巴西数据隐私
概览
巴西通用数据保护法(“LGPD”)是巴西针对个人数据保护的主要法规。LGPD 适用于由公共或私人部门的个人或法人执行的个人数据(定义为与已标识或可标识的自然人有关的信息)处理,与处理的方式或控制者或数据所处的国家/地区无关,前提是:1)处理是在巴西境内进行;2)处理旨在提供或供应商品或服务,或旨在处理位于巴西境内的个人数据;或 3)个人数据是在巴西境内收集的。
LGPD 确立了个人数据处理的原则和规则。组织必须能够证明已采取可证明遵守个人数据保护规则的措施,包括这些措施的有效性,因此有必要制定和强制执行适用于个人数据处理的合规政策。
根据 LGPD,控制者和处理者(由 LGPD 定义)必须采取技术和行政措施,以此保护个人数据免遭未经授权的访问以及意外或非法破坏、丢失、更改、通信或任何形式的不当或非法行为 处理。此外,LGPD 授权巴西国家数据保护局(“ANPD”)建立供控制者和处理者实施的最低技术标准。
AWS 对您的隐私和数据安全保持警惕。AWS 的安全性始于我们的核心基础设施。我们的基础设施针对云定制,旨在满足全球最严格的安全要求,处于全天候监控之下,从而确保客户数据的机密性、完整性和可用性。世界级安全专家不但监控此基础设施,还构建并维护我们丰富多样的创新安全服务,这些服务可以帮助您简化满足自己的安全和法规要求。作为 AWS 客户,无论您的规模或位置如何,都能继承我们经验的所有优势,这些优势已经过最严格的第三方保证框架的测试。
根据全球公认的安全保障框架和认证,包括 ISO 27001、ISO 27017、ISO 27018、PCI DSS Level 1 和 SOC 1、2 和 3,AWS 实施并维护适用于 AWS 云基础设施服务的技术和组织安全措施。这些技术和组织安全措施由独立的第三方评估机构验证,旨在防止未经授权访问或泄露客户内容。
例如,ISO 27018 是首个专注于云中个人数据保护的国际行为准则。它基于 ISO 信息安全标准 27002,并针对 ISO 27002 控制体系提供了实施指南,该体系适用于由公有云服务提供商处理的个人可识别信息 (PII)。这向客户表明,AWS 具有适当的控制体系来专门处理其内容的隐私保护。
这些全面的 AWS 技术和组织措施与 LGPD 的目标一致,都是为了保护个人数据。使用 AWS 服务的客户可以保持对其内容的控制,并负责根据其特定需求实施额外的安全措施,包括内容分类、加密、访问管理和安全凭据。
由于 AWS 不了解或不知道客户上传到其网络上的内容,包括数据是否被视为受 LGPD 保护,客户最终要对自己遵守 LGPD 和相关法规的情况负责。本页内容补充了现有的数据隐私资源,有助于您在使用 AWS 服务存储和处理个人数据时,确保您的要求符合 AWS 责任共担模式。
-
什么是 LGPD?
巴西通用数据保护法(“LGPD”)是巴西针对个人数据保护的主要法规,自 2020 年 9 月 18 日起生效。
-
LGPD 适用于哪些组织?
LGPD 适用于所有处理个人数据,以向在巴西的人提供商品或服务的组织(无论是否位于巴西)。LGPD 还适用于收集或处理个人数据的巴西组织。个人数据指的是与已确定或可确定的自然人相关的所有信息。
-
AWS 服务是否符合 LGPD 的规定?
我们可以确认,根据 LGPD 可以使用所有 AWS 服务。这意味着,除了受益于 AWS 为维护服务安全而采取的所有措施之外,客户还可以将 AWS 服务作为其 LGPD 合规计划的关键部分进行部署。有关更多信息,请参见我们的白皮书 — 浏览 AWS 上的 LGPD 合规性。
-
个人数据主体可在何处找到有关行使 LGPD 权利的信息?
2020 年 8 月 14 日,我们更新了我们的隐私通知,以解释根据 LGPD 的要求我们作为数据控制商的政策,包括数据主体如何依法行使他们的权利。
-
AWS 是否设有隐私中心,其中全面描述了 AWS 的隐私立场和提供给客户的权利?
-
AWS 是否符合拉丁美洲其他国家/地区的数据保护法规?
AWS 不断维护我们所有全球业务之间的高标准安全性和合规性。我们为 GDPR 和 LGPD 提供的保护也适用于世界各地的客户,并且我们的客户可以使用这些保护来确保与当地数据保护法律的合规性。
-
客户在保护其内容方面扮演着什么角色?
在 AWS 责任共担模型下,AWS 客户可以控制选择实施哪种安全措施来保护自己的内容、平台、应用程序、系统和网络,如同保护现场数据中心内的应用程序一样。LGPD 不会改变 AWS 的责任共担模式,该模式仍然与专注于使用云计算服务的客户和 APN 合作伙伴相关。共担责任模式是一种阐明 AWS(作为数据处理者或从处理者)以及客户或 APN 合作伙伴(作为数据控制者或数据处理者)在 LGPD 下的不同责任的有效途径。在共担责任模式下,AWS 负责保护支持云的底层基础设施,而作为数据控制者或数据处理者的客户和 APN 合作伙伴则负责保护其放入云中的任何个人数据。客户可以基于 AWS 提供的技术和组织安全措施以及控制措施管理自己的合规性要求。除了 AWS Identity and Access Management 等 AWS 安全功能之外,客户还可以使用熟悉的措施来保护自己的数据,例如加密和多因素身份验证。
评估云解决方案的安全性时,客户需要理解和区分:
- AWS 实施和操作的安全措施 -“云的安全性”,以及
- 客户实施和操作的安全措施,与他们使用 AWS 服务的客户内容和应用程序的安全相关 -“云中的安全性”
如需更多关于客户能够采取的额外措施的信息以及 AWS 提供的解决方案,请参阅 AWS 安全学习网页。
-
谁有权访问客户内容?
客户保留对其客户内容的所有权和控制,并且可以选择处理、存储和托管其客户内容的 AWS 服务。AWS 无法看到客户内容,也无法访问或使用客户内容,除非提供由客户选择的 AWS 服务,或者在需要遵守法律或有约束力的法律命令的情况下才可以。
使用 AWS 服务的客户在 AWS 环境中保持对其内容的控制。他们可以:
- 确定内容的存储位置,例如存储环境的类型和存储的地理位置。
- 使用 AWS 提供的加密或客户选择的第三方加密机制来控制内容的格式,例如纯文本、掩码、匿名或加密。
- 管理其他访问控制措施,例如身份和访问管理及安全凭证。
- 控制是否使用 SSL、Virtual Private Cloud 等网络安全措施,防止未授权访问。
这允许 AWS 客户控制其内容在 AWS 上的整个生命周期,并根据他们自己的特定需求管理其内容,包括内容分类、访问控制、保留和删除。
-
客户内容将存储在什么位置?
AWS 数据中心建立在遍布世界各地的集群中。我们将指定位置的每个数据中心集群称为“区域”。
AWS 客户选择要存储其内容的 AWS 区域。这使得要求特定地理位置的客户可在他们选择的位置建立环境。
客户可以在多个地区复制和备份内容,但是 AWS 不会将客户的内容移出其选择的地区,除非按客户要求提供服务或遵守适用的法律。
-
AWS 如何保护其数据中心的安全?
AWS 数据中心安全策略由可扩展的安全控制和多层防御组成,有助于保护您的信息。例如,AWS 小心地管理潜在的洪水和地震活动风险。我们使用物理屏障、安全警卫、威胁检测技术和深度筛选流程来限制对数据中心的访问。我们备份我们的系统,定期测试设备和流程,并持续培训 AWS 员工为意外做好准备。
为了验证我们数据中心的安全性,外部审核机构全年对 2600 多项标准和要求进行测试。这种独立检查有助于确保始终符合或高于安全标准。因此,世界上监管最严格的组织信任 AWS 来保护他们的数据。
如需详细了解我们如何通过设计保护 AWS 数据中心,请通过虚拟方式参观 AWS 数据中心。
-
我可以使用哪些 AWS 区域?
客户可以选择使用任意一个区域、所有区域或区域的任意组合。有关 AWS 区域的完整列表,请访问 AWS 全球基础设施页面。
-
AWS 设置了哪些安全措施来保护系统?
AWS 云基础设施旨在成为当今市场上最灵活、最安全的云计算环境之一。Amazon 的规模庞大,因此在安全管理和对策方面的投入远远高于任何其他大型企业有能力自行承担的投入。我们的基础设施由运行 AWS 服务的硬件、软件、网络和设施组成,可以针对个人数据的处理为客户和 APN 合作伙伴提供强大的控制,其中包括安全配置控制。要详细了解 AWS 为了始终保持高安全性而采取的措施,请参阅AWS 安全流程概览白皮书。
AWS 还可以提供由第三方审核机构出具的多种合规性报告,这些审核机构已经测试并审核过我们是否符合各种安全标准和法规(包括 ISO 27001、ISO 27017 和 ISO 27018)。为了使这些措施的效果透明化,我们提供了在 AWS Artifact 中访问第三方审核报告的权限。无论自己是数据控制者还是数据处理者,客户和 APN 合作伙伴都可以从此类报告中看出,我们在保护他们用于存储和处理个人数据的底层基础设施。有关更多信息,请访问我们的合规性资源。
-
AWS 针对 LGPD 做了哪些准备?
AWS 合规性、数据保护和安全性专家正在与客户协作,解答他们的问题并帮助他们为在 AWS 云中运行工作负载做准备。这些团队还审核了 AWS 服务对满足 LGPD 要求的就绪情况。此外,我们还为客户提供了一份满足 LGPD 要求的数据处理协议。
AWS 不断维护我们所有全球业务之间的高标准安全性和合规性。安全性始终是我们最优先考虑的事项 – 安全是“1”,其他都是“0”。 我们行业领先的安全性是我们获得很多国际认可的认证和资格鉴定的基础,这可证实我们符合严格的国际标准,如适用于云安全性的 ISO 27017、适用于云隐私的 ISO 27018、SOC 1、SOC 2 和 SOC 3、PCI DSS 第 1 级、NIST FIPS 140-2、C5 以及其他标准。客户和 APN 合作伙伴可以通过 AWS 管理控制台查看各种第三方审核报告,以便充分了解这些措施的效果。无论自己是数据控制者还是数据处理者,客户和 APN 合作伙伴都可以从此类报告中看出,我们在保护他们用于存储和处理个人数据的底层基础设施。有关更多信息,请访问我们的合规性网页。
-
AWS 在帮助客户遵守 LGPD 方面会向其提供什么服务?
AWS 已提供特定的功能和服务,它们将有助于客户符合 LGPD 要求:
数据访问控制:只允许授权的管理员、用户和应用程序访问 AWS 资源。
- Multi-Factor-Authentication (MFA)
- 对 Amazon S3 存储桶/Amazon SQS/Amazon SNS 等中的对象的细粒度访问
- API 请求验证
- 地理限制
- 通过 AWS Security Token Service 获取的临时访问令牌
监控和日志记录:获取 AWS 资源相关活动的概况。
- 通过 AWS Config 执行资产管理和配置
- 通过 AWS CloudTrail 执行合规性审核和安全性分析
- 通过 AWS Trusted Advisor 确定配置方面存在的挑战
- 细粒度记录对 Amazon S3 对象的访问
- 通过 Amazon VPC 流日志获取网络中流量的详细信息
- 通过 AWS Config 规则执行基于规则的配置检查和操作
- 通过 AWS CloudFront 中的 WAF 功能筛选和监控对应用程序的 HTTP 访问
加密:在 AWS 上加密数据。
- 使用 AES256 (EBS/S3/Glacier/RDS) 对闲置的数据加密
- 集中化托管密钥管理 (按 AWS 地区)
- IPsec 通过 VPN 网关进入 AWS
- 通过 AWS CloudHSM 在云中使用专用 HSM 模块
-
AWS 如何帮助数据控制者履行 LGPD 所规定的数据违约通知义务?
AWS 为客户和 APN 合作伙伴提供了多种工具,用于了解谁在什么时候从哪里访问了自己的资源。AWS CloudTrail 就是其中一种工具,让用户可以对 AWS 账户进行管理审核、合规性审核、操作审核和风险审核。借助 CloudTrail,客户可以针对与整个 AWS 基础设施中的操作相关的账户活动进行日志记录、持续监控并保留相关信息。这可以帮助组织了解自己的 AWS 基础设施的状态,并在出现任何异常活动时立即采取措施。要详细了解 AWS CloudTrail 以及 AWS 为客户提供哪些其他安全工具来帮助其履行其在 LGPD 下作为数据控制者的义务,请访问我们的安全网页。
-
AWS 怎样帮助我保护数据免受网络攻击?
AWS 为客户和 APN 合作伙伴提供了多种工具,用于保护数据并防范网络攻击。AWS Shield 就是一种这样的工具。AWS Shield 是一种托管的分布式拒绝服务 (DDoS) 攻击防护服务,可以保护 AWS 上运行的网站和应用程序。AWS Shield Standard 不额外收取费用,支持持续检测和自动内联缓解功能,可以最大限度地缩短应用程序停机时间和延迟。要针对以在 AWS 上运行并使用 ELB、Amazon CloudFront 和 Amazon Route 53 资源的 Web 应用程序为目标的攻击实现更高级别的防护,客户和 APN 合作伙伴可以购买 AWS Shield Advanced。
-
客户要求删除时,AWS 怎样处理?
AWS 服务允许客户通过 AWS 管理控制台、API 和其他输入方式按需删除内容。有关具体服务功能的更多信息,请参阅我们的文档。
-
如果我有关于 LGPD 和 AWS 的问题,应该联系谁?
除了我们的数据隐私页面和我们的隐私通知,我们建议在数据保护或者 AWS 和 LGPD 方面有问题的客户和 APN 合作伙伴先联系自己的 AWS 客户经理。注册了企业支持的客户也可以联系自己的技术客户经理 (TAM)。TAM 会与解决方案架构师合作,帮助客户确定潜在的风险和可能的缓解措施。TAM 和客户团队还可以根据客户和 APN 合作伙伴的环境和需求,为其指明特定资源。
AWS 还设立了企业支持代表团队、专业服务咨询团队和其他员工团队,协助解决 LGPD 方面的问题。为了进一步加深客户和 APN 合作伙伴的理解,AWS 还在 AWS 峰会上安排了一系列演讲、网络研讨会和讲座,以便帮助他们了解 LGPD 并利用 AWS 工具来实施各种解决方案。
