或证据 30。
10.了解是否以及如何具有可见性和监视的能力,以及云供应商实施的安全控制和实践。
4.说明性注释
云服务供应商可以提供不同的规范,取决于所提供的服务类型、不同的产品或不同的实践
和市场。
此外,该规范可以留出空间,或指向其他文档,以进一步阐明要提供的云服务的特定主题
和时间框架,云服务供应商处理个人数据的范围、方式和目的,以及将处理的个人数据的类型。
此类信息应从客户处收集并得到客户同意 31。
为了避免重复,还可以在主服务协议、服务级别协议(SLA)或作为云服务合同的一部分
的其他文档中引用适当的条款。例如,SLAs通常包括有关数据安全性的信息。使用文档间的交
叉引用是为了简化客户和云服务供应商们(而不是迷惑客户)的事情。清晰度和透明度是至关
重要的。
28 更多内容,请参见 CSA Guidance Version 3 (
guidance/)
29 参见, 实践指南,
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 17
30 参见 GDPR 条款 40
31 Section , p. 13.
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 18
第二部分
隐私等级协议实践守则
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 19
在描述隐私级别协议(PLA) 实施规范(COP)的要求时,如果该要求适用于作为控制者
的 CSP,则用[C]指明;如果该要求适用于作为处理者的 CSP,则用[P];如果该要求同时适用
于两者,则用[C&P]。
注意,如果处理者确定了处理的目的和方法,则处理者被认为是这种处理的控制者。
1.云服务提供商(CSP)合规和责任声明
云服务提供商(CSP)向云客户声明:
1. 遵守适用的欧盟数据保护法,包括技术和组织的安全措施,并确保数据主体的权利得
到保护;[C & P]
2. 能够证明符合适用的欧盟数据保护法(责任).32 [C & P]
云服务提供商(CSP)向云客户介绍:
3. 云服务提供商(CSP)有哪些政策和程序,以确保云服务提供商(CSP)本身及其分包
商的合规(参见章节 ,“分包商”,下文)或商业伙伴。[C & P]
云服务提供商(CSP)鉴定:
4. 可以作为证据来证明此类合规的元素.33, 34 证据元素可以采取不同的形式, 如自我鉴
定/证明, 第三方审计 35 (例如, 认证,36 鉴定,37 和证明), 日志, 审计记录, 系统维
护记录, 或更普通的系统报告和它所有负责的处理操作书面证明. 需要在以下
32 相关内容请查阅 GDPR “问责制” 和 (h)。
33 欧盟数据保护监理(EDPS)术语表中对问责制的定义: “问责制要求控制者建立内部机制和控制制度,以
确保合规并提供证据-例如审计报告-以向外部利益相关方(包括监督机构)证明合规情况” 来源: 欧洲数据保
护监理(EDPS) (2012), 术语表, data-
protection/glossary_en#accountability.
34 第 节, 第 16 引入了(文件)证据的概念,以支持对数据保护原则的遵从,
“[…] 云提供商应提供适当和有效措施的文件证据,以证明数据保护原则的成果”.
35 “信誉良好的第三方的独立验证或认证可以成为云提供商证明其遵守本意见中规定的义务的可靠手段。这
种认证至少表明,数据保护控制已经接受审计或审查,而这种认证标准符合本意见中规定的声誉良好的第三方
组织的要求。在云计算环境中,潜在客户应该查看云服务提供商是否可以提供该第三方审核证书的副本,或确
实提供验证认证的审核报告副本,包括与本意见中提出的要求相关的副本。.” 查阅 第
节, 第 22页.
36 例如, CSA STAR 认证, ISO/IEC 27001 认证(可能增加了 ISO/IEC 27018 的控制),
37 例如, CSA STAR 证明, SOC 2 证明.
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 20
层面提供这些元素:
i. 组织政策层面,证明政策是正确的和适当的;
ii. IT 控制层面, 证明已经部署了适当的控制; 以及
iii. 运维层面,38 证明系统是(或不是)按照计划运行的. 不同层面的证据元素的例
子有数据保护认证, 证明和标记.39 [C & P]
2.云服务提供商(CSP)相关联系人及其角色
云服务提供商(CSP)向云客户列明:
1. 云服务提供商(CSP)身份和联系方式(例如, 名字, 地址, email 地址, 电话号码和
设施所在地); [C & P]
2. 云服务提供商(CSP)本地代表(例如,欧盟的本地代表)的身份和联系方式(例如.,
名字, 地址, email 地址, 电话号码和设施所在地); 40 [C & P]
3. 在相关处理中数据保护的角色(也就是, 控制者, 联合控制者, 处理者或 辅助处理
者);41 [C & P]
4. 数据保护官(DPO)42的联系方式或, 如果没有数据保护官(DPO), 负责处理客户隐私
相关事宜的个人联系方式; [C & P]
5. 信息安全官(ISO)联系方式或,如果没有信息安全官(ISO), 负责处理客户安全相
关事宜的个人联系方式. [C & P]
38 操作级别证据可以定义为“收集数据、元数据、日常信息和对数据和元数据进行的正式操作,这些数据和
元数据提供可归属和可核查的关于服务相关义务履行情况的说明,并可用来支持向第三方证明关于被观测系统
是否适当和有效运作的主张的有效性.” 来源: Wlodarczyk, Pais (eds.), A4Cloud Project Public
Deliverable , “Framework of Evidence,” March 2015.
39 参考 GDPR 第 42 条. 此外, 请注意,云服务提供商(CSP)可能被要求提供一般义务,以保证其内部组织
和数据处理安排(以及其辅助处理者 (如果有的话)符合适用的国家和国际法律要求和标准,如
05/2012, 第 节 第 14页. 另外参考 95/46/EC 指令第 17(2) 节和 第 节第 14页
和第 节. 此外参考例如, CNIL 的建议第 12 页:“a)遵守法国关于个人数据保护的法规. [当服务提
供者作为数据处理者时,可使用下列示范条款]双方承诺按照适用于处理这些数据的任何现行规定收集和处理
所有个人资料,特别是 1978 年 1 月 6日第 78-17 号法律修正案. 根据该法律, 客户是根据合同进行处理的数
据控制者. [当服务提供者是一个联合数据控制者时,可以使用下面的示范条款] 双方承诺按照适用于处理这
些数据的任何现行规定收集和处理所有个人资料,特别是 1978 年 1 月 6日第 78-17 号法律修正。根据该法律,
双方是根据合同进行的处理的联合数据控制者。
40 参考 GDPR 第 27条: “未在联盟中设立控制者或处理者代表. 1.在第 3条第(2)款适用的情况下,控制者或
处理者应书面指定一名在联盟的代表。2.本条第 1款规定的义务不适用于:(a)临时处理,不包括大批量处理
第 9条第(1)款所述特殊类别数据的处理或处理第 10 条所述的与刑事案件相关的个人资料,不太可能对自然人
的权利和自由造成危险,考虑到处理的性质、背景、范围和目的;或(b)公共机关或机构。3.代表应该在数据
主体成员中设立、其个人资料处理有关向其提供货物或服务的个人资料,或其行为受到监测的情况。4.该代表
应由控制者或处理者授权,并由控制者或处理者来处理,特别是监管部门和数据主体,在所有与处理有关的问
题上,以确保遵守本条例。5.控制者或处理者指定代表不应妨碍对控制者或处理者本身提起的法律诉讼。“
41 已经考虑到客户是控制者,云服务提供商(CSP)是处理者的情况,见第 1节,第 4页和第
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 21
节。在我们看来,需要仔细评估各自的角色,并由信息专员办公室在云计算使用指南(“ICO 指南”)的指
导下确认,第 7页。在这方面,请参阅索波特备忘录(Sopot Memorandum)(http://www. datenschutz-
2012 年 4 月通过的《索波特备忘录》(第 8页):“一个公认的数据保护原则是,处理者处理个人数据的范围
不能超过控制者明确指出的范围。对于 CC(云计算),这意味着云服务提供者不能单方面做出决定或安排个人
数据(及其处理)或多或少自动地传输到未知的云数据中心。这是正确的,无论云服务提供商是否可以证明这
种转移是为了降低运营成本、管理峰值负载(溢出)、负载平衡、复制到备份等。云服务提供商也不可以因为
自己的目的使用个人数据。“, WP05/2012 第 23 页:”该草案明确指出如果一个处理者不符合控制者的
规定,就可以作为控制者,并受特定的联合控制规则的约束;“CNIL 对计划使用云计算服务的公司的建议
(CNIL 的建议:
)。第 5-6 页:“当客户使用服务提供商时,通常认为前者是数据控制者,后者是数据
处理者。然而,CNIL 发现,在某些公共 PaaS 和 SaaS 的案例中,客户虽然对他们的服务提供商的选择负责,
但却不能真正给他们指示,也无法监控服务提供商提供的安全性和机密性保证的有效性。这种指示和监控措施
的缺失,主要是由于标准报价不能被客户修改,标准合同不能协商造成的。在这种情况下,服务提供者原则上
可以根据指令 95/46/EC 第 2 条中给出的“数据控制者”的定义来考虑作为联合控制者,他协助制定对个人数
据处理的目标和方法。在有联合控制者的情况下,每一方的职责都应该明确定义。“按照意大利数据保护机构
的指示,云服务提供商(CSP)是一个处理者,云计算:担保人手册(-
14-15 页)。也请参阅 ICO 指南,第 7-9 页关于不
同云服务部署模型中的隐私角色。
42 参考 GDPR 第 13 (1) (b) 和 GDPR 第 37 ff. 此外, 参考
3.数据将被处理的方式
一般信息
云服务供应商为云客户提供以下具体数据控制内容:
1. 过程中分类处理个人数据;
2. 为了让数据处理合法化,按照要求的方式对数据进行处理;
3. 按数据接收者或类别接收数据;
4. 有权访问、更改、删除个人数据或对有关数据主体及其处理对象进行权限限制,也有
权对数据可移植性进行管理。
5. 在适当的情况下,如果云服务供应商试图将个人数据传输给第三国或国际组织,若没
有获得欧盟委员会的明确同意,则需要提供合适稳妥的数据防护措施及手段来保证数
据及数据副本的安全性;
6. 按时段进行个人数据存储,或者当该时段不满足时提供判定标准;
7. 需要达成一致的是,在任何时候撤回赞成权,并不影响撤回之前该赞成权所处理的合
法性;
8. 有权对检察机关提出申诉(如《通用数据保护条例》在第四章第(21)条所规定);
9. 当依照法令或签订合同所要求的提供个人信息时,数据主体有义务提供个人数据,并
知晓拒绝提供的后果;
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 22
10.自动化决策(包括分析、逻辑化有意义的信息)的存在,和处理这类数据具有同样的
意义和预期的结果;
11.一旦云服务供应商打算进一步处理个人信息,个人信息就具有了超过之前仅作收集处
理的价值;
12.如果个人数据并非来源于数据主体,只要可用,无论是来自个人数据的根数据、或是
开放性资源均可行;
13.按照约定实施提供云服务活动(例如,数据存储)、客户请求活动(例如,生产报告)
及云服务供应商主动提供的活动(例如,备份、灾备恢复、欺诈监控)。
云服务供应商为云客户提供以下具体数据处理内容:
14.客户数据控制的方式方法和程度可以与云服务供应商数据处理的方式方法进行绑定 47。
云服务供应商向云客户提出:
15.云客户该如何获取有关云业务的重大变更,例如功能 48实现与否[C&P]。
个人数据位置
云服务供应商向云客户提出个人数据中心的概念:
1. 所有数据中心或者国家处理其他个人数据的机构的定位49,尤其是数据存储/镜像/备份
和恢复的方式及位置(这里包括数字和非数字方式)。
分包商
CSP 识别:
1.参与数据处理的分包商和分处理者要与用于确保数据保护要求得到满足的责任和责任链
相一致.50 [C&P]
CSP 对云客户宣布:
2.如果没有云客户的事先规定或一般书面授权,CSP 将不会进行其他处理.51 [P]
CSP 向云客户宣布 CSP 将:
3.通过合同(或其他有约束力的法律行为)向其他处理者施加 CSP 和云客户之间规定的相
同数据保护义务,尤其是提供充分的保证,以便采用适当的技术和组织措施使处理符合欧盟适
用法律的要求; [P]
4. 仍对云客户履行其他处理者负担的全部责任,如果其他处理者未能履行其数据保护义
务。[P]
CSP 识别:
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 23
5. 设计程序用于向云客户通知有关增加或更换分包商或分处理者的任何预期变更,云客
户始终保留反对此类变更或终止合同的可能性.52 [C&P]
在云客户系统上安装软件
CSP 向客户表明:
1.服务提供是否需要在云客户系统上安装软件(例如,浏览器插件)[C&P]
2.从数据保护和数据安全角度看软件的含义.53 [C&P]
数据处理合同(或其他有约束力的法律行为)
CSP 与云客户共享:
1.模型数据处理合同(或其他具有约束力的法律行为),将管控由 CSP 代表云客户执行的
处理过程,并列出主题和处理的持续时间,个人数据的类型、数据主题的类别以及云客户的义
务和权利。[P]
此外,合同或其他法律法规特别规定,CSP 将执行以下操作:
2.仅根据来自云客户的文档说明处理个人数据,包括关于向第三国或国际组织转让个人资
料的情况,除非 CSP 隶属的联盟或成员国法律要求这样做;在这种情况下,CSP 将在处理之前
通知云客户该法律要求,除非有法律以公共利益为重要理由禁止此类信息; [P]
3.确保授权处理个人数据的人员已承诺保密性或适当的法定保密义务,并且除非来自云客
户的指示,否则他们不处理个人数据,除非联盟或成员国法律另有规定; 54 [P]
4.采取适用的欧盟法律要求的所有措施; 55 [P]
5.尊重采用其他处理商的条件; 56(见上述第 节“分包商”)[P]
6.考虑处理的性质,通过适当的技术和组织措施方式协助云客户,尽可能满足云客户行使
数据主体权利的请求; 57 [P]
7.协助云客户确保遵守与处理安全相关的义务,58向监管当局通报个人数据泄露; 59个人
数据泄露给数据主体 60和数据保护影响评估; 61考虑处理的性质和适用处理者的信息; [P]
8.根据云客户的选择,在提供配置服务结束后删除或返回所有个人数据给云客户;并删除
现有的所有副本除非联盟或成员国法律要求存储个人数据; (请参见下面第 11 节“数据保留,
恢复原状,和删除”)[P]
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 24
9.向云客户提供证明所有必要的符合要求的数据保护义务;并允许审计及由云客户或由其
授权的其他审核员进行的审核包括检查。[P]
43.包括控制主体和第三方所追求的合法利益,基于《通用数据保护条例》在第六章第(1)条内容
参考《通用数据保护条例》在第七章方针 95/46/EC 和第六章
44.对于监管机构的名单,请参照
29/structure/data-protection-authorities/.
45. 参照《通用数据保护条例》在第二十二章第(1)条和第(4)条内容
50 参见 ICO Guidance, pp. 6-8 中的“分层服务”的概念
51 参见 Article . GDPR.
52 在 Section , p. 10 中,提到: “云提供商也应该明确指定委托的分包商(如在公共
数字注册机构).” Section , p. 13. 参见 Section , pp.
10-11; ICO Guidelines, ; 及 Article 10 of the Directive 95/46/EC.
53 Section , p. 11.
54 参见 Article . GDPR.
55 参见 Article 32 GDPR.
56 参见 Article and .
57 参见 Chapter III GDPR.
58 参见 Article 32 GDPR.
59 参见 Article 33 GDPR.
60 参见 Article 34 GDPR.
61 参见 Article 35 GDPR.
4.记录保存
CSP 数据控制者的记录保存
CSP 数据控制者需要向云客户确认:
1. CSP 负责维护数据处理活动的记录, 并在需要时向监督机构提供相关资料。[C]
该记录包含以下信息:
2. 数据控制者的名称和联系方式, 如果有的话,联合控制者的相关信息,控制者的代表
和数据保护官的名称和联系方式; [C]
3. 数据处理的目的; [C]
4. 数据主题类别和个人数据资料类别的说明; [C]
5. 已经披露或即将披露的个人数据的接收者类别, 包括位于第三国或国际组织的接收者;
[C]
6. 如果适用的话, 将个人资料转移给第三国或国际组织, 包括该第三国或国际组织的识
别信息, 并记录适当的保护措施; [C]
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 25
7. 在可能的情况下,不同类别的数据删除所要的时限[C]
8. 在可能的情况下, 对技术和组织安全措施的一般性说明. 62, 63 [C]
CSP 数据处理者的记录保存
CSP 数据处理者需要向云客户确认:
1. 负责维护代表数据控制者进行的各类数据处理活动的记录, 并在需要时向监督机构提
供相关资料。[P]
该记录包含以下信息:
2. 数据处理者的名称和联系方式,每个处理者代表哪个控制者,并在适用情况下, 控制
者或处理者的代表, 以及数据保护官的名称和联系方式; [P]
3. 代表每个控制者进行的处理的类别; [P]
4. 如果适用的话, 将个人资料转移给第三国或国际组织, 包括该第三国或国际组织的识
别信息, 并记录适当的保护措施; [P]
5. 在可能的情况下, 对技术和组织安全措施的一般性说明. 64,65 [P]
5.数据传输
CSP 需要阐明以下内容:
1、在正常或紧急的操作过程中,数据是否会跨境流动、备份且/或恢复。[C & P]
如果在适用的欧盟法律下,数据流动受限,那么请阐明:
2、数据转移的法律依据(包括通过多层次的分包转发)66,例如,欧盟委员会充分性决定,
模型合约或标准数据保护条款 67,经批准的行为准则 68或认证机制 69,有约束力公司规则 70以
及欧美隐私保护协议 71。[C & P]
64 参见下文第 6节 “数据安全度量”;以及 GDPR 第 35 条
65参见GDPR第条和条,规定了如下限制: “第1段和第2段所述义务不适用于雇用少于250
人的企业或组织,除非其进行的处理活动可能对数据对象的权利和自由带来风险,处理活动不是偶
然的,或处理活动包括第 9 (1) 条所述的特殊类别的数据,或包括第10条所述的与犯罪定罪和犯
罪记录相关的个人数据。”
66 参见 ICO 指引第 18 页
67 参见 GDPR 条款 44,参见 A29WP05/2012 第 18 页第 节
68 依据 GDPR 条款 40
69 依据 GDPR 条款 42
70 参见 A29WP05/2012 第 19 页第 节
71 欧盟委员会于 2016 年 7 月 12 日通过了关于欧盟-美国隐私保护协议的决定:
。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 26
6.数据安全措施
首先,CSP 应该注意:……在欧洲议会和 2016 年 7 月 6 日理事会最近通过的指令(欧盟)
2016/1148 的背景下,云计算服务被认为是数字服务提供商(DSPS),其涉及跨越欧盟全境的
网络和信息系统的高公共安全级别的措施。74”
在完成这一部分时,基于 WP05/2012,CSP 可能被要求遵循 2017 年 2 月 16 日的
EISA 指南。此外,数据安全符合性的证据也可以通过遵守相关的行为准则和认证机制来提供
给云计算客户。
考虑到现有技术、实施成本和处理的性质、范围、背景和目的,以及自然人的权利和自由
可能存在差异,CSP75:
1. 指定云计算客户的技术、物理环境和组织措施,这是为了保护个人数据免遭意外或非
法破坏;或意外损失、更改、未经授权使用、擅自修改、披露或查阅;反对各种非法的加工形
式76。
2. 向云客户描述具体的技术、物理环境和组织措施(保护、检测和纠正)以确保下列保
障措施。
i,可用性78-建立处理和测量措施来管理破坏性风险,并防止、发现和应对事故,如备份互
联网网络链路、冗余存储和有效数据备份、恢复机制和补丁管理。
ii. 完整性 80—CSP 确保完整性的方法 81(例如:通过密码机制如消息认证码或签名、纠
错、散列、硬件辐射/电离保护、物理访问/破解/破坏、软件缺陷、设计缺陷和人为错误等来
检测对个人数据的更改。)82 [C & P]
iii. 机密性 83—CSP 确保机密性的方法是从技术层面上保障只有被授权的人才可以读取数
据;包括:对“传输”和“静态”的个人数据匿名化和加密 84,授权机制和强认证 86,和从契
约的层面,如对 CSP 和所有员工(全职、兼职和合同工),以及能够进入数据的分包商都有约
束力的保密协议,保密条款,公司政策和程序。[C & P]
iv. 透明性—CSP 已经具备的技术的、物理的和组织的措施来支持透明度和允许客户审查
(见下文第 7 节,“监视”) ;87 [C & P]
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 27
v. 隔离(目的限制)—CSP 如何对个人数据提供适当的隔离(如:充分管理进入个人数
据的权限和角色,(定期审查),基于“最小特权”原则访问管理,加固虚拟机管理程序 88,
以及在虚拟机被用来在云客户之间共享物理资源时共享资源的适当管理);89 [C & P]
vi. 可干预性—CSP 实现数据主体访问权限的方法,矫正,消除(“被遗忘权”) ,90封锁,
异议,过程限制(见第十章“过程限制”),可移植性 92(见第九章“数据移植,迁移和转
移”),为了证明对这些要求的技术和组织障碍的缺乏,包括当数据进一步被分销商处理的情
况 93(此处也与第九章“数据移植,迁移和转移”相关)[C & P]
vii. 可移植性—见第九章“数据移植,迁移和转移” [C & P]
viii. 可追溯性—见第一章“CSP 的合规与可追溯性申明”
7.监测
云服务提供商(CSP)向云客户指出:
1. 为了确保在隐私水平协议(PLA)所描述的适当的隐私和安全措施, 客户必须持续地监
视和/或审计 94相关科目(例如:记录、报告、第一和/或第三方的由 CSP 或承包商执行的相关
处理操作的审计)95[C & P]
international-transfers/eu-us-privacy-shield/;根据欧洲议会和理事会关于欧盟-美国隐私
屏蔽提供的保护的充分性(2016 年 7 月 12 日在文件 C(2016)4176 下通知)的委托执行决定(欧盟)
2016/1250(2016 年 7 月 12 日)参见 年 10 月 6 日,
欧洲法院根据指令 95/46 宣布了 2000 年 7 月 26 日关于“保护的充分性”的委员会决定 2000/520/EC无效。
由安全港隐私原则及相关常见问题发出,由美国商务部(OJ 2000 L 215,第 7页),法院判决- 2015 年 10 月
6 日施雷姆斯案 C-
362/14(
=EN&mode=req&dir=&occ=first&part=1&cid=876554)
72 见 EnISA 指南,2017 年 2 月 16 日,第 6 页
73 参见国家网络安全中心:《指导云安全原则的实施》(
cloud-security-principles).
74 参见 ,40 和 42 章
75 参见 GDPR32 章
76 参见 GDPR32 章
77 WP05/2012,第节,第13页。参见ICO指南,第13-14页
78 请参阅 ICO 指南清单中的“可用性”部分,第 22 页:“云计算提供商是否有足够的能力应付少数其他云计
算客户的高需求?其他云计算客户或云计算用户的行为如何影响您的服务质量?你能保证当你需要数据或服务
时你能访问它们吗?当你离开办公室时,你将如何覆盖云计算用户访问云计算服务的硬件和连接成本?如果云
计算服务提供商发生重大停电,这会对你的业务产生什么影响吗?”
79 / 2012 年 节,第 14 页。
80:见 ICO 指导检查签单的“完整性”部分,第 22页:什么样的审计线索便于您监控谁正在访问哪些数据?
确保在您的要求时,云供应商允许您获得您的可用格式的数据副本。云提供商如果遭受重大数据丢失,可以以
多快速度从备份中恢复数据(而不改变)?
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 28
81:该描述应涉及 CSP 的所有数据层面,从用户信息上下文到物理数据组件和软件代码。
82: 第 章, 第 15 页, ICO 引导,第 22 页:“确保在您要求时,云供应商允许您获
得您的可用格式的数据副本。”
83:见 ICO 指导检查清单的“机密性”章节,第 22 页:你的云提供商能提供适当的第三方安全评估吗?这是
否符合适当的行业守则或其他质量标准?如果一个安全漏洞出现云供应商的产品中,他们的反应速度会有多
块?创建,暂停和删除账户所需的时间和成本是多少?是否所有的通信在传输过程中都要加密?是否恰当地对
静态数据进行加密?什么样的密钥管理是合适的?数据删除和保留的时间尺度是怎样的?包括生命周期结束时
的销毁吗?如果将来你决定退出云计算,云提供商会安全的删除您的所有数据吗?了解云提供商是否会把您的
数据或者您的云用户数据与第三方共享或与其服务共享?
84 见文章 (a) GDPR.
85 请注意:在所有应用场景下,无论数据在传输或静止状态,个人信息都应加密。云供应商与用户之间,以
及数据中心的所有通信都应该被加密。 第 章, 第 15.页,见 ICO 指导第 14-15.页
86 第 章, 第 15.页 87: 第 章, 第 15.页 此外,“透明度
对于个人数据公平和合法的处理是至关重要,指令 95/46 / EC 强制云客户端提供数据主体,从该数据主体收
集与他本人有关的数据,及与他的身份和处理目的有关的信息。云客户端还应该提供任何其他信息,例如在数
据接收者或接收者的类别上,还可以包括处理者和从处理者,以确保数据的公平处理(见指令第 10条)。在云
用户、云供应商和承包商(如果有的话)之间,必须确保透明度。如果云供应商通知客户所有相关问题,云用
户在云环境中只允许访问处理合法的个人信息。考虑参与云提供商的管理员应该仔细检查云提供商的条款和条
件,并从数据保护的角度对其进行评估。云的透明意味着有必要让云用户了解提供相应云服务的所有分包商以
及所有数据中心个人数据的位置可能会被处理。如果提供服务需要在云客户端系统上安装软件(例如,浏览器
插件),云供应商应从数据保护和数据安全的角度出发告知客户这种情况。反之亦然,如果云供应商没有充分
强调这个问题,云用户应该事前提出这个问题。” 第 节, 第 10-11.页
88 “加固虚拟化管理程序”也与“完整性”有关,请参阅上面的第 6节“数据安全措施”。
89 第 章, 第 16.页 见 ICO 指导 第 20.页
94 参见 CNIL(法国国家信息技术和自由委员会)2014 年 8 月 25日的决议, 这项决议昭示了安全审计的缺失:
defaut-de-securite-des-donnees-dans-le-cadre-de-campagnes/
95. 参见 GDPP (h) 条款和 第 1章节 “CSP 履约和问责制宣言.” 参见 第 章节
(第 13页)和 第 章节(第 11页).参见 ICO 指南, pp. .
8.个人数据泄露
“个人数据违约” 是指因CSP 提供的服务而导致意外或非法破坏、遗失、更改、未经授
权披露,或访问个人数据传输、存储或其他数据处理96。
CSP向云客户明确描述:
1.当数据违约发生影响 CSP 和/或其分包商处理的客户数据,客户将如何以及在什么时间
范围内获知数据违约的发生.97 [C & P]
在这方面, 信息至少达到或尽可能和最大程度地达到:
2.描述个人数据违约的性质, 有可能的话包括有关个人数据记录的类别和大致数量; [C &
P]
3.和云客户沟通有关数据保护官员或其他联络人的姓名和联系方式, 以便获得更多信息
(参见第2章, “CSP相关联系人和角色”, 上文); [C & P]
4.描述个人数据泄露可能造成的后果; [C & P]
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 29
5.描述已采取 (或建议采取) 的措施, 以解决个人数据违约问题, 包括酌情采取措施减轻
其可能产生的不利影响.98 [C & P]
CSP同时明确描述:
6.在发现个人数据违约发生的72小时内,如何通知主管监督部门关于个人数据安全违规行
为? [C]
7. 如果个人数据违约可能会对自然人的权利和自由造成高风险, 数据主体将如何在没有
不当拖延的情况下被告知?.99 [C]
9.数据可移植性,迁移和转移回收
CSP向云客户明确描述:
1.针对个人数据传输能力,CSP 如何使用结构化、惯用、机器可读和交互操作格式保证数
据的可移植性。100 [C & P]
i. 向云客户(“迁回”, 例如:迁回内部IT环境); [C & P]
ii. 直接面向数据主题; [C & P]
iii. 向其他服务商(“迁移”), 例如:通过下载工具或应用程序接口, 或APIs).101 [C &
P]
CSP向云客户描述:
2. CSP 采用何种方法和成本帮助客户将数据迁移到其他服务提供商或迁回内部 IT 环
境.102 [C & P]
96 参见 GDPR 第 4.(12) 章。
97 参见 GDPR 第 33章和第 34 章。此外,在德国,法定的数据违约通知要求于 2009 年 9 月 1日生效; 参见德
国联邦数据保护法案第 42 (a)章节。 同时参见“关于德国法定数据违约通知要求的常见问题”:
荷兰, 2016 年 1 月 1 日, 数据违约通知义务生效; 参见
第 章节, 第 13 页.
98 参见 GDPR 第 33章
99 参见 GDPR 第 33 章. 同时参见 GDPR 第 34 章.
100. 参见 GDPR 叙文 68 号.
101.数据可移植性的权限授予数据主体,在大多数情况下,数据主体是云客户的客户。更准确地说,依照
GDPR 第 20 条, “数据主体有权以结构化、通用和机器可读的格式接收关于他或她提供给控制者的个人数据,
并有权将这些数据传送给另一个控制者,而不受提供个人数据的控制者的阻碍。在该情况下: (a) 依据第 6条
第(1)点或第 9条第(2)点(a)的许可进行处理,或依据第 6条第(1)点(b)的合同进行处理。并且,
(b) 该处理是通过自动化手段进行的。2.根据第 1段行使数据可移植性的权利,数据主体有权将个人数据直接
从一个控制者传送到另一个控制者,并在技术上可行。” 这表示云客户必须确保代表控制者(即云客户)处
理个人数据的 CSP 能够保证数据的可移植性。显然,当数据处理作为数据控制器时,当 CSP 作为数据控制者进
行数据处理时必须保证数据的可移植性。参见 WP242/16 支持符合数据可移植性权利的实践指南、最佳实
践和工具。数据可移植性是 GDPR 引入的一项新权利。然而,即使在 GDPR 直接适用于欧盟成员国(2018 年 5
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 30
月 25日)之前,似乎也有足够的理由考虑数据可移植性作为根据欧盟一般个人数据保护原则的强制性要求,
例如:“数据准确性”(95/46/EC 指令第 条),以及依据 95/46 / EC 的第 章节和第 12 章节的
“数据可用性”和可能授予数据主体的权利。同时参见 A29WP05/2012, 第 章节, 第 16 页 和 ICO 指
导说明, 第 22页: 请确保云提供商在您发出请求时允许您以可用格式获取数据副本。更多信息, 参见云服务
水平协议标准化指南第 章节:数据可携带性
语境或需求的描述
以下所列的 SLOs 与 CSP 导出数据的能力相关,例如:终止合同的情形下,客户仍然可以持续使用,
在通过认证获得的信息上增补的 SLOS(服务水平目标)的需求描述
在相关的安全控制框架和认证中,数据可移植性控制的实现通常侧重于适用的 CSP 策略的规范,这使得云服务
客户难以(有时甚至不可能)提取与之相关的可用格式、接口和传输速率等特定指标。以下所列的 SLOs 聚焦
在可以由客户使用的 CSP 数据的可移植性特征的三个基本方面,例如:与提供者的终止过程的相关的技术特征
进行协商。
相关 SLOs 描述
数据可移植格式:云服务客户可以传输到云服务/从云服务访问的数据的电子格式。
数据可移植性接口:可用于将云服务客户数据传输到云服务和从云服务传递的机制。该规范潜在地包括传输协
议的规范和 API 或任何其他机制的规范。
数据传输速率:云服务客户数据采用数据接口中所定义的机制从/到云服务进行传输的最低速率。
102. 参见 第 章节, 第 16页.
专有名词:
Controller:控制者
SLO:Service Level Objective ,服务水平目标
SLA:Service Level Agreement,服务水平协议
CSP:Cloud Service Provider ,云服务提供商
PLA:Privacy Level Agreement,隐私水平协议
Breach:违约
CNIL: The Commission nationale de l'informatique et des libertés, National Commission on
Informatics and Liberty, 法国国家信息技术和自由委员会,
ICO: Information Commissioner’s Office, 英国信息专员办公室,
: Article 29-Working Party,欧委会第 29条工作组
10.限制处理
云服务提供商向云客户解释:
1. 限制个人数据处理的可能性是如何被授予的;考虑到在处理受到限制的情况下,除存
储以外,这些个人数据只能在数据主体同意的情况下处理,或者为了确立、行使或保护法律权
利要求,或者为了保护另一个自然人或法人的权利,或者为了国际电联或会员国重要公共利益
的原因。103
11.数据保留,恢复和删除
数据保留,恢复和删除政策
云服务提供商向云客户描述:
1.云服务提供商的数据保留策略,时间表以及返回个人数据或在服务终止
后删除数据的条件。
2.以及分包商的这些政策,时间表和条件。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 31
数据保留
云服务提供商表明:
1. 个人数据将要或可能被保留的时间段,或者如果不可能,用于确定这
个时间段的标准。104
数据保留符合行业特定的法律要求
云服务提供商向云客户表明:
1.云客户是否以及如何要求云服务提供商遵守特定的行业法律法规。105
102 见 第 节, 第 16页.
103 See Article 18 GDPR. “Methods by which to restrict the processing of personal data could
include, inter alia, temporarily moving the selected data to another processing system, making
the selected personal data unavailable to users, or temporarily removing published data from a
website. In automated filing systems, the restriction of processing should in principle be
ensured by technical means in such a manner that the personal data are not subject to further
processing operations and cannot be changed. The fact that the processing of personal data is
restricted should be clearly indicated in the system.” Preamble 67 GDPR.
见 GDPR 第 18 条。“限制个人数据处理的方法可能包括,将选定的数据暂时转移到另一个处理系统,使所选的
个人数据用户无法访问,或者暂时从网站上删除已发布的数据。在自动归档系统中,原则上应以技术手段确保
对处理的限制,使个人数据不受进一步处理操作的约束,并且不能更改。对个人数据的处理是受限制的,应该
在系统中清楚地说明。” GDPR 前言 67。
104 Note that “[P]ersonal data must be erased [or anonymised] as soon as their retention is not
necessary anymore.” Section ,
10 and “If this data cannot be erased due to legal retention rules (., tax regulations),
access to this personal data should be blocked.” Section , pp. 11; and “Since personal
data may be kept redundantly on different servers at different locations, it must be ensured
that each instance of them is erased irretrievably (., previous versions, temporary and even
file fragments are to be deleted as well).” See Article 6 of the Directive 95/46/ EC, Articles
5 and Article (a), (a) GDPR. See also Section , p. 13.
请注意:“个人数据一旦不再需要保留,必须立即删除[或匿名]。” / 2012,第 节,第 10 页
和“如果由于合法保留规则而无法删除此数据 (如税收规定),应该阻止访问这些个人数据。“第 节,
第 11页; 和“由于个人数据可能在不同地点的不同服务器上冗余保存,因此必须确保它们的每个实例都被无
可挽回地擦除(例如先前版本、临时文件甚至文件碎片也将被删除)”。见 95/46/EC 指令的第 6条,第 5条
和第 (a)条,第 (a)条 GDPR。另见 / 2012 第 节,第 13 页。
105 See ICO Guidance, pp. 16-17.
见 ICO 指南第 16-17 页。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 32
数据恢复和/或删除
云服务提供商向云客户表明:
1. 以一种允许数据可移植性的格式向云客户返回个人数据的过程(见上文的第 9节“数
据可移植性、迁移和传回”)
2. 可用的方法或用于删除数据的方法
3. 在云客户删除(或请求删除)数据之后,或在合同终止后,是否可以保留数据
4. 保留数据的具体原因
5. 云服务提供商将保留数据的时间段
12 与云客户合作
云服务提供商详细说明:
1. 云服务提供商如何与云客户合作以确保遵守适用的数据保护条款,例如,使客户能够
有效保证数据主体权利的行使:访问权,纠正,删除(“被遗忘权”),处理限制,
便携性,以管理包括在安全/数据泄露情况下进行取证分析的事件 106。(另见上文第 6
节“数据安全措施:介入性”和第 8 节“个人数据泄露”)
云服务提供商向云客户承诺:
2. 向云客户和监管机构提供证明合规所需的信息(另见上文第 1节“云服务提供商关于
合规和问责声明”)107。
13 法律要求披露
云服务提供商向云客户描述:
1. 管理和回应执法机构披露个人资料的请求的程序,特别注意对有关客户的通知程序,
除非另有禁止,例如刑法禁止保护执法调查的机密性。108
14 云客户的补救措施
云服务提供商向云客户表明:
1. 当云服务提供商和/或其分包商(见第 3 节 “数据将被处理的方法”,以及更具体的
“分包商”)在隐私水平协议下发生违反合同义务的情况,对云客户来说什么补救
措施是有效的。补救措施可以包括对云客户的服务信用和/或对云服务提供商的合同处
罚。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 33
15 云服务提供商保险政策
云服务提供商向云客户描述:
1. 云服务提供商相关保险政策的范围(例如,数据保护遵从性保险,包括对未能履行其
数据保护义务和网络保险的附属处理者的覆盖,包括关于安全/数据泄露的保险)。
106 Section p. 13. Note that the CSP is obliged to support the customer in
facilitating exercise of data subjects’ rights and to ensure that the same holds true for any
subcontractor. Section , p. 16.
/ 2012,第 节,第 13 页。请注意,云服务提供商有义务支持客户协助行使数据主体权利并确
保任何分包商也是如此。 节,第 16 页。
107 Articles . and (h) GDPR.
GDPR 第 和 (h)节。
108 Section pp. 13-14. See extensively Article 29 Data Protection Working
Party Opinion 04/2014 on “Surveillance of electronic communications for intelligence and
national security purposes” (
29/documentation/opinion-rec- ommendation/files/2014/) and ICO Guidance, pp. 19-20.
See also Preamble 115 GDPR.
节,第 13-14 页。请参阅 04/2014 数据保护工作组意见第 29 条关于“为情报和国家
安全目的监测电子通信”(
29/documentation/opinion-rec-ommendation/files/2014/)和 ICO 指南,第 19-20 页。另见
GDPR 前言 115。
109 Section p. 12.
第 节,第 12页。
110 See Articles 58, 77 ff. GDPR.
见 GDPR 第 58 条,77 ff。
111 See Article . GDPR.
见 GDPR 第 条
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 34
2.
第三部分
CSA 治理及相关机制的
实践守则
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 35
本认证(CSA Code of Conduct for GDPR Compliance)范围更倾向应时而变而非固定格
局。云服务提供商和客户必须积极应对并遵守各种新法律法规中有关保护个人信息的要求。相
关方和现有的认证方案必须确保安全和隐私要求,并能适应未来新监管要求。
为了满足前文所述 CoC 的愿景,本文制定了相关管理结构。为了保证一致性、管理和需求
变更,并且需要明确定义可能会影响 CoC 及相关文档的“是否”,“何时“,”如何“ ”由
谁“的内容。
有关 CoC 的管理构成,应由以下几个要素组成
1,技术部分:技术构成应随着法律、监管、技术环境或 CSA 内部的变化而改变
2,治理主体:重点治理机构及他们角色和职责
3,流程:涉及对准则的定义、修订和实现的治理过程和相关活动
1.技术部分
CoC 治理框架的组成
1 PLA 准则实践
2, CoC 认证机制及持久方案
3, 道德准则
4, 隐私等级协议和开放认证框架工作组章程
PLA 准则实践
本文档的第二部分介绍了 PLA 的准则实践,这是欧盟标准中有关个人数据保护遵从要求的
技术标准,并定义了条款和控制,以符合这些要求。PLA 准则是构成 CoC 的基本技术组成部分。
认证方案/保持机制
云服务商和云客户愿意遵守由 CSA 开放框架工作组设计本文档中所确立的原则、政策和指
南并愿意持续更新的,需要提交遵守声明(见附件 2)至 CSA。
遵守的声明应由公司/组织法定代表人或指定的数据保护官员(DPO)签署,并必须遵从
PLA 模板(见附件 1)并以自我评估(自我认证)的形式或以第三方证书的形式予以实现。
PLA CoP 中包含了一张满足 GDPR 合规要求的模板表单。
需要明确的是云服务商和/或云客户必须明白需要遵从所有 PLA CoP 的需求而不是其中某
一部分。
CoC 认证方案定义了遵守 CoC 的目标、政策、机制、范围、规则、要求和过程,包括以下
内容:
(a)认证的范围和目标;
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 36
(b)审计规则和机制;
(c)审核员资格程序;
(d)撤销条件和申诉机制;
(e)认证费。
CoC 认证方案是 CSA 认证框架的一个组成部分,如 STAR 项目/开放认证框架(OCF;
见下文附件 3)。
该计划是基于两个层次的保证:
1,CoC 自认证
2,CoC 第三方认证
我们提交以下内容至 CSA PLA 工作组,以便 CSA OCF 实施 CoC 认证计划。
CoC 自我认证
CoC 自认证需要由云服务商或云客户在 CSA STAR(见附件 3)自行发布表明本公司遵从本准
则。声明需要通过 STAR 向 CSA 提交并完成遵守申明(见附录 2)和 PLA 模板(见附录 3)。在自我
认证过程中,相关内容不由具有资格的独立第三方审核。CSA 根据提交内容进行验证以保证所
有准则得以实现,并确信一个"诚信者"努力完成了 PLA CoP 的所有要求。CSA 也会验证提交人
公开的合规申明。一旦所有的条件得到满足,CSA 将会颁发自认证符合资格。
CoC 自认证符合资格有效期为从自颁之日起 12 个月,并需要在此有效期后进行再次评估。
此外一旦公司相关政策或实施情况发生变,都需要及时修改 CoC 自认证内容。
证书的撤销和投诉机制在 节“CoC 证书签发,遵守声明和投诉管理”中有详细说明。
需要指出的是,在 CSA STAR Registry 的发布和认证标志的颁发可能受限于管理费。
CoC 第三方认证
CoC 第三方认证是通过符合 PLA COP 要求,合格的 COC 审核伙伴的验证获得的。具体验证
包含以下内容:
是否正确使用 CoC (如:是否数据控制者/数据处理者覆盖 PLA CoP 的所有环节?是否每
个部分都提供了必要的数据处理和处置信息?)
准则中内容的准确性 (如:提交的信息是否真实可信;声明材料是否有相关证据)
如上所述,验证必须由合格的于 CSA 签署“合格 CcC 审核伙伴协议”的 CcC 审核伙伴执行。
合作伙伴协议中重要的要求如下:
必须至少拥有一名 CoC 认证的审核员资格的雇员
合作伙伴不管是全职或兼职必须至少有一名合格的 CoC 安全专家参与相关审计部门(这名
人员也可以是 CoC 认证的审核员)
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 37
获取 CoC 认可审计伙伴的 CSA 联盟成员将会收到来自 CSA 网站的审计伙伴名单
合格的 CoC 审核员是符合以下要求的专业人员
1,至少 2 年在数据保护法律相关的经验或获取相关专业证书(如:IAPP CIPP/E, ECP-B
DPO 证书, CSA CoC 培训和认证)
合格的 CoC 安全专家必须满足以下需求(请注意:根据审计公司信息安全的认证状态要求
将有所区别)
1, 被审计的公司有一项相关领域的信息安全认证(如:CSA STAR 认证/证明,
ISO27001)。至少一年的云安全合规经验或持有相关专业认证(如:CSA CCSK, (ISC)2 CCSP)
2. 被审计的公司没有相关领域的信息安全认证(如:CSA STAR 认证/证明, ISO27001)。
至少 3年在技术、物理和组织合规方面遵守相关信息安全认证的经验。(如:CSA STAR 认
证/证明, ISO27001)或者相关领域的信息安全认证(如:ISACA CISA, CSA STAR
在满足所有条件后,CSA 将授予 CoC 第三方认证资格。
CoC 第三方认证资格有效期为从自颁之日起 12 个月,并需要在此有效期后进行再次评估。
此外一旦公司相关政策或实施情况发生变,都需要及时修改 CoC 第三方认证资格内容。
证书的撤销和投诉机制在 节“CoC 证书签发,遵守声明和投诉管理”中有详细说明。
需要指出的是,在 CSA STAR Registry 的发布和认证标志的颁发可能受限于管理费。
道德准则
道德准则 见附录
隐私等级协议和开放认证框架工作组
PLA 和 OCF 工作组描述见附录 5 和附录 6
2.管理主体,角色和责任
CoC 的管理和组成部分(PLA CoP,认证计划和道德准则)是 PLA,OCF 工作组和 CSA 之间
共同的责任。
PLA 工作组
PLA 工作组负责定义,批准和更新实施准则技术标准的变化,比如 PLA CoP(目前是第 3
版,PLA [V3])。
该主体提供关于针对 CoC 自认证的抱怨的 CSA 专家观点。PLA WG 部分定义了目标,范围,
成员,结构和责任,与其他 CSA WG 的关系,以及与 WG 相关的外部活动,运作,沟通方法,决
策过程,活动,交付物,过程和知识产权策略。每个成员都有对 CoC 提出修改的权利。
PLA WG 的参与是自愿的,也对所有有参与意愿的人开放。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 38
OCF 工作组
该主体负责定义 CSA STAR Progra 采用的认证计划(certification scheme)。OCF WG 定
义,复查,批准已有的 CSA OCF/STAR Program 认证计划的修改;定义,复查,批准新的认证
计划,比如 CoC 认证计划。
OCF WG 章节(见附录 6)定义了目标,成员,结构和责任,与其他 CSA WG 的关系,以及
与 WG 相关的外部活动,运作,沟通方法,决策过程,活动,交付物,过程和知识产权策略。
每个成员都有对 CSA STAR Program 中的认证计划提出修改的权利。
云安全联盟(Cloud Security Alliance,CSA)
CSA 支持和监督作为 STAR Program 一部分的 CoC 认证计划的实施。这些活动包括但不限
于:
• 维护发放的 CoC 证书的公开注册。每个词条包含以下信息:
(1) 名称和组织描述;
(2) 与 CoC 相关的服务名称和描述;
(3) CoC 登记;
(4) 使用的 CoC 版本(当前版本为 V3);
(5) 证书的有效性;
(6) 审计组织(人)的名称;
• 维护有资质的 CoC 审计人的公开注册;
• 维护关于 CoC 信息和指南的网站,包括 CoC 概念,方法和技术标准,认证计划的需求,
过程和成本;
• 检查 CoC 自认证,验证需要满足的最小需求;
• 维护提出抱怨(不满)的机制;
• 验证抱怨(不满)并采取适当的动作,比如从注册表中移除 CoC 记录和证书,从注册表
中移除有资质的 CoC 审计合伙人;
• 提供处理争端的指导;
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 39
• 创建咨询机构来支持 CSA 计划的实施和监管,比如欧美隐私协会(European Privacy
Association,EPA);内容包括对 CoC 审计需求进行周期性的审计;对审计结果进行周
期性的检查;管理抱怨(不满);
• 确保标准开发,认证实施和管理过程的透明性和完整性;
• 批准 OCF 章节的修订和扩充;
• 批准 PLA 章节的修订和扩充;
• 设定和复查认证费用;
• 批准 CoC 资格审计人培训合伙人;
• 提供所有费用非公共会计,包括项目管理过程中产生的所有费用和其他收入;
与数据保护监管机构的合作和支持
CoC 治理主体同意在云上个人数据包括在以下方面与国家数据保护机构(data
protection authorities,DPAs)展开合作和支持。
考虑到合作和 DPA 的请求,数据保护工作组(Article 29 Data Protection Working
Party,)或欧洲数据保护委员会(European Data Protection Board),CoC 治理主
体可能会提供:
• 对使用云计算服务的公司和个人用户提供指导和倡议;
• 根据相关的数据保护法律提供建议,如 DPA 制定的法律;
考虑到支持和 DPA, WP,或欧洲数据保护委员会的请求,CoC 治理主体可能会:
• 推进 CoC 自认证的企业意识到 DPA 签发的措施,比如总则,特别规定等;
• 如果 DPA 对 CoC 认证的企业实施检查,提供给所有 CSA 拥有的信息和证据。这里,CoC
治理主体就会作为 CSA 的参考依据;
• 如果企业受到 DPA 的处罚,进行复查,如果有必要,还要撤回该企业的 CoC 认证。
3.管理过程和相关活动
CoC 的管理过程定义了管理主体和一系列相关活动之间的关系。这些活动是管理主体必须
要遵从的,目的是为了让 CoC 的每个部分的管理过程都保持一致。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 40
PLA 执行规范的审核过程
PLA CoP 将定期接受审核,因为其受制于欧盟个人信息保护相关的法律框架。而 PLA CoP
的审核过程则是 PLA WG 负责的。
PLA CoP 的审核过程可以由 CSA 社区的任何成员(如志愿者、企业成员、PLA 成员等)发
起,需基于 PLA 的要求与最新的相关立法。
任何关于 PLA CoP[V3]的更新请求,都应由 PLA 的成员进行评估和决定(请参考附件 5 中
PLA 章程)。
CSA 和 PLA 的成员将确保 PLA 的更新能及时完成,以降低因更新滞后所带来的风险。
当前版本的 PLA CoP [V3]既关注现行的(Directive95/46、EC 和其在欧盟成员国的实施)
也关注即将到来的欧盟关于保护个人数据的相关立法(Regulation(EU)2016/679,GDPR)。
PLA WG 章程还包括扩大 PLA CoP 的地理范围。PLA WG 还预测 CoC 的发展,该 CoC 将在全
球范围内解决隐私/数据保护需求。
CoC 认证审核过程
OCF WG 负责发起对 CoC 认证方案的审核,并评估和批准审查请求和实施提议的变更。
OCF WG 成员有权对 CSA STAR Program(包括 CoC 认证)中的认证方案提出修改,
CoC 标志发布,依从性声明发表和投诉管理
CSA 负责审查、批准和管理 CoC 的自我认证及第三方认证标志的发布,依从性声明的提交
过程,和相关的投诉。具体为:
i. CoC 自我认证
CSA 负责审查所有第三方提交的任何 CoC 自我认证和相关投诉。对于前者,CSA 应核实其
最低要求是否已得到满足。对于后者,CSA 应核实投诉的有效性,并根据 PLA WG 的意见,采
取相关行动。
经验证后,CSA 应确保 CoC 的自我认证在网上的 CSA Registry 上发布。如果未满足最低
要求,或者投诉是有效的,CSA 将采取下列行动之一:a)提出对该 CoC 自我认证的修改, 或
b)从 CSA Registry 中删除该自认证,并撤销该标志。
ii. CoC 认证
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 41
当合格的 CoC 审计人员确认被审计人已通过了审计,CSA 将负责在 STAR Registry 上发布
该 CoC 认证。
如果有相关投诉,CSA 还应负责通知那名相关的 CoC 审计人员。在这种情况下,该 CoC 审
计人员应核实投诉的有效性,并向 CSA 提供反馈。
如果投诉被认为是有效的,那么该 CoC 审计人员应当暂停认证或者撤销认证。相应地,
CSA 也会将从 Registry 中删除该认证并撤销该标志。
审查过程的道德规范
CSA 董事会每年进行道德规范声明的审阅和更新。对该声明所做的任何修改都应传达给所
有的 CSA 当事人。
PLA 和 OCF WG 章程文档审核过程
CSA 负责批准 OCF 和 PLA 对章程的修订和补充请求。
附录 1: PLA [3] 模板
要求 要求ID 控制措施 控 制 措 施
ID
规
范
要
求
CSP作为数据
控制者
CSP作为数据
处理者
合 规 与
责任声明
DC
A
1. 合规与
责任声明
1. 声明遵守欧盟的数据保
护法,同时通过技术和组
织保障措施,确保保障数
据主体的权利;
适用 适用
2. 声明能够证明符合
适用的欧盟数据保护
法(责任)。
适用 适用
3. 提供政策和程序的描
述,确保并证明被云服务供
应商本身和其分包商(参见
第节–“分包商”,下
同)或商业伙伴遵守。
适用 适用
4确定可以作为证据来证
明该符合性的要素。这些
证据要素,可以包括不同
的形式,如自我认证/评
测,第三方审核(例如认
证,评测,和封印),日
志,审计跟踪,系统维护
记录,或更一般的系统报
告和文档化操作证据。这
些要素需要被提供以下级
别上的信息:
(i)(i) 组织政策水平的信
息,可证明政策是正确
和适当的;;
(ii)(ii)IT控制水平,表明
适当的控制已经部署;
和
(iii)操作水平,表明系
统的操作行为是(或
不)遵守计划的。.
属于不同层次的证据要
素的例子,包括数据保
护认证、密印和标志。.
适用 适用
2. 云服务
供应商相关
联系方式和
角色.
CA
R
1. 云服务
供应商相关
联系方式和
角色
1. 确定云服务供应商的身
份和联系信息(如姓名,地
址,电子邮件地址,电话号
码和设立的地点);
适用 适用
2. 确定云服务供应商本地
代表的身份和联系信息
(如姓名、地址、电子邮
件地址、电话号码和设立
的地点),例如,欧盟本
地代表;
适用 适用
3. 明确数据保护的角色,
(即控制者、联合控制
者、处理者或分包处理
者);
适用 适用
4. 指 定 数 据 保 护 专 员
(DPO)的联系方式,或
者,如果没有DPO,告知隐
私事项负责人的联系信
息,以便客户可向其请求
相关协助;
适用 适用
5 指 定 信 息 安 全 专 员
(ISO)的联系信息,或
者,如果没有ISO,则告
知负责安全事项的联系人
的联系信息,以处理客户
请求。
适用 适用
3. 数据处
理措施.
WWP 1. 一
般信息
云服务供应商作为控制
者,应向云客户提供以下
信息:
1. 处理过程中涉及到的
个人信息类别;
适用
不适用
2. 数据处理的目的和以合法
的方式进行这种处理的必要法
律依据;
适用
不适用
3. 数据接收者或接收者
的类别;
适用 不适用
4 数据主体有权请求查阅
和纠正或删除个人信息或
限制处理对象的处理,以
及具有数据可移植性的权
利;;
适用
不适用
5. 在适用时,当云服务
供应商CSP将个人信息转
送给第三个国家或国际
组织,以及缺少欧洲委
员会适当的决策,需要
确保适当或适宜的保障
措施以及获取其副本的
方式;
适用
不适用
6. 个人数据将被存储的期
间,或如果不能实现,或者用
于确定该期保存期限的准则;
适用
不适用
7. 所有的处理以同意为基
础,并且任何时候都提供撤
回同意的权利,但不影响撤
回前基于同意的处理的合法
性;
适用
不适用
8. 向监察机关提出申诉的权
利(如第4条第(21)款所规
定的);
适用
不适用
9. 个人数据的提供是否
是法定的或合同的要求,
或订立合同所必需的要
求,以及数据主体是否有
义务提供个人数据以及未
能提供这些数据的可能后
果;
适用
不适用
10. 自动决策,包括对
有意义的信息的逻辑分
析,以及对数据主体来
说,进行这些处理的含
义和设想的后果;
适用
不适用
11. CSP打算进一步处理个
人数据的目的,而不是基
于 收 集 个 人 数 据 的 目
的;,在相关的进一步处
理之前,提供有关其他目
的的信息;;
适用
不适用
12. 如果不是从数据主体
获得个人数据,考虑个人
数据的来源,并且如果适
用,数据是否来自公众可
访问的来源;
适用
不适用
WWP-
13. 开展活动,以提供约定
的云服务(例如,数据存
储),根据客户请求进行的活
动(例如,报告生产活动)
以及CSP主动进行的活动(例
如,备份、灾难恢复、欺诈
监视)。
适用
不适用
WWP-
CSP作为处理者向云客户提供
以下详细信息::
14. 客户数据控制者可以向
CSP数据处理者发布绑定指令
关于其处理要求的范围和方式
(一般信息-适用于作为数据
处理者的CSP)。
不适用
适用
WWP-
15. 确定云客户将如何获悉
有关云服务的变更,例如功
能的实现或删除(一般信息-
适用于既作为数据控制者的
CSP,也适用于数据处理者的
CSP)
适用 适用
2 个人数据地
点
WWP-
1. 明确数据中心的位置,或
个人数据可能被处理的数据
处理中心的地点(按照国
家),特别是,数据如何和
在哪里存储,镜像,备份和
恢复(可能既包括数字化方
式 , 也 包 括 非 数 字 化 方
式)。
适用 适用
3 分包方 WWP-
1. 识别参与数据处理的分包
商和子处理者,以及相关的责
任和职责追溯,用于确保数据
保护要求得到满足。
适用 适用
WWP-
2. 向云客户声明,CSP将不引
入另一个处理者,除非事与先
云客户进行特定或一般的书面
授权。
不适用
适用
WWP-
3. 向云客户声明,CSP会根
据CSP和云客户之间规定数据
保护义务,通过合同(或其
他有约束力的法律行为)同
样要求其他处理者在,特别
是要求提供足够的保证,实
施适当的技术和组织机制,
以满足欧盟适用法律的要
求;
不适用 适用
WWP-
4. 在其他处理者无法履行其
数据保护义务的情况下,仍
然对云客户完全负责,承担
其他处理者的义务。.
不适用 适用
WWP-
5识别用于告知云客户的任何
有关变更或增加子承包方或
子处理者的预期变更的程
序,客户始终保持拒绝变更
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 40
或终止合同的可能性。 适用 适用
4 在云客户
系统上安装
软件
WWP-
1. 向云客户声明,提供服务
是否需要在云客户系统上安
装软件(例如,浏览器插
件)。
适用 适用
WWP-
2. 从数据保护和数据安全的
角度向云客户明示软件的影
响。
适用 适用
5 数据处理合
同(或其他法
律要求)
WWP-
1. 向云客户分享数据处理
合同模板要求(或其他相关
法案要求),这些会影响
CSA代表云客户处理数据,
执行数据主体的事务和处理
时长,个人数据类型和类
别,以及云客户的权利和义
务等。
不适用 适用
WWP-
按照合同或其他法律法规要
求,CSP将采取以下措施::
2. 仅根据云客户的书面指示
处理个人数据,包括个人数
据向第三个国家或国际组织
的转移,除非CSP这样做是因
为需要遵守所受的联盟或国
家法律要求;在这种情况
下,CSP将在处理前将通知云
客户,除非涉及到重要公共
利益信息因而法律禁止;
不适用 适用
WWP-
3. 确保被授权处理个人数
据的人已承诺保密或有适当
的法定保密义务,否则他们
不能处理个人数据,除非按
照云客户的指示处理个人数
据。欧盟或成员国法律另有
要求除外;
不适用 适用
WWP-
4. 采取适用的欧盟法律所要
求的所有措施;
不适用 适用
WWP-
5. 尊守对另一个处理者的
要求;(见上面的第部
分‘分包商’)
不适用 适用
WWP-
6. 考虑到处理的性质,通
过适当的技术和组织措施,
在可能的情况下,协助云客
户实现行使数据主体权利的
请求;
不适用 适用
1 2 WWP-
7. 协助云客户满足数据处理
安全有关的义务要求,向监督
机构通知个人数据泄露;与数
据主体沟通个人数据泄露,以
及数据保护影响评估;考虑到
处理的性质和处理者可用的信
息;
不适用
适用
WWP-
8. 作为云客户的选择,在提
供与处理有关的服务的结束
后,为云客户删除或返回所
有个人数据;并删除现有副
本,除非欧盟或成员国法律
要求存储个人数据;(参见
第11节,‘数据保留、恢复
和删除’,以下)。
不适用
适用
WWP-
9. 为云客户提供所有必要的信
息,以证明符合相关数据保护
义务;并允许和提供审计能
力,包括检查,由云客户自己
或由云客户授权的第三方审核
进行。
不适用
适用
4. 记录保存 REC 1. CSP作为
控 制 者 的
记录保存
REC-
1. CSP控制者向云客户确认:对CSP
承担的责任,保持处理活动的记
录,并根据需求提供给监管机构。
适用 不适用
REC-
记录包括::
2. 控制者的名称和联系信息,
以及在适用的情况下,联合控
制者、控制者的代表和数据保
护专员DPO;
适用 不适用
REC-
3. 处理的目的: 适用 不适用
REC-
4. 数据主体的类别和个人数
据类别的描述;
适用 不适用
REC-
5. 个人数据已经或将被披露
的接收者的类别,包括第三国
或国际组织的接收者;
适用 不适用
REC-
6. 适当时,个人数据被转移
到的第三国或国际组织的识别
方法,以及适当的保护措施。
适用 不适用
REC-
7. 在可能时,设计不同类别
数据擦除时间的限制;
适用 不适用
REC-
8. 在可能时,技术和组织安
全措施的通用描述。
适用 不适用
2 CSP处理者
的 记 录 保
存
REC-
1. CSP处理者向云客户确认,
他/她保持代表控制者执行的所
有类别的处理活动的记录,并
根据请求将其提供给监管机
构。
不适用 适用
REC-
记录包括:
2. 作为数据控制者的代表,
数据处理者的名称和联系信
不适用 适用
息,以及适当时,数据处理者
或控制者的代表,数据保护专
员DPO。
REC-
3. 代表每个控制者执行的处理类
别;
不适用 适用
REC-
4. 适当时,个人数据被转移
到的第三国或国际组织的识别
方法,以及适当的保护措施。
不适用 适用
REC-
5. 在可能时,技术和组织
安全措施的通用描述。
不适用 适用
5. 数 据 转
移.
DT
R
1、数据转移 DTR-
1-1
1. 明确在常规操作过程中或紧急
情况下,数据是否要跨国界传输、
备份和/或恢复。
适用 适用
DTR-
1-2
如果根据适用的欧盟法律限制
转移:
2. 确定数据转移的法律依据
(包括通过分包商之间的转
移),例如欧洲委员会的充分
性决定,合同模板/标准数据
保护条款,批准的行为准则或
认证机制,约束公司规则
(BCRS),和隐私盾等。
适用 适用
6. 数 据 安
全措施
SEC 1. 数据安
全措施
SEC-
1. 向云客户明确提供技术、
物理和组织措施,以保护个人
数据免受意外或非法破坏,或
意外损失,更改,未经授权使
用,未经授权的修改,披露或
访问,以及对所有其他非法处
理行为。
适用 适用
SEC-
2. 向云客户描述具体的技术、
物理和组织措施(保护、检测
和纠正措施),以确保以下保
障措施实施:
适用 适用
41
SEC-
(i) 可用性-管理风险和用来
防止、检测和应对事故的过程
和措施,如互联网备份网络链
接、冗余存储和有效数据备
份、恢复机制和补丁管理;
适用 适用
SEC-
(ii) 完整性:-CSP用来确保
完整性的方法(例如,检测个
人数据的更改,通过诸如消息
认证码或签名的加密机制、纠
错、哈希、硬件辐射/电离保
护、物理访问/让步/销毁、软
件缺陷、设计缺陷和人为错误
等机制。
适用 适用
SEC-
i
(iii) 机密性——CSP从技术
的角度确保机密性的方法,以
确保只有授权的人有权访问数
据;包括在适当的情况下,对
个人数据“过境”和“暂存”
的去标识和加密,授权机制和
强有力的认证;从合同的角度
来看,如保密协议、保密条
款、公司政策和程序,对CSP
及其雇员(全职、兼职和合同
雇员)以及分包商具有数据访
问权限的人员,具备约束力。
适用 适用
SEC-
(iv) 透明度- CSP已经具备的技
术、物理和组织措施,以支持透明
度和允许云客户评审(例如,第7节
‘监视’,如下);
适用 适用
SEC-
(v) 隔离(目的限制)——
CSP如何为个人数据提供适当
的隔离(例如,适当地管理访
问个人数据的权限和角色)
(基于定期审查);基于“最
小特权”原则的访问管理、虚
拟化加固措施,以及管理共享
资源,包括虚拟机技术,用于
在云客户之间共享物理资源。
适用 适用
SEC-
(vi) 可干预性:CSP允许数据
主体访问、纠正、删除(“被
遗忘权”)、阻断、反对、限
制处理的方法(见第10节,
“限制处理”),可移植性
(参见第9节,数据可移植
性),以证明没有技术和组织
障碍,这些要求,包括进一步
处理数据的分包商(第9节,
“数据便携性,迁移和传
输”)。
适用 适用
SEC-
i
(vii) 可移植性-参见第9节
“数据可移植性、迁移和传
输”;
适用 适用
SEC-
(viii) 归责制:参照上述第1适用 适用
ii 条,“CSP对合规和归责的声
明”。
7. 监控 MON 1. 监控 MON-
1向云客户明示监控和/或审计
的措施,以确保在PLA(V3)中
适当的隐私和安全措施得到持
续实施(例如,日志,报告,
对CSP或外包方的相关处理操作
的内审和/或第三方审计)。
适用 适用
8. 个人数据
泄露.
PD
B
1. 个人数
据泄露
PDB-
向云客户说明::
1. 客户如何得知以及在什么时
间内可以获知CSP和/或分包商客
户数据处理中中个人数据泄露。
适用 适用
PDB-
2. 描述个人数据泄露的性质,
如果可能的话,包括个人数据
记录的类别和近似数量;
适用 适用
PDB-
3. 数据保护专员DPO或其他联
系人的名称和联系细节,以获
得更多信息(见第2节“CSP相
关联系人及其角色”);
适用 适用
PDB-
4. 描述个人数据泄露的可能
后果;
适用 适用
PDB-
5. 描述采取(或拟采取)解决
个人数据泄露的措施,包括在
适当情况下采取措施减轻其可
能的不利影响。
适用 适用
PDB-
6. 描述在发现个人数据泄露
后的72小时内,如何向监管机
构汇报个人数据安全违规行
为;
适用 不适用
PDB-
7. 当个人数据泄露可能导致
高风险,影响自然人的权利和
自由,如何不延误地告知数据
主体。
适用 不适用
9. 数据可移
植性,迁移和
回传.
PM
T
1. 数 据 可
移 植 性 ,
迁 移 和 回
传
PMT-
向云客户说明::
1. CSP如何保证数据可移植
性,按照结构化、通常、机器
可读和互操作格式传输个人数
据的能力说明:
适用 适用
PMT-
(i) 对云客户(回传,例如,
传输到内部IT环境);
适用 适用
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 44
PMT-
(ii) 直接回传到数据主体; 适用 适用
PMT-
i
(iii) 到另一个云服务提供商
(“迁移”),例如,通过下
载工具或应用程序编程接口或
API来实现。
适用 适用
PMT-
2. CSP如何以及以何种成
本,将帮助客户将数据迁移
到另一个云服务供应商或回
到内部IT环境。
适用 适用
10. 处 理 限
制
ROP 1. 处理限制 ROP-
1. 考虑到处理应受到限制,
向云客户说明如何限制个人数
据处理;此类个人数据处理,
除存储外,需经数据主体同
意,或考虑保护另一个自然人
或法人的法律权利,或为工会
或会员国的重要公共利益的理
由。
适用 适用
11. 数 据 保
存、恢复和删
除
RRD 1. 数 据 保
存 、 恢 复 和
删除策略
RRD-
1. 向云客户描述CSP的数据保持策
略、保存时间和在服务终止后删除
数据或返回所有个人数据。
适用 适用
RRD-
2. 向云客户描述CSP的分包方的
数据保持策略、保存时间和在
服务终止后删除数据或返回所
有个人数据。
适用 适用
2. 数据保存 RRD-
3. 明示个人数据被保存的时间期
限,或确定这个期限的原则。 适用 适用
3. 遵 守 特
定法律要求
的数据保存
RRD-
1. 明示云客户是否可以及如何
请求CSP遵守特定的法律法规。
适用 适用
4. 数 据 恢
复和/或删
除
RRD-
1. 明示数据返回到云客户的可
移植性的格式和过程(见第9
节,数据可移植性、迁移和转
回传);
适用 适用
RRD-
2. 可用或用于删除数据的方
法;
适用 适用
RRD-
3. 在云客户删除(或要求删
除)数据之后或合同终止后,
是否保留数据;
适用 适用
RRD-
4保留数据的具体原因; 适用 适用
RRD-
5. CSP保留数据的时间期限。适用 适用
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 45
12. 与云客户
间的合作
CPC 1. 与云客户
间的合作
CPC-
1. 说明CSP如何与云客户合作,以
确保符合适用的数据保护条款,例
如,使客户能够有效地保证数据主
体行使权利:访问权、纠正权、删
除权(“被遗忘权”),限制处理
(可移植性),在安全/数据泄露的
情况下事件管理,包括法律分析在
内的要求。请参阅第6节“数据安全
措施”:可干预性;第8节:“个
人数据泄露”。
适用 适用
CPC-
2. 向云客户和主管监管部门
提供证明符合性所需的信息
(见第1条,“CSP合规和归责
声明”) 。
适用 适用
13. 法
律 规 定
的披露.
LRD 1. 法律规
定的披露
LRD-
1. 描述管理和回应执法部门披
露个人数据的请求的过程,特
别注意对有关客户的通知程
序,除非另有禁止,如刑法规
定的禁止保密的程序以确保执
法调查的效果。
适用 适用
14. 对云客
户的补救措
施.
RMD 1. 对云客
户 的 补 救
措施
RMD-
1. 向云客户说明CSP和/或CSP
的分包商(见第3部分 数据处
理,以及更具体地说,分
包商),在违反PLA[V3]的合
同义务时,对云客户有什么补
救措施。补救措施可以包括对
云客户的服务信用和/或CSP的
合同处罚。
适用 适用
15. CSP保险
策略
IN
S
1. CSP保险
策略
INS-
1. 描述CSP的相关保险政策范
围(例如,数据保护合规性保
险,包括对未能履行其数据保
护义务和网络保险的分包方的
覆盖,也包括关于安全/数据
泄露的保险)。
适用 适用
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 46
附录 2: 遵守(PLA CoP: 隐私水平协议
实施规程)的声明模板
CSA 行为准则:遵守(PLA CoP)的声明 自评估
1. 名称和 URL/地址
名称
URL/地址
2. 在隐私水平协议实施规程(PLA CoP)中覆盖的服务
请把将要提供的服务名字填入下表。这些服务在隐私水平协议实施规程(PLA CoP)约束
的范围内。
服务 1 的名称
服务 2 的名称
服务 N 的名称
3. 遵守准则的方法
自评估
4. 遵守准则的范围
按照隐私水平协议实施规程的要求,请为列表 2中所列的服务,每个服务分别提供一段评
估范围的描述。
描述
5. 使用的 PLA CoP 的版本
版本号 (例如 )
6. 颁发/过期 日期
颁发日期
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 47
过期日期
7. 法务代表/DPO 签署
通过签署本声明,该组织/公司确认:
a. 从即日起,表格 2 中所列的服务遵守 CSA 行为准则的要求(请参见 CSA 行为准则
章节, “CSA CoC 标志的颁发、遵守声明的发表和申诉管理”)
b. CSA CoC 自我认证标志自颁发之日起的 12 个月内有效,并应在到期后进行更新。此外,
在公司相关的政策或实施规程有任何改变后,应对 CSA CoC 自我认证进行修订。
姓名
职位
日期
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 63
CSA 行为准则:遵守(PLA CoP)的
声明 第三方认证
1. 名称和 URL/地址
名称
URL/地址
2. 在隐私水平协议实施规程(PLA CoP)中覆盖的服务
请把将要提供的服务名字填入下表。这些服务在隐私水平协议实施规程(PLA CoP)约束
的范围内。
服务 1 的名称
服务 2 的名称
服务 N 的名称
3. 遵守准则的方法
第三方认证
4. 遵守准则的范围
按照隐私水平协议实施规程的要求,请为列表 2中所列的服务,每个服务分别提供一段评
估范围的描述。
描述
5. 使用的 PLA CoP 的版本
版本号 (例如 )
6. 认证主体
名称
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 64
7. 颁发国家
名称
8. 证书编号
名称
9. 颁发/过期 日期
颁发日期
过期日期
10.法务代表/DPO 签署
通过签署本声明,该组织/公司确认:
c. 从即日起,表格 2 中所列的服务遵守 CSA 行为准则的要求(请参见 CSA 行为准则
章节, “CSA CoC 标志的颁发、遵守声明的发表和申诉管理”)
d. 第三方认证的合规标志自颁发之日起的 12 个月内有效,并应在到期后进行更新。此外,
在公司相关的政策或实施规程有任何改变后,应对第三方认证进行修订。
姓名
职位
日期
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 65
附录 3:CSA STAR 项目及开放认证框架
(OCF)
CSA 于 2011 年推出了 CSA 安全可信和保障注册项目(即 CSA STAR),通过增强透明度和
提供信息安全保障来达成提升在云计算市场信任度的目标。
CSA STAR 为云产业的各个利益相关者,如云服务使用者(CSC),云服务提供商(CSPs),
云审计组织及其他相关组织,提供了一个公共知识库,云服务提供商可发布基于 CSA 最佳实践,
即云控制矩阵(CCM)和云安全共识评估标准(CAI)的内部尽职调查结果。
为了开发出必要的 CSA STAR 的技术能力以支持 CSA STAR,CSA 开放认证框架(OCF)工作
组(WG)于 2012 年成立。
OCF WG 的任务是定义 CSA 安全认证框架及框架中包含的认证机制。
工作组(WG)为开放认证框架定义为三个信任级别:
级别 1,自我评估:STAR 自我评估
级别 2,第三方评估:STAR 认证,STAR 鉴证和 C-STAR 评估
级别 3,持续监控/审计:STAR 持续认证
2012 年,启动了 CSA STAR 项目,以支持 CSA STAR 的工作及管理 OCF 的实施。
开放认证框架
基于持续监控的认证
基于第三方评估
的认证
自我评估
透
明
度
&
保
障
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 66
目前,STAR 项目提供自我评估(级别 1)和第三方评估认证/鉴证(级别 2)两类认证。
基于持续监控/审计的认证正在开发之中。
OCF 各级别之间关系如下:
从“保障”的角度来看,OCF 等级 1 提供了良好至中等级别的保障,OCF 等级 2提供了高
级别保障,OCF 等级 3 提供了非常高级别的保障。
从“透明度”的角度看,OCF 等级 1 提供了良好的透明度,OCF 等级 2 提供了从低到高的
透明度,OCF 等级 3提供了非常高的透明度。
注意,OCF 的三个透明度级别并非必须与三个保障级别一一对应。举个例子,OCF 级别 1
能比 OCF 级别 2提供更好的透明度,因为无论是 STAR 认证还是 STAR 鉴证都不需要组织对其安
全控制状况进行公开。
CSA 鼓励想要进行 OCF 等级 2认证的组织可先进行 OCF 等级 1的自我评估。
透明度
保
障
持续的
持续的
STAR认证/鉴证, C-
STAR 自我评估(不
支持等级 1)
STAR认证/鉴证,C-
STAR 自我评估(支持
等级 1)
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 67
附录 4:道德准则
1.范围
本道德声明适用于所有董事会成员,高级职员,全职和兼职员工,承包商,或云安全联盟
的志愿者(“CSA成员”)。
2.定义
董事会成员:云安全联盟的董事会成员。
CSA成员:云安全联盟的董事会成员,官员,全职或兼职员工,承包商或志愿者。
志愿者:花费大量时间以推进云安全联盟董事会的使命或向董事会的咨询委员会提供服务
的个人。
3.道德原则
CSA成员,他们在更广阔的社会范围内代表云安全联盟,凭借他们在云安全联盟内的角色
和责任,有着特殊的义务遵守个人和职业行为的最高标准。
云安全联盟要求所有CSA成员遵守以下道德原则:
•我们的言行体现了对真理,公平,自由探究并尊重他人的意见;
•我们尊重所有人,不分种族,肤色,性别,性取向,婚姻状况,信仰,种族或国家认同,
残疾或年龄;
•我们维护他人的专业声誉,并为其思想,文字或图像提供赞誉;
•我们维护隐私权和机密信息;
•我们不为私利授予或接受利益;
•我们不会为了招揽或接受利益违反更高的公共权益;
•我们避免实际或明显的利益冲突,如有疑问,请向有关当局寻求指导;
•我们遵循云安全联盟所要遵守的法律法规和精神;
•我们积极鼓励各界同仁加入我们,支持这些法律法规和这些道德准则中的行为标准。
4.审查和道德声明的确认
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 68
本道德声明生效后,在每历年1月最后一天之前,应向每个CSA成员提供本道德声明的副本
并要求复审,并通过书面形式确认他/她已阅读、理解并同意遵守本道德声明。
5.生效和实施
本道德声明已获得云安全联盟董事会的批准,于2012年1月1日起生效。董事会指示云安全
联盟执行总监确保本道德声明获得所有CSA成员的同意。
6.监督
理事会应直接负责监督本道德声明和制定,支持本道德声明的程序。
7.审查和更改
本道德声明应根据需要每年由董事会进行审核和更新。对道德声明的任何修改都应传达给
所有CSA成员。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 69
附录 5: 隐私级别协议工作组宪章
执行概述
数据保护合规正变得越来越基于风险。数据控制者和处理者负责在其组织中确定和实施适
当的保护级别,以保护他们处理的个人数据。在这样的情形中,他们必须考虑到如下因素,如
技术发展,实施成本,数据处理的性质、范围、内容和目的,以及自然人权利和自由的变化可
能带来的风险。因此,云服务供应商(CSP)将负责确定他们所处理的个人数据所需的保护级
别。
在这种情况下,隐私级别保护协议行为准则为法律合规和 CSP 提供的数据保护水平透明度,
提供了指导。
隐私级别协议(PLAs)旨在提供:
一个工具,给任意规模的云服务客户评估由不同 CSP(支持知情决定)提供的个人数
据保护水平;
一个指导,给任意规模的 CSP 以符合欧盟个人数据保护法,并以结构化的方式披露个
人数据保护的级别。
隐私级别协议行为准则的目的是利用 PLA[V2]结构以满足实际的、强制性的欧盟个人数据
保护要求(例如,指令 95/46 / EC 及其在欧盟成员国的实施),以及即将到来的 GDPR 的要求。
这个特性使 PLA[V3]成为独一无二工具,帮助 CSP、云客户、潜在客户以实现欧盟数据保护制
度从旧到新的过渡,并帮助将适当的 GDPR 条款应用到云服务行业。PLA[V3]将 GDPR 的要求运
用在云环境中,主要是以下要求类别:
对个人数据进行公正透明的处理;
提供给公众和数据主体的信息(在 GDPR 第 4 条(1)中定义);
数据主体的权利行使;
GDPR 第 24 条、25 条提到的方法和程序,GDPR 第 32 条提到的安全处理方法;
将个人数据违规情况通知给监管机构(GDPR 第 4 条(21)中定义)和数据主体;
向第三国家转移个人数据。
此外,PLA[V3]包含一定机制使 GDPR 第 41 条(1)中提到的主体能够强制执行其规定的数
据控制着或处理者遵守其规定,而不损害监管机构根据 GDPR 第 55 条、56 条规定的职责和权
力。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 70
背景
云安全联盟(CSA)在 2013 年发表了《欧盟云服务销售隐私级别协议大纲》(PLA[V1]),
在 2015 年发表了《隐私级别协议[V2]:欧盟云服务合规工具》(PLA[V2])。
基于已有的文件,如 PLA[V1]和 PLA[V2],CSA PLA WG 将开发《隐私级别协议[V3]行为准
则:欧盟云服务合规工具》(PLA[V3]),以应对即将发生的变化欧盟及欧洲经济体数据保护
法,欧盟 2016/679 法案也被称为 GDPR。
实际运用
隐私级别协议 CoC 旨在用作创建云服务协议附录,该协议将描述 CSP 为其客户承诺提供和
维护的个人数据隐私保护的级别。
隐私级别协议行为准则为 CSP 提供了架构,该架构将注册根据 PLA 实践准则[V3]和将被作
为托管人的 CSA STAR 服务开发的完整隐私声明。
采用全球范围内的隐私级别协议 CoC 可以帮助形成强大的全球行业标准,加强协调和促进
适用的欧盟数据保护法的合规。
工作组范围和目标
该工作组被特许研究全球范围内的云计算服务相关的隐私和数据保护合规,并将遵循以下
三个目标:
目标 1:基于 PLA[V2]的经验,定义隐私级别协议实践准则,以满足 GDPR 的要求。
目标 2:定义一个基于 PLA CoC 的治理结构和机制。
目标 3:参与 PLA CoC 的推行和管理。
目标 4:跟踪法律法规发展,以更新隐私级别协议实践准则。
目标 5:当有关于 PLA 自认证或认证的投诉时,为 CSA 提供专业意见。
目标 6:为 CSA 开放认证工作组提供关于 PLA CoC 第三方认证方案的专业意见。
工作组架构与职责
联合主席(Co-Chairs)
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 71
除了选定的领导之外,工作组将由联合主席领导。联合主席将协助工作组的领导责任。联
合主席可以指定其他人,以确保所定义的研究得到有效执行。
子工作组(Sub-Work Groups)
特设子工作组可由专家组成的,以计划或执行任何相关推广、意识培养或研究机会。此类
子工作组应当直接向 PLA 工作组汇报。
工作组也可允许云社区和其他 CSA 工作组之间共享资源,以协助及时完成项目、程序以及
其他需要帮助的活动,支持工作组定义的工作主体。
会员(Membership)
任何具有适当专业知识的个人都可以参加工作组的活动。下表提供了 CSA 鼓励加入 PLA 工
作组的组织的样例参考:
社区 目的 例子
国际,地区,国家监管主
体,机构,监管当局和协
会
可以确保与法律和监管要求保持
适当一致政策制定者和监管机构
欧盟委员会
第 29 条定义的工作组(欧洲
数据保护委员会)
EDPS
国家监督机构
ENISA
METI
IDB - IDA
USA FTC
其他机构
CSA OCF 联合主席
与 OCF 保持一致,并评估在 OCF
中引入隐私模块/封装的可行性。
OCF 联合主席
CSA GRC Stack WG 联合主
席
与 GRC Stack 研究保持一致
云控制矩阵(CCM)
共识评估倡议(CAI)
云审计
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 72
云信任协议(CTP)
CSA 国际标准化委员会 与 ISC 工作保持一致 ISC 联合主席
内部审计员/顾问
来自组织的负责提供内部审计服
务和咨询服务的代表
四大(普华永道,安永,德
勤,毕马威)
较小审计和咨询公司的代表
其他研究工作
来自正在进行的具有相似范围研
究项目的代表,以保持项目之间
的一致性和连续性
A4Cloud
Internet2
CSA 企业会员(云服务提
供商)
来自云服务/解决方案提供商的代
表,验证 PLA4EU 合规的适用性,
和引入隐私认证的可行性
独立的专家 独立的专家
欧洲隐私协会(EPA)
国际隐私专家协会(IAPP)
云用户/消费者
来自公司云提供商的代表和/或用
户/消费者组织的代表,以确保与
用户需求和实际需求保持一致
EuroCio
其他
联合其他组织
本工作组将联合其他 CSA 工作组、咨询组以及其他标准组织在内的行业合作伙伴,并分享
研究成果。
运营
咨询
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 73
PLA 工作组将接受 CSA(SME 主题专家)委员会、国际标准化委员会(ISC)以及 CSA 主管
团队的指导,确保工作组的研究工作在 CSA 的范围内并且与其他行业合作伙伴的研究保持一致。
本研究将保持行业特性并引用任何冗余或重复的工作。
研究周期
PLA 工作组将遵循 CSA 在所有项目和计划中采用的研究周期
同行审核
PLA 工作组将寻求 CSA 的帮助,联系同行对我们的章程、出版物和其他文档化的工作进行
审核。
沟通方式
基础设施及资源需求
PLA 工作组由 CSA 志愿者组成;将会设置联合主席和/或委员会。工作组需要项目管理、
在线工作空间和技术性写作的支持。
工作组会议
PLA 工作组将周期性组织电话会议。当事人或委托人出席会议或参与在线工作空间是必须要满
足的要求。如果当事人缺席,委托人须获得当事人的全权委托。线下会议的地点会在选定的地
点举办。
决策程序
决策由 PLA 工作组中多数成员(包括联合主席)的意见决定。
多数的定义
1. 多数应包含超过半数的参会和投票成员,包括亲自参会或电话接入;
2. 在计算多数时,所有成员不论赞成、反对或弃权都应被计入;
3. 在出现平局时,提案或修正案应被视为驳回;
4. 依据本章程的用途,一位“出席并投票的成员”指的是对一项提案赞成、反对或弃权
的成员,含代理人。代理人应通过书面或不可抵赖的电子邮件获得授权,并将在投票
开始前,由联合主席检验和宣布代理人授权的合法性。
超过半数弃权
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 74
当弃权票数超过总投票数(含赞成、反对和弃权)的一半时,对正在讨论的事项的决定应
推迟到以后的会议,由工作组另行组织对事项开展进一步讨论、审阅和修订文档或决议、对修
订后的提案重新进行投票表决。
投票程序
投票遵循以下程序:
5. 未要求无记名投票时,将邮件发送至联合主席;
6. 通过无记名投票方式。在投票开始之前,如果至少有 20%的成员出席并有权投票且要
求无记名投票,则通过邮寄方式向被信任的第三方发送。
投票开始前,应由主席审查所有关于投票方式的请求,随后正式宣布投票程序和将接受投
票表决的事宜。随后,由主席宣布投票的开始并在投票结束后宣布结果。
当无记名投票时,秘书长应立即采取措施确保投票的保密性。
交付成果的审批和认可流程
PLA 工作组的成果由 CSA 进行审批和认可。审批和认可的决定基于主题专家咨询委员会的
意见。
交付成果
7. PLA 行为准则的目标、范围、方法论、假设和解释说明
8. 隐私水平协议(V3)实施规程
9. PLA 行为准则治理和遵从机制
10. PLA 模板
11. PLA 遵从声明的模板
12.演示材料及其他意识类材料
13.申诉管理程序
14. PLA 实施规程变更管理流程
存续期间
本章程有效至 2019 年 3 月 31 日。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 75
附录 6: 开放认证框架(OCF)工作组章
程
开发认证框架(OCF)
工作组
章程
2017
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 64
CLOUD SECURITY ALLIANCE Open Certification Framework WG Charter, 2017
目录
工作组概览
工作组职责范围
云的关联
工作组成员
工作组结构
联席主席
委员会
子工作组
与其他团体的关系
运营
咨询
研究生命周期
同行评审
沟通方法
基础设施和资源需求
工作组电话会议
决策流程
知识产权政策
交付/活动
持续时间
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 65
章程修订历史
© Copyright 2017 Cloud Security Alliance. All rights reserved.
工作组概览
使命
开放认证框架(OSF)工作组的使命是开发、维护、审查、更新和支持 CSA 安全透明保证注册
计划(STAR,Security Transparency Assurance Registry)中包含的所有认证的实施。 OCF 工
作组关注为云计算和移动领域的流程和产品进行信息安全和隐私方面的认证。
工作组职责范围
云安全联盟发现在 IT 生态系统中存在一些缺陷,阻碍着市场采纳安全、可靠的云服务。消
费者缺乏简单、经济高效的方式来评估和比较提供商的恢复能力,数据保护和隐私能力以及服
务可移植性。
CSA 开放认证框架(OCF)是一项行业倡议,旨在提供全球范围可信的云提供商认证。这是
一个基于云安全联盟行业领先的安全指南和控制框架的,灵活、增量式和多层次的云提供商认
证。
OCF 的目标是与现有的第三方认证和审计标准相协调,以避免重复工作和成本。
CSA OCF 基于 CSA 治理,风险和合规(GRC)协议栈和隐私级别协议研究计划中定义的持续
保证实现成熟的控制能力。
CSA OCF 将支持多个层级,识别认供应商和消费者的不同保证要求和成熟度水平。 这些将
从 CSA 安全,信任和保证注册管理机构(STAR)的自我评估到持续监控的高保证规范。
OCF 及其工作组的讨论和提出决定/变更都被认为是特权和保密的且不予公开的直到提出的
变更已经定稿或已进行投票并记录
1
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 66
工作组成员
CLOUD SECURITY ALLIANCE Open Certification Framework WG Charter, 2017
OCF工作组成员包括
• CSA企业客户、企业会员(企业用户)
• CSA解决方案提供商、企业会员(云提供商)
• 国际、地区、国家的监管机构,机关和机构(欧盟委员会,第29条工作组,ENISA,METI,IDB-IDA,
NIST,FedRAMP,美国国防部,美国FTC等)
• 标准组织和其他组织(例如ISO / IEC / JTC 1 / SC27,SC38,ITU-T,ETSI,W3C,ISACA,AICPA,
JIPDEC,JASA等)
• 相关研究项目的代表,虽不直接运行在CSA的主持下,但与OCF WG的活动相关(例如,Cloud for
Accountability,Cumuls,SLA Ready,SPECS,Internt2 / NET +,Cloud for Europe等)
• 贸易和用户协会代表(例如EuroCIO等)
工作组结构
联席主席
工作组除了选定的领导层之外,还将由联席主席领导。 联合主席必须是 CSA 的成员(例外需
CSA 执行团队授权)。 联合主席将协助工作组的领导责任。 联合主席可以根据需要任命其他人以
确保有效执行既定的研究。 联席主席的职责包括:
• 确定每年的工作计划(例如会议和预期可交付成果)
• 确保工作按计划进行
• 向CSA执行团队报告执行风险并提出可能的解决方案
• 必要时举行会议,并担任OCF主席
• 牵头编写交付成果草案,或在OCF内确定一个合适人选,负责可交付成果的主要编辑/报告员
• 确保遵循当前的OCF章程中的指导
• 确保相关文件分发给OCF成员
委员会
工作组可指定和组织小组委员会以协助与工作组主题相关的研究。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 67
子工作组
特设子工作组由主题专家(SME,Subject Matter Expert)组成,可
制定计划或执行任何相关的推广,意识宣传或研究机会。这些子工作组应
直接向主工作组汇报。
与其他团体的关系
OCF 工作组还可以选择允许和其他 CSA 工作组之间的资源共享以便按时完
成工作组工作范围内的各种项目,计划和其他需要支持/启用工作组定义的工
作行动。与 OCF 工作组紧密合作组织名单包括但不限于:
CSA Cloud Trust 工作组:
具体合作在实施OCF Level 3 方面
CSA 合规工作组:
具体合作方面包括
定义“OCF合规概况”(例如与特定部门相关CCM子集和附录,服务提供)
确保与可审计性相关的控制和措施被明确规定和整合
CSA 隐私水平协议工作组:
具体合作是开发一个认证计划,按CSA隐私水平协议行为准则第3版
的要求对组织进行认证
CSA 移动应用APP安全测试工作组:
具体合作是开发一项计划(暂定名为CSA STAR Mobile),以根据
MAST白皮书开发的要求对移动应用程序进行认证
其他组织:
CSA云审计工作组
EC C-SIG
欧洲网络与信息安全局(ENISA)
国际标准组织 信息安全分技术委员会(ISO SC 27)
CLOUD SECURITY ALLIANCE Open Certification Framework WG Charter, 2017
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 68
美国国家标准局(NIST)
美国注册会计师协会(AICPA)
德国联邦信息安全办公室
和其他 (例如ANSSI)
运营
咨询
CSA 主题专家(SME)咨询委员会,国际标准化理事会(ISC)和 CSA 执行
团队将向 CSA 工作组提供建议,以确保该工作组的研究在 CSA 范围内与其他
行业伙伴研究相一致。 该研究将保持行业独特性,并参考任何冗余或复制的
作品。
研究生命周期
CSA 工作组将按照所有项目和计划的 CSA 研究生命周期的发展:
同行评审
我们将寻求 CSA 帮助与同行联系,审查我们的章程,出版物和其他工作
组记录的活动。
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 69
沟通方法
基础设施和资源需求
该工作组由 CSA 志愿者组成; 它将有联合主席和/或委员会。 该工作组
需要典型的项目管理,在线工作空间和技术写作的帮助。
工作组电话会议和面对面会议
工作组将每两个月举行一次电话会议。 需要主负责人或副手出席或参
与在线工作空间。 如果主负责人缺席,副手必须有充分的权力代表主负责
人行事。 面对面的会议将在一个待定的地方举行。
决策步骤
A.多数的定义
1.过半数出席并参加表决的成员由多数人组成。
2.在计算多数时,弃权的成员不应被考虑在内。
3.如果平局,提案或修正案应被视为否决。
4.为本章程规定的目的,“出席并投票的成员”应为投“赞成”票或“反对”
票的成员,包括代理代表。
5.通过书面声明或未经批准的电子邮件授权的代理人应在工作组领导下在投
票开始前申报和检查其有效性。
弃权超过百分之五十
1.弃权票数超过投票数(投票,加上反对票,加弃权票)的一半时,对讨论
中的事项的审议推迟到稍后的会议上,届时弃权不得进一步说明。
C.投票程序
1)表决程序如下:
a)作为一般规则举手表示,除非已经要求进行无记名投票; 如果至少有两名
成员出席并有权投票,则应在表决开始前提出要求,并且如果b)项下的无
记名投票没有被要求,或者a)中的程序显示没有明确的多数
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 70
b)通过无记名投票,如果至少有五名出席并有权在表决开始前投票的成员
(网上投票适用)
2)主席应在开始投票前,对投票方式提出任何要求,然后正式公布投票程序
和提交表决程序。 然后主席宣布开始表决,并在表决结束后公布结果。
3)对于无记名投票,工作组领导应立即采取措施确保投票的保密性。
交付/活动
暂定的交付内容包括:
• OCF Level 2(STAR认证)与ISO / IEC 27017和27018
的对标。
• 修订STAR认证计划以更好地与SO / IEC 27006当前版本
保持一致。
• 修订STAR认证认证计划(基于SOC 2类型1的STAR认证类
型1)。
• 定义和实施OCF Level 3 - STAR Continuous。
• 白皮书概述了CSA STAR计划的益处。
• 根据隐私级别协议行为准则的建议,制定和实施隐私级
别协议行为准则计划。
• 根据MAST WG的输入定义和实施STAR Mobile认证计划。
交付物将由 CSA 的知识产权政策管理。
持续时间
本章程有效期至 2019年 3月 31日
章程修订历史
2015年11月 2016年3月 2017年9月
CSA Code of Conduct for GDPR Compliance © Copyright 2017, Cloud Security Alliance. All rights reserved 71
目录
序言
Ⅰ.介绍
II. 背景信息
III. GDPR合规的CSA行为规范指南框架
第一部分
云安全联盟行为规
范的目标、范围、方法、假设和注释说明
1.云安全联盟行为规范的目标
2.范围和方法
3.假设
云客户的内部尽职调查
云客户的外部尽职调查
4.说明性注释
第二部分
隐私等级协议实践守则
1.云服务提供商(CSP)合规和责任声明
2.云服务提供商(CSP)相关联系人及其角色
3.数据将被处理的方式
一般信息
个人数据位置
分包商
在云客户系统上安装软件
数据处理合同(或其他有约束力的法律行为)
4.记录保存
CSP数据控制者的记录保存
CSP数据处理者的记录保存
5.数据传输
6.数据安全措施
7.监测
8.个人数据泄露
9.数据可移植性,迁移和转移回收
10.限制处理
11.数据保留,恢复和删除
数据保留,恢复和删除政策
数据保留
数据保留符合行业特定的法律要求
数据恢复和/或删除
12 与云客户合作
13 法律要求披露
14 云客户的补救措施
15 云服务提供商保险政策
第三部分
CSA治理及相关机制的实践守则
1.技术部分
PLA 准则实践
认证方案/保持机制
CoC 自我认证
CoC第三方认证
道德准则
隐私等级协议和开放认证框架工作组
2.管理主体,角色和责任
PLA工作组
OCF工作组
云安全联盟(Cloud Security Alliance,CSA)
与数据保护监管机构的合作和支持
3.管理过程和相关活动
PLA执行规范的审核过程
CoC认证审核过程
CoC标志发布,依从性声明发表和投诉管理
审查过程的道德规范
PLA和OCF WG章程文档审核过程
附录1: PLA [3] 模板
附录 2: 遵守(PLA CoP: 隐私水平协议实施规程)的声明模板
附录3:CSA STAR项目及开放认证框架(OCF)
附录4:道德准则
附录 5: 隐私级别协议工作组宪章
附录 6: 开放认证框架(OCF)工作组章程
目录
工作组概览
使命
工作组职责范围
工作组成员
OCF工作组成员包括
工作组结构
与其他团体的关系
咨询
研究生命周期
同行评审
沟通方法
基础设施和资源需求
工作组电话会议和面对面会议
决策步骤
交付/活动
持续时间
章程修订历史
