KESELAMATAN DATA
Privasi dan Senibina dalam Perkhidmatan Berasaskan Awan
  Download PDF
PENGENALAN: SEMUA JALAN MENUJU KE AWAN

Dunia kita sedang berhadapan dengan gelombang gangguan teknologi di dalam hampir keseluruhan industri dan di dalam gelombang ini solusi integrasi cloud telah mula menggantikan teknologi sedia ada yang sedang digunakan. Transformasi dan inovasi di dalam pengkomputeran cloud ini serta penggunaan peranti pintar bergerak pantas seiring dengannya. Keadaan ini bergerak dengan pantas dari pelbagai arah dan sentiasa berkembang lebih daripada sebelumnya. Berada di dalam perniagaan dan persekitaran cloud memerlukan organisasi untuk merangka strategi yang melangkaui masa, dengan turut melibatkan pengguna dan menyediakan maklumbalas yang pantas bagi mengekalkan kemandiriannya. Ini adalah kerana teknologi cloud memerlukan masa yang pantas untuk berfikir, bertindak dan juga menyesuaikan diri. Pada permulaan milenia, perkembangan teknologi berlaku sehingga hampir 10 tahun namun kini tempoh masa perkembangannya adakalanya hanya di dalam tempoh beberapa bulan. Nilai global bagi solusi cloud adalah dianggarkan berada lebih daripada USD 3.5 trilion dan perkara ini juga membuatkan syarikat-syarikat teknologi turut berhadapan dengan halangan yang lebih besar terutamanya isu keselamatan yang timbul akibat ancaman, eksponen dan kerapuhan yang berlaku semasa tempoh transisi ini. Untuk sebab itu, penyedia-penyedia cloud perlu mempunya strategi yang berkesan untuk memastikan isu-isu keselamatan ini ditangani dengan baik bagi memastikan kelangsungan perniagaan.
TimeTec adalah satu produk global yang dikenali dan telah menawarkan solusi berasaskan cloud bagi pengurusan tenaga kerja dan keselamatan untuk pelbagai industri di serata dunia. Sebagai pembina sistem berasaskan cloud, TimeTec telah memenuhi kesemua keperluan berikut dengan objektif-objectif utamanya iaitu bagi mengekalkan kepercayaan dan keyakinan pelanggan di dalam jenama kami.


19 Masalah Keselamatan Utama Yang Perlu Pembangun Cloud Tangani

Kepercayaan pelanggan adalah penting dalam membina dan mengekalkan perniagaan awan dan penyedia perlu dedikasi untuk mencapai dan mengekalkannya dengan menyediakan keselamatan yang mantap dan program privasi yang melindungi data pelanggan di semua penyelesaian, termasuk data yang diterima daripada pelanggan melalui perkhidmatan yang ditawarkan.
  1. Senibina dan Pengasingan Data
Perkhidmatan yang dikendalikan dan ditawarkan dalam awan mesti berada dalam seni bina multiten dimana Akses Data Pelanggan hanya dapat dilihat berdasarkan kebenaran yang diberikan oleh syarikat. Ia memberikan pemisahan data logik yang berkesan melalui Pengenalan Pekerja yang unik yang membolehkan akses maklumat berdasarkan keistimewaan peranan. Pengasingan data perlu dijalankan dengan menyediakan persekitaran yang berasingan untuk fungsi yang berlainan, contohnya untuk ujian dan pengeluaran.
  2. Kawalan Pemprosesan
Ianya memulangkan kembali keupayaan pengurusannya kepada pelanggan, memastikan data tersebut hanya diproses setelah arahan diberi oleh pelanggan di sepanjang rantaian aktiviti proses yang terlibat dan pematuhan bagi pengukuran yang diimplimentasikan adalah tertakluk kepada audit-auditnya.
  3. Audit dan Pensijilan
Sekurang-kurangnya setahun sekali, kesemua perkhidmatan yang ditawarkan akan melalui penilaian keselamatan yang akan dilaksanakan oleh personel dalaman dan ianya merangkumi penilaian kerapuhan infrastruktur dan keselamatan aplikasi.
  4. Log-log Keselamatan
Kesemua sistem yang telah digunakan bagi menyalurkan Perkhidmatan Yang Ditawarkan termasuk sistem-sistem operasi, maklumat log bagi fasiliti log sistem aplikasi atau pelayan syslog dipusatkan (bagi sistem jaringan) akan disimpan bagi membolehkan semakan keselamatan dan analisis dilaksanakan, sistem dan log-log aplikasi ini akan disimpan untuk tempoh selama enam puluh (60) hari.
  5. Kawalan Keselamatan
Perkhidmatan yang ditawarkan yang tersedia melalui Pelayar Internet atau App Moblie semestinya mempunyai pelbagai fitur keselamatan yang boleh dikonfigurasikan. Kawalan-kawalan ini adalah termasuk namun tidak terhad kepada perkara-perkara berikut:
 
•  ID Pengguna sebagai pengenalan unik pengguna bagi memastikan aktiviti-aktiviti dapat dijejak kembali kepada individu tersebut.
•  Penggunaan Kawalan reCaptcha untuk mengawal akses setelah beberapa cubaan login yang gagal.
•  Untuk menamatkan sesi pengguna selepas tempoh tidak aktif.
•  Untuk mengawal panjang kata laluan.
•  Untuk memadankan keperluan kompleks katalaluan.
  6. Polisi Keselamatan dan Prosedur
Perkhidmatan Yang Ditawarkan perlulah dioperasikan mengikut polisi dan prosedur berikut bagi peningkatan keselamatan:
 
•  Katalaluan pengguna adalah di dalam format yang selamat dan tidak dipindahkan tanpa disulitkan.
•  Kemasukan log akses pengguna akan diselia, mengandungi tarikh, masa, URL, dilaksanakan atau ID entiti beroperasi pada, operasi yang dilaksanakan (ditonton, diedit, etc) dan sumber alamat IP. Sila ambil maklum bahawa sumber alamat IP mungkin tidak tersedia jika NAT (Terjemahan Akses Jaringan) atau PAT (Terjemahan Alamat Port) tidak digunakan oleh pelanggan atau ISPnya.
•  Log-log akan disimpan di dalam hos berpusat yang selamat bagi mencegah sebarang gangguan.
•  Katalaluan tidak dilogkan.
  7. Pegesanan Pencerobohan
Perkhidmatan Yang DItawarkan mestilah dipantau bagi sebarang pencerobohan yang tidak dibenarkan dengan menggunakan mekanisma pengesan pencerobohan berasaskan jaringan sama ada oleh pembangun atau pihak ketiga yang ditugaskan bagi tujuan ini. Data-data yang dikumpul oleh pelayar-pelayar web pengguna (e.g. jenis peranti, resolusi skrin, zon masa, versi sistem operasi, jenis pelayar dan versinya, jenis tulisan sistem, plug in pelayar diinstalasikan, jenis MIME yang diaktifkan dsb) mungkin boleh dianalisa untuk tujuan keselamatan bagi mencegah pengesahan palsu, dan juga bagi memastikan Perkhidmatan Yang DItawarkan berfungsi dengan baik.
  8. Pengurusan Insiden
Sesebuah penyedia perkhidmatan perlu mematuhi polisi dan prosedur bagi pengurusan insiden keselamatan dan memaklumkan kepada pelanggan yang terlibat tanpa menyebabkan sebarang kelewatan atau kebocoran yang tidak dibenarkan terhadap Data Pelanggan tersebut atau ejennya dan perkara-perkara yang seharusnya dilaksanakan tanpa melanggar undang-undang.
  9. Pengesahan Pengguna
Kesemua akses ke Perkhidmatan Yang Ditawarkan melalui Pelayar Internet, App Mobile atau API memerlukan kombinasi ID dan katalaluan pengguna yang sah dan disulitkan melalui HTTPS semasa transmisi dilaksanakan. Setelah pengesahan berjaya, satu sesi ID rawak akan dijana dan disimpan di dalam pelayar pengguna untuk memelihara dan menjejak keadaan sesi.
  10. Keselamatan Fizikal
Jika sekiranya pengeluaran pusat data digunakan untuk menyediakan Perkhidmatan adalah diuruskan oleh Perkhidmatan luar, dapatkan maklumat Pemproses Keselamatannya yang dikenali seperti berikut: AWS Security Whitepaper.pdf
  11. Kebolehpercayaan dan Sokongan
Kesemua komponen jaringan, pengimbang muatan, pelayan web dan pelayan aplikasi adalah dikonfigurasikan di dalam konfigurasi berlebihan. Kesemua Data Pelanggan yang dihantar kepada Perkhidmatan yang ditawarkan akan disimpan pada pelayan pangkalan data utama bersama sokongan automatik dengan menggunakan fitur pemulihan point-in-time. Kesemua sokongan-sokongan AMI Harian akan disimpan sekurang-kurangnya selama 2 hari dan sokongan AMI mingguan akan disimpan sekurang-kurangnya selama satu bulan.
  12. Pemulihan Bencana
Sistem produksi Perkhidmatan Yang Ditawarkan mestilah dilindungi oleh pelan pemulihan bencana pelbagai tahap yang dibina bagi sokongan terhadap data dan perkhidmatan kritikal. Kewujudan satu sistem proses pemulihan yang komprehensif adalah penting bagi memastikan perniagaan dapat diteruskan kembali di dalam tempoh yang paling singkat. Proses pemulihan bagi pangkalan data, keselamatan, pentadbiran sistem dan konfigurasi jaringan serta data menyediakan satu peta laluan bagi personel untuk melaksanakan proses-proses tertentu apabila berlakunya gangguan perkhidmatan.
  13. Virus
Perkhidmatan Yang DItawarkan tidak akan mengimbas sebarang virus yang mungkin dilampirkan bersama data yang dimuatnaik oleh pelanggan ke dalam Perkhidmatan Yang Ditawarkan. Lampiran yang dimuat naik tidak akan dijalankan di dalam Perkhidmatan yang Ditawarkan dan oleh itu ianya tidak akan mendatangkan masalah kepada Perkhidmatan Yang Ditawarkan.
  14. Penyulitan Data
Perkhidmatan yang Ditawarkan mestilah menggunakan produk-produk penyulitan yang diterima oleh industri bagi menjaga Data Pelanggan dan komunikasi semasa transmisi-transmisi di antara pelanggan dan jaringan dan juga perkhidmatan yang ditawarkan, termasuk Pensijilan TLS 128-bit dan sekurang-kurangnya kunci minimum RSA 2048-bit.
  15. Pemulangan Data Pelanggan
Data Pelanggan yang dihantar kepada Perkhidmatan Yang Ditawarkan perlu dipulangkan kepada pelanggan jika diminta.
  16. Pemadaman Data Pelanggan
Setelah penamatan Perkhidmatan yang Ditawarkan, pelanggan boleh memohon untuk memadamkan kesemua Data Pelanggan yang telah dihantar kepada Perkhidmatan Yang DItawarkan, dan proses ini adalah tertakluk kepada keperluan perundangan tertentu. Data Pelanggan yang disimpan di dalam infrastruktur Perkhidmatan Yang Disediakan akan dipadamkan dengan sewajarnya.
  17. Data Sensitif
Penting: Data Personal Sensitif yang berikut mungkin tidak akan dihantar kepada Perkhidmatan Yang Ditawarkan: maklumat kewangan (seperti nombor kad kredit atau debit, sebarang kod keselamatan berkaitan atau katalaluan dan nombor akaun bank); maklumat yang berkaitan dengan status kesihatan mental dan fizikal; dan maklumat yang berkaitan dengan bayaran bagi perkhidmatan kesihatan. Untuk lebih jelas, sekatan yang terdahulu tidak terpakai kepada maklumat kewangan yang diberikan kepada pembangun untuk tujuan menyemak kelayakan kewangan, dan mengutip pembayaran dari pelanggannya
  18. Analitik
Seseorang pembangun mungkin menjejak dan menganalisa penggunaan Perkhidmatan Yang Ditawarkan untuk tujuan keselamatan dan membantu pembangun menambahbaik Perkhidmatan Yang Ditawarkan dan pengalaman pengguna di dalam menggunakan Perkhidmatan yang Ditawarkan.

Seseorang pembangun mungkin boleh berkongsi data penggunaan bersama penyedia perkhidmatannya untuk tujuan membantu pembangun tersebut di dalam penjejakan, analisa dan penambahbaikan. Sebagai tambahan, seseorang pembangun boleh berkongsi data berdasarkan agregat di dalam fungsi normal perjalanan operasi kerja; sebagai contoh, kita mungkin boleh berkongsi maklumat secara umum untuk menunjukkan trend penggunaan perkhidmatan kami secara umum.

  19. Integrasi atau Dioperasikan Bersama Perkhidmatan Yang Lain
Sesebuah perkhidmatan ditawarkan oleh pembangun boleh diintegrasikan atau dioperasikan bersama perkhidmatan lain mahupun pihak ketiga. Pembangun juga seharusnya mampu menyediakan berbilang platform dan fitur yang membolehkan pengguna mempelajari produk, turut sama di dalam komuniti, menghubungkan aplikasi pihak ketiga dan terlibat di dalam ujian dan penilaian yang tidak melibatkan skop bagi dokumentasi ini. Komunikasi bersama pengguna yang menyertai platform dan fitur tersebut dengan kaedah yang konsisten dengan Pernyataan Privasi. Sebagai tambahan, pembangun boleh menghubungi pengguna bagi menyediakan traksaksi maklumat mengenai perkhidmatan yang ditawarkan; sebagai contoh, melalui Pengurus Akaun atau mesej emel yang dijana secara automatik oleh sistem. Pembangun juga hendaklah menawarkan pelanggan dan pengguna keupayaan untuk menyahaktifkan atau tidak menerima mesej-mesej tersebut.
Ketahui Solusi-solusi berasaskan cloud oleh TimeTec di
www.timeteccloud.com