沟通和信息技术委员会(CITC)是沙特阿拉伯王国(KSA)的电信监管机构(KSA),发布了其云计算监管框架(CCRF v3)的修订版3,该框架于18/04/142 H生效(对应于2020年12月3日)。CCRF V3替换云计算监管框架的版本2(CCRF V2)。

除其他外,CCRF v3:

  • 更新定义和“云服务”术语中捕获的服务类型;
  • 重新排列云服​​务提供商(CSP)注册级别;
  • 改进CCRF v2下存在的客户内容分类;和
  • 澄清关于KSA政府转让的限制,在KSA以外的客户内容产生了客户内容。

CCRF V3的发布是在CITC在培养和规范云计算在KSA中使用云计算的积极作用时的一段时间。在2020年12月31日,CITC发布了一项研究,概述了全球一级云计算的立法和监管地位,并考虑了与众多国际同行(包括美利坚合众国)的KSA监管框架(包括美国联合国)王国和欧盟)。该研究的结束语突出了KSA日益越来越多的云服务,通过发布CCRF V3,CITC捕获国际实践的云法规。

我们将在下面进一步详细讨论CCRF v3以及它将如何影响您的业务1

什么改变了?

CCRF V3下的值得注意的变化包括:

适用范围

CCRF V3仍然适用于提供给云客户的任何云服务,在KSA中具有住所或客户地址2.然而,CCRF v3更新了“云服务”的定义,现在明确包括软件即服务(SaaS)、基础设施即服务(IaaS)和平台即服务(PaaS)。

登记CITC

任何锻炼在KSA中托管的数据中心或其他关键云系统基础架构的任何行使和(全整体或部分)用于提供云服务必须与CITC注册。虽然此注册义务并不新鲜,但CCRF v3对CSP的新义务施加了控制该等数据中心的控制,以通过CITC许可的运营商使用电信基础设施(包括国际基础设施)。

CCRF v3重新安排CSP的注册级别:根据申请人的CSP是否符合CITC提供的某些最低技术标准/要求,分为三类注册(A类、B类和C类,其中A类是最不繁复的,C类是最繁复的)。

信息安全(客户内容分类)

客户内容可能受到不同级别的信息安全程度,具体取决于所需的机密性,完整性和可用性水平。CCRF V3已更换CCRF V2中的信息安全分类,并已采用两个新的信息安全分类。这些都是:

  1. “沙特政府数据”,分为四个不同的层面,是“顶级秘密”,“秘密”,“机密”和“公共”;和
  2. “非政府数据”,其中包括在沙特政府数据的四个不同安全级别中的任何一个不捕获的数据,以及“从沙特政府实体收到的数据”(根据基于政府机构收到的课程)包括对沙特政府数据的四个分类水平)。

与CCRF v2一样,云客户仍然有责任选择适用于其数据的适当的信息安全级别,以最佳匹配其安全需求、特定需求、职责和义务。这种分类也应该反映在CSP和云客户之间签订的任何云合约中。

内容被归类为沙特政府数据的云客户必须与在CITC注册的CSP签订合同。CSP是否有资格处理属于特定分类的客户内容,将取决于CSP注册的类别。

数据本地化/居住要求

在CCRF v3下有各种数据本地化/驻留要求。例如,在其他条件,csp注册CITC和云客户必须确保沙特政府KSA以外的数据没有传输,为任何目的,以任何形式,是否永久或暂时的,除非明确允许这种转让的法律或法规KSA(除了CCRF v3)。

Importantly, the provisions of the CCRF v3 (and indeed the CCRF v2) do not prejudice any other applicable law or requirements concerning a cloud customer’s ability to outsource, transmit, process or store customer content, data or information in a cloud system, but where permitted any associated restrictions or safeguards must be applied.

网络安全需求

csp必须将任何网络安全事件或违反通知云客户、CITC和国家网络安全管理局(不得无故延迟)。此外,《基本法》第三版亦规定,资讯保安须在其知悉的任何资料(包括个人资料)外泄时,通知CITC。

在这种情况下,如果此类事件或违规影响或可能影响,CITC的任务是通知国家数据管理办公室,沙特政府数据或沙特王国大量人员由于依赖于一个或多个云客户服务而受到网络安全事件(包括信息泄漏)的影响。

受影响的方面应该做什么?

CSP应评估其业务如何受CCRF V3的影响,包括与CITC的注册要求。CSP和Cloud客户还必须审查其客户内容分类,如果必须反映在其云服务合同中,包括可能由于此类分类而适用的任何数据本地化/居留要求。

CCRF v3下的其他要求可能适用,例如,与云合同、数据保护和各种其他云客户权利有关。

如果您想讨论本文的任何方面,请联系作者。


1这不是CCRF v3下所有要求和义务(或更改)的详尽清单。

2请注意,无论云客户居住或地址如何,CCRF V3的具体规定仍然适用于在数据中心或位于KSA中的云系统的其他元素中的客户内容和客户数据的处理或存储 - 例如,报告关于主要信息安全漏洞的CITC。