Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea tutela il diritto fondamentale alla privacy e alla protezione dei dati personali dei cittadini dell'Unione europea. Introduce requisiti rigorosi che definiscono e armonizzano nuovi standard in materia di compliance, sicurezza e protezione dei dati.

I servizi AWS saranno conformi al GDPR al momento della sua entrata in vigore, il 25 maggio 2018.

Oltre a garantire la propria compliance, AWS si impegna a offrire servizi e risorse in grado di consentire ai clienti di conformarsi ai requisiti del GDPR eventualmente applicabili alle loro attività. Nuove funzionalità vengono rilasciate con regolarità: AWS offre oltre 500 funzionalità e servizi focalizzati su sicurezza e compliance.

AWS fornisce funzionalità e servizi specifici che consentono ai clienti di soddisfare i requisiti del GDPR.

HA_DynamoDB-DAX_HERO-ART

Controllo degli accessi: possono accedere solo applicazioni, utenti e amministratori autorizzati 

  • Autenticazione a più fattori o MFA (Multi-Factor Authentication)
  • Accesso con granularità fine agli oggetti in Amazon S3, Amazon SQS e Amazon SNS
  • Autenticazione delle richieste API
  • Restrizioni geografiche
  • Token di accesso temporaneo tramite AWS Security Token Service
Ulteriori informazioni »
HA_EFS-Data-Encryption_hero-art

Monitoraggio e accessi: ottieni una panoramica delle attività sulle tue risorse AWS

  • Gestione e configurazione degli asset con AWS Config
  • Controlli e analisi della sicurezza con AWS CloudTrail
  • Informazioni dettagliate sui flussi nella rete tramite i log di flusso di Amazon VPC
  • Controlli e azioni delle configurazioni basati su regole con AWS Config
  • Applicazione di filtri e monitoraggio dell'accesso HTTP alle applicazioni con funzioni AWS WAF in AWS CloudFront
GC_Storage_HERO-ART

Crittografia: crittografa dati su AWS

  • Crittografia dei tuoi dati inattivi con AES256 (EBS/S3/Glacier/RDS)
  • Key Management gestito in modo centralizzato (per regione AWS)
  • Tunnel IPsec in AWS con i gateway VPN
  • Moduli HSM dedicati nel cloud con AWS CloudHSM
Ulteriori informazioni »

Privacy dei dati

I clienti controllano i contenuti dei propri clienti. Con AWS è possibile:

  • Determinare dove memorizzare i contenuti del cliente, selezionando anche il tipo di storage e l'area geografica dove conservarli.
  • Scegliere il livello di sicurezza dei contenuti dei loro clienti. AWS offre crittografia avanzata per le informazioni dei loro clienti sia in transito sia inattive, consentendo inoltre la possibilità di gestire le proprie chiavi di crittografia.
  • Gestire l'accesso ai contenuti dei loro clienti e a servizi e risorse di AWS mediante utenti, gruppi, autorizzazioni e credenziali sotto il proprio controllo.
Ulteriori informazioni »

Security by Design

L'approccio SbD si pone i seguenti obiettivi:

  • Creazione di funzionalità che non possono essere annullate dagli utenti senza determinate autorizzazioni.
  • Esecuzione di operazioni di controllo affidabili.
  • Realizzazione di audit continuo e in tempo reale.
  • Scripting tecnico della policy di governance.
Ulteriori informazioni »

Protezione dei dati nella UE

Il GDPR rappresenta il cambiamento più importante in materia di legislazione sulla protezione dei dati in Europa fin dall'introduzione della Direttiva UE sulla protezione dei dati, nel 1995. Lo scopo del GDPR è di aumentare la sicurezza e la protezione dei dati personali nell'UE e di armonizzare la legislazione sulla protezione dei dati nell'UE. Il GDPR sostituirà la Direttiva UE sulla protezione dei dati, oltre a tutte le altre leggi locali relative.

Ulteriori informazioni »

Certificazioni, programmi, report e attestazioni AWS

La conformità di AWS alla norma ISO 27018 è stata convalidata da una valutazione indipendente di terze parti. La norma ISO 27018 è il primo codice di condotta internazionale che si concentra sulla protezione dei dati personali nel cloud. È basata sullo standard ISO di sicurezza delle informazioni 27002 e fornisce linee guida per l'implementazione di controlli di sicurezza previsti dalla ISO 27002 applicabili alle informazioni che consentono l'identificazione personale degli utenti o PII (Personally Identifiable Information) elaborate dai fornitori di servizi cloud pubblici. La conformità alla certificazione dimostra ai clienti che AWS dispone di un sistema di controlli destinato specificamente alla tutela della privacy dei loro contenuti.

Ulteriori informazioni »

Il Regolamento generale sulla protezione dei dati o GDPR (General Data Protection Regulation) è una nuova legge europea sulla privacy che entrerà in vigore il 25 maggio 2018. Il GDPR sostituirà la Direttiva dell'UE sulla protezione dei dati, nota anche come Direttiva 95/46/EC, e il suo scopo è di armonizzare le leggi relative alla protezione dei dati in tutta l'Unione Europea (UE) con l'applicazione di un'unica legge che è vincolante in ogni stato membro.

 

Il GDPR si applica a tutte le organizzazioni che operano nell'UE ed elaborano "dati personali" dei residenti dell'UE. I dati personali sono qualsiasi informazione relativa a una persona identificata o identificabile.

Il GDPR sostituirà l'attuale Direttiva dell'UE sulla protezione dei dati (Direttiva europea 95/46/EC). Dal 25 maggio 2018, l'attuale Direttiva dell'UE sulla protezione dei dati e le leggi ad essa relative non saranno più in vigore.

Gli esperti della conformità, della protezione dei dati e della sicurezza di AWS hanno collaborato con clienti di tutto il mondo per rispondere alle loro domande e aiutarli a prepararsi a eseguire carichi di lavoro nel cloud AWS dopo l'entrata in vigore del GDPR. Questi team hanno anche riesaminato tutte le azioni già intraprese da AWS per assicurarne la conformità con i requisiti del nuovo GDPR. Possiamo confermare che tutti i servizi AWS saranno conformi al GDPR quando entrerà in vigore nel maggio 2018.

Inoltre abbiamo un nuovo addendum sul trattamento dei dati (GDPR DPA) che soddisferà i requisiti del GDPR. Il GDPR DPA è attualmente disponibile per tutti i clienti AWS per aiutarli a prepararsi per maggio 2018. Per ulteriori informazioni sul GDPR DPA o per ottenerne una copia, contatta il tuo Account Manager AWS.

Recentemente, AWS ha anche annunciato la conformità con il Codice di condotta CISPE. Il Codice di condotta CISPE consente ai clienti del cloud di valutare la conformità del loro fornitore di infrastruttura cloud agli obblighi di protezione dei dati sotto il GDPR. AWS ha dichiarato che Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail e Amazon Elastic Block Storage (Amazon EBS) sono pienamente conformi al Codice CISPE. Questo rassicura ulteriormente i clienti riguardo alla loro capacità di controllare perfettamente i loro dati in un ambiente protetto, sicuro e conforme. Ulteriori informazioni sulla conformità di AWS al Codice di condotta CISPE possono essere trovate sul sito Web: https://cispe.cloud/

AWS mantiene in continuazione uno standard elevato per la sicurezza e la conformità in tutte le sue operazioni globali. La sicurezza è stata sempre la nostra massima priorità, l'essenza della nostra attività. La nostra sicurezza leader nel settore ci ha consentito di ottenere una lunga serie di certificazioni e accreditamenti internazionalmente riconosciuti, che provano la conformità con rigorosi standard internazionali quali ISO 27017 per la sicurezza del cloud, ISO 27018 per la privacy del cloud, SOC 1, SOC 2 e SOC 3, PCI DSS Level 1 e altri. AWS si impegna inoltre ad aiutare i clienti ad adeguarsi agli standard di sicurezza locali, come il Common Cloud Computing Controls Catalogue (C5) del BSI, che è importante in Germania.

AWS ha annunciato la conformità al Codice di condotta sulla protezione dei dati CISPE. Il CISPE è una coalizione di fornitori di infrastruttura cloud (nota anche come Infrastructure as a Service) i quali offrono servizi cloud ai clienti europei. Il Codice di condotta CISPE aiuta i clienti del cloud ad assicurare che il fornitore della loro infrastruttura cloud utilizzi standard appropriati per la protezione dei dati che siano conformi al GDPR. Ecco alcuni dei vantaggi principali:

  • Chiarire chi è responsabile di cosa quando si parla di protezione di dati: il Codice di condotta spiega qual è il ruolo sia del fornitore sia del cliente sotto il GDPR, in particolare nel contesto di servizi di infrastruttura cloud.
  • Il Codice di condotta stabilisce i principi ai quali devono aderire i fornitori: descrive le azioni e gli impegni che i fornitori devono intraprendere per conformarsi al GDPR e aiutare i propri clienti a conformarsi.
  • Il Codice di condotta fornisce ai clienti informazioni relative alla protezione e alla sicurezza dei dati dei quali hanno bisogno per prendere decisioni relative alla conformità: il Codice di condotta richiede ai fornitori di essere trasparenti sulle misure che prendono per onorare i loro impegni di sicurezza. Queste misure implicano notifiche relative alla violazione di dati, eliminazione di dati e il trattamento di terza parte, oltre che all'applicazione della legge e alle richieste delle autorità. I clienti possono usare queste informazioni per acquisire una comprensione completa dei livelli elevati di sicurezza forniti.

Uno degli aspetti principali del GDPR è l'uniformizzazione in tutti gli stati membri dell'UE su come i dati personali possono essere elaborati, utilizzati e scambiati in modo sicuro. Le organizzazioni dovranno dimostrare su base continuativa la sicurezza dei dati da esse elaborati e la loro conformità al GDPR, implementando e riesaminando regolarmente delle solide misure tecniche e organizzative, oltre alle policy di conformità.

AWS fornisce già caratteristiche e servizi specifici che consentono ai clienti di soddisfare i requisiti del GDPR:
 

Controllo degli accessi: permetti l'accesso alle risorse AWS solo agli amministratori, utenti e applicazioni autorizzati

  • Autenticazione a più fattori o MFA (Multi-Factor Authentication)
  • Accesso con granularità fine a oggetti in bucket Amazon S3/Amazon SQS/Amazon SNS e altri
  • Autenticazione delle richieste API
  • Restrizioni geografiche
  • Token di accesso temporaneo tramite AWS Security Token Service

 

Monitoraggio e accessi: ottieni una panoramica delle attività sulle tue risorse AWS

  • Gestione e configurazione degli asset con AWS Config
  • Audit di conformità e analisi di sicurezza con AWS CloudTrail
  • Identificazione dei problemi di configurazione tramite AWS Trusted Advisor
  • Registrazione di log a granularità fine degli accessi a oggetti Amazon S3
  • Informazioni dettagliate sui flussi nella rete tramite i log di flusso di Amazon VPC
  • Controlli e azioni delle configurazioni basati su regole con AWS Config
  • Filtraggio e monitoraggio degli accessi HTTP alle applicazioni con funzioni WAF in AWS CloudFront

 

Crittografia: crittografa dati su AWS

  • Crittografia dei tuoi dati inattivi con AES256 (EBS/S3/Glacier/RDS)
  • Key Management gestito in modo centralizzato (per regione AWS)
  • Tunnel IPsec in AWS con i gateway VPN
  • Moduli HSM dedicati nel cloud con AWS CloudHSM

 

Framework e standard di sicurezza di conformità rigorosi:

  • certificazione ISO 27001/9001
  • certificazione ISO 27017/27018
  • Cloud Computing Compliance Controls Catalog (C5 – schema tedesco di attestati riconosciuti dal governo)
  • AWS ha collaborato con l'entità di controllo TÜV TRUST IT per pubblicare una cartella di lavoro sulla certificazione dei clienti che fornisce linee guida su come ottenere la conformità alle normative BSI IT Grundschutz tedesche nel Cloud

Sebbene il GDPR non entri in vigori prima del maggio 2018, incoraggiamo i nostri clienti e partner a iniziare a prepararsi adesso. Per coloro che hanno già implementato norme rigorose di conformità, sicurezza e privacy dei dati, sarà facile passare al GDPR. A coloro che devono ancora iniziare le procedure per conformarsi al GDPR consigliamo vivamente di cominciare a esaminare i loro processi di sicurezza, conformità e protezione dei dati per garantire una transizione senza problemi nel maggio 2018. Questi sono alcuni dei punti fondamentali da prendere in considerazione per la conformità GDPR:

Copertura del territorio: determinare se il GDPR è applicabile alle attività di un'organizzazione è fondamentale per garantirne la capacità di soddisfare gli obblighi di conformità. Il GDPR si applica a tutte le organizzazioni che hanno sede nell'UE. Tuttavia, secondo le attività, il GDPR può applicarsi al tuo caso anche se non hai sede nell'UE.

Diritti sui dati da parte degli interessati: il GDPR aumenta i diritti sui dati da parte degli interessati in vari modi. Ad esempio, le persone interessate possono opporsi all'elaborazione dei loro dati e hanno il diritto alla portabilità dei dati. Devi accertarti di poterti conformare ai diritti delle persone interessate se elabori dati personali.

Notifiche di violazione di dati: se sei un controllore di dati, hai l'obbligo di denunciare immediatamente le violazioni di dati alle autorità competenti. L'utilizzo di AWS ti permette di controllare i tuoi metodi per elaborare e proteggere i dati personali, consentendoti di monitorare le violazioni di privacy nel tuo ambiente e di notificare i regolatori e le persone interessate come previsto nel GDPR. Inoltre riceverai una notifica immediata da AWS in caso di violazione dei nostri standard di sicurezza relativi alla rete AWS.

Responsabile sicurezza dati (Data Protection Officer o DPO): puoi avere bisogno di designare un DPO per gestire la sicurezza dei dati e altri problemi relativi all'elaborazione dei dati personali.

Valutazione impatto protezione dati (Data Protection Impact Assessment o DPIA): puoi dover effettuare, e in alcune circostanze puoi essere obbligato a presentare all'autorità di controllo, un DPIA per le tue attività di elaborazione. Questa valutazione dovrà identificare le tue procedure e processi di gestione dei dati, oltre ai controlli posti per proteggere i dati personali.

Addendum sul trattamento dei dati (Data Processing Agreement o DPA): puoi avere bisogno di un DPA che soddisfi i requisiti del GDPR, soprattutto se i dati personali vengono trasferiti all'esterno dello Spazio economico europeo. AWS propone ai clienti un GDPR DPA disponibile su richiesta per aiutare i clienti a prepararsi per il maggio prossimo.

AWS offre un'ampia gamma di servizi e caratteristiche di servizi specifici che consentono ai clienti di conformarsi ai requisiti del GDPR, fra cui servizi per i controlli degli accessi, monitoraggio, registrazione di log e decrittografia. Ulteriori informazioni si possono trovare nella sezione qui sopra "Quali servizi offre AWS ai clienti per aiutarli a conformarsi al GDPR?"

Abbiamo anche team di esperti della conformità, della protezione dei dati e della sicurezza, oltre a partner dell'AWS Partner Network, che collaborano con clienti di tutta Europa per rispondere alle loro domande e aiutarli a prepararsi a eseguire carichi di lavoro nel cloud AWS dopo l'entrata in vigore del GDPR. Per ulteriori informazioni, contatta il tuo AWS Account Manager.

Grazie a IAM, è possibile creare e gestire utenti e gruppi AWS e utilizzare autorizzazioni per consentire o negare l'accesso alle risorse AWS.


Come diventare un esperto di policy IAM in meno di 60 minuti

AWS Summit Tel Aviv 2017 Becoming an AWS Policy Ninja using AWS IAM and AWS Organizations


IAM Best Practices to Live By

iam

Crea e controlla con la massima semplicità le chiavi utilizzate per crittografare i tuoi dati.

Sovranità dei dati

Le chiavi vengono memorizzate e utilizzate solo nella regione in cui sono state create. Non è pertanto possibile trasferirle in altre regioni. Ad esempio, le chiavi create nella regione UE (Francoforte) sono memorizzate e utilizzate solo all’interno di tale regione.

Audit integrato

AWS Key Management Service è integrato con AWS CloudTrail per fornire i log delle chiamate all’API effettuate da KMS. Questi log consentono di verificare i requisiti normativi e di conformità fornendo i dettagli degli accessi alle chiavi e degli utenti che hanno effettuato l’accesso.

Nozioni di base su KMS

AWS_KMS_video_intro

Ottieni il meglio da KMS

reinvent-img

Definisci standard e best practice per le tue applicazioni e convalida la tua conformità a tali standard.

inspector thumbnail

Per consentirti di iniziare a usarlo rapidamente, Amazon Inspector include una knowledge base di centinaia di regole mappate secondo le best practice di sicurezza e le definizioni di vulnerabilità più comuni. Gli esempi di regole già inclusi comprendono la verifica dell'attivazione dell'accesso root in remoto e la ricerca di versioni di software con vulnerabilità note. Queste regole vengono aggiornate periodicamente dagli specialisti della sicurezza di AWS.

Ulteriori informazioni su Amazon Inspector »

Amazon Web Services offrirà sessioni dedicate alla conformità GDPR durante l'evento re:Invent 2017.

Sessioni focalizzate su GDPR

reinvent-img