通用数据保护条例 (GDPR) 中心


概览

欧盟的通用数据保护条例 (GDPR) 旨在保护欧盟数据主体的基本隐私权和个人数据。它引入了强有力的要求,将提高和协调数据保护、安全性和合规性标准。

所有 AWS 服务都符合 GDPR – 阅读更多

除了确保我们自己的合规性,AWS 还致力于为客户提供服务和资源,帮助他们遵守可能适用于其活动的 GDPR 要求。AWS 会定期推出新功能,目前已拥有 500 多项重点关注安全性和合规性的功能和服务

在您的 AWS 环境中支持 GDPR

AWS 提供了特定的功能和服务,客户可以利用这些功能和服务帮助实现 GDPR 合规性。

在 AWS 上加密数据:

  • 使用 AES256 (EBS/S3/Glacier/RDS) 对闲置的数据加密
  • 集中化托管密钥管理 (按 AWS 地区)
  • IPsec 通过 VPN 网关进入 AWS
  • 通过 AWS CloudHSM 在云中使用专用 HSM 模块

获取 AWS 资源相关活动的概况:

  • 通过 AWS Config 执行资产管理和配置
  • 通过 AWS CloudTrail 进行审核和安全分析
  • 通过 Amazon VPC 流日志获取网络中流量的详细信息
  • 通过 AWS Config 规则执行基于规则的配置检查和操作
  • 通过 AWS CloudFront 中的 AWS WAF 功能筛选和监视对应用程序的 HTTP 访问

只允许已获授权的管理员、用户和应用程序:

  • Multi-Factor-Authentication (MFA)
  • 对 Amazon S3、Amazon SQS 和 Amazon SNS 中的对象实现精细访问控制
  • API 请求验证
  • 地理限制
  • 通过 AWS Security Token Service 获取的临时访问令牌

客户控制着其客户的内容。通过 AWS,客户可以:

  • 确定将存储其客户内容的位置,包括存储类型和存储所在的地理区域。
  • 选择客户内容的安全状态。我们为传输中或闲置的客户内容提供强加密功能,并支持客户选择管理自己的加密密钥。
  • 通过由客户控制的用户、组、权限和凭证管理对客户内容、AWS 服务与资源的访问权限。

SbD 方法旨在实现以下目标:

  • 创建强制性功能,禁止不可修改这些功能的用户覆盖这些功能。
  • 建立可靠的控制操作。
  • 启用持续的实时审核。
  • 监管策略的技术脚本编写。

我们的行业领先功能为我们的诸多获得国际认可的认证和资格鉴定打下了基础,能够证明其符合严格的国际标准,例如 ISO 27001(针对技术措施);ISO 27017(针对云安全性);ISO 27018(针对云隐私);SOC 1、SOC 2 和 SOC 3PCI DSS Level 1 以及特定于欧洲的认证,例如 BSI 的通用云计算控制目录 (C5) 和 ENS High。最近,AWS 还宣布了遵守 CISPE 行为准则

利用 AWS 产品

Amazon Macie

主动保护个人身份信息 (PII) 并了解移动时间。

了解有关 Amazon Macie 的更多信息 »

AWS Identity and Access Management (IAM)

创建并管理 AWS 用户和组,并使用权限来允许或拒绝他们访问 AWS 资源。

了解有关 AWS IAM 的更多信息 »

AWS Config

简化合规性审核、安全分析、变更管理和运行故障排除工作。 

了解有关 AWS Config 的更多信息 »

Amazon Inspector

为您的应用程序定义标准和最佳实践,并验证是否遵守这些标准。

了解有关 Amazon Inspector 的更多信息 »

Amazon GuardDuty

提供智能威胁检测和持续监控,保护您的 AWS 账户和工作负载。

了解有关 Amazon GuardDuty 的更多信息 »

AWS Key Management Service (KMS)

轻松创建和控制用于加密数据的密钥。

了解有关 AWS KMS 的更多信息 »

GDPR 常见问题

  • 什么是 GDPR?

    《通用数据保护条例》(GDPR) 是一项新的欧洲隐私法,将于 2018 年 5 月 25 日生效。GDPR 将替换《欧盟数据保护指令》(也成为指令 95/46/EC),旨在通过实施一个可约束每个成员国的数据保护法,来协调整个欧盟 (EU) 的数据保护法律。

  • GDPR 适用于哪些人?

    GDPR 适用于在欧盟成立的所有组织,以及处理欧盟数据主体的个人数据的组织 (不论这些组织是否是在欧盟成立的),这些数据与向欧盟数据主体提供商品或服务或者监控在欧盟发生的行为有关。个人数据指的是与已确定或可确定的自然人相关的所有信息。

  • GDPR 生效后,当前的欧盟数据保护法将发生什么变化?

    GDPR 将替换现有的数据保护指令 (欧洲指令 95/46/EC)。自 2018 年 5 月 25 日起,现有的数据保护指令以及与其相关的法律将不再适用。

  • 对于 GDPR,AWS 在做哪些准备?

    AWS 合规性、数据保护和安全性专家正在与全球客户协作,解答他们的问题并帮助他们为 GDPR 生效后在 AWS 云中运行工作负载做准备。这些团队还审核过 AWS 服务对满足 GDPR 要求的就绪情况,确认所有 AWS 服务均可实现 GDPR 合规性

    此外,我们还为客户提供了一份满足 GDPR 要求的数据处理协议 (GDPR DPA)。此 GDPR DPA 已被纳入 AWS 服务条款,并且自动适用于所有需要使其符合 GDPR 规定的客户。

    最近,AWS 还宣布了遵守 CISPE 行为准则。CISPE 行为准则可帮助云客户评估其云基础设施提供商如何依据 GDPR 来履行其数据保护义务。AWS 已声明:Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS)、AWS Identity and Access Management (IAM)、AWS CloudTrailAmazon Elastic Block Storage (Amazon EBS) 完全遵守 CISPE 行为准则。这可以在客户使用 AWS 时向其提供与他们在一个安全合规的环境中完全控制其数据的能力相关的附加保障。要更详细了解 AWS 在 CISPE 行为准则方面的合规性,请访问此网站:https://cispe.cloud/

    AWS 不断维护我们所有全球业务之间的高标准安全性和合规性。安全性始终是我们最优先考虑的事项 – 安全是“1”,其他都是“0”。我们行业领先的安全性是我们获得很多国际认可的认证和资格鉴定的基础,这可证实我们符合严格的国际标准,如适用于云安全性的 ISO 27017、适用于云隐私的 ISO 27018、SOC 1、SOC 2 和 SOC 3、PCI DSS 第 1 级以及其他标准。AWS 还会帮助客户符合当地安全标准,如 BSI 的通用云计算控制目录 (C5),这是由德国政府提供支持的鉴证。

  • AWS 是否遵守 GDPR 要求中反映出的行为准则?

    AWS 已宣布遵守 CISPE 数据隐私行为准则。CISPE 指的是联合云基础设施 (也称为“基础设施即服务”) 提供商,负责为欧洲的客户提供云服务。CISPE 行为准则可帮助云客户确保其云基础设施提供商使用合适的数据保护标准来保护其数据,从而使其遵守 GDPR。此行为准则的一些主要优势包括:

    • 明确进行数据保护时的负责人及其负责事项:此行为准则介绍了提供商客户依据 GDPR (尤其是在云基础设施服务环境中) 应承担的角色。
    • 此行为准则列出了提供商应遵守的原则:此行为准则概述了提供商应执行的操作以及要履行的承诺,以遵守 GDPR 并帮助客户进行遵守。
    • 此行为准则向客户提供与数据保护和数据安全相关且是客户制定合规性相关决策所需的信息:此行为准则要求提供商在履行其安全承诺时采取透明措施。这些措施包含与数据外泄、数据删除和第三方子处理相关的通知以及法律实施和政府请求。客户可以使用此类信息充分了解提供的高级安全性。

    要了解 AWS 如何应对执法部门的要求,请参阅:“利用 AWS 处理数据驻留”。

  • GDPR 将给欧盟内运营的组织带来哪些变化?

    GDPR 的一个主要方面是它能够在欧盟成员国之间就如何安全处理、使用和交换个人数据方面保持一致性。组织将需要通过实施稳定的技术和组织措施以及合规性政策并定期进行检查,来不断证明他们处理的数据是安全的并证明他们遵守 GDPR。

  • AWS 在帮助客户遵守 GDPR 方面会向其提供什么服务?

    AWS 已提供特定的功能和服务,它们将有助于客户符合 GDPR 要求:

    访问控制:只允许已获授权的管理员、用户和应用程序访问 AWS 资源

    • Multi-Factor-Authentication (MFA)
    • 对 Amazon S3 存储桶/Amazon SQS/Amazon SNS 等中的对象的细粒度访问
    • API 请求验证
    • 地理限制
    • 通过 AWS Security Token Service 获取的临时访问令牌

    监控和日志记录:获取 AWS 资源相关活动的概况

    • 通过 AWS Config 执行资产管理和配置
    • 通过 AWS CloudTrail 执行合规性审核和安全性分析
    • 通过 AWS Trusted Advisor 确定配置方面存在的挑战
    • 细粒度记录对 Amazon S3 对象的访问
    • 通过 Amazon VPC 流日志获取网络中流量的详细信息
    • 通过 AWS Config 规则执行基于规则的配置检查和操作
    • 通过 AWS CloudFront 中的 WAF 功能筛选和监控对应用程序的 HTTP 访问

    加密:在 AWS 上加密数据

    • 使用 AES256 (EBS/S3/Glacier/RDS) 对闲置的数据加密
    • 集中化托管密钥管理 (按 AWS 地区)
    • IPsec 通过 VPN 网关进入 AWS
    • 通过 AWS CloudHSM 在云中使用专用 HSM 模块

    强健的合规性框架和安全性标准:

    • 获得 ISO 27001/9001 认证
    • 获得 ISO 27017/27018 认证
    • 云计算合规性控制目录 (C5 – 德国政府支持的鉴证机制)
    • AWS 已与审计机构 TÜV TRUST IT 一同发布客户认证业务手册,该手册就如何在云中获得德国 BSI IT Grundschutz 合规性提供了指导。
  • 客户可针对 GDPR 做哪些准备?

    下面是在考虑 GDPR 合规性时有所帮助的一些要点:

    • 区域范围:确定 GDPR 是否适用于组织的活动,这对于确保组织能够履行其合规性义务来说至关重要。GDPR 适用于在欧盟境内成立的所有组织。不过,如果您的组织是在欧盟境外成立的,GDPR 也可能会适用于您,具体取决于您的活动。
       
    • 数据主体权利:GDPR 在许多方面提高了数据主体的权限。例如,数据主体有反对处理其数据的权限,以及访问有关自己的个人数据的权限。受 GDPR 约束的组织将需要确保他们在处理数据主体的个人数据时能够协调其权限。
       
    • 数据外泄通知:如果您是数据控制者,则需毫不延迟地向相关监管部门报告个人数据外泄情况,如果可行,应在发现该情况后的 72 小时内报告。使用 AWS 可以让您控制如何处理和保护个人数据。这样,您就可以监控您自己的环境中是否存在外泄情况,并在需要时依据 GDPR 通知监管部门和受影响的个体。此外,作为数据处理者,AWS 会在发现以下任一情况时毫不延迟地通知您:(i) 违反我们的安全标准,从而导致意外或非法破坏、丢失、篡改、未经授权披露或访问您账户中已上传到 AWS 服务的任何个人数据;(ii) 对 AWS 设备或设施的任何未经授权访问,因为此类访问会导致破坏、丢失、未经授权披露或篡改您账户中已上传到 AWS 服务的个人数据。
       
    • 数据保护专员 (DPO):您可能需要委派一名 DPO 来管理数据安全性以及与个人数据处理相关的其他问题。
       
    • 数据保护影响评估 (DPIA):您可能需要针对您的处理活动进行数据保护影响评估,在某些情况下,您可能需要向监管部门登记备案。这需要确定您的数据处理程序和过程以及保护个人数据所需的相应控制。
       
    • 数据处理协议 (DPA):您可能需要签订一项满足 GDPR 要求的 DPA,尤其是在将个人数据传输到欧洲经济区之外时。AWS 向客户提供的 GDPR DPA 已被纳入 AWS 服务条款,并且自动适用于所有需要使其符合 GDPR 规定的客户。AWS 提供大量的服务和特定服务功能,它们将帮助客户满足 GDPR 要求,其中包括有关访问控制、监控、日志记录和加密的服务。有关这些服务及功能的更多信息,请参阅上面的“AWS 在帮助客户遵守 GDPR 方面会向其提供什么服务?”一节。

    我们还有合规性、数据保护和安全性专家团队,以及 AWS 合作伙伴,他们与客户协作,解答他们的问题,并帮助他们为 GDPR 生效后在云中运行工作负载做准备。有关此方面的其他信息,请联系您的 AWS 客户经理。

  • AWS 是否提供数据处理附录 (DPA)?

    是的。AWS 可以提供符合 GDPR 规定的数据处理附录 (GDPR DPA),让您的合同义务满足 GDPR 的要求。AWS GDPR DPA 已被纳入 AWS 服务条款,并且自动适用于全球所有需要使其符合 GDPR 规定的客户。

  • AWS 服务是否符合 GDPR 的规定?

    AWS 服务符合通用数据保护条例 (GDPR)。这意味着,除了受益于 AWS 为维护服务安全而采取的所有措施之外,客户还可以将 AWS 服务作为其 GDPR 合规计划的关键部分进行部署。有关更多详细信息,请参阅 AWS 安全博客中的 GDPR 服务准备就绪声明:https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/

  • 按照 GDPR,AWS 需要承担什么角色?AWS 是数据的处理者还是控制者?

    按照 GDPR 的规定,AWS 既是数据的处理者也是数据的控制者。

    • AWS 充当数据处理者 – 当客户和 AWS 合作伙伴网络 (APN) 合作伙伴使用 AWS 服务来处理其内容中的个人数据时,AWS 充当数据处理者。客户和 APN 合作伙伴可以使用 AWS 服务中的控件(包括安全配置控件)来处理个人数据。在这种情况下,客户或 APN 合作伙伴可能自己充当数据的控制者或处理者,而 AWS 充当数据处理者或从处理者。AWS 提供了符合 GDPR 规定的数据处理附录 (DPA),其中包含 AWS 作为数据处理者的承诺。
    • AWS 充当数据控制者 – 当 AWS 收集个人数据并决定处理这种数据的目的和方式时(例如当 AWS 存储 AWS 账户的账户注册信息、管理信息、服务访问信息或联系信息以便通过客户支持工作来提供协助时),AWS 充当数据控制者。
  • GDPR 对 AWS 的责任共担模型有什么影响?

    GDPR 不会改变 AWS 的责任共担模式,该模式仍然与专注于使用云计算服务的客户和 APN 合作伙伴相关。共担责任模式是一种阐明 AWS(作为数据处理者或从处理者)以及客户或 APN 合作伙伴(作为数据控制者或数据处理者)在 GDPR 下的不同责任的有效途径。

    在共担责任模式下,AWS 负责保护支持云的底层基础设施,而作为数据控制者或数据处理者的客户和 APN 合作伙伴则负责保护其放入云中的任何个人数据。

    AWS 作为数据处理者的责任

    AWS 负责保护运行 AWS 云中提供的所有服务的全球基础设施。这一基础设施由运行 AWS 服务的硬件、软件、网络和设施组成,可以针对客户内容的处理为客户和 APN 合作伙伴提供强大的控制,其中包括安全配置控制。保护这一基础设施是 AWS 的首要任务。AWS 可以提供多份由第三方审计机构出具的合规性报告,这些审计机构已经验证过我们是否符合各种计算机安全标准和法规(有关更多信息,请访问:https://aws.amazon.com/compliance)。这些报告可以向客户和 APN 合作伙伴证明,我们在保护他们选择在 AWS 上处理的个人数据。举例来说,AWS 符合 ISO 27001、27017 和 27018 的规定。ISO 27018 包含专注于保护个人数据的安全控制。有关 AWS 的 ISO 27108 合规性的详细信息,请访问:https://aws.amazon.com/compliance/iso-27018-faqs/

    AWS 还负责其被视为托管服务的各种技术的安全配置。Amazon DynamoDB、Amazon RDS、Amazon Redshift、Amazon Elastic MapReduce 和若干其他服务都属于托管服务。这些服务可以让基于云的资源具备可扩展性和灵活性,并因受托管而产生额外的优势。对于这些服务,AWS 负责处理操作系统 (OS) 安全补丁和数据库补丁、防火墙配置和灾难恢复等基本安全工作。对于托管服务,客户和 APN 合作伙伴负责为自己的资源配置逻辑访问控制并保护自己的帐户凭证。某些托管服务可能需要完成额外的工作,例如设置数据库用户帐户,但总体而言,安全配置工作由服务自身执行。对于所有此类服务,客户和 APN 合作伙伴仍然负责保护其放入云中的任何个人数据。

    AWS 还提供了符合 GDPR 规定的数据处理附录 (GDPR DPA),其中包含 AWS 作为数据处理者的承诺。AWS GDPR DPA 已被纳入 AWS 服务条款,并且自动适用于所有需要使其符合 GDPR 规定的客户。

    客户和 APN 合作伙伴作为数据控制者的责任,以及 AWS 服务如何提供帮助:

    利用 AWS 云,客户和 APN 合作伙伴可以在几分钟内而不是几周内预置虚拟服务器、存储、数据库和桌面。他们还可以使用基于云的分析工具和工作流工具按需处理数据,然后将数据存储在自己的数据中心或云中。AWS 服务客户和 APN 合作伙伴自行决定自己在 GDPR 责任范围内要执行多少配置工作。Amazon EC2、Amazon VPC 和 Amazon S3 等属于基础架构即服务 (IaaS) 类别的 AWS 产品完全由客户或 APN 合作伙伴控制,需要他们执行所有必要的安全配置和管理任务。例如,对于 EC2 实例,他们负责管理安装在实例上的客户操作系统(包括更新和安全补丁)以及所有应用程序软件或实用工具,并且配置 AWS 在各个实例上提供的防火墙(称为安全组),这是无论服务器位于何处都要执行的安全任务。

    要实现设计与默认数据保护,我们建议客户和 APN 合作伙伴保护自己的 AWS 账户凭证,并使用 Amazon Identity and Access Management (IAM) 设置各个用户账户,这样,每个用户都拥有自己的凭证,能够实现基于权限的数据访问和按用户角色划分职责。我们还建议对每个帐户使用多重身份验证 (MFA)、要求使用 SSL/TLS 与 AWS 资源进行通信、使用 AWS CloudTrail 来建立 API/用户活动日志记录,并利用 AWS 加密解决方案以及 AWS 服务提供的其他安全控制措施。客户和 APN 合作伙伴还可以使用各种先进的安全服务,例如使用 Amazon GuardDuty 来保护帐户和基础设施的安全、使用 Amazon Macie 来协助发现和保护存储在 Amazon S3 中的个人数据,从而实现 GDPR 合规性。

    有关客户可以采取的其他措施以及 AWS 提供的解决方案的更多信息,请参阅 AWS 安全最佳实践白皮书以及 AWS 安全资源网页上推荐的文章,其网址为:https://aws.amazon.com/security/

  • 如果我有关于 GDPR 和 AWS 的问题,应该联系谁?

    建议在数据保护或者 AWS 和 GDPR 方面有问题的客户和 APN 合作伙伴先联系自己的 AWS 客户经理。注册了企业支持的客户也可以联系自己的技术客户经理 (TAM)。TAM 会与解决方案架构师合作,帮助客户确定潜在的风险和可能的缓解措施。TAM 和客户团队还可以根据客户和 APN 合作伙伴的环境和需求,为其指明特定资源。

    AWS 还设立了企业支持代表团队、专业服务咨询团队和其他员工团队,协助解决 GDPR 方面的问题。为了进一步加深客户和 APN 合作伙伴的理解,AWS 还在 AWS 峰会AWS Pop-up Loft 上安排了一系列演讲、网络研讨会和研讨会,以便帮助他们了解 GDPR 并利用 AWS 工具来实施各种解决方案。

  • AWS 为客户和 APN 合作伙伴提供哪些关于 GDPR 的技术指南?

    AWS 会为客户和 APN 合作伙伴提供大量资源来帮助他们推进自己的 GDPR 合规之旅。AWS 设立了企业支持代表团队、专业服务咨询团队和其他员工团队,协助客户和 APN 合作伙伴解决 GDPR 方面的问题。AWS 还在 AWS 峰会AWS Pop-up Loft 上安排了一系列演讲、网络研讨会和研讨会,以便帮助客户和 APN 合作伙伴了解 GDPR,并利用 AWS 工具来实现设计与默认数据保护。

  • AWS 是否会 GDPR 合规性方面的专业服务帮助?

    AWS 专业服务团队会进行大量工作,帮助客户和 APN 合作伙伴实现 GDPR 合规性。专业服务顾问会在 AWS 峰会AWS Pop-up Loft 上举办私人咨询会议以及公开的演讲、网络研讨会和研讨会,解答 GDPR 方面的问题。AWS 专业服务团队还会与客户和 APN 合作伙伴直接合作,为其提供 GDPR 方面的技术指导,并利用 AWS 工具来实现设计与默认数据保护。有关 AWS 专业服务顾问如何帮助客户和 APN 合作伙伴的更多详细信息,请访问:https://aws.amazon.com/professional-services/

  • AWS Support 怎样帮助我实现 GDPR 合规性?

    AWS Premium Support 会与客户和 APN 合作伙伴合作,为其提供技术指导并帮助他们推进自己的 GDPR 合规之旅。作为这项工作的一部分,我们现在设立了云支持工程师团队和技术客户经理团队,帮助客户识别和缓解合规性方面的风险。客户和 APN 合作伙伴在实现 GDPR 合规的过程中可以利用两项计划:

    • 云运营审核 – 该计划面向 AWS 企业支持客户,旨在帮助客户发现自己在实现云运营方面的不足。该计划源自 AWS 在与大量代表性客户合作的经验中提炼出来的一系列运营最佳实践,计划内容是对云运营和相关管理实践进行审核,可以帮助组织实现 GDPR 合规性。该计划采用一种包含四项支柱的方法,重点关注基于云的系统的准备、监控、运行和优化,目的是实现卓越运营。
    • 良好架构审核 – 该计划让组织能够对照 AWS 最佳实践来评估自己的架构,并构建安全、可靠、高性能并且经济高效的架构。良好架构审核还让客户和 APN 合作伙伴能够了解自己的架构中存在风险的地方,并在应用程序投入生产之前消除这些风险。

    要了解 AWS Premium Support 如何为自己提供帮助,客户和 APN 合作伙伴可以通过 AWS 控制台 (https://console.aws.amazon.com/support/) 在 AWS 支持中心查看更多信息,可以按照与 AWS 签订的《企业支持协议》中的联系信息联系相关人员,也可以访问 AWS Premium Support 页面,网址为:https://aws.amazon.com/premiumsupport/。购买了企业支持的客户应该联系自己的 TAM 询问 GDPR 相关问题。

  • AWS 是否有数据处理分包商?

    如果有任何分包商可以访问上传到 AWS 的内容(包括可能包含个人数据的内容),我们会向客户和 APN 合作伙伴主动发出通知。此承诺已包含在 AWS GDPR 数据保护附录 (GDPR DPA) 中。AWS GDPR DPA 已被纳入 AWS 服务条款,并且自动适用于所有需要使其符合 GDPR 规定的客户。

  • AWS 为我提供哪些工具来实施设计与默认数据保护所需的技术措施和组织措施?

    许多 GDPR 要求均以数据的控制和保护为重点。AWS 的服务让客户和 APN 合作伙伴能够按照 GDPR 的规定实施自己的安全措施,其中包括具体的战术措施,例如:

    • 加密个人数据
    • 有能力确保处理系统和服务的持续保密性、完整性、可用性和弹性
    • 有能力在发生物理事件或技术事件时及时恢复个人数据的可用性和访问权限
    • 设置一个流程来定期测试和评估技术措施的效果,以便确保处理过程的安全性

    AWS 可以提供一套先进的安全性与合规性服务,帮助客户满足 GDPR 的要求,这些服务包括:

    • Amazon GuardDuty – 一项服务,具有智能威胁检测功能,可以持续监控恶意行为或未授权行为
    • Amazon Macie – 一种机器学习工具,可以帮助用户发现存储在 Amazon S3 中的个人数据并对其进行分类
    • Amazon Inspector – 一项自动安全评估服务,可以让应用程序与最佳安全实践保持一致
    • AWS Config Rules – 一项功能,让您可以动态检查云资源是否符合安全规则

    AWS 还发布了一份白皮书:《了解 AWS 上的 GDPR 合规性》,专门讨论这一话题。该白皮书分析并详细说明了如何将各种资源与监控、数据访问和密钥管理等概念具体联系到一起。

  • AWS 设置了哪些安全措施来保护系统?

    AWS 云基础设施旨在成为当今市场上最灵活、最安全的云计算环境之一。Amazon 的规模庞大,因此在安全管理和对策方面的投入远远高于任何其他大型企业有能力自行承担的投入。我们的基础设施由运行 AWS 服务的硬件、软件、网络和设施组成,可以针对个人数据的处理为客户和 APN 合作伙伴提供强大的控制,其中包括安全配置控制。要详细了解 AWS 为了始终保持高安全性而采取的措施,请参阅 AWS 白皮书:《安全流程概览》。

    AWS 还可以提供由第三方审核机构出具的合规性报告,这些审核机构已经测试并审核过我们是否符合各种计算机安全标准和法规(包括 ISO 27001、ISO 27017 和 ISO 27018)。客户和 APN 合作伙伴可以通过 AWS 管理控制台查看各种第三方审核报告,以便充分了解这些措施的效果。无论自己是数据控制者还是数据处理者,客户和 APN 合作伙伴都可以从此类报告中看出,我们在保护他们用于存储和处理个人数据的底层基础设施。有关更多信息,请访问:https://aws.amazon.com/compliance

  • 在个人数据泄露通知方面,AWS 怎样帮助数据控制者履行其在 GDPR 下的义务?

    AWS 制定了安全事件监控和数据泄露通知流程,并会在确认 AWS 受到破坏后向客户和 APN 合作伙伴发出通知并提供支持。AWS 还为客户和 APN 合作伙伴提供了多种工具,用于了解谁在什么时候从哪里访问了自己的资源。AWS CloudTrail 就是其中一种工具,让用户 可以对 AWS 账户进行管理审核、合规性审核、操作审核和风险审核。借助 CloudTrail,客户可以针对与整个 AWS 基础设施中的操作相关的账户活动进行日志记录、持续监控并保留相关信息。这可以帮助组织了解自己的 AWS 基础设施的状态,并在出现任何异常活动时立即采取措施。要详细了解 AWS CloudTrail 以及 AWS 为客户提供哪些其他安全工具来帮助其履行其在 GDPR 下作为数据控制者的义务,请访问:https://aws.amazon.com/security/

  • AWS 怎样帮助我保护数据免受网络攻击?

    AWS 为客户和 APN 合作伙伴提供了多种工具,用于保护数据并防范网络攻击。AWS Shield 就是一种这样的工具。AWS Shield 是一种托管的分布式拒绝服务 (DDoS) 攻击防护服务,可以保护 AWS 上运行的网站和应用程序。AWS Shield Standard 不额外收取费用,支持持续检测和自动内联缓解功能,可以最大限度地缩短应用程序停机时间和延迟。要针对以在 AWS 上运行并使用 ELB、Amazon CloudFront 和 Amazon Route 53 资源的 Web 应用程序为目标的攻击实现更高级别的防护,客户和 APN 合作伙伴可以购买 AWS Shield Advanced。AWS 还会发布并定期更新《应对 DDoS 的 AWS 最佳实践》文档,帮助客户使用 AWS 构建可以应对 DDoS 攻击的应用程序。

    AWS 提供的保护数据免受网络攻击的其他工具包括:

    • AWS Identity and Access Management (IAM),让组织能够安全地管理对 AWS 服务和资源的访问。客户和 APN 合作伙伴可以使用 IAM 创建和管理 AWS 用户和组,并使用各种权限来允许或拒绝他们访问 AWS 资源。IAM 是 AWS 账户提供的一项功能,不额外收取费用。
    • AWS Config,让客户和 APN 合作伙伴能够使用预先打包的规则,确保其 AWS 资源处于正确的配置状态和合规状态。
    • AWS CloudTrail,让组织能够针对与 AWS 中的操作相关的账户活动进行日志记录、持续监控并保留相关信息记录,从而简化安全分析、资源更改跟踪和故障排除工作(所有 AWS 账户均默认启用 AWS CloudTrail)。
    • Amazon GuardDuty,一种托管的威胁检测服务,可以持续监控恶意或未经授权的行为,从而保护 AWS 账户和工作负载。其会监控可能表明账户被盗的行为,例如异常 API 调用或可能未经授权的部署。GuardDuty 还会检测可能被盗用的实例或来自攻击者的侦测。
    • Amazon Macie,一项安全服务,可以自动发现、分类和保护 AWS 中的敏感数据,利用机器学习为客户和 APN 合作伙伴提供帮助。这种完全托管的服务会持续监控数据访问活动是否存在异常,并在检测到未经授权访问或意外数据泄露风险(例如客户意外向外部开放敏感数据)时生成详细的警报。 
  • 有哪些工具可以帮助我查找自己在 AWS 上的内容中的个人数据?

    Amazon Macie 是一项安全服务,可以利用机器学习来帮助客户和 APN 合作伙伴自动发现、分类和保护 AWS 中的敏感数据。这种完全托管的服务会持续监控数据访问活动是否存在异常,并在检测到未经授权访问或意外数据泄露风险(例如有人访问被意外向外部开放的敏感数据)时生成详细的警报。Macie 通过了多项国际公认的标准认证,例如针对云安全性的 ISO 27017 和针对云隐私的 ISO 27018。客户和 APN 合作伙伴也可以使用 Macie 持续监控对其数据的访问,以便根据访问模式检测可疑活动。

  • 怎样控制对我在 AWS 上的内容中的个人数据的访问?

    为了帮助客户和 APN 合作伙伴符合 GDPR 规定,AWS 提供了多种工具来控制对其 AWS 内容中包含的个人数据的访问。这些工具包括:

    默认安全意味着 AWS 服务通过设计来实现默认安全性。如果使用默认配置,那么对资源的访问权限就会锁定到账户所有者和根管理员。

    • AWS Identity and Access Management (IAM),让客户和 APN 合作伙伴能够安全地管理对 AWS 服务和资源的访问。组织可以使用 IAM 创建和管理 AWS 用户和组,并使用各种权限来允许或拒绝他们访问 AWS 资源。IAM 是 AWS 账户提供的一项功能,不额外收取费用。
    • AWS Multi-Factor Authentication,可以为 AWS 账户的用户名和密码提供一层额外的防护。AWS 允许客户选择虚拟和硬件 MFA 设备。
    • AWS Directory Service,让客户和 APN 合作伙伴可以与企业目录集成和联合,以便减少管理开销并改善最终用户体验。
    • AWS Config,让客户和 APN 合作伙伴能够使用预先打包的规则,确保其 AWS 资源处于正确的配置状态和合规状态。
    • AWS CloudTrail,让客户和 APN 合作伙伴能够针对与整个 AWS 基础设施中的操作相关的账户活动进行日志记录、持续监控并保留相关信息,从而简化安全分析、资源更改跟踪和故障排除工作。
    • Amazon Macie,可以自动发现、分类和保护 AWS 中的敏感数据,利用机器学习帮助客户避免数据丢失。这种完全托管的服务会持续监控数据访问活动是否存在异常,并在检测到未经授权访问或意外数据泄露风险(例如客户意外向外部开放敏感数据)时生成详细的警报。
  • 怎样加密 AWS 中的个人数据以防未经授权访问?

    AWS 让客户和 APN 合作伙伴能够为云中的静态数据增加一层额外的安全防护,并帮助他们履行自己在 GDPR 下作为数据控制者在安全处理数据方面的义务。AWS 上提供的加密工具包括:

    • Amazon Elastic Block StoreAmazon S3Amazon GlacierAmazon DynamoDBOracle RDSSQL Server RDSRedshift 等 AWS 存储和数据库服务支持的各种数据加密功能
    • 灵活的密钥管理选项(包括 AWS Key Management Service),让客户能够选择是让 AWS 管理加密密钥还是自行完全控制密钥
    • 加密消息队列,用于针对 Amazon SQS 使用服务器端加密 (SSE) 来传输敏感数据
    • 使用 AWS CloudHSM 的基于硬件的专用加密密钥存储,让客户可以满足合规性要求
     
    另外,AWS 还为客户和 APN 合作伙伴提供了相应的 API,用于将加密和数据保护与他们在 AWS 环境中开发或部署的所有服务相集成。
  • 客户要求删除时,AWS 怎样处理?

    AWS 服务允许客户通过 AWS 管理控制台、API 和其他输入方式按需删除内容。有关具体服务功能的更多信息,请参阅 https://aws.amazon.com/documentation

  • 怎样向数据保护监管机构证明我使用 AWS 符合 GDPR 的规定?

    AWS 可以为客户和 APN 合作伙伴提供有用的信息,其中包括由第三方审核机构出具的合规性报告,这些审核机构已经审核过我们是否符合各种计算机安全标准和法规,可以证明 AWS 的基础设施具有非常高的合规性级别。这些报告可以向客户和 APN 合作伙伴证明,我们在保护他们选择在 AWS 上处理的个人数据。举例来说,AWS 符合 ISO 27001、27017 和 27018 的规定。ISO 27018 包含专注于保护个人数据的安全控制。有关 AWS 的 ISO 27108 合规性的详细信息,请访问:https://aws.amazon.com/compliance/iso-27018-faqs/

    AWS 的数据保护还符合 CISPE 行为准则。CISPE 指的是联合云基础设施(也称为基础设施即服务)提供商,这些提供商为欧洲的客户提供云服务。CISPE 行为准则可以帮助云客户和 APN 合作伙伴确保其云基础设施提供商按照 GDPR 使用合适的数据保护标准来保护其数据。该行为准则的一些主要优势包括:

    • 明确数据保护方面负责人及其负责事项:该行为准则说明了提供商和客户按照 GDPR 应承担的角色,特别是在云基础设施服务方面的角色。
    • 该行为准则列出了提供商应遵守的原则:该行为准则介绍了提供商应执行的操作以及要履行的承诺,以便遵守 GDPR 并帮助客户和 APN 合作伙伴遵守 GDPR。
    • 该行为准则向客户和 APN 合作伙伴提供了他们在制定合规性相关决策时所需的与数据保护和数据安全相关的信息:该行为准则要求提供商公开自己在履行安全承诺时采取的措施。这些措施包括发布与数据泄露、数据删除和第三方子处理相关的通知、执行法律规定以及执行政府要求。客户和 APN 合作伙伴可以使用此类信息充分了解达到的高安全性级别。
  • AWS 是否通过了欧盟–美国隐私护盾认证?

    是的。Amazon.com, Inc. 已通过《欧盟-美国隐私护盾》认证且 AWS 也包含在此认证中。这有助于选择将其个人数据传输到美国的客户履行其数据保护义务。Amazon.com Inc. 的认证可在下面的“欧盟-美国隐私护盾”网站上找到:https://www.privacyshield.gov/list

    如需了解 AWS 环境下有关此主题的更多信息,请访问我们的欧盟–美国隐私护盾页面

compliance-contactus-icon
有问题?与 AWS 合规性代表联系
寻找合规性产品?
立即申请 »
想更新 AWS 合规性产品?
在 Twitter 上关注我们 »