Förklaring av suveränitetskontroller för offentlig sektor inom Europeiska unionen

Introduktion

Detta dokument förklarar hur Zoom hjälper offentliga institutioner i Europeiska unionen (EU) att uppfylla sina strikta behov av dataintegritet och säkerhet.

Zoom stöder de unika kraven för efterlevnad och suveränitetskontroller i EU:s offentliga sektor

Zoom-plattformen stöder den växande betydelsen av behov av suveränitetskontroll inom Europeiska unionen. Organisationer inom EU:s offentliga sektor behöver säkra, regelefterlevande och pålitliga kommunikationssystem som kan hjälpa dem att uppfylla bransch- och regionala regler. Zoom förstår att organisationer inom offentlig sektor behöver lösningar som hjälper dem att hantera ökande skyldigheter för ansvarsfulla metoder för datahantering, samtidigt som de möjliggör tillförlitliga och lättadministrerade kommunikationssystem.

Zoom är engagerat i att hjälpa kunder inom offentlig sektor att uppfylla sina behov genom en mängd tjänster, lösningar och verktyg, inklusive infrastruktur som är värd i EU, flexibla ramverk för hybriddrift, alternativ för kundhanterad kryptering och transparenta riktlinjer för datahantering. Genom att använda dessa erbjudanden kan IT-team inom offentlig sektor förbättra sin överblick och kontroll över lagring, behandling och åtkomst av deras data på Zoom-plattformen.

För information om Zoom och Europeiska unionens lagstiftning om allmän dataskyddsförordning (GDPR), se vår dokumentation i tillitscenter.

Ett ramverk i tre lager gör det möjligt för organisationer att hantera sina data via infrastruktur, kryptering och hybridhosting enligt sina riktlinjer

Zooms ramverk i tre lager är utformat för att ge organisationer inom offentlig sektor förbättrad kontroll över sina data och sin kommunikation:

• Plattformsnivå: Zoom erbjuder en dedikerad EU-infrastruktur för att hosta sina tjänster i EU:s datacentraler.

• Krypteringsnivå: Organisationer kan hantera sina egna krypteringsnycklar med Customer Managed Key (CMK) eller Hold-Your-Own-Key (HYOK)-konfigurationer.

• Innehållsnivå: Organisationer kan installera Zoom Node för att hosta möten, chatt och inspelningar i sin egen IT-miljö.

Ramverket i tre lager ger fyra viktiga fördelar för offentlig sektor

Organisationer inom offentlig sektor, inklusive skolor, sjukhus och myndigheter, kan hantera reglerade data varje dag i sina dagliga arbetsflöden för kommunikation och samarbete. Dessa institutioner måste följa lokala och EU-övergripande regler för att hålla data säkra, privata och endast tillgängliga för behörig personal.

Zooms tillvägagångssätt för organisationer inom offentlig sektor ger följande fördelar:

• Datahemvist: Att hålla viss data fysiskt och logiskt inom EU.

• Kryptografisk kontroll: Att låta organisationen hantera åtkomst och äga sina krypteringsnycklar.

• Resiliens: Att hjälpa till att säkerställa att kommunikationen kan fortsätta även under avbrott eller nätverksproblem.

• Transparens: Att ge insyn i dataflöden. Hur och när nås data: Vem åt vad, och varför?

Zoom hjälper offentliga institutioner att uppfylla dessa mål med konfigurerbar infrastruktur, detaljerade riktlinjer och starkt integritetsskydd.

Stöd för GDPR-efterlevnad utan anpassad utveckling

Zoom stöder GDPR-efterlevnad genom att bygga in dess krav i sina kärntjänster, erbjuda avtalsmässiga åtaganden genom sitt databehandlingstillägg och implementera tekniska skyddsåtgärder. För alla kunder som söker anpassning till GDPR upprätthåller Zoom lämpliga säkerhetsåtgärder, tillhandahåller ett självbetjäningsverktyg för begäran om registrerades tillgång till uppgifter (DSAR) och erbjuder transparens kring databehandlingspraxis samtidigt som man erbjuder alternativ för internationella dataöverföringar genom mekanismer som EU-USA:s ramverk för dataintegritet och standardavtalsklausuler.

För organisationer inom EU:s offentliga sektor inom vård, utbildning, myndigheter och reglerade branscher som söker en mer hanterad metod för GDPR-efterlevnad kan Zooms tillgängliga ramverk i tre lager på plattforms-, krypterings- och innehållsnivå ytterligare förbättra GDPR-anpassade processer i hela Europeiska unionen utan att kräva anpassad kod eller komplicerad utveckling.

Infrastruktur

Zoom tillhandahåller infrastrukturen och kontrollfunktionerna som hjälper organisationer inom offentlig sektor att hantera strikta EU-krav på dataintegritet, säkerhet och tjänstens motståndskraft.

EU-baserad infrastruktur håller viss data inom Europas gränser

För kunder i Europeiska unionen (EU) som föredrar att inte överföra personuppgifter — inklusive innehåll, konto-, diagnostik-, support- och webbplatsdata med begränsad åtkomst — till USA, tillhandahåller Zoom en dedikerad infrastruktur, känd som Zoom EU Infrastructure. Denna infrastruktur hostar konton för kunder inom EU-utbildning och företagssegmentet och stöder för närvarande ett brett urval av Zoom-produkter, inklusive Meetings, Webinar, Chat, Zoom Phone, Zoom Contact Center med mera.

Zoom ger kunder som hostas i den regionala Zoom EU Infrastructure möjlighet att lagra och bearbeta data inom regionen. Zoom överför inte data utanför denna infrastruktur eller får åtkomst till data utanför den, om inte ett tidigare avtal med en kund finns på plats, eller när specifika undantag gäller, inklusive när det krävs enligt tillämplig lag, för förtroende- och säkerhetssyften samt för att tillhandahålla servicemeddelanden och möjliggöra tjänsterna. För mer detaljerad information, se vår Faktablad om Zoom EU Infrastructure.

Funktioner för identitet, åtkomst och integritet

Zoom innehåller standardfunktioner för identitets- och åtkomsthantering som integreras med befintliga organisationssystem.

Standardautentisering och auktorisering

Zoom tillhandahåller typisk företagsidentitetsintegrering genom Single Sign-On (SSO) med leverantörer som följer SAML 2.0, SCIM 2.0-provisionering för automatiserad användarhantering och rollbaserad åtkomstkontroll (RBAC) med anpassningsbara roller och behörigheter. Dessa funktioner integreras med kundtillhandahållna regionala identitetsleverantörer (IdP:er), som hanteras och hostas av kunden eller den IdP-leverantör de valt, och ansluts till Zooms EU-infrastruktur via SAML 2.0.

Inbyggt integritets- och datakontroll

Plattformen innehåller standardfunktioner för integritet genom design som är anpassade till GDPR-kraven:

• Dataminimering genom pseudonymiserade identifierare i systemloggar

• Administrativa datakontroller för att ange lagringstider och behandla begäran om radering

• Åtkomstloggning för säkerhetsövervakning och granskningsspår

• Minsta privilegium och rollbaserad åtkomst kontroller för Zooms åtkomst till kunddata och innehåll

Organisatoriskt ägande av data

Som med andra företagsplattformar behåller organisationer kontroll över livscyklerna för användare och innehåll, medan Zoom tillhandahåller den tekniska infrastrukturen för att stödja interna riktlinjer och regulatoriska krav som efterlevnad av GDPR artikel 17.

Zoom Node

För ökad kontroll över dina data, överväg Zoom Node. Denna hybridplattform gör att du kan köra arbetsbelastningar i Zoom Workplace, inklusive medierouting, chattlagring, inspelning och webbåtkomst, direkt i din egen miljö. Zoom Node är perfekt för kunder som behöver medielokalisering, förbättrad hantering av innehållsdata eller oavbruten drift, samtidigt som den välbekanta Zoom-upplevelsen bibehålls. För mer information om begreppen kring Zoom Node, se Förklaring av Zoom Node.

I grunden fungerar Zoom Node som en virtuell maskin (VM) som kör Zoom Node OS. Zoom Node möjliggör lokal hosting av utvalda Zoom-tjänster via modulära tjänstekomponenter och innehåller:

• Zoom Node OS: Det centrala operativlagret som styr containeriserade moduler. Det hanterar kommunikation, livscykelorkestrering och resurshantering.

• Tjänstemoduler: Oberoende funktionella komponenter (t.ex. möte, inspelning, chatt) som distribueras i isolerade containrar inom VM:n.

Denna modulära struktur gör det möjligt för kunder att endast köra de tjänster de behöver, vilket förenklar hanteringen och optimerar resursanvändningen.

Zoom Node erbjuder kontroll och flexibilitet samtidigt som en smidig Zoom-användarupplevelse bibehålls. Fördelarna med Zoom Node inkluderar:

• Modularitet: Distribuera endast de tjänster du behöver.

• Lokalisering: Lokal mediebehandling och lagring för möten och webbinarier.

• Framtidssäkring: Kompatibel med framtida hybridtjänster (Zoom Chat, Zoom Phone).

Zoom Node stöder modulär driftsättning av kärntjänster som möten, inspelningar, chatt, webbläsaråtkomst och rummets anslutning

Detta är de moduler som för närvarande finns tillgängliga för Zoom Node:

• Hybridmodul för möten: Kör Zooms mötesservrar lokalt för att behålla kontroll över ljud-, video- och innehållsströmmar.

  • Web Access Gateway: En webb-gateway som gör det möjligt för Zoom-användare som ansluter via webbläsare att delta i ett privat möte som hostas på Meetings Hybrid, utan att behöva åtkomst till Zoom Cloud

• Hybridmodul för inspelning: Lagra mötesinspelningar lokalt i stället för i Zooms moln.

  • Tjänst för innehållsströmning: En tjänst för videoströmningsförmedling för Zoom Meeting- och webbinariuminspelningar, lagrade i vila på kundens nätverkslagring för filer. Denna tjänst ger mötesvärden åtkomst till uppspelning, nedladdning och återdistribution av inspelningen via Zooms webbportal, vilket speglar arbetsflödet för inspelningar som lagras i Zooms moln.

• Hybridmodul för chatt: Lagrar och hanterar internt chattinnehåll i din egen miljö.

• Mötets motståndskraft: Lokal failover vid molnproblem.

• Hybrid interoperabilitet för rum: Anslut rumsystem baserade på standarder till Zoom-möten med lösningen för hybrid interoperabilitet för rum.

Hybridkonfigurationer stöder organisatoriska riktlinjer för kunden som rör datakontroll och katastrofåterställning, samtidigt som kärnfunktionaliteten i Zoom Workplace-appen bibehålls. Se vår dedikerade översiktssida för Zoom Node för de senaste uppdateringarna om de olika modulerna.

För information om driftsättning, se Fältguide för driftsättning av Zoom Node.

Zoom Node hanteras via ett molngränssnitt som stöder aktivering av moduler, prestandaövervakning, programuppdateringar och loggning

Administratörer kan hantera Zoom Node via en centraliserad konsol. Denna konsol gör det möjligt för dem att:

• Aktivera eller inaktivera specifika moduler

• Övervaka tjänstens hälsa och nätverksprestanda

• Tillämpa uppdateringar enligt ett kontrollerat schema

• Granska säkerhetsinställningar och åtkomstloggar

Kryptering

Zoom stöder avancerade krypteringsverktyg, inklusive Customer Managed Key (CMK), som ger organisationer förbättrad kontroll över hur deras data skyddas. Zoom erbjuder flera alternativ för att skydda känslig kommunikation, inklusive full äganderätt till krypteringsnycklar.

Customer Managed Key (CMK) gör det möjligt för institutioner att hantera och granska sina egna krypteringsnycklar med betrodda tjänster eller interna system

Zoom CMK integreras med populära Key Management Service (KMS)-leverantörer, såsom:

• Amazon Web Services (AWS) KMS

• Microsoft Azure Key Vault

• Oracle OCI Vault

• Thales CipherTrust (via AWS External Key Store)

Du kan också hosta din egen Hardware Security Module (HSM), till exempel Thales Luna HSM, för att ge kontroll över krypteringsnycklar och undvika beroende av externa USA-baserade system, vilket ger en komplett HYOK-lösning (Hold-Your-Own-Key).

CMK kan kryptera många typer av känsligt Zoom-innehåll

CMK kan kryptera många typer av känsligt Zoom-innehåll, inklusive:

• Inspelningar av möten och webbinarier (ljud, video, chatt)

• Transkriptioner (exklusive indexerad sökning)

• Röstmeddelanden och samtalsinspelningar

• Kalendaråtkomsttoken

• Integrationstoken för Microsoft Teams

• Chattmeddelanden och filer

• Whiteboards

• Innehåll som genererats av funktioner i AI Companion

För organisationer som kräver att viss data, såsom chattmeddelanden, inte avkrypteras av Zoom Cloud, erbjuder Zoom hybridmodulen Zoom CMK Hybrid. Med Zoom CMK Hybrid kan organisationer generera och hantera sina egna datanycklar för användning med kryptering på klientsidan inom sin säkerhetsgräns, med en separat kundhanterad nyckel.

Se supportartikeln Innehåll skyddat av Customer Managed Key för den aktuella listan.

End-to-End Encryption (E2EE) är utformat så att endast deltagarna kan komma åt media under möten eller samtal

Ytterligare säkerhetskontroller finns för kunder som vill säkra sina möten. Zoom erbjuder valfri end-to-end-kryptering (E2EE) som kan aktiveras i stationära eller mobila Workplace-appar för:

• Zoom Phone-samtal mellan två personer inom samma konto

• Zoom Meetings med upp till 1 000 deltagare

E2EE för Zoom Meetings använder samma AES-GCM-krypteringsmetod med 256 bitar som stöder standard- och förbättrad kryptering. När den är aktiverad är Zooms system utformat så att de kryptografiska nycklarna endast är kända av enheterna hos mötesdeltagarna. Detta gör att tredje part, inklusive Zoom, inte har tillgång till mötets privata nycklar.

Dessutom har Zoom introducerat postkvant-E2EE (PQ E2EE) för Zoom Workplace, särskilt för stöd för Zoom Meetings, Zoom Phone och Zoom Rooms. Lanseringen av denna nya säkerhetsförbättring gör Zoom till det första UCaaS-företaget (Unified Communications as a Service) som erbjuder en postkvant-E2EE-lösning för videokonferenser. Postkvant end-to-end-kryptering (PQ E2EE) erbjuder samma säkerhetsegenskap som end-to-end-kryptering (E2EE): endast mötesdeltagarna, och inte ens Zooms server, har tillgång till nycklarna som används för att kryptera mötet. Till skillnad från end-to-end-kryptering är PQ E2EE utformat för att stå emot hotet från en angripare som kan fånga krypterad nätverkstrafik och som hoppas kunna skaffa en kvantdator i framtiden och använda den för att dekryptera de fångade uppgifterna.

Kunder som är intresserade av dessa ytterligare krypteringsfunktioner kan aktivera E2EE. Det finns dock förutsättningar och begränsningar att vara medveten om.

Krav för klienter: E2EE kräver att alla mötesdeltagare ansluter från Zoom Workplace-skrivbordsappen, mobilappen eller ett Zoom Room.

Funktionsbegränsningar: Aktivering av E2EE är inte kompatibelt med vissa funktioner, inklusive:

• Molninspelning för Zoom Meetings

• Automatisk samtalsinspelning för Zoom Phone

• Funktioner i AI Companion

• Kontinuerlig möteschatt

• Ytterligare funktioner som listas i vår supportdokumentation

Se våra supportartiklar för Zoom Phone och Zoom Meetings för fullständiga detaljer om begränsningar, beroenden och implementering.

Krypteringsalternativ på klientnivå för förbättrad säkerhet i Zoom Chat

Zoom Chat erbjuder flera krypteringsalternativ utöver standardkryptering, var och en utformad för olika säkerhetskrav och organisationsstrukturer.

Standardkryptering för chatt (standard)

Som standard krypterar Zoom chattmeddelanden under överföring med TLS och i vila med AES-256-kryptering med Zoom-hanterade nycklar. Detta ger grundläggande säkerhet för de flesta organisatoriska behov.

Avancerad chattkryptering (ACE)

ACE använder enhetsgenererade och lagrade nycklar för att kryptera meddelanden mellan chattdeltagare, med extra TLS-skydd under överföring. Nycklar genereras och används på chattdeltagarnas enheter, vilket ger förbättrad integritet men begränsar funktionaliteten när deltagarna inte samtidigt är online.

Avancerad CMK-chattkryptering (ACCE)

ACCE använder kundhanterade nycklar genom Zooms CMK-tjänst, men nycklarna genereras och säkras i Zoom-molnet. Detta alternativ ger kundkontroll över nycklar samtidigt som det bibehåller bättre kompatibilitet mellan konton än enhetsbaserade lösningar.

Kryptering på klientsidan med CMK Hybrid för chatt (CSE)

CSE använder kundhanterade nycklar som genereras och lagras lokalt genom CMK Hybrid-infrastruktur. Detta ger den högsta nivån av kundkontroll över krypteringsnycklar, eftersom de aldrig finns i Zooms molnmiljö.

Viktiga skillnader

• ACE: Enhetsgenererade nycklar, endast meddelanden inom samma konto

• ACCE: Kundnycklar i Zoom-molnet, fungerar över konton

• CSE: Kundnycklar lokalt, meddelanden inom samma konto med ACCE som reservlösning för extern kommunikation

Krav

• ACE: Betalda konton, aktivering av admin

• ACCE: Zoom Enterprise Plus (eller högre) eller CMK-tilläggslicens

• CSE: Zoom Enterprise Plus- eller CMK Hybrid-licenser (med minst två CMK Hybrid-licenser och två servrar för feltolerans)

Viktiga begränsningar

Alla avancerade krypteringsalternativ begränsar chattfunktionaliteten, inklusive:

• Funktioner i AI Companion

• Redigering och översättning av meddelanden

• Animerade GIF:er och länkförhandsgranskningar

• Arkivering av meddelanden med tredjepartsleverantörer

• Integrering av kontinuerlig möteschatt

Anteckningar om tillgänglighet

• CSE är endast tillgängligt för CMK Hybrid-kunder med lokal infrastruktur för nyckelhantering

• ACCE fungerar som reservprotokoll för konton med CSE aktiverat när de kommunicerar med externa kontakter

• Organisationer bör utvärdera om den ökade säkerheten motiverar funktionsbegränsningarna, eftersom standardkryptering kan ge tillräckligt stöd för regelefterlevnad

En säker anslutningsprocess stöder tilldelning av regionala servrar och datakompatibilitet

Oavsett om du använder Zoom Workplace-appen, ansluter till möten eller öppnar Zoom-webbportalen via din webbläsare är Zoom Meetings utformat för att kryptera kunddata under överföring med betrodda metoder när kommunikation sker med Zoom-webbportalen eller tjänsterna i Zoom Cloud Platform. Detta inkluderar anslutningsprocessen och realtidsmedia under överföring (video, ljud och delat innehåll i mötet).

När en användare startar ett Zoom Meeting eller ett Zoom Phone-samtal:

1. Zoom Workplace-appen kontaktar först Zooms globala uppslagstjänst med kryptering via TLS 1.2 eller TLS 1.3.

2. Uppslagningsmetadata, inklusive IP-geolokalisering och enhetsinformation, skickas via HTTPS (port 443) med TLS 1.2 eller högre kryptering.

3. Beroende på plats och tillgänglighet dirigeras appen till den optimala Zoom Zone Controller och regionala medienoden.

4. Zoom Workplace-appen testar anslutningen till varje nod och upprättar krypterade mediesessioner (video, ljud, innehåll) via:

   1. UDP (föredras, port 8801) med AES-256-GCM-kryptering

   2. TCP (reserv, port 8801) med AES-256-GCM-kryptering

   3. TCP (sekundär reserv, port 443) med TLS 1.2- eller TLS 1.3-kryptering

Mer information om Zooms krypteringsdesign, som använder branschstandardiserade krypteringsmetoder för data under överföring och i vila, finns i vår Zoom Encryption Whitepaper. För validering av Zooms säkerhetspraxis, se våra intyg och certifieringar som finns genom att besöka vårt Zoom Trust Center.