安全問題不應再僅交給您的 IT 或安全營運團隊處理，了解為什麼您需要在採購流程的早期階段就考慮安全因素

安全問題不應再僅委託給 IT 或安全營運團隊。 

全球資料外洩的平均成本從2021 年的 424 萬美元增加到 2022 年的 435 萬美元，增幅為 2.6%，這對業務連續性、聲譽和利潤構成了持續而重大的風險。 

網路攻擊日益猖獗，加上當前的地緣政治格局，使得安全問題成為每位企業領導者最關注的焦點。這不僅關乎他們自身的產品和運營，也關乎他們所部署的技術。 

在考慮自身技術堆疊和未來投資時，安全性不再只是採購待辦事項清單末端的一個複選框。應儘早納入討論，以免浪費時間在無法有效保護資料安全的解決方案或工具上。 

企業領導者需要了解的安全術語

安全、合規、資料——這些都是經常被提及的術語。但它們分別是什麼意思？為什麼對您的業務如此重要？

安全是指為確保系統和資訊的保密性、完整性和可用性而採取的一系列做法和措施。 

合規是指遵守政府（如 GDPR 或 HIPAA）、產業機構甚至公司內部政策制定的一系列規則和法規。 

網路安全是指保護系統、網路和程式免受數位攻擊的實踐。

資料保護著重於保護使用者的個人資料。資料保護合規性是合規性的一個子類別。資料保護的主要目標是防止任何可能損害個人利益的個人資料使用方式（包括內部和外部各方）。

零信任是一種安全模型，其原則是預設不信任任何實體，無論其位置或上下文如何，並且要求在授予存取權限之前進行驗證。

選擇供應商時應考慮的資料保護和安全措施

根據Gartner Digital Markets 的研究，安全和網路攻擊是軟體投資的主要觸發因素，尤其是為了防止財務、法律和聲譽損失。  

在選擇供應商時，以下是一些與安全相關的關鍵要素。作為企業領導者，您可能無需了解所有細節，但在討論初期就了解這些問題的答案，將有助於確保您最終選擇的供應商真正值得信賴。 

1. 這家供應商如何保障我使用者的資料安全？他們採取了哪些安全措施？
2. 這家供應商遵守哪些法規？至少，您考慮的供應商需要遵守您公司營運所在地的法律法規，例如GDPR。該供應商是否也遵守其他法規？
3. 資料傳輸如何受到監管？供應商是否採取措施遵守適用的資料傳輸要求和限制？資料可能不會一直保留在一個位置。例如，資料可能會傳輸到其他國家的子處理者。如果是這樣，供應商如何保護傳輸中的資料？供應商將採取哪些措施來遵守適用的法律？ 
4. 該供應商是否獲得任何認證？有許多獨立機構會對不同技術的安全性、隱私性和合規性控制進行驗證，包括 A-LIGN 和 CSA。 
5. 該供應商能夠防禦哪些類型的安全威脅？例如，該供應商能夠抵禦惡意軟體、網路釣魚或DDoS攻擊嗎？ 
6. 這家供應商使用了哪些供應商？他們的安全性如何保障？就像您在尋找其他供應商一樣，這家供應商的技術也可能依賴其他供應商。他們如何確保這些供應商的安全？如果其中任何一個供應商不合規，那麼整個工具的安全性都會受到威脅。 

一個值得信賴的平台

我們之所以能夠闡述這些基本原則，是因為它們也指導著我們自身的平台。 

二十多年來，Liferay始終將安全性、合規性和資料保護置於產品、服務和營運的核心。憑藉我們在安全性方面的專業知識和重視，我們能夠為金融、政府和醫療保健等對安全性要求極高的行業提供值得信賴的解決方案。 

我們的雲端服務基於Google雲端平台，Liferay 和谷歌都致力於提供強大且安全的雲端服務。此外，Liferay 將為使用我們 PaaS 和 SaaS 服務的客戶處理更多安全任務，包括活動管理、基礎設施安全和 DDoS 防護。同時，我們也為需要滿足特定安全和隱私要求的客戶提供本地部署選項。

以下是我們對上述安全措施的回應，以及您希望從您考慮的供應商那裡獲得的各種回應。 

1. Liferay高度重視資料保護，竭力保障使用者資料安全。 我們在設計產品和服務時充分考慮了強大的安全措施，以保護資訊安全，包括執行嚴格的資料存取策略、進行全面的供應商評估、使我們的實踐與不斷發展的隱私法規保持一致，以及定期對員工進行培訓和培訓——這些承諾均已寫入我們的協議中。  
2. 雖然沒有任何軟體產品能夠提供一份功能清單，確保您的公司完全符合 GDPR 要求，但Liferay DXP 提供了一系列工具，可以大幅加速公司邁向合規的進程。憑藉開箱即用的資料匯出、資料保護和使用者權限等功能，以及 Liferay DXP 靈活的架構，企業可以根據自身資料保護策略不斷變化的需求調整平台。 如需更詳細了解 Liferay 如何確保符合 GDPR 的要求，請點擊此處閱讀更多內容。
3. Liferay確實會傳輸個人資料，但會根據地區資料保護法律的要求實施適當的安全措施。運行在Liferay雲端服務上的應用程式還可以透過Liferay的區域控制、資料加密和Google Cloud的Sovereign Cloud來實現資料主權合規性。 
4. Liferay 定期接受獨立驗證，以確保我們的安全、隱私和合規性控制，以幫助企業實現其監管和政策目標，並已獲得以下認證：SOC 2 Type 2、ISO/IEC 270001、ISO/IEC 27017、ISO/IEC 27018、HIPAA、CSA Start Level 1 和西班牙國家安全標準。 
5. 透過 Liferay 的基礎架構、組織和產品安全措施，您可以獲得以下保護：
   ○ 入侵偵測系統，能夠持續監控並及早發現潛在的安全漏洞。
   ○ 採用GoogleWAF和AI 技術的DDoS防護，可抵禦已知和未知的惡意流量。
   ○ 所有相關係統上的反惡意軟體技術。
6. Liferay 對所有供應商進行嚴格的審查流程，以確保我們的任何供應商不會損害您的安全。 

了解 Liferay 的安全平台如何處理關鍵的安全和風險問題。點擊此處造訪 Liferay 在Gartner 第三方風險平台上的完整安全概況和應對措施。 

Liferay 對安全性的承諾

我們已將平台安全放在首位，確保您能夠在一個值得信賴的平台上開展業務運營。為此，我們已全面公開平台和組織的安全管理流程。如需查看相關文件和資源，請造訪我們的信任中心。 

 

文章來源：https://www.liferay.com/de/blog/current-experiences/why-security-should-be-a-business-leader-concern