数字运营弹性法案 (DORA)
《数字运营弹性法案》(DORA)是一项欧盟 (EU) 法规,为欧盟金融部门建立了具有约束力的、全面的信息和通信技术 (ICT) 风险管理框架。 DORA 适用于欧盟所有金融机构和 ICT 服务提供商(统称为 FI)。 在执法开始之前,金融机构必须在 2025 年 1 月 17 日之前遵守 DORA。
F5 的分布式云 (XC) 平台可帮助金融机构遵守 DORA。 XC DDoS Mitigation、XC WAF、XC API Security 和 XC Bot Defense 等服务可帮助金融机构检测、记录和缓解其网络和移动applications以及数据和网络基础设施上的网络威胁和异常活动。 分布式云平台还使金融机构能够监控、审计和报告其 ICT 风险管理活动,并遵守 DORA 的治理和监督要求。 通过利用 F5 分布式云平台,金融机构可以实现运营弹性,保护客户和声誉,并在日益增加的网络威胁和 ICT 中断面前避免监管制裁。
常问问题
F5 针对个人数据提供哪些具体的安全措施?
F5 及其服务优先保护个人数据并坚持最高的数据隐私标准。 保护 F5 收集的个人数据的技术和组织控制列在特定服务合同(例如,适用于我们最终用户服务协议下提供的服务的特定服务条款)和 F5 的 SOC2 Type II 报告中。 F5 全球支持已通过 ISO 27001 认证,F5 分布式云服务也已通过 ISO 27001 认证,同时还通过了 ISO 27017 和 ISO 27018 的扩展认证。 作为 F5 分布式云服务的一级服务提供商,F5 还符合 PCI-DSS 标准。 额外的安全认证适用于特定的 F5 服务和 F5 硬件。 有关数据安全实践的更多详细信息,请访问https://www.f5.com/company/policies/privacy-notice 。
F5 及其客户如何满足 GDPR 第五章的要求以及英国和瑞士法律关于向美国和其他国家传输个人数据的类似要求?
主要营业地点位于欧洲、中东或非洲(统称为 EMEA)的客户通过与 F5 Networks, Ltd. 签订合同获得服务。 F5 Networks 总部位于英国,并依据英国法律注册成立,是 F5 EMEA 地区业务的中心。 欧盟和瑞士当局已经承认英国法律为个人数据提供保护,完全满足 GDPR 第五章和同等瑞士法律的要求。
总部位于亚太地区 (APAC) 的客户与新加坡的 F5 Networks Singapore Pte Ltd. 签订合同。 所有其他客户(包括总部位于北美的客户)均与美国 F5, Inc. 签订合同。 对于所有 F5 服务,数据保护附录 (DPA) (由服务特定条款补充)包括适用于所有合法适用于 F5 的转移的标准合同条款和规定。 这些标准合同条款附有英国政府针对英国转移发布的国际数据传输附录,以及瑞士联邦数据保护和信息专员针对瑞士转移发布的附加语言。 对于相关服务,F5 还拥有欧盟-美国认证 英国对欧盟-美国数据隐私框架的延伸 数据隐私框架以及瑞士-美国 数据隐私框架。
F5 是否通过了数据隐私框架认证?
是的。 对于相关服务,F5 拥有欧盟-美国认证。 数据隐私框架,英国对欧盟-美国的延伸 数据隐私框架以及瑞士-美国 数据隐私框架。
美国做吗? Schrems II 裁决中讨论的《外国情报监视法》(“FISA”)第 702 条和行政命令(EO)12333 是否影响 F5?
不。 这两项美国法律规定是Schrems II裁决的焦点,但对 F5 不会产生影响。 无论如何,由于美国法律在 施雷姆斯二世 欧盟委员会在其决定中确定 根据欧洲议会和理事会关于欧盟-美国个人数据充分保护水平的条例 (EU) 2016/679 于 2023 年 7 月 10 日颁布的实施决定。 数据隐私框架表示,早先对这些条款的担忧已经得到解决。 欧洲数据保护委员会(EDPB)分析了欧盟委员会的决定,并指出(在 2023 年 7 月 10 日通过充分性决定后根据 GDPR 向美国传输数据的信息说明中)“美国政府在国家安全领域实施的所有保障措施(包括补救机制)适用于所有传输到美国的数据,无论使用何种传输工具”(即,无论数据是通过数据隐私框架、标准合同条款还是其他传输工具传输到美国)。
F5 从未收到过数据访问请求或 FISA 702 下的任何其他类型的指令。 许多 F5 服务不属于符合 FISA 702 指令要求的服务类型。 此外,对于几乎所有 F5 服务的客户,F5 不会处理符合目标的数据类型 根据《外国情报监视法》第 702 号指令,该指令适用于有关大规模杀伤性武器扩散的数据、外国势力袭击美国的计划、有关外国间谍秘密活动的情报或《外国情报监视法》所定义的其他“外国情报信息”。
F5 也无法收到根据 EO 12333 提供客户数据的命令,因为根本不存在 EO 12333 命令。 EO 12333 在美国情报界内分配了某些责任,但没有对私营部门施加任何义务。 F5 对传输中的数据进行加密,并使用额外的安全措施来防止上述 2023 年欧洲委员会充分性裁定之前Schrems II法庭所关注的理论拦截活动。
美国如何 2018 年《澄清合法海外使用数据(“CLOUD”)法案》是否会影响美国政府要求访问数据的能力?
CLOUD法案并没有赋予美国政府新的权力去要求在美国开展业务的公司提供数据。 美国政府并未发布“CLOUD Act 命令”,F5 也从未收到过这样的命令。 CLOUD 法案明确指出,当美国政府遵循现有的适当法律程序(例如获得联邦地区法院法官的命令)指示某公司提供其持有、保管或控制的特定数据时,数据所在地不能成为公司质疑该命令的依据(但与该所在地现行法律相冲突仍可能成为依据)。 《CLOUD 法案》自 2020 年Schrems II裁决之前就已生效。 在Schrems II裁决之后,美国对其政府获取数据的规则和实践进行了多项改进。 随后,欧盟委员会评估了这些改进,并确定适用于美国政府数据要求的美国法律现在在 GDPR 的含义范围内提供了足够的保护水平。 看 根据欧洲议会和理事会条例 (EU) 2016/679 于 2023 年 7 月 10 日颁布的实施决定 关于欧盟-美国个人数据保护的充分水平 数据隐私框架。 欧洲数据保护委员会(EDPB)分析了这一决定,并指出(在 2023 年 7 月 10 日通过充分性决定后根据 GDPR 向美国传输数据的信息说明中)“美国政府在国家安全领域实施的所有保障措施(包括补救机制)适用于所有传输到美国的数据,无论使用何种传输工具”(即,无论数据是通过数据隐私框架、标准合同条款还是其他传输工具传输到美国)。
客户如何确保 F5 拥有适当的跨境数据传输机制?
F5 服务的每一份客户合同(最终用户服务协议 (EUSA) )均包含服务特定条款,这些条款整合并补充了 F5 的数据保护附录 (DPA) ,其中包含标准合同条款以及受英国或瑞士法律约束的转移的相关附加语言。 在某些情况下,客户和 F5 将签订包含相同保护的不同合同,例如针对特定 F5 支持服务的合同。 客户还可以参考https://www.dataprivacyframework.gov/list ,其中显示 F5 已通过欧盟-美国认证 英国对欧盟-美国数据隐私框架的延伸 数据隐私框架以及瑞士-美国 数据隐私框架。
F5 及其客户如何处理受英国数据保护法约束的个人数据传输?
对于向包括英国在内的“第三国”的 F5 实体进行的传输,F5 及其客户依赖欧盟委员会标准合同条款的国际数据传输附录,该附录可在英国信息专员的网站上查阅,并通过引用纳入 F5 的DPA ,用于受英国法律管辖的相关传输。 此外,对于某些服务,F5 已获得英国对欧盟-美国扩展的认证 数据隐私框架。
