合规性常见问题

合规性常见问题

  • 华为云已取得哪些安全/隐私方面的认证?

    华为云致力于构建安全可信的云服务,并确保基础设施和服务通过业界认可的独立第三方安全权威组织的测评以及安全认证机构的审核。

    目前,华为云已通过了各种国际权威的认证和实践标准。以下列举部分:

    • 安全相关的有ISO 27001ISO 27017CSA STAR 金牌认证、中国公安部信息安全等级保护三级/四级认证、针对支付卡行业的PCI DSS 以及NIST CSF 网络安全框架等;

    • 隐私相关的有 ISO 27018ISO 27701BS 10012ISO 29151ISO 27799等;

    您可以在合规中心的【合规认证全景图】查看华为云已获取的更多认证。除了这些第三方认证,合规中心还提供了【基于国家/地区的合规遵从性指导】和【基于行业的合规遵从指导】,以解决您在合规过程中可能遇到的问题。


  • 华为云如何满足HIPPA要求?

    美国《健康保险流通与责任法案》(HIPAA)是一部涵盖一系列保障 PHI (受保护健康信息)的安全性和隐私性控制要求的法案,以加强信息共享并提高医疗保健系统的效率和质量。目前没有针对HIPAA的认证。

    根据 HIPAA 的规定,华为云应被视为商业伙伴(Business Associate)。处理ePHI的实体需要与商业伙伴签订商业伙伴增订合约(Business Associate Agreement,简称 BAA)。

    华为云提供符合 HIPAA 要求的 BAA 模板,您可根据自身业务需求签订 BAA。作为商业伙伴,华为云建立符合 HIPAA 的策略和流程,并根据环境变化进行更新。华为云保留这些策略的相关记录,您可以通过第三方独立审计报告或者华为云官网信息了解其内部管理流程和执行现状。华为云提供满足合同义务的服务和安全环境,以保证您的数据不被未经授权的访问、篡改或破坏。

    此外,若您受HIPAA管辖,华为云针对HIPAA的核心要求,列举了您的关注点以及华为云能够为您提供的服务支持。详细描述请查看《华为云 HIPAA 遵从性说明》


  • 华为云是否会定期维护认证?

    是的。针对不断变化的云环境和服务,华为云会按照认证要求定期进行复审和证书更新,以保障华为云服务的信息安全管理能力和隐私保护能力一直处于业界领先水平。


  • 我可以获取华为云已通过认证的证书副本吗?

    可以。华为云在信任中心提供了相关认证的证书副本。如您想了解认证覆盖的范围和服务,或您的业务正在在进行相关认证时,需要从华为云获得必要的协助,可在合规页面的合规证书下载处申请下载证书副本。


  • 华为云有哪些合规服务可以帮助我快速获取相关认证?

    华为云持续关注法律法规的变化,并结合自身多年的安全合规经验开发出可以帮助您实现业务安全与合规的服务和一站式解决方案,帮助您快速获取相关认证。以数据库安全服务DBSS为例,DBSS满足HIPAA(医疗健康行业标准)、SOX(会计行业标准)、PCI DSS(支付行业标准)的要求,并提供数据库安全审计功能,审计对象可覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。此外,DBSS还可以提供满足数据安全标准(例如Sarbanes-Oxley)的合规报告。


  • 华为云的哪些服务具备隐私合规特性?

    华为云通过严格的研发流程管控,使所有云服务具备默认的安全和隐私特性,包括(但不限于)加密、删除、监控响应等,以满足全球各地的法律法规要求。


  • 华为云如何保障我的数据主体权利?

    华为云提供了数据主体权利请求渠道,并配备了专业团队响应数据主体的相关请求,当接收到请求后,在规定时间内完成响应和请求处理,并反馈处理结果给数据主体。

    如果您有任何疑问、意见或建议,可以通过客服热线与我们联系;您也可以直接通过个人数据权利主体请求页面,向我们提出您的相应请求。


  • 如果发生数据泄露,华为云将如何应对?

    为应对个人数据泄露、损毁和丢失等可能出现的风险,华为云制定了多项制度与管控措施,明确了安全事件、安全漏洞的分类分级标准及相应的处理流程。

    此外,华为云还成立了专门的隐私保护团队,按照适用法律法规要求,对个人数据泄露事件及时披露, 同时执行应急预案及恢复流程,以降低对您的影响。



    相关资源

    隐私政策声明

    《华为云安全白皮书》

    《华为云数据安全白皮书》

    《华为云隐私保护白皮书》

    《华为云HIPAA遵从性说明》

展开内容
收起内容