مركز اللائحة العامة لحماية البيانات (GDPR)
الامتثال إلى اللائحة العامة لحماية البيانات (GDPR) عند استخدام خدمات AWS
تحمي اللائحة العامة لحماية البيانات (GDPR) الحق الأساسي للأفراد داخل الاتحاد الأوروبي في الخصوصية وحماية البيانات الشخصية. تتضمن اللائحة العامة لحماية البيانات (GDPR) متطلبات قويةً ترفع معايير حماية البيانات وأمانها وامتثالها وتؤلف بينها. يُرجى مراجعة الأسئلة الشائعة حول اللائحة العامة لحماية البيانات (GDPR) أدناه للحصول على مزيد من المعلومات.
يمكن لعملاء AWS استخدام جميع خدمات AWS في معالجة البيانات الشخصية (على النحو الوارد في اللائحة العامة لحماية البيانات (GDPR) التي يتم تحميلها إلى خدمات AWS ضمن حسابات AWS الخاصة بهم بيانات عملائهم) امتثالاً إلى اللائحة العامة لحماية البيانات (GDPR). بالإضافة إلى الامتثال من جانبنا، فإن AWS تلتزم بتقديم الخدمات والموارد لعملائنا لمساعدتهم في الامتثال إلى اللائحة العامة لحماية البيانات (GDPR) التي تسري على أنشطتهم. يتم إطلاق الميزات الجديدة بانتظام، وتمتلك AWS أكثر من 500 ميزة وخدمة تركز على الأمان والامتثال. لمزيد من المعلومات حول ما تفعله AWS، اقرأ مدونتنا كيف تساعد AWS عملاء الاتحاد الأوروبي على التنقل في الوضع الطبيعي الجديد لحماية البيانات.
Focuses
تحكم العملاء
يتمتع العملاء بالتحكم في بيانات عملائهم. مع AWS، يتمكن العملاء من:
- تحديد مكان تخزين بيانات عملائهم، بما يشمل نوع التخزين والمنطقة الجغرافية لذلك التخزين.
- اختيار الحالة الآمنة لبيانات عملائهم. إننا نقدم للعملاء تشفيرًا قويًا لبيانات العملاء في أثناء النقل وفي أثناء عدم النشاط، ونقدم للعملاء خيار إدارة مفاتيح التشفير الخاصة بهم.
- إدارة الوصول إلى بيانات عملائهم وإلى خدمات وموارد AWS من قِبل المستخدمين والمجموعات والأذونات وبيانات الاعتماد التي يتحكم العملاء فيها.
عمليات النقل خارج المنطقة الاقتصادية الأوروبية (EEA)
يمكن لعملاء AWS مواصلة استخدام خدمات AWS في نقل بيانات العملاء من المنطقة الاقتصادية الأوروبية إلى دول خارج المنطقة الاقتصادية الأوروبية لم تحصل على قرار كفاية من المفوضية الأوروبية (ومن هذه الدول الولايات المتحدة) امتثالاً إلى اللائحة العامة لحماية البيانات (GDPR). أهم أولوياتنا في AWS هي تأمين بيانات العملاء، ونحن نطبق تدابير فنية وتنظيمية صارمة لحماية سريتها وسلامتها وتوافرها بغض النظر عن منطقة AWS التي يختارها العميل. إننا نعلم أن الشفافية مهمة لعملائنا. إننا نذكر خدمات AWS التي تتضمن عمليات نقل لبيانات العملاء على صفحة ميزات الخصوصية على الويب.
مع تطور المشهد التنظيمي والتشريعي، نعمل دائمًا على ضمان استمرارية تمتع عملائنا بمزايا خدمات AWS أيًا كان موقع عملهم. يرجى الاطلاع على تحديث عملائنا بشأن درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة ومشاركات المدونة الخاصة بنا حول الإضافة التكميلية لملحق معالجة بيانات AWS ومدونة قواعد سلوك حماية البيانات CISPE للحصول على معلومات إضافية.
- نظرة عامة حول أساسيات اللائحة العامة لحماية البيانات (GDPR)
5
- AWS والامتثال للائحة العامة لحماية البيانات (GDPR) في أعقاب حُكم Schrems II وتوصيات المجلس الأوروبي لحماية البيانات
6
- التدابير الفنية والتنظيمية
10
- AWS واللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR)
3
- AWS وقانون حماية البيانات الفيدرالي السويسري
2
- الاتصال
1
نظرة عامة حول أساسيات اللائحة العامة لحماية البيانات (GDPR)
فتح الكل-
اللائحة العامة لحماية البيانات (GDPR) عبارة عن قانون أوروبي جديد يتعلق بالخصوصية ودخل حيز التنفيذ في 25 مايو/أيار 2018. وحلّت اللائحة العامة لحماية البيانات محل توجيه الاتحاد الأوروبي لحماية البيانات، الذي يُعرف أيضًا باسم التوجيه Directive 95/46/EC، والغرض منها هو التوفيق بين قوانين حماية البيانات في جميع أنحاء الاتحاد الأوروبي من خلال تطبيق قانون موحّد لحماية البيانات ومُلزِم لكل الدول الأعضاء.
-
تسري اللائحة العامة لحماية البيانات (GDPR) على جميع المنظمات التي أُنشئت داخل الاتحاد الأوروبي وعلى المنظمات، سواءً أُنشئت داخل الاتحاد الأوروبي أو خارجه، التي تتولى معالجة البيانات الشخصية الخاصة بالأفراد الموجودين داخل الاتحاد الأوروبي والمرتبطة إما بتوفير السلع أو الخدمات إلى أصحاب البيانات داخل الاتحاد الأوروبي أو بمراقبة السلوك الذي يقع داخل الاتحاد الأوروبي. البيانات الشخصية هي أي معلومات ذات صلة بشخص طبيعي محدد الهوية أو يمكن تحديد هويته، وتشمل الأسماء وعناوين البريد الإلكتروني وأرقام الهاتف.
-
تعمل AWS كمعالج للبيانات وكمتحكم في البيانات بموجب اللائحة العامة لحماية البيانات (GDPR).
-
البنود التعاقدية القياسية هي آلية نقل بيانات معتمدة مسبقًا بموجب اللائحة العامة لحماية البيانات (GDPR)، وهي قابلة للتطبيق في جميع الدول الأعضاء بالاتحاد الأوروبي، وتتيح النقل القانوني للبيانات الشخصية إلى دول خارج المنطقة الاقتصادية الأوروبية لم تحصل على قرار بخصوص الملاءمة من المفوضية الأوروبية (دول ثالثة).
-
تتضمن بنود خدمة AWS البنود التعاقدية القياسية التي اعتمدتها المفوضية الأوروبية (EC) في يونيو/حزيران 2021، ويؤكد ملحق معالجة البيانات في AWS (AWS DPA) أن البنود التعاقدية القياسية ستُطبق تلقائيًا عندما يستخدم عميل AWS خدمات AWS في نقل بيانات العملاء إلى دول خارج المنطقة الاقتصادية الأوروبية لم تحصل على قرار بخصوص الملاءمة من المفوضية الأوروبية (دول ثالثة). كجزء من بنود خدمة AWS، ستُطبق البنود التعاقدية القياسية تلقائيًا في أي وقت يستخدم العميل فيه خدمات AWS لنقل بيانات العملاء إلى دول ثالثة. يستطيع عملاء محددون، أولئك العملاء الذين وقَّعوا على ملحق معالجة البيانات في AWS (AWS DPA)، مواصلة الاعتماد على ملحق معالجة البيانات في AWS (AWS DPA) هذا، لأن البنود التعاقدية القياسية الجديدة المتضمنة في بنود خدمة AWS تحل محل الإصدار السابق للبنود التعاقدية القياسية. وبالتالي يمكن للعملاء أن يشعروا بالاطمئنان من أن أي بيانات تخص العملاء ينقلونها إلى بلدان ثالثة باستخدام خدمات AWS تتمتع بالمستوى العالي نفسه من الحماية المتوفرة لبيانات العملاء في المنطقة الاقتصادية الأوروبية (EEA). لمزيد من المعلومات، يُرجى الاطلاع على منشور المدونة حول تنفيذ البنود التعاقدية القياسية الجديدة.
AWS والامتثال للائحة العامة لحماية البيانات (GDPR) في أعقاب حُكم Schrems II وتوصيات المجلس الأوروبي لحماية البيانات
فتح الكل-
في 16 يوليو/حزيران 2020، أصدرت محكمة العدل التابعة للاتحاد الأوروبي (CJEU) حُكمًا بشأن نقل البيانات الشخصية الخاصة بالأفراد داخل الاتحاد الأوروبي إلى خارج المنطقة الاقتصادية الأوروبية (Schrems II). في Schrems II، أصدرت محكمة العدل التابعة للاتحاد الأوروبي (CJEU) حُكمًا مفاده أن درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة لم يعد آليةً صالحةً لنقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية إلى الولايات المتحدة. إلا أنه في نفس الحُكم، أكدت محكمة العدل التابعة للاتحاد الأوروبي (CJEU) أنه يمكن للشركات (مع مراعاة تنفيذ التدابير التكميلية، إذا لزم الأمر) الاستمرار في استخدام البنود التعاقدية القياسية كآلية صالحة لنقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية. قدم المجلس الأوروبي لحماية البيانات (EDPB)، وهو هيئة أوروبية مكونة من ممثلين عن الهيئات الوطنية الخاصة بحماية البيانات، منذ ذلك الحين قائمةً غير شاملة بالتدابير التكميلية في "توصياته الصادرة 01/2020 بشأن التدابير التي تتمم أدوات النقل لضمان الامتثال إلى مستوى الاتحاد الأوروبي في حماية البيانات الشخصية " (توصيات المجلس الأوروبي لحماية البيانات (EDPB)).
-
نعم، يستطيع عملاء AWS مواصلة استخدام خدمات AWS في نقل بيانات العملاء من أوروبا إلى بلدان خارج المنطقة الاقتصادية الأوروبية لم تحصل على قرار كفاية من المفوضية الأوروبية. أَقرّ الحُكم Schrems II بصحة استخدام البنود التعاقدية القياسية (SCC) كآلية لنقل بيانات العملاء خارج المنطقة الاقتصادية الأوروبية ويمكن لعملاء AWS الاستمرار في الاعتماد على البنود التعاقدية القياسية (SCC) في نقل بيانات العملاء خارج المنطقة الاقتصادية الأوروبية بما يتوافق مع اللائحة العامة لحماية البيانات (GDPR).
-
نعم، تستخدم AWS ثلاثة أنواع من المعالجات الفرعية: (1) كيانات AWS التي توفر البنية الأساسية التي تعمل عليها خدمات AWS؛ و(2) كيانات AWS التي تدعم خدمات AWS معينة التي قد تتطلب من هذه الكيانات معالجة بيانات العملاء؛ و(3) الأطراف الخارجية التي تعاقدت معها AWS لتقديم أنشطة المعالجة لخدمات AWS معيّنة. تقدم صفحة المعالجات الفرعية في AWS على الويب مزيدًا من المعلومات حول المعالجات الفرعية التي تستخدمها AWS وفقًا لملحق معالجة البيانات في AWS (AWS DPA) لتوفير أنشطة المعالجة على بيانات العملاء نيابةً عن العملاء. تعتمد المعالجات الفرعية ذات الصلة بالعميل الفردي على منطقة AWS التي يختارها العميل وخدمات AWS المعينة التي يستخدمها العميل.
-
يوفر مستند AWS الفني، استكشاف الامتثال لمتطلبات نقل البيانات في الاتحاد الأوروبي، معلومات عن الخدمات والموارد التي توفّرها AWS للعملاء لمساعدتهم في إجراء تقييمات نقل البيانات في ضوء حكم Schrems II، والتوصيات اللاحقة من مجلس حماية البيانات الأوروبي. يصف المستند الفني أيضًا التدابير التكميلية الرئيسية التي تم اتخاذها وإتاحتها بواسطة AWS لحماية بيانات العملاء.
-
تقدم AWS معلومات مفيدةً للعملاء، منها العديد من تقارير الامتثال المقدمة من مدققين تابعين إلى جهات خارجية، قاموا بالتحقق من امتثالنا لمجموعة متنوعة من المعايير واللوائح الخاصة بالأمان، لإثبات المستويات العالية من الامتثال الذي تحافظ عليه AWS فيما يتعلق ببنيتها الأساسية. إذ تُظهر هذه التقارير لعملائنا، أننا نحمي بيانات عملائهم التي اختاروا معالجتها على AWS. من الأمثلة على هذا امتثال AWS لـ ISO 27001، و27017، و27018. حيث يحتوي ISO 27018 على ضوابط أمان تركز على حماية بيانات العملاء.
نعم. يشمل السجل العام لمدونة قواعد سلوك حماية البيانات الخاصة بمقدمي خدمات البنية التحتية السحابية في أوروبا (CISPE) قائمة بخدمات AWS التي تلتزم بهذه المدونة. CISPE هو ائتلاف من قادة الحوسبة السحابية يخدم ملايين العملاء الأوروبيين. مدوّنة قواعد سلوك CISPE المتعلقة بحماية البيانات (مدونة CISPE)؛ وهي أول مدونة قواعد سلوك لحماية البيانات لعموم أوروبا تركز على مقدمي خدمات البنية التحتية السحابية. تمت الموافقة على قانون CISPE من قبل المجلس الأوروبي لحماية البيانات، نيابةً عن سلطات حماية البيانات الـ 27 في جميع أنحاء أوروبا، وتم اعتماده رسميًا من قبل هيئة حماية البيانات الفرنسية (CNIL)، التي تعمل كسلطة إشرافية رائدة. عام 2017 أعلنت AWS امتثالها مع النسخ السابقة من مدونة CISPE.
التدابير الفنية والتنظيمية
فتح الكل-
اللائحة العامة لحماية البيانات (GDPR) لا تغيّر من نموذج المسؤولية المشتركة الذي تتّبعه AWS، وسيظل ساريًا للعملاء. نموذج المسؤولية المشتركة هو نهج مفيد لتوضيح مسؤوليات AWS المختلفة (كمعالج بيانات أو معالج فرعي) والعملاء (كمتحكمين في البيانات أو معالجي بيانات) بموجب اللائحة العامة لحماية البيانات (GDPR).
-
نعم، يمكنك البحث عن "اللائحة العامة لحماية البيانات (GDPR)" في باحث حلول شركاء AWS للمساعدة في العثور على بائعي البرمجيات المستقلين (ISVs) ومقدمي الخدمات المدارة (MSPs) وشركاء جهات تكامل الأنظمة (SI) الذين لديهم منتجات وخدمات للمساعدة في الامتثال إلى اللائحة العامة لحماية البيانات (GDPR). يمكن للعملاء أيضًا البحث عن حلول "اللائحة العامة لحماية البيانات (GDPR)" في AWS Marketplace.
-
نعم، يضطلع فريق ضمان الأمان في AWS ببعض الأنشطة التي تساعد العملاء في رحلتهم نحو الامتثال إلى اللائحة العامة لحماية البيانات (GDPR). إن هذا الفريق الذي يضم محترفي امتثال معتمدين في الصناعة يساعد العملاء على تحقيق وصيانة وأتمتة الامتثال في السحابة عن طريق الجمع بين معايير الامتثال المعمول بها وبين بعض ميزات ووظائف خدمة AWS. يمكن العثور على مزيد من التفاصيل حول كيفية مساعدة مستشاري خدمات AWS الاحترافية للعملاء هنا.
-
يستخدم العملاء AWS Support لتلقي التوجيه الفني لمساعدتهم في طريقهم نحو الامتثال إلى اللائحة العامة لحماية البيانات (GDPR). وكجزء من هذا النشاط، لدينا فِرق من مهندسي الدعم السحابي ومديري الحسابات الفنيين (TAMs) الذين تم تدريبهم للمساعدة في تحديد مخاطر الامتثال والتخفيف منها. يعتمد مستوى الدعم الذي تقدمه AWS على خطة دعم AWS التي يختارها العملاء. إن العملاء الذين يسعون إلى فهم كيف يستطيع الدعم المتميز من AWS مساعدتهم في العثور على مزيد من المعلومات في مركز دعم AWS، المتاح من خلال وحدة إدارة تحكم AWS، من خلال استخدام تفاصيل جهة الاتصال المحددة في اتفاقية دعم المؤسسات المبرمة مع AWS، أو من خلال زيارة صفحة دعم AWS على الويب. ويجب على العملاء المشتركين في دعم المؤسسات التواصل مع مدير الحساب الفني (TAM) لطرح الأسئلة المتعلقة باللائحة العامة لحماية البيانات (GDPR).
-
تمتلك AWS إجراءات تختص بمراقبة حوادث الأمان وبإشعارات انتهاك البيانات وتقوم بإخطار العملاء بانتهاكات أمان AWS بدون أي تأخير غير مبرر ووفقًا لملحق معالجة البيانات في AWS (AWS DPA). وتمنح AWS أيضًا العملاء عددًا من الأدوات لفهم من يمكنه الوصول إلى مواردهم، وتوقيت وصوله، ومكان وصوله. ومن بين هذه الأدوات AWS CloudTrail التي تتيح حوكمة حساب AWS وامتثاله والتدقيق التشغيلي له وتدقيق مخاطره. ومع AWS CloudTrail، يمكن للعملاء تسجيل نشاط الحساب فيما يتعلق بالإجراءات عبر البنية التحتية لخدمات AWS لديهم ومراقبته على نحو مستمر والإبقاء على المعلومات حياله. وهذا يساعد الشركات على استيعاب ما يحدث مع بنية AWS، ويتيح لها اتخاذ إجراء بشأن أي نشاط غير عادي على الفور. لمزيد من المعلومات حول أدوات الأمان الأخرى التي توفرها AWS للعملاء للمساعدة في الوفاء بالتزاماتهم كمتحكمين في البيانات بموجب اللائحة العامة لحماية البيانات (GDPR)، تفضل بزيارة صفحة أمان سحابة AWS على الويب.
-
تمنح AWS العملاء وشركاء APN عددًا من الأدوات لتأمين بيانات عملائهم والمساعدة في الحماية من الهجمات الإلكترونية. إحدى هذه الأدوات هي AWS Shield. حيث إنها خدمة حماية مُدارة من الرفض المُوزَّع للخدمة (DDoS)، وهي خدمة تحمي مواقع الويب والتطبيقات التي تعمل على AWS. كما يتوفر المستوى القياسي من AWS Shield Standard بدون أي رسوم إضافية، حيث يوفر اكتشافًا دائمًا وعمليات تخفيف مضمنة تلقائية يمكنها تقليل وقت تعطل التطبيق وزمن الوصول. أما بالنسبة إلى المستويات الأعلى من الحماية ضد الهجمات التي تستهدف تطبيقات الويب التي تعمل على AWS وتستخدم موارد ELB، وAmazon CloudFront، وAmazon Route 53، يمكن للعملاء وشركاء APN الاشتراك في المستوى المتقدم من AWS Shield Advanced. تنشر AWS أيضًا وتحدِّث على نحو روتيني المستند أفضل ممارسات AWS فيما يتعلق بمرونة مواجهة هجمات الرفض المُوزَّع للخدمة (DDoS) الذي يساعد العملاء في استخدام AWS في بناء تطبيقات مرنة لهجمات الرفض المُوزَّع للخدمة (DDoS).
-
Amazon Macie هي خدمة خصوصية وأمان للبيانات مدارة بالكامل تستخدم تعلم الآلة ومطابقة الأنماط لاكتشاف بياناتك الشخصية في AWS وحمايتها. ونظرًا إلى أن المؤسسات تدير كميات متزايدة من البيانات، يمكن أن تصبح إجراءات التعرف على بياناتها الشخصية وحمايتها على نطاق واسع معقدة وباهظة الثمن ومضيعة للوقت بصورة متزايدة. تقوم خدمة Amazon Macie بأتمتة اكتشاف البيانات الشخصية على نطاق واسع وتعمل على خفض تكلفة توفير الحماية لبياناتك. وتوفر خدمة Macie حصرًا تلقائيًا لحاويات Amazon S3، بما في ذلك قائمة الحاويات غير المشفرة، والحاويات التي يمكن للجمهور العام الوصول إليها، والحاويات التي تتم مشاركتها مع حسابات AWS بخلاف تلك الحسابات التي اخترتها في AWS Organizations. وبعد ذلك، تطبق خدمة Macie تقنية تعلم الآلة وتقنية مطابقة الأنماط على الحاويات التي تحددها ليتم التعرف على البيانات الشخصية وتنبيهك بها.
- يُقصد بالأمان الافتراضي أن خدمات AWS مصممة لتكون آمنة بشكل افتراضي. وإذا تم استخدام التكوين الافتراضي، فسيتم تأمين الوصول إلى الموارد لمالك الحساب والمسؤول الأساسي فقط.
- تمكّنك إدارة الهوية والوصول في AWS (IAM) العملاء من إدارة الوصول إلى خدمات وموارد AWS بشكل آمن. باستخدام IAM، يمكن للمؤسسات إنشاء مستخدمين ومجموعات في AWS وإدارتها، واستخدام الأذونات للسماح بالوصول إلى موارد AWS ورفضها. IAM هي ميزة في حسابات AWS بدون أي رسوم إضافية.
- تضيف المصادقة متعددة العوامل في AWS طبقةً إضافيةً من الحماية أعلى اسم المستخدم وكلمة المرور الخاصة بحساب AWS. وتوفر AWS للعملاء خيار أجهزة MFA الافتراضية وللآلات.
- تسمح خدمة AWS Directory Service للعملاء بدمج أدلة الشركات وتوحيدها لتقليل النفقات الإدارية وتحسين تجربة المستخدم النهائي.
- تسمح AWS Config للعملاء بتمكين القواعد المعدة مسبقًا والتي تساعد على ضمان أن موارد AWS الخاصة بهم في حالة مكوَّنة ومتوافقة على نحو صحيح.
- تسمح AWS CloudTrail للعملاء بتسجيل المعلومات المتعلقة بنشاط الحساب فيما يتعلق بالإجراءات عبر بنية AWS الخاصة بهم ومراقبة هذه المعلومات باستمرار والإبقاء عليها، ما يسهل عملية تحليل الأمان وتتبع تغيير الموارد واستكشاف الأخطاء وإصلاحها (يتم تمكين AWS CloudTrail على جميع حسابات AWS افتراضيًا).
- تستخدم Amazon Macie تعلم الآلة لمساعدة العملاء في تفادي فقد البيانات من خلال اكتشاف البيانات الحساسة في AWS وتصنيفها وحمايتها تلقائيًا. وتقوم هذه الخدمة المُدارة بالكامل بمراقبة نشاط الوصول إلى البيانات باستمرار لكشف أوجه الخلل، وتنشئ تنبيهات تفصيلية عند اكتشاف خطر وصول غير مصرح به أو تسريب غير مقصود في البيانات، مثل البيانات الحساسة التي جعلها العميل قابلة للوصول إليها خارجيًا عن طريق الخطأ.
لمساعدة العملاء في الامتثال إلى اللائحة العامة لحماية البيانات (GDPR)، تمتلك AWS عددًا من الأدوات للتحكم في صلاحية الوصول إلى البيانات الشخصية المضمنة في محتواها على AWS. تتضمن هذه الأدوات:
- إمكانات تشفير البيانات المتوفرة في خدمات التخزين وقواعد البيانات المقدمة من AWS، مثل Amazon Elastic Block Store، وAmazon S3، وAmazon Glacier، وAmazon DynamoDB، وOracle RDS، وSQL Server RDS، وRedshift
- خيارات مرنة لإدارة المفاتيح، تتضمن خدمة إدارة المفاتيح من AWS، ما يسمح باختيار إما امتلاك إدارة AWS لمفاتيح التشفير أو تمكين التحكم الكامل في المفاتيح
- قوائم انتظار الرسائل المشفرة لنقل البيانات الحساسة باستخدام التشفير من جانب الخادم (SSE) لخدمة Amazon SQS
- تخزين المفاتيح القائم على الأجهزة للتوافق التنظيمي المخصص باستخدام AWS CloudHSM، ما يتيح تلبية متطلبات التوافق
توفر AWS للعملاء وشركاء APN إمكانية إضافة طبقة أمان إضافية إلى بيانات عملائهم في حالة عدم نشاطها في السحابة ومساعدتهم على الوفاء بالتزامات الأمان الخاصة بالمعالجة بصفتهم متحكمين في البيانات بموجب اللائحة العامة لحماية البيانات (GDPR). تشمل أدوات التشفير المتاحة في AWS ما يلي:
بالإضافة إلى ذلك، توفر AWS واجهات برمجة تطبيقات للعملاء وشركاء APN لدمج التشفير وحماية البيانات مع أي من الخدمات التي يقومون بتطويرها أو نشرها في بيئة AWS.
- المصادقة متعددة العوامل (MFA)
- الوصول بمستويات تفصيلية إلى العناصر الموجودة في حاويات Amazon S3/ Amazon SQS/ Amazon SNS وغيرها
- مصادقة طلبات واجهة برمجة التطبيقات
- القيود الجغرافية
- رموز الوصول المؤقت المميزة من خلال خدمة الرموز الأمنية من AWS
- إدارة الأصول وتكوينها من خلال AWS Config
- تدقيق الامتثال وتحليلات الأمان من خلال AWS CloudTrail
- تحديد تحديات التكوين من خلال AWS Trusted Advisor
- تسجيل مفصل ودقيق للوصول إلى عناصر Amazon S3
- معلومات تفصيلية حول التدفقات في الشبكة من خلال سجلات تدفق Amazon VPC
- فحوصات وإجراءات التكوين المستندة إلى القواعد من خلال قواعد AWS Config
- تصفية ومراقبة وصول HTTP للتطبيقات من خلال وظائف AWS WAF في AWS CloudFront
- تشفير البيانات في وقت عدم النشاط من خلال AES256 (EBS/S3/Glacier/RDS)
- خدمة إدارة مفاتيح مُدارة مركزيًا (حسب منطقة AWS)
- الاتصالات النفقية IPsec إلى AWS من خلال بوابات VPN
- وحدات HSM مخصصة في السحابة من خلال AWS CloudHSM
- ISO 27001 للتدابير الفنية
- ISO 27017 لأمان السحابة
- ISO 27018 لخصوصية السحابة
- SOC 1 وSOC 2 وSOC 3، PCI DSS المستوى 1،
- ودليل الضوابط الشائعة للحوسبة السحابية (C5) الخاص بالهيئة البريطانية الوطنية (BSI)
- ENS High
توفّر AWS ميزات وخدمات محددة تساعد العملاء على الوفاء بمتطلبات اللائحة العامة لحماية البيانات (GDPR):
التحكم في الوصول: عدم السماح إلا للمسؤولين والمستخدمين المصرح لهم والتطبيقات المصرّح بها للوصول إلى موارد AWS
المراقبة والتسجيل: يمكنك الحصول على نظرة عامة عن الأنشطة الموجودة على موارد AWS
التشفير::تشفير البيانات على AWS
إطار الامتثال القوي ومعايير الأمان: إننا نؤكد على امتثالنا للمعايير الدولية الصارمة، مثل:
AWS واللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR)
فتح الكل-
اللائحة العامة لحماية البيانات (GDPR) هي لائحة خاصة بالاتحاد الأوروبي، وبعد البريكست لم تعد هذه اللائحة ساريةً بالمملكة المتحدة. قامت حكومة المملكة المتحدة بتضمين متطلبات اللائحة العامة لحماية البيانات (GDPR) في قانون المملكة المتحدة تحت اسم UK GDPR (اللائحة العامة لحماية البيانات بالمملكة المتحدة).
-
تقدم AWS ملحقًا للائحة العامة لحماية البيانات بالمملكة المتحدة متوافقًا مع اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) إلى ملحق معالجة البيانات في AWS (AWS DPA) الذي يتضمن التزامات AWS كمعالج بيانات يخضع للائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR). يعد ملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) جزءًا من بنود خدمة AWS ويُطبق تلقائيًا على جميع العملاء الذي يطلبون أن تكون اتفاقية معالجة البيانات متوافقةً مع ملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR).
يتضمن ملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR)، الذي هو جزء من بنود خدمة AWS، البنود التعاقدية القياسية (SCCs) التي اعتمدتها المفوضية الأوروبية (EC) والملحق الدولي لنقل البيانات (IDTA) الصادر عن الجهة المنظمة لحماية البيانات بالمملكة المتحدة (مكتب مفوضي المعلومات). يُجري الملحق الدولي لنقل البيانات (IDTA) تعديلات على البنود التعاقدية القياسية (SCCs) لضمان أنها تشكل حمايةً مناسبةً بموجب اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) فيما يتعلق بعمليات نقل البيانات الدولية إلى دول خارج المملكة المتحدة لم يتم الاعتراف بها على أنها توفر مستوىً كافيًا من الحماية للبيانات الشخصية (دول المملكة المتحدة الثلاث). يؤكد ملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) على تطبيق البنود التعاقدية القياسية (SCCs) (بصيغتها المعدلة من قِبل الملحق الدولي لنقل البيانات (IDTA)) تلقائيًا عندما يستخدم أحد العملاء خدمات AWS في نقل بيانات العملاء الخاضعة لملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) (بيانات العملاء بالمملكة المتحدة) إلى دول المملكة المتحدة الثلاث. كجزء من ملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) في بنود خدمة AWS، ستُطبق البنود التعاقدية القياسية (SCCs) (بصيغتها المعدلة من قِبل الملحق الدولي لنقل البيانات (IDTA)) تلقائيًا في أي وقت يستخدم فيه أحد العملاء خدمات AWS في نقل بيانات العملاء بالمملكة المتحدة إلى دول المملكة المتحدة الثلاث
AWS وقانون حماية البيانات الفيدرالي السويسري
فتح الكل-
تقدم AWS ملحقًا سويسريًا إلى ملحق معالجة بيانات AWS ("الملحق السويسري") الذي يتضمن التزامات AWS كمعالج بيانات بموجب قانون حماية البيانات الفيدرالي السويسري ("FDPA"). يُعد الملحق السويسري جزءًا من شروط خدمة AWS (انظر القسم 1.14.4) ويُطبق تلقائيًا عندما يُطبق قانون حماية البيانات الفيدرالي السويسري (FDPA) على استخدام العميل لخدمات AWS لمعالجة بيانات العميل.
-
الملحق السويسرية المُضاف إلى ملحق معالجة بيانات AWS، والذي يُعد جزءًا من شروط خدمة AWS (انظر القسم 1.14.4)، يتضمن البنود التعاقدية القياسية ("SCCs") التي اعتمدتها المفوضية الأوروبية وتم تعديلها وفقًا لما يقتضيه المفوض الفيدرالي السويسري لحماية البيانات والمعلومات. يُؤكد الملحق السويسرية أن البنود التعاقدية القياسية (بصيغتها المعدلة بموجب الملحق السويسري) سيتم تطبيقها تلقائيًا عندما يستخدم العميل خدمات AWS لنقل بيانات العميل الخاضعة لقانون FDPA إلى بلدان ثالثة.
الاتصال
فتح الكل-
ونوصي أيضًا العملاء الذين لديهم أسئلة تتعلق باللائحة العامة لحماية البيانات (GDPR) الاتصال بمدير حساب AWS الخاص بهم أولاً. وإذا اشترك العملاء في دعم المؤسسات، فيمكنهم أيضًا التواصل مع مدير الحساب الفني (TAM). إذ يعمل مديرو الحساب المتخصصون (TAM) مع مصممي الحلول لمساعدة العملاء على تحديد المخاطر المحتملة وعمليات التخفيف المحتملة. ويمكن أيضًا لفرق مديري الحساب المتخصصين وفرق الحسابات توجيه العملاء وشركاء APN بموارد محددة بناءً على بيئتهم واحتياجاتهم.
