Uitleg over soevereiniteitscontroles voor de publieke sector van de Europese Unie

Inleiding

Dit document legt uit hoe Zoom publieke instellingen in de Europese Unie (EU) helpt bij het aanpakken van hun strikte behoeften op het gebied van gegevensprivacy en beveiliging.

Zoom ondersteunt de unieke vereisten voor EU-naleving en soevereiniteitscontroles in de publieke sector

Het Zoom Platform ondersteunt de groeiende belangrijkheid van behoeften aan soevereiniteitscontrole in de Europese Unie. Organisaties uit de publieke sector in de EU hebben veilige, conforme en betrouwbare communicatiesystemen nodig die hen kunnen helpen te voldoen aan branche- en regionale regelgeving. Zoom begrijpt dat organisaties uit de publieke sector Oplossingen nodig hebben die hen helpen hun toenemende verplichtingen voor verantwoorde praktijken voor gegevensverwerking te beheren, terwijl ze betrouwbare en eenvoudig te beheren communicatiesystemen mogelijk maken.

Zoom zet zich in om klanten uit de publieke sector te helpen aan hun behoeften te voldoen via een verscheidenheid aan diensten, Oplossingen en hulpmiddelen, waaronder infrastructuur gehost in de EU, flexibele hybride implementatiekaders, opties voor door de klant beheerde encryptie en transparant beleid voor gegevensverwerking. Door gebruik te maken van deze aanbiedingen kunnen IT-teams in de publieke sector hun toezicht op en controle over de opslag, verwerking en toegang van hun gegevens op het Zoom Platform verbeteren.

Voor informatie over Zoom en de wet Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, zie onze Vertrouwenscentrumdocumentatie.

Een raamwerk met drie lagen stelt organisaties in staat hun gegevens te beheren via infrastructuur, encryptie en hybride hosting volgens hun beleid

Het raamwerk met drie lagen van Zoom is ontworpen om organisaties uit de publieke sector meer controle te geven over hun gegevens en communicatie:

• Platformlaag: Zoom biedt een speciale EU-infrastructuur om zijn diensten te hosten in EU-datacenters.

• Encryptielaag: Organisaties kunnen hun eigen encryptiesleutels beheren met Door de klant beheerde sleutel (CMK) of Hold-Your-Own-Key (HYOK)-configuraties.

• Contentlaag: Organisaties kunnen Zoom Node installeren om vergaderingen, chatbericht en opnamen te hosten in hun eigen IT-omgeving.

Het drielaagse raamwerk biedt vier belangrijke voordelen voor de publieke sector

Organisaties in de publieke sector, waaronder scholen, ziekenhuizen en overheidsinstanties, kunnen elke dag gereguleerde gegevens verwerken tijdens hun dagelijkse communicatie- en samenwerkingsworkflows. Deze instellingen moeten lokale en EU-brede regels volgen om de gegevens veilig, privé en alleen toegankelijk voor bevoegd personeel te houden.

De aanpak van Zoom voor organisaties in de publieke sector biedt de volgende voordelen:

• gegevensresidentie: Het fysiek en logisch binnen de EU bewaren van bepaalde gegevens.

• Cryptografische controle: De Organisatie in staat stellen toegang te beheren en eigenaar te zijn van de encryptiesleutels.

• Veerkracht: Helpt ervoor te zorgen dat communicatie kan Doorgaan, zelfs tijdens storingen of netwerkproblemen. De overlevingsmodules van Zoom Node voor Meetings en Phone houden diensten operationeel binnen de lokale omgeving wanneer Cloud-connectiviteit verloren gaat.

• Transparantie: Inzicht bieden in gegevensstromen. Hoe en wanneer worden gegevens geraadpleegd: Wie heeft wat geraadpleegd, en waarom?

Zoom helpt publieke instellingen deze doelen te bereiken met configureerbare infrastructuur, gedetailleerde beleidsregels en sterke privacybescherming.

ondersteuning voor GDPR-naleving zonder maatwerkontwikkeling

Zoom biedt ondersteuning voor GDPR-naleving door de vereisten ervan in zijn kernservices op te nemen, contractuele verplichtingen aan te bieden via zijn Data Processing Addendum en technische waarborgen te implementeren. Voor alle klanten die op zoek zijn naar GDPR-afstemming, handhaaft Zoom passende beveiligingsmaatregelen, biedt het een selfservice-tool voor een Access-verzoek van de betrokkene (DSAR) en biedt het transparantie rond gegevensverwerkingspraktijken, terwijl het opties biedt voor internationale gegevensoverdrachten via mechanismen zoals het EU-VS Data privacy Framework en Standaard Contractuele Clausules.

Voor publieke organisaties in de EU in de gezondheidszorg, het onderwijs, de overheid en gereguleerde branches die op zoek zijn naar een meer beheerde aanpak voor GDPR-naleving, kan het beschikbare drielaagse framework van Zoom op Platform-, encryptie- en contentniveau GDPR-afgestemde activiteiten in de hele Europese Unie verder verbeteren zonder dat hiervoor aangepaste code of ingewikkelde ontwikkeling nodig is.

Infrastructuur

Zoom biedt de infrastructuur en controles die publieke organisaties helpen te voldoen aan strikte EU-vereisten voor data privacy, beveiliging en veerkracht van diensten.

In de EU gebaseerde infrastructuur houdt bepaalde data binnen de Europese grenzen

Voor klanten in de Europese Unie (EU) die er de voorkeur aan geven om persoonsgegevens — waaronder Content, Account, Diagnostic, ondersteuning en Website Data met beperkte toegang — niet naar de VS over te dragen, biedt Zoom speciale infrastructuur, bekend als de Zoom EU-infrastructuur. Deze infrastructuur host accounts voor EU-klanten in het Onderwijs en de Onderneming en ondersteunt momenteel een brede selectie van Zoom-producten, waaronder Meetings, webinar, chatbericht, Zoom Phone, Zoom contactcenter en meer.

Zoom biedt klanten die worden gehost in de regionale Zoom EU-infrastructuur de mogelijkheid om data binnen de regio op te slaan en te verwerken. Zoom draagt geen data over buiten deze infrastructuur en heeft er geen toegang toe van buiten deze infrastructuur, tenzij er vooraf een overeenkomst met een klant is gesloten, of wanneer specifieke uitzonderingen van toepassing zijn, onder meer zoals vereist door toepasselijke wetgeving, voor vertrouwens- en veiligheidsdoeleinden, en om servicemeldingen te verstrekken en de diensten in te schakelen. Raadpleeg voor meer gedetailleerde informatie onze Factsheet Zoom EU-infrastructuur.

Het volgende diagram beschrijft in detail hoe Zoom data verwerkt en opslaat in globale en regionale clusters:

Functies voor identiteit, Access en privacy

Zoom omvat standaard mogelijkheden voor identiteits- en toegangsbeheer die integreren met bestaande organisatiesystemen.

Standaard authenticatie en autorisatie

Zoom biedt typische identiteitsintegratie voor Onderneming via Single Sign-On (SSO) met providers die voldoen aan SAML 2.0, SCIM 2.0-provisioning voor geautomatiseerd Gebruikersbeheer en Rolgebaseerde toegangscontrole (RBAC) met aanpasbare rollen en machtigingen. Deze functies integreren met door de klant verstrekte regionale Identity Providers (IdP's), die worden beheerd en gehost door de klant of hun gekozen IdP-leverancier, en verbinden met Zoom’s EU-infrastructuur via SAML 2.0.

Ingebouwde privacy- en gegevenscontroles

Het Platform bevat standaard privacy-by-design-functies die zijn afgestemd op de vereisten van GDPR:

• Dataminimalisatie via gepseudonimiseerde identificatoren in systeemlogs

• Administratieve gegevenscontroles voor het instellen van bewaartermijnen en het verwerken van verwijderingsverzoeken

• Access logging voor beveiligingsmonitoring en audittrails

• Minst-bevoorrechte en Rolgebaseerde toegang controles voor Zooms toegang tot klantgegevens en inhoud

Eigendom van organisatorische gegevens

Net als bij andere Onderneming-platforms behouden organisaties de controle over levenscycli van gebruiker en inhoud, terwijl Zoom de technische infrastructuur biedt ter ondersteuning van intern beleid en wettelijke vereisten zoals GDPR artikel 17-naleving.

Zoom Node

Voor meer controle over je gegevens kun je Zoom Node overwegen. Dit hybride Platform stelt je in staat om Zoom Workplace-workloads uit te voeren, waaronder media-routering, chatberichtopslag, opname en webtoegang, rechtstreeks binnen je eigen omgeving. Zoom Node is perfect voor Klanten die behoefte hebben aan medialokalisatie, verbeterd contentgegevensbeheer of ononderbroken activiteiten, terwijl je de vertrouwde Zoom-ervaring behoudt. Voor meer informatie over Zoom Node-concepten, zie de Zoom Node Uitleg.

In de kern werkt Zoom Node als een virtuele machine (VM) die draait op de Zoom Node Besturingssysteem. Zoom Node maakt lokale hosting van Selecteer Zoom-diensten mogelijk via modulaire servicecomponenten en bevat:

• Zoom Node Besturingssysteem: De kernbesturingslaag die containerized modules beheert. Het verzorgt communicatie, orkestratie van de levenscyclus en resourcebeheer.

• Servicemodules: Onafhankelijke functionele componenten (bijv. vergadering, opname, chatbericht) die in geïsoleerde containers binnen de VM worden geïmplementeerd.

Deze modulaire structuur stelt Klanten in staat alleen de services uit te voeren die ze nodig hebben, waardoor het beheer wordt vereenvoudigd en het gebruik van resources wordt geoptimaliseerd.

Zoom Node biedt controle en flexibiliteit, terwijl het een soepele Zoom-gebruikerservaring behoudt. De voordelen van Zoom Node zijn onder andere:

• Modulariteit: Implementeer alleen de services die je nodig hebt.

• Lokalisatie: Lokale mediaverwerking en retentie voor vergaderingen en webinars.

• Toekomstbestendigheid: Compatibel met toekomstige hybride services (Zoom chatbericht, Zoom Phone).

Zoom Node ondersteunt modulaire implementatie van kernservices zoals vergaderingen, opnames, chatbericht, Browser Access en connectiviteit met ruimtes

Dit zijn de momenteel beschikbare modules voor Zoom Node:

• Vergaderingen hybride module: Draait Zoom-vergaderingsservers lokaal om controle te houden over audio, video en contentstreams.

  • Web Access Gateway: Een Web Gateway waarmee Zoom-gebruikers die via Browser deelnemen, kunnen deelnemen aan een privévergadering gehost op Meetings Hybrid, zonder dat ze toegang hoeven te krijgen tot de Zoom-cloud

• Opname-hybridemodule: Sla vergaderingopnames on-premises op in plaats van in Zoom’s Cloud.

  • Contentstreamingdienst: Een videostreaming-brokerservice voor Zoom-vergadering- en webinaropnamen, in rust opgeslagen op de Network File Storage van de klant. Deze service geeft de host van de vergadering toegang tot het afspelen, downloaden en opnieuw distribueren van de opname via het Zoom-webportal, dat de workflow voor opnamen die zijn opgeslagen in de Zoom-cloud weerspiegelt.

• Hybride module voor chatbericht: Slaat interne chatberichtinhoud op en beheert deze binnen uw eigen omgeving.

• Vergaderingscontinuïteit: On-premises failover in geval van een Cloud-storing.

• Zoom Phone lokale overleving (ZPLS): On-premises failover voor Zoom Phone, waarbij de belangrijkste belfunctionaliteiten behouden blijven wanneer Zoom-datacenters onbereikbaar zijn.

• Hybride interoperabiliteit voor ruimtes: Verbind op standaarden gebaseerde ruimtesystemen met de Zoom vergaderingen met de oplossing voor hybride ruimte-interoperabiliteit.

Hybride configuraties ondersteunen organisatorische beleidsregels van klanten met betrekking tot gegevensbeheer en noodherstel, terwijl de kernfunctionaliteit van de Zoom Workplace app behouden blijft. Zie onze speciale overzichtspagina van Zoom Node voor de nieuwste informatie over de verschillende modules.

Voor implementatie-informatie, zie de Zoom Node-implementatie veldgids.

Zoom Node wordt beheerd via een Cloud-interface die moduleactivatie, prestatiebewaking, software-updates en logging ondersteunt

Beheerders kunnen Zoom Node beheren via een gecentraliseerde console. Met deze console kunnen ze:

• Specifieke modules Inschakelen of Uitschakelen

• De servicegezondheid en netwerkprestaties bewaken

• Updates toepassen volgens een gecontroleerde Planning

• BeveiligingsInstellingen en toegangslogboeken bekijken

Overlevingsmodules handhaven lokale communicatie tijdens verstoringen in de Cloud

Zoom Node-overlevingsmodules houden vergaderingen en telefoongesprekken operationeel binnen uw lokale omgeving wanneer de Cloud van Zoom niet bereikbaar is, en ondersteunen gegevensresidentievereisten tijdens storingen.

Vergaderingscontinuïteit

Afgeleverd via de Zoom Meetings Hybrid-module gebruikt Meeting Survivability Survivable Meeting Zones om vergaderingen lokaal te hosten wanneer de cloud-connectiviteit verloren gaat.

Tijdens de overlevingsmodus kunnen interne gebruikers hosten en deelnemen aan vergaderingen met de Standaard Zoom Workplace-app en een Survivable Meeting URL. Externe deelnemers kunnen niet deelnemen, maar interne communicatie gaat door. Beheerders kunnen tijdens storingen bulletinboardberichten naar gebruikers sturen.

Belangrijke operationele details:

• Handmatige activering: 15–30 seconden na verlies van verbinding

• Maximale duur: Tot 30 dagen

• Authenticatie: Vereist een survivability token van een eerdere Cloud-login

• DNS: Componenten moeten bereikbaar zijn via lokaal oplosbare DNS-hostnamen

• Infrastructuur: Vereist vijf dedicated Zoom Node-VM's (minimaal 3 vCPU's, elk 8 GB RAM)

• Testen: Beheerders kunnen de survivability-modus handmatig Inschakelen; Toewijzen op Groepsniveau om de scope te beperken

Zie het Zoom-ondersteuning-artikel Wat is vergaderingssurvivability en de Zoom Node Deployment Field Guide hier in de Zoom Tech Library voor meer informatie.

Encryptie

Zoom ondersteunt geavanceerde encryptietools, waaronder Door de klant beheerde sleutel (CMK), die organisaties meer controle geven over hoe hun gegevens worden beschermd. Zoom biedt meerdere opties voor het beveiligen van gevoelige communicatie, waaronder volledig eigenaarschap van encryptiesleutels.

Door de klant beheerde sleutel (CMK) stelt instellingen in staat hun eigen encryptiesleutels te beheren en te auditen met vertrouwde services of interne systemen

Zoom CMK integreert met populaire Key Management Service (KMS)-providers, zoals:

• Amazon Web Services (AWS) KMS

• Microsoft Azure Key Vault

• Oracle OCI Vault

• Thales CipherTrust (via AWS External Key Store)

Je kunt ook je eigen Hardware Security Module (HSM) hosten, zoals Thales Luna HSM, om controle over encryptiesleutels te bieden en afhankelijkheid van externe in de VS gevestigde systemen te vermijden, wat een volledige HYOK (Hold-Your-Own-Key)-oplossing biedt.

CMK kan veel soorten gevoelige Zoom-inhoud versleutelen

CMK kan veel soorten gevoelige Zoom-inhoud encrypten, waaronder:

• Opnamen van vergaderingen en webinars (audio, video, chatbericht)

• Transcripties (met uitzondering van geïndexeerd zoeken)

• Voicemails en opnamen van bellen

• Agenda-toegangstokens

• Microsoft Teams Integratie(s)-tokens

• Chatberichten en bestanden

• Whiteboards

• Inhoud gegenereerd door AI Companion-functies

Voor organisaties die vereisen dat bepaalde gegevens, zoals Chatberichten, niet door de Zoom-cloud worden ontsleuteld, biedt Zoom de Zoom CMK Hybrid-module. Met Zoom CMK Hybrid kunnen organisaties hun eigen datasleutels genereren en beheren voor gebruik met client-side encryptie binnen hun beveiligingsgrens met behulp van een afzonderlijke door de klant beheerde sleutel.

Raadpleeg het Zoom-ondersteuningsartikel Content beschermd door Door de klant beheerde sleutel voor de huidige lijst.

End-to-end-encryptie (E2EE) is ontworpen zodat alleen deelnemers tijdens vergaderingen of gesprekken Access hebben tot media

Er zijn अतिरिक्त?

• Eén-op-één Zoom Phone-gesprekken binnen account

• Zoom Meetings met tot 1.000 deelnemers

E2EE voor Zoom Meetings gebruikt dezelfde 256-bits AES-GCM-encryptiemethode die standaard, Verbeterde encryptie ondersteunt. Wanneer ingeschakeld, is het systeem van Zoom zo ontworpen dat de cryptografische sleutels alleen bekend zijn bij de apparaten van de deelnemers aan de vergadering. Hierdoor hebben derden, waaronder Zoom, geen toegang tot de privésleutels van de vergadering.

Daarnaast heeft Zoom post-quantum E2EE (PQ E2EE) geïntroduceerd voor Zoom Workplace, specifiek voor ondersteuning bij Zoom Meetings, Zoom Phone en Zoom Rooms. Met de lancering van de nieuwe beveiligingsverbetering is Zoom het eerste Unified Communications as a Service (UCaaS)-bedrijf dat een post-quantum E2EE-oplossing aanbiedt voor videoconferenties. Post-quantum end-to-end-encryptie (PQ E2EE) biedt dezelfde beveiligingseigenschap als end-to-end-encryptie (E2EE): alleen de deelnemers aan de vergadering, en zelfs niet Zoom’s server, hebben toegang tot de sleutels die worden gebruikt om de vergadering te versleutelen. In tegenstelling tot end-to-end-encryptie is PQ E2EE ontworpen om bestand te zijn tegen de dreiging van een aanvaller die versleuteld netwerkverkeer kan vastleggen en die hoopt in de toekomst een quantumcomputer te bemachtigen om de vastgelegde gegevens te decoderen.

Klanten die geïnteresseerd zijn in deze aanvullende encryptiefuncties kunnen E2EE Inschakelen. Er zijn echter vereisten en beperkingen waarvan ze op de hoogte moeten zijn.

Client Requirements: E2EE vereist dat alle deelnemers aan de vergadering deelnemen vanaf de desktopapp van Zoom Workplace, de mobiele app of een Zoom Room.

Functiebeperkingen: Het Inschakelen van E2EE is niet compatibel met bepaalde functies, waaronder:

• Cloud-opname voor Zoom Meetings

• Automatische gespreksopname voor Zoom Phone

• AI Companion-functies

• Doorlopende vergadering chatbericht

• Aanvullende functies die worden vermeld in onze ondersteuningsdocumentatie

Raadpleeg onze ondersteuningsartikelen voor Zoom Phone en Zoom Meetings voor volledige details over beperkingen, afhankelijkheden en implementatie.

Encryptie-opties op cliënta niveau voor verbeterde beveiliging van Zoom chatbericht

Zoom chatbericht biedt meerdere encryptieopties naast standaard encryptie, elk ontworpen voor verschillende beveiligingsvereisten en organisatiestructuren.

Standaard chatbericht-encryptie (Standaard)

Standaard versleutelt Zoom chatberichten tijdens transport met TLS en in rust met AES-256-encryptie met door Zoom beheerde sleutels. Dit biedt basisbeveiliging voor de meeste organisatorische behoeften.

Geavanceerde chatberichtencryptie (ACE)

ACE gebruikt door het Apparaat gegenereerde en opgeslagen sleutels om berichten tussen deelnemers aan het chatbericht te versleutelen, met extra TLS-bescherming tijdens transport. Sleutels worden gegenereerd en beheerd op de Apparaten van de deelnemers aan het chatbericht, wat verbeterde privacy biedt maar de functionaliteit beperkt wanneer deelnemers niet tegelijkertijd online zijn.

Geavanceerde CMK-chatberichtencryptie (ACCE)

ACCE gebruikt door de klant beheerde sleutels via de CMK-service van Zoom, maar sleutels worden gegenereerd en beveiligd in de Zoom-cloud. Deze optie biedt controle over klantensleutels en behoudt tegelijkertijd betere compatibiliteit tussen accounts dan apparaatgebaseerde oplossingen.

Client-side CMK hybride chatberichtencryptie (CSE)

CSE gebruikt door de klant beheerde sleutels die on-premises worden gegenereerd en opgeslagen via CMK Hybrid-infrastructuur. Dit biedt het hoogste niveau van controle door de klant over encryptiesleutels, aangezien deze nooit in de Cloudomgeving van Zoom verblijven.

Belangrijkste verschillen

• ACE: Door het Apparaat gegenereerde sleutels, alleen berichtenverkeer binnen het account

• ACCE: Klantensleutels in Zoom-cloud, werkt tussen accounts

• CSE: Klantsleutels on-premises, berichtenverkeer binnen account met ACCE-fallback voor externe communicatie

Vereisten

• ACE: Betaalde accounts, beheerderinschakeling

• ACCE: Zoom Onderneming Plus (of hoger) of CMK Add-on(s) licentie

• CSE: Zoom Onderneming Plus- of CMK Hybrid-licenties (met een minimum van twee CMK Hybrid-licenties en twee servers voor fouttolerantie)

Belangrijke beperkingen

Alle geavanceerde encryptieopties beperken de functionaliteit van chatbericht, waaronder:

• AI Companion-functies

• Berichtbewerking en vertaling

• Geanimeerde GIF's en linkvoorvertoningen

• Berichtenarchivering met externe aanbieders

• Continue vergadering chatbericht Integratie(s)

Beschikbaarheidsnotities

• CSE is alleen beschikbaar voor CMK Hybrid-klanten met on-premises sleutelbeheerinfrastructuur

• ACCE fungeert als het terugvalprotocol voor CSE-ingeschakelde accounts bij communicatie met externe contacten

• Organisaties moeten evalueren of de verbeterde beveiliging de Functie(s)-beperkingen rechtvaardigt, aangezien Standaard encryptie regelgevingskaders voor naleving mogelijk voldoende kan ondersteunen

Een veilig verbindingsproces ondersteunt regionale servertoewijzing en gegevensnaleving

Of je nu de Zoom Workplace app gebruikt, vergaderingen bijwoont of toegang krijgt tot het Zoom-webportal via je Browser, Zoom Meetings zijn ontworpen om klantgegevens tijdens verzending te versleutelen met behulp van vertrouwde methoden bij communicatie met het Zoom-webportal of services in de Zoom-cloud Platform. Dit omvat het verbindingsproces en voor realtime media tijdens verzending (video, audio en in-vergadering gedeelde inhoud).

Wanneer een gebruiker een Zoom-vergadering of Zoom Phone bellen start:

1. De Zoom Workplace app neemt eerst contact op met de wereldwijde Lookup Service van Zoom met behulp van TLS 1.2- of TLS 1.3-encryptie.

2. Lookup-metadata, waaronder IP-geolocatie en Apparaat-informatie, wordt verzonden via HTTPS (Porteren 443) met TLS 1.2- of hogere encryptie.

3. Op basis van Locatie en beschikbaarheid wordt de app doorgestuurd naar de optimale Zoom Zone Controller en regionale medianode.

4. De Zoom Workplace app test de connectiviteit met elke node en brengt versleutelde mediasessies (video, audio, inhoud) tot stand via:

   1. UDP (voorkeur, Porteren 8801) met AES-256-GCM-encryptie

   2. TCP (terugvaloptie, Porteren 8801) met AES-256-GCM-encryptie

   3. TCP (secundaire terugvaloptie, Porteren 443) met TLS 1.2- of TLS 1.3-encryptie

Meer informatie over het encryptie-ontwerp van Zoom met industrieel standaard encryptiemethoden voor gegevens tijdens overdracht en in rust is te vinden in onze Zoom Encryptie-whitepaper. Voor validatie van de beveiligingspraktijken van Zoom raadpleegt u onze verklaringen en certificeringen die beschikbaar zijn via ons Zoom-vertrouwenscentrum.