Centro per il Regolamento generale sulla protezione dei dati (GDPR)


Panoramica

Il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) dell'Unione Europea tutela il diritto fondamentale alla privacy e alla protezione dei dati personali dei cittadini dell'Unione europea. Include i rigorosi requisiti che definiscono e armonizzano gli standard in materia di conformità, sicurezza e protezione dei dati.

Tutti i servizi AWS sono pronti per il GDPR - Ulteriori informazioni

Oltre a garantire la propria conformità, AWS si impegna a offrire servizi e risorse in grado di consentire ai clienti di essere conformi ai requisiti del GDPR applicabili alle loro attività. Nuove caratteristiche vengono rilasciate con regolarità: AWS offre oltre 500 caratteristiche e servizi incentrati su sicurezza e conformità.

Abilitazione del GDPR nel tuo ambiente AWS

AWS fornisce funzionalità e servizi specifici che consentono ai clienti di soddisfare i requisiti del GDPR.

Crittografia dei dati su AWS:

  • Crittografia dei tuoi dati inattivi con AES256 (EBS/S3/Glacier/RDS)
  • Key Management gestito in modo centralizzato (per regione AWS)
  • Tunnel IPsec in AWS con i gateway VPN
  • Moduli HSM dedicati nel cloud con AWS CloudHSM
Chiudi

Possibilità di ottenere una panoramica delle attività nelle risorse AWS:

  • Gestione e configurazione degli asset con AWS Config
  • Controlli e analisi della sicurezza con AWS CloudTrail
  • Informazioni dettagliate sui flussi nella rete tramite i log di flusso di Amazon VPC
  • Controlli e azioni delle configurazioni basati su regole con AWS Config
  • Applicazione di filtri e monitoraggio dell'accesso HTTP alle applicazioni con funzioni AWS WAF in AWS CloudFront
Chiudi

Consenti l'accesso esclusivamente ad applicazioni, utenti e amministratori autorizzati:

  • Autenticazione a più fattori o MFA (Multi-Factor Authentication)
  • Accesso con granularità fine agli oggetti in Amazon S3, Amazon SQS e Amazon SNS
  • Autenticazione delle richieste API
  • Restrizioni geografiche
  • Token di accesso temporaneo tramite AWS Security Token Service
Chiudi

I clienti controllano i contenuti dei propri clienti. Con AWS è possibile:

  • Determinare dove memorizzare i contenuti del cliente, selezionando anche il tipo di storage e l'area geografica dove conservarli.
  • Scegliere il livello di sicurezza dei contenuti dei loro clienti. AWS offre crittografia avanzata per le informazioni dei loro clienti sia in transito sia inattive, consentendo inoltre la possibilità di gestire le proprie chiavi di crittografia.
  • Gestire l'accesso ai contenuti dei loro clienti e a servizi e risorse di AWS mediante utenti, gruppi, autorizzazioni e credenziali sotto il proprio controllo.
Chiudi

L'approccio Security by design si pone i seguenti obiettivi:

  • Creazione di funzioni imposte che non possono essere sostituite dagli utenti a cui non è permesso modificarle.
  • Esecuzione di operazioni di controllo affidabili.
  • Realizzazione di audit continuo e in tempo reale.
  • Scripting tecnico della policy di governance.
Chiudi

Le nostre funzionalità leader del settore sono alla base del lungo elenco di certificazioni e accreditamenti riconosciuti a livello internazionale che testimoniano la conformità a rigorosi standard internazionali, quali ISO 27001 per le misure tecniche, ISO 27017 per la sicurezza nel cloud, ISO 27018 per la privacy nel cloud, SOC 1, SOC 2 e SOC 3, PCI DSS livello 1 e certificazioni specifiche dell'UE quali il Common Cloud Computing Controls Catalogue (C5) del BSI e l'ENS High. AWS ha inoltre annunciato la conformità al Codice di condotta CISPE.

Chiudi

Utilizzo dei servizi AWS

AWS Key Management Service (KMS)

Crea e controlla con la massima semplicità le chiavi utilizzate per crittografare i tuoi dati.

ULTERIORI INFORMAZIONI SU AWS KMS »

AWS Identity and Access Management (IAM)

Crea e gestisci utenti e gruppi AWS e applica autorizzazioni per consentire o negare l'accesso alle risorse AWS.

ULTERIORI INFORMAZIONI SU AWS IAM »

Amazon Inspector

Definisci standard e best practice per le tue applicazioni e convalida la tua conformità a tali standard.

ULTERIORI INFORMAZIONI SU AMAZON INSPECTOR »

Amazon GuardDuty

Rilevamento intelligente delle minacce e monitoraggio continuo per la protezione dei carichi di lavoro e degli account AWS.

ULTERIORI INFORMAZIONI SU AMAZON GUARDDUTY »

DOMANDE FREQUENTI SUL GDPR

  • Cos'è il GDPR?

    Il Regolamento generale sulla protezione dei dati (GDPR) è una legge europea sulla privacy, entrata in vigore il 25 maggio 2018. Il GDPR ha sostituito la Direttiva UE sulla protezione dei dati, nota anche come Direttiva 95/46/CE, e il suo scopo è di armonizzare le leggi relative alla protezione dei dati in tutta l'Unione europea (UE) con l'applicazione di un'unica legge vincolante in ogni stato membro.

  • A chi si applica il GDPR?

    Il GDPR si applica a tutte le organizzazioni con sede nell'UE e alle organizzazioni, con sede o no nell'UE, che trattano dati personali di soggetti interessati dell'UE in relazione all'offerta di merci o servizi ai soggetti interessati nell'UE o al monitoraggio del comportamento nell'UE. I dati personali sono qualsiasi informazione relativa a una persona identificata o identificabile.

  • I servizi AWS sono conformi al GDPR?

    Tutti i servizi AWS possono essere utilizzati in conformità con il GDPR. Ciò significa che, oltre a giovare delle misure già adottate da AWS per mantenere sicuri i propri servizi, i clienti potranno avvalersi dei servizi AWS come parte fondamentale per la conformità al GDPR. Per ulteriori dettagli consulta la nostra Dichiarazione di preparazione dei servizi al GDPR sul Blog della sicurezza AWS.

  • AWS offre un Addendum sul trattamento dei dati (DPA, Data Processing Addendum)?

    Sì. IL DPA del GDPR di AWS con le Clausole contrattuali tipo fa parte dei Termini di servizio AWS ed è automaticamente disponibile per tutti i clienti che ne hanno bisogno per essere conformi al GDPR.

  • AWS è conforme al Codice di condotta, secondo quanto nel GDPR?

    A febbraio 2017 AWS ha annunciato la conformità al Codice di condotta CISPE per la protezione dei dati. Il CISPE è una coalizione di provider di infrastruttura cloud (nota anche come Infrastructure as a Service) che offrono servizi cloud ai clienti in Europa. Il Codice di condotta CISPE aiuta i clienti del cloud ad assicurare che il fornitore della loro infrastruttura cloud utilizzi standard appropriati per la protezione dei dati che siano conformi al GDPR. Alcuni dei vantaggi del codice di condotta:

    • Chiarisce le responsabilità specifiche in relazione alla protezione dei dati, spiegando il ruolo dei provider e quello del cliente ai sensi del GDPR, in particolare nel contesto dei servizi delle infrastrutture cloud.
    • Il Codice di condotta stabilisce i principi ai quali devono aderire i provider: descrive le azioni e gli impegni che i provider devono intraprendere per conformarsi al GDPR e aiutare i propri clienti a essere conformi al GDPR.
    • Il Codice di condotta fornisce ai clienti informazioni relative alla protezione e alla sicurezza dei dati, di cui hanno bisogno per prendere decisioni relative alla conformità: il Codice di condotta richiede ai provider di essere trasparenti sulle misure adottate per onorare gli impegni sulla sicurezza. Queste misure prevedono l'invio di notifiche relative a violazioni dei dati personali, il trattamento dei dati da parte di terzi nonché richieste di applicazione della legge e governative. I clienti possono impiegare queste informazioni per acquisire una visione più completa dei livelli elevati di sicurezza forniti.

    Per ulteriori informazioni sul modo in cui vengono gestite le richieste di applicazione della legge, consulta Richieste di informazione per l'applicazione della legge.

  • In che modo la sentenza di luglio 2020 della Corte di giustizia dell'Unione Europea influisce sui meccanismi di trasferimento dei dati chiave nell'ambito dello Scudo UE-USA per la privacy?

    In AWS, la nostra priorità è mettere in sicurezza i dati dei clienti, perciò implementiamo rigorose misure tecniche e organizzative per proteggerne la riservatezza, l'integrità e la disponibilità a prescindere dalla Regione AWS selezionata dal cliente. Inoltre, siamo leader nel settore dei servizi di crittografia che forniscono ai nostri clienti una varietà di opzioni per crittografare i dati in transito e quelli memorizzati. Da quando la Corte di Giustizia dell'Unione Europea ha certificato l'utilizzo delle Clausole contrattuali tipo (SCC, Standard Contractual Clauses) come meccanismo per il trasferimento dei dati al di fuori dell'Unione Europea, i nostri clienti possono continuare a fare affidamento sulle SCCs, incluse nell'Addendum sul trattamento dei dati del GDPR di AWS, se scelgono di trasferire i propri dati al di fuori dell'Unione Europea in conformità con il GDPR. L'Addendum sul trattamento dei dati del GDPR di AWS con le Clausole contrattuali tipo è parte dei Termini di servizio di AWS ed è disponibile per tutti i clienti che trasferiscono i propri dati personali dalla UE a qualsiasi altra regione AWS nel mondo, inclusi gli Stati Uniti.

    A seguito della sentenza di luglio 2020 della Corte di giustizia dell'Unione Europea, abbiamo rilasciato due post di blog: Aggiornamento per clienti: AWS e lo Scudo UE-USA per la privacy e AWS e i trasferimenti di dati nell'UE: impegni rafforzati per proteggere i dati dei clienti. Forniremo aggiornamenti aggiuntivi sul Blog della sicurezza AWS con il tag "GDPR".

  • Quali servizi offre AWS ai clienti per semplificare la conformità al GDPR?

    AWS fornisce caratteristiche e servizi specifici che consentono ai clienti di soddisfare i requisiti del GDPR:

    Controllo degli accessi: solo le applicazioni, gli utenti e gli amministratori autorizzati possono accedere alle risorse AWS

    • Autenticazione a più fattori o MFA (Multi-Factor Authentication)
    • Accesso con granularità fine a oggetti in bucket Amazon S3/Amazon SQS/Amazon SNS e altri
    • Autenticazione delle richieste API
    • Restrizioni geografiche
    • Token di accesso temporaneo tramite AWS Security Token Service

    Monitoraggio e accessi: ottieni una panoramica delle attività sulle tue risorse AWS

    • Gestione e configurazione degli asset con AWS Config
    • Audit di conformità e analisi di sicurezza con AWS CloudTrail
    • Identificazione dei problemi di configurazione tramite AWS Trusted Advisor
    • Registrazione di log a granularità fine degli accessi a oggetti Amazon S3
    • Informazioni dettagliate sui flussi nella rete tramite i log di flusso di Amazon VPC
    • Controlli e azioni delle configurazioni basati su regole con AWS Config
    • Filtraggio e monitoraggio degli accessi HTTP alle applicazioni con funzioni WAF in AWS CloudFront

    Crittografia: crittografia dei dati in AWS

    • Crittografia dei tuoi dati inattivi con AES256 (EBS/S3/Glacier/RDS)
    • Key Management gestito in modo centralizzato (per regione AWS)
    • Tunnel IPsec in AWS con i gateway VPN
    • Moduli HSM dedicati nel cloud con AWS CloudHSM

    Quandro di conformità e standard di sicurezza rigorosi:

    • Certificazione ISO 27001/9001
    • Certificazione ISO 27017/27018
    • Cloud Computing Compliance Controls Catalog (C5 – schema tedesco di attestati riconosciuti dal governo)
    • AWS, in collaborazione con l'ente di controllo TÜV TRUST IT, ha pubblicato una Guida pratica alla certificazione dei clienti che contiene indicazioni su come conseguire la conformità alle normative BSI IT Grundschutz tedesche nel cloud
  • Quali sono alcuni dei punti principali utili ai clienti nel considerare la conformità al GDPR?

    • Copertura territoriale: determinare se l'applicazione del GDPR alle attività di un'organizzazione è essenziale per garantire alla stessa la possibilità di soddisfare gli obblighi di conformità. Il GDPR si applica a tutte le organizzazioni che hanno sede nell'UE. Tuttavia, in base alle attività, il GDPR può applicarsi al tuo caso anche se non hai sede nell'UE.
    • Diritti dei soggetti interessati: il GDPR migliora in i diritti dei soggetti interessati in vari modi. Ad esempio, i soggetti avranno diritto a opporsi al trattamento dei loro dati e ad accedere ai dati personali loro riguardanti. Le organizzazioni soggette al GDPR dovranno garantire l'adempimento ai diritti degli interessati, in caso di trattamento dei dati personali.
    • Notifiche sulla violazione dei dati: se sei un titolare del trattamento dei dati, potresti avere necessità di notificare una violazione dei dati personali all'autorità di controllo preposta o ai soggetti interessati con specifiche tempistiche. AWS offre la possibilità di controllare le modalità di trattamento e protezione dei dati personali. Quello livello di controllo ti consente di rilevare eventuali violazioni nell'ambiente di lavoro e di notificarle alle autorità di controllo e ai soggetti interessati secondo quanto prescritto dal GDPR. Inoltre, AWS, da responsabile del trattamento dei dati ti informerà tempestivamente se è a conoscenza di una violazione nella procedura di sicurezza rispetto ad accidentali o illegittime operazioni di distruzione, perdita, modifica, divulgazione non autorizzata o accesso a qualsivoglia dato personale caricato sui servizi AWS nell'account.
    • Valutazione dell'impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment): potrebbe essere necessario svolgere, e in alcuni casi documentare all'autorità di controllo, una valutazione dell'impatto sulla protezione dei dati per le attività di trattamento. Questa valutazione dovrà elencare le procedure e i processi di gestione dei dati, nonché i controlli in atto per la protezione dei dati personali.
    • Addendum sul trattamento dei dati (DPA): potrebbe essere necessario un DPA che soddisfi i requisiti del GDPR. AWS offre ai propri clienti un DPA conforme al GDPR già integrato nei Termini di servizio AWS, che viene applicato automaticamente a tutti i clienti che hanno bisogno di essere conformi al GDPR. AWS offre un'ampia gamma di servizi e caratteristiche di servizi specifici che consentono ai clienti di soddisfare i requisiti del GDPR, fra cui servizi per i controlli degli accessi, monitoraggio, registrazione di log e crittografia. Ulteriori informazioni si possono trovare nella sezione qui sopra "Quali servizi offre AWS ai clienti per aiutarli a essere conformi al GDPR?"
  • In che modo posso documentare a un'autorità normativa per la protezione dei dati che l'utilizzo di AWS è conforme al GDPR?

    AWS offre a clienti e Partner APN informazioni utili quali report di conformità provenienti da entità di controllo di terze parti, che hanno verificato lo stato di conformità di AWS secondo diversi standard e normative di sicurezza informatica, per documentare gli elevati livelli di conformità mantenuti da AWS per la propria infrastruttura. Questi report mostrano a clienti e partner APN che i dati personali che decidono di elaborare in AWS sono sempre al sicuro. Ad esempio, l'infrastruttura è conforme alle norme AWS ISO 27001, 27017 e 27018. La norma ISO 27018, in particolare, contiene controlli di sicurezza volti alla protezione dei dati personali. Per ulteriori dettagli sulla conformità di AWS alla norma ISO 27108, consultare la pagina: https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS è inoltre conforme al codice di condotta CISPE per la protezione dei dati. Il CISPE è una coalizione di provider di infrastrutture cloud (Infrastructure-as-a-Service) che offrono servizi cloud ai clienti in Europa. Il codice di condotta redatto dal CISPE aiuta i clienti di prodotti cloud e partner APN a verificare che il provider di infrastruttura cloud si avvalga di standard per la protezione dei dati conformi al GDPR. Alcuni dei vantaggi del codice di condotta:

    • Chiarisce le responsabilità specifiche in relazione alla protezione dei dati, spiegando il ruolo dei provider e quello del cliente ai sensi del GDPR, in particolare nel contesto dei servizi delle infrastrutture cloud.
    • Stabilisce i principi ai quali devono attenersi i provider: descrive le operazioni e gli impegni che devono garantire per essere conformi al GDPR e aiutare i propri clienti e i Partner APN a soddisfare i requisiti di conformità.

    Fornisce a clienti e Partner APN informazioni relative a protezione e sicurezza dei dati necessarie per prendere decisioni relative alla conformità: il Codice di condotta richiede infatti ai provider trasparenza sulle misure adottate per onorare gli impegni sulla sicurezza. Queste misure prevedono l'invio di notifiche relative a violazioni dei dati personali, il trattamento dei dati da parte di terzi nonché richieste di applicazione della legge e governative. I clienti e i Partner APN possono impiegare queste informazioni per acquisire una visione più completa dei livelli elevati di sicurezza forniti.

  • AWS dispone di subincaricati al trattamento dei dati?

    Informiamo i nostri clienti e i Partner APN di eventuali subincaricati al trattamento dei dati sulla pagina Web relativa ai subincaricati al trattamento dei dati di AWS. Questo impegno è incluso nell'Addendum sul trattamento dei dati del GDPR di AWS. Il DPA del GDPR di AWS è integrato nei Termini di servizio di AWS e viene applicato automaticamente a tutti i clienti che necessitano della conformità al GDPR.

  • AWS è un responsabile del trattamento dei dati o un titolare ai sensi del GDPR?

    Secondo il GDPR, AWS è sia responsabile del trattamento dei dati sia titolare.

    • AWS come responsabile del trattamento dei dati: quando i clienti e i partner APN (AWS Partner Network) utilizzano i servizi AWS per elaborare dati personali, AWS funge da responsabile del trattamento dei dati. I clienti e i partner APN potranno utilizzare i controlli resi disponibili dai servizi AWS, ad esempio i controlli di configurazione della sicurezza, per la gestione dei dati personali. In tali circostanze, il cliente o il Partner APN potrà ricoprire il ruolo di titolare o responsabile del trattamento dei dati, mentre AWS sarà responsabile o subincaricato del trattamento. AWS offre un Addendum sul trattamento dei dati conforme al GDPR che include gli impegni di AWS in qualità di responsabile del trattamento dei dati.
    • AWS come titolare del trattamento dei dati: AWS agisce da titolare del trattamento dei dati quando raccoglie dati personali e determina le finalità e le modalità per il loro trattamento (ad esempio, quando AWS memorizza le informazioni necessarie per la registrazione e l'amministrazione di un account, l'accesso ai servizi o le informazioni di contatto per fornire assistenza tramite il servizio clienti).
  • In che modo il GDPR interessa il modello di responsabilità condivisa di AWS?

    Il GDPR non apporta alcuna modifica al modello di responsabilità condivisa di AWS, che continuerà a essere in vigore per clienti e partner APN che utilizzano i servizi di cloud computing. Tale modello è un approccio utile per illustrare le diverse responsabilità di AWS (in qualità di responsabile o subincaricato del trattamento dei dati) e di clienti e partner APN (come titolari o responsabili del trattamento dei dati) secondo il GDPR.

    In base al modello di responsabilità condivisa, AWS è responsabile della sicurezza dell'infrastruttura sottostante che supporta il cloud, mentre clienti e Partner APN, in qualità di titolari o responsabili del trattamento dei dati, hanno la responsabilità dei dati personali che caricano sul cloud.

    Quali sono le responsabilità sulla sicurezza di AWS in qualità di responsabile del trattamento dei dati?

    AWS è responsabile della protezione dell'infrastruttura globale su cui vengono eseguiti tutti i servizi offerti su AWS Cloud. L'infrastruttura include hardware, software, rete e strutture in cui sono in esecuzione i servizi AWS, che forniscono a clienti e partner APN controlli quali la configurazione della sicurezza per gestire i contenuti dei loro clienti. Mantenere sicura l'infrastruttura è la priorità numero uno di AWS. Per questo, AWS offre diversi report di conformità provenienti da entità di controllo di terze parti che ne hanno verificato l'allineamento con le normative e gli standard di sicurezza (per ulteriori informazioni, consultare la pagina https://aws.amazon.com/compliance). Questi report mostrano a clienti e partner APN che i dati personali che decidono di elaborare in AWS sono sempre al sicuro. Ad esempio, l'infrastruttura è conforme alle norme AWS ISO 27001, 27017 e 27018. La norma ISO 27018, in particolare, contiene controlli di sicurezza volti alla protezione dei dati personali. Per ulteriori dettagli sulla conformità di AWS alla norma ISO 27108, consultare la pagina: https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS, inoltre, è responsabile per la configurazione di sicurezza delle proprie tecnologie considerate servizi gestiti. Ad esempio, Amazon DynamoDB, Amazon RDS, Amazon Redshift, Amazon Elastic MapReduce e molti altri servizi. Questi servizi AWS forniscono la scalabilità e la flessibilità delle risorse basate sul cloud con l'ulteriore vantaggio di essere gestiti. Per questi servizi AWS gestisce le attività di sicurezza di base, ad esempio la protezione del sistema operativo, l'applicazione di patch ai database, la configurazione dei firewall e il disaster recovery. Per quanto riguarda i servizi gestiti da AWS, clienti e Partner APN configurano i controlli di accesso logico alle risorse per proteggere le credenziali degli account. Alcuni potrebbero richiedere attività aggiuntive, ad esempio l'impostazione degli account utente di un database, ma in generale la configurazione di sicurezza viene eseguita dal servizio AWS. Per tutti questi servizi AWS, clienti e Partner APN sono responsabili dei dati personali caricati nel cloud.

    Responsabilità di clienti e Partner APN in qualità di titolari del trattamento dei dati e in che modo i servizi AWS possono essere d'aiuto:

    Con il cloud AWS, clienti e partner APN possono allestire server virtuali, storage, database e desktop in pochi minuti invece che in settimane. Inoltre, possono utilizzare strumenti di flussi di lavoro e analisi basati sul cloud per trattare i dati secondo le modalità loro necessarie, memorizzandoli in data center locali o nel cloud. In base al caso d'uso, i clienti dei servizi AWS e i partner APN potranno dover prevedere maggiori oneri di configurazione secondo le responsabilità previste dal GDPR. I prodotti AWS che rientrano nella categoria IaaS (Infrastructure-as-a-Service), ad esempio, Amazon EC2, Amazon VPC e Amazon S3, sono completamente soggetti al controllo dei clienti e dei Partner APN, perciò sarà loro compito eseguire le attività di gestione e configurazione della sicurezza. Per quanto riguarda le istanze EC2, ad esempio, saranno responsabili della gestione di sistema operativo guest (inclusi aggiornamenti e patch di sicurezza), prodotti software o utility installati e configurazione di firewall di AWS (ovvero il gruppo di sicurezza) per ciascuna istanza; tali attività di sicurezza devono essere effettuate indipendentemente dalla posizione fisica del server.

    Per mettere in pratica i principi di protezione dei dati "by design" e "by default", consigliamo a clienti e Partner APN di proteggere le credenziali dell'account AWS e impostare gli account utente individuali utilizzando Amazon Identity and Access Management (IAM), assegnando a ogni utente credenziali personali e consentendo l'implementazione dell'accesso ai dati basato su autorizzazioni e separazione dei compiti in base al ruolo. Inoltre, consigliamo di utilizzare l'autenticazione a più fattori per ciascun account, i protocolli SSL/TLS per comunicare con le risorse AWS, la registrazione di log delle attività degli utenti e delle API con AWS CloudTrail, le soluzioni di crittografia e gli altri controlli di sicurezza offerti da AWS. Clienti e Partner APN possono anche utilizzare servizi di sicurezza avanzati, ad esempio Amazon GuardDuty per una sicurezza su account e infrastruttura e Amazon Macie per facilitare l'individuazione e la protezione dei dati personali archiviati su Amazon S3, per conformità al GDPR.

  • Chi devo contattare per domande su GDPR e AWS?

    In caso di domande sul GDPR, consigliamo a clienti e Partner APN di contattare prima il proprio Account Manager di AWS. Se i clienti sono registrati per il piano di supporto Enterprise, possono anche contattare il loro Technical Account Manager. Quest'ultimo collabora con i solutions architect per aiutare i clienti e identificare i potenziali rischi e le relative mitigazioni. Inoltre, insieme al team dedicato all'account, può indirizzare clienti e partner APN verso specifiche risorse in base al loro ambiente e alle loro esigenze.

    AWS, inoltre, dispone di team di rappresentanti del supporto Enterprise, consulenti di servizi professionali e altre figure che potranno essere utili in caso di domande sul GDPR.

  • Quali linee guida tecniche offre AWS a clienti e Partner APN in relazione al GDPR?

    AWS offre ai clienti e ai Partner APN un'ampia gamma di risorse per facilitare il percorso verso la conformità al GDPR. AWS dispone di team di rappresentanti del supporto Enterprise, consulenti di servizi professionali e altre figure che potranno essere utili in caso di domande sul GDPR. È possibile cercare "GDPR" nella pagina AWS Partner Solutions Finder per trovare i partner ISV, MSP e SI che forniscono prodotti e servizi utili per la conformità al GDPR. I clienti possono anche cercare le soluzioni "GDPR" su AWS Marketplace.

  • AWS offre servizi professionali per fornire assistenza con la conformità al GDPR?

    Il team AWS Professional Services ha avviato diverse attività per aiutare clienti e Partner APN nel percorso verso la conformità al GDPR. Il team AWS Professional Services collabora inoltre direttamente con i clienti e i Partner APN per offrire linee guida tecniche sul GDPR e su come implementare i principi della protezione dei dati "by design" e "by default" con gli strumenti di AWS.

  • In che modo AWS Support può essermi utile per il percorso verso la conformità al GDPR?

    AWS Premium Support collabora con clienti e Partner APN per fornire linee guida tecniche che semplifichino il percorso verso la conformità al GDPR. Nell'ambito di questa attività sono disponibili team di tecnici di supporto cloud e Technical Account Manager formati per aiutare a identificare e miticare i rischi di conformità. Due programmi che possono risultare molto utili in vista dell'applicazione del GDPR sono i seguenti:

    • Valutazione sull'operatività del cloud: questo programma, disponibile ai clienti del livello di supporto Enterprise di AWS, è stato progettato per aiutare a identificare le carenze nell'approccio operativo nel cloud. Nasce da un set di best practice operative scaturite dall'esperienza di AWS con set di clienti di grandi dimensioni e fornisce una valutazione dell'operatività del cloud e delle relative prassi di gestione, che può aiutare a ottenere la conformità al regolamento. Questo programma usa un approccio basato su quattro principi, con particolare attenzione a preparazione, monitoraggio, funzionamento e ottimizzazione di sistemi basati sul cloud per raggiungere l'eccellenza operativa.
    • Valutazione well-architected: questo programma permette alle organizzazioni di confrontare la propria architettura con le best practice di AWS e di creare architetture sicure, affidabili, ad alte prestazioni e a costi ridotti. Le valutazioni well-architected permettono inoltre a clienti e Partner APN di individuare i potenziali rischi della propria architettura e di risolverli prima che le applicazioni siano distribuite in produzione.

    I clienti e i Partner APN che desiderano scoprire in che modo AWS Premium Support può aiutarli possono trovare ulteriori informazioni nel Centro di supporto AWS, disponibile tramite la Console di gestione AWS, utilizzando i dettagli di contatto specificati nel contratto di supporto Enterprise stipulato con AWS oppure visitando la pagina di AWS Premium Support all'indirizzo https://aws.amazon.com/premiumsupport/. In caso di domande sul GDPR, i clienti con il livello di supporto Enterprise dovranno contattare il loro Technical Account Manager.

  • In che modo AWS gestisce le istruzioni di cancellazione inoltrate dai clienti?

    I servizi AWS permettono l'eliminazione on demand di contenuti da parte dei clienti mediante Console di gestione AWS, API e altri metodi di input. Per ulteriori informazioni su funzionalità di servizio specifiche, consulta la pagina https://aws.amazon.com/documentation.  

  • Quali strumenti offre AWS per implementare misure tecniche e organizzative obbligatorie per la protezione dei dati "by design" e "by default"?

    Molti dei requisiti del GDPR sono incentrati su controllo e protezione dei dati. I servizi AWS offrono la possibilità di implementare misure di sicurezza in conformità con il GDPR, incluse misure strategiche quali:

    • Crittografia dei dati personali
    • Opzioni che garantiscono riservatezza, integrità, disponibilità e resilienza di sistemi e servizi di elaborazione in modo continuo
    • Opzioni per ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo in caso di problema tecnico o incidente
    • Un processo per testare, valutare e verificare l'efficacia delle misure tecniche prese per garantire la sicurezza dell'elaborazione

    AWS dispone di un'ampia gamma di servizi di sicurezza e conformità che possono essere distribuiti per facilitare la gestione dei requisiti del GDPR, tra cui:

    • Amazon GuardDuty, un servizio che offre rilevamento di minacce intelligente e monitoraggio costante per individuare comportamenti sospetti o non autorizzati
    • Amazon Macie, uno strumento di apprendimento automatico che aiuta a rilevare e classificare i dati personali memorizzati in Amazon S3
    • Amazon Inspector, un servizio di valutazione della sicurezza automatizzato che permette di mantenere la conformità delle applicazioni alle best practice di sicurezza
    • AWS Config Rules, una caratteristica che permette di verificare in modo dinamico che le risorse nel cloud siano conformi a regole di sicurezza

    AWS ha pubblicato anche un documento, "Conformità al GDPR su AWS" , che analizza nel dettaglio come collegare in modo specifico le risorse a concetti come il monitoraggio, l'accesso ai dati e la gestione di chiavi. 

  • Quali misure di sicurezza ha implementato AWS per proteggere i propri sistemi?

    L'infrastruttura cloud AWS è stata progettata per essere uno degli ambienti di cloud computing più flessibili e sicuri al mondo oggi. La portata di Amazon permette un volume di investimenti in controllo sulla sicurezza e contromisure che quasi nessun'altra azienda può permettersi. L'infrastruttura include hardware, software, rete e strutture in cui sono in esecuzione i servizi AWS, che forniscono a clienti e Partner APN importanti controlli tra cui la configurazione della sicurezza per la gestione dei dati personali.

    AWS offre anche diversi report di conformità provenienti da entità di controllo di terze parti, che hanno testato e verificato lo stato di conformità di AWS secondo diversi standard e normative di sicurezza informatica, ad esempio le norme ISO 27001, ISO 27017 e ISO 27018. Per fornire trasparenza sull'efficacia delle misure adottate, offriamo a clienti e partner APN l'accesso a report di audit di terze parti dalla Console di gestione AWS. Questi report mostrano loro, in quanto titolari o responsabili del trattamento dei dati, che AWS mantiene sicura l'infrastruttura che usano per memorizzare e trattare i dati personali. Per ulteriori informazioni, consulta la pagina https://aws.amazon.com/compliance

  • In che modo AWS aiuta i titolari di dati a soddisfare i requisiti previsti dal GDPR in relazione a notifiche di violazione della sicurezza dei dati personali?

    AWS dispone di un processo di notifica sulla violazione dei dati e sul monitoraggio degli incidenti relativi alla sicurezza e informerà i clienti e i Partner APN di qualsivoglia violazione nella procedura di sicurezza rispetto ad accidentali o illegittime operazioni di distruzione, perdita, modifica, divulgazione non autorizzata o accesso a qualsivoglia dato personale caricato sull'account AWS. Inoltre, AWS offre ai clienti e ai Partner APN numerosi strumenti per controllare chi ha eseguito l'accesso alle risorse, quando e da dove. Uno di questi strumenti è AWS CloudTrail, che consente di applicare governance, conformità, eseguire audit operativi e audit dei rischi di un account AWS. Con CloudTrail i clienti possono registrare, monitorare in modo continuo e conservare le informazioni sulle attività dell'account all'interno dell'infrastruttura AWS. Ciò consente alle organizzazioni di avere un quadro completo di ciò che accade nell'infrastruttura AWS e rispondere tempestivamente in caso di attività sospette. Per ulteriori informazioni su CloudTrail e sugli altri strumenti di sicurezza forniti da AWS per facilitare l'adempimento degli obblighi dei titolari del trattamento dei dati ai sensi del GDPR, consulta la pagina https://aws.amazon.com/security/.  

  • In che modo AWS più essere utile per proteggere i dati dagli attacchi informatici?

    AWS offre a clienti e Partner APN numerosi strumenti con cui proteggere i dati e difendersi dagli attacchi informatici. Uno di questi strumenti è AWS Shield. Si tratta di un servizio gestito di protezione da attacchi di tipo DDoS (Distributed Denial of Service) che protegge siti Web e applicazioni in AWS. AWS Shield Standard è disponibile senza alcun costo aggiuntivo e fornisce rilevamento sempre attivo e mitigazione automatizzata, con cui è possibile ridurre al minimo tempi di inattività e latenza. Per ottenere un livello di protezione maggiore dagli attacchi alle applicazioni Web in esecuzione in AWS e che utilizzano risorse di ELB, Amazon CloudFront e Amazon Route 53, è possibile utilizzare AWS Shield Advanced. AWS, inoltre, pubblica e aggiorna regolarmente un documento sulle "best practice di AWS per la resilienza agli attacchi DDoS", che aiuta i clienti a utilizzare AWS per creare applicazioni resilienti agli attacchi di tipo DDoS.

    Sono disponibili anche altri strumenti per agevolare la protezione dei dati contro gli attacchi informatici:

    • AWS Identity and Access Management (IAM) consente di gestire l'accesso a servizi e risorse AWS. Grazie a IAM, clienti e partner APN possono creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
    • AWS Config permette di applicare regole precaricate in pacchetti per accertare che le risorse AWS siano sempre configurate correttamente e conformi.
    • AWS CloudTrail permette di registrare log, monitorare in modo continuo e conservare le informazioni relative alle attività dell'account, semplificando analisi di sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi. AWS CloudTrail è attivato di default su tutti gli account AWS.
    • Amazon GuardDuty è un servizio gestito di rilevamento delle minacce che esegue un monitoraggio costante per individuare comportamenti sospetti o non autorizzati, facilitando la protezione di carichi di lavoro e account AWS. Monitora le attività sospette che potrebbero indicare la compromissione di un account, ad esempio chiamate API inconsuete o distribuzioni potenzialmente non autorizzate. Inoltre, GuardDuty rileva le istanze potenzialmente compromesse o le attività di ricognizione da parte di malintenzionati.
  • Quali strumenti sono disponibili per individuare i dati personali all'interno dei contenuti memorizzati in AWS?

    Amazon Macie è un servizio completamente gestito per la sicurezza e la privacy dei dati che sfrutta il machine learning e il pattern matching per individuare i tuoi dati sensibili e proteggerli su AWS. Poiché le organizzazioni gestiscono volumi di dati sempre maggiori, l'identificazione e la tutela dei dati sensibili su vasta scala possono rivelarsi operazioni alquanto complesse e dispendiose in termini di tempo e risorse economiche. Macie automatizza l'individuazione dei dati sensibili su scala e riduce i costi relativi alla protezione dei dati. Macie fornisce automaticamente un inventario dei bucket di Amazon S3 tra cui un elenco di bucket non criptati, bucket pubblicamente accessibili e bucket condivisi con account AWS diversi da quelli definiti in AWS Organizations. Successivamente, Macie applica tecniche di machine learning e pattern matching ai bucket selezionati avvisandoti una volta individuati i dati sensibili.

    Macie è conforme a certificazioni e standard internazionali, tra cui la norma ISO 27017 per la sicurezza nel cloud e la norma ISO 27018 per la privacy nel cloud; inoltre, clienti e Partner APN possono impiegare il servizio per monitorare in modo continuo gli accessi ai dati e individuare attività sospette in base ai modelli di accesso.

  • In che modo è possibile controllare l'accesso ai dati personali all'interno dei contenuti memorizzati in AWS?

    Per aiutare clienti e partner APN a soddisfare i requisiti di conformità del regolamento, AWS offre una serie di strumenti per controllare gli accessi ai dati personali salvati in AWS. Di seguito sono elencati alcuni di questi strumenti.

    • I servizi AWS sono stati progettati per garantire di default la massima protezione. Se viene applicata la configurazione predefinita, l'accesso alle risorse è limitato solo al proprietario dell'account e all'amministratore dell'account root.
    • AWS Identity and Access Management (IAM) consente di gestire in sicurezza l'accesso ai servizi e alle risorse AWS. Grazie a IAM, è possibile creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
    • AWS Multi-Factor Authentication aggiunge un ulteriore livello di protezione a nome utente e password dell'account AWS. AWS offre ai clienti dispositivi MFA virtuali e hardware.
    • AWS Directory Service consente di integrare e creare federazioni con directory aziendali per ridurre il carico amministrativo e migliorare l'esperienza utente.
    • AWS Config permette di applicare regole precaricate in pacchetti per accertare che le risorse AWS siano sempre configurate correttamente e conformi.
    • AWS CloudTrail permette di registrare log, monitorare in modo continuo e conservare le informazioni relative alle attività dell'account su tutta l'infrastruttura AWS, semplificando analisi di sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi.
    • Amazon Macie impiega l'apprendimento automatico per aiutare i clienti a prevenire la perdita di dati mediante rilevamento, classificazione e protezione dei dati sensibili in AWS. Questo servizio completamente gestito monitora in modo continuo le attività di accesso ai dati in cerca di anomalie e genera avvisi dettagliati ogni volta che individua accessi non autorizzati o divulgazioni accidentali di informazioni, ad esempio quando un utente rende accessibili pubblicamente dati che dovrebbero rimanere riservati.
  • In che modo posso crittografare i dati personali in AWS per evitare gli accessi non autorizzati?

    AWS offre a clienti e Partner APN la possibilità di aggiungere un ulteriore livello di sicurezza ai loro dati inattivi nel cloud, per aiutarli a soddisfare i requisiti in qualità di titolari per il trattamento dei dati secondo il GDPR. Gli strumenti di crittografia disponibili su AWS includono:

    • Funzionalità di crittografia dei dati disponibili nei servizi di database e di archiviazione di AWS, quali Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, RDS per SQL Server e Redshift
    • Opzioni flessibili di gestione delle chiavi, tra cui il servizio AWS Key Management Service, che consentono di scegliere se demandare la gestione delle chiavi di crittografia ad AWS oppure se mantenervi un controllo manuale completo
    • Code di messaggi crittografati per la trasmissione di dati sensibili mediante crittografia lato server (SSE) per Amazon SQS
    • Storage di chiavi dedicato basato su hardware tramite AWS CloudHSM per migliorare la conformità
     
    Inoltre, AWS fornisce, a clienti e Partner APN, API che consentono di integrare la crittografia e la protezione dei dati con i servizi aziendali sviluppati o distribuiti nell'ambiente AWS.
compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »