แนวทางการให้บริการ cloud computing (cloud service provider...
TRANSCRIPT
1
แนวทางการใหบรการ Cloud Computing(Cloud Service Provider Recommendation)
ภายใตประกาศคณะกรรมการธรกรรมทางอเลกทรอนกส
24 สงหาคม 2561
ประเดนทผใชใหความส าคญ 5 อนดนแรกในการใช Cloud ?
มาตรฐานความมนคงปลอดภย
ขอตกลงการใหบรการ (SLA)
ความรบผดชอบของผใหบรการ
ความนาเชอถอการจดการ
ขอมลคาใชจาย การเลอกใชงาน
สถานทเกบขอมล
การคมครองขอมล
ประสทธภาพการใหบรการ
ส ารองขอมล
2
คณสมบตของบรการ
On Demand Self Service : สามารถปรบเปลยนการใชงาน ไดตามความตองการในชวงเวลาใดกได
Broad Network Access: สามารถเขาใชระบบไดจากอปกรณประเภทใดกได
Resource Pooling: สามารถบรหารจดการระบบเพอใหบรการแกผใชงานจ านวนมากในเวลาเดยวกน โดยไมตองรแหลงทจดเกบ
Rapid Elasticity: มความยดหยนสงตามความตองการของผใชงาน สามารถเพมหรอลดทรพยากรไดเรว ไมมขอจ ากดเรองจ านวน ปรมาณ และระยะเวลาในการใชงาน
Measured Service: การวดปรมาณและคดคาบรการตามการใชงานทเกดขนจรง หรอ Pay per use
ประเภทการใหบรการ
Infrastructure as a Service : IaaSการใหบรการโครงสรางพนฐานหลกของบรการ Cloud Computing เชน ระบบประมวลผล ระบบจดเกบขอมล ระบบเครอขาย โดยผใชไมตองบรหารจดการโครงสรางพนฐานเอง
Platform as a Service : PaaSการใหบรการแพลตฟอรม และเครองมอเพอใชในการพฒนาซอฟตแวรแอพพลเคชน เชน โปรแกรมเบองตน ฐานขอมล โดยผใชไมตองบรหารจดการระบบเอง แตตองตดตง แกไข ปรบแตงแอพพลเคชนทสรางหรอพฒนาขนเอง
Software as a Service : SaaSการใหบรการซอฟตแวรทมความยดหยนตอการใชเขางานไดหลากหลาย โดยผใชไมตองบรหารจดการเอง
รปแบบของบรการ
Private Cloud : บรการส าหรบหนวยงาน หรอองคกรใดองคกรหนงเพยงองคกรเดยว
Community Cloud : บรการทด าเนนการรวมกนโดยกลมคนทมการรวมตวกนอยในรปแบบของการจดตงเปนสมาคม ชมรม ทงเปนทางการหรอไมเปนทางการ โดยมความตองการใชบรการแบบเดยวกน
Public Cloud : บรการทเปดใหสาธารณชนและหนวยงานตางๆ ใชงานทวไป โดยการบรหารจดการและการใหบรการอาจเปนบรษท สถาบนการศกษา เปนผใหบรการ
Hybrid Cloud : ผสมผสานรปแบบการบรการตงแตสองแบบขนไป ส าหรบงานเฉพาะกจ ซงผใชงานจะตองมมาตรฐาน คณสมบตทางเทคนคและเทคโนโลยทสามารถใชงานขอมลและถายโอนแอพพลเคชน ส าหรบการใชงานขามไปมาระหวางรปแบบแตละแบบทเลอกใช
นยาม Cloud Computing National Institute of Standard and Technology (NIST)ก าหนดความหมายของบรการ Cloud Computing ครอบคลมสาระส าคญใน 3 มต
3
4
Shared Virtualized, Dynamic Provisioning
Servers Networking Data Center Storage
Development Tools
Middleware
Web 2.0
Java Runtime Database
Business Process
Collaboration
Industry Application
CRM/ERP/HR
Infrastructure as a ServiceIaaS
Platform as a ServicePaaS
Software as a ServiceSaaS
ประเภทการใหบรการของ Cloud Computing
4
5
Network
Computing Infrastructure(Physical/Virtual Hardware, e.g. Servers, VMware)
Platform and Storage Infrastructure(Application Server, Database)
Application and Services(Saas, Web Services)
Cloud Clients(Browsers, Devices) Cross Border Information
Data Localization Privacy Security
ประเดนทเกยวของกบการใชบรการ Cloud Computing
Cloud Computing Stack
6
ICO. Information Commission Office UK[Guidance on the use of Cloud Computing 2012]
European commission[Cloud Service Level Agreement Standardisation Guideline 2014]
India[Interoperability and Portability for Cloud Computing Guide 2014 ]
Australia [Privacy & Cloud Computing Guideline 2013]
Hongkong[Practise Guide for Procuring Cloud Service 2013]
South Korea[Act on the Development of Cloud Computing and Protection of Users 2015]
New Zealand[Cloud Computing: Information Security and Privacy Consideration 2014]
Asia Cloud Computing Association [Cloud Assessment Tool 2012]
Eurocloud Star Audit (ECSA)[trusted cloud service 4stars]]
Cloud Security Alliance (CSA)
PerformanceSecurity
Data ProtectionData Management
PerformanceSecurity
Data Protection
SecurityData Protection
Data Management
PerformanceSecurity
Data Protection
PerformanceSecurity
Data ProtectionData Management
PerformanceSecurity
Data ProtectionData Management
PerformanceSecurity
Data ProtectionData Management
PerformanceSecurity
Data ProtectionData Management
Security
ISO
SecurityData Protection
U.S. National Institute of Standards and Technology : NIST[Guideline on Security and Privacy in Public Cloud 2011]
PerformanceSecurity
Data ProtectionData Management
หลกเกณฑการใหบรการ Cloud Computing
7
ผใหบรการ
คมอการเลอกใช Cloud Computing
ตวอยางผใหบรการในประเทศไทยบรษท คลาวด คอมพวตง โซลชน จ ากดบรษท กสท โทรคมนาคม จ ากด (มหาชน)บรษท ทโอท จ ากด (มหาชน)บรษท ไชโย โฮสตง จ ากดบรษท ทร ไอดซ จ ากดบรษท อนเทอรเนตประเทศไทย จ ากด (มหาชน)บรษท ดาตาโปร บวสเนส จ ากดส านกงานพฒนารฐบาลดจทล(องคการมหาชน)บรษท คลาวดบสซเนส จ ากด (VPS)บรษท ไทยดาตาโฮสตง จ ากด ฯลฯ
ออกนโยบายการใชบรการ IT Outsourcing ในการประกอบธรกจของสถาบนการเงน นยาม ก าหนดหลกเกณฑการใชบรการ Cloud Computing
ก าหนดนโยบายการใชงาน Cloud Computing ส าหรบผประกอบการ (วธการคดเลอก ประเมน การทบทวนคณสมบตของผใหบรการ การด าเนนการชวงตอ และความรบผดตอความเสยหาย)
รางแนวทางการใหบรการCloud Computing
การด าเนนการดาน Cloud Computing ของประเทศไทย
รางมาตรฐานปฏบตการแบบ Cloud
8
หลกการส าคญในประกาศ
สงเสรมใหเกดการใหบรการทมประสทธภาพ
มความมนคงปลอดภย เปนไปตามมาตรฐานสากล
ค านงถงการก าหนดหลกเกณฑทชดเจน การใชเทคโนโลยทเหมาะสม (เปนกลาง) เพอกอใหเกดความเชอมนในการท าธรกรรมทางอเลกทรอนกสบน Cloud Computing
เหตผลความจ าเปน
การใช Cloud Computing เปนเทคโนโลยพนฐานในการใหบรการธรกรรมทางอเลกทรอนกส
มการใชงานอยางแพรหลาย และขอมลของหนวยงานบน Cloud ทตองค านงเรอง Security + Privacy
ยงไมมหนวยงานภาครฐก าหนดนโยบายทเกยวกบเกณฑการใหบรการ Cloud Computing ทชดเจน
เพอสงเสรมและพฒนาการใหบรการ Cloud Computing ทเกยวของกบธรกรรมทางอเลกทรอนกสใหมความมนคงปลอดภย ความนาเชอถอ สรางความเชอมน ลดความเสยงภยคกคาม ตลอดจนมมาตรฐานเปนทยอมรบในระดบสากล
คณะกรรมการธรกรรมทางอเลกทรอนกส เหนควรใหก าหนดหลกเกณฑการใหบรการ Cloud Computing
หลกเกณฑการใหบรการ Cloud Computing
9
ขอบเขตประเภทบรการ
ฮารดแวร/อปกรณบนทก/เครอขาย 2. ซอฟตแวรสภาพแวดลอมส าหรบการพฒนาซอฟตแวร
รวมสองบรการขนไป (1 ถง 3)
บรการอนทประกาศก าหนด
หลกเกณฑการจดท านโยบายและ
แนวทางปฏบตขององคกร (Policy)
มาตรการปองกนกระบวนการท างาน(Administrative Protection Measures)
มาตรการปองกนทางกายภาพ (Physical Protection)
มาตรการปองกนทางเทคนค (Technical Protection)
การจดการขอมล
การจดประเภทขอมล (Data Classification)
การจดเกบ ส ารองและการเรยกคนขอมล (Storage, Backup and Recovery)
วงจรชวตของขอมล (Lifecycle of Data)
การโอนยายขอมล (Data Export)
21 3 4 5
ประสทธภาพการใหบรการ
ความพรอมใชงาน (Availability)
ระยะเวลาการตอบสนอง (Response Time)
ความสามารถรองรบปรมาณงาน(Capability)
การบรการสนบสนน (support)
กระบวนการยตสญญา (Termination Process)
การรกษาความม นคงปลอดภย
ความนาเชอถอของบรการ (Reliability)
การพสจนตวตนและการอนญาต (Authentication and Authorization)
การเขารหส (Encryption)
การรายงานเหตการณและการจดการรกษาความมนคงปลอดภย(Security Incident Management and Reporting)
การบนทกและการตรวจสอบขอมลการใชงานระบบ (Logging and Monitoring)
การตรวจสอบขนตอนกระบวนการท างานและความปลอดภย (Audit and verification)
การจดการชองโหว (Vulnerability Management)
ธรรมาภบาล (Governance)
การคมครองขอมลสวนบคคล
ปฏบตตามมาตรฐานสากล(code of conduct)
การระบวตถประสงค (Purpose specification)
การเกบรกษาขอมลเทาทจ าเปน(Data minimization)
การใช เกบรกษา และการเปดเผย (Use, retention and disclosure limitation)
ความโปรงใสและการแจงเตอน(Transparency and Notification)
ความรบผดชอบตอขอมล (Accountability)
สถานทจดเกบขอมล (Data Location)
อ านวยความสะดวกการเขาถงขอมล (Intervenability)
สาระส าคญ
1
2
3 4
5
(Performance)
(Security)(Data Management)
(Data Protection)
หลกเกณฑการใหบรการ Cloud Computing
Iaas Saas Paas
หลกเกณฑการใหบรการ Cloud Computing
10
มาตรฐานความมนคงปลอดภย
ขอตกลงการใหบรการ (SLA)
ความรบผดชอบของผใหบรการ
ความนาเชอถอการจดการ
ขอมลคาใชจาย การเลอกใชงาน
สถานทเกบขอมล
การคมครองขอมล
ประสทธภาพการใหบรการ
ส ารองขอมล
11
ขอบเขตประเภทบรการ
ฮารดแวร/อปกรณบนทก/เครอขาย 2. ซอฟตแวรสภาพแวดลอมส าหรบการพฒนาซอฟตแวร
รวมสองบรการขนไป (1 ถง 3)
บรการอนทประกาศก าหนด
หลกเกณฑการจดท านโยบายและ
แนวทางปฏบตขององคกร (Policy)
มาตรการปองกนกระบวนการท างาน(Administrative Protection Measures)
มาตรการปองกนทางกายภาพ (Physical Protection)
มาตรการปองกนทางเทคนค (Technical Protection)
การจดการขอมล
การจดประเภทขอมล (Data Classification)
การจดเกบ ส ารองและการเรยกคนขอมล (Storage, Backup and Recovery)
วงจรชวตของขอมล (Lifecycle of Data)
การโอนยายขอมล (Data Export)
21 3 4 5
ประสทธภาพการใหบรการ
ความพรอมใชงาน (Availability)
ระยะเวลาการตอบสนอง (Response Time)
ความสามารถรองรบปรมาณงาน(Capability)
การบรการสนบสนน (support)
กระบวนการยตสญญา (Termination Process)
การรกษาความม นคงปลอดภย
ความนาเชอถอของบรการ (Reliability)
การพสจนตวตนและการอนญาต (Authentication and Authorization)
การเขารหส (Encryption)
การรายงานเหตการณและการจดการรกษาความมนคงปลอดภย(Security Incident Management and Reporting)
การบนทกและการตรวจสอบขอมลการใชงานระบบ (Logging and Monitoring)
การตรวจสอบขนตอนกระบวนการท างานและความปลอดภย (Audit and verification)
การจดการชองโหว (Vulnerability Management)
ธรรมาภบาล (Governance)
การคมครองขอมลสวนบคคล
ปฏบตตามมาตรฐานสากล(code of conduct)
การระบวตถประสงค (Purpose specification)
การเกบรกษาขอมลเทาทจ าเปน(Data minimization)
การใช เกบรกษา และการเปดเผย (Use, retention and disclosure limitation)
ความโปรงใสและการแจงเตอน(Transparency and Notification)
ความรบผดชอบตอขอมล (Accountability)
สถานทจดเกบขอมล (Data Location)
อ านวยความสะดวกการเขาถงขอมล (Intervenability)
1
2
3 4
5
(Performance)
(Security)(Data Management)
(Data Protection)
หลกเกณฑการใหบรการ Cloud Computing
Iaas Saas Paas
ขอรบฟงความเหนในฐานะผใชบรการ
ขอมลประกอบ
12
หลกเกณฑการใหบรการ Cloud Computing
13
1. การจดท านโยบายและแนวทางปฏบตขององคกร (Policy)
มาตรการปองกนกระบวนการท างาน (Administrative Protection Measures) นโยบายและแนวปฏบตวาดวยความมนคงปลอดภยสารสนเทศ การพฒนาทรพยากรบคลากรใหมความรความเขาใจในเรองความมนคงปลอดภยของขอมล การประเมนสนทรพย การจดการเปลยนแปลง การบรหารความเสยง กระบวนการตอบสนองตอเหตการณฉกเฉน การจดท าแผนเตรยมความพรอมกรณฉกเฉน การตดตามดแลการใหบรการ กระบวนการจางชวงตอ (สญญา) และการปฏบตอนใดตามทกฎหมายก าหนด
มาตรการปองกนทางกายภาพ (Physical Protection Measures) การก าหนดควบคมพนท ความปลอดภยในพนทหวงหาม การควบคมการเขาออกพนท
มาตรการปองกนทางเทคนค (Technical Protection Measures) ผใหบรการจะตองจดใหมมาตรการในปองกนส าหรบความมนคงปลอดภยและความนาเชอถอทางเทคนค โครงสรางระบบเสมอน (Virtual infrastructure) และสภาพแวดลอมของระบบ การควบคมการเขาถง การยนยนตวตน การตรวจสอบสทธของผใชงานระบบ ความมนคงปลอดภยเครอขาย การคมครองขอมลและการเขารหส การวเคราะห ออกแบบจดท าระบบตามวฎจกรการพฒนาระบบงาน (System development Life Cycle : SDLC) แนวทางในการรกษาความปลอดภยการจางบคคลภายนอก (Outsourcing)
หลกเกณฑการใหบรการ Cloud Computing
14
2. ประสทธภาพการใหบรการ (Performance)
ความพรอมใชงาน (Availability) ผใหบรการจะตองแสดงใหผใชบรการมนใจถงบรการทไดรบ เชน รอยละของเวลาทพรอมใหบรการ (Uptime)
ระยะเวลาการตอบสนอง (Response Time) ผใหบรการจะตองระบระยะเวลาการตอบสนองตอเหตการณ ซงเปนระยะเวลานบแตผใชบรการแจงความประสงคและผใหบรการไดด าเนนการตอความประสงคนน โดยระยะเวลาการตอบสนองเปนหลกการพจารณาทส าคญของผใชบรการ บางกรณการตอบสนองลาชากวาก าหนดสงผลใหเกดความเสยหาย
ความสามารถรองรบปรมาณงาน (Capability) ผใหบรการจะตองระบ จ านวนปรมาณการเชอมตอสงสดพรอมกน จ านวนปรมาณการใชงานของผใชบรการพรอมกน จ านวนปรมาณทรพยากรของระบบทรองรบการใชงาน และจ านวนปรมาณงาน (Throughput) เพอเปนขอมลส าคญแกผใชบรการ
การบรการสนบสนน (Support) ผใหบรการจะตองจดใหมชองทางและก าหนดชวงเวลาทผใชบรการสามารถแจงปญหา หรอตดตอสอบถามจากผใหบรการได เชน การก าหนดให ผใชบรการสามารถตดตอผใหบรการไดตลอด 24 ชวโมง และระยะเวลาในการแกไขปญหาการใชงานตงแตเรมตนจนปญหานนสนสด
กระบวนการยตสญญา (Termination Process) กรณผใชบรการ หรอผใหบรการตองการยตขอตกลงการใหบรการ ผใหบรการจะตองด าเนนการตามขนตอนทไดแจงใหผใชบรการทราบไวกอนลวงหนา เชน ระยะเวลาส าหรบการเขาถงขอมลของผใชบรการ และระยะเวลาการเกบรกษาขอมลของผใหบรการ
หลกเกณฑการใหบรการ Cloud Computing
15
3. การรกษาความม นคงปลอดภย (Security)
ความนาเชอถอของบรการ (Service Reliability) การควบคมความมนคงปลอดภย การบรหารจดการเพอความตอเนองทางธรกจ และการจดใหมระบบฉกเฉนส ารอง อางองตามมาตรฐานสากล
การพสจนตวตนและการอนญาต (Authentication and Authorization)ตรวจสอบความเปนตวตนของผมสทธในการเขาใชงาน ระยะเวลาเพมหรอถอนสทธผใชงานทเหมาะสม การปองกนการเขาใชงานจากผทไมมสทธ และการควบคมการเขาถงการใชงานจากบคคลภายนอกทสนบสนนการใหบรการ (Outsourcing)
การเขารหส (Encryption) การเขารหสในการแปลงขอมลทมประสทธภาพ เพอปกปดขอมล ปองการเขาถง การแกไข และการใชงานโดยไมไดรบอนญาต และจดใหมนโยบายการควบคมกญแจส าหรบการเขารหส (Key Access Control Policy) ตามความเหมาะสม
การรายงานเหตการณและการจดการรกษาความม นคงปลอดภย (Security Incident Management and Reporting) เนองจากการเกดเหตการณเกยวกบความมนคงปลอดภยของขอมลอาจจะสงผลตอความมนคงทางธรกจ โดยการจดการเหตการณและการรกษาความมนคงปลอดภยของขอมล เรมตงแตกระบวนการตรวจพบเหตการณ การรายงานเหตการณ การประเมน การตอบสนอง การแกปญหา และการเรยนรจากเหตการณความปลอดภยทเกดขน
การบนทกและการตรวจสอบขอมลการใชงานระบบ (Logging and Monitoring) การบนทกขอมลทเกยวของกบการด าเนนการและการใชงานบรการ เพอใหสามารถตรวจสอบขอมลยอนหลงได
การตรวจสอบข นตอนกระบวนการท างานและความปลอดภย (Audit and verification) การตรวจสอบกระบวนการท างานและความปลอดภยอยางเปนระบบ มความเปนอสระ มขนตอนการท างานทมเอกสารหลกฐาน และก าหนดสทธของผตรวจสอบภายใน ผตรวจสอบภายนอก เปนประจ าอยางสม าเสมอ โดยหลกฐานการตรวจสอบทใชและหลกเกณฑถกก าหนดตามขอก าหนด หรอตามการรบรองในแตละประเภทการใหบรการ
การจดการชองโหว (Vulnerability Management) การตรวจสอบ ประเมน และบรหารจดการชองโหว หรอจดเสยงในระบบ กระบวนการรกษาความปลอดภยของระบบ การควบคมภายใน หรอการใชงานทอาจถกน าไปใชหรอถกเรยกใชโดยภยคกคาม รวมถง การทดสอบระบบความปลอดภย Vulnerability Assessments และ Penetration Testing โดยจะตองด าเนนการตามมาตรการ และวธการทเหมาะสม เพอลดความเสยงในการเกดความเสยหาย
ธรรมาภบาล (Governance) กรณการเปลยนการใหบรการอนเนองมากจากการปรบปรง อพเดตซอฟตแวรทอาจสงผลกระทบกระบวนการท างาน ชองทางการใหบรการหรอรายละเอยดในขอตกลงการใหบรการ ผใหบรการจะตองมจดใหมการแจงใหผใชบรการทราบลวงหนาในระยะเวลาทเหมาะสมเพอใหผใชบรการเตรยมพรอมในการเปลยนแปลงดงกลาว
หลกเกณฑการใหบรการ Cloud Computing
16
4. การจดการขอมล (Data Management)
การจดประเภทขอมล (Data Classification) ขอมลของผใชบรการ ขอมลของผใหบรการ ขอมลทเกดจากการประมวลผลขอมลของผใชบรการโดยผใหบรการ (Derived Data)
ผใหบรการจะตองจดใหมนโยบายทเกยวของกบการใชขอมลของผใชบรการ และการก าหนดขอบเขตและแนวปฏบตตอขอมลทถกสรางขนจากขอมลของผใชบรการโดยผใหบรการ โดยก าหนดสทธในการตรวจสอบขอมลทเกดขนของผใชบรการ
การจดเกบ ส ารองขอมล และการเรยกคนขอมล (Storage, Backup and Recovery) ผใหบรการจะตองจดใหมการจดเกบส ารองขอมลใหอยในสภาพพรอมใชงาน โดยก าหนดระยะเวลา ความถการด าเนนการ วธการ และการเกบรกษาทเหมาะสม ในกรณทขอมลปจจบนถกท าลายหรอไดรบความเสยหายสงผลท าใหไมสามารถใชงานไดผใหบรการจะตองด าเนนการเรยกคนขอมลเพอใหเกดความพรอมในการใชงานตามทระบไวในขอตกลงการใหบรการ
วงจรชวตของขอมล (Lifecycle of Data) ผใหบรการจะตองจดใหมนโยบายและแนวปฏบตทเหมาะสมในการบรหารจดการขอมลอยางมประสทธภาพและการท าลายขอมล
การโอนยายขอมล (Data Export) กรณยตขอตกลงการใหบรการ ผใหบรการจะตองมนโยบายและแนวปฏบตในการสงออกขอมล โดยก าหนดรปแบบ กระบวนการสงออกในการโอนยายขอมลตามความเหมาะสม
หลกเกณฑการใหบรการ Cloud Computing
17
5. การคมครองขอมลสวนบคคล (Data Protection)
แนวปฏบตตามมาตรฐานสากล (code of conduct) ผใหบรการจะตองมการจดใหมนโยบาย แนวทางปฏบต มาตรการ หรอมาตรฐานทสอดคลองกบกฎหมายคมครองขอมลสวนบคคล
การระบวตถประสงค (Purpose specification) ผใหบรการไมสามารถด าเนนการกบขอมลสวนบคคลทปราศจากความยนยอมของเจาของขอมลได ทงนผใหบรการตองระบวตถประสงคและความยนยอมในการรวบรวม เกบรกษา การใช และการเปดเผยขอมล ใหชดเจน
การเกบรกษาขอมลเทาทจ าเปน (Data minimization) ผใหบรการจะตองมการก าหนดระยะเวลาในการเกบรกษาขอมลชวคราวทเหมาะสม และการก าหนดระยะเวลาในการเกบรกษาขอมลหลงจากมการแจงใหท าลายขอมล โดยผใหบรการจะตองระบใหชดเจนในขอตกลงการใหบรการ ทงน ผใชบรการมหนาทรบผดชอบตองตรวจสอบวาขอมลสวนบคคลทถกท าลายแลว (ทงผใหบรการ และผรบจางตอ) กรณขอมลชวคราวจะถกสรางระหวางการใหบรการ และอาจจะไมถกท าลายในทนท เนองจากเหตผลทางเทคนค อาจจะตองตรวจสอบระยะเวลาในการท าลายขอมลชวคราวดวย
การใช เกบรกษา และการเปดเผย (Use, retention and disclosure limitation) ผใหบรการจะตองแจงใหผใชบรการทราบ วาผใหบรการจะไมเปดเผยขอมลสวนบคคลทมการจดเกบ รวบรวมไว เวนแตไดรบความยนยอมจากผใชบรการ หรอเปนกรณทกฎหมายก าหนดหรอเปนการเปดเผยแกหนวยงานทมอ านาจตามกฎหมาย หรอตามค าสงศาล
ความโปรงใส และการแจงเตอน (Transparency and Notification) ผใหบรการจะตองแจงใหผใชบรการทราบและใหขอมลทเพยงพอเกยวกบความโปรงใสในการด าเนนการกบขอมลสวนบคคลตามทกฎหมายก าหนด
ความรบผดชอบตอขอมล (Accountability) เนองจากความรบผดชอบดานสารสนเทศจะเปนสวนส าคญในการตรวจสอบการละเมดขอมลสวนบคคล ผใหบรการจะตองมนโยบายและแนวปฏบตในกรณการละเมดขอมล และจะตองมกระบวนการ เอกสารหลกฐานทไดด าเนนการทสอดคลองกบแนวทางการคมครองขอมลสวนบคคล
สถานทจดเกบขอมล (Data Location) การประมวลผลขอมลสวนบคคลอาจจะถกโอนยายขอมลไปยงตางประเทศซงอาจจะมกฎหมาย กฎระเบยบหรอระดบความการคมครองขอมลสวนบคคลทแตกตางกน เพอเปนการลดความเสยงในการถกละเมด ผใหบรการจะตองแสดงใหผใชบรการทราบสถานทในการจดเกบขอมล หรอก าหนดใหผใชบรการสามารถเลอกสถานทจดเกบขอมลได
อ านวยความสะดวกการเขาถงขอมล (Intervenability) ผใหบรการจะตองมหนาทในการอ านวยความสะดวกแกผใชบรการในระยะเวลาเหมาะสมและมประสทธภาพ ทงน หามมใหผใหบรการใชขอก าหนดทางเทคนคหรอขอก าหนดขององคกรเปนอปสรรคในการปฏเสธสทธของเจาของขอมล
มาตรฐานทเกยวกบ Cloud Computing
18