Privacidade de dados no Canadá

Visão geral

Os clientes da AWS podem projetar e implementar um ambiente da AWS e usar os serviços da AWS de forma a satisfazer suas obrigações de acordo com as leis de privacidade federais, provinciais e territoriais canadenses.

Os clientes sempre mantêm o controle sobre como gerenciam e acessam seu conteúdo armazenado na AWS. A AWS não tem conhecimento sobre o que os clientes enviam para seus serviços, incluindo se esses dados são ou não considerados sujeitos às leis de privacidade do Canadá, e os clientes são responsáveis por garantir sua própria conformidade com quaisquer leis aplicáveis.

O Adendo de Processamento de Dados da AWS (AWS DPA), também chamado de acordo de transferência de dados, aplica-se globalmente e inclui compromissos contratuais específicos para abordar adequadamente a privacidade e a segurança de dados pessoais.

Existem várias leis no Canadá relacionadas à proteção de informações pessoais. A aplicação dessas leis é feita por várias organizações e agências governamentais nos níveis federal, provincial e territorial.

No nível federal, a Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) pode ser aplicada à coleta, ao uso e à divulgação de informações pessoais no setor privado, e a Lei de Privacidade pode ser aplicada no setor público. O Gabinete do Comissário de Privacidade do Canadá (OPC) supervisiona a aplicação de ambas as leis.

As províncias e os territórios canadenses também adotaram suas próprias leis de privacidade para os setores público e privado, bem como leis de privacidade específicas para certos tipos de dados pessoais, como informações pessoais de saúde. O site do OPC fornece uma visão geral dessas leis e autoridades provinciais e territoriais.

Para clientes que desejam processar seus dados no Canadá, as regiões da AWS Canadá (Central), perto de Montreal, e Canadá (Oeste), perto de Calgary, estão disponíveis. Para obter uma lista completa das regiões e dos serviços da AWS, acesse a Página de infraestrutura global.

Perguntas frequentes

• Como os clientes podem determinar quais leis de privacidade canadenses se aplicam ao respectivo caso de uso?

  Os fatores que determinam se e em que medida um cliente da AWS está sujeito à PIPEDA, à Lei de privacidade ou a qualquer outro requisito de privacidade canadense podem variar em função das atividades comerciais e do caso de uso desse cliente. Os clientes devem consultar seus assessores jurídicos para compreender as leis de privacidade às quais estão sujeitos.

• Como os clientes podem cumprir as leis de privacidade canadenses na AWS?

  Os clientes sujeitos às leis de privacidade canadenses podem precisar atender a requisitos relativos a coleta, acesso, uso, divulgação e proteção de informações pessoais. A AWS permite que os clientes controlem como o conteúdo é armazenado ou processado usando os serviços da AWS, incluindo o controle sobre como esse conteúdo é protegido e quem pode acessá-lo. A AWS fornece serviços que os clientes podem configurar e usar para ajudar na segurança das informações pessoais que armazenam na AWS. É responsabilidade do cliente definir uma arquitetura de solução que atenda aos requisitos de privacidade aplicáveis.

  A AWS fornece manuais, whitepapers e guias de melhores práticas em nossa Página de recursos de conformidade da AWS e os clientes têm acesso sob demanda aos relatórios de auditoria de terceiros da AWS no AWS Artifact.

• Existe alguma lei de privacidade canadense que proíba um cliente da AWS de transferir ou armazenar dados pessoais fora do Canadá?

  Os clientes devem consultar seus próprios assessores jurídicos para determinar quais leis de privacidade canadenses ou outras obrigações podem se aplicar à sua organização e caso de uso.

• Existe alguma lei de privacidade canadense que exija que as informações pessoais sejam criptografadas?

  As entidades sujeitas às leis de privacidade canadenses devem tomar medidas para proteger as informações pessoais, e é responsabilidade de cada cliente determinar se a criptografia é necessária para cumprir suas obrigações de segurança e conformidade.

  A AWS recomenda que os clientes criptografem seus dados em repouso e em trânsito como melhor prática. Para obter orientação adicional, consulte Criptografar dados em repouso e dados em trânsito.

• Qual é a função do cliente na proteção do próprio conteúdo na AWS?

  Ao avaliar a segurança de uma solução em nuvem, é importante que os clientes entendam e façam a distinção entre:

  • Medidas de segurança implementadas e operadas pela AWS, a “segurança da nuvem”, e
  • Medidas de segurança implementadas e operadas pelo cliente, relacionadas à segurança do conteúdo e das aplicações dos clientes que usam os serviços da AWS, a “segurança na nuvem”.

  

  De acordo com o Modelo de responsabilidade compartilhada da AWS, nossos clientes mantêm o controle do tipo de segurança que desejam implementar para proteger conteúdo, plataforma, aplicações, sistemas e redes, da mesma maneira como ocorreria em um data center local. Os clientes podem usar medidas de segurança conhecidas, como criptografia e autenticação multifator, para proteger seus dados e atender aos requisitos de conformidade, além dos serviços e recursos de segurança da AWS, como o AWS Identity and Access Management (IAM).

• Quem pode acessar o conteúdo do cliente na AWS?

  Os clientes mantêm a propriedade e o controle sobre seu conteúdo e escolhem quais os serviços da AWS podem processar, armazenar e hospedar esse conteúdo. A AWS não acessa nem usa o conteúdo do cliente, exceto conforme necessário para manter ou fornecer os serviços da AWS selecionados por um cliente ou conforme necessário para cumprir a lei ou uma ordem vinculativa de um órgão governamental, conforme estabelecido no Contrato de Cliente da AWS.

  Os clientes que usam os serviços da AWS mantêm o controle sobre seu conteúdo no ambiente da AWS. Eles podem:

  • Determinar onde o conteúdo ficará localizado. Por exemplo, selecionando o tipo de ambiente de armazenamento e a região geográfica desse armazenamento;
  • Controlar o formato do conteúdo. Por exemplo: texto simples, mascarado, anonimizado ou criptografado, usando a criptografia disponibilizada pela AWS ou um mecanismo de criptografia de terceiros escolhido pelos clientes;
  • Gerenciar controles de acesso, como o AWS Identity and Access Management (IAM); e
  • Controlar se deseja usar criptografia, recursos da Amazon Virtual Private Cloud (VPC) e outras medidas de segurança de rede e dados para impedir o acesso não autorizado.

  Isso permite que os nossos clientes controlem todo o ciclo de vida do seu conteúdo na AWS e o gerenciam de acordo com suas necessidades específicas, incluindo classificação, controle de acesso, retenção e exclusão de conteúdo.

• Onde o conteúdo do cliente é armazenado?

  A Infraestrutura global da AWS oferece a flexibilidade de escolher como e onde você quer executar suas workloads. Como cliente, você escolhe as regiões da AWS em que o seu conteúdo do cliente é armazenado, o que permite implantar produtos da AWS nos locais escolhidos e de acordo com seus requisitos específicos. Para conhecer nossas opções de armazenamento flexível, consulte a página da Web Regiões da AWS.

  Você pode replicar e fazer backup do conteúdo do cliente em mais de uma região da AWS. Não moveremos o seu conteúdo para outro local além das regiões da AWS escolhidas sem o seu consentimento, exceto em cada caso, conforme necessário para cumprir a lei ou uma ordem vinculativa de um órgão governamental. No entanto, vale lembrar que nem todos os produtos da AWS estão disponíveis em todas as regiões da AWS. Para obter mais informações sobre quais produtos estão disponíveis em quais regiões da AWS, consulte a página da Web Serviços regionais da AWS.

• Que medidas de segurança a AWS implementou para proteger os sistemas?

  A AWS foi projetada para ser a infraestrutura de nuvem global mais segura para o desenvolvimento, a migração e o gerenciamento de aplicações e workloads. Essa infraestrutura é composta por hardware, software, redes e instalações que executam os serviços da AWS, os quais fornecem controles poderosos, incluindo controles de configuração de segurança, aos clientes para o tratamento de dados pessoais.

  A AWS fornece vários relatórios de conformidade de auditores terceirizados que testaram e verificaram nossa conformidade com uma variedade de padrões de segurança, incluindo SOC 2 Tipo 2, ISO 27001, ISO 27017 e ISO 27018. No Canadá, os serviços da AWS também são avaliados pelo Centro Canadense de Segurança Cibernética.

  Para oferecer transparência sobre a eficácia dessas medidas, fornecemos acesso aos relatórios de auditoria de terceiros no AWS Artifact. Esses relatórios mostram aos nossos clientes que estamos protegendo a infraestrutura subjacente na qual eles armazenam e processam dados pessoais. Para obter mais informações, consulte nossos Recursos de conformidade.

• Como a AWS protege seus data centers?

  A estratégia de segurança de data centers da AWS é montada com controles de segurança e várias camadas de defesa escaláveis que ajudam a proteger as informações. Por exemplo, a AWS gerencia cuidadosamente possíveis riscos de inundação e atividades sísmicas. Usamos barreiras físicas, guardas de segurança, tecnologia de detecção de ameaças e um processo de triagem detalhada para limitar o acesso aos datacenters. Fazemos backup dos nossos sistemas, testamos regularmente equipamentos e processos e treinamos continuamente os funcionários da AWS para que estejam preparados para o inesperado.

  Para validar a segurança dos nossos data centers, auditores externos executam testes em mais de 2.600 padrões e requisitos durante todo o ano. Esse exame independente ajuda a garantir que os padrões de segurança sejam consistentemente cumpridos ou excedidos. Como resultado, as organizações mais altamente regulamentadas do mundo confiam na AWS para proteger seus dados.

  Saiba mais sobre como protegemos os data centers da AWS por projeto fazendo um tour virtual.