Centro per il Regolamento generale sulla protezione dei dati (GDPR)


Panoramica

Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea tutela il diritto fondamentale alla privacy e alla protezione dei dati personali dei cittadini dell'Unione europea. Introduce requisiti rigorosi che definiscono e armonizzano nuovi standard in materia di compliance, sicurezza e protezione dei dati.

Tutti i servizi AWS sono pronti per il GDPR – Ulteriori informazioni

Oltre a garantire la propria conformità, AWS si impegna a offrire servizi e risorse in grado di consentire ai clienti di conformarsi agli eventuali requisiti del GDPR applicabili alle loro attività. Nuove funzionalità vengono rilasciate con continuità: AWS offre oltre 500 funzionalità e servizi focalizzati su sicurezza e conformità.

Abilitazione GDPR nel tuo ambiente AWS

AWS fornisce funzionalità e servizi specifici che consentono ai clienti di soddisfare i requisiti del GDPR.

Crittografa i dati in AWS

  • Crittografia dei tuoi dati inattivi con AES256 (EBS/S3/Glacier/RDS)
  • Key Management gestito in modo centralizzato (per regione AWS)
  • Tunnel IPsec in AWS con i gateway VPN
  • Moduli HSM dedicati nel cloud con AWS CloudHSM

Ottieni una panoramica delle attività relative alle risorse AWS

  • Gestione e configurazione degli asset con AWS Config
  • Controlli e analisi della sicurezza con AWS CloudTrail
  • Informazioni dettagliate sui flussi nella rete tramite i log di flusso di Amazon VPC
  • Controlli e azioni delle configurazioni basati su regole con AWS Config
  • Applicazione di filtri e monitoraggio dell'accesso HTTP alle applicazioni con funzioni AWS WAF in AWS CloudFront

Consenti l'accesso solo ad applicazioni, utenti e amministratori autorizzati

  • Autenticazione a più fattori o MFA (Multi-Factor Authentication)
  • Accesso con granularità fine agli oggetti in Amazon S3, Amazon SQS e Amazon SNS
  • Autenticazione delle richieste API
  • Restrizioni geografiche
  • Token di accesso temporaneo tramite AWS Security Token Service

I clienti possono controllare i contenuti dei propri clienti. Con AWS è possibile:

  • Determinare dove memorizzare i contenuti del cliente, selezionando anche il tipo di storage e l'area geografica dove conservarli.
  • Scegliere il livello di sicurezza dei contenuti dei loro clienti. AWS offre crittografia avanzata per le informazioni dei loro clienti sia in transito sia inattive, consentendo inoltre la possibilità di gestire le proprie chiavi di crittografia.
  • Gestire l'accesso ai contenuti dei loro clienti e a servizi e risorse di AWS mediante utenti, gruppi, autorizzazioni e credenziali sotto il proprio controllo.

L'approccio SbD si pone i seguenti obiettivi:

  • Creazione di funzionalità che non possono essere annullate dagli utenti senza determinate autorizzazioni.
  • Esecuzione di operazioni di controllo affidabili.
  • Realizzazione di audit continuo e in tempo reale.
  • Scripting tecnico della policy di governance.

Le funzionalità leader di settore di AWS fungono da base per un lungo elenco di certificazioni e accreditamenti riconosciuti a livello internazionale, garantendo la conformità a standard rigorosi quali ISO 27001 per le misure tecniche, ISO 27017 per la sicurezza nel cloud, ISO 27018 per la privacy nel cloud, SOC 1, SOC 2 e SOC 3, PCI DSS Level 1e certificazioni specifiche dell'UE quali Common Cloud Computing Controls Catalogue (C5) del BSI ed ENS High. Di recente, AWS ha inoltre annunciato la conformità con il Codice di condotta CISPE.

Utilizzo dei servizi AWS

Amazon Macie

Proteggi proattivamente le informazioni che consentono l'identificazione personale e scopri quando vengono trasferite.

ULTERIORI INFORMAZIONI SU AMAZON MACIE »

AWS Identity and Access Management (IAM)

Crea e gestisci utenti e gruppi AWS e applica autorizzazioni per consentire o negare l'accesso alle risorse AWS.

ULTERIORI INFORMAZIONI SU AWS IAM »

AWS Config

Semplifica audit di conformità, analisi di sicurezza, gestione di modifiche e risoluzione dei problemi operativi.  

ULTERIORI INFORMAZIONI SU AWS CONFIG »

Amazon Inspector

Definisci standard e best practice per le tue applicazioni e convalida la tua conformità a tali standard.

ULTERIORI INFORMAZIONI SU AMAZON INSPECTOR »

Amazon GuardDuty

Rilevamento di minacce intelligente e monitoraggio continuo per la protezione di carichi di lavoro e account AWS.

ULTERIORI INFORMAZIONI SU AMAZON GUARDDUTY »

AWS Key Management Service (KMS)

Crea e controlla con la massima semplicità le chiavi utilizzate per crittografare i tuoi dati.

ULTERIORI INFORMAZIONI SU AWS KMS »

DOMANDE FREQUENTI SUL GDPR

  • Cos'è il GDPR?

    Il Regolamento generale sulla protezione dei dati o GDPR (General Data Protection Regulation) è una nuova legge europea sulla privacy che entrerà in vigore il 25 maggio 2018. Il GDPR sostituirà la Direttiva dell'UE sulla protezione dei dati, nota anche come Direttiva 95/46/EC, e il suo scopo è di armonizzare le leggi relative alla protezione dei dati in tutta l'Unione Europea (UE) con l'applicazione di un'unica legge che è vincolante in ogni stato membro.

  • A chi si applica il GDPR?

    Il GDPR si applica a tutte le organizzazioni con sede nell'UE e alle organizzazioni, con sede o no nell'UE, che elaborano dati personali delle persone interessate dell'UE in relazione all'offerta di merci o servizi alle persone interessate nell'UE o al monitoraggio del comportamento nell'UE. I dati personali sono qualsiasi informazione relativa a una persona identificata o identificabile.

  • Che cosa succederà alle leggi attualmente in vigore in Unione Europea sulla protezione dei dati quando il GDPR entrerà in vigore?

    Il GDPR sostituirà l'attuale Direttiva dell'UE sulla protezione dei dati (Direttiva europea 95/46/EC). Dal 25 maggio 2018, l'attuale Direttiva dell'UE sulla protezione dei dati e le leggi ad essa relative non saranno più in vigore.

  • Quali azioni ha intrapreso AWS in preparazione al GDPR?

    Gli esperti della conformità, della protezione dei dati e della sicurezza di AWS hanno collaborato con clienti di tutto il mondo per rispondere alle loro domande e aiutarli a prepararsi a eseguire carichi di lavoro nel cloud AWS dopo l'entrata in vigore del GDPR. Inoltre, hanno verificato lo stato di preparazione dei servizi AWS ai requisiti imposti dal GDPR, confermando che tutti i servizi sono pronti all'applicazione del regolamento.

    Inoltre, offriamo ai clienti un contratto sul trattamento dei dati o DPA (Data Processing Agreement) conforme ai requisiti del GDPR, collettivamente GDPR DPA. Il DPA è integrato nei termini di servizio di AWS e viene applicato automaticamente a tutti i clienti che necessitano della conformità al GDPR.

    Di recente, AWS ha inoltre annunciato la conformità con il Codice di condotta CISPE. Il Codice di condotta CISPE consente ai clienti del cloud di valutare la conformità del loro fornitore di infrastruttura cloud agli obblighi di protezione dei dati sotto il GDPR. AWS ha dichiarato che Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail e Amazon Elastic Block Storage (Amazon EBS) sono pienamente conformi al Codice di condotta redatto dal CISPE. Questo rassicura ulteriormente i clienti riguardo alla loro capacità di controllare perfettamente i loro dati in un ambiente protetto, sicuro e conforme ai requisiti. Ulteriori informazioni sulla conformità di AWS al Codice di condotta del CISPE sono disponibili sul sito Web https://cispe.cloud/.

    AWS mantiene in continuazione uno standard elevato per la sicurezza e la conformità in tutte le sue operazioni globali. La sicurezza è stata sempre la nostra massima priorità, l'essenza della nostra attività. La nostra sicurezza leader nel settore ci ha consentito di ottenere una lunga serie di certificazioni e accreditamenti internazionalmente riconosciuti, che provano la conformità con rigorosi standard internazionali quali ISO 27017 per la sicurezza del cloud, ISO 27018 per la privacy del cloud, SOC 1, SOC 2 e SOC 3, PCI DSS Level 1 e altri. AWS aiuta inoltre i clienti ad adeguarsi agli standard di sicurezza locali quali il Common Cloud Computing Controls Catalogue (C5) del BSI, una normativa tedesca.

  • AWS è conforme al Codice di condotta, secondo quanto stabilito nei requisiti del GDPR?

    AWS ha annunciato la conformità al Codice di condotta per la protezione dei dati del CISPE. Il CISPE è una coalizione di fornitori di infrastruttura cloud (nota anche come Infrastructure as a Service) i quali offrono servizi cloud ai clienti europei. Il Codice di condotta CISPE aiuta i clienti del cloud ad assicurare che il fornitore della loro infrastruttura cloud utilizzi standard appropriati per la protezione dei dati che siano conformi al GDPR. Alcuni dei vantaggi del codice di condotta:

    • Chiarisce le responsabilità specifiche in relazione alla tutela dei dati, spiegando il ruolo dei provider E quello del cliente secondo il GDPR, in particolare nel contesto dei servizi infrastrutturali nel cloud.
    • Il Codice di condotta stabilisce i principi ai quali devono aderire i fornitori: descrive le azioni e gli impegni che i fornitori devono intraprendere per conformarsi al GDPR e aiutare i propri clienti a conformarsi.
    • Il Codice di condotta fornisce ai clienti informazioni relative alla protezione e alla sicurezza dei dati dei quali hanno bisogno per prendere decisioni relative alla conformità: il Codice di condotta richiede ai fornitori di essere trasparenti sulle misure che prendono per onorare i loro impegni di sicurezza. Queste misure prevedono l'invio di notifiche relative a violazioni alla sicurezza, eliminazione e trattamento dei dati da parte di terzi e richieste legali e da parte di autorità. I clienti possono usare queste informazioni per apprendere l'elevato livello di sicurezza fornito.

    Per considerazioni sul trattamento da parte di AWS delle richieste delle autorità, consulta: "Considerazioni sulla posizione fisica dei dati con AWS".

  • Quali cambiamenti introdurrà il GDPR nelle imprese che operano in Unione Europea?

    Uno degli aspetti principali del GDPR è l'uniformizzazione in tutti gli stati membri dell'UE su come i dati personali possono essere elaborati, utilizzati e scambiati in modo sicuro. Le organizzazioni dovranno dimostrare su base continuativa la sicurezza dei dati da esse elaborati e la loro conformità al GDPR, implementando e riesaminando regolarmente delle solide misure tecniche e organizzative, oltre alle policy di conformità.

  • Quali servizi offre AWS ai clienti per semplificare la conformità al GDPR?

    AWS fornisce già caratteristiche e servizi specifici che consentono ai clienti di soddisfare i requisiti del GDPR:

    Controllo degli accessi: consenti l'accesso alle risorse AWS solo ad applicazioni, utenti e amministratori autorizzati

    • Autenticazione a più fattori o MFA (Multi-Factor Authentication)
    • Accesso con granularità fine a oggetti in bucket Amazon S3/Amazon SQS/Amazon SNS e altri
    • Autenticazione delle richieste API
    • Restrizioni geografiche
    • Token di accesso temporaneo tramite AWS Security Token Service

    Monitoraggio e accessi: ottieni una panoramica delle attività sulle tue risorse AWS

    • Gestione e configurazione degli asset con AWS Config
    • Audit di conformità e analisi di sicurezza con AWS CloudTrail
    • Identificazione dei problemi di configurazione tramite AWS Trusted Advisor
    • Registrazione di log a granularità fine degli accessi a oggetti Amazon S3
    • Informazioni dettagliate sui flussi nella rete tramite i log di flusso di Amazon VPC
    • Controlli e azioni delle configurazioni basati su regole con AWS Config
    • Filtraggio e monitoraggio degli accessi HTTP alle applicazioni con funzioni WAF in AWS CloudFront

    Crittografia: crittografa dati su AWS

    • Crittografia dei tuoi dati inattivi con AES256 (EBS/S3/Glacier/RDS)
    • Key Management gestito in modo centralizzato (per regione AWS)
    • Tunnel IPsec in AWS con i gateway VPN
    • Moduli HSM dedicati nel cloud con AWS CloudHSM

    Framework e standard di sicurezza di conformità rigorosi:

    • certificazione ISO 27001/9001
    • Certificazione ISO 27017/27018
    • Cloud Computing Compliance Controls Catalog (C5 – schema tedesco di attestati riconosciuti dal governo)
    • AWS ha collaborato con l'entità di controllo TÜV TRUST IT per pubblicare una cartella di lavoro sulla certificazione dei clienti che fornisce linee guida su come ottenere la conformità alle normative BSI IT Grundschutz tedesche nel Cloud
  • Che cosa possono fare i clienti per prepararsi al GDPR?

    Al momento di prendere in esame la conformità al GDPR, è possibile fare diverse considerazioni:

    • Copertura del territorio: determinare se il GDPR è applicabile alle attività di un'impresa è fondamentale per garantirne la capacità di soddisfare gli obblighi di conformità. Il GDPR si applica a tutte le organizzazioni che hanno sede nell'UE. Tuttavia, secondo le attività, il GDPR può applicarsi al tuo caso anche se non hai sede nell'UE.
       
    • Diritti sui dati da parte degli interessati: il GDPR aumenta i diritti sui dati da parte degli interessati in vari modi. Ad esempio, avranno diritto a opporsi al trattamento dei loro dati e ad accedere ai dati personali loro riguardanti. Le aziende soggette al GDPR dovranno garantire l'adempimento ai diritti degli interessati.
       
    • Notifiche di violazione di dati: se fai parte di un'entità di controllo dei dati, hai l'obbligo di denunciare immediatamente le violazioni della sicurezza dei dati personali alle autorità competenti e, ove possibile, entro 72 ore dalla loro scoperta. AWS offre la possibilità di controllare le modalità di trattamento e protezione dei dati personali. In questo modo, è possibile rilevare eventuali violazioni nell'ambiente di lavoro e notificare le autorità e le persone interessate secondo quanto prescritto dal GDPR. Inoltre, in quanto titolare del trattamento dei dati, AWS invierà notifiche tempestive se individuerà (i) una violazione nei propri standard di sicurezza che possa provocare in modo accidentale o illecito distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai dati personali caricati nei servizi AWS dal tuo account, o (ii) qualsiasi accesso non autorizzato ad apparecchiature o strutture AWS che possa provocare distruzione, perdita, divulgazione non autorizzata o alterazione dei dati personali caricati nei servizi AWS dal tuo account.
       
    • Responsabile della sicurezza dei dati (Data Protection Officer o DPO): potrebbe essere necessario designare un DPO per gestire la sicurezza dei dati e altri problemi relativi al trattamento dei dati personali.
       
    • Valutazione impatto protezione dati (Data Protection Impact Assessment o DPIA): potrebbe essere necessario, se non obbligatorio, presentare all'autorità di controllo una DPIA sulle attività di trattamento dei dati. Questa valutazione dovrà elencare le procedure e i processi di gestione dei dati e i controlli in funzione per proteggere i dati personali.
       
    • Contratto sul trattamento dei dati (Data Processing Agreement o DPA): potrebbe essere necessario disporre di un DPA che soddisfi i requisiti del GDPR, soprattutto nel caso in cui i dati personali vengano trasferiti all'esterno dello Spazio economico europeo. AWS offre ai propri clienti un DPA già integrato nei termini di servizio, che viene applicato automaticamente a tutti i clienti che necessitano della conformità al GDPR. AWS offre un'ampia gamma di servizi e caratteristiche di servizi specifici che consentono ai clienti di conformarsi ai requisiti del GDPR, fra cui servizi per i controlli degli accessi, monitoraggio, registrazione di log e decrittografia. Ulteriori informazioni si possono trovare nella sezione qui sopra "Quali servizi offre AWS ai clienti per aiutarli a conformarsi al GDPR?"

    AWS dispone inoltre di team di esperti su conformità, protezione dei dati e sicurezza, nonché partner AWS, che collaborano con i clienti per rispondere alle loro domande e facilitare loro la preparazione in vista dell'entrata in vigore del GDPR all'esecuzione di carichi di lavoro nel cloud AWS. Per ulteriori informazioni, contatta il tuo AWS Account Manager.

  • AWS offre un addendum sul trattamento dei dati (DPA)?

    Sì. AWS offre un addendum sul trattamento dei dati o DPA (Data Processing Addendum) conforme al GDPR che permette di mantenere la conformità agli obblighi contrattuali del regolamento. Il DPA è integrato nei termini di servizio di AWS e viene applicato automaticamente a livello globale a tutti i clienti che necessitano della conformità al GDPR.

  • I servizi AWS sono conformi al GDPR?

    I servizi AWS sono conformi al Regolamento generale sulla protezione dei dati o GDPR (General Data Protection Regulation). Significa che, oltre a giovarsi delle misure già prese da AWS per mantenere sicuri i propri servizi, i clienti potranno avvalersi dei servizi AWS per facilitare la conformità al GDPR. Per ulteriori informazioni, consulta l'annuncio relativo alla conformità dei servizi AWS al GDPR nel blog AWS sulla sicurezza: https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/.

  • Qual è il ruolo di AWS nell'ambito del GDPR? È un controllore di dati o ne è titolare del trattamento?

    Secondo il GDPR, AWS è sia controllore di dati sia titolare del trattamento.

    • AWS come titolare del trattamento dei dati: quando i clienti e i partner APN (AWS Partner Network) usano i servizi AWS per elaborare dati personali, AWS funge da titolare del trattamento dei dati. I clienti e i partner APN potranno utilizzare i controlli resi disponibili dai servizi AWS, ad esempio i controlli di configurazione della sicurezza, per la gestione dei dati personali. In tali circostanze, potranno fungere essi stessi da controllori o titolari del trattamento dei dati, mentre AWS sarà titolare o subincaricato del trattamento. AWS offre un addendum sul trattamento dei dati o DPA (Data Processing Addendum) che incorpora gli impegni di AWS in qualità di titolare del trattamento dei dati.
    • AWS come controllore dei dati: AWS agisce da controllore di dati quando raccoglie dati personali e determina scopo e mezzi per il loro trattamento, ad esempio, quando memorizza le informazioni necessarie per registrazione e amministrazione di un account, accesso ai servizi o informazioni di contatto per fornire assistenza tramite il supporto clienti.
  • In che modo il GDPR interessa il modello di responsabilità condivisa di AWS?

    Il GDPR non apporta alcuna modifica al modello di responsabilità condivisa di AWS, che continuerà a essere in vigore per clienti e partner APN che utilizzano i servizi di cloud computing. Tale modello è un approccio utile per illustrare le diverse responsabilità di AWS (in qualità di titolare o subincaricato del trattamento dei dati) e di clienti e partner APN (come titolari del trattamento o controllori dei dati) secondo il GDPR.

    In base al modello di responsabilità condivisa, AWS è responsabile della sicurezza dell'infrastruttura che supporta il cloud, mentre clienti e partner APN, in qualità di titolari del trattamento o controllori dei dati, sono responsabili per i dati personali che caricano sul cloud.

    Responsabilità di AWS in qualità di titolare del trattamento dei dati

    AWS è responsabile della protezione dell'infrastruttura globale su cui vengono eseguiti tutti i servizi offerti nel cloud AWS. L'infrastruttura include hardware, software, rete e strutture in cui sono in esecuzione i servizi AWS, che forniscono a clienti e partner APN controlli quali la configurazione della sicurezza per gestire i contenuti dei loro clienti. Mantenere sicura l'infrastruttura è la priorità numero uno di AWS. Per questo offre diversi report di conformità provenienti da entità di controllo di terze parti che ne hanno verificato l'allineamento con normative e standard di sicurezza (per ulteriori informazioni, consulta la pagina https://aws.amazon.com/compliance). Questi report mostrano a clienti e partner APN che i dati personali che decidono di elaborare in AWS sono sempre al sicuro. Ad esempio, l'infrastruttura è conforme alle norme ISO 27001, 27017 e 27018. La norma ISO 27018, in particolare, contiene controlli di sicurezza volti alla protezione dei dati personali. Per ulteriori informazioni sulla conformità di AWS alla norma ISO 27108, consulta questa pagina: https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS, inoltre, è responsabile per la configurazione di sicurezza delle proprie tecnologie considerate servizi gestiti. Ad esempio, Amazon DynamoDB, Amazon RDS, Amazon Redshift, Amazon Elastic MapReduce e molte altre tecnologie. Questi servizi forniscono la scalabilità e la flessibilità delle risorse basate sul cloud con l'ulteriore vantaggio di essere gestiti. In questi casi, AWS gestisce le attività di sicurezza di base, ad esempio la protezione del sistema operativo, l'applicazione di patch ai database, la configurazione dei firewall e il disaster recovery. Per quanto riguarda i servizi gestiti, clienti e partner APN configureranno i controlli di accesso logico alle loro risorse per proteggere le credenziali dei loro account. Alcuni potrebbero richiedere procedure aggiuntive, ad esempio l'impostazione degli account utente di un database, ma in generale la configurazione di sicurezza viene gestita dal servizio. Anche nel caso di questi servizi, clienti e partner APN saranno responsabili dei dati personali caricati nel cloud.

    AWS, inoltre, offre un addendum sul trattamento dei dati o DPA (Data Processing Addendum) che incorpora gli impegni di AWS in qualità di titolare del trattamento dei dati. Il DPA è integrato nei termini di servizio di AWS e viene applicato automaticamente a tutti i clienti che necessitano della conformità al GDPR.

    Responsabilità di clienti e partner APN in qualità di controllori dei dati (e come i servizi AWS possono aiutare)

    Con il cloud AWS, clienti e partner APN possono allestire server virtuali, storage, database e desktop in pochi minuti invece che in settimane. Inoltre, possono utilizzare strumenti di flussi di lavoro e analisi basati sul cloud per trattare i dati secondo le modalità loro necessarie, memorizzandoli in data center locali o nel cloud. In base al caso d'uso, i clienti dei servizi AWS e i partner APN potranno dover prevedere maggiori oneri di configurazione secondo le responsabilità previste dal GDPR. I prodotti AWS che rientrano nella categoria IaaS (Infrastructure-as-a-Service), ad esempio Amazon EC2, Amazon VPC e Amazon S3, saranno completamente sotto il controllo dei clienti e dei partner APN, perciò sarà loro compito procedere a completare le attività di gestione e configurazione della sicurezza. Per quanto riguarda le istanze EC2, ad esempio, saranno responsabili per la gestione di sistema operativo guest (inclusi aggiornamenti e patch di sicurezza), prodotti software o utility installati e configurazione di firewall di AWS (ovvero il gruppo di sicurezza) per ciascuna istanza; tali attività di sicurezza devono essere effettuate indipendentemente dalla posizione fisica del server.

    Per mettere in pratica i principi della sicurezza "by design" e "by default", consigliamo a clienti e partner APN di proteggere le credenziali del loro account AWS e impostare account utente individuali utilizzando Amazon Identity and Access Management (IAM), assegnando a ogni utente credenziali personali e consentendo l'implementazione dell'accesso ai dati basato su autorizzazioni e separazione dei compiti in base al ruolo. Inoltre, consigliamo di utilizzare l'autenticazione a più fattori per ciascun account, i protocolli SSL/TLS per comunicare con le risorse AWS, la registrazione di log delle attività degli utenti e delle API con AWS CloudTrail, le soluzioni di crittografia e gli altri controlli di sicurezza offerti da AWS. Clienti e partner APN potranno anche utilizzare servizi di sicurezza avanzati, ad esempio Amazon GuardDuty per ulteriore protezione di account e infrastruttura e Amazon Macie per facilitare l'individuazione e la protezione dei dati personali caricati in Amazon S3.

    Per ulteriori informazioni sulle misure aggiuntive che i clienti possono prendere e le soluzioni offerte da AWS, consulta il whitepaper Best practice sulla sicurezza AWS e le letture consigliate nella pagina Sicurezza nel cloud AWS disponibile all'indirizzo https://aws.amazon.com/security/.

  • Chi è necessario contattare per domande su GDPR e AWS?

    In caso di domande su protezione dei dati o su AWS e GDPR, consigliamo a clienti e partner APN di contattare il proprio Account Manager di AWS. Se i clienti sono registrati per il piano di supporto Enterprise, possono anche contattare il loro Technical Account Manager. Quest'ultimo collabora con i solutions architect per aiutare i clienti e identificare i potenziali rischi e le relative mitigazioni. Inoltre, insieme al team dedicato all'account, può indirizzare clienti e partner APN verso specifiche risorse in base al loro ambiente e alle loro esigenze.

    AWS, inoltre, dispone di team di rappresentanti del supporto Enterprise, consulenti di servizi professionali e altre figure che potranno essere utili in caso di domande sul GDPR. Per mantenere informati clienti e partner APN, AWS ha anche in programma diversi interventi, webinar e workshop presso i summit e i Pop-up Loft, con cui intende illustrare il GDPR e mostrare le soluzioni implementabili con gli strumenti di AWS.

  • Quali linee guida tecniche offre AWS a clienti e partner APN in relazione al GDPR?

    AWS offre un'ampia gamma di risorse per facilitare la conformità al GDPR. AWS dispone di team di rappresentanti del supporto Enterprise, consulenti di servizi professionali e altre figure che potranno essere utili in caso di domande sul GDPR. AWS ha anche in programma diversi interventi, webinar e workshop presso i summit e i Pop-up Loft, con cui intende illustrare il GDPR e implementare i principi della sicurezza "by design" e "by default" con gli strumenti di AWS.

  • AWS offrirà servizi professionali per fornire assistenza con la conformità al GDPR?

    Il team di servizi professionali di AWS ha avviato diverse attività per aiutare clienti e partner APN a soddisfare i requisiti di conformità del GDPR. I consulenti di servizi professionali offrono sessioni di consulenza private per rispondere alle domande sul GDPR, nonché interventi, webinar e workshop presso i summit e i Pop-up Loft. Il team collabora inoltre direttamente con clienti e partner APN per offrire linee guida tecniche sul GDPR e su come implementare i principi della sicurezza "by design" e "by default" con gli strumenti di AWS. Per ulteriori informazioni su come i consulenti dei servizi professionali di AWS aiutano clienti e partner APN, consulta la pagina https://aws.amazon.com/professional-services/.

  • In che modo AWS Support può essere utile per ottenere la conformità al GDPR?

    AWS Premium Support collabora con clienti e partner APN per fornire linee guida tecniche che semplifichino la conformità al GDPR. Nell'ambito di questa attività sono disponibili team di tecnici di supporto cloud e Technical Account Manager formati per aiutare a identificare e miticare i rischi di conformità. Due programmi che possono risultare molto utili in vista dell'applicazione del GDPR sono i seguenti:

    • Valutazione sull'operatività del cloud: questo programma, disponibile ai clienti del livello di supporto Enterprise, è stato progettato per aiutare a identificare le carenze nell'approccio operativo nel cloud. Nasce da un set di best practice operative scaturite dall'esperienza di AWS con set di clienti di grandi dimensioni e fornisce una valutazione dell'operatività del cloud e delle relative prassi di gestione, che può aiutare a ottenere la conformità al regolamento. Questo programma usa un approccio basato su quattro princìpi, con particolare attenzione su preparazione monitoraggio, funzionamento e ottimizzazione di sistemi basati sul cloud per raggiungere l'eccellenza operativa.
    • Valutazione secondo il canone di architettura: questo programma permette alle imprese di confrontare la loro architettura con le best practice di AWS e di creare un'architettura sicura, affidabile, ad alte prestazioni e a costi ridotti. La valutazione secondo il canone di architettura permette inoltre di individuare i potenziali rischi di un'architettura e di risolverli prima che le applicazioni siano distribuite in produzione.

    Clienti e partner APN che desiderano scoprire in che modo AWS Premium Support può aiutarli potranno trovare ulteriori informazioni nel Centro di supporto AWS, disponibile tramite la console di AWS (https://console.aws.amazon.com/support/), tramite i dettagli di contatto specificati nel contratto stipulato con AWS oppure visitando la pagina di AWS Premium Support all'indirizzo https://aws.amazon.com/premiumsupport/. In caso di domande sul GDPR, i clienti con il livello di supporto Enterprise dovranno contattare il loro Technical Account Manager.

  • AWS dispone di subincaricati al trattamento dei dati?

    AWS informa anticipatamente clienti e partner APN nel caso in cui un subappaltatore abbia accesso a contenuti caricati in AWS, inclusi dati che potrebbero contenere informazioni personali. Questo impegno è incluso nell'addendum sul trattamento dei dati o DPA (Data Processing Addendum) secondo il GDPR in AWS. Il DPA è integrato nei termini di servizio di AWS e viene applicato automaticamente a tutti i clienti che necessitano della conformità al GDPR.

  • Quali strumenti offre AWS per implementare misure tecniche e organizzative per la protezione dei dati?

    Molti dei requisiti del GDPR sono incentrati su controllo e protezione dei dati. I servizi AWS offrono la possibilità di implementare misure di sicurezza in conformità con il GDPR, incluse misure strategiche quali:

    • Crittografia dei dati personali
    • Opzioni che garantiscono riservatezza, integrità, disponibilità e resilienza di sistemi e servizi di elaborazione in modo continuo
    • Opzioni per ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo in caso di problema tecnico o incidente
    • Un processo per testare, valutare e verificare l'efficacia delle misure tecniche prese per garantire la sicurezza dell'elaborazione

    AWS dispone di un'ampia gamma di servizi di sicurezza e conformità che possono essere distribuiti per facilitare la gestione dei requisiti del GDPR, tra cui:

    • Amazon GuardDuty, un servizio che offre rilevamento di minacce intelligente e monitoraggio costante per individuare comportamenti sospetti o non autorizzati
    • Amazon Macie, uno strumento di apprendimento automatico che aiuta a rilevare e classificare i dati personali memorizzati in Amazon S3
    • Amazon Inspector, un servizio di valutazione della sicurezza automatizzato che permette di mantenere la conformità delle applicazioni alle best practice di sicurezza
    • AWS Config Rules, una caratteristica che permette di verificare in modo dinamico che le risorse nel cloud siano conformi a regole personalizzate

    AWS ha inoltre pubblicato un whitepaper, "Conformità al Regolamento generale sulla protezione dei dati in AWS", dedicato a questo argomento. Questo documento analizza nel dettaglio come collegare risorse a concetti complessi come monitoraggio, accesso ai dati e gestione di chiavi. 

  • Quali misure di sicurezza ha implementato AWS per proteggere i propri sistemi?

    L'infrastruttura cloud AWS è stata progettata per essere uno degli ambienti di cloud computing più flessibili e sicuri sul mercato. La portata globale di Amazon permette un volume di investimenti nella sicurezza che quasi nessun'altra azienda può permettersi. L'infrastruttura include hardware, software, rete e strutture in cui sono in esecuzione i servizi AWS, che forniscono a clienti e partner APN controlli quali la configurazione della sicurezza per gestire i dati personali. Per ulteriori informazioni sulle misure adottate da AWS per mantenere livelli elevati e costanti di protezione, consulta il whitepaper "Panoramica dei processi di sicurezza".

    AWS offre anche diversi report di conformità provenienti da entità di controllo di terze parti, che hanno testato e verificato lo stato di conformità di AWS secondo diversi standard e normative di sicurezza informatica, ad esempio le norme ISO 27001, ISO 27017 e ISO 27018. Per fornire trasparenza sull'efficacia delle misure adottate, offriamo a clienti e partner APN l'accesso a report di audit di terze parti dalla Console di gestione AWS. Questi report mostrano loro, in quanto controllori o titolari del trattamento dei dati, che AWS mantiene sicura l'infrastruttura che usano per memorizzare e trattare i dati personali. Per ulteriori informazioni, consulta la pagina https://aws.amazon.com/compliance

  • In che modo AWS aiuta i controllori di dati a soddisfare i requisiti previsti dal GDPR in relazione a notifiche di violazione della sicurezza dei dati personali?

    AWS dispone di processi di monitoraggio degli incidenti di sicurezza e di notifica delle violazioni e informa sempre clienti e partner APN in caso di violazione dei sistemi. Inoltre, offre numerosi strumenti con cui possono visionare chi ha eseguito l'accesso alle loro risorse, quando e da dove. Uno di questi strumenti è AWS CloudTrail, che permette governance, conformità, audit operativo e audit dei rischi di un account AWS. Con AWS CloudTrail è possibile registrare, monitorare in modo continuo e conservare le informazioni correlate alle attività dell'account all'interno dell'infrastruttura AWS. Le aziende potranno in questo modo avere un quadro completo di cosa accade nella loro infrastruttura AWS e rispondere tempestivamente in caso di attività sospette. Per ulteriori informazioni su AWS CloudTrail e sugli altri strumenti di sicurezza forniti da AWS per facilitare l'adempimento degli obblighi di controllori di dati secondo il GDPR, consulta la pagina https://aws.amazon.com/security/.  

  • In che modo AWS più essere utile per proteggere i dati dagli attacchi informatici?

    AWS offre a clienti e partner APN numerosi strumenti con cui proteggere i dati e difendersi dagli attacchi informatici. Uno di questi strumenti è AWS Shield. Si tratta di un servizio gestito di protezione da attacchi di tipo DDoS (Distributed Denial of Service) che protegge siti Web e applicazioni in AWS. AWS Shield Standard è disponibile senza alcun costo aggiuntivo e fornisce rilevamento sempre attivo e mitigazione automatizzata, con cui è possibile ridurre al minimo tempi di inattività e latenza. Per ottenere un livello di protezione maggiore dagli attacchi alle applicazioni Web in esecuzione in AWS con ELB, Amazon CloudFront e Amazon Route 53, è possibile utilizzare AWS Shield Advanced. AWS pubblica inoltre un documento, Best practice AWS per la resilienza agli attacchi DDoS, che aiuta i clienti a utilizzare AWS per creare applicazioni resilienti agli attacchi di tipo DDoS.

    Sono disponibili anche altri strumenti per agevolare la protezione dei dati contro gli attacchi informatici:

    • AWS Identity and Access Management (IAM) consente di gestire l'accesso a servizi e risorse AWS. Grazie a IAM, clienti e partner APN possono creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
    • AWS Config permette di applicare regole precaricate in pacchetti per accertare che le risorse AWS siano sempre configurate correttamente e conformi.
    • AWS CloudTrail permette di registrare log, monitorare in modo continuo e conservare le informazioni relative alle attività dell'account, semplificando analisi di sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi. AWS CloudTrail è attivato di default su tutti gli account AWS.
    • Amazon GuardDuty è un servizio gestito di rilevamento delle minacce che esegue un monitoraggio costante per individuare comportamenti sospetti o non autorizzati, facilitando la protezione di carichi di lavoro e account AWS. Monitora le attività sospette che potrebbero indicare la compromissione di un account, ad esempio chiamate API inconsuete o distribuzioni potenzialmente non autorizzate. Inoltre, GuardDuty rileva le istanze potenzialmente compromesse e le attività di ricognizione da parte di malintenzionati.
    • Amazon Macie è un servizio di sicurezza che utilizza l'apprendimento automatico per rilevare, classificare e proteggere automaticamente i dati sensibili in AWS. Questo servizio completamente gestito monitora in modo continuo le attività di accesso ai dati in cerca di anomalie e genera avvisi dettagliati ogni volta che individua accessi non autorizzati o divulgazioni accidentali di informazioni, ad esempio quando un utente rende accessibili pubblicamente dati che dovrebbero rimanere riservati.  
  • Quali strumenti sono disponibili per individuare i dati personali all'interno dei contenuti memorizzati in AWS?

    Amazon Macie è un servizio di sicurezza che utilizza l'apprendimento automatico per rilevare, classificare e proteggere automaticamente i dati sensibili in AWS. Questo servizio completamente gestito monitora in modo continuo le attività di accesso ai dati in cerca di anomalie e genera avvisi dettagliati ogni volta che individua accessi non autorizzati o divulgazioni accidentali di informazioni, ad esempio quando un utente rende accessibili pubblicamente dati che dovrebbero rimanere riservati. Macie è conforme a certificazioni e standard internazionali, tra cui la norma ISO 27017 per la sicurezza nel cloud e la norma ISO 27018 per la privacy nel cloud; inoltre, clienti e partner APN possono impiegare il servizio per monitorare in modo continuo gli accessi ai dati e individuare attività sospette in base ai pattern di accesso.

  • In che modo è possibile controllare l'accesso ai dati personali all'interno dei contenuti memorizzati in AWS?

    Per aiutare clienti e partner APN a soddisfare i requisiti di conformità del regolamento, AWS offre una serie di strumenti per controllare gli accessi ai dati personali salvati in AWS. Di seguito sono elencati alcuni di questi strumenti.

    I servizi AWS sono stati progettati per garantire di default la massima protezione. Se viene applicata la configurazione predefinita, l'accesso alle risorse è limitato solo al proprietario dell'account e all'amministratore dell'account root.

    • AWS Identity and Access Management (IAM) consente di gestire in sicurezza l'accesso ai servizi e alle risorse AWS. Grazie a IAM, è possibile creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
    • L'autenticazione a più fattori di AWS aggiunge un ulteriore livello di protezione a nome utente e password dell'account AWS. AWS offre ai clienti dispositivi MFA virtuali e hardware.
    • AWS Directory Service consente di integrare e creare federazioni con directory aziendali per ridurre il carico amministrativo e migliorare l'esperienza utente.
    • AWS Config permette di applicare regole precaricate in pacchetti per accertare che le risorse AWS siano sempre configurate correttamente e conformi.
    • AWS CloudTrail permette di registrare log, monitorare in modo continuo e conservare le informazioni relative alle attività dell'account su tutta l'infrastruttura AWS, semplificando analisi di sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi.
    • Amazon Macie impiega l'apprendimento automatico per aiutare i clienti a prevenire la perdita di dati mediante rilevamento, classificazione e protezione dei dati sensibili in AWS. Questo servizio completamente gestito monitora in modo continuo le attività di accesso ai dati in cerca di anomalie e genera avvisi dettagliati ogni volta che individua accessi non autorizzati o divulgazioni accidentali di informazioni, ad esempio quando un utente rende accessibili pubblicamente dati che dovrebbero rimanere riservati.
  • In che modo è possibile crittografare i dati personali in AWS per prevenire gli accessi non autorizzati?

    AWS offre a clienti e partner APN la possibilità di aggiungere un ulteriore livello di sicurezza ai loro dati inattivi nel cloud, per aiutarli a soddisfare i loro requisiti in qualità di responsabili per il trattamento dei dati secondo il GDPR. Gli strumenti di crittografia disponibili in AWS includono:

    • Funzionalità di crittografia dei dati disponibili nei servizi di storage e database di AWS, ad esempio Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS e Redshift
    • Opzioni flessibili di gestione delle chiavi, tra cui il servizio AWS Key Management Service, che consentono di scegliere se demandare la gestione delle chiavi di crittografia ad AWS oppure se mantenervi un controllo manuale completo
    • Code di messaggi con crittografia per la trasmissione di dati sensibili utilizzando crittografia lato server (SSE) per Amazon SQS
    • Storage di chiavi dedicato basato su hardware tramite AWS CloudHSM per migliorare la conformità
     
    Inoltre, AWS fornisce API che consentono di integrare la crittografia e la protezione dei dati con i servizi aziendali sviluppati o distribuiti nell'ambiente AWS.
  • In che modo AWS gestisce le istruzioni di cancellazione inoltrate dai clienti?

    I servizi AWS permettono l'eliminazione on demand di contenuti da parte dei clienti mediante Console di gestione AWS, API e altri metodi. Per ulteriori informazioni su specifiche funzionalità, consulta la pagina https://aws.amazon.com/documentation.  

  • In che modo è possibile documentare a un'autorità normativa per la protezione dei dati che l'utilizzo di AWS è conforme al GDPR?

    AWS offre a clienti e partner APN informazioni utili quali report di conformità provenienti da entità di controllo di terze parti, che hanno verificato lo stato di conformità di AWS secondo diversi standard e normative di sicurezza informatica, per documentare gli elevati livelli di conformità dell'infrastruttura. Questi report mostrano a clienti e partner APN che i dati personali che decidono di elaborare in AWS sono sempre al sicuro. Ad esempio, l'infrastruttura è conforme alle norme ISO 27001, 27017 e 27018. La norma ISO 27018, in particolare, contiene controlli di sicurezza volti alla protezione dei dati personali. Per ulteriori informazioni sulla conformità di AWS alla norma ISO 27108, consulta questa pagina: https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS è inoltre conforme al codice di condotta redatto dal CISPE per la protezione dei dati. Il CISPE è una coalizione di provider di infrastrutture cloud (Infrastructure-as-a-Service) che offrono servizi cloud ai clienti in Europa. Il codice di condotta redatto dal CISPE aiuta i clienti di prodotti cloud e partner APN a verificare che il provider di infrastruttura cloud si avvalga di standard per la protezione dei dati conformi al GDPR. Alcuni dei vantaggi del codice di condotta:

    • Chiarisce le responsabilità specifiche in relazione alla tutela dei dati, spiegando il ruolo dei provider E quello del cliente secondo il GDPR, in particolare nel contesto dei servizi infrastrutturali nel cloud.
    • Stabilisce i principi ai quali devono aderire i provider: descrive le operazioni e gli impegni che devono garantire per risultare conformi al GDPR e aiutare i propri clienti e i partner APN a soddisfare i requisiti di conformità.
    • Fornisce a clienti e partner APN informazioni relative a protezione e sicurezza dei dati necessarie per prendere decisioni relative alla conformità: richiede infatti ai fornitori trasparenza sulle misure che prendono per onorare i loro impegni di sicurezza. Queste misure prevedono l'invio di notifiche relative a violazioni alla sicurezza, eliminazione e trattamento dei dati da parte di terzi e richieste legali e da parte di autorità. I clienti e i partner APN potranno impiegare queste informazioni per acquisire una visione più completa dei livelli elevati di sicurezza forniti.
  • AWS è certificato ai fini dello Scudo UE-USA per la privacy?

    Sì. Amazon.com, Inc. ha ottenuto la certificazione ai fini dello EU-US Privacy Shield e AWS è incluso in questa certificazione. Questo consente ai clienti che decidono di trasferire dati personali negli Stati Uniti di soddisfare gli obblighi relativi alla protezione dei dati. La certificazione di Amazon.com Inc può essere consultata nella pagina web dello EU-US Privacy Shield: https://www.privacyshield.gov/list

    Per ulteriori informazioni su questo argomento all'interno di AWS, visita la pagina dedicata a EU-US Privacy Shield.

compliance-contactus-icon
Hai domande? Contatta un rappresentante di conformità di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »