236
时,操作数据应予以匿名。人员取用数据的过程应做文件记录,
并在客户要求时提供该文件。
依据
GdPDU
(
数字审计法规需求)针对数据使用及验证的
规定,客户资料的长期文档管理(
Long Term Archiving
)
除非由
其他方法来执行,服务商应提供数据存盘的服务,并应对法规要
求提供所需的客户数据。
五星认证
除符合上述需求外,五星级服务商须符合下述必要标准:
服务商可提供至少两个数据中心的可用性达
99.9%
的备援服
务及基础设施,以便尽可能避免任何可能的服务失效。
定期演练应急预案(至少一年一次),并根据
ISO 22301
认
证机制予以文档化。
定期进行渗透测试(至少一年一次),并以文件证明符合安
全作业的特性。
服务商提供不同的定价模式,现有合同条款可允许转换为较
低价位的服务。
