英國的安全性保護:協助保護組織的認證、功能和計劃

隨著我們的客群因COVID-19疫情蔓延擴大,Zoom通訊平台也以更多的形式在企業、教育單位、醫療機構發揮影響力,讓這些機構更能適應他們的工作線上化。Zoom這樣快速普及全球的規模也讓安全計畫變得更加複雜,根據Ofcom在2020年4月的數據位於英國(UK)的用戶已超過1300萬的成年互聯網用戶正在使用Zoom。

隨著我們的策略發展不斷優化並趕上快速變遷的步伐,Zoom在安全及隱私方面也不斷的精進,強化我們的產品及計畫,以及獲得相關認證及標準,這些都是為了在全球的運作規模下實現安全的訊息交換。然而Zoom不斷的繼續努力,近期更獲得了一項新認證,有助於確認我們Zoom為英國的組織提供了安全且流暢的協作承諾。

下面看看一些有關Zoom幫助英國用戶保持著資訊安全的相關設定功能

相關認證和標準 

在 Zoom,第三方認證和標準是我們安全計劃基礎不可或缺的一部份。雖然最近我們更新了業界認可的認證清單,包括ISO/IEC 27001:2013、SOC 2 + HITRUSTCommon Criteria,我們又加入了UK Cyber​​ Essentials Plus到此清單中。這成就亦符合我們根據國家衛生服務 (NHS) 數字技術評估標準 (DTAC)DCB0129 所做的工作補充。

英國 Cyber​​ Essentials Plus

Cyber​​ Essentials Plus是英國政府支援的產業認證計劃,旨在幫助組織找到針對常見網絡威脅的運作安全問題。

Zoom 獲得Cyber​​ Essentials Plus認證證明了我們實現對英國的安全計劃的承諾,​​這項計劃使當地用戶更容易評估我們的IT系統。

適用於國民健保署(NHS)中進行匹配使用

為支援NHS並為患者提供更有效及安全數位醫療護理,Zoom已準備了DTAC和DCB0129,並配備了DSP工具包

  • DTAC:DTAC幫助醫療員工和患者確信他們使用的數位健康工具(如Zoom)符合臨床安全、數據保護、技術安全、共融性、易用性、易訪問性標準。這可使醫療健保組織使用DTAC來評估供應商以確保新的科技技術符合最基本的標準。
  • DCB0129:DCB0129是一個臨床風險管理標準,這可使醫療軟體IT製造商能證明其產品的臨床安全性,並提供一套適用的結構標準,以確保臨床風險管理的有效應用。
  • DSP 工具包:Zoom推出一個DSP工具包,這是一個線上自我測量評估工具,允許組織根據國家數據衛士的10項數據安全標準衡量其績效。所有訪問 NHS 醫療服務系統和患者數據資料庫的組織都必須使用DSP來確保他們正安全的使用相關數據並且個人的資訊皆依流程正確的交付。

透過這些措施,我們希望為NHS醫療服務系統的同仁提供所需的工具並提供有效的數據管理同時保護患者的個人隱私。

為安全和隱私設計的功能

無論您使用Zoom平台來進行授課或學習、和您的醫療保健服務提供者進行遠端醫療預約,還是政府組織用作與人民互動,我們設計了獨特的安全及隱私功能以保護重要資訊,這些功能是為了讓可以啟動他們的Zoom用戶設計的,但這些功能對有希望更好控管能力的英國用戶很有幫助,如:

數據路由控管:付費帳戶的帳戶擁有者和管理員可以自行定義使用那些數據中心來傳輸/處理他們的會議和網路研討會數據。對於傳輸中的數據,也可以選擇加入或退出某特定的數據中心區域(除了您的帳戶配置的預設區域),Zoom亦提供歐洲的數據中心選項,有助於更完整地控制信息傳輸。然而選擇不使用某些區域的數據中心可能會限制由這些區域加入的參與者的參會情況。

End-to-end encryption (E2EE):啟用後,此功能支援與Zoom Meetings相同標準的256位元AES-GCM 加密,可讓所有使用Zoom App的會議參與者之間的通訊加密。不同之處在於,只有會議參與者的設備知道加密的密鑰。除了該場會議之參與者之外,沒有人(包含Zoom亦無法)可以取得會議的密鑰。我們的 E2EE 產品今年還將擴展到 Zoom Phone,用於通過 Zoom App中的一對一帳戶內電話呼叫。(Zoom Phone台灣區尚未開放)

進階聊天加密:啟用進階聊天加密後,通知(包括鎖定螢幕上的通知)將顯示已接收到加密的聊天訊息,這項功能使預期收件者才能在打開Zoom App後看到加密的聊天訊息。

帳戶管理員啟用後,可用在用戶一對一或群聊中交流特別敏感的信息時進行相關加密設定,傳輸中的聊天數據在傳輸中則使用傳輸層安全(TLS)加密進行加密。

旨在改善流程的計劃

為了滿足我們全球用戶不斷持續增長的需求,Zoom建立了相關計畫,從世界各地引進專業知識和技能提供創新的安全保護並協助識別潛在的威脅,這些計畫包括:

CISO 委員會:為迎接即將到來的安全和隱私創新我們策略性的建立了良好的反饋循環,Zoom定期組織CISO會議,該委員會將由來自全球各行各業的數十名CISO組成,由我們的Deputy CIO Gary Sorrentino領導。而CISO用戶與Zoom安全團隊負責人之間互動討論有助了解我們平台持續發展實踐的安全及隱私對應措施。

加強漏洞賞金計劃:雖然Zoom安全團隊會定期測試我們的解決方案和基礎架構,但我們利用"白帽"駭客並透過HackerOne的"私人漏洞獎金"平台在全球建立一支技術嫻熟的全球安全研究人員團隊來加強這項測試。截至2022年1月,Zoom在HackerOne平台上招聘了 800 多名安全研究人員。他們共同的努力提交出許多錯誤報告和獎項。

信任引領潮流

Zoom對於此UK standards的努力以及我們產品和計劃的持續發展有助於證明我們對數據保護和用戶的安全承諾。

我們整合的完整通訊體驗在構建的同時充分的考慮了安全性,使用者資訊保護其隱私性有助於引導我們進行新的平台更新。我們致力於成為使用者可以用於線上互動/通訊和建構業務的可信賴平台。

要了解有關在Zoom會議中使用點對點加密和其他安全功能的更多資訊,請來信0800@zoomnow.net與我們連繫。

原文參考: Security in the UK: Certifications, Features, and Programmes Designed to Help Protect Organisations (blog.zoom.us)