Bezpieczeństwo w Wielkiej Brytanii: certyfikaty, funkcje i programy, które pomagają chronić organizacje

W następstwie pandemii COVID-19 nasza baza klientów poszerzyła się, a ludzie zaczęli korzystać z naszej platformy na więcej sposobów – szkoły, przedsiębiorstwa, organizacje opieki zdrowotnej oraz inne zaczęły dostosowywać i modernizować swoje usługi. Ta nowa skala została jeszcze spotęgowana przez globalny charakter platformy Zoom, z której korzystają klienci na całym świecie, w tym klienci z Wielkiej Brytanii. Według danych agencji Ofcom tylko w kwietniu 2020 roku z platformy Zoom w Wielkiej Brytanii korzystało ponad 13 milionów dorosłych użytkowników Internetu.

W miarę rozwoju naszej strategii, aby nadążyć za tą szybką zmianą, rozszerzyliśmy sposób, w jaki podchodzimy do bezpieczeństwa i prywatności — ulepszając nasze produkty i programy, a także uzyskując odpowiednie certyfikaty i spełniając odpowiednie standardy, a wszystko po to, aby umożliwić bezpieczną wymianę informacji na całym świecie. Nasze wysiłki w tym zakresie nie ustają. Niedawno zdobyliśmy nowy certyfikat i zajęliśmy się standardami, które pomagają potwierdzić nasze zaangażowanie w zapewnianie bezproblemowej i bezpiecznej współpracy z organizacjami w Wielkiej Brytanii.

Przyjrzyjmy się niektórym ekscytującym zapowiedziom, a także odpowiednim funkcjom i programom, które mogą pomóc naszym brytyjskim użytkownikom zachować bezpieczeństwo.

Certyfikacje i standardy firm zewnętrznych są integralną częścią programu bezpieczeństwa Zoom. Chociaż ostatnio rozszerzyliśmy naszą listę uznanych w branży certyfikatów i standardów o ISO/IEC 27001:2013, SOC 2 + HITRUST i Common Criteria, dodajemy do tej listy również UK Cyber Essentials Plus. Osiągnięcie to uzupełniamy także przez nasze wysiłki nad dostosowaniem się do kryteriów oceny technologii cyfrowej (DTAC) Narodowej Służby Zdrowia (NHS) i DCB0129.

UK Cyber Essentials Plus

Cyber Essentials Plus to wspierany przez rząd Wielkiej Brytanii oraz uznany w branży program certyfikacji, którego celem jest pomoc organizacjom w wykazaniu bezpieczeństwa operacyjnego przed typowymi zagrożeniami cybernetycznymi.

Uzyskanie przez platformę Zoom certyfikatu Cyber Essentials Plus świadczy o naszym zaangażowaniu w Wielkiej Brytanii poprzez opracowanie programu bezpieczeństwa, który ułatwia lokalnym klientom ocenę naszych systemów informatycznych.

Zgodność z wymogami NHS

Aby wesprzeć Narodową Służbę Zdrowia (NHS) w pracy nad zapewnieniem pacjentom skutecznej i bezpiecznej opieki cyfrowej, oferujemy zgodność z DTAC i DCB0129 dzięki zestawowi narzędzi DSP.

• DTAC: Digital Technology Assessment Criteria (DTAC), czyli kryteria oceny technologii cyfrowej, pomagają zapewnić personelowi i pacjentom pewność, że używane przez nich cyfrowe narzędzia, takie jak Zoom, spełniają standardy bezpieczeństwa klinicznego, ochrony danych, bezpieczeństwa technicznego, interoperacyjności, użyteczności i dostępności. Organizacje opieki zdrowotnej mogą używać ich do oceny dostawców w momencie zakupu usługi, aby upewnić się, że nowe technologie cyfrowe spełniają minimalne standardy.

• DCB0129: DCB0129 to standard zarządzania ryzykiem klinicznym, który umożliwia producentom oprogramowania IT dla organizacji opieki zdrowotnej wykazanie klinicznego bezpieczeństwa ich produktów i zapewnia zestaw wymagań odpowiednio ustrukturyzowanych, aby zapewniać skuteczne stosowanie zarządzania ryzykiem klinicznym.

• Zestaw narzędzi DSP: Korzystamy również z internetowego zestawu narzędzi DSP, który służy do samooceny i pozwala organizacjom mierzyć ich wydajność w odniesieniu do 10 standardów bezpieczeństwa danych National Data Guardian. Wszystkie organizacje, które mają dostęp do danych pacjentów i systemów NHS, muszą korzystać z tego zestawu narzędzi, aby zagwarantować, że stosują dobre zasady bezpieczeństwa danych i że dane osobowe są przetwarzane w prawidłowy sposób.

Dzięki tym inicjatywom mamy nadzieję wesprzeć personel NHS narzędziami, których potrzebują, aby zapewnić skuteczną opiekę cyfrową i chronić kluczowe dane pacjentów.

Niezależnie od tego, czy nasi użytkownicy wykorzystują platformę Zoom do wirtualnego nauczania i uczenia się, umawiania teleporad z lekarzem czy też do kontaktowania się z obywatelami jako organizacja rządowa, zaprojektowaliśmy unikalne funkcje bezpieczeństwa i prywatności, które pomagają chronić ważne informacje. Chociaż te funkcje są przeznaczone dla każdego klienta platformy Zoom, który ma możliwość ich włączenia, są one pomocne dla użytkowników z Wielkiej Brytanii, którzy chcą mieć lepszą kontrolę nad swoimi danymi, na przykład:

Kontrola routingu danych: firma Zoom pozwala klientom dokonywać wyborów dotyczących centrum danych Zoom, które będzie używane do przetwarzania określonych danych klienta, gdy klient z płatnym kontem organizuje spotkanie lub webinar. Właściciele i administratorzy płatnych kont mogą, na poziomie konta, grupy lub użytkownika, włączyć lub wyłączyć określone centra danych Zoom, które będą wykorzystywane do przetwarzania wideo, audio i udostępnionych przez uczestników spotkań i webinarów treści w czasie rzeczywistym podczas prowadzenia spotkań i webinarów.

Szyfrowanie end-to-end (E2EE): po włączeniu funkcja ta używa tego samego 256-bitowego szyfrowania AES-GCM, które obsługuje standardowe spotkania Zoom Meetings, aby pomóc w szyfrowaniu komunikacji między wszystkimi uczestnikami spotkania za pomocą klienta Zoom. Różnica polega na tym, że klucze kryptograficzne są znane tylko urządzeniom uczestników spotkania. Gwarantuje to, że żadna strona trzecia — w tym Zoom — nie ma dostępu do prywatnych kluczy spotkania. Nasza oferta E2EE zostanie również rozszerzona w tym roku na Zoom Phone w przypadku indywidualnych połączeń telefonicznych w ramach konta, które odbywają się za pośrednictwem klienta Zoom. 

Zaawansowane szyfrowanie czatu: ta funkcja Zoom Team Chat pozwala na bezpieczną komunikację, gdzie tylko zamierzony odbiorca może przeczytać zabezpieczoną wiadomość. Po włączeniu tej funkcji przez administratorów konta użytkownicy mogą ją zastosować podczas komunikacji dotyczącej szczególnie wrażliwych informacjach w czacie indywidualnym lub czacie grupowym. Gdy włączone jest zaawansowane szyfrowanie czatu, dane magazynowane są szyfrowane przez klucze generowane i obsługiwane na urządzeniach uczestników czatu. Przesyłane dane czatu są jednak szyfrowane podczas ich przesyłania przy użyciu szyfrowania protokołu Transport Layer Security (TLS).

Aby sprostać rosnącym potrzebom naszej globalnej bazy klientów, platforma Zoom stworzyła programy, które wykorzystują wiedzę i umiejętności z całego świata, aby informować o innowacjach w zakresie bezpieczeństwa i identyfikacji potencjalnych zagrożeń. Są to m.in. następujące programy:

Rada CISO: Aby wspierać strategiczny mechanizm pozyskiwania informacji zwrotnych na temat nadchodzących innowacji w zakresie bezpieczeństwa i prywatności, organizujemy regularne spotkania rady CISO, która składa się z kilkudziesięciu CISO z różnych branż na całym świecie i której przewodniczy nasz zastępca CIO, Gary Sorrentino. Te interaktywne dyskusje między klientami CISO a liderami naszych zespołów ds. bezpieczeństwa pomagają w informowaniu o środkach, które podejmujemy, aby dalej rozwijać bezpieczeństwo i prywatność naszej platformy.

Wzmocnienie naszego programu Bug Bounty: Podczas gdy zespół ds. bezpieczeństwa Zoom rutynowo testuje nasze rozwiązania i infrastrukturę, rozszerzamy te testy, korzystając ze społeczności hakerów – „białych kapeluszy” – i budując wykwalifikowany, globalny zespół badaczy zajmujących się bezpieczeństwem na całym świecie za pośrednictwem platformy „Private Bug Bounty” HackerOne. Od stycznia 2022 r. platforma Zoom zrekrutowała ponad 800 badaczy ds. bezpieczeństwa na platformie HackerOne. Ich wspólna praca zaowocowała złożeniem licznych raportów o błędach i nagród.

Nasze zaangażowanie w przestrzeganie tych brytyjskich standardów, a także ciągła ewolucja naszych produktów i programów, pomaga wykazać nasze zaangażowanie w ochronę danych i bezpieczeństwo użytkowników.

Nasze środowisko ujednoliconej komunikacji jest tworzone z myślą o bezpieczeństwie, a bezpieczeństwo i prywatność naszych użytkowników pomagają wyznaczać kierunek nowym aktualizacjom platformy. Chcemy być platformą, której użytkownicy mogą ufać – prowadząc tu interakcje online, wymianę informacji i działalność biznesową.

Dowiedz się więcej o prywatności Zoom i bezpieczeństwie, wejdź do Trust Center.

Uwaga redaktora: ten wpis na blogu został zmieniony w dniu 20.04.2023 r. w celu uwzględnienia najbardziej aktualnych informacji na temat naszej funkcji kontroli routingu danych.