Centro per il Regolamento generale sulla protezione dei dati (GDPR)

Conformità al GDPR durante l'utilizzo dei servizi AWS

Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea(UE) tutela il diritto fondamentale alla privacy e alla protezione dei dati personali di ogni individuo. Il GDPR include i rigorosi requisiti che definiscono e armonizzano gli standard in materia di protezione, sicurezza e conformità dei dati. Per ulteriori informazioni, consultare le nostre domande frequenti sul GDPRdi seguito.

I clienti AWS possono utilizzare tutti i servizi AWS per elaborare i dati personali (come definiti nel GDPR) caricati nei servizi AWS nei loro account AWS (dati cliente) inconformità con il GDPR. Oltre a garantire la propria conformità, AWS si impegna a offrire servizi e risorse per consentire ai clienti di essere conformi ai requisiti del GDPR applicabili alle loro attività. Nuove caratteristiche vengono rilasciate con regolarità: AWS offre oltre 500 caratteristiche e servizi incentrati su sicurezza e conformità. Per ulteriori informazioni su ciò che AWS sta facendo, leggi il nostro blog Come AWS sta aiutando i clienti dell'UE a orientarsi nella nuova normalità della protezione dei dati.

Controllo del cliente

I clienti hanno il controllo dei dati dei loro clienti. Con AWS, i clienti possono:

  • Stabilire dove archiviare i dati del cliente, selezionando anche il tipo di archiviazione e la sua Regione geografica.
  • Scegliere il livello di sicurezza dei dati dei loro clienti. Offriamo ai clienti una solida crittografia per i dati dei loro clienti sia in transito che inattivi, consentendo inoltre la possibilità di gestire le proprie chiavi di crittografia personali.
  • Gestire l'accesso ai dati dei loro clienti e a servizi e risorse di AWS mediante utenti, gruppi, autorizzazioni e credenziali sotto il controllo dei clienti.
Ulteriori informazioni »

Trasferimenti al di fuori dello Spazio economico europeo (SEE)

I clienti AWS possono continuare a utilizzare i servizi AWS per trasferire i dati dei clienti dal SEE a Paesi non SEE che non hanno ricevuto una decisione di adeguatezza dalla Commissione Europea (compresi gli Stati Uniti) in conformità con il GDPR. In AWS, la nostra priorità principale è quella di mettere in sicurezza i dati dei clienti: per questa ragione, implementiamo rigorose misure tecniche e organizzative per proteggerne la riservatezza, l'integrità e la disponibilità a prescindere dalla Regione AWS selezionata dal cliente. Sappiamo che la trasparenza è importante per i nostri clienti. I servizi AWS che comportano un trasferimento dei dati dei clienti sono elencati nella nostra pagina Web sulle Caratteristiche sulla privacy.

Con l'evolversi del panorama normativo e legislativo, lavoreremo sempre per garantire che i nostri clienti possano continuare a usufruire dei vantaggi dei servizi AWS ovunque operino. Per ulteriori informazioni, consulta il nostro aggiornamento clienti sullo scudo UE-USA per la privacy e i nostri post del blog sull' addendum supplementare all'addendum sull'elaborazione dei dati di AWS e il codice di condotta CISPE per la protezione dei dati.

Risorse sul GDPR

Conformità al GDPR in AWS
Scarica il whitepaper »
Tutto quello che c'è da sapere su Brexit e AWS
Ulteriori informazioni »
Post del blog sulla sicurezza di AWS sul GDPR
Ulteriori informazioni »
Funzionalità di privacy dei servizi AWS
Ulteriori informazioni »

DOMANDE FREQUENTI SUL GDPR

Panoramica e nozioni di base sul GDPR


  • Il Regolamento generale sulla protezione dei dati (GDPR) è una legge europea sulla privacy, entrata in vigore il 25 maggio 2018. Il GDPR ha sostituito la Direttiva UE sulla protezione dei dati, nota anche come Direttiva 95/46/CE e il suo scopo è di armonizzare le leggi relative alla protezione dei dati in tutta l'Unione europea (UE) con l'applicazione di un'unica legge vincolante in ogni stato membro.

  • Il GDPR si applica a tutte le organizzazioni con sede nell'UE, nonché alle organizzazioni, sia con sede nell'UE che al di fuori di essa, che elaborano dati personali di soggetti dell'UE in relazione all'offerta di merci o servizi ai soggetti interessati all’interno dell'UE o al monitoraggio del comportamento nell'UE. I dati personali sono tutte le informazioni relative a una persona fisica identificata o identificabile, inclusi nomi, indirizzi e-mail e numeri di telefono.

  • Secondo il GDPR, AWS è sia responsabile del trattamento dei dati sia titolare.

    • AWS come responsabile del trattamento dei dati – Quando i clienti utilizzano i servizi AWS per elaborare i dati personali nei contenuti che caricano sui servizi AWS, AWS agisce come responsabile del trattamento dei dati. I clienti potranno utilizzare i controlli resi disponibili dai servizi AWS, ad esempio i controlli di configurazione della sicurezza, per la gestione dei dati personali. In tali circostanze, il cliente potrà ricoprire il ruolo di titolare o responsabile del trattamento dei dati, mentre AWS sarà il responsabile o il sub-responsabile. AWS offre un addendum sul trattamento dei dati di AWS (AWS DPA) conforme al GDPR che incorpora gli impegni di AWS in qualità di responsabile del trattamento dei dati. Il DPA di AWS, che include clausole contrattuali standard, fa parte dei Termini di servizio AWS ed è automaticamente disponibile per tutti i clienti che lo richiedono per essere conformi al GDPR.
    • AWS come titolare del trattamento dei dati: quando raccoglie dati personali e determina le finalità e le modalità per il loro trattamento, ad esempio quando archivia le informazioni dell'account (come indirizzi e-mail forniti durante la registrazione dell'account) necessarie per la registrazione e l'amministrazione di un account, l'accesso ai servizi o le informazioni di contatto per l'account AWS per fornire assistenza attraverso il servizio clienti, AWS agisce da titolare del trattamento dei dati. Consulta l’Informativa sulla Privacy di AWS per ulteriori dettagli sul modo in cui AWS tratta i dati personali in qualità di controller.
  • Le SCC sono un meccanismo di trasferimento dei dati pre-approvato ai sensi del GDPR, applicabile in tutti gli Stati membri dell'UE, che permette il trasferimento legale di dati personali a paesi al di fuori dello Spazio economico europeo che non hanno ricevuto una decisione di adeguatezza dalla Commissione europea (paesi terzi).

  • I Termini di servizio AWS comprendono le SCC adottate dalla Commissione europea (CE) nel giugno 2021 e il DPA di AWS conferma che le SCC vengono applicate automaticamente ogni volta che un cliente utilizza i servizi AWS per trasferire i dati dei clienti a Paesi al di fuori dello Spazio economico europeo che non hanno ricevuto una decisione di adeguatezza dalla CE (Paesi terzi). In quanto parte dei Termini di servizio AWS, le nuove SCC vengono applicate automaticamente nel momento in cui un cliente utilizza i servizi AWS per trasferire i dati dei clienti a Paesi terzi. I pochi clienti che hanno firmato un DPA di AWS possono continuare a fare affidamento su di esso, in quanto le nuove SCC nei Termini di servizio AWS sostituiscono la versione precedente delle SCC. I clienti possono quindi confidare nel fatto che qualsiasi dato del cliente trasferito a Paesi terzi utilizzando i servizi AWS gode dello stesso livello elevato di protezione dei dati dei clienti trasferiti all'interno del SEE. Per ulteriori informazioni, consulta il post del blog sull'implementazione delle nuove clausole contrattuali tipo.

Conformità AWS e GDPR in base alla sentenza Schrems II e alle raccomandazioni dell'EDPB


  • Il 16 luglio 2020, la Corte di giustizia dell'Unione europea (CGUE) ha emesso una sentenza in merito al trasferimento di dati personali di persone dell'UE al di fuori del SEE (Schrems II). In Schrems II, la CGUE ha stabilito che lo scudo UE-USA per la privacy non era più un meccanismo valido per trasferire dati personali dal SEE agli Stati Uniti. Tuttavia, nella stessa sentenza, la CGUE ha confermato che le società possono (previa attuazione di misure integrative, se necessarie) continuare a utilizzare le clausole contrattuali standard come meccanismo valido per il trasferimento dei dati personali al di fuori del SEE. Il Comitato europeo per la protezione dei dati (EDPB), un organismo europeo composto da rappresentanti delle autorità nazionali per la protezione dei dati, ha fornito da allora un elenco non esaustivo di misure supplementari nelle sue “Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire la conformità con il livello UE di protezione dei dati personali” (raccomandazioni dell'EDPB).

    Le raccomandazioni dell'EDPB forniscono agli esportatori di dati esempi di misure supplementari che potrebbero essere messe in atto. Consulta le domande frequenti "Posso continuare a utilizzare i servizi AWS in seguito alla sentenza Schrems II?" di seguito per dettagli sulle risorse di trasferimento dati di AWS. 

  • Sì, i clienti AWS possono continuare a utilizzare i servizi AWS per trasferire i dati dei clienti dall'Europa a paesi al di fuori del SEE che non hanno ricevuto una decisione di adeguatezza dalla Commissione europea. La decisione Schrems II ha convalidato l'uso delle clausole contrattuali standard (SCC, Standard Contractual Clauses) come meccanismo per il trasferimento dei dati dei clienti al di fuori del SEE e i clienti AWS possono continuare a fare affidamento sulle SCC per qualsiasi trasferimento dei dati dei clienti al di fuori del SEE in conformità con il GDPR.

    • Luogo di elaborazione. I clienti selezionano la Regione AWS in cui verranno archiviati i dati dei clienti. Una panoramica delle Regioni AWS disponibili è consultabile inRegioni e zone di disponibilità. AWS non tratterà i dati del cliente al di fuori della Regione AWS selezionata dal cliente, a meno che ciò non sia necessario allo scopo di fornire i servizi AWS avviati dal cliente, o se necessario per conformarsi alla legge o a un ordine vincolante di un ente governativo. Consulta la nostra pagina Web sulle Caratteristiche sulla privacy per saperne di più sui trasferimenti di dati nell'ambito dei servizi AWS.
    • Sub-responsabili. AWS può utilizzare sub-responsabili, vale a dire affiliati AWS o terze parti, per assistere nel trattamento dei dati dei clienti, per adempiere ai nostri obblighi nei confronti dei clienti ai sensi del DPA di AWS o per fornire servizi per nostro conto. Per ulteriori dettagli, consulta le domande frequenti "AWS utilizza sub-responsabili per elaborare i dati dei clienti?" riportate di seguito.
    • Strumenti di trasferimento. Poiché la sentenza Schrems II ha convalidato l'uso delle SCC come meccanismo per il trasferimento dei dati ai Paesi al di fuori del SEE che non hanno ricevuto una decisione di adeguatezza dalla Commissione europea, i nostri clienti possono continuare a fare affidamento sulle SCC incluse nel DPA di AWS se scelgono di trasferire i propri dati al di fuori del SEE in conformità con il GDPR.
    • Misure supplementari.
      • Controllo del cliente. I clienti hanno la proprietà e il controllo sui dati dei clienti in ogni momento tramite strumenti semplici ma potenti, che consentono loro di determinare dove verranno archiviati i dati dei clienti, proteggere i dati dei clienti in transito e inattivi e gestire l'accesso degli utenti alle loro risorse AWS e modificare, eliminare e recuperare i dati dei clienti.
      • Misure tecniche e organizzative. AWS implementa controlli e processi tecnici e fisici responsabili e sofisticati progettati per impedire l'accesso non autorizzato o la divulgazione dei dati dei clienti (visitarela pagina Web sulla Conformità di AWS per ulteriori informazioni). Forniamo anche una serie di servizi avanzati di crittografia e gestione delle chiavi (inclusi servizi che consentono ai clienti di gestire le proprie chiavi) che i clienti possono utilizzare per proteggere i dati dei propri clienti sia in transito che inattivi: i dati dei clienti crittografati sono resi inaccessibili senza le chiavi di decrittazione applicabili. Indipendentemente dal fatto che i dati dei clienti siano crittografati o meno, lavoreremo sempre con attenzione per proteggere i dati dei clienti da qualsiasi accesso non autorizzato.
      • Richieste delle forze dell'ordine. AWS dispone di processi interni per gestire le richieste che riceviamo dalle forze dell'ordine. Quando riceviamo una richiesta per la divulgazione di contenuti da parte della legge, la esaminiamo attentamente per autenticarne l’accuratezza e verificare che sia appropriata e conforme con le leggi applicabili. A meno che non sia legalmente vietato farlo, AWS avvisa i clienti prima di divulgare i loro dati in modo che i clienti possano adottare ulteriori misure per proteggere i dati dalla divulgazione. Nell'addendum supplementare al DPA di AWS (Supplementary Addendum), AWS assume impegni contrattuali rafforzati in relazione alla gestione delle richieste governative per i dati dei clienti, impegnandosi inoltre a: (i) utilizzare ogni ragionevole sforzo per reindirizzare qualsiasi ente governativo che richieda i dati dei clienti al cliente in questione, (ii) notificare prontamente la richiesta al cliente se legalmente autorizzato a farlo (anche utilizzando tutti gli sforzi ragionevoli e leciti per ottenere una deroga al divieto, se necessario), (iii) contestare qualsiasi richiesta eccessiva o inappropriata, anche laddove la richiesta sia in conflitto con il diritto dell'UE e (iv) se, dopo aver esaurito i passaggi sopra descritti, AWS rimane ancora obbligata a divulgare i dati del cliente in risposta a una richiesta governativa, a divulgare solo la quantità minima di dati del cliente necessaria per soddisfare la richiesta.
      • Misure contrattuali. AWS assume diversi impegni contrattuali rispetto alle misure sopra descritte che si riflettono nel DPA di AWS e nell'addendum supplementare. Il DPA di AWS e l'addendum supplementare includono impegni contrattuali di AWS riguardanti: (1) la selezione da parte del cliente delle Regioni AWS in cui i dati vengono archiviati e trattati, (2) le misure tecniche e organizzative che AWS ha implementato per proteggere l'infrastruttura AWS e le misure organizzative e tecniche che i clienti possono scegliere di applicare per proteggere i loro dati, (3) le misure di AWS per proteggere i dati dei clienti e informarli in caso di una richiesta di divulgazione dei dati da parte di un ente governativo e (4) la capacità di AWS di adempiere ai propri obblighi stabiliti nel DPA di AWS in conformità con la legislazione applicabile in un Paese terzo in cui vengono trattati i dati dei clienti. L'addendum supplementare affronta anche (5) i diritti legali delle persone fisiche di chiedere un risarcimento in caso di violazione dei loro diritti garantiti dal GDPR.
  • Sì, AWS può utilizzare tre tipi di sub-responsabili: (1) entità AWS che forniscono l'infrastruttura su cui vengono eseguiti i servizi AWS; (2) entità AWS che supportano servizi AWS specifici che possono richiedere l'elaborazione di dati dei clienti da parte di tali entità; (3) terze parti con cui AWS ha concordato di fornire processi di elaborazione per servizi AWS specifici. La pagina Web sui sub-responsabili di AWS fornisce ulteriori informazioni sui sub-responsabili che AWS coinvolge in conformità con il DPA di AWS, per fornire attività di elaborazione sui dati dei clienti per loro conto. I sub-responsabili relativi a un singolo cliente dipenderanno dalla Regione AWS selezionata e dai particolari servizi AWS utilizzati dal cliente.

  • Il whitepaper AWS, Navigazione nella conformità ai requisiti di trasferimento dei dati dell'UE, fornisce informazioni sui servizi e le risorse che AWS offre ai clienti per aiutarli a effettuare valutazioni sul trasferimento dei dati alla luce della decisione Schrems II e alle seguenti raccomandazioni del Comitato europeo per la protezione dei dati. Il whitepaper descrive anche le misure supplementari principali adottate e rese disponibili da AWS per proteggere i dati dei clienti.

  • AWS offre ai clienti informazioni utili quali report di conformità provenienti da enti di controllo di terza parte, che hanno verificato lo stato di conformità secondo diversi standard e normative di sicurezza informatica, per documentare gli elevati livelli di conformità mantenuti da AWS per la propria infrastruttura. Questi report mostrano ai nostri clienti che proteggiamo i dati personali che scelgono di elaborare in AWS. Ne sono esempio la conformità di AWS alle norme ISO 27001, 27017 e 27018. La norma ISO 27018 contiene controlli di sicurezza volti alla protezione dei dati dei clienti.

    AWS è inoltre conforme al codice di condotta CISPE per la protezione dei dati. Ulteriori informazioni sul codice di condotta CISPE sono disponibili nelle domande frequenti riportate di seguito: "AWS è conforme a un codice di condotta approvato ai sensi del GDPR e specifico per servizi di infrastruttura cloud?"

  • Sì. A giugno 2023, 107 servizi AWS sono conformi al Codice di condotta per la protezione dei dati dei fornitori di servizi di infrastruttura cloud in Europa (CISPE). CISPE è una coalizione di leader del cloud computing che servono milioni di clienti europei. Il codice di condotta CISPE in materia di protezione dei dati (Codice CISPE) è il primo codice di condotta pan-europeo in materia di protezione dei dati incentrato sui fornitori di servizi di infrastruttura cloud. Il Codice CISPE è stato approvato dal Comitato europeo per la protezione dei dati, che agisce per conto di 27 autorità in materia di protezione dei dati in tutta Europa, ed è stato adottato formalmente dall'Autorità francese per la protezione dai dati (CNIL), che opera in qualità di principale autorità di vigilanza. Nel 2017 AWS ha annunciato la sua conformità con una versione precedente del Codice CISPE.

    Il Codice CISPE aiuta i clienti a garantire che il proprio fornitore di servizi infrastrutturali cloud offra adeguate garanzie operative per dimostrare la conformità al GDPR e proteggere i dati dei clienti. Alcuni vantaggi chiave del codice CISPE includono:

    • Incentrato sull'infrastruttura cloud: chiarisce il ruolo del fornitore di servizi infrastrutturali cloud ai sensi del GDPR per quanto riguarda il trattamento dei dati del cliente, ovvero qualsiasi dato personale elaborato per conto del cliente utilizzando il servizio di infrastruttura cloud.
    • Dati in Europa: richiede ai fornitori di servizi infrastrutturali cloud di offrire ai clienti la possibilità di utilizzare servizi per archiviare ed elaborare i dati dei clienti esclusivamente all'interno dello Spazio economico europeo (SEE).
    • Privacy dei dati: il Codice CISPE garantisce alle organizzazioni che i loro fornitori di servizi infrastrutturali cloud soddisfino i requisiti applicabili ai dati personali processati per conto loro (dati dei clienti) nell'ambito del GDPR.

    Il certificato di conformità che illustra lo stato di conformità di AWS è disponibile nel registro pubblico CISPE. I servizi AWS elencati sono stati verificati in modo indipendente come conformi al Codice CISPE. Il processo di verifica è stato condotto da Ernst & Young CertifyPoint (EY CertifyPoint), un organismo di monitoraggio indipendente riconosciuto a livello mondiale e accreditato dal CNIL.

Misure tecniche e organizzative


  • Il GDPR non cambia il Modello di responsabilità condivisa AWS, che continua a essere rilevante per i clienti. Il modello di responsabilità condivisa rappresenta un approccio utile per illustrare le diverse responsabilità di AWS (in qualità di responsabile o sub-responsabile del trattamento dei dati) e dei clienti (come titolari o responsabili del trattamento dei dati) secondo il GDPR.

    In base al modello di responsabilità condivisa, AWS è responsabile della sicurezza dell'infrastruttura sottostante che supporta i servizi AWS ("Sicurezza "DEL" cloud") e i clienti, in qualità di titolari o responsabili del trattamento dei dati, sono responsabili di tutti i dati personali che caricano sui servizi AWS ("Sicurezza "NEL" cloud").

    Responsabilità di AWS "Sicurezza del cloud" – AWS si occupa di proteggere l’infrastruttura globale su cui vengono eseguiti tutti i servizi offerti nel cloud AWS. L'infrastruttura include hardware, software, rete e strutture in cui sono in esecuzione i servizi AWS, che forniscono a clienti potenti controlli quali la configurazione della sicurezza per gestire i contenuti dei loro clienti. AWS offre diversi report di conformità provenienti da enti di controllo di terze parti, che ne hanno verificato la conformità con una serie di standard e normative di sicurezza informatica (per ulteriori informazioni, visita la pagina Web sulla conformità di AWS). Questi report mostrano ai nostri clienti che stiamo proteggendo i dati dei loro clienti. Ad esempio, AWS è conforme alle norme AWS ISO 27001, 27017 e 27018. La norma ISO 27018 contiene controlli di sicurezza volti alla protezione dei dati dei clienti.

    Responsabilità del cliente “Sicurezza nel Cloud” - I clienti AWS sono responsabili dell'architettura e della protezione dell'applicazione e delle soluzioni che scelgono di distribuire sui servizi AWS. I clienti AWS sono anche responsabili della configurazione dei servizi AWS in modo da proteggere le esigenze di riservatezza, integrità e sicurezza dei dati dei loro clienti. Le responsabilità specifiche che i clienti hanno per proteggere i dati dei clienti variano a seconda dei servizi AWS che i clienti scelgono di utilizzare e di come tali servizi sono integrati negli ambienti IT dei clienti. I clienti AWS hanno visibilità e controllo sui dati dei propri clienti e possono implementare controlli di sicurezza flessibili in base alla sensibilità del tipo specifico di dati dei clienti. I clienti possono fare ciò utilizzando le proprie misure e strumenti di sicurezza oppure quelli messi a disposizione da AWS o da altri fornitori. In questo modo, i clienti possono mettere in atto ulteriori livelli di sicurezza per i dati più sensibili dei clienti.

    AWS rende disponibili prodotti, strumenti e servizi che i clienti possono utilizzare per progettare e proteggere le loro applicazioni e soluzioni e che possono essere distribuiti per aiutare a gestire i requisiti del GDPR, tra cui:

    • AWS Identity and Access Management (IAM) consente di gestire l'accesso ai servizi e alle risorse AWS in maniera sicura. Grazie a IAM, i clienti possono creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
    • AWS CloudTrail permette alle organizzazioni di registrare, monitorare in modo continuo e conservare le informazioni relative alle attività dell’account e alle azioni in AWS, semplificando le analisi di sicurezza, il monitoraggio delle modifiche alle risorse e la risoluzione dei problemi (AWS CloudTrail è attivato in maniera predefinita su tutti gli account AWS).
    • Amazon GuardDuty è un servizio gestito di rilevamento delle minacce che esegue un monitoraggio costante per individuare comportamenti sospetti o non autorizzati, facilitando la protezione di carichi di lavoro e account AWS. Questo servizio monitora le attività sospette che potrebbero indicare la compromissione di un account, ad esempio chiamate API inconsuete o distribuzioni potenzialmente non autorizzate. Inoltre, GuardDuty rileva le istanze potenzialmente compromesse o le attività di ricognizione da parte di malintenzionati.
    • Amazon Macie è uno strumento di machine learning che aiuta a rilevare e classificare i dati personali archiviati in Amazon S3.

    Consulta il nostro whitepaper, Navigazione conforme al GDPR su AWS, per ulteriori dettagli su come utilizzare le risorse AWS in conformità con il GDPR.

  • Sì, è possibile cercare "GDPR" nella pagina AWS Partner Solutions Finder per trovare i partner ISV, MSP e SI che forniscono prodotti e servizi utili per la conformità al GDPR. I clienti possono anche cercare le soluzioni "GDPR" su AWS Marketplace.

  • Sì, il team di AWS Security Assurance Services dispone di una serie di attività per aiutare i clienti nel loro percorso verso la conformità al GDPR. Questo team di professionisti certificati nel settore della conformità aiuta i clienti a raggiungere, mantenere e automatizzare la conformità nel cloud collegando gli standard di conformità applicabili alle caratteristiche e funzionalità specifiche del servizio AWS. È possibile trovare ulteriori dettagli su come i consulenti di AWS Professional Services stanno aiutando i clientiqui.

  • I clienti possono utilizzare AWS Support per ricevere indicazioni tecniche che li aiutino nel loro percorso verso la conformità al GDPR. Nell'ambito di questa attività sono disponibili team di Ingegneri di supporto cloud e Technical Account Manager (TAM) formati per aiutare a identificare e mitigare i rischi di conformità. Il livello di assistenza fornito da AWS dipende dal piano AWS Support scelto dai clienti. I clienti che desiderano scoprire in che modo AWS Premium Support può aiutarli possono trovare ulteriori informazioni nell'AWS Support Center, disponibile tramite la Console di gestione AWS, utilizzando i dettagli di contatto specificati nel contratto di supporto Enterprise stipulato con AWS oppure visitando lapagina Web di AWS Support. In caso di domande sul GDPR, i clienti con il livello di assistenza Enterprise dovranno contattare il loro Technical Account Manager.

    I clienti possono trovare utili i seguenti due programmi nel perseguire la conformità al GDPR:

    • Valutazione delle operazioni nel cloud: questo programma, disponibile ai clienti AWS Enterprise Support, è stato progettato per aiutare a identificare le carenze nell'approccio operativo nel cloud. Nasce da un set di best practice operative scaturite dall'esperienza di AWS con set di clienti di grandi dimensioni e fornisce una valutazione dell'operatività del cloud e delle relative prassi di gestione, che può aiutare a ottenere la conformità al regolamento. Questo programma usa un approccio basato su quattro princìpi, con particolare attenzione su preparazione monitoraggio, funzionamento e ottimizzazione di sistemi basati sul cloud per raggiungere l'eccellenza operativa.
    • Valutazione Well-Architected: questo programma permette alle organizzazioni di confrontare la loro architettura con le best practice di AWS e di creare un'architettura sicura, affidabile, ad alte prestazioni e a costi ridotti. Le valutazioni Well-Architected permettono inoltre a clienti di individuare i potenziali rischi della propria architettura e di risolverli prima che le applicazioni siano distribuite per la produzione.

  • AWS dispone di un processo di monitoraggio degli incidenti di sicurezza e di notifica delle violazioni dei dati e notificherà ai clienti le violazioni della sicurezza di AWS senza ritardi ingiustificati e in conformità con il DPA di AWS. Inoltre, AWS offre ai clienti numerosi strumenti per controllare chi ha eseguito l'accesso alle risorse, quando e da dove. Uno di questi strumenti è AWS CloudTrail, che consente di applicare governance, conformità, eseguire audit operativi e audit dei rischi di un account AWS. Con AWS CloudTrail è possibile registrare, monitorare in modo continuo e conservare le informazioni correlate alle attività dell'account all'interno dell'infrastruttura AWS. Ciò consente alle organizzazioni di avere un quadro completo di ciò che accade nell'infrastruttura AWS e rispondere tempestivamente in caso di attività sospette. Per ulteriori informazioni su altri strumenti di sicurezza che AWS offre ai clienti per soddisfare i propri obblighi in qualità di titolari del trattamento dei dati ai sensi del GDPR, visita la pagina Web Sicurezza di AWS Cloud.  

  • AWS offre a clienti e Partner APN numerosi strumenti con cui proteggere i dati e difendersi dagli attacchi informatici. Uno di questi strumenti è AWS Shield. Si tratta di un servizio gestito di protezione da attacchi di tipo DDoS (Distributed Denial of Service) che protegge siti Web e applicazioni in AWS. AWS Shield Standard è disponibile senza alcun costo aggiuntivo e fornisce rilevamento sempre attivo e mitigazione automatizzata, con cui è possibile ridurre al minimo tempi di inattività e latenza. Per ottenere un livello di protezione maggiore dagli attacchi alle applicazioni Web in esecuzione in AWS e che utilizzano risorse di ELB, Amazon CloudFront e Amazon Route 53, i clienti e i partner APN posso iscriversi a AWS Shield Advanced. AWS, inoltre, pubblica e aggiorna regolarmente un documento sulle "best practice di AWS per la resilienza agli attacchi DDoS", che aiuta i clienti a utilizzare AWS per creare applicazioni resilienti agli attacchi di tipo DDoS.

    Altri strumenti che AWS ha a disposizione per proteggere i dati dei clienti dagli attacchi informatici includono:

    • AWS Identity and Access Management (IAM) consente di gestire l'accesso ai servizi e alle risorse AWS in maniera sicura. Grazie a IAM, clienti e partner APN possono creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
    • AWS Config consente ai clienti e ai partner APN di abilitare regole preconfezionate che aiutano a garantire che le loro risorse AWS siano correttamente configurate e conformi.
    • AWS CloudTrail permette alle organizzazioni di registrare, monitorare in modo continuo e conservare le informazioni relative alle attività dell’account e alle azioni in AWS, semplificando le analisi di sicurezza, il monitoraggio delle modifiche alle risorse e la risoluzione dei problemi (AWS CloudTrail è attivato in maniera predefinita su tutti gli account AWS).
    • Amazon GuardDuty è un servizio gestito di rilevamento delle minacce che esegue un monitoraggio costante per individuare comportamenti sospetti o non autorizzati, facilitando la protezione di carichi di lavoro e account AWS. Questo servizio monitora le attività sospette che potrebbero indicare la compromissione di un account, ad esempio chiamate API inconsuete o distribuzioni potenzialmente non autorizzate. Inoltre, GuardDuty rileva le istanze potenzialmente compromesse o le attività di ricognizione da parte di malintenzionati.
  • Amazon Macie è un servizio completamente gestito per la sicurezza e la privacy dei dati che sfrutta il machine learning e il pattern matching per individuare i tuoi dati personali e proteggerli su AWS. Poiché le organizzazioni gestiscono volumi di dati sempre maggiori, l'identificazione e la tutela dei dati personali su vasta scala possono rivelarsi operazioni alquanto complesse e dispendiose in termini di tempo e risorse economiche. Amazon Macie automatizza l’individuazione dei dati personali su scala e riduce i costi relativi alla protezione dei tuoi dati. Macie fornisce automaticamente un inventario dei bucket di Amazon S3 tra cui un elenco di bucket non criptati, bucket pubblicamente accessibili e bucket condivisi con account AWS diversi da quelli definiti in AWS Organizations. Successivamente, Macie applica tecniche di machine learning e pattern matching ai bucket selezionati avvisandoti una volta individuati i dati personali.

    Amazon Macie è conforme a certificazioni e standard internazionali, tra cui la norma ISO 27017 per la sicurezza nel cloud, la norma ISO 27018 per la privacy nel cloud. I clienti e Partner APN possono impiegare Macie per monitorare in modo continuo gli accessi ai dati e individuare attività sospette in base ai modelli di accesso.

  • Per aiutare clienti a soddisfare i requisiti del GDPR, AWS offre una serie di strumenti per controllare gli accessi ai dati personali salvati in AWS. Di seguito sono elencati alcuni di questi strumenti.

    • I servizi AWS sono stati progettati per garantire di default la massima protezione. Se viene applicata la configurazione predefinita, l'accesso alle risorse è limitato solo al proprietario dell'account e all'amministratore dell'account root.
    • AWS Identity and Access Management (IAM) consente di gestire in sicurezza l'accesso ai servizi e alle risorse AWS. Grazie a IAM, è possibile creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
    • AWS Multi-Factor Authentication aggiunge un ulteriore livello di protezione a nome utente e password dell'account AWS. AWS offre ai clienti dispositivi MFA virtuali e hardware.
    • AWS Directory Service permette ai clienti di integrare e creare federazioni con directory aziendali per ridurre le spese amministrative e migliorare l'esperienza dell'utente finale.
    • AWS Config consente ai clienti di abilitare regole preconfezionate che aiutano a garantire che le loro risorse AWS siano in uno stato correttamente configurato e conforme.
    • AWS CloudTrail permette ai clienti di registrare log, monitorare in modo continuo e conservare le informazioni relative alle attività dell'account nella loro infrastruttura AWS, semplificando analisi di sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi (AWS CloudTrail è attivato in maniera predefinita su tutti gli account AWS).
    • Amazon Macie impiega il machine learning per aiutare i clienti a prevenire la perdita di dati mediante il rilevamento, la classificazione e la protezione dei dati sensibili in AWS. Questo servizio completamente gestito monitora in modo continuo le attività di accesso ai dati in cerca di anomalie e genera avvisi dettagliati ogni volta che individua accessi non autorizzati o divulgazioni accidentali di informazioni, ad esempio quando un utente rende accessibili pubblicamente dati sensibili.
       
  • AWS offre a clienti e Partner APN la possibilità di aggiungere un ulteriore livello di sicurezza ai loro dati clienti inattivi nel cloud, per aiutarli a soddisfare i requisiti in qualità di titolari per il trattamento dei dati secondo il GDPR. Gli strumenti di crittografiadisponibili su AWS includono:

     
    Inoltre, AWS fornisce, a clienti e Partner APN, API che consentono di integrare la crittografia e la protezione dei dati con i servizi aziendali sviluppati o distribuiti nell'ambiente AWS.
  • AWS fornisce caratteristiche e servizi specifici che consentono ai clienti di soddisfare i requisiti del GDPR:

    Controllo degli accessi: solo le applicazioni, gli utenti e gli amministratori autorizzati possono accedere alle risorse AWS

    • Autenticazione a più fattori (MFA)
    • Accesso con granularità fine a oggetti in bucket Amazon S3/Amazon SQS/Amazon SNS e altri
    • Autenticazione delle richieste API
    • Restrizioni geografiche
    • Token di accesso temporaneo tramite AWS Security Token Service

    Monitoraggio e accessi: ottieni una panoramica delle attività sulle risorse AWS

    Crittografia: crittografia dei dati su AWS

    • Crittografia dei dati inattivi con AES256 (EBS/S3/Glacier/RDS)
    • Key Management gestito in modo centralizzato (per regione AWS)
    • Tunnel IPsec in AWS con i gateway VPN
    • Moduli HSM dedicati nel cloud con AWS CloudHSM

    Solido framework di conformità e standard di sicurezza: Dimostriamo la conformità a rigorosi standard internazionali, quali:

AWS e il GDPR nel Regno Unito


AWS e la legge federale svizzera sulla protezione dei dati


Contatti


  • In caso di domande sul GDPR, consigliamo a clienti di contattare prima il proprio Account Manager di AWS. Se i clienti sono registrati per il piano di assistenza Enterprise, possono anche contattare il loro Technical Account Manager (TAM). Quest'ultimo collabora con i solutions architect per aiutare i clienti e identificare i potenziali rischi e le relative mitigazioni. Inoltre, insieme al team dedicato all'account, può indirizzare clienti e partner APN verso specifiche risorse in base al loro ambiente e alle loro esigenze.
     

    AWS, inoltre, dispone di team di rappresentanti dell’assistenza Enterprise, consulenti di servizi professionali e altre figure che potranno essere utili in caso di domande sul GDPR. Contattaci per qualsiasi domanda qui.

Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »