Centro per il Regolamento generale sulla protezione dei dati (GDPR)

Conformità al GDPR durante l'utilizzo dei servizi AWS

Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea(UE) tutela il diritto fondamentale alla privacy e alla protezione dei dati personali di ogni individuo. Il GDPR include i rigorosi requisiti che definiscono e armonizzano gli standard in materia di protezione, sicurezza e conformità dei dati. Per ulteriori informazioni, consultare le nostre domande frequenti sul GDPRdi seguito.

I clienti AWS possono utilizzare tutti i servizi AWS per elaborare i dati personali (come definiti nel GDPR) caricati nei servizi AWS nei loro account AWS (dati cliente) inconformità con il GDPR. Oltre a garantire la propria conformità, AWS si impegna a offrire servizi e risorse per consentire ai clienti di essere conformi ai requisiti del GDPR applicabili alle loro attività. Nuove caratteristiche vengono rilasciate con regolarità: AWS offre oltre 500 caratteristiche e servizi incentrati su sicurezza e conformità. Per ulteriori informazioni su ciò che AWS sta facendo, leggi il nostro blog Come AWS sta aiutando i clienti dell'UE a orientarsi nella nuova normalità della protezione dei dati.

Controllo del cliente

I clienti hanno il controllo dei dati dei loro clienti. Con AWS, i clienti possono:

  • Stabilire dove archiviare i dati del cliente, selezionando anche il tipo di archiviazione e la sua Regione geografica.
  • Scegliere il livello di sicurezza dei dati dei loro clienti. Offriamo ai clienti una solida crittografia per i dati dei loro clienti sia in transito che inattivi, consentendo inoltre la possibilità di gestire le proprie chiavi di crittografia personali.
  • Gestire l'accesso ai dati dei loro clienti e a servizi e risorse di AWS mediante utenti, gruppi, autorizzazioni e credenziali sotto il controllo dei clienti.
Ulteriori informazioni »

Trasferimenti al di fuori dello Spazio economico europeo (SEE)

I clienti AWS possono continuare a utilizzare i servizi AWS per trasferire i dati dei clienti dal SEE a Paesi non SEE che non hanno ricevuto una decisione di adeguatezza dalla Commissione Europea (compresi gli Stati Uniti) in conformità con il GDPR. In AWS, la nostra priorità principale è quella di mettere in sicurezza i dati dei clienti: per questa ragione, implementiamo rigorose misure tecniche e organizzative per proteggerne la riservatezza, l'integrità e la disponibilità a prescindere dalla Regione AWS selezionata dal cliente. Sappiamo che la trasparenza è importante per i nostri clienti. I servizi AWS che comportano un trasferimento dei dati dei clienti sono elencati nella nostra pagina Web sulle Caratteristiche sulla privacy.

Con l'evolversi del panorama normativo e legislativo, lavoreremo sempre per garantire che i nostri clienti possano continuare a usufruire dei vantaggi dei servizi AWS ovunque operino. Per ulteriori informazioni, consulta il nostro aggiornamento clienti sullo Scudo UE-USA per la privacy e il nostro post sul blog sull'Addendum Supplementare all'addendum sull'elaborazione dei dati GDPR di AWS.

Risorse sul GDPR

compliance-resources-banner@2x
Conformità al GDPR in AWS
Scarica il whitepaper »
compliance-banner-argentina
Tutto quello che c'è da sapere su Brexit e AWS
Ulteriori informazioni »
compliance-latestnews-banners
Post del blog sulla sicurezza di AWS sul GDPR
Ulteriori informazioni »
compliance-programs-banner@2x
Funzionalità di privacy dei servizi AWS
Ulteriori informazioni »

DOMANDE FREQUENTI SUL GDPR

Panoramica e nozioni di base sul GDPR


  • Cos'è il GDPR?

    Il Regolamento generale sulla protezione dei dati (GDPR) è una legge europea sulla privacy, entrata in vigore il 25 maggio 2018. Il GDPR ha sostituito la Direttiva UE sulla protezione dei dati, nota anche come Direttiva 95/46/CE e il suo scopo è di armonizzare le leggi relative alla protezione dei dati in tutta l'Unione europea (UE) con l'applicazione di un'unica legge vincolante in ogni stato membro.

  • A chi si applica il GDPR?

    Il GDPR si applica a tutte le organizzazioni con sede nell'UE, nonché alle organizzazioni, sia con sede nell'UE che al di fuori di essa, che elaborano dati personali di soggetti dell'UE in relazione all'offerta di merci o servizi ai soggetti interessati all’interno dell'UE o al monitoraggio del comportamento nell'UE. I dati personali sono tutte le informazioni relative a una persona fisica identificata o identificabile, inclusi nomi, indirizzi e-mail e numeri di telefono.

  • AWS è un responsabile del trattamento dei dati o un titolare ai sensi del GDPR?

    Secondo il GDPR, AWS è sia responsabile del trattamento dei dati sia titolare.

    • AWS come responsabile del trattamento dei dati – Quando i clienti utilizzano i servizi AWS per elaborare i dati personali nei contenuti che caricano sui servizi AWS, AWS agisce come responsabile del trattamento dei dati. I clienti potranno utilizzare i controlli resi disponibili dai servizi AWS, ad esempio i controlli di configurazione della sicurezza, per la gestione dei dati personali. In tali circostanze, il cliente potrà ricoprire il ruolo di titolare o responsabile del trattamento dei dati, mentre AWS sarà il responsabile o il sub-responsabile del trattamento. AWS offre un addendum AWS sul trattamento dei dati del GDPR (DPA del GDPR di AWS) che incorpora gli impegni di AWS in qualità di responsabile del trattamento dei dati. Il DPA del GDPR di AWS, che include Clausole contrattuali standard, fa parte dei Termini di servizio AWS ed è automaticamente disponibile per tutti i clienti che ne hanno bisogno per essere conformi al GDPR.
    • AWS come titolare del trattamento dei dati : Quando AWS raccoglie dati personali e determina le finalità e le modalità per il loro trattamento - ad esempio, quando AWS archivia le informazioni dell’account (es. indirizzi e-mail forniti durante la registrazione dell’account) necessarie per la registrazione e l'amministrazione di un account, l'accesso ai servizi o le informazioni di contatto per l’account AWS per fornire assistenza tramite il servizio clienti - agisce da titolare del trattamento dei dati. Consulta l’Informativa sulla Privacy di AWS per ulteriori dettagli sul modo in cui AWS tratta i dati personali in qualità di controller.
  • Cosa sono le Clausole contrattuali standard (SCC)?

    Le SCC sono un meccanismo di trasferimento dei dati pre-approvato ai sensi del GDPR, applicabile in tutti gli Stati membri dell'UE, che permette il trasferimento legale di dati personali a paesi al di fuori dello Spazio economico europeo che non hanno ricevuto una decisione di adeguatezza dalla Commissione europea (paesi terzi).

  • In che modo AWS integra gli SCC nel suo DPA del GDPR con i clienti?

    I Termini di servizio AWS comprendono gli SCC adottati dalla Commissione europea (CE) nel giugno 2021 e il DPA del GDPR di AWS conferma che gli SCC si applicheranno automaticamente ogni volta che un cliente AWS utilizza i servizi AWS per trasferire i dati dei clienti a paesi al di fuori dello Spazio economico europeo che non hanno ricevuto una decisione di adeguatezza dalla CE (paesi terzi). In quanto parte dei Termini di servizio AWS, le nuove SCC si applicheranno automaticamente nel momento in cui un cliente utilizza i servizi AWS per trasferire i dati dei clienti a paesi terzi. I pochi clienti che hanno firmato un DPA del GDPR di AWS possono continuare a fare affidamento su di esso, in quanto le nuove SCC nei Termini di servizio AWS sostituiscono la versione precedente delle SCC. I clienti possono quindi confidare nel fatto che qualsiasi dato del cliente trasferito verso paesi terzi utilizzando i servizi AWS benefici dello stesso livello elevato di protezione dei dati dei clienti trasferiti all'interno del SEE. Per ulteriori informazioni, vedi il post del blog, Nuove Clausole contrattuali standard ora parte dell'Addendum sul trattamento dei dati GDPR di AWS per i clienti.

Conformità AWS e GDPR in base alla sentenza Schrems II e alle Raccomandazioni EDPB


  • Cosa sono la sentenza Schrems II e le Raccomandazioni EDPB?

    Il 16 luglio 2020, la Corte di giustizia dell'Unione europea (CGUE) ha emesso una sentenza in merito al trasferimento di dati personali di persone dell'UE al di fuori del SEE (Schrems II). In Schrems II, la CGUE ha stabilito che lo scudo UE-USA per la privacy non era più un meccanismo valido per trasferire dati personali dal SEE agli Stati Uniti. Tuttavia, nella stessa sentenza, la CGUE ha confermato che le società possono (previa attuazione di misure integrative, se necessarie) continuare a utilizzare le clausole contrattuali standard come meccanismo valido per il trasferimento dei dati personali al di fuori del SEE. Il Comitato europeo per la protezione dei dati (EDPB), un organismo europeo composto da rappresentanti delle autorità nazionali per la protezione dei dati, ha fornito da allora un elenco non esaustivo di misure supplementari nelle sue “Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire la conformità con il livello UE di protezione dei dati personali” (raccomandazioni dell'EDPB).

    Le raccomandazioni dell'EDPB forniscono agli esportatori di dati esempi di misure supplementari che potrebbero essere messe in atto. Consulta le domande frequenti "Posso continuare a utilizzare i servizi AWS in seguito alla sentenza Schrems II?" di seguito per dettagli sulle risorse di trasferimento dati di AWS. 

  • Posso continuare a utilizzare i servizi AWS in seguito alla decisione Schrems II?

    Sì, i clienti AWS possono continuare a utilizzare i servizi AWS per trasferire i dati dei clienti dall'Europa a paesi al di fuori del SEE che non hanno ricevuto una decisione di adeguatezza dalla Commissione europea. La decisione Schrems II ha convalidato l'uso delle clausole contrattuali standard (SCC, Standard Contractual Clauses) come meccanismo per il trasferimento dei dati dei clienti al di fuori del SEE e i clienti AWS possono continuare a fare affidamento sulle SCC per qualsiasi trasferimento dei dati dei clienti al di fuori del SEE in conformità con il GDPR.

    • Luogo di elaborazione. I clienti selezionano la Regione AWS in cui verranno archiviati i dati dei clienti. Una panoramica delle Regioni AWS disponibili è consultabile inRegioni e zone di disponibilità. AWS non tratterà i dati del cliente al di fuori della Regione AWS selezionata dal cliente, a meno che ciò non sia necessario allo scopo di fornire i servizi AWS avviati dal cliente, o se necessario per conformarsi alla legge o a un ordine vincolante di un ente governativo. Consulta la nostra pagina Web sulle Caratteristiche sulla privacy per saperne di più sui trasferimenti di dati nell'ambito dei servizi AWS.
    • Sub-responsabili. AWS può utilizzare sub-responsabili, vale a dire affiliati AWS o terze parti per assisterla nel trattamento dei dati dei clienti, per adempiere ai nostri obblighi nei confronti dei clienti ai sensi del DPA, o per fornire servizi per nostro conto. Per ulteriori dettagli, consulta le domande frequenti "AWS utilizza sub-responsabili per elaborare i dati dei clienti?" di seguito.
    • Strumenti di trasferimento. Poiché la decisione Schrems II ha convalidato l'uso degli SCC come meccanismo per il trasferimento dei dati ai paesi al di fuori del SEE dei dati che non hanno ricevuto una decisione di adeguatezza dalla Commissione Europea, i nostri clienti possono continuare a fare affidamento sugli SCC inclusi nel DPA del GDPR di AWS se scelgono di trasferire i propri dati al di fuori del SEE in conformità con il GDPR.
    • Misure supplementari.
      • Controllo del cliente. I clienti hanno la proprietà e il controllo sui dati dei clienti in ogni momento tramite strumenti semplici ma potenti, che consentono loro di determinare dove verranno archiviati i dati dei clienti, proteggere i dati dei clienti in transito e inattivi e gestire l'accesso degli utenti alle loro risorse AWS e modificare, eliminare e recuperare i dati dei clienti.
      • Misure tecniche e organizzative. AWS implementa controlli e processi tecnici e fisici responsabili e sofisticati progettati per impedire l'accesso non autorizzato o la divulgazione dei dati dei clienti (visitarela pagina Web sulla Conformità di AWS per ulteriori informazioni). Forniamo anche una serie di servizi avanzati di crittografia e gestione delle chiavi (inclusi servizi che consentono ai clienti di gestire le proprie chiavi) che i clienti possono utilizzare per proteggere i dati dei propri clienti sia in transito che inattivi: i dati dei clienti crittografati sono resi inaccessibili senza le chiavi di decrittazione applicabili. Indipendentemente dal fatto che i dati dei clienti siano crittografati o meno, lavoreremo sempre con attenzione per proteggere i dati dei clienti da qualsiasi accesso non autorizzato.
      • Richieste delle forze dell'ordine. AWS dispone di processi interni per gestire le richieste che riceviamo dalle forze dell'ordine. Quando riceviamo una richiesta per la divulgazione di contenuti da parte della legge, la esaminiamo attentamente per autenticarne l’accuratezza e verificare che sia appropriata e conforme con le leggi applicabili. A meno che non sia legalmente vietato farlo, AWS avvisa i clienti prima di divulgare i dati dei clienti in modo che i clienti possano adottare ulteriori misure per proteggere i dati dalla divulgazione. Nell'Addendum Supplementare al DPA del GDPR di AWS (Supplementary Addendum), AWS assume impegni contrattuali rafforzati in relazione alla gestione delle richieste governative per i dati dei clienti, impegnandosi inoltre a (i) utilizzare ogni ragionevole sforzo per reindirizzare qualsiasi ente governativo che richieda i dati dei clienti al cliente in questione, (ii) notificare prontamente la richiesta al cliente se legalmente autorizzato a farlo (anche utilizzando tutti gli sforzi ragionevoli e leciti per ottenere una deroga al divieto, se necessario, (iii) contestare qualsiasi richiesta eccessiva o inappropriata, anche laddove la richiesta sia in conflitto con il diritto dell'UE e (iv) se, dopo aver esaurito i passaggi sopra descritti, AWS rimane ancora obbligata a divulgare i dati del cliente in risposta a una richiesta governativa, a divulgare solo la quantità minima di dati del cliente necessaria per soddisfare la richiesta.
      • Misure contrattuali. AWS assume diversi impegni contrattuali rispetto alle misure sopra descritte che si riflettono nel DPA del GDPR di AWS e nell'Addendum Supplementare. Il DPA del GDPR di AWS e l'Addendum Supplementare includono impegni contrattuali di AWS riguardanti (1) la selezione da parte del cliente delle Regioni AWS in cui i dati del cliente vengono archiviati e trattati, (2) le misure tecniche e organizzative che AWS ha implementato per proteggere l'infrastruttura AWS e le misure organizzative e tecniche che i clienti possono scegliere di applicare per proteggere i dati dei clienti, (3) le misure di AWS per proteggere i dati dei clienti e informare il cliente in caso di una richiesta di divulgazione dei dati da parte di un ente governativo e (4) la capacità di AWS di adempiere ai propri obblighi stabiliti nel DPA del GDPR di AWS in conformità con la legislazione applicabile in un Paese terzo in cui vengono trattati i dati dei clienti. L'Addendum Supplementare affronta anche (5) i diritti legali delle persone fisiche di chiedere un risarcimento in caso di violazione dei loro diritti garantiti dal GDPR.
  • AWS utilizza sub-responsabili per elaborare i dati dei clienti?

    Sì, AWS può utilizzare tre tipi di sub-responsabili: (1) entità AWS che forniscono l'infrastruttura su cui vengono eseguiti i servizi AWS; (2) entità AWS che supportano servizi AWS specifici che possono richiedere l'elaborazione di dati dei clienti da parte di tali entità: (3) terze parti con cui AWS ha concordato di fornire processi di elaborazioni per servizi AWS specifici. La pagina Web dei sub-responsabili di AWS fornisce ulteriori informazioni sui sub-responsabili che AWS coinvolge in conformità con il DPA del GDPR di AWS, per fornire attività di elaborazione sui dati dei clienti per conto dei clienti. I sub-responsabili relativi a un singolo cliente dipenderanno dalla Regione AWS selezionata dal cliente e dai particolari servizi AWS utilizzati dal cliente.

  • In che modo AWS aiuta i clienti quando effettuano valutazioni sul trasferimento dei dati?

    Il whitepaper AWS, Navigazione nella conformità ai requisiti di trasferimento dei dati dell'UE, fornisce informazioni sui servizi e le risorse che AWS offre ai clienti per aiutarli a effettuare valutazioni sul trasferimento dei dati alla luce della decisione Schrems II e alle seguenti raccomandazioni del Comitato europeo per la protezione dei dati. Il whitepaper descrive anche le misure supplementari principali adottate e rese disponibili da AWS per proteggere i dati dei clienti.

  • Come posso dimostrare a un'autorità incaricata della protezione dei dati che il mio utilizzo dei servizi AWS è conforme al GDPR?

    AWS offre ai clienti informazioni utili quali report di conformità provenienti da enti di controllo di terza parte, che hanno verificato lo stato di conformità secondo diversi standard e normative di sicurezza informatica, per documentare gli elevati livelli di conformità mantenuti da AWS per la propria infrastruttura. Questi report mostrano ai nostri clienti che proteggiamo i dati personali che scelgono di elaborare in AWS. Ne sono esempio la conformità di AWS alle norme ISO 27001, 27017 e 27018. La norma ISO 27018 contempla controlli di sicurezza volti alla protezione dei dati dei clienti.

    AWS è inoltre conforme al codice di condotta CISPE per la protezione dei dati. Maggiori informazioni sul Codice di Condotta CISPE sono disponibili nelle FAQ di seguito, "AWS è conforme a un Codice di condotta approvato del GDPR, specifico per i servizi infrastrutturali cloud?"

  • AWS è conforme al Codice di condotta approvato del GDPR specifico per i servizi infrastrutturali cloud?

    A febbraio 2017, AWS ha annunciato la sua conformità al Codice di condotta CISPE per la protezione dei dati. CISPE (Cloud Infrastructure Services Providers in Europe) è una coalizione di leader del cloud computing al servizio di milioni di clienti in Europa. CISPE ha sviluppato in collaborazione con l'Autorità francese per la protezione dei dati (CNIL), il Codice di condotta per la CISPE per la protezione dei dati (Codice CISPE), il primo codice di condotta pan-europeo per la protezione dei dati incentrato sui servizi infrastrutturali cloud. Il Codice CISPE è approvato dal Comitato europeo per la protezione dei dati e dalla CNIL.
     
    e aiuta i clienti a garantire che il proprio fornitore di servizi infrastrutturali cloud offra adeguate garanzie operative per dimostrare la conformità al GDPR e proteggere i dati dei clienti. Alcuni vantaggi chiave del codice CISPE includono:
    • Chiarisce il ruolo del fornitore di servizi infrastrutturali cloud ai sensi del GDPR per quanto riguarda il trattamento dei dati del cliente, ovvero qualsiasi dato personale elaborato per conto del cliente che utilizza il servizio di infrastruttura cloud.
    • Richiede ai fornitori di servizi infrastrutturali cloud di offrire ai clienti la possibilità di selezionare servizi che archiviano ed elaborano i dati dei clienti interamente all'interno dello Spazio economico europeo.
    • Il Codice CISPE stabilisce i requisiti a cui i fornitori di servizi infrastrutturali cloud, in quanto responsabili del trattamento, dovrebbero attenersi, con particolare attenzione alle misure di sicurezza: delinea le azioni e gli impegni che i fornitori di servizi infrastrutturali cloud dovrebbero intraprendere per conformarsi al GDPR (e aiutare i clienti a garantire loro conformità al GDPR).
    • Il Codice CISPE offre ai clienti le informazioni sulla protezione e la sicurezza dei dati di cui hanno bisogno per prendere decisioni sulle loro esigenze di conformità al GDPR: richiede che i fornitori di servizi infrastrutturali cloud siano trasparenti sui passaggi che stanno intraprendendo per rispettare i loro impegni di sicurezza. Questi passaggi includono notifiche relative a violazioni dei dati personali e sub-trattamenti da parte di terzi. I clienti possono impiegare queste informazioni per acquisire una visione più completa degli elevati livelli di sicurezza forniti.

Misure tecniche e organizzative


  • In che modo il GDPR interessa il modello di responsabilità condivisa di AWS?

    Il GDPR non cambia il Modello di responsabilità condivisa AWS, che continua a essere rilevante per i clienti. Il modello di responsabilità condivisa rappresenta un approccio utile per illustrare le diverse responsabilità di AWS (in qualità di responsabile o sub-responsabile del trattamento dei dati) e dei clienti (come titolari o responsabili del trattamento dei dati) secondo il GDPR.

    In base al modello di responsabilità condivisa, AWS è responsabile della sicurezza dell'infrastruttura sottostante che supporta i servizi AWS ("Sicurezza "DEL" cloud") e i clienti, in qualità di titolari o responsabili del trattamento dei dati, sono responsabili di tutti i dati personali che caricano sui servizi AWS ("Sicurezza "NEL" cloud").

    Responsabilità di AWS "Sicurezza del cloud" – AWS si occupa di proteggere l’infrastruttura globale su cui vengono eseguiti tutti i servizi offerti nel cloud AWS. L'infrastruttura include hardware, software, rete e strutture in cui sono in esecuzione i servizi AWS, che forniscono a clienti potenti controlli quali la configurazione della sicurezza per gestire i contenuti dei loro clienti. AWS offre diversi report di conformità provenienti da enti di controllo di terze parti, che ne hanno verificato la conformità con una serie di standard e normative di sicurezza informatica (per ulteriori informazioni, visita la pagina Web sulla conformità di AWS). Questi report mostrano ai nostri clienti che stiamo proteggendo i dati dei loro clienti. Ad esempio, AWS è conforme alle norme AWS ISO 27001, 27017 e 27018. La norma ISO 27018 contiene controlli di sicurezza volti alla protezione dei dati dei clienti.

    Responsabilità del cliente “Sicurezza nel Cloud” - I clienti AWS sono responsabili dell'architettura e della protezione dell'applicazione e delle soluzioni che scelgono di distribuire sui servizi AWS. I clienti AWS sono anche responsabili della configurazione dei servizi AWS in modo da proteggere le esigenze di riservatezza, integrità e sicurezza dei dati dei loro clienti. Le responsabilità specifiche che i clienti hanno per proteggere i dati dei clienti variano a seconda dei servizi AWS che i clienti scelgono di utilizzare e di come tali servizi sono integrati negli ambienti IT dei clienti. I clienti AWS hanno visibilità e controllo sui dati dei propri clienti e possono implementare controlli di sicurezza flessibili in base alla sensibilità del tipo specifico di dati dei clienti. I clienti possono fare ciò utilizzando le proprie misure e strumenti di sicurezza oppure quelli messi a disposizione da AWS o da altri fornitori. In questo modo, i clienti possono mettere in atto ulteriori livelli di sicurezza per i dati più sensibili dei clienti.

    AWS rende disponibili prodotti, strumenti e servizi che i clienti possono utilizzare per progettare e proteggere le loro applicazioni e soluzioni e che possono essere distribuiti per aiutare a gestire i requisiti del GDPR, tra cui:

    • AWS Identity and Access Management (IAM) consente di gestire l'accesso ai servizi e alle risorse AWS in maniera sicura. Grazie a IAM, i clienti possono creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
    • AWS CloudTrail permette alle organizzazioni di registrare, monitorare in modo continuo e conservare le informazioni relative alle attività dell’account e alle azioni in AWS, semplificando le analisi di sicurezza, il monitoraggio delle modifiche alle risorse e la risoluzione dei problemi (AWS CloudTrail è attivato in maniera predefinita su tutti gli account AWS).
    • Amazon GuardDuty è un servizio gestito di rilevamento delle minacce che esegue un monitoraggio costante per individuare comportamenti sospetti o non autorizzati, facilitando la protezione di carichi di lavoro e account AWS. Questo servizio monitora le attività sospette che potrebbero indicare la compromissione di un account, ad esempio chiamate API inconsuete o distribuzioni potenzialmente non autorizzate. Inoltre, GuardDuty rileva le istanze potenzialmente compromesse o le attività di ricognizione da parte di malintenzionati.
    • Amazon Macie è uno strumento di machine learning che aiuta a rilevare e classificare i dati personali archiviati in Amazon S3.

    Consulta il nostro whitepaper, Navigazione conforme al GDPR su AWS, per ulteriori dettagli su come utilizzare le risorse AWS in conformità con il GDPR.

  • I partner AWS offrono prodotti e servizi per aiutare con la conformità al GDPR?

    Sì, è possibile cercare "GDPR" nella pagina AWS Partner Solutions Finder per trovare i partner ISV, MSP e SI che forniscono prodotti e servizi utili per la conformità al GDPR. I clienti possono anche cercare le soluzioni "GDPR" su AWS Marketplace.

  • AWS offre servizi professionali per fornire assistenza con la conformità al GDPR?

    Sì, il team di AWS Security Assurance Services dispone di una serie di attività per aiutare i clienti nel loro percorso verso la conformità al GDPR. Questo team di professionisti certificati nel settore della conformità aiuta i clienti a raggiungere, mantenere e automatizzare la conformità nel cloud collegando gli standard di conformità applicabili alle caratteristiche e funzionalità specifiche del servizio AWS. È possibile trovare ulteriori dettagli su come i consulenti di AWS Professional Services stanno aiutando i clientiqui.

  • In che modo AWS Support può essermi utile per il percorso verso la conformità al GDPR?

    I clienti possono utilizzare AWS Support per ricevere indicazioni tecniche che li aiutino nel loro percorso verso la conformità al GDPR. Nell'ambito di questa attività sono disponibili team di Ingegneri di supporto cloud e Technical Account Manager (TAM) formati per aiutare a identificare e mitigare i rischi di conformità. Il livello di assistenza fornito da AWS dipende dal piano AWS Support scelto dai clienti. I clienti che desiderano scoprire in che modo AWS Premium Support può aiutarli possono trovare ulteriori informazioni nell'AWS Support Center, disponibile tramite la Console di gestione AWS, utilizzando i dettagli di contatto specificati nel contratto di supporto Enterprise stipulato con AWS oppure visitando lapagina Web di AWS Support. In caso di domande sul GDPR, i clienti con il livello di assistenza Enterprise dovranno contattare il loro Technical Account Manager.

    I clienti possono trovare utili i seguenti due programmi nel perseguire la conformità al GDPR:

    • Valutazione delle operazioni nel cloud: questo programma, disponibile ai clienti AWS Enterprise Support, è stato progettato per aiutare a identificare le carenze nell'approccio operativo nel cloud. Nasce da un set di best practice operative scaturite dall'esperienza di AWS con set di clienti di grandi dimensioni e fornisce una valutazione dell'operatività del cloud e delle relative prassi di gestione, che può aiutare a ottenere la conformità al regolamento. Questo programma usa un approccio basato su quattro princìpi, con particolare attenzione su preparazione monitoraggio, funzionamento e ottimizzazione di sistemi basati sul cloud per raggiungere l'eccellenza operativa.
    • Valutazione Well-Architected: questo programma permette alle organizzazioni di confrontare la loro architettura con le best practice di AWS e di creare un'architettura sicura, affidabile, ad alte prestazioni e a costi ridotti. Le valutazioni Well-Architected permettono inoltre a clienti di individuare i potenziali rischi della propria architettura e di risolverli prima che le applicazioni siano distribuite per la produzione.

  • In che modo AWS aiuta i clienti a soddisfare i requisiti previsti dal GDPR in relazione a notifiche di violazione della sicurezza dei dati personali?

    AWS dispone di un processo di monitoraggio degli incidenti di sicurezza e di notifica delle violazioni dei dati e notificherà ai clienti le violazioni della sicurezza di AWS senza indebito ritardo e in conformità con il DPA del GDPR di AWS. Inoltre, AWS offre ai clienti numerosi strumenti per controllare chi ha eseguito l'accesso alle risorse, quando e da dove. Uno di questi strumenti è AWS CloudTrail, che consente di applicare governance, conformità, eseguire audit operativi e audit dei rischi di un account AWS. Con AWS CloudTrail è possibile registrare, monitorare in modo continuo e conservare le informazioni correlate alle attività dell'account all'interno dell'infrastruttura AWS. Ciò consente alle organizzazioni di avere un quadro completo di ciò che accade nell'infrastruttura AWS e rispondere tempestivamente in caso di attività sospette. Per ulteriori informazioni su altri strumenti di sicurezza che AWS offre ai clienti per soddisfare i propri obblighi in qualità di titolari del trattamento dei dati ai sensi del GDPR, visita la pagina Web Sicurezza di AWS Cloud.  

  • In che modo AWS mi aiuta a proteggere i dati dei miei clienti dagli attacchi informatici?

    AWS offre a clienti e Partner APN numerosi strumenti con cui proteggere i dati e difendersi dagli attacchi informatici. Uno di questi strumenti è AWS Shield. Si tratta di un servizio gestito di protezione da attacchi di tipo DDoS (Distributed Denial of Service) che protegge siti Web e applicazioni in AWS. AWS Shield Standard è disponibile senza alcun costo aggiuntivo e fornisce rilevamento sempre attivo e mitigazione automatizzata, con cui è possibile ridurre al minimo tempi di inattività e latenza. Per ottenere un livello di protezione maggiore dagli attacchi alle applicazioni Web in esecuzione in AWS e che utilizzano risorse di ELB, Amazon CloudFront e Amazon Route 53, i clienti e i partner APN posso iscriversi a AWS Shield Advanced. AWS, inoltre, pubblica e aggiorna regolarmente un documento sulle "best practice di AWS per la resilienza agli attacchi DDoS", che aiuta i clienti a utilizzare AWS per creare applicazioni resilienti agli attacchi di tipo DDoS.

    Altri strumenti che AWS ha a disposizione per proteggere i dati dei clienti dagli attacchi informatici includono:

    • AWS Identity and Access Management (IAM) consente di gestire l'accesso ai servizi e alle risorse AWS in maniera sicura. Grazie a IAM, clienti e partner APN possono creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
    • AWS Config consente ai clienti e ai partner APN di abilitare regole preconfezionate che aiutano a garantire che le loro risorse AWS siano correttamente configurate e conformi.
    • AWS CloudTrail permette alle organizzazioni di registrare, monitorare in modo continuo e conservare le informazioni relative alle attività dell’account e alle azioni in AWS, semplificando le analisi di sicurezza, il monitoraggio delle modifiche alle risorse e la risoluzione dei problemi (AWS CloudTrail è attivato in maniera predefinita su tutti gli account AWS).
    • Amazon GuardDuty è un servizio gestito di rilevamento delle minacce che esegue un monitoraggio costante per individuare comportamenti sospetti o non autorizzati, facilitando la protezione di carichi di lavoro e account AWS. Questo servizio monitora le attività sospette che potrebbero indicare la compromissione di un account, ad esempio chiamate API inconsuete o distribuzioni potenzialmente non autorizzate. Inoltre, GuardDuty rileva le istanze potenzialmente compromesse o le attività di ricognizione da parte di malintenzionati.
  • Quali strumenti sono disponibili per individuare i dati personali all'interno dei contenuti in AWS?

    Amazon Macie è un servizio completamente gestito per la sicurezza e la privacy dei dati che sfrutta il machine learning e il pattern matching per individuare i tuoi dati personali e proteggerli su AWS. Poiché le organizzazioni gestiscono volumi di dati sempre maggiori, l'identificazione e la tutela dei dati personali su vasta scala possono rivelarsi operazioni alquanto complesse e dispendiose in termini di tempo e risorse economiche. Amazon Macie automatizza l’individuazione dei dati personali su scala e riduce i costi relativi alla protezione dei tuoi dati. Macie fornisce automaticamente un inventario dei bucket di Amazon S3 tra cui un elenco di bucket non criptati, bucket pubblicamente accessibili e bucket condivisi con account AWS diversi da quelli definiti in AWS Organizations. Successivamente, Macie applica tecniche di machine learning e pattern matching ai bucket selezionati avvisandoti una volta individuati i dati personali.

    Amazon Macie è conforme a certificazioni e standard internazionali, tra cui la norma ISO 27017 per la sicurezza nel cloud, la norma ISO 27018 per la privacy nel cloud. I clienti e Partner APN possono impiegare Macie per monitorare in modo continuo gli accessi ai dati e individuare attività sospette in base ai modelli di accesso.

  • In che modo è possibile controllare l'accesso ai dati personali all'interno dei contenuti memorizzati in AWS?

    Per aiutare clienti a soddisfare i requisiti del GDPR, AWS offre una serie di strumenti per controllare gli accessi ai dati personali salvati in AWS. Di seguito sono elencati alcuni di questi strumenti.

    • I servizi AWS sono stati progettati per garantire di default la massima protezione. Se viene applicata la configurazione predefinita, l'accesso alle risorse è limitato solo al proprietario dell'account e all'amministratore dell'account root.
    • AWS Identity and Access Management (IAM) consente di gestire in sicurezza l'accesso ai servizi e alle risorse AWS. Grazie a IAM, è possibile creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
    • AWS Multi-Factor Authentication aggiunge un ulteriore livello di protezione a nome utente e password dell'account AWS. AWS offre ai clienti dispositivi MFA virtuali e hardware.
    • AWS Directory Service permette ai clienti di integrare e creare federazioni con directory aziendali per ridurre le spese amministrative e migliorare l'esperienza dell'utente finale.
    • AWS Config consente ai clienti di abilitare regole preconfezionate che aiutano a garantire che le loro risorse AWS siano in uno stato correttamente configurato e conforme.
    • AWS CloudTrail permette ai clienti di registrare log, monitorare in modo continuo e conservare le informazioni relative alle attività dell'account nella loro infrastruttura AWS, semplificando analisi di sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi (AWS CloudTrail è attivato in maniera predefinita su tutti gli account AWS).
    • Amazon Macie impiega il machine learning per aiutare i clienti a prevenire la perdita di dati mediante il rilevamento, la classificazione e la protezione dei dati sensibili in AWS. Questo servizio completamente gestito monitora in modo continuo le attività di accesso ai dati in cerca di anomalie e genera avvisi dettagliati ogni volta che individua accessi non autorizzati o divulgazioni accidentali di informazioni, ad esempio quando un utente rende accessibili pubblicamente dati sensibili.
       
  • In che modo posso crittografare i dati dei clienti in AWS per evitare gli accessi non autorizzati?

    AWS offre a clienti e Partner APN la possibilità di aggiungere un ulteriore livello di sicurezza ai loro dati clienti inattivi nel cloud, per aiutarli a soddisfare i requisiti in qualità di titolari per il trattamento dei dati secondo il GDPR. Gli strumenti di crittografiadisponibili su AWS includono:

     
    Inoltre, AWS fornisce, a clienti e Partner APN, API che consentono di integrare la crittografia e la protezione dei dati con i servizi aziendali sviluppati o distribuiti nell'ambiente AWS.
  • Quali servizi offre AWS ai clienti per semplificare la conformità al GDPR?

    AWS fornisce caratteristiche e servizi specifici che consentono ai clienti di soddisfare i requisiti del GDPR:

    Controllo degli accessi: solo le applicazioni, gli utenti e gli amministratori autorizzati possono accedere alle risorse AWS

    • Autenticazione a più fattori (MFA)
    • Accesso con granularità fine a oggetti in bucket Amazon S3/Amazon SQS/Amazon SNS e altri
    • Autenticazione delle richieste API
    • Restrizioni geografiche
    • Token di accesso temporaneo tramite AWS Security Token Service

    Monitoraggio e accessi: ottieni una panoramica delle attività sulle risorse AWS

    Crittografia: crittografia dei dati su AWS

    • Crittografia dei dati inattivi con AES256 (EBS/S3/Glacier/RDS)
    • Key Management gestito in modo centralizzato (per regione AWS)
    • Tunnel IPsec in AWS con i gateway VPN
    • Moduli HSM dedicati nel cloud con AWS CloudHSM

    Solido framework di conformità e standard di sicurezza: Dimostriamo la conformità a rigorosi standard internazionali, quali:

AWS e il GDPR nel Regno Unito


Contatti


  • Chi devo contattare per domande su GDPR e AWS?

    In caso di domande sul GDPR, consigliamo a clienti di contattare prima il proprio Account Manager di AWS. Se i clienti sono registrati per il piano di assistenza Enterprise, possono anche contattare il loro Technical Account Manager (TAM). Quest'ultimo collabora con i solutions architect per aiutare i clienti e identificare i potenziali rischi e le relative mitigazioni. Inoltre, insieme al team dedicato all'account, può indirizzare clienti e partner APN verso specifiche risorse in base al loro ambiente e alle loro esigenze.
     

    AWS, inoltre, dispone di team di rappresentanti dell’assistenza Enterprise, consulenti di servizi professionali e altre figure che potranno essere utili in caso di domande sul GDPR. Contattaci per qualsiasi domanda qui.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »