Polisi Diogelwch Gwasanaeth Cwmwl

1. Cyflwyniad

Mae'r polisi hwn yn llunio rhan o Bolisi Diogelwch Gwybodaeth y Brifysgol.  

Gellir gweld y Polisi Diogelwch Gwybodaeth cyffredinol ynghyd â'i is-bolisïau yn https://www.aber.ac.uk/cy/infocompliance/policies/security/

1.1 Amcanion

Mae gan y Brifysgol ddull “cwmwl-gyntaf” o gaffael meddalwedd ac mae'n croesawu cymwysiadau a gwasanaethau sy'n cael eu cynnal yn y cwmwl.

Rhaid gwirio pob gwasanaeth cwmwl yn erbyn y polisi hwn a chael cymeradwyaeth gan y Gwasanaethau Gwybodaeth er mwyn cael cymorth, diogelwch ac integreiddiad â'r systemau presennol, a chan y Tîm Rheoli Gwybodaeth ar gyfer cydymffurfio â data cyn cofrestru a/neu ddod i gytundeb â darparwr gwasanaeth cwmwl.

Arferion Diogelwch sy'n ymwneud â'r Gwasanaethau Cwmwl

1.2 Cwmpas

Mae'r polisi hwn yn berthnasol i bob adran ac aelod o staff ym Mhrifysgol Aberystwyth sy'n ystyried, yn y broses o ddewis, rhoi ar waith, neu sydd ar hyn o bryd yn gweithredu gwasanaeth cwmwl gyda'r bwriad o ddarparu gwasanaeth i, neu brosesu data gan, ddefnyddwyr eraill y Brifysgol. Os ydych yn ansicr a yw gwasanaeth yn dod o fewn cwmpas y ddogfen hon, cysylltwch â gg@aber.ac.uk.

1.3 Goruchwylio

Bydd y Grŵp Diogelwch Gwybodaeth yn monitro effeithiolrwydd y polisi hwn ac yn cynnal adolygiadau rheolaidd.

2. Preifatrwydd Data

Mae Asesiadau o’r Effaith at Breifatrwydd (PIA) yn orfodol o dan y Rheoliad Diogelu Data Cyffredinol (GDPR). Rhaid cwblhau PIA cyn y gall unrhyw ddarparwr cwmwl storio neu brosesu unrhyw ddata defnyddiwr.

https://www.aber.ac.uk/cy/corporate-information/information-governance/dp/pias/

3. Perchnogaeth Asedau

Rhaid i'r Gwasanaethau Gwybodaeth gynnal rhestr o ddefnyddwyr sy'n gyfrifol am wasanaethau cwmwl a ddefnyddir gan y Brifysgol. Cyfrifoldeb perchennog yr ased yw sicrhau:

  • Bod pob defnydd o wasanaethau cwmwl wedi'i gofrestru gyda'r Gwasanaethau Gwybodaeth
  • Bod yr wybodaeth am berchnogaeth yn cael ei diweddaru gan y Gwasanaethau Gwybodaeth
  • Nad yw'r gwasanaeth cwmwl yn dyblygu nodweddion a gynigir eisoes gan y Brifysgol
  • Bod y data'n cael ei brosesu yn unol â deddfwriaeth diogelu data
  • Bod y defnydd o'r holl wasanaethau cwmwl yn cydymffurfio â'r ddogfen hon

4. Rheoli Mynediad i Ddefnyddwyr

4.1 Hunaniaeth

Rhaid i wasanaethau cwmwl gefnogi defnyddwyr lluosog at ddibenion hunaniaeth ac archwilio.  

Ni ddylai gwasanaethau cwmwl ddal cyfrineiriau/algorithmau stwnsio canolog Aberystwyth na gofyn i ddefnyddwyr eu cyflwyno'n uniongyrchol i'r gwasanaeth.  

Yn hytrach, rhaid i'r gwasanaeth cwmwl gefnogi integreiddiad â’r darparwr hunaniaeth presennol a gynhelir yn ganolog: Azure Single Sign-on ( OpenID / JWT / SAML )

Nid yw'r Gwasanaethau Gwybodaeth yn caniatáu dilysiad LDAP ar gyfer gwasanaethau a gynhelir gan gwmwl.

4.2 Awdurdodiad

Rhaid adolygu mynediad defnyddwyr a mynediad breintiedig i wasanaethau cwmwl yn rheolaidd i sicrhau bod mynediad ar gael i’r rhai sydd ei angen ar gyfer eu gwaith.

5. URL Gwe

Efallai y bydd y gwasanaeth yn gofyn am ddefnyddio is-barth, megis blackboard.aber.ac.uk. Rhaid i'r holl wasanaethau gwe gael eu gwasanaethu dros TLS (HTTPS) yn

unig. Rhaid i Berchennog yr Asedau gysylltu â'r Gwasanaethau Gwybodaeth i gadw cyfeiriad gwe ar y parth aber.ac.uk i sicrhau ei fod ar gael.

5.1 Tystysgrifau TLS

Gall y Gwasanaethau Gwybodaeth ddarparu tystysgrifau TLS, neu gall darparwyr cwmwl brynu tystysgrifau eu hunain ond dim ond ar ôl cael cymeradwyaeth gan y Gwasanaethau Gwybodaeth.

5.1.1 TLS

Rhaid i'r gwasanaeth ddefnyddio cryptograffeg gref o safon diwydiant i amgryptio data wrth ei gludo a chyfathrebu rhwng y cwmwl a'r defnyddwyr.

Rhaid i'r gwasanaeth gefnogi TLS 1.2 ac uwch a chael y  fersiynau protocol a’r seifferau cryptograffig diweddaraf.  

Bydd angen sgôr o 'A' o leiaf ar https://www.ssllabs.com i gael cymeradwyaeth.

5.1.2 Awdurdod Tystysgrifau

Dim ond gan awdurdodau tystysgrifau a awdurdodir gan y Gwasanaethau Gwybodaeth y caiff y gwasanaeth cwmwl gael tystysgrifau. Mae'r rhestr hon yn cynnwys y gwasanaethau a ddarperir gan Jisc, Let's Encrypt, ac AWS. Rhaid cael cymeradwyaeth gan y Gwasanaethau Gwybodaeth i ddefnyddio unrhyw Awdurdod Tystysgrifau nad yw wedi'i restru yn y cofnod CAA DNS a hysbysebir.

5.1.3 Nodchwilwyr

Nid yw'r Gwasanaethau Gwybodaeth yn cefnogi tystysgrifau TLS nodchwilio ar gyfer gwasanaethau cwmwl.

5.2 IPv6

Mae cefnogaeth IPv6 yn fanteisiol iawn wrth ddewis gwasanaethau cwmwl.

6. Ebost

Efallai y bydd darparwr cwmwl yn gofyn am y gallu i anfon neu dderbyn negeseuon ebost ar ran y parth aber.ac.uk neu ei is-barthau.

Ni all y Gwasanaethau Gwybodaeth gefnogi gwasanaethau cwmwl nad ydynt yn cefnogi'r technolegau diogelwch post a nodir isod. Bydd methu â chydymffurfio â'r safonau islaw yn arwain at beidio â danfon post.  

6.1 Anfon Post

Rhaid i wasanaethau cwmwl gael eu cofrestru fel anfonwyr awdurdodedig ar systemau’r Gwasanaethau Gwybodaeth i atal post rhag cael ei drin fel sbam.

  • I ddod yn anfonwr cofrestredig rhaid i ddarparwr y cwmwl gefnogi:
  • SPF - Fframwaith Polisi Anfonwyr
  • DKIM - Post Adnabyddedig DomainKeys
  • DMARC - Cydymffurfiaeth, Cofnodi a Dilysu Negeseuon yn Seiliedig ar Barth

6.2 Derbyn Post

Efallai y bydd darparwyr cwmwl yn gofyn am ddefnyddio cofnodion MX i dderbyn post sydd ar y ffordd i mewn. Bydd cynorthwyo cofnodion MX ar gyfer cymwysiadau cwmwl yn cael ei gymeradwyo yn ôl disgresiwn y Gwasanaethau Gwybodaeth.

6.3 Amgryptio

Dylai post gael ei amgryptio gyda TLS, wrth gael ei gludo rhwng Asiantau Trosglwyddo Post a chefnogi hyn ar gyfer anfon neu dderbyn post yn ôl yr angen.

6.4 DKIM

Rhaid i'r darparwr allu cylchdroi ei allweddi DKIM o fewn amserlen resymol o lai na 28 diwrnod pe bai unrhyw doriad diogelwch yn digwydd. Rhaid i'r darparwr gylchdroi ei allweddi DKIM yn aml yn unol â chanllawiau NCSC, bob dwy flynedd os yn bosibl ond o leiaf unwaith bob 12 mis.

Rhaid i allweddi DKIM fod yn 1024-bit o leiaf, ond 2048-bit yn ddelfrydol.  

7. Gwirio Perchennog Parth

7.1 Cofnodion DNS TXT

Rhaid i'r Gwasanaethau Gwybodaeth ddilysu pob cofnod DNS TXT.

Efallai y bydd darparwyr cwmwl yn gofyn i rai prosesau gael eu gwneud i ddilysu perchnogaeth parth.  

Ni ddylai dilysu roi cymeradwyaeth i wasanaethau sy'n darparu mynediad at ddata y tu allan i'r cwmpas sydd ei angen ar gyfer y rhaglen, h.y. data dadansoddol ar gyfery parth cyfan, neu fod yn gysylltiedig â chyfrif gwasanaeth sydd y tu hwnt i reolaeth y Gwasanaethau Gwybodaeth sy'n atal y gwasanaeth rhag cael ei gynnig yn ganolog yn y dyfodol.

8. Data

8.1 Lleoliad

Dylai canolfannau data cwmwl fod wedi'u lleoli'n gorfforol yn Ewrop, ac yn y Deyrnas Unedig os oes modd. Rhaid tynnu sylw at eithriadau i hyn yn yr Asesiad o’r Effaith ar Breifatrwydd.  

8.2 ⁠Diogelwch

Argymhellir bod darparwr y cwmwl yn dal ac yn cynnal ardystiad i ISO 27001 ac yn gallu dangos bod yr ardystiad wedi'i gyflawni gan ddarparwr cymwys addas.

8.3. Storio Data

Dylai darparwr y cwmwl ddefnyddio amgryptiad i sicrhau nad yw data categori arbennig yn cael ei ysgrifennu i storfa 'orffwys' ar ffurf heb ei amgryptio.

8.4 Cadw a dileu data

Rhaid i ddarparwr y cwmwl gael polisi cadw data clir a chryno. Rhaid i’r darparwr allu dileu'r holl wybodaeth sy'n perthyn i Brifysgol Aberystwyth a'i defnyddwyr ar gais y Brifysgol.

8.5 Allforio Data

Rhaid i ddarparwr y cwmwl gynnig mecanwaith i'r Brifysgol allforio ei holl ddata o'r platfform er mwyn i'r Brifysgol allu cydymffurfio â Cheisiadau am Fynediad at Ddata gan y Testun, ceisiadau gan Orfodi'r Gyfraith, a mwy.

9. Profi Treiddiad

Dylai darparwr y cwmwl gynnal profion treiddiad rheolaidd, a sicrhau bod y prawf yn cael ei berfformio gan ddarparwr â chymwysterau addas fel y rhai sydd wedi'u hardystio o dan gynllun CREST. https://service-selection-platform.crest-approved.org/

Daw hyn yn ofyniad wrth brosesu data categori arbennig.

10. Tor-Data

Rhaid rhoi gwybod i Dîm Ymateb i Argyfyngau Cyfrifiadurol y Gwasanaethau Gwybodaeth neu i'r Tîm Rheoli Gwybodaeth am bob achos o dor-data yn y cwmwl.

https://www.aber.ac.uk/cy/is/regulations/sirp/

infogovernance@aber.ac.uk