63、云数据中心的安全与数据完整性保障

云数据中心的安全与数据完整性保障

1. 云数据中心的合规与认证

云数据中心服务提供商需要定期向客户提供有效的证明文件，如SOC 1（SSAE 16或ISAE 3402）Type II、SOC 2 Type II报告，或有效的ISO 27001认证。这些证明和认证的目的是为客户提供独立的保证，确保数据中心有明确的内部控制系统，并在日常运营中遵循既定的安全措施和操作流程。

部分数据中心还提供特定行业的认证，以满足信用卡行业（PCI认证）、医疗或制药行业的要求。公共部门（如政府客户）的要求最为严格，在很多情况下，会迫使云服务提供商为特定业务和数据构建隔离的专用云，并将其托管在专门设计的数据中心中。

云数据中心提供的SOC 1（SSAE 16或ISAE 3402）和/或SOC 2报告应确保以下一般控制目标：
- 明确服务器机房的访问请求工作流程，包括审批步骤。
- 服务器机房使用电子门禁卡运行访问控制系统，并进行访问日志记录。
- 及时撤销对服务器机房和/或数据中心的访问权限。
- 入侵检测系统监控数据中心的所有区域，防止意外访问，且至少每年维护一次。
- 视频摄像头监控服务器机房周边区域，至少每年维护一次。
- 服务器机房配备备用电源，备用发电机至少每年维护一次。
- 服务器机房和公用设施机房配备适当的消防应急系统，至少每年维护一次。
- 服务器机房和公用设施机房配备空调系统，至少每年维护一次。

如果数据中心提供商在客户合同签订时没有ISAE3402/SSAE16/SOC1 Type 2证明或ISO 27001认证，应在合同签订后给予12个月的宽限期来提供相应报告。