Privacy dei dati in Sudafrica

Panoramica

Il Protection of Personal Information Act (PoPIA), ossia la legge per la protezione dei dati personali, stabilisce le condizioni per la raccolta, l'utilizzo e il trattamento delle informazioni personali relative a una persona fisica vivente e identificabile e, ove applicabile, una persona giuridica identificabile ed esistente in Sudafrica. Stabilisce le condizioni per il trattamento lecito delle informazioni personali. Alcuni degli incarichi dell'Information Regulator, ossia l'autorità sudafricana per la regolamentazione delle informazioni, sono quelli di monitorare e garantire la conformità al PoPIA.

Flusso di dati transfrontaliero
La sezione 72 del PoPIA consente il trasferimento di informazioni personali al di fuori del Sudafrica alle seguenti condizioni:

  • la terza parte, che è il destinatario delle informazioni, è soggetta a una legge, a regole aziendali vincolanti o ad accordi vincolanti che forniscono un livello di protezione adeguato (come descritto nel PoPIA)
  • il soggetto interessato acconsente al trasferimento dei dati;
  • il trasferimento è necessario per l'esecuzione di un contratto tra l'interessato e il responsabile del trattamento dei dati o per l'esecuzione di misure precontrattuali adottate in risposta alla richiesta dell'interessato; 
  • il trasferimento è necessario per la conclusione o l'esecuzione di un contratto stipulato a beneficio dell'interessato tra il responsabile del trattamento dei dati e una terza parte; oppure 
  • il trasferimento è a vantaggio dell'interessato, come ulteriormente stipulato nel PoPIA.
 
AWS protegge la privacy e la sicurezza dei dati. La sicurezza in AWS inizia dalla nostra infrastruttura centrale. Personalizzata per il cloud e progettata per rispondere ai requisiti di sicurezza più severi al mondo, la nostra infrastruttura è monitorata 24x7 per assicurare la riservatezza, l’integrità e la disponibilità dei dati dei nostri clienti. I medesimi esperti di sicurezza di alto livello che monitorano questa infrastruttura si occupano anche di costruire e gestire la nostra ampia selezione di servizi di sicurezza innovativi, che può aiutarti a semplificare il rispetto dei requisiti di sicurezza e regolamentari. In qualità di cliente AWS, a prescindere dalle dimensioni della tua azienda o dalla posizione, erediti tutti i vantaggi della nostra esperienza, testata in base ai più severi standard dei quadri di garanzia di terze parti.
 
AWS implementa e mantiene misure tecniche e organizzative di sicurezza applicabili ai servizi di infrastruttura di AWS Cloud, in base a framework e certificazioni di sicurezza globalmente riconosciuti, tra cui ISO 27001, ISO 27017, ISO 27018, PCI DSS livello 1 e SOC 1, 2 e 3. Queste misure di sicurezza tecnica e organizzativa sono convalidate da entità di controllo indipendenti di terze parti e sono studiate per impedire l’accesso non autorizzato o la divulgazione del contenuto dei clienti.

Ad esempio, la norma ISO 27018 è il primo codice di condotta internazionale che si concentra sulla protezione dei dati personali nel cloud. È basata sullo standard ISO di sicurezza delle informazioni 27002 e fornisce linee guida per l'implementazione di controlli di sicurezza previsti dalla ISO 27002 applicabili alle informazioni personali di identificazione (PII) elaborate dai fornitori di servizi cloud pubblici. La conformità di AWS certifica che AWS dispone di un sistema di controlli mirato a proteggere la privacy dei contenuti dei clienti.

Queste misure tecniche e organizzative complete di AWS sono coerenti con l'obiettivo del PoPIA di protezione delle informazioni personali. I clienti AWS mantengono il controllo sui propri contenuti caricati nei servizi AWS e sono responsabili dell'implementazione di misure di sicurezza aggiuntive basate sulle loro esigenze specifiche, tra cui classificazione dei contenuti, crittografia, gestione degli accessi e credenziali di sicurezza.

AWS non ha visibilità o conoscenza dei contenuti caricati dai clienti nei servizi AWS. I clienti AWS sono i responsabili finali della propria conformità al PoPIA e alle normative associate. Il contenuto della presente pagina integra le risorse esistenti sulla privacy dei dati per aiutarti ad allineare i tuoi requisiti con il Modello di responsabilità condivisa di AWS nel momento in cui archivi ed elabori i dati personali utilizzando i servizi AWS.

  • Le "informazioni personali" sono le informazioni relative a una persona fisica vivente e identificabile, e, ove applicabile, una persona giuridica esistente e identificabile, incluse, ma senza limitarsi a:

    • informazioni relative a razza, genere, sesso, stato di gravidanza, stato civile, nazionalità, origine etnica o sociale, colore, orientamento sessuale, età, salute fisica o mentale, benessere, disabilità, religione, coscienza, credo, cultura, lingua e nascita della persona;
    • informazioni relative all'istruzione o allo storico sanitario, finanziario, penale o lavorativo della persona;
    • qualsiasi numero identificativo, simbolo, indirizzo e-mail, indirizzo fisico, numero di telefono, informazioni sulla posizione, informazioni di identificazione online o altro incarico particolare assegnato alla persona;
    • le informazioni biometriche della persona;
    • le opinioni, i punti di vista o le preferenze della persona;
    • corrispondenza inviata dalla persona che è implicitamente o esplicitamente di natura privata o riservata o ulteriore corrispondenza che rivelerebbe il contenuto della corrispondenza originale;
    • le opinioni o i punti di vista di un altro individuo sulla persona; e
    • il nome della persona se compare insieme ad altre informazioni personali relative alla persona o se la divulgazione del nome stesso rivelerebbe informazioni sulla persona

  • Ai sensi del Modello di responsabilità condivisa di AWS, i clienti AWS mantengono il controllo sulle procedure di sicurezza che scelgono di implementare per proteggere i propri contenuti, piattaforma, applicazioni, sistemi e reti, analogamente a quanto avverrebbe se utilizzassero per le loro applicazioni un data center in locale. I clienti si possono basare sulle misure di sicurezza tecniche e organizzative e sui controlli offerti da AWS per gestire i propri requisiti di conformità. I clienti possono utilizzare misure familiari per proteggere i loro dati, ad esempio la crittografia e la multi-factor authentication, oltre alle funzionalità di sicurezza AWS, quali AWS Identity and Access Management.

    Quando si esamina la sicurezza di una soluzione cloud, è importante che i clienti comprendano e sappiano distinguere tra:

    • Misure di sicurezza implementate e gestite da AWS: "sicurezza del cloud" e
    • Misure di sicurezza implementate e gestite dal cliente, relative alla protezione dei contenuti e delle applicazioni dell'organizzazione che impiegano i servizi AWS: "sicurezza nel cloud"

  • I clienti mantengono la titolarità e il controllo dei propri contenuti e scelgono quali servizi AWS possono elaborare, immagazzinare o conservare in hosting i loro contenuti dei clienti. AWS non dispone di visibilità del contenuto dei clienti né accede o utilizza tale contenuto, salvo per fornire i servizi AWS selezionati dai clienti oppure ove richiesto per ottemperare alle disposizioni di legge o a un atto vincolante.

    I clienti che ricorrono ai servizi AWS mantengono il controllo del loro contenuto all’interno dell’ambiente AWS. Possono:

    • determinare dove memorizzare i contenuti, ad esempio il tipo di ambiente di storage e l'area geografica dove conservarli;
    • controllare il formato dei contenuti, ad esempio testo semplice, mascherato, anonimo o crittografato, utilizzando il meccanismo di crittografia fornito da AWS o da terze parti, secondo le loro preferenze;
    • utilizzare ulteriori controlli degli accessi, come gestione di identità e accessi e credenziali di sicurezza;
    • controllare se utilizzare SSL, Virtual Private Cloud e altre misure di sicurezza di rete per impedire l’accesso non autorizzato.

    Ciò consente ai clienti AWS di controllare l'intero ciclo di vita dei contenuti che decidono di caricare in AWS, gestendoli in base alla riservatezza o alle necessità di controllo degli accessi, di retention o di eliminazione.

  • I data center di AWS sono stati creati in cluster e si trovano in località sparse in tutto il mondo. I singoli cluster di data center in una determinata location vengono chiamati "regioni".

    Sono i clienti di AWS a scegliere in quale regione o in quali regioni debbano essere immagazzinati i loro dati. In questo modo è più semplice per loro soddisfare eventuali requisiti geografici specifici.

    I clienti possono richiedere di eseguire una replica o un backup dei contenuti in più di una regione, ma AWS non trasferirà i loro contenuti al di fuori della regione da loro scelta, se non per fornire i servizi da loro richiesti o in conformità alle normative applicabili.

  • La strategia di sicurezza dei data center di AWS è basata su controlli della sicurezza scalabili e su livelli multipli di difesa, che facilitano la protezione delle tue informazioni. Ad esempio, AWS gestisce con attenzione i potenziali rischi di inondazioni e attività sismiche. Ricorriamo a barriere fisiche, guardie di sicurezza private, tecnologia di rilevamento delle minacce e a un processo di screening approfondito per limitare l'accesso ai data center. Eseguiamo il backup dei nostri sistemi, effettuiamo test regolari di attrezzature e processi e formiamo costantemente i dipendenti di AWS affinché siano pronti a ogni evenienza.

    Per convalidare la sicurezza dei nostri data center, i revisori esterni eseguono test su oltre 2.600 standard e requisiti nel corso dell'anno. Questi esami indipendenti aiutano a garantire che gli standard di sicurezza siano sempre soddisfatti o addirittura superati. Ecco perché organizzazioni altamente regolamentate a livello globale si affidano ad AWS per la protezione dei loro dati.

    Per ulteriori informazioni su come proteggiamo i data center AWS fin dalla progettazione, fai un tour virtuale »

  • I clienti possono scegliere di usare una sola regione, tutte le regioni, oppure solo alcune. Per un elenco completo delle regioni AWS, consulta la pagina Infrastruttura globale AWS.

  • L'infrastruttura cloud AWS è stata progettata per essere uno degli ambienti di cloud computing più flessibili e sicuri sul mercato. La portata globale di Amazon permette un volume di investimenti nella sicurezza che quasi nessun'altra grande azienda può permettersi. L'infrastruttura include hardware, software, rete e strutture in cui sono in esecuzione i servizi AWS, che forniscono a clienti e partner APN controlli quali la configurazione della sicurezza per gestire i dati personali. Per ulteriori informazioni sulle misure adottate da AWS per mantenere livelli di sicurezza elevati e costanti, consulta il whitepaper Panoramica dei processi di sicurezza di AWS.

    AWS offre anche diversi report di conformità provenienti da entità di controllo di terze parti, che hanno testato e verificato lo stato di conformità di AWS secondo diversi standard e normative di sicurezza, ad esempio le norme ISO 27001, ISO 27017 e ISO 27018. Per garantire la trasparenza sull'efficacia di queste misure, consentiamo l'accesso ai report di audit di terze parti disponibili in AWS Artifact. Questi report mostrano a clienti e partner APN, in quanto titolari o responsabili del trattamento dei dati, che AWS mantiene sicura l'infrastruttura che usano per memorizzare e trattare i dati personali. Per ulteriori informazioni, consulta la pagina Risorse per la conformità.

Risorse per la privacy dei dati in Sudafrica

Utilizzo di AWS nel contesto delle considerazioni sulla privacy in Sudafrica
Richieste di informazioni Amazon
Amazon Web Services: panoramica dei processi di sicurezza
DOMANDE FREQUENTI SULLO STANDARD ISO 27018 DI AWS
Servizi di controllo della sicurezza AWS
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »