Pusat Peraturan Perlindungan Data Umum (GDPR)

Kepatuhan Peraturan Perlindungan Data Umum (GDPR) saat menggunakan layanan AWS

Peraturan Perlindungan Data Umum (GDPR) Uni Eropa melindungi hak dasar atas privasi individu dan perlindungan data pribadi Uni Eropa (UE). Peraturan Perlindungan Data Umum (GDPR) mencakup persyaratan tangguh yang akan meningkatkan dan menyelaraskan standar untuk perlindungan data, keamanan, dan kepatuhan. Lihat FAQ Peraturan Perlindungan Data Umum (GDPR) kami di bawah ini untuk informasi selengkapnya.

Pelanggan AWS dapat menggunakan semua layanan AWS untuk memproses data pribadi (sebagaimana ditentukan dalam Peraturan Perlindungan Data Umum (GDPR)) yang diunggah ke layanan AWS di bawah akun AWS mereka (data pelanggan) sesuai dengan Peraturan Perlindungan Data Umum (GDPR). Selain kepatuhan kami sendiri, AWS berkomitmen untuk menawarkan layanan dan sumber daya kepada pelanggan kami untuk membantu mereka mematuhi persyaratan Peraturan Perlindungan Data Umum (GDPR) yang mungkin berlaku untuk aktivitas mereka. Fitur baru diluncurkan secara berkala, dan AWS memiliki lebih dari 500 fitur dan layanan yang berfokus pada keamanan dan kepatuhan. Untuk informasi lebih lanjut tentang apa yang dilakukan AWS, baca blog kami Bagaimana AWS membantu pelanggan UE menavigasi normal baru untuk perlindungan data..

Kontrol pelanggan

Pelanggan memiliki kontrol atas data pelanggan mereka. Dengan AWS, pelanggan dapat:

  • Menentukan tempat data pelanggan akan disimpan, termasuk jenis penyimpanan dan wilayah geografis penyimpanan tersebut.
  • Memilih status aman data pelanggan mereka. Kami menawarkan enkripsi yang kuat kepada pelanggan untuk data pelanggan dalam transit atau saat istirahat, dan kami menyediakan opsi kepada pelanggan untuk mengelola kunci enkripsi mereka sendiri.
  • Kelola akses ke data pelanggan dan layanan serta sumber daya AWS mereka melalui pengguna, grup, izin, dan kredensial yang dikontrol pelanggan.
Pelajari selengkapnya »

Transfer di luar Area Ekonomi Eropa (EEA)

Pelanggan AWS dapat terus menggunakan layanan AWS untuk mentransfer data pelanggan dari negara EEA ke non-EEA yang tidak menerima keputusan penerimaan dari Komisi Eropa (termasuk Amerika Serikat) sesuai dengan Peraturan Perlindungan Data Umum (GDPR). Di AWS, prioritas tertinggi kami adalah mengamankan data pelanggan, dan kami menerapkan langkah-langkah teknis dan organisasi yang ketat untuk melindungi kerahasiaan, integritas, dan ketersediaannya, terlepas dari Wilayah AWS yang dipilih pelanggan. Kami tahu bahwa transparansi penting untuk pelanggan kami. Kami mencantumkan layanan AWS yang melibatkan transfer data dari data pelanggan pada halaman web Fitur Privasi kami.

Karena aspek peraturan dan legislatif terlibat, kami akan selalu berupaya untuk memastikan bahwa pelanggan kami dapat terus menikmati manfaat layanan AWS dari mana pun mereka beroperasi. Silakan lihat pembaruan pelanggan kami di EU-US Privacy Shield dan kiriman blog kami di Adendum Tambahan untuk Adendum Pemrosesan Data GDPR AWS untuk informasi lebih lanjut.

Sumber daya Peraturan Perlindungan Data Umum (GDPR)

compliance-resources-banner@2x
Menavigasi Kepatuhan Peraturan Perlindungan Data Umum (GDPR) di AWS
Unduh laporan resmi »
compliance-banner-argentina
Apa yang perlu Anda ketahui tentang Brexit dan AWS
Pelajari selengkapnya »
compliance-latestnews-banners
Postingan Blog Keamanan AWS tentang Peraturan Perlindungan Data Umum (GDPR)
Pelajari selengkapnya »
compliance-programs-banner@2x
Fitur-Fitur Privasi Layanan AWS
Pelajari selengkapnya »

FAQ Peraturan Perlindungan Data Umum (GDPR)

Gambaran umum dan dasar Peraturan Perlindungan Data Umum (GDPR)


  • Apa itu Peraturan Perlindungan Data Umum (GDPR)?

    General Data Protection Regulation (GDPR) adalah undang-undang privasi Eropa yang menjadi berlaku pada 25 Mei 2018. GDPR menggantikan EU Data Protection Directive, yang juga dikenal sebagai Directive 95/46/EC, dan ditujukan untuk menyelaraskan undang-undang perlindungan data di seluruh Uni Eropa (UE) dengan menerapkan satu undang-undang perlindungan data yang mengikat di seluruh negara anggota.

  • Untuk siapa saja Peraturan Perlindungan Data Umum (GDPR) berlaku?

    Peraturan Perlindungan Data Umum (GDPR) berlaku untuk semua organisasi yang berdiri di UE dan untuk organisasi, baik berdiri di UE maupun tidak, yang memproses data pribadi masyarakat UE yang berkaitan dengan penawaran barang atau jasa kepada subjek data di UE atau pemantauan perilaku yang terjadi di UE. Data pribadi adalah informasi apa pun yang terkait dengan orang perorangan yang teridentifikasi atau yang dapat diidentifikasi, termasuk nama, alamat email, dan nomor telepon.

  • Apakah AWS berperan sebagai pemroses data atau pengendali data berdasarkan Peraturan Perlindungan Data Umum (GDPR)?

    AWS bertindak sebagai pemroses data dan pengendali data berdasarkan Peraturan Perlindungan Data Umum (GDPR).

    • AWS sebagai pemroses data – Ketika AWS menggunakan layanan AWS untuk memproses data pribadi di konten yang mereka upload ke layanan AWS, AWS bertindak sebagai pemroses data. Pelanggan dapat menggunakan kontrol yang tersedia dalam layanan AWS, termasuk kontrol konfigurasi keamanan, untuk menangani data pribadi. Berdasarkan keadaan tersebut, pelanggan dapat bertindak sebagai pengendali data atau pemroses data itu sendiri, dan AWS bertindak sebagai pemroses atau subpemroses data. AWS juga menawarkan Adendum Pemrosesan Data GDPR AWS yang mematuhi Peraturan Perlindungan Data Umum (GDPR) (AWS GDPR DPA) yang memasukkan komitmen AWS sebagai pemroses data. AWS GDPR DPA, yang menyertakan Klausul Kontrak Standar, adalah bagian dari Syarat Layanan AWS dan secara otomatistersedia bagi semua pelanggan yang mengharuskan untuk mematuhi Peraturan Perlindungan Data Umum (GDPR).
    • AWS sebagai pengendali data – Ketika AWS mengumpulkan data pribadi serta menentukan tujuan dan maksud pemrosesan data pribadi tersebut – misalnya, ketika AWS menyimpan informasi akun (misalnya, alamat email yang diberikan selama pendaftaran akun) untuk pendaftaran akun, administrasi, akses layanan, atau informasi kontrak terkait akun AWS untuk menyediakan bantuan melalui aktivitas dukungan pelanggan – AWS bertindak sebagai pengendali data. Silakan lihat Pemberitahuan Privasi AWS untuk detail tentang bagaimana AWS memproses data pribadi sebagai pengendali.
  • Apa itu Klausul Kontrak Standar (SCC)?

    SCC adalah mekanisme transfer data yang telah disetujui sebelumnya berdasarkan Peraturan Perlindungan Data Umum (GDPR), berlaku di semua Negara Anggota UE, yang memungkinkan transfer data pribadi yang sah ke negara ketiga (negara di luar Wilayah Ekonomi Eropa yang belum menerima keputusan penerimaan dari Komisi Eropa).
     

  • Bagaimana cara AWS memasukkan SCC ke dalam DPA Peraturan Perlindungan Data Umum (GDPR) AWS?

    Persyaratan Layanan AWS mencakup SCC yang diadopsi oleh Komisi Eropa (EC) pada Juni 2021, dan DPA Peraturan Perlindungan Data Umum (GDPR) AWS mengonfirmasi bahwa SCC akan berlaku secara otomatis setiap kali pelanggan AWS menggunakan layanan AWS untuk mentransfer data pelanggan ke “negara ketiga” (negara di luar Wilayah Ekonomi Eropa yang belum menerima keputusan penerimaan dari EC). Oleh karena itu, pelanggan dapat merasa nyaman bahwa setiap data pelanggan yang mereka transfer ke negara ketiga memiliki tingkat perlindungan yang sama tinggi dengan data pelanggan yang diterima di EEA. Untuk informasi lebih lanjut, silakan lihat postingan blog, Klausul Kontrak Standar Baru sekarang menjadi bagian dari Adendum Pemrosesan Data Peraturan Perlindungan Data Umum (GDPR) AWS untuk pelanggan.

Kepatuhan AWS dan Peraturan Perlindungan Data Umum (GDPR) mengikuti keputusan Schrems II dan Rekomendasi EDPB


  • Apa itu keputusan Schrems II dan Rekomendasi EDPB?

    Pada 16 Juli 2020, Mahkamah Eropa (CJEU) menerbitkan aturan terkait transfer data pribadi masyarakat UE di luar EEA (Schrems II). Dalam Schrems II, CJEU memutuskan bahwa EU-US Privacy Shield bukan lagi mekanisme yang valid untuk mentransfer data pribadi dari EEA ke AS. Namun, dalam aturan yang sama, CJEU mengonfirmasi bahwa perusahaan (wajib menerapkan langkah-langkah tambahan, jika perlu) dapat terus menggunakan Klausul Kontraktual Standar sebagai mekanisme yang valid untuk mentransfer data pribadi di luar EEA. Dewan Perlindungan Data Eropa (EDPB), badan Eropa yang terdiri dari perwakilan otoritas perlindungan data negara Eropa, sejak saat itu memberikan daftar tindakan tambahan yang tidak lengkap dalam “Rekomendasi 01/2020 tentang tindakan yang melengkapi alat transfer untuk memastikan kepatuhan dengan tingkat perlindungan data pribadi di Eropa” (Rekomendasi EDPB).

    Rekomendasi EDPB memberi pengekspor data dengan contoh tindakan tambahan yang dapat diterapkan. Lihat FAQ Dapatkah saya terus menggunakan layanan AWS mengikuti pertimbangan Schrems II?” di bawah ini untuk detail tentang sumber daya transfer data AWS. 

  • Dapatkah saya terus menggunakan layanan AWS mengikuti aturan Schrems II?

    Ya, pelanggan AWS dapat terus menggunakan layanan AWS untuk mentransfer data pelanggan dari Eropa ke negara di luar EEA yang tidak menerima keputusan penerimaan dari Komisi Eropa. Aturan Schrems II memvalidasi penggunaan Klausul Kontraktual Standar (SCC) sebagai mekanisme untuk mentransfer data pelanggan di luar EEA dan pelanggan AWS dapat terus mengandalkan SCC untuk transfer data pelanggan apa pun di luar EEA sesuai dengan Peraturan Perlindungan Data Umum (GDPR).

    • Lokasi pemrosesan. Pelanggan memilih Wilayah AWS tempat data pelanggan mereka akan disimpan. Gambaran umum Wilayah AWS yang tersedia dapat ditemukan di dalam Wilayah dan Availability Zone. AWS tidak akan memproses data pelanggan di luar Wilayah AWS yang dipilih pelanggan kecuali diperlukan untuk tujuan memberikan layanan AWS yang diajukan oleh pelanggan, atau seperlunya untuk mematuhi hukum atau perintah yang mengikat dari badan pemerintah. Silakan lihat halaman web Fitur Privasi kami untuk mengetahui lebih lanjut tentang transfer data sebagai bagian dari layanan AWS.
    • Subprosesor. AWS dapat menggunakan subprosesor, misalnya, afiliasi atau pihak ketiga AWS untuk membantu pemrosesan data pelanggan, untuk memenuhi kewajiban kami kepada pelanggan berdasarkan DPA, atau untuk menyediakan layanan atas nama kami. Lihat FAQ “Apakah AWS menggunakan subprosesor untuk memproses data pelanggan?” di bawah untuk detailnya.
    • Alat transfer. Sejak keputusan Schrems II memvalidasi penggunaan SSC sebagai mekanisme untuk mentransfer data ke negara di luar EEA yang belum menerima keputusan penerimaan dari Komisi Eropa, pelanggan kami dapat terus mengandalkan SSC yang disertakan dalam DPA Peraturan Perlindungan Data Umum (GDPR) AWS jika pelanggan memilih untuk mentransfer data pelanggan di luar EEA sesuai dengan Peraturan Perlindungan Data Umum (GDPR).
    • Tindakan tambahan.
      • Kontrol pelanggan. Pelanggan memiliki kepemilikan dan kontrol atas data pelanggan mereka sepanjang waktu melalui alat sederhana yang canggih yang memungkinkan mereka menentukan lokasi data pelanggan mereka akan disimpan, mengamankan data pelanggan mereka dalam transit, dan mengelola akses pengguna ke sumber daya AWS mereka serta mengubah, menghapus, dan mengambil data pelanggan.
      • Tindakan teknis dan organisasional. AWS mengimplementasikan kontrol dan proses teknis serta fisik yang bertanggung jawab dan canggih yang dirancang untuk mencegah akses tidak sah atau mengungkap data pelanggan (kunjungi halaman web Kepatuhan AWS untuk informasi selengkapnya). Kami juga menyediakan sejumlah layanan enkripsi dan manajemen kunci lanjutan (termasuk layanan yang memungkinkan pelanggan mengelola kunci mereka sendiri) yang dapat digunakan pelanggan untuk melindungi data mereka, baik saat dalam maupun saat istirahat - data pelanggan yang dienkripsi menjadi tidak dapat diakses tanpa kunci dekripsi yang berlaku. Terlepas dari apakah data pelanggan dienkripsi atau tidak dienkripsi, kami akan selalu berupaya dengan waspada untuk melindungi data pelanggan dari akses tidak sah apa pun.
      • Permintaan penegakan hukum. AWS memiliki proses internal untuk mengatasi permintaan yang kami terima dari penegakan hukum. Ketika kami menerima permintaan untuk data pelanggan dari penegakan hukum, kami memeriksanya dengan hati-hati untuk mengautentikasi ketepatan dan untuk memastikan bahwa permintaan tersebut sesuai dengan hukum yang berlaku. Kecuali dilarang melakukannya secara hukum, AWS memberi tahu pelanggan sebelum mengungkapkan data pelanggan agar pelanggan dapat mengambil langkah selanjutnya untuk mencari perlindungan atas pengungkapan. Dalam Adendum Tambahan untuk DPA Peraturan Perlindungan Data Umum (GDPR) AWS (Adendum Tambahan), AWS membuat komitmen kontraktual yang diperkuat sehubungan dengan menangani permintaan pemerintah untuk data pelanggan, termasuk dengan berkomitmen untuk (i) menggunakan setiap upaya yang wajar untuk mengalihkan badan pemerintah mana pun yang meminta data pelanggan kepada pelanggan yang relevan, (ii) segera memberitahukan permintaan tersebut kepada pelanggan jika diizinkan secara hukum untuk melakukannya (termasuk dengan menggunakan semua upaya yang wajar dan sah untuk mendapatkan pengabaian larangan jika perlu, (iii) menentang permintaan yang berlebihan atau tidak pantas, termasuk jika permintaan tersebut bertentangan dengan hukum UE, dan (iv) jika, setelah menyelesaikan langkah-langkah yang dijelaskan di atas, AWS masih tetap diwajibkan untuk mengungkapkan data pelanggan sebagai tanggapan atas permintaan pemerintah, untuk mengungkapkan hanya sebagian kecil data pelanggan yang diperlukan untuk memenuhi permintaan tersebut.
      • Tindakan kontraktual. AWS membuat beberapa komitmen kontraktual untuk tindakan yang dijelaskan di atas yang direfleksikan di AWS GDPR DPA dan Adendum Tambahan. AWS GDPR DPA dan Adendum Tambahan menyertakan komitmen kontraktual dari AWS mengenai (1) Wilayah AWS pilihan pelanggan tempat data pelanggan disimpan dan diproses, (2) tindakan teknis dan organisasional yang sudah diterapkan AWS untuk melindungi infrastruktur AWS dan tindakan organisasional teknis yang dapat dipilih pelanggan untuk diterapkan guna melindungi data pelanggan mereka, (3) tindakan AWS untuk melindungi data pelanggan dan memberi tahu pelanggan jika ada permintaan pengungkapan data dari badan pemerintah, dan (4) kemampuan AWS untuk memenuhi kewajibannya yang ditetapkan dalam AWS GDPR DPA sesuai dengan undang-undang yang berlaku di negara ketiga tempat data pelanggan diproses. Adendum Tambahan juga menangani (5) hak hukum individu untuk mengklaim kompensasi jika terjadi pelanggaran hak mereka yang dijamin oleh Peraturan Perlindungan Data Umum (GDPR).
  • Apakah AWS menggunakan subprosesor untuk memproses data pelanggan?

    Ya, AWS dapat menggunakan tiga tipe subprosesor: (1) entitas AWS yang menyediakan infrastruktur tempat layanan AWS berjalan; (2) entitas AWS yang mendukung layanan AWS tertentu yang mungkin memerlukan entitas ini untuk memproses data pelanggan; dan (3) pihak ketiga yang sudah dikontrak AWS untuk menyediakan aktivitas pemrosesan untuk layanan AWS tertentu. Halaman web subprosesor AWS menyediakan informasi lebih lanjut tentang subprosesor yang AWS libatkan sesuai dengan DPA Peraturan Perlindungan Data Umum (GDPR) AWS, untuk memberikan aktivitas pemrosesan data pelanggan atas nama pelanggan. Subprosesor yang relevan dengan pelanggan individu akan bergantung pada Wilayah AWS yang pelanggan pilih dan layanan AWS tertentu yang pelanggan gunakan.

  • Bagaimana cara AWS membantu pelanggan saat mereka melakukan penilaian transfer data?

    Laporan resmi AWS, Menavigasi Kepatuhan dengan Persyaratan Transfer Data UE, memberikan informasi tentang layanan dan sumber daya yang ditawarkan AWS kepada pelanggan untuk membantu mereka melakukan penilaian transfer data sehubungan dengan keputusan Schrems II, dan rekomendasi selanjutnya dari Dewan Perlindungan Data Eropa. Laporan resmi ini juga menjelaskan langkah-langkah tambahan utama yang diambil dan disediakan oleh AWS untuk melindungi data pelanggan.

  • Bagaimana saya dapat membuktikan kepada otoritas perlindungan data bahwa penggunaan saya atas layanan AWS mematuhi Peraturan Perlindungan Data Umum (GDPR)?

    AWS menawarkan informasi yang bermanfaat kepada pelanggan, termasuk beberapa laporan kepatuhan dari auditor pihak ketiga, yang telah memverifikasi kepatuhan kami terhadap berbagai macam standar dan peraturan keamanan, untuk membuktikan tingkat kepatuhan tinggi yang dipertahankan AWS bagi infrastrukturnya. Laporan ini menunjukkan kepada pelanggan kami, bahwa kami melindungi data pelanggan yang mereka pilih untuk diproses di AWS. Contoh dari kepatuhan AWS ini mencakup ISO 27001, 27017, dan 27018. ISO 27018 berisi kontrol keamanan yang berfokus pada perlindungan data pelanggan.

    AWS juga patuh dengan Kode Etik CISPE untuk perlindungan data. Informasi lebih lanjut tentang Kode Etik CISPE dapat ditemukan di FAQ di bawah, "Apakah AWS mematuhi Kode Etik yang disetujui Peraturan Perlindungan Data Umum (GDPR) khusus untuk layanan infrastruktur cloud?"

  • Apakah AWS mematuhi Kode Etik yang disetujui Peraturan Perlindungan Data Umum (GDPR) yang spesifik dengan layanan infrastruktur cloud?

    Pada Februari 2017, AWS mengumumkan kepatuhan terhadap Kode Etik Perlindungan Data CISPE. CISPE (Penyedia Layanan Infrastruktur Cloud di Eropa ) merupakan koalisi dari para pemimpin komputasi cloud yang melayani jutaan pelanggan Eropa. CISPE telah mengembangkan kolaborasi dengan Otoritas Perlindungan Data Prancis (CNIL), Kode Etik Perlindungan Data CISPE (Kode CISPE), kode etik perlindungan data pan-Eropa pertama yang berfokus pada layanan infrastruktur cloud. Kode CISPE didukung oleh Dewan Perlindungan Data Eropa dan disetujui oleh CNIL.
     
    Kode CISPE membantu pelanggan memastikan penyedia layanan infrastruktur cloud mereka menawarkan jaminan operasional yang tepat untuk menunjukkan kepatuhan terhadap Peraturan Perlindungan Data Umum (GDPR) dan melindungi data pelanggan. Beberapa manfaat utama Kode CISPE tersebut mencakup:
    • Menjelaskan peran penyedia layanan infrastruktur cloud berdasarkan Peraturan Perlindungan Data Umum (GDPR) mengenai pemrosesan data pelanggan – yakni, data pribadi apa pun yang diproses atas nama pelanggan menggunakan layanan infrastruktur cloud.
    • Penyedia layanan infrastruktur cloud wajib memberi pelanggan pilihan untuk memilih layanan yang menyimpan dan memproses data pelanggan secara menyeluruh dalam Area Ekonomi Eropa.
    • Kode CISPE menetapkan persyaratan yang harus dipatuhi penyedia layanan infrastruktur cloud, sebagai pemroses data, dengan fokus tertentu pada tindakan keamanan: kode ini menguraikan tindakan dan komitmen yang harus dijalankan penyedia layanan infrastruktur cloud untuk memenuhi Peraturan Perlindungan Data Umum (GDPR) (dan membantu pelanggan memastikan kepatuhan mereka dengan Peraturan Perlindungan Data Umum (GDPR)).
    • Kode CISPE memberi pelanggan perlindungan data dan informasi keamanan data yang mereka perlukan untuk membuat keputusan tentang kebutuhan kepatuhan Peraturan Perlindungan Data Umum (GDPR) mereka: kode ini mewajibkan penyedia layanan infrastruktur cloud untuk bersikap transparan tentang langkah-langkah yang mereka ambil untuk melaksanakan komitmen keamanan mereka. Langkah-langkah ini menyertakan notifikasi terkait pelanggaran data pribadi dan subpemrosesan pihak ke tiga. Pelanggan dapat menggunakan informasi ini untuk mendapatkan pemahaman lengkap tentang tingkat keamanan tinggi yang disediakan.

Tindakan teknis dan organisasional


  • Bagaimana cara Peraturan Perlindungan Data Umum (GDPR) memengaruhi model tanggung jawab bersama AWS?

    GDPR tidak mengubah model tanggung jawab bersama AWS, yang terus relevan bagi pelanggan. Model tanggung jawab bersama merupakan pendekatan bermanfaat untuk menggambarkan tanggung jawab AWS yang berbeda-beda (sebagai pemroses atau subpemroses data) dan pelanggan (sebagai pengendali data atau pemroses data) berdasarkan Peraturan Perlindungan Data Umum (GDPR).

    Berdasarkan model tanggung jawab bersama, AWS bertanggung jawab untuk mengamankan infrastruktur mendasar yang mendukung layanan AWS (“Keamanan “DARI” cloud), dan pelanggan, yang bertindak sebagai pengendali data atau pemroses data, bertanggung jawab atas data pribadi apa pun yang mereka unggah ke layanan AWS (“keamanan “DALAM” cloud”).

    Tanggung jawab AWS "Keamanan dari cloud" – AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua layanan AWS. Infrastruktur ini terdiri dari perangkat keras, perangkat lunak, jaringan, dan fasilitas yang menjalankan layanan AWS, yang memberikan kontrol yang kuat untuk pelanggan, termasuk kontrol konfigurasi keamanan, untuk menangani konten pelanggan. AWS menyediakan beberapa laporan kepatuhan dari auditor pihak ke tiga yang telah memverifikasi kepatuhan kami terhadap berbagai macam standar dan peraturan keamanan komputer (untuk informasi selengkapnya, kunjungi: halaman web Kepatuhan AWS). Laporan ini memperlihatkan kepada pelanggan kami, bahwa kami melindungi data pelanggan mereka. Contoh mencakup kepatuhan ISO 27001, 27017, dan 27018 AWS. ISO 27018 berisi kontrol keamanan yang berfokus pada perlindungan data pelanggan.

    Tanggung jawab pelanggan “Keamanan di Cloud - Pelanggan AWS bertanggung jawab untuk merancang dan mengamankan aplikasi serta solusi yang mereka pilih untuk di-deploy di layanan AWS. Pelanggan AWS juga bertanggung jawab untuk mengonfigurasi layanan AWS dengan cara yang melindungi kerahasiaan, integritas, dan kebutuhan keamanan data pelanggan mereka. Tanggung jawab khusus yang harus dimiliki pelanggan untuk mengamankan data pelanggan mereka bervariasi bergantung pada layanan AWS yang pelanggan pilih untuk digunakan dan cara layanan tersebut diintegrasikan ke dalam lingkungan IT pelanggan. Pelanggan AWS memiliki visibilitas dan kontrol atas data pelanggan mereka serta dapat mengimplementasikan kontrol keamanan yang fleksibel berdasarkan sensitivitas jenis data pelanggan tertentu. Pelanggan dapat melakukan ini dengan memanfaatkan tindakan dan alat keamanannya sendiri, atau menggunakan tindakan dan alat keamanan yang disediakan oleh AWS atau pemasok lainnya. Dengan cara ini, pelanggan dapat menerapkan lapisan keamanan tambahan untuk data pelanggan yang lebih sensitif.

    AWS menyediakan produk, alat, dan layanan yang dapat pelanggan gunakan untuk merancang dan mengamankan aplikasi dan solusi mereka serta yang dapat di-deploy untuk membantu mematuhi persyaratan Peraturan Perlindungan Data Umum (GDPR), termasuk:

    • AWS Identity and Access Management (IAM) memungkinkan organisasi mengelola akses ke layanan dan sumber daya AWS secara aman. Dengan menggunakan IAM, pelanggan dapat membuat dan mengelola pengguna serta grup AWS serta menggunakan izin untuk membolehkan dan menolak akses ke sumber daya AWS. IAM adalah fitur akun AWS yang ditawarkan tanpa biaya tambahan.
    • AWS CloudTrail memungkinkan organisasi mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di AWS, yang menyederhanakan analisis keamanan, pelacakan perubahan sumber daya, dan pemecahan masalah (AWS CloudTrail diaktifkan di semua akun AWS secara default).
    • Amazon GuardDuty adalah layanan deteksi ancaman terkelola yang memantau terus-menerus perilaku jahat dan tidak sah untuk membantu melindungi akun dan beban kerja AWS. Layanan tersebut memantau aktivitas yang dapat menunjukkan kemungkinan kebocoran akun, seperti panggilan API yang tidak biasa atau penerapan yang berpotensi tidak sah. GuardDuty juga mendeteksi instans yang berpotensi ditembus atau diintai oleh penyerang.
    • Amazon Macie adalah alat machine learning untuk membantu menemukan dan mengklasifikasikan data pribadi yang disimpan di Amazon S3.

    Lihat laporan resmi kami, Menavigasi Kepatuhan GDPR di AWS, untuk detail lebih lanjut tentang cara menggunakan sumber daya AWS sesuai dengan GDPR.

  • Apakah partner AWS menawarkan produk dan layanan untuk membantu mematuhi Peraturan Perlindungan Data Umum (GDPR)?

    Ya, Anda dapat mencari “GDPR” (Peraturan Perlindungan Data Umum (GDPR)) di AWS Partner Solutions Finder untuk membantu menemukan partner ISV, MSP, dan SI yang memiliki produk dan layanan untuk membantu mewujudkan kepatuhan terhadap Peraturan Perlindungan Data Umum (GDPR). Pelanggan juga dapat mencari solusi “GDPR” (Peraturan Perlindungan Data Umum (GDPR)) di AWS Marketplace.

  • Apakah AWS menawarkan bantuan layanan profesional terkait kepatuhan Peraturan Perlindungan Data Umum (GDPR)?

    Ya, Layanan Jaminan Keamanan AWS memiliki sejumlah aktivitas untuk membantu pelanggan di perjalanan mereka untuk mencapai kepatuhan Peraturan Perlindungan Data Umum (GDPR). Tim profesional kepatuhan yang disertifikasi industri ini membantu pelanggan mencapai, mengelola, dan mengotomatiskan kepatuhan di cloud dengan menyatukan kepatuhan yang berlaku ke fitur dan fungsionalitas khusus keamanan AWS. Detail selengkapnya tentang bagaimana Konsultan Layanan Profesional AWS membantu pelanggan dapat ditemukan di sini.

  • Bagaimana AWS Support dapat membantu saya dalam memastikan kepatuhan terhadap Peraturan Perlindungan Data Umum (GDPR)?

    Pelanggan dapat menggunakan AWS Support untuk menerima panduan teknis guna membantu mereka mencapai kepatuhan Peraturan Perlindungan Data Umum (GDPR). Sebagai bagian dari aktivitas ini, kami memiliki tim Teknisi Dukungan Cloud dan Manajer Akun Teknis (TAM) yang dilatih untuk membantu mengidentifikasi dan memitigasi risiko kepatuhan. Tingkat dukungan yang disediakan AWS bergantung pada Paket AWS Support yang dipilih pelanggan. Pelanggan yang ingin memahami cara AWS Premium Support dapat membantu pelanggan dapat menemukan informasi lebih lanjut di AWS Support Center, tersedia melalui Konsol Manajemen AWS, dengan menggunakan detail kontak yang ditentukan dalam Perjanjian Dukungan Korporasi yang disepakati dengan AWS, atau dengan mengunjungi: halaman web AWS Support. Pelanggan dengan Enterprise Support harus menghubungi TAM mereka dengan pertanyaan terkait Peraturan Perlindungan Data Umum (GDPR).

    Pelanggan dapat menemukan dua program bermanfaat berikut saat mereka mengejar kepatuhan Peraturan Perlindungan Data Umum (GDPR):

    • Cloud Operations Review – Tersedia bagi pelanggan AWS Enterprise Support, program ini didesain untuk membantu mengidentifikasi celah dalam pendekatan mereka untuk beroperasi di cloud. Berasal dari serangkaian praktik terbaik operasional yang ditawarkan dari pengalaman AWS dengan sejumlah besar pelanggan representatif, program ini memberikan tinjauan operasi cloud dan praktik manajemen terkait, yang dapat membantu organisasi memenuhi kepatuhan GDPR. Program tersebut menggunakan pendekatan empat pilar dengan berfokus pada persiapan, pemantauan, operasi, dan pengoptimalan sistem berbasis cloud dalam mewujudkan keunggulan operasional.
    • Well-Architected Review – Program ini memungkinkan organisasi mengukur arsitektur mereka terhadap praktik terbaik AWS dan untuk membangun arsitektur yang aman, andal, berperforma tinggi, dan hemat biaya. Well-Architected Review juga memungkinkan pelanggan memahami bagian arsitektur mereka yang berisiko dan mengatasinya sebelum aplikasi diteruskan ke produksi.

  • Bagaimana AWS membantu pelanggan memenuhi kewajiban mereka berdasarkan Peraturan Perlindungan Data Umum (GDPR), terkait notifikasi pelanggaran data pribadi?

    AWS menyediakan notifikasi proses pemantauan insiden dan pelanggaran data serta akan memberi tahu pelanggan atas pelanggaran keamanan AWS tanpa penundaan yang tidak semestinya dan sesuai dengan AWS GDPR DPA. AWS juga memberi pelanggan sejumlah alat untuk memahami siapa yang memiliki akses ke sumber daya mereka, kapan, dan dari mana. Salah satu alat tersebut adalah AWS CloudTrail yang memungkinkan tata kelola, kepatuhan, audit operasional, dan audit risiko terhadap akun AWS. Dengan AWS CloudTrail, pelanggan dapat mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di seluruh infrastruktur AWS mereka. Hal ini membantu organisasi memahami apa yang terjadi dengan infrastruktur AWS mereka dan dapat segera mengambil tindakan atas aktivitas yang tidak biasa. Untuk informasi selengkapnya tentang alat keamanan lain yang diberikan AWS kepada pelanggan untuk membantu memenuhi kewajiban mereka sebagai pengendali data berdasarkan Peraturan Perlindungan Data Umum (GDPR), kunjungi: halaman web Keamanan AWS Cloud.  

  • Bagaimana AWS membantu saya melindungi data pelanggan saya terhadap serangan siber?

    AWS memberi pelanggan dan Partner AWS sejumlah alat untuk mengamankan data pelanggan mereka dan membantu melindungi serangan siber. Salah satu alat tersebut adalah AWS Shield. Ini adalah layanan perlindungan Distributed Denial of Service (DDoS) terkelola untuk melindungi situs web dan aplikasi yang berjalan di AWS. AWS Shield Standard tersedia tanpa biaya tambahan serta memberikan deteksi selalu aktif dan mitigasi inline otomatis yang dapat mengurangi downtime dan latensi aplikasi. Untuk tingkat perlindungan yang lebih tinggi terhadap serangan yang menargetkan aplikasi web yang berjalan di AWS dan yang menggunakan sumber daya ELB, Amazon CloudFront, dan Amazon Route 53, pelanggan dan Partner AWS dapat berlangganan AWS Shield Advanced. AWS juga memublikasikan dan secara rutin memperbarui Praktik Terbaik AWS untuk Ketahanan DDoS yang dapat membantu pelanggan menggunakan AWS untuk membangun aplikasi yang tahan terhadap serangan DDoS.

    Alat lain yang dimiliki AWS untuk membantu melindungi data pelanggan terhadap serangan siber meliputi:

    • AWS Identity and Access Management (IAM) memungkinkan organisasi mengelola akses ke layanan dan sumber daya AWS secara aman. Dengan menggunakan IAM, pelanggan dan Partner AWS dapat membuat dan mengelola pengguna dan grup AWS serta menggunakan izin untuk mengizinkan dan menolak akses ke sumber daya AWS. IAM adalah fitur akun AWS yang ditawarkan tanpa biaya tambahan.
    • AWS Config memungkinkan pelanggan dan Partner AWS menjalankan aturan yang dikemas sebelumnya yang membantu memastikan sumber daya AWS mereka dikonfigurasi dengan benar dan sesuai standar.
    • AWS CloudTrail memungkinkan organisasi mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di AWS, yang menyederhanakan analisis keamanan, pelacakan perubahan sumber daya, dan pemecahan masalah (AWS CloudTrail diaktifkan di semua akun AWS secara default).
    • Amazon GuardDuty adalah layanan deteksi ancaman terkelola yang memantau terus-menerus perilaku jahat dan tidak sah untuk membantu melindungi akun dan beban kerja AWS. Layanan tersebut memantau aktivitas yang dapat menunjukkan kemungkinan kebocoran akun, seperti panggilan API yang tidak biasa atau penerapan yang berpotensi tidak sah. GuardDuty juga mendeteksi instans yang berpotensi ditembus atau diintai oleh penyerang.
  • Alat apa yang tersedia untuk membantu saya mengidentifikasi data pribadi dalam konten saya di AWS?

    Amazon Macie adalah layanan privasi data dan keamanan data terkelola penuh yang menggunakan machine learning dan pencocokan pola untuk menemukan dan melindungi data personal Anda di AWS. Ketika organisasi mengelola volume data yang terus tumbuh, mengidentifikasi dan melindungi data personal mereka sesuai skala dapat menjadi proses yang makin rumit, mahal, dan menghabiskan banyak waktu. Amazon Macie mengotomatiskan penemuan data personal sesuai skala dan mengurangi biaya perlindungan data Anda. Macie secara otomatis menyediakan inventaris bucket Amazon S3 termasuk daftar bucket yang tidak terenkripsi, bucket yang dapat diakses publik, dan bucket yang dibagikan dengan akun AWS di luar yang sudah ditentukan di AWS Organizations. Selanjutnya, Macie menerapkan teknik machine learning dan pencocokan pola ke bucket yang Anda pilih untuk mengidentifikasi dan memperingatkan Anda terkait data pribadi.

    Amazon Macie disertifikasi dengan standar yang diakui secara internasional, seperti ISO 27017 untuk keamanan cloud, ISO 27018 untuk privasi cloud. Pelanggan dan Partner AWS juga dapat menggunakan Macie untuk terus memantau akses ke data mereka agar dapat mendeteksi aktivitas mencurigakan berdasarkan pola akses.

  • Bagaimana saya dapat mengontrol akses ke data pribadi dalam konten saya di AWS?

    Untuk membantu pelanggan dengan kepatuhan GDPR, AWS memiliki sejumlah alat untuk mengontrol akses ke data pribadi yang terdapat dalam konten mereka di AWS. Alat tersebut mencakup:

    • Keamanan secara default berarti layanan AWS didesain agar aman secara default. Jika konfigurasi default digunakan, akses ke sumber daya dikunci sehingga hanya tersedia bagi pemilik akun dan administrator root.
    • AWS Identity and Access Management (IAM) memungkinkan Anda mengelola akses layanan AWS dan sumber daya secara aman. Dengan menggunakan IAM, organisasi dapat membuat dan mengelola pengguna dan grup AWS serta menggunakan izin untuk mengizinkan dan menolak akses ke sumber daya AWS. IAM adalah fitur akun AWS yang ditawarkan tanpa biaya tambahan.
    • AWS Multi-Factor Authentication menambahkan lapisan perlindungan ekstra di samping nama pengguna dan kata sandi akun AWS. AWS memberi pelanggan opsi perangkat virtual dan MFA perangkat keras.
    • AWS Directory Service memungkinkan pelanggan mengintegrasikan dan menggabungkan direktori perusahaan untuk mengurangi overhead administratif dan meningkatkan pengalaman pengguna akhir.
    • AWS Config memungkinkan pelanggan menjalankan aturan yang dikemas sebelumnya yang membantu memastikan sumber daya AWS mereka dikonfigurasi dengan benar dan sesuai standar.
    • AWS CloudTrail memungkinkan pelanggan mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di seluruh infrastruktur AWS mereka, yang menyederhanakan analisis keamanan, pelacakan perubahan sumber daya, dan pemecahan masalah (AWS CloudTrail diaktifkan di semua akun AWS secara default).
    • Amazon Macie menggunakan machine learning untuk membantu pelanggan mencegah kehilangan data dengan menemukan, mengklasifikasikan, dan melindungi data sensitif di AWS secara otomatis. Layanan terkelola penuh ini terus memantau anomali aktivitas akses data dan membuat pemberitahuan mendetail ketika mendeteksi akses yang tidak sah atau kebocoran data secara tidak sengaja – seperti data sensitif yang secara tidak sengaja dibuat dapat diakses secara eksternal oleh pelanggan.
       
  • Bagaimana saya mengenkripsi data pelanggan untuk mencegah akses yang tidak sah?

    AWS menawarkan kepada pelanggan dan Partner AWS kemampuan untuk menambahkan lapisan keamanan tambahan ke data pelanggan mereka saat istirahat di cloud dan membantu mereka memenuhi kewajiban keamanan pemrosesan mereka sebagai pengendali data berdasarkan Peraturan Perlindungan Data Umum (GDPR). Alat Enkripsi yang tersedia di AWS mencakup:

     
    Selain itu, AWS memberikan API bagi pelanggan dan Partner AWS untuk mengintegrasikan enkripsi dan perlindungan data dengan salah satu layanan yang mereka kembangkan atau deploy di lingkungan AWS.
  • Layanan apa yang ditawarkan AWS kepada pelanggan untuk membantu mematuhi Peraturan Perlindungan Data Umum (GDPR)?

    AWS memberikan fitur dan layanan khusus yang membantu pelanggan memenuhi persyaratan Peraturan Perlindungan Data Umum (GDPR):

    Kontrol Akses: Hanya izinkan administrator, pengguna, dan aplikasi yang sah untuk mengakses sumber daya AWS

    • Otentikasi Multi-Faktor (MFA)
    • Akses granuler halus ke objek di Amazon S3-Bucket/Amazon SQS/Amazon SNS dan lainnya
    • Autentikasi Permintaan API
    • Pembatasan Geografis
    • Token akses sementara melalui AWS Security Token Service

    Pemantauan dan Pencatatan Log: Dapatkan gambaran umum tentang aktivitas di sumber daya AWS Anda

    Enkripsi: Enkripsi Data di AWS

    • Enkripsi data Anda saat istirahat dengan AES256 (EBS/S3/Glacier/RDS)
    • Key Management yang Dikelola Secara Terpusat (menurut Wilayah AWS)
    • Terowongan IPsec ke AWS dengan VPN-Gateway
    • Modul HSM khusus di cloud dengan AWS CloudHSM

    Kerangka Kerja Kepatuhan dan Standar Keamanan yang Kuat: Kami menunjukkan kepatuhan dengan standar internasional yang akurat, seperti:

Hubungi


  • Siapa yang harus saya hubungi jika memiliki pertanyaan terkait Peraturan Perlindungan Data Umum (GDPR) dan AWS?

    Sebaiknya pelanggan yang memiliki pertanyaan terkait Peraturan Perlindungan Data Umum (GDPR) dapat menghubungi manajer akun AWS mereka terlebih dulu. Jika pelanggan mendaftar Enterprise Support, mereka juga dapat menghubungi Manajer Akun Teknis (TAM). TAM bekerja dengan Solutions Architect untuk membantu pelanggan mengidentifikasi kemungkinan risiko dan kemungkinan mitigasi. TAM dan tim akun juga dapat mengarahkan pelanggan dan Mitra APN ke sumber daya spesifik berdasarkan lingkungan dan kebutuhan mereka.
     

    AWS juga memiliki tim Perwakilan Dukungan Perusahaan, Konsultan Layanan Profesional, dan staf lain untuk membantu menjawab pertanyaan seputar Peraturan Perlindungan Data Umum (GDPR). Jika ada pertanyaan, Anda dapat menghubungi kami di sini.

compliance-contactus-icon
Ada pertanyaan? Hubungi perwakilan bisnis AWS
Ingin menyelami lebih jauh pentingnya kepatuhan?
Daftar sekarang »
Ingin info terbaru tentang AWS Compliance?
Ikuti kami di Twitter »