在全球化的風潮下,許多大型企業為了降低成本,把軟體開發專案委外到人工成本較低的國家進行,例如印度。然而許多國家越來越注重人民隱私,紛紛制定隱私或個人資料保護法,言明國民個人資料不允許跨國處理。但是使用假的資料作測試難保系統正式上線後可以正常運作,這對跨國IT專案來說是一大挑戰。
瑞士IBM IT架構設計師Kurt Reinhardt來台參加國際安全科技與管理研討會時表示,在專案開始時必須要有安全架構。可以要求客戶將用來測試的個人姓名移除或修改,讓測試團隊無法追蹤識別。但這項工作有些時候客戶自己未必有能力做,因此需要納入專案工作當中,必須要在專案開始的安全架構中就考慮是否要做,並且加進預算當中。當然,如果客戶沒此預算,就必須自行承擔相關風險。
上述問題除了在測試階段會發生外,另一個是在系統除錯階段,許多開發人員必須藉由分析錯誤記錄(Error Logs)來找出系統問題,而這些Error Logs往往也含有敏感的客戶個資。Reinhardt現負責瑞士政府部門一大型跨國系統開發專案,總團隊有400人,其中一部分委外印度軟體公司開發。
除了個資問題外,其他跨國IT專案的資安挑戰還包括,在合約制定時必須要清楚記載所有需要委外公司配合的安全控制項目,否則他們會說合約沒有寫,無法提供。以及在溝通上,比較無法直接找到開發者溝通問題,往往每件事情都需要文件化。此外,跨國專案溝通時文件是使用英文,但由於瑞士政府部門的所有文件都是以德文寫成,對於安全的定義要求在翻譯時需要特別確認。