خصوصية البيانات في أستراليا
نظرة عامة
إن مبادئ الخصوصية الأسترالية (APPs) المبينة في قانون الخصوصية الأسترالي لعام 1988 (Cth) تفرض متطلبات لجمع المعلومات الشخصية وإدارتها والتعامل معها واستخدامها والإفصاح عنها وغير ذلك من إجراءات التعامل مع تلك المعلومات. وتحدد المبادئ APPs مبادئ حماية البيانات لحماية خصوصية الأفراد.
تتعامل AWS بكل حذر مع خصوصيتك وأمان بياناتك. إنّ الأمان في AWS يبدأ من خلال البنية التحتية الأساسية الخاصة بنا. لقد تم إنشاء البنية التحتية الخاصة بنا بصورة مخصصة للسحابة وتم تصميمها لتلبية أكثر متطلبات الأمان صرامةً في العالم، وتتم مراقبتها على مدار الساعة للمساعدة في ضمان سرية وسلامة وتوافر بيانات العملاء لدينا. ويقوم نفس خبراء الأمان من المستوى العالمي لدينا والذين يراقبون هذه البنية التحتية كذلك ببناء مجموعة الخدمات الأمنية الإبداعية واسعة النطاق لدينا والحفاظ عليها، مما يمكن أن يساعدك على تبسيط سبل الوفاء بمتطلبات الأمان الخاصة بك والمتطلبات التنظيمية المفروضة عليك. وبصفتك أحد عملاء AWS، وبغض النظر عن حجم نشاطك أو موقعك، فإنك تستمتع بكل المزايا التي تتحقق من خلال الخبرة التي نتمتع بها، والتي تم اختبارها وفقًا لأطر العمل الأكثر صرامة الخاصة بضمان كفاءة الأطراف الخارجية.
تقوم AWS بتنفيذ الإجراءات الأمنية التقنية والمؤسسية السارية على خدمات البنية التحتية لسحابة AWS والحفاظ عليها في ظل أطر عمل وشهادات اعتماد معترف بها عالميًا لضمان الأمان، بما في ذلك IRAP، وISO 27001، وISO 27017، ISO 27018، وPCI DSS المستوى 1، وSOC 1، و2، و3. ويتم التحقق من تلك الإجراءات الأمنية التقنية والمؤسسية من خلال مسؤولي تقييم تابعين لأطراف خارجية مستقلة، وقد تم تصميمها لتحول دون الوصول غير المصرح به إلى المحتوى الخاص بالعملاء أو الكشف عنه.
على سبيل المثال، يعد معيار ISO 27018 بمثابة قانون الممارسة الدولي الأول الذي يركّز على حماية البيانات الشخصية في السحابة. وهو يعتمد على معيار أمان المعلومات الدولي ISO رقم 27002، كما أنه يوفر توجيهات تنفيذية بشأن ضوابط ISO 27002 السارية على المعلومات التي تحدد الهوية (PII) التي تتم معالجتها من خلال مقدمي الخدمات السحابية العموميين. ويبين ذلك للعملاء أن AWS لديها نظام من الضوابط يتعامل بشكل خاص مع حماية خصوصية المحتوى الخاص بهم.
وتتسق إجراءات AWS التقنية والمؤسسية الشاملة تلك مع أهداف مبادئ APP الرامية إلى حماية البيانات الشخصية. يسيطر العملاء الذين يستخدمون خدمات AWS على المحتوى الخاص بهم، وهم مسؤولون عن تنفيذ الإجراءات الأمنية الإضافية اعتمادًا على الاحتياجات المحددة الخاصة بهم، بما في ذلك تصنيف المحتوى وتشفيره وإدارة الوصول إليه وكذلك بيانات اعتماد الأمان الخاصة به.
ولا ترى شركة AWS ما يقوم العملاء بتحميله على الشبكة التابعة لها كما أنها لا تعلم به، بما في ذلك معرفة إذا ما كانت البيانات تعتبر خاضعة لقانون الخصوصية أم لا، وبالتالي تقع المسؤولية المطلقة على عاتق العملاء فيما يتعلق بالتزامهم بقانون الخصوصية واللوائح ذات الصلة. تُكمل المحتويات الموجودة في هذه الصفحة موارد خصوصية البياناتالموجودة بهدف مساعدتك على موائمة المتطلبات الخاصة بك مع نموذج المسؤولية المشتركة لدى AWS عندما تقوم بمعالجة البيانات الشخصية وتخزينها باستخدام خدمات AWS.
-
ما دور العميل في تأمين المحتويات الخاصة به؟
بموجب نموذج المسؤولية المشتركة لدى AWS، يحتفظ عملاء AWS بالسيطرة على المعايير الأمنية التي يختارون تنفيذها من أجل حماية المحتويات والأنظمة الأساسية والتطبيقات والأنظمة والشبكات الخاصة بهم، بشكل لا يختلف عما كانوا سوف يقومون بعمله فيما يتعلق بالتطبيقات السارية في مراكز البيانات الموجودة في الموقع. يمكن أن يقوم العملاء بالبناء على الإجراءات والضوابط الأمنية التقنية والمؤسسية التي توفرها AWS من أجل إدارة متطلبات الالتزام الخاصة بهم. يمكن أن يستخدم العملاء الموارد المألوفة لحماية البيانات الخاصة بهم، مثل التشفير والمصادقة متعددة العوامل، بالإضافة إلى سمات أمان AWS مثل AWS Identity and Access Management.
عند تقييم مدى أمان حل السحابة، من المهم بالنسبة للعملاء فهم ما يلي والتمييز بينه:
- الإجراءات الأمنية التي تقوم AWS بتنفيذها وتشغيلها - "أمان السحابة"، و
- الإجراءات الأمنية التي يقوم العملاء بتنفيذها وتشغيلها، والمتعلقة بأمان محتويات وتطبيقات العملاء الخاصة بهم والتي تستفيد من خدمات AWS، "الأمان في السحابة"
-
من الذي يمكنه الوصول إلى محتويات العملاء؟
يحظى العملاء بملكية محتويات العملاء الخاصة بهم ويسيطرون عليها، كما أنهم يحددون خدمات AWS التي تقوم بمعالجة محتويات العملاء الخاصة بهم وتخزينها واستضافتها. لا تتاح لشركة AWS إمكانية رؤية محتويات العملاء، كما أنه لا يتاح لها إمكانية الوصول إلى محتويات العملاء أو استخدامها إلا من أجل توفير خدمات AWS المحددة من جانب العملاء أو عندما يكون ذلك ضروريًا من أجل الالتزام بمتطلبات القانون أو الأوامر القانونية الملزمة.
يسيطر العملاء الذين يستخدمون خدمات AWS على المحتويات الخاصة بهم داخل بيئة AWS. حيث يمكنهم:
- تحديد الموقع الذي سوف تتواجد به، على سبيل المثال، نوع بيئة التخزين والموقع الجغرافي لذلك التخزين.
- السيطرة على تنسيق ذلك المحتوى، على سبيل المثال ظهوره من خلال نص بسيط أو إخفائه أو إخفاء هويته أو تشفيره، باستخدام إما آلية التشفير التي توفرها AWS أو آلية تشفير تابعة لطرف خارجي من اختيار العميل.
- إدارة الضوابط الأخرى الخاصة بإمكانية الوصول، مثل إدارة الوصول إلى الهوية وبيانات اعتماد الأمان.
- التحكم في اتخاذ قرار بشأن استخدام SSL والسحابة الخاصة الافتراضية وغير ذلك من إجراءات أمان الشبكات لمنع الوصول غير المصرح به.
ويسمح ذلك لعملاء AWS التحكم في دورة الحياة الكاملة للمحتويات الخاصة بهم على AWS بالإضافة إلى إدارة المحتويات بما يتوافق مع الاحتياجات المحددة الخاصة بهم، بما في ذلك تصنيف المحتويات والتحكم في الوصول إليها والاحتفاظ بها وحذفها.
-
أين يُخزن محتوى العميل؟
تمنحك البنية التحتية العالمية لـ AWS المرونة في اختيار الطريقة والمكان الذي تريده لتشغيل أعباء العمل، وعندما تفعل ذلك، فإنك تستخدم نفس الشبكة ومستوى التحكم وواجهة برمجة التطبيقات وخدمات AWS. إذا كنت تريد تشغيل تطبيقاتك عالميًا، يمكنك الاختيار من بين أي من مناطق AWS ومناطق توافر الخدمات. بصفتك عميلاً، فإنك تختار منطقة (مناطق) AWS التي يُخزن فيها محتوى عملائك، ما يسمح لك بنشر خدمات AWS في الموقع (المواقع) الذي تختاره، وفقًا لمتطلباتك الجغرافية المحددة. على سبيل المثال، إذا أراد أحد عملاء AWS في أستراليا تخزين بياناته في أستراليا فقط، فيمكنه اختيار نشر خدمات AWS الخاصة به حصريًا في منطقة AWS لآسيا والمحيط الهادئ (سيدني). إذا كنت ترغب في التعرف على خيارات تخزين مرنة أخرى، فراجع صفحة الويب مناطق AWS.
يمكنك تكرار محتوى عملائك ونسخه احتياطيًا في أكثر من منطقة AWS واحدة. لن ننقل أو نكرر المحتوى الخاص بك خارج منطقة (مناطق) AWS التي اخترتها بدون موافقتك، إلا في الحالات التي يتعين فيها الامتثال إلى القانون أو لأمر ملزم صادر عن هيئة حكومية. ومع ذلك، من المهم ملاحظة أن جميع خدمات AWS قد لا تكون متاحةً في جميع مناطق AWS. لمزيد من المعلومات حول الخدمات المتوفرة في كل منطقة من مناطق AWS، راجع صفحة الويب خدمات AWS الإقليمية.
-
كيف تقوم AWS بتأمين مراكز البيانات الخاصة بها؟
يتم تجميع إستراتيجية أمان مركز بيانات AWS من خلال ضوابط أمان قابلة للتكيف وطبقات دفاعية متعددة، والتي تساعد على حماية المعلومات الخاصة بك. على سبيل المثال، تقوم AWS بإدارة مخاطر الفيضانات والأنشطة الزلزالية المحتملة بكل عناية. ونحن نستخدم حواجز مادية وحراس أمن وتقنية اكتشاف المخاطر بالإضافة إلى عملية فحص متعمقة من أجل الحد من الوصول إلى مراكز البيانات. ونقوم بعمل نسخ احتياطية للأنظمة الخاصة بنا، ونقوم باختبار المعدات والعمليات بشكلٍ منتظم، ونقوم بتدريب موظفي AWS لكي يكونوا على أهبة الاستعداد لكل ما هو غير متوقع.
للتحقق من أمان مراكز البيانات الخاصة بنا، يقوم المراجعون الخارجيون بإجراء الاختبارات على ما يزيد عن 2600 من المعايير والمتطلبات طوال العام. ويساعد هذا الفحص المستقل على ضمان الوفاء بمعايير الأمان أو تجاوزها بصفة مستمرة ودائمة. ونتيجة لذلك، فإن المؤسسات الأكثر تنظيمًا في العالم تثق في AWS فيما يتعلق بحماية البيانات الخاصة بها.
تعرّف على المزيد من المعلومات حول كيفية قيامنا بتأمين مراكز بيانات AWS من خلال تصميمها عبر أخذ جولة افتراضية »
-
ما مناطق AWS التي يمكنني استخدامها؟
يمكن أن يختار العملاء استخدام أية منطقة أو كل المناطق أو أي مجموعة محددة من المناطق. تفضل بزيارة صفحة البنية التحتية العالمية لشركة AWS للاطلاع على قائمة كاملة لمناطق AWS.
-
ما إجراءات الأمان التي تطبقها AWS من أجل حماية الأنظمة؟
تم تصميم بنية سحابة AWS التحتية لتكون واحدة من أكثر بيئات الحوسبة السحابية المتاحة الحالية أمنًا ومرونة. ويسمح نطاق أمازون بتوجيه المزيد من الاستثمارات الكبيرة نحو وضع سياسات الأمان والإجراءات المضادة عما يمكن أن تتحمله أية شركة كبيرة تقريبًا بمفردها. تتألف هذه البنية التحتية من الأجهزة والبرامج والشبكات والمنشآت التي تُشغَِّل خدمات AWS، والتي توفر عناصر التحكم القوية للعملاء وشركاء APN، بما في ذلك عناصر التحكم في تكوين الأمان، من أجل التعامل مع البيانات الشخصية.
كما توفر AWS كذلك العديد من تقارير الامتثال من المدققين التابعين لأطراف خارجية الذين قاموا باختبار امتثالنا بمجموعة متنوعة من معايير ولوائح الأمان وتحققوا من ذلك، بما في ذلك ISO 27001 وISO 27017 وISO 27018. من أجل توفير الشفافية بشأن فاعلية هذه الإجراءات، فإننا نوفر الوصول إلى تقارير التدقيق الصادرة عن أطراف خارجية في AWS Artifact. تبين هذه التقارير لعملائنا وشركاء APN لدينا، والذين يمكن أن يقوموا إما بدور مراقبي البيانات أو معالجي البيانات، أننا نقوم بحماية البنية التحتية الأساسية التي يقومون بتخزين ومعالجة البيانات الشخصية عليها. للحصول على المزيد من المعلومات، قم بزيارة موارد الامتثال الخاصة بنا.
-
ماذا عن النظام الأسترالي لخروقات البيانات القابلة للإخطار (NDB)؟
تقدم AWS نوعين من الملحقات لنظام خروقات البيانات القابلة للإخطار (ANDB) للعملاء الخاضعين إلى قانون الخصوصية الأسترالي لعام 1988 (Cth) والذين يستخدمون AWS في تخزين ومعالجة المعلومات الشخصية التي يغطيها نظام NDB. تقوم ملحقات ANDB بمعالجة حاجة العملاء إلى الإخطار في حالة وجود حدث أمان يؤثر على بياناتهم. أتاحت AWS كلا النوعين من ملحقات ANDB عبر الإنترنت في شكل اتفاقيات متوفرة بنقرة في AWS Artifact (بوابة التدقيق والامتثال اللذين يواجههما العملاء والتي يمكن الوصول إليها من وحدة إدارة تحكم AWS). النوع الأول «ملحق ANDB للحسابات» لا ينطبق إلا على الحساب الفردي المحدد الذي يقبل ملحق ANDB للحسابات. يجب قبول «ملحق ANDB للحسابات» بطريقة منفصلة لكل حساب AWS يطلب أحد العملاء تغطيته. النوع الثاني «ملحق ANDB للمنظمات» بمجرد أن يقبله حساب رئيسي في AWS Organizations، ينطبق على الحساب الرئيسي وعلى جميع حسابات الأعضاء في منظمة AWS. إذا كان العميل لا يحتاج أو يرغب في الاستفادة من «ملحق ANDB للمنظمات»، فما يزال بإمكانه قبول «ملحق ANDB للحسابات» للحسابات الفردية. الأسئلة الشائعة حول ملحق ANDB للحسابات متوفرة عبر الإنترنت على الأسئلة الشائعة حول AWS Artifact.