繁體中文(香港)
  • soc2
  • gdpr

合規守門人:分析 SOC 2 及 GDPR 下的身份認證

了解 SOC 2 及 GDPR 如何在法律上要求身份驗證、多重身份認證(MFA)、存取控制及審計日誌,並直接引用官方標準作參考。

Guamian
Guamian
Product & Design

Stop wasting weeks on user auth
Launch secure apps faster with Logto. Integrate user auth in minutes, and focus on your core product.
Get started
Product screenshot

在現代監管環境下,身份與存取管理(IAM)已不再只是 IT 營運任務,而是法律及合規上的必需品。當中兩個最重要的規範框架,分別是 SOC 2(系統及組織管控 2)及 GDPR(一般數據保障規例)。

SOC 2 著重服務交付的信任,GDPR 則著重個人私隱權利,但兩者皆圍繞一個事實:如果你不能驗證存取資料者的身份,你就無法保障資料安全。

以下嚴格分析兩套框架中,要求強身份認證的具體條款與標準,並直接連結官方原文。

第一部份:SOC 2 要求(信任服務準則)

SOC 2 審計依據 AICPA 的 2017 信任服務準則(TSC)。與身份認證相關的是 共同準則(CC)6.0 系列(邏輯及實體存取控制)。

1. 邏輯存取的基礎(CC6.1)

準則:

「實體會針對受保護信息資產,實施邏輯存取安全軟件、基建及架構,以達致防止安全事故及相關目標。」

分析:

這是一個對 IAM 系統的全面性要求。要符合 CC6.1,組織必須證明擁有集中的身份管理機制(如身份供應商 - IdP)。臨時或共用賬戶一般會導致不合格,因為這會令「邏輯存取安全」變得不可審計。

2. 身份驗證及生命周期(CC6.2)

準則:

「在發放系統憑證及授權系統存取前,實體會註冊及授權由自己管理的內部或外部用戶。」

分析:

這項規定需嚴格執行加入/轉職/離職(JML)流程。

  • 身份驗證要求: 必須在賦予用戶用戶名/密碼前,先驗證身份。
  • 回收權限: 員工離職時,必須於短時間內(通常 24 小時內)收回存取權限。
  • 證據: 審計員會要求查看被終止員工列表,並對照系統日誌,確認認證權杖有及時停用。

3. 強制 MFA(CC6.3)

準則:

「實體會按角色、職責或系統設計,授權、修改或移除對數據、軟體、功能及其他受保護信息資產之存取權...」

分析:

雖然條文重點在「角色」(RBAC),但 AICPA「關注要點」中,明確指出需要多重身份認證(MFA)。

  • 嚴格詮釋: 在現代 SOC 2 Type II 報告中,如僅以單一身份認證(僅密碼)管理管理員存取、原始碼倉庫或生產數據,幾乎肯定會被視為「重大缺失」或例外。
  • 要求: 存取生產環境或客戶數據,必須 受 MFA 保護。

4. 重新驗證(CC6.4)

準則:

「實體限制實體人員對設施和受保護信息資產實體存取,以達致相關目標。」

分析:

當套用到邏輯存取時,就是代表必須執行用戶存取檢討(UAR)。不能只驗證一次,還需定期(通常每季)重新確認該身份依然有效且權限正確。

第二部份:GDPR 要求(風險為本的方式)

不同於 SOC 2,GDPR 是歐盟法律。雖沒有列明具體技術(如「必須使用 OTP app」),但其結果要求本質上讓強身份認證變成法律必需。

1. 完整性與機密性(第 5 條)

條文: 第 5(1)(f) 條

「個人資料應以符合適當安全水平的方式處理,包括防止未經授權或非法處理...」

分析:

「未經授權處理」是關鍵詞。若黑客猜中弱密碼並取得存取權,組織即違反第 5 條。

  • 身份驗證要求: 認證方式需強到可防範常見攻擊(如暴力破解或憑證填充)。這暗示必須有嚴格密碼複雜度政策及嘗試次數限制。

2. 處理安全性(第 32 條)

條文: 第 32(1) 條

「考慮當前技術狀況、執行成本及處理性質、範圍、背景和目的……控制者及處理者應實施適當技術和組織措施……」

分析:

這是「最新技術狀況」條款。

  • 嚴格詮釋: 到 2024/2025 年,存取敏感資料時 MFA 已被視為「最新技術」。如發生違規公開、而組織僅用密碼保護(對高風險數據來說已過時),監管機構(如 ICO 或 CNIL)很可能認定這些措施於第 32.1 條下為「不適當」。
  • 加密: 第 32 條亦明言需加密。身份系統必須於傳輸及存儲(雜湊/加鹽)時加密憑證。

3. 預設隱私設計(第 25 條)

條文: 第 25(2) 條

「控制者應採取適當的技術及組織措施,以確保默認情況下,只會處理為每個具體目的所必需的個人資料。」

分析:

這要求最小權限原則。

  • 身份驗證要求: 只確認「用戶 A 是誰」不足夠,系統還必須保證用戶 A 能看到其所需資料。
  • 身份影響: 這推動須將細緻化職能權限控制(RBAC)直接連結到驗證了的身份上。

第三部份:比較分析與總結

下表歸納同時滿足兩套標準的方式:

功能SOC 2 要求(準則)GDPR 要求(條文)嚴格實施標準
登入安全CC6.3(存取控制)第 32 條(處理安全性)全體存取客戶數據或生產環境人員必須啟用 MFA
存取範疇CC6.2(授權)第 25 條(預設隱私設計)**基於角色的存取控制(RBAC)。**預設拒絕,按職能明確允許。
離職流程CC6.2(移除)第 5 條(完整性)**自動收回權限。**合約終止即時停權。
審計CC6.1(安全架構)第 30 條(紀錄處理活動)**集中日誌記錄。**誰、何時、從哪裡(IP)登入?

結論

要同時嚴格符合兩套標準:

  1. SOC 2 以身份管理為一個有文檔記錄的流程。必須證明你有一套創建、驗證及移除身份的機制。
  2. GDPR 則視身份為防護盾。必須證明你的身份措施,依現時技術標準足夠防止數據外洩。

合規於 SOC 2 及 GDPR,絕不可只停留於簡單密碼管理。機構需實施集中的身份供應商(IdP),強制 MFA、嚴格 RBAC 及自動化的權限日誌。未能做到,不單 SOC 2 審計(CC6.x 條下)會失分,更有可能因未落實「適當技術措施」(第 32 條)而被 GDPR 處罰。