Costruisci un futuro più solido con la tecnologia AWS

Risorse per la sicurezza e la privacy

• Accesso ai dati su AWS

  Con AWS, i clienti hanno la proprietà dei propri dati, ne controllano la posizione e decidono chi può accedervi. Siamo trasparenti su come i servizi AWS elaborano i dati personali caricati su un account AWS (i dati dei clienti) e forniamo funzionalità che consentono di crittografare, eliminare e monitorare l'elaborazione dei dati dei clienti. Ciò avviene in conformità al Modello di responsabilità condivisa AWS e all'Accordo cliente AWS. Le funzionalità di privacy dei servizi AWS forniscono ulteriore granularità per i singoli servizi.

  Risorse
  

  • Accordo cliente AWS: l'Accordo cliente AWS contiene i termini e le condizioni che regolano l'accesso alle offerte di servizi e l'utilizzo degli stessi.
  • Funzionalità di privacy dei servizi AWS: una panoramica delle principali funzionalità di privacy dei servizi AWS, utili per eseguire valutazioni del trasferimento dei dati in conformità alla decisione Schrems II della Corte di giustizia dell'Unione europea e le raccomandazioni del Comitato europeo per la protezione dei dati sulle misure che integrano gli strumenti di trasferimento.
  • Codice di condotta sulla protezione dei dati CISPE: il Codice CISPE garantisce alle organizzazioni che i loro fornitori di servizi infrastrutturali cloud soddisfino i requisiti applicabili ai titolari del trattamento dei dati nell'ambito del GDPR. Ernst and Young CertifyPoint (EYCP) ha certificato come conformi 52 servizi AWS, fornendo ai clienti la garanzia aggiuntiva della verifica indipendente della conformità al GDPR di tali servizi.
  • Modello di responsabilità condivisa: la sicurezza e la conformità sono una responsabilità condivisa tra AWS e il cliente. Questo modello condiviso può aiutare ad alleviare il fardello operativo del cliente in quanto AWS aziona, gestisce e controlla i componenti dal sistema operativo host e il livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui il servizio opera.
    
  • AWS Nitro System: una combinazione di hardware dedicato e hypervisor leggeri che consentono l'elaborazione riservata, tramite la quale l'accesso degli operatori viene limitato.
    

• L'accesso ai dati dei clienti da parte del Governo degli Stati Uniti: il CLOUD Act

  Il CLOUD Act, al quale sono soggette tutte le aziende, comprese le società straniere che conducono affari negli Stati Uniti, non concede alle forze dell'ordine statunitensi un accesso incondizionato ai dati. Si applica solo a una categoria ristretta di dati: le prove ricercate in relazione a un crimine, come ad esempio di stampo terroristico, su cui gli Stati Uniti hanno giurisdizione.
  Chiarimenti sul CLOUD Act: una pagina dedicata alla spiegazione dei dettagli concernenti il CLOUD Act e AWS.
  Chiarimento dell'IDC sul CLOUD Act: chiarimento dell'IDC che approfondisce nel dettaglio i vari aspetti del CLOUD Act.
  

  AWS contesterà le richieste di dati dei clienti avanzate da forze dell'ordine e da enti governativi nei casi in cui esse siano in conflitto con la legge, siano eccessive o sussistano fondati motivi per opporsi.
  

  Risorse
  

  • Rafforzamento dell'impegno di AWS in merito alle richieste da parte delle forze dell'ordine: modifica del Contratto clienti che prevede la contestazione delle richieste avanzate dalle forze dell'ordine e la limitazione della divulgazione alla stretta quantità di informazioni necessaria.
  • Rapporto sulle richieste di informazioni da parte delle forze dell'ordine: rapporto semestrale che specifica il tipo e il numero delle richieste di informazioni avanzate delle forze dell'ordine ed elaborate da Amazon.
  • AWS Well-Architected: AWS Well-Architected aiuta gli architetti del cloud a creare infrastrutture sicure, ad alte prestazioni, resilienti ed efficienti per le loro applicazioni e i loro carichi di lavoro. Basato su sei principi (eccellenza operativa, sicurezza, affidabilità, efficienza delle prestazioni, ottimizzazione dei costi e sostenibilità), AWS Well-Architected fornisce a clienti e partner un approccio coerente per la valutazione delle architetture e l'implementazione di progetti scalabili nel tempo.

  Best practice tecniche per garantire la protezione dei dati

  • AWS Key Management Service (KMS)
  • Archivio di chiavi personalizzate di AWS Key Management Service
  • AWS CloudHSM
  • Domande frequenti su AWS KMS

• AWS e il trasferimento dei dati

  Sono i clienti a scegliere le regioni AWS in cui saranno archiviati i propri contenuti. Inoltre, possono replicare ed eseguire backup dei contenuti in più regioni AWS. Con AWS, i clienti hanno il pieno controllo dei propri dati, controllo che comprende aspetti come l'archiviazione, la protezione, i diritti di accesso e l'architettura in funzione delle specifiche esigenze di sovranità dei dati. AWS elabora i dati dei clienti esclusivamente in conformità alle Istruzioni documentate.

  Risorse

  • Domande frequenti sulla privacy dei dati
  • AWS e la partecipazione a Gaia-X, un'iniziativa dell'UE che riunisce rappresentanti di aziende, del settore scientifico e del panorama politico per aiutare a stabilire gli standard dell'infrastruttura dei dati del futuro.
  • Guardrail per la residenza dei dati in AWS Control Tower: una soluzione semplificata per tradurre i requisiti sulla residenza dei dati in controlli che possono essere applicati ad ambienti con uno o più account.
    

   

• Crittografia dei dati su AWS
  

  AWS informa i clienti prima di divulgare i dati; inoltre, mette a disposizione dei clienti svariati metodi di crittografia avanzata e servizi di gestione delle chiavi utilizzabili per proteggere i contenuti. Scopri le risorse per la crittografia dei dati di AWS.

  Risorse

  • Nozioni di base sulla crittografia AWS
  • Whitepaper sulla crittografia di AWS KMS
  • Quick Starts AWS per la conformità
  • Aggiornamenti sulla crittografia AWS
    

• Le leggi dell'UE, lo Scudo per la privacy e AWS
  

  I partner e i clienti AWS possono continuare a utilizzare AWS per trasferire i propri contenuti dall'Europa agli Stati Uniti e altri Paesi in conformità alle leggi sulla protezione dei dati dell'UE, compreso il Regolamento generale sulla protezione dei dati (GDPR). Inoltre, i clienti e i partner possono archiviare ed elaborare i dati all'interno di una regione dell'Unione europea e assicurarsi che non avvengano trasferimenti di dati per ottemperare alla sentenza Schrems II.

  Risorse

  • Panoramica di AWS e i dati dei clienti nell'UE.
  • eBook: La protezione dei dati nell'UE e AWS.

   

• Il GDPR e il supporto offerto da AWS
  

  AWS si impegna a offrire servizi e risorse per aiutare i clienti a rispettare i requisiti di protezione dei dati che possono essere applicabili alle loro attività e dispone di più di 500 funzioni e servizi incentrati su sicurezza e conformità.  A tal fine, a marzo 2018 abbiamo annunciato che tutti i servizi e le funzionalità di AWS possono essere utilizzati in conformità al GDPR. 

  AWS offre un addendum sull'elaborazione dei dati (Data Processing Addendum, DPA) nei termini del servizio AWS che viene applicato automaticamente ogni volta che i clienti AWS utilizzano i servizi AWS per elaborare dati personali caricati nell'account AWS.  I termini conformi al GDPR del DPA di AWS sono considerati uno standard elevato di conformità alla privacy in tutto il mondo e superano i requisiti della maggior parte delle altre normative di protezione dei dati. Questo significa che i clienti otterranno uno standard di conformità equivalente, o addirittura superiore, rispetto a quello richiesto dalla maggior parte delle normative di protezione dei dati. 

  Per maggiori informazioni su ciò che AWS sta facendo per aiutare i clienti a gestire i requisiti di protezione dei dati, consulta la nostra pagina Protezione dei dati.
  

  Risorse
  

  • Centro sulla privacy dei dati: tutte le risorse sulla privacy dei dati in AWS.
  • Centro per il Regolamento generale sulla protezione dei dati (GDPR): tutte le risorse e le domande frequenti sul GDPR.
    
  • Programmi per la conformità di AWS: il Programma di conformità AWS aiuta i clienti a comprendere i solidi controlli attuati da AWS per mantenere la sicurezza e la conformità nel cloud. 
  • Sicurezza, identità e conformità di AWS: una panoramica dei casi d'uso della sicurezza e dei rispettivi servizi AWS per la protezione dei dati, la gestione di identità e accesso, la protezione di reti e applicazioni, il rilevamento delle minacce e il monitoraggio continuo, così come per la conformità e la privacy dei dati.
  • AWS Well-Architected: AWS Well-Architected aiuta gli architetti del cloud a creare infrastrutture sicure, ad alte prestazioni, resilienti ed efficienti per le loro applicazioni e i carichi di lavoro. Basato su sei principi (eccellenza operativa, sicurezza, affidabilità, efficienza delle prestazioni, ottimizzazione dei costi e sostenibilità), AWS Well-Architected fornisce un approccio ottimizzato a clienti e partner per la valutazione delle architetture e l'attuazione di progetti che possono dimensionarsi nel tempo.
  • AWS Artifact: AWS Artifact è la risorsa centrale di riferimento per le informazioni sulla conformità rilevanti per i clienti AWS. Consente l'accesso on demand ai report di sicurezza e conformità di AWS e a una selezione di contratti online. Fra i report disponibili in AWS Artifact troviamo i report SOC (Service Organization Control), i report PCI (Payment Card Industry) e le certificazioni da parte di entità di controllo su più aree geografiche e segmenti verticali di conformità che validano l'efficienza di implementazione e operatività dei controlli di sicurezza AWS. I contratti disponibili in AWS Artifact includono il Business Associate Addendum (BAA) e l'accordo di non divulgazione (NDA).
    

• Posizione geografica dei data center
  

  Sono i clienti AWS a scegliere in quale regione o in quali regioni saranno ubicati i loro contenuti e i server. In questo modo, i clienti che devono rispettare requisiti geografici specifici sulla residenza dei dati possono creare ambienti in una o più ubicazioni di loro scelta. I clienti mantengono il controllo e la proprietà totali sulla regione in cui i loro dati sono immagazzinati fisicamente, semplificando così il rispetto della conformità regionale e dei requisiti territoriali riguardo ai dati. AWS non trasferisce i contenuti dei clienti senza il consenso degli stessi, salvo che nei casi previsti dalla legge.

  Risorse

  • Infrastruttura globale di AWS: panoramica dettagliata e aggiornata delle regioni, delle zone di disponibilità e dei punti di presenza AWS, nonché dei Paesi e dei territori attualmente serviti.
  • Regioni e zone di disponibilità: visualizzazione su mappa dell'ubicazione delle regioni AWS e delle zone di disponibilità.
  • Informazioni sui data center: informazioni dettagliate sui vari livelli dei data center AWS: perimetrale, di infrastruttura, dei dati e di ambiente.
    

• Settori regolamentati su AWS
  

  Per facilitare il rispetto degli esclusivi obblighi di sicurezza, normativi e di conformità da parte degli istituti dei settori regolamentati e del settore pubblico, AWS ha conseguito una serie di certificazioni e accreditamenti riconosciuti a livello internazionale comprovando la sua conformità ai framework di garanzia di terze parti, tra cui: HIPAA, il GDPR, il Regolamento sulla protezione dei dati sanitari personali della Francia (HDS), il Cloud Computing Compliance Controls Catalogue (C5), le Misure di sicurezza di alto livello della Spagna (ENS high), il Regolamento sulla protezione dalle minacce informatiche del Regno Unito (Cyber Essential Plus), gli Standard governativi del Regno Unito (G-Cloud) e le circolari di attestazione dell'Autorità di vigilanza del mercato finanziario della Svizzera.

  Risorse

  • Domande frequenti sulla conformità per gli istituti finanziari: domande frequenti sull'utilizzo di AWS da parte degli istituti finanziari tedeschi.
  • Conformità e sicurezza per i servizi finanziari: AWS conosce bene gli esclusivi obblighi di sicurezza, normativi e di conformità che gli istituti finanziari devono affrontare su scala globale. Questa panoramica prende in esame tutte le risorse e i passaggi che permettono agli istituti finanziari di orientarsi nel cloud in modo sicuro.
  • Governance nel cloud per i servizi finanziari: un framework per aiutare i clienti a stabilire i processi e selezionare gli strumenti per gestire e disciplinare il loro ambiente AWS.
  • AWS Artifact: la risorsa centrale di riferimento per le informazioni sulla conformità rilevanti per i clienti. Consente l'accesso on demand ai report di sicurezza e conformità di AWS e a una selezione di accordi online.
  • Programmi di conformità AWS: questo programma aiuta i clienti a comprendere i controlli attuati da AWS per mantenere la sicurezza e la conformità nel cloud, che si fondano su una combinazione di funzionalità di servizio verificabili e orientate alla governance e degli standard di conformità o verifica vigenti.
  • AWS nel settore pubblico: un centro risorse dedicato a enti governativi, organizzazioni no profit, istituzioni scolastiche e istituti sanitari per promuovere le riforme e supportare progetti altamente innovativi.