Privasi Data Kanada

Gambaran Umum

Pelanggan AWS dapat mendesain dan menerapkan lingkungan AWS, serta menggunakan layanan AWS dalam cara yang memenuhi kewajiban mereka berdasarkan undang-undang privasi federal, provinsi, dan teritorial Kanada.

Pelanggan selalu memegang kendali mengenai cara mereka mengelola dan mengakses konten mereka yang disimpan di AWS. AWS tidak memiliki pengetahuan tentang apa yang diunggah pelanggan ke layanannya, termasuk apakah data tersebut dianggap tunduk pada undang-undang privasi Kanada atau tidak, dan pelanggan bertanggung jawab untuk memastikan kepatuhan mereka sendiri terhadap undang-undang yang berlaku.

Adendum Pemrosesan Data AWS (AWS DPA), juga disebut perjanjian transfer data, yang berlaku secara global dan mencakup komitmen kontrak spesifik untuk secara memadai mengupayakan peran dan kewajiban masing-masing pihak sehubungan dengan privasi dan keamanan data pribadi.

Ada beberapa undang-undang di Kanada yang berkaitan dengan perlindungan informasi pribadi. Penegakan undang-undang ini ditangani oleh berbagai organisasi dan lembaga pemerintah di tingkat federal, provinsi, dan teritorial.

Di tingkat federal, Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik (PIPEDA) dapat berlaku untuk pengumpulan, penggunaan, dan pengungkapan informasi pribadi dalam sektor swasta, dan Undang-Undang Privasi dapat berlaku di sektor publik. Kantor Komisaris Privasi Kanada (OPC) mengawasi penerapan kedua undang-undang tersebut.

Provinsi dan wilayah Kanada juga telah mengadopsi undang-undang privasi mereka sendiri untuk sektor publik dan swasta, serta undang-undang privasi khusus untuk jenis data pribadi tertentu, seperti informasi kesehatan pribadi. Situs web OPC memberikan gambaran umum tentang undang-undang dan otoritas provinsi dan teritorial ini.

Untuk pelanggan yang ingin memproses data mereka di Kanada, Wilayah AWS Kanada (Pusat) dekat Montreal dan Wilayah Kanada (Barat) dekat Calgary tersedia. Untuk daftar lengkap Wilayah dan layanan AWS, kunjungi halaman Infrastruktur Global.

FAQ

• Bagaimana pelanggan dapat menentukan undang-undang privasi Kanada mana yang berlaku untuk kasus penggunaan mereka?

  Apakah, dan sejauh mana, pelanggan AWS tunduk terhadap PIPEDA, Undang-Undang Privasi, atau persyaratan privasi Kanada lainnya dapat berbeda tergantung bisnis dan kasus penggunaan pelanggan tersebut. Pelanggan harus berkonsultasi dengan penasihat hukumnya sendiri untuk memahami undang-undang privasi mana yang harus mereka patuhi.

• Bagaimana pelanggan dapat mematuhi undang-undang privasi Kanada di AWS?

  Pelanggan yang tunduk terhadap undang-undang privasi Kanada mungkin harus mematuhi persyaratan yang berkaitan dengan pengumpulan, akses, penggunaan, pengungkapan, dan perlindungan informasi pribadi. AWS memberi pelanggan keleluasaan untuk mengontrol bagaimana konten mereka disimpan dan diproses ketika menggunakan layanan AWS, termasuk kontrol terhadap bagaimana konten tersebut diamankan dan siapa saja yang dapat mengakses konten tersebut. AWS menyediakan layanan yang dapat dikonfigurasi dan digunakan oleh pelanggan untuk membantu dalam pengamanan informasi pribadi yang mereka simpan di AWS, dan pelanggan bertanggung jawab untuk merancang solusi yang memenuhi persyaratan privasi yang berlaku.

  AWS menyediakan workbook, whitepaper, dan panduan praktik terbaik pada Halaman Sumber Daya Kepatuhan AWS kami dan pelanggan memiliki akses on-demand untuk laporan audit pihak ketiga AWS di AWS Artifact.

• Apakah ada undang-undang privasi Kanada yang melarang pelanggan AWS mentransfer atau menyimpan data pribadi di luar Kanada?

  Pelanggan harus berkonsultasi dengan penasihat hukum mereka sendiri untuk menentukan undang-undang privasi Kanada mana atau kewajiban lain yang mungkin berlaku untuk organisasi dan kasus penggunaan mereka.

• Apakah ada undang-undang privasi Kanada yang mewajibkan informasi pribadi dienkripsi?

  Entitas yang tunduk pada undang-undang privasi Kanada diharuskan mengambil langkah-langkah untuk melindungi informasi pribadi, dan merupakan tanggung jawab setiap pelanggan untuk menentukan apakah enkripsi diperlukan untuk memenuhi kewajiban keamanan dan kepatuhannya.

  AWS merekomendasikan agar pelanggan mengenkripsi data mereka saat diam dan dalam transit sebagai praktik terbaik. Untuk panduan tambahan, lihat Enkripsi Saat Diam dan Saat Transit.

• Apa saja peran pelanggan dalam mengamankan kontennya di AWS?

  Saat mengevaluasi keamanan solusi cloud, penting bagi pelanggan untuk memahami dan membedakan antara:

  • Langkah-langkah keamanan yang diimplementasikan dan dioperasikan AWS — "keamanan cloud", dan
  • Langkah-langkah keamanan yang diterapkan dan dioperasikan oleh pelanggan, terkait dengan keamanan konten dan aplikasi yang memanfaatkan layanan AWS — "keamanan di cloud".

  

  Di bawah Model Tanggung Jawab Bersama AWS, pelanggan AWS tetap mempertahankan kendali atas keamanan apa yang diterapkan untuk melindungi konten, platform, aplikasi, sistem, dan jaringan mereka sendiri, tidak berbeda dengan apa yang akan mereka terapkan untuk aplikasi di pusat data on-site. Pelanggan dapat menggunakan langkah-langkah keamanan yang sudah dikenal, seperti enkripsi dan autentikasi multi-faktor, untuk melindungi data mereka dan memenuhi persyaratan kepatuhan mereka, selain layanan keamanan AWS dan fitur seperti AWS Identity and Access Management (IAM).

• Siapa yang dapat mengakses konten pelanggan di AWS?

  Pelanggan mengelola kepemilikan dan kontrol konten pelanggan mereka dan memilih layanan AWS mana yang memproses, menyimpan, dan meng-hosting konten pelanggan mereka. AWS tidak mengakses atau menggunakan konten pelanggan kecuali jika diperlukan untuk memelihara atau menyediakan layanan AWS yang dipilih oleh pelanggan atau jika diperlukan untuk mematuhi hukum atau perintah yang mengikat dari badan pemerintah, sebagaimana ditetapkan dalam Perjanjian Pelanggan AWS.

  Pelanggan yang menggunakan layanan AWS mempertahankan kontrol atas konten mereka dalam lingkungan AWS. Mereka dapat:

  • Menentukan lokasi konten ditempatkan, misalnya dengan memilih jenis lingkungan penyimpanan dan lokasi geografis penyimpanan tersebut;
  • Mengontrol format konten mereka, misalnya teks biasa, disembunyikan ('masked'), dianonimkan, atau dienkripsi, baik menggunakan enkripsi yang disediakan AWS maupun mekanisme enkripsi pihak ketiga pilihan pelanggan;
  • Mengelola kontrol akses, seperti AWS Identity and Access Management (IAM); dan
  • Mengontrol apakah akan menggunakan enkripsi, fitur Amazon Virtual Private Cloud (VPC), dan langkah-langkah keamanan jaringan dan data lainnya untuk mencegah akses yang tidak sah.

  Hal ini memungkinkan pelanggan AWS untuk mengontrol seluruh siklus hidup konten mereka di AWS dan mengelola konten mereka sesuai dengan kebutuhan khusus mereka, termasuk klasifikasi konten, kontrol akses, retensi, dan penghapusan.

• Di mana konten pelanggan disimpan?

  Infrastruktur Global AWS memberi Anda fleksibilitas dalam memilih bagaimana dan di mana Anda ingin menjalankan beban kerja Anda. Sebagai pelanggan, Anda memilih Wilayah AWS untuk menyimpan konten pelanggan, yang memungkinkan Anda men-deploy layanan AWS di lokasi pilihan Anda, sesuai dengan persyaratan tertentu. Jika Anda ingin menemukan opsi penyimpanan fleksibel kami, lihat halaman web Wilayah AWS.

  Anda dapat mereplikasi dan mencadangkan konten pelanggan Anda di lebih dari satu Wilayah AWS. Kami tidak akan memindahkan konten di luar Wilayah AWS yang Anda pilih tanpa izin Anda, kecuali pada tiap kasus yang perlu untuk mematuhi hukum atau peraturan yang mengikat dari lembaga pemerintah. Namun, penting untuk diperhatikan bahwa semua layanan AWS mungkin tidak tersedia di semua Wilayah AWS. Untuk informasi selengkapnya tentang layanan mana yang tersedia di Wilayah AWS, lihat halaman web Layanan Regional AWS.

• Langkah keamanan apa yang dimiliki AWS untuk melindungi sistem?

  AWS dirancang untuk menjadi infrastruktur cloud global paling aman untuk membangun, memigrasikan, dan mengelola aplikasi serta beban kerja. Infrastruktur ini terdiri dari perangkat keras, perangkat lunak, jaringan, dan fasilitas yang menjalankan layanan AWS, yang memberikan kontrol yang kuat, termasuk kontrol konfigurasi keamanan, kepada pelanggan untuk menangani data pribadi.

  AWS menyediakan beberapa laporan kepatuhan dari auditor pihak ketiga yang telah menguji dan memverifikasi kepatuhan kami terhadap berbagai macam standar keamanan - termasuk SOC 2 Type 2, ISO 27001, ISO 27017, dan ISO 27018. Di Kanada, layanan AWS juga dinilai oleh Canadian Centre for Cyber Security.

  Untuk memberikan transparansi mengenai efektivitas tindakan tersebut, kami menyediakan akses ke laporan audit pihak ketiga di AWS Artifact. Laporan ini menunjukkan kepada pelanggan kami bahwa kami melindungi infrastruktur yang mendasari tempat mereka menyimpan dan memproses data pribadi. Untuk informasi selengkapnya, kunjungi Sumber Daya Kepatuhan kami.

• Bagaimana AWS mengamankan pusat datanya?

  Strategi keamanan pusat data AWS tersusun oleh kontrol keamanan yang dapat diatur skalanya, dan berbagai lapisan pertahanan yang membantu melindungi informasi Anda. Misalnya, AWS secara hati-hati mengelola potensi risiko banjir dan aktivitas seismik. Kami menggunakan penghalang fisik, penjaga keamanan, teknologi deteksi ancaman, dan proses penyaringan mendalam untuk membatasi akses ke pusat data. Kami mencadangkan sistem kami, menguji peralatan dan proses secara teratur, dan terus melatih karyawan AWS agar siap menghadapi hal yang tidak terduga.

  Untuk memastikan keamanan pusat data kami, auditor eksternal melakukan pengujian pada lebih dari 2.600 standar dan persyaratan sepanjang tahun. Pemeriksaan independen ini membantu memastikan bahwa standar keamanan dipenuhi atau dilampaui secara konsisten. Hasilnya, organisasi yang memiliki regulasi paling ketat di dunia mempercayakan AWS untuk melindungi data mereka.

  Pelajari lebih lanjut cara kami mengamankan pusat data AWS berdasarkan desain dengan mengikuti tur virtual.