个人信息保护及电子文档法案

加拿大的联邦私营部门隐私立法

《个人信息保护及电子文档法案》(PIPEDA) 是一项加拿大联邦法案，适用于加拿大各省份中所有商业活动过程中对个人信息的收集、使用和披露，艾伯塔、不列颠哥伦比亚和魁北克省中的类似省级隐私法案对此法案进行了充分补充。PIPEDA 还适用于个人信息在国际以及省之间的传递。因为 AWS 无法看到或了解客户在其网站上上传的内容，也不确定这些数据是否遵守 PIPEDA 条例，所以客户应负责自己的 PIPEDA 合规性。

AWS 加拿大（中部）区域目前可以提供多种服务，包括 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。有关 AWS 区域和服务的完整列表，请访问全球基础设施页面。各项服务的详情页面上提供了加拿大区域的定价，您可以通过我们的产品与服务页面查找相关服务。

AWS 数据中心建立在全球各地在地理上隔离的集群中，我们将这种集群称为“区域”。 客户可以从全球 16 个 AWS 区域中选择要使用的区域，这些区域分别位于美国、澳大利亚、巴西、加拿大、中国、德国、印度、爱尔兰、日本、韩国、新加坡和英国。

• 客户在保护其客户内容方面扮演着什么角色？

  AWS 提供一组广泛的全球计算、存储、数据库、分析、应用和部署服务，帮助组织提高工作效率、降低 IT 成本和扩展应用。借助 AWS 责任共担模型，AWS 客户可以控制选择实施哪种安全措施来保护自己的内容、平台、应用程序、系统和网络，如同保护现场数据中心内的应用程序一样。

  评估云解决方案的安全性时，客户需要理解和区分：

  • AWS 实施和操作的安全措施 -“云的安全性”

  和

  • 客户实施和操作的、与客户内容和使用 AWS 服务的应用程序的安全相关的安全措施 -“云中的安全性”

  

  有关我们核心 AWS 云基础设施、平台和服务内置的所有安全措施的完整列表，请参阅《安全流程概述》白皮书。

• 客户如何保持对客户内容的所有权和控制权？

  维持客户的信任是一项长期承诺，我们会尽力将实施的隐私和数据安全策略、实践以及技术告知客户。这些承诺包括：

  客户内容的所有权和控制权：

  访问：客户可以完全控制自己的内容，并负责配置对 AWS 服务和资源的访问。我们提供了一系列先进的访问、加密和日志记录功能（例如 AWS CloudTrail），可以帮助您有效达成这一目标。 我们为您提供了 API，以便为您在 AWS 环境中开发或部署的任何服务配置访问控制权限。未经您的同意，我们不会出于任何目的而访问或使用您的内容。

  存储：客户选择存储其客户内容的区域。未经客户同意，我们不会将客户内容移动或复制到客户所选区域之外。

  安全：客户选择如何保护客户内容。我们针对动态和静态客户内容提供强加密功能，并支持客户选择管理自己的加密密钥。

  客户内容的披露：我们不会披露客户内容，除非法律或者政府或监管部门的有效且具约束力的指令有此要求。除非相关方禁止或有明确的迹象表明 Amazon 产品或服务的使用中存在非法行为，否则 Amazon 会在披露客户内容之前通知客户，以便客户寻求保护。

  有关如何为组织建立一套安全政策和流程的最佳实践，请参阅《AWS 安全最佳实践》白皮书。

• 哪些第三方审计会验证 AWS 的安全控制环境？

  使用 AWS 时，组织可以依托于 AWS 的多种安全标准认证，例如 ISO 27001、ISO 27018、SOC 1、2 和 3 以及 PCI DSS 第 1 级。除了 AWS Identity and Access Management 等 AWS 安全功能，AWS 客户还可以使用类似的措施保护自己的数据，例如加密和强密码。

• 客户可以在遵守加拿大 PIPEDA 法律的同时使用 AWS 吗？

  AWS 客户可以对其存储在 AWS 云中的数据进行精细控制。AWS 在加拿大拥有大量的解决方案架构师、客户经理、顾问、培训师以及其他在云安全和合规性方面经过专业培训的员工，可以通过这些团队直接向客户提供帮助，协助 AWS 客户实现高水平的安全性和合规性，包括其客户遵守 PIPEDA 条例。

  有关依照 PIPEDA 使用 AWS 的更多信息，我们建议您咨询您的私人顾问。