Date:
20/03/1519/03/15
EuroCloud Europe a.s.b.l.
Version 3.0 Rev 10
EuroCloud Star Audit Certificate
No.
項次
I - Control Topic
控制主題
II - Control Scope
控制範疇
III - Control Question
控制題項
Star Rating
Audit Goal
驗證目標
level which denies unauthorized access by administra-
tion persons and other third parties?
是否有端對端(點對點)加密措施至永久存儲等級
(persistent storage level)
,並可防止被管理人或其他
第三方未經授權存取?
be able to decrypt stored objects.
金鑰管理應由客戶進行,服務商不應具有對儲存的物件解密的
能力
A03-S03-C01-Q06
Is a separation of personal and transactional data in
place?
個人資料及交易資料是否分開儲存?
****
Prevent recombination of personal data with transaction by single
account to database
避免個人資料及交易資料僅藉由單一資料庫帳號即可被重組
A03-S03-C01-Q07
Is the combined view of personal user data and transac-
tional data denied by role definition and supported by
technical design?
是否有就角色身分定位來禁止對個人資料和交易資
料做連結組合的機制,並設計以技術手法施行之?
*****
Prevent recombination of personal data with transaction by single
account to database
避免個人資料及交易資料僅藉由單一資料庫帳號即可被重組
A03-S03-C01-Q08
Is there log tracking of all login activities, and is it
auditable by the customer??
是否有可追溯所有登入活動之記錄日誌,且能供客
戶查核?
*****
Transparency about account activities for customer
有關帳號的活動記錄均應對客戶透明
A03-S03-C01-Q09
Is the customer enabled to assign roles and access
rights for all relevant data objects?
客戶是否對所有與其相關資料物件之存取,具指定
角色身分與權限的權利
?
*****
Granular access control can be configured by customer
存取資料階層細度的控制,可由客戶建構來決定
A03-S03-C01-Q10
Is the use of production data excluded for test and
training systems?
是否限制正式系統之真實資料不得提供予測試及訓
練系統使用?
****
Clear separation of production and test systems
正式及測試系統應予清楚區隔
A03-S04-C01-Q01
Data Integrity
資料完整性
Data Access
資料存取
Is the data access capsulated via defined user interfac-
es?
資料存取之動作是否被包含在使用者介面之定義
中?
*****
No native database access to production data
正式環境的資料不允許原生
(
直接
)
資料庫存取
(
透過定義之使用
者介面進行存取,而非使用
JDBC
或
ODBC
直接連接後直接下
SQL Statement
存取
)
A03-S05-C01-Q01
Auditability
Is the customer entitled to visit the data centre on
*****
Comply with local regulation if applicable
