新聞

Zoom獲多項國際第三方資安機構認證

2022 / 04 / 21
編輯部
Zoom獲多項國際第三方資安機構認證
Zoom 宣布近日獲得多項第三方國際資訊安全機構之認證,並公開多項產品創新與計畫,展現保護用戶資訊安全和隱私為公司的重要目標。
 
Zoom 資訊安全長 Jason Lee 表示:「資訊安全與用戶隱私是 Zoom 做任何決策與強化平台時最重視的核心。我們致力於成為一個用戶在所有線上互動、資訊交流或業務發展上可以信賴的平台。」

第三方資訊安全認證

第三方認證和標準是 Zoom 資訊安全計劃的基石,而公司於近期新增多項資安相關認證:
  • SURF 發布對於 Zoom 會議、網路研討會和聊天服務的數據保護影響評估(Data Protection Impact Assessment; DPIA)
    SURF 和 Zoom 在進行數據保護影響評估的合作過程中同意了幾項行動,其中包括增添資安防護相關的新功能、優化平台透明度和紀錄憑證、強化行動實踐、與提出評量計劃。
     
  • 英國Cyber Essentials Plus 認證
    這項安全認證代表Zoom 對英國市場的重視,該計劃使當地用戶能夠更容易地評估Zoom的 IT 系統。
     
  • 美國國防訊息系統局(DISA)國防部(DoD)影響級別 4(IL4))之臨時授權(PA)
    透過這項授權,整個 Zoom for Government 平台將可供需要 IL4 授權解決方案的組織使用。 
     
  • 德國資訊技術安全評估共同準則(Common Criteria Certification)
    Zoom 用戶端是第一個獲得德國聯邦資訊安全辦公室 (BSI) 所頒授的資訊技術安全評估共同準則保證級別 2 (v3.1 rev. 5) 認證5之視訊平台。
     
  • ISO/IEC 27001:2013 認證和 SOC 2 + HITRUST 標準
    Zoom Meetings、Zoom Phone、Zoom Chat、Zoom Rooms 和 Zoom 網絡研討會現已通過國際標準化組織 (ISO) / 國際電工委員會 (IEC) 27001:2013 認證。 Zoom 更擴大了其 SOC 2 Type II 報告的範圍,滿足健康訊息信任聯盟通用安全框架 (HITRUST CSF) 控制要求的其他標準。

安全和隱私新功能

此外,Zoom 持續地為所有用戶強化安全功能,其中包含近期推出 Zoom 用戶端自動更新等更新。自動更新將能幫助用戶獲得重要安全修復和其他功能,提升Zoom整體平台體驗 。
 
而即將於今年推出的創新功能包括 Bring Your Own Key(BYOK) 與 Zoom Phone 上,透過 Zoom 用戶端進行一對一與帳號內的通話的端到端加密(E2EE)。

產業合作打造客制方案

為滿足來自全球客戶不斷增長的需求,Zoom 建立了相關計畫,從世界各地引進資訊安全相關的最新專業知識和技能,為安全創新提供即時的資訊並識別潛在的威脅。其中包含 CISO 委員會,為安全和隱私創新提供不斷更新的策略建議,以及為英國國民保健署國家衛生服務(NHS)開發數據安全和保護(Data Security and Protection; DSP)工具包。此外,Zoom 更為不同產業和地區的用戶提供客製化的解決方案,如:
  • 與德國電信合作推出的Zoom X解決方案
    Zoom 和德國電信攜手為德國市場開發 Zoom X 的聯合解決方案,該方案將用戶喜愛的 Zoom 體驗與德國電信提供之可信賴網絡和服務互相結合。利用 Zoom 順暢的視訊通訊平台,用戶可以透過所有行動裝置直接設定和管理會議。
     
  • Zoom for Government
    專門為美國聯邦機構開發的 Zoom for Government 也提供給美國各州和地方政府用戶以及其他經美國政府批准的企業和組織使用。 Zoom for Government 內建 256 位元的 AES-GCM 加密,並於 Zoom 會議中可開啟端到端加密(E2EE)。

    ​Zoom for Government平台(Zoom 會議、Zoom 網路研討會Webinar、Zoom Chat、Zoom for Government 用戶端 和 Zoom Phone)另有以下里程碑:
    • 2019 年 2 月取得FedRAMP 中等授權
    • 2021 年 3 月取得 HIPAA 認證
    • 2021 年 6 月獲得美國國防部影響級別 4 (DoD IL4) 的條件下運行 (ATO-C)授權,開放美國空軍進行 Zoom 會議
    • 2022 年 1 月取得得到美國刑事司法訊信息服務 (CJIS) 證明
    • 2022 年 3 月取得美國國防訊息系統局的DoD IL4 臨時授權 

開發資訊安全社群的力量

Zoom 除了對其解決方案和基礎建設進行日常測試外,亦投資了一個專業的全球安全研究人員團隊,成立一個私人的漏洞回報獎勵計畫。該計劃託管於全球最具可信度的道德駭客解決方案供應商 HackerOne 之平台,招募了 800 多名安全研究人員,在他們齊心協力下找出了漏洞並提交完整的漏洞報告。該計劃自推出以來已發出逾 240 萬美元的賞金,光是於 2021 年,Zoom 便於 401 份報告中發出超過 180 萬美元的賞金。

持續溝通 Zoom 安全和隱私功能

Zoom 將所有用戶的隱私和安全放在首位。Zoom 推出信任中心(Trust Center),提供一站式的服務,完整呈現Zoom 隱私、安全和資安內容;用戶可以於信任中心找到公司治理規章、詳細的隱私規範、安全資源及認證等的詳細資訊。Zoom 近期更推出了學習中心,提供一系列免費課程,讓用戶發揮Zoom的最大效益。用戶還可透過完成 「Zoom安全基礎知識」培訓獲得「資安冠軍」徽章。
 
Zoom 信任中心和學習中心也提供了大量的資訊來幫助保障用戶的數據安全和隱私,包含了會議前和會議中的設置,如在單個會議、用戶端、小組或不同級別帳號上設置密碼;會議等候室則提供了鎖定會議、刪除、靜音或將與會者置於等候狀態等權限,以及更多保持會議安全和不受干擾的功能。