Polisi Diogelwch Gwasanaeth Cwmwl
1. Cyflwyniad
Mae'r polisi hwn yn llunio rhan o Bolisi Diogelwch Gwybodaeth y Brifysgol.
Gellir gweld y Polisi Diogelwch Gwybodaeth cyffredinol ynghyd â'i is-bolisïau yn Diogelwch Gwybodaeth : Gwasanaethau Gwybodaeth , Prifysgol Aberystwyth
1.1 Amcanion
Mae gan y Brifysgol ddull “cwmwl-gyntaf” o gaffael meddalwedd ac mae'n croesawu cymwysiadau a gwasanaethau sy'n cael eu cynnal yn y cwmwl.
Rhaid gwirio pob gwasanaeth cwmwl yn erbyn y polisi hwn a chael cymeradwyaeth gan y Gwasanaethau Gwybodaeth er mwyn cael cymorth, diogelwch ac integreiddiad â'r systemau presennol, a chan y Tîm Rheoli Gwybodaeth ar gyfer cydymffurfio â data cyn cofrestru a/neu ddod i gytundeb â darparwr gwasanaeth cwmwl.
Arferion Diogelwch sy'n ymwneud â'r Gwasanaethau Cwmwl
1.2 Cwmpas
Mae'r polisi hwn yn berthnasol i bob adran ac aelod o staff ym Mhrifysgol Aberystwyth sy'n ystyried, yn y broses o ddewis, rhoi ar waith, neu sydd ar hyn o bryd yn gweithredu gwasanaeth cwmwl gyda'r bwriad o ddarparu gwasanaeth i, neu brosesu data gan, ddefnyddwyr eraill y Brifysgol. Os ydych yn ansicr a yw gwasanaeth yn dod o fewn cwmpas y ddogfen hon, cysylltwch â gg@aber.ac.uk.
1.3 Goruchwylio
Bydd y Grŵp Diogelwch Gwybodaeth yn monitro effeithiolrwydd y polisi hwn ac yn cynnal adolygiadau rheolaidd.
2. Preifatrwydd Data
Mae Asesiadau o’r Effaith at Breifatrwydd (PIA) yn orfodol o dan y Rheoliad Diogelu Data Cyffredinol (GDPR). Rhaid cwblhau PIA cyn y gall unrhyw ddarparwr cwmwl storio neu brosesu unrhyw ddata defnyddiwr.
Asesiadau o’r Effaith ar Breifatrwydd
3. Perchnogaeth Asedau
Rhaid i'r Gwasanaethau Gwybodaeth gynnal rhestr o ddefnyddwyr sy'n gyfrifol am wasanaethau cwmwl a ddefnyddir gan y Brifysgol. Cyfrifoldeb perchennog yr ased yw sicrhau:
- Bod pob defnydd o wasanaethau cwmwl wedi'i gofrestru gyda'r Gwasanaethau Gwybodaeth
- Bod yr wybodaeth am berchnogaeth yn cael ei diweddaru gan y Gwasanaethau Gwybodaeth
- Nad yw'r gwasanaeth cwmwl yn dyblygu nodweddion a gynigir eisoes gan y Brifysgol
- Bod y data'n cael ei brosesu yn unol â deddfwriaeth diogelu data
- Bod y defnydd o'r holl wasanaethau cwmwl yn cydymffurfio â'r ddogfen hon
4. Rheoli Mynediad i Ddefnyddwyr
4.1 Hunaniaeth
- Rhaid i wasanaethau cwmwl gefnogi defnyddwyr lluosog at ddibenion hunaniaeth ac archwilio.
- Ni ddylai gwasanaethau cwmwl ddal cyfrineiriau/algorithmau stwnsio canolog Aberystwyth na gofyn i ddefnyddwyr eu cyflwyno'n uniongyrchol i'r gwasanaeth.
- Yn hytrach, rhaid i'r gwasanaeth cwmwl gefnogi integreiddiad â’r darparwr hunaniaeth presennol a gynhelir yn ganolog: Azure Single Sign-on ( OpenID / JWT / SAML )
- Rhaid i gyfrifon defnyddwyr gael eu darparu naill ai drwy ddarpariaeth SCIM neu JIT
- Nid yw'r Gwasanaethau Gwybodaeth yn caniatáu dilysiad LDAP ar gyfer gwasanaethau a gynhelir gan gwmwl.
4.2 Awdurdodiad
Rhaid adolygu mynediad defnyddwyr a mynediad breintiedig i wasanaethau cwmwl yn rheolaidd i sicrhau bod mynediad ar gael i’r rhai sydd ei angen ar gyfer eu gwaith.
5. URL Gwe
Efallai y bydd y gwasanaeth yn gofyn am ddefnyddio is-barth, megis blackboard.aber.ac.uk. Rhaid i'r holl wasanaethau gwe gael eu gwasanaethu dros TLS (HTTPS) yn
unig. Rhaid i Berchennog yr Asedau gysylltu â'r Gwasanaethau Gwybodaeth i gadw cyfeiriad gwe ar y parth aber.ac.uk i sicrhau ei fod ar gael.
5.1 Tystysgrifau TLS
Gall y Gwasanaethau Gwybodaeth ddarparu tystysgrifau TLS, neu gall darparwyr cwmwl brynu tystysgrifau eu hunain ond dim ond ar ôl cael cymeradwyaeth gan y Gwasanaethau Gwybodaeth.
5.1.1 TLS
Rhaid i'r gwasanaeth ddefnyddio cryptograffeg gref o safon diwydiant i amgryptio data wrth ei gludo a chyfathrebu rhwng y cwmwl a'r defnyddwyr.
Rhaid i'r gwasanaeth gefnogi TLS 1.2 ac uwch a chael y fersiynau protocol a’r seifferau cryptograffig diweddaraf.
Bydd angen sgôr o 'A' o leiaf ar https://www.ssllabs.com i gael cymeradwyaeth.
5.1.2 Awdurdod Tystysgrifau
Dim ond gan awdurdodau tystysgrifau a awdurdodir gan y Gwasanaethau Gwybodaeth y caiff y gwasanaeth cwmwl gael tystysgrifau. Mae'r rhestr hon yn cynnwys y gwasanaethau a ddarperir gan Jisc, Let's Encrypt, ac AWS. Rhaid cael cymeradwyaeth gan y Gwasanaethau Gwybodaeth i ddefnyddio unrhyw Awdurdod Tystysgrifau nad yw wedi'i restru yn y cofnod CAA DNS a hysbysebir.
5.1.3 Nodchwilwyr
Nid yw'r Gwasanaethau Gwybodaeth yn cefnogi tystysgrifau TLS nodchwilio ar gyfer gwasanaethau cwmwl.
5.2 IPv6
Mae cefnogaeth IPv6 yn fanteisiol iawn wrth ddewis gwasanaethau cwmwl.
6. Ebost
Efallai y bydd darparwr cwmwl yn gofyn am y gallu i anfon neu dderbyn negeseuon ebost ar ran y parth aber.ac.uk neu ei is-barthau.
Ni all y Gwasanaethau Gwybodaeth gefnogi gwasanaethau cwmwl nad ydynt yn cefnogi'r technolegau diogelwch post a nodir isod. Bydd methu â chydymffurfio â'r safonau islaw yn arwain at beidio â danfon post.
6.1 Anfon Post
Rhaid i wasanaethau cwmwl gael eu cofrestru fel anfonwyr awdurdodedig ar systemau’r Gwasanaethau Gwybodaeth i atal post rhag cael ei drin fel sbam.
- I ddod yn anfonwr cofrestredig rhaid i ddarparwr y cwmwl gefnogi:
- SPF - Fframwaith Polisi Anfonwyr
- DKIM - Post Adnabyddedig DomainKeys
- DMARC - Cydymffurfiaeth, Cofnodi a Dilysu Negeseuon yn Seiliedig ar Barth
6.2 Derbyn Post
Efallai y bydd darparwyr cwmwl yn gofyn am ddefnyddio cofnodion MX i dderbyn post sydd ar y ffordd i mewn. Bydd cynorthwyo cofnodion MX ar gyfer cymwysiadau cwmwl yn cael ei gymeradwyo yn ôl disgresiwn y Gwasanaethau Gwybodaeth.
6.3 Amgryptio
Dylai post gael ei amgryptio gyda TLS, wrth gael ei gludo rhwng Asiantau Trosglwyddo Post a chefnogi hyn ar gyfer anfon neu dderbyn post yn ôl yr angen.
6.4 DKIM
Rhaid i'r darparwr allu cylchdroi ei allweddi DKIM o fewn amserlen resymol o lai na 28 diwrnod pe bai unrhyw doriad diogelwch yn digwydd. Rhaid i'r darparwr gylchdroi ei allweddi DKIM yn aml yn unol â chanllawiau NCSC, bob dwy flynedd os yn bosibl ond o leiaf unwaith bob 12 mis.
Rhaid i allweddi DKIM fod yn 1024-bit o leiaf, ond 2048-bit yn ddelfrydol.
7. Gwirio Perchennog Parth
7.1 Cofnodion DNS TXT
Rhaid i'r Gwasanaethau Gwybodaeth ddilysu pob cofnod DNS TXT.
Efallai y bydd darparwyr cwmwl yn gofyn i rai prosesau gael eu gwneud i ddilysu perchnogaeth parth.
Ni ddylai dilysu roi cymeradwyaeth i wasanaethau sy'n darparu mynediad at ddata y tu allan i'r cwmpas sydd ei angen ar gyfer y rhaglen, h.y. data dadansoddol ar gyfery parth cyfan, neu fod yn gysylltiedig â chyfrif gwasanaeth sydd y tu hwnt i reolaeth y Gwasanaethau Gwybodaeth sy'n atal y gwasanaeth rhag cael ei gynnig yn ganolog yn y dyfodol.
8. Data
8.1 Lleoliad
Dylai canolfannau data cwmwl fod wedi'u lleoli'n gorfforol yn Ewrop, ac yn y Deyrnas Unedig os oes modd. Rhaid tynnu sylw at eithriadau i hyn yn yr Asesiad o’r Effaith ar Breifatrwydd.
8.2 Diogelwch
Argymhellir bod darparwr y cwmwl yn dal ac yn cynnal ardystiad i ISO 27001 ac yn gallu dangos bod yr ardystiad wedi'i gyflawni gan ddarparwr cymwys addas.
8.3. Storio Data
Dylai darparwr y cwmwl ddefnyddio amgryptiad i sicrhau nad yw data categori arbennig yn cael ei ysgrifennu i storfa 'orffwys' ar ffurf heb ei amgryptio.
8.4 Cadw a dileu data
Rhaid i ddarparwr y cwmwl gael polisi cadw data clir a chryno. Rhaid i’r darparwr allu dileu'r holl wybodaeth sy'n perthyn i Brifysgol Aberystwyth a'i defnyddwyr ar gais y Brifysgol.
8.5 Allforio Data
Rhaid i ddarparwr y cwmwl gynnig mecanwaith i'r Brifysgol allforio ei holl ddata o'r platfform er mwyn i'r Brifysgol allu cydymffurfio â Cheisiadau am Fynediad at Ddata gan y Testun, ceisiadau gan Orfodi'r Gyfraith, a mwy.
9. Profi Treiddiad
Dylai darparwr y cwmwl gynnal profion treiddiad rheolaidd, a sicrhau bod y prawf yn cael ei berfformio gan ddarparwr â chymwysterau addas fel y rhai sydd wedi'u hardystio o dan gynllun CREST. https://service-selection-platform.crest-approved.org/
Daw hyn yn ofyniad wrth brosesu data categori arbennig.
10. Tor-Data
Rhaid rhoi gwybod i Dîm Ymateb i Argyfyngau Cyfrifiadurol y Gwasanaethau Gwybodaeth neu i'r Tîm Rheoli Gwybodaeth am bob achos o dor-data yn y cwmwl.
https://www.aber.ac.uk/cy/is/regulations/sirp/
Diweddarir y Polisi hyn gan y Gwasanaethau Gwybodaeth. Fe’u hadolygwyd ddiwethaf ym mis Awst 2022 a byddant yn cael eu hadolygu eto ym mis Awst 2024