خصوصية البيانات في كندا

نظرة عامة

يمكن لعملاء AWS تصميم بيئة AWS وتنفيذها واستخدام خدمات AWS بطريقة تفي بالتزاماتهم بموجب قوانين الخصوصية الفيدرالية والإقليمية الكندية.

دائمًا ما يتمتع العملاء بالقدرة على التحكم في كيفية إدارتهم للمحتوى الخاص بهم المخزن لدى AWS والوصول إليه. لا تملك AWS معرفة بما يقوم العملاء بتحميله إلى خدماتها، بما في ذلك ما إذا كانت هذه البيانات تخضع لقوانين الخصوصية الكندية أم لا، ويتحمل العملاء مسؤولية ضمان امتثالهم لأي قوانين معمول بها.

تنطبق إضافة معالجة بيانات AWS‏ (AWS DPA)، والتي يشار إليها أيضًا باسم اتفاقية نقل البيانات، عالميًا وتتضمن التزامات تعاقدية محددة لمعالجة أدوار والتزامات كل طرف بشكل مناسب فيما يتعلق بخصوصية وأمن البيانات الشخصية.

هناك العديد من القوانين في كندا التي تتعلق بحماية المعلومات الشخصية. يتم تنفيذ هذه القوانين من قبل مختلف المنظمات والوكالات الحكومية على المستويات الفيدرالية والإقليمية.

على المستوى الفيدرالي، قد ينطبق قانون حماية المعلومات الشخصية والوثائق الإلكترونية (PIPEDA) على جمع المعلومات الشخصية واستخدامها والكشف عنها داخل القطاع الخاص، وقد يتم تطبيق قانون الخصوصية داخل القطاع العام. يشرف مكتب مفوض الخصوصية الكندي (OPC) على تطبيق كلا القانونين.

اعتمدت المقاطعات والأقاليم الكندية أيضًا قوانين الخصوصية الخاصة بها لكل من القطاعين العام والخاص، بالإضافة إلى قوانين الخصوصية الخاصة بأنواع معينة من البيانات الشخصية، مثل المعلومات الصحية الشخصية. يوفر موقع OPC نظرة عامة على هذه القوانين والسلطات الإقليمية والإقليمية.

بالنسبة للعملاء الذين يرغبون في معالجة بياناتهم في كندا، تتوفر منطقة AWS كندا (الوسطى) بالقرب من مونتريال ومنطقة كندا (الغربية) بالقرب من كالجاري. للاطلاع على قائمة كاملة بمناطق AWS وخدماتها، تفضل بزيارة صفحة البنية التحتية العالمية.

الأسئلة الشائعة

  • قد يختلف ما إذا كان عميل AWS خاضعًا لقانون PIPEDA أو قانون الخصوصية أو أي متطلبات خصوصية كندية أخرى ومدى خضوعه لها اعتمادًا على أعمال العميل وحالة الاستخدام. وينبغي على العملاء الرجوع إلى الاستشاريين القانونيين الذين يتعاملون معهم لمساعدتهم على استيعاب قوانين الخصوصية التي تسري عليهم.

  • قد يتعين على العملاء الذين يخضعون لقوانين الخصوصية الكندية الامتثال للمتطلبات المتعلقة بجمع المعلومات الشخصية والوصول إليها واستخدامها والكشف عنها وحمايتها. وتتيح AWS للعملاء التحكم في كيفية تخزين المحتوى الخاص بهم أو معالجته عند الاستعانة بخدمات AWS، بما في ذلك التحكم في كيفية تأمين هذا المحتوى وتحديد من يمكنه الوصول إليه. تتيح AWS خدمات يستطيع العملاء تكوينها والاستعانة بها لمساعدتهم في تأمين البيانات للأفراد التي يخزنوها لدى AWS، وتقع على عاتق العميل مسؤولية تصميم حل يلبي متطلبات الخصوصية المعمول بها.

    توفر AWS المصنفات والمستندات الفنية وأدلة أفضل الممارسات على صفحة موارد الامتثال الخاصة بـ AWS، ويمكن للعملاء الوصول عند الطلب إلى تقارير التدقيق الخاصة بطرف ثالث من AWS في AWS Artifact.

  • يجب على العملاء استشارة مستشاريهم القانونيين لتحديد قوانين الخصوصية الكندية أو الالتزامات الأخرى التي قد تنطبق على مؤسستهم وحالة الاستخدام.

  • يتعين على الكيانات الخاضعة لقوانين الخصوصية الكندية اتخاذ خطوات لحماية المعلومات الشخصية، وتقع على عاتق كل عميل مسؤولية تحديد ما إذا كان التشفير ضروريًا للوفاء بالتزامات الأمان والامتثال.

    توصي AWS العملاء بتشفير بياناتهم في حالة النشاط وعدم النشاط كأفضل ممارسة. للحصول على إرشادات إضافية، راجع تشفير البيانات في حالة النشاط وعدم النشاط.

  • عند تقييم مدى أمان حل السحابة، من المهم بالنسبة للعملاء فهم ما يلي والتمييز بينه:

    • الإجراءات الأمنية التي تقوم AWS بتنفيذها وتشغيلها - "أمان السحابة"، و
    • الإجراءات الأمنية التي يقوم العملاء بتنفيذها وتشغيلها، والمتعلقة بأمان محتويات وتطبيقات العملاء الخاصة بهم والتي تستفيد من خدمات AWS، "الأمان في السحابة"

    بموجب نموذج المسؤولية المشتركة من AWS، يحتفظ عملاء AWS بالسيطرة على المعايير الأمنية التي يختارون تنفيذها من أجل حماية المحتويات والأنظمة الأساسية والتطبيقات والأنظمة والشبكات الخاصة بهم، بشكل لا يختلف عما كانوا سوف يقومون بعمله فيما يتعلق بالتطبيقات السارية في مراكز البيانات الموجودة في الموقع. يمكن للعملاء استخدام تدابير الأمان المألوفة، مثل التشفير والمصادقة متعددة العوامل، لحماية بياناتهم وتلبية متطلبات الامتثال الخاصة بهم، بالإضافة إلى خدمات وميزات أمان AWS مثل إدارة الهوية والوصول في AWS‏ (IAM).

  • يحظى العملاء بملكية محتويات العملاء الخاصة بهم ويسيطرون عليها، كما أنهم يحددون خدمات AWS التي تقوم بمعالجة محتويات العملاء الخاصة بهم وتخزينها واستضافتها. لا تقوم AWS بالوصول إلى محتوى العميل أو استخدامه إلا عند الضرورة للحفاظ على خدمات AWS التي يختارها العميل أو توفيرها أو عند الضرورة للامتثال للقانون أو الأمر الملزم الصادر عن هيئة حكومية، على النحو المنصوص عليه في اتفاقية عملاء AWS.

    يسيطر العملاء الذين يستخدمون خدمات AWS على المحتويات الخاصة بهم داخل بيئة AWS. حيث يمكنهم:

    • تحديد مكان وجوده، على سبيل المثال عن طريق تحديد نوع بيئة التخزين والموقع الجغرافي لهذا التخزين؛
    • السيطرة على تنسيق محتواهم، على سبيل المثال ظهوره من خلال نص بسيط أو إخفائه أو إخفاء هويته أو تشفيره، باستخدام إما آلية التشفير التي توفرها AWS أو آلية تشفير تابعة لطرف خارجي من اختيار العميل.
    • إدارة ضوابط الوصول، مثل إدارة الهوية والوصول في AWS‏ (IAM)؛ و
    • تحكم في استخدام التشفير وميزات ‏سحابة Amazon الخاصة الافتراضية (VPC) وإجراءات أمان الشبكة والبيانات الأخرى لمنع الوصول غير المصرح به.

    ويسمح ذلك لعملاء AWS التحكم في دورة الحياة الكاملة للمحتويات الخاصة بهم على AWS بالإضافة إلى إدارة المحتويات بما يتوافق مع الاحتياجات المحددة، بما في ذلك تصنيف المحتويات والتحكم في الوصول إليها والاحتفاظ بها وحذفها.

  • تمنحك AWS Global Infrastructure المرونة في اختيار كيف وأين تريد تشغيل أعباء العمل الخاصة بك. بصفتك عميلاً، فإنك تختار منطقة (مناطق) AWS التي يُخزن فيها محتوى عملائك، ما يسمح لك بنشر خدمات AWS في الموقع (المواقع) الذي تختاره، وفقًا لمتطلباتك المحددة. إذا كنت ترغب في التعرف على خيارات تخزين مرنة أخرى، فراجع صفحة الويب مناطق AWS.

    يمكنك تكرار محتوى عملائك ونسخه احتياطيًا في أكثر من منطقة AWS واحدة. لن ننقل المحتوى الخاص بك خارج منطقة (مناطق) AWS التي اخترتها بدون موافقتك، إلا في الحالات التي يتعين فيها الامتثال إلى القانون أو لأمر ملزم صادر عن هيئة حكومية. ومع ذلك، من المهم ملاحظة أن جميع خدمات AWS قد لا تكون متاحةً في جميع مناطق AWS. لمزيد من المعلومات حول الخدمات المتوفرة في كل منطقة من مناطق AWS، راجع صفحة الويب خدمات AWS الإقليمية.

  • تم تصميم AWS لتكون البنية التحتية السحابية العالمية الأكثر أمانًا التي يمكن من خلالها إنشاء التطبيقات وأعباء العمل وترحيلها وإدارتها. تتألف هذه البنية التحتية من الأجهزة والبرامج والشبكات والمنشآت التي تُشغَِّل خدمات AWS، والتي توفر عناصر التحكم القوية، بما في ذلك عناصر التحكم في تكوين الأمان للعملاء، من أجل التعامل مع البيانات الشخصية.

    توفر AWS العديد من تقارير الامتثال من مدققي الحسابات الخارجيين الذين قاموا باختبار والتحقق من امتثالنا لمجموعة متنوعة من معايير الأمان، بما في ذلك SOC 2 Type 2 وISO 27001 وISO 27017 وISO 27018. في كندا، يتم تقييم خدمات AWS أيضًا من قبل المركز الكندي للأمن السيبراني.

    من أجل توفير الشفافية بشأن فاعلية هذه الإجراءات، فإننا نوفر الوصول إلى تقارير التدقيق الصادرة عن أطراف خارجية في AWS Artifact. توضح هذه التقارير لعملائنا أننا نحمي البنية التحتية الأساسية التي يقومون من خلالها بتخزين ومعالجة البيانات الشخصية. للحصول على المزيد من المعلومات، قم بزيارة موارد الامتثال الخاصة بنا.

  • يتم تجميع إستراتيجية أمان مركز بيانات AWS من خلال ضوابط أمان قابلة للتكيف وطبقات دفاعية متعددة، والتي تساعد على حماية المعلومات الخاصة بك. على سبيل المثال، تقوم AWS بإدارة مخاطر الفيضانات والأنشطة الزلزالية المحتملة بكل عناية. ونحن نستخدم حواجز مادية وحراس أمن وتقنية اكتشاف المخاطر بالإضافة إلى عملية فحص متعمقة من أجل الحد من الوصول إلى مراكز البيانات. ونقوم بعمل نسخ احتياطية للأنظمة الخاصة بنا، ونقوم باختبار المعدات والعمليات بشكلٍ منتظم، ونقوم بتدريب موظفي AWS لكي يكونوا على أهبة الاستعداد لكل ما هو غير متوقع.

    للتحقق من أمان مراكز البيانات الخاصة بنا، يقوم المراجعون الخارجيون بإجراء الاختبارات على ما يزيد عن 2600 من المعايير والمتطلبات طوال العام. ويساعد مثل هذا الفحص المستقل على ضمان الوفاء بمعايير الأمان أو تجاوزها بصفة مستمرة ودائمة. ونتيجة لذلك، فإن المؤسسات الأكثر تنظيمًا في العالم تثق في AWS فيما يتعلق بحماية البيانات الخاصة بها.

    تعرّف على المزيد من المعلومات حول كيفية قيامنا بتأمين مراكز بيانات AWS من خلال تصميمها عبر أخذ جولة افتراضية.

موارد خصوصية البيانات في كندا

 ملخص OPC لقوانين الخصوصية في كندا
 ملحق معالجة بيانات AWS
 استخدام AWS في سياق الاعتبارات الشائعة للخصوصية وحماية البيانات
 الأسئلة الشائعة حول خصوصية البيانات