Centro do Regulamento geral de proteção de dados (GDPR)


Visão geral

O Regulamento geral de proteção de dados (GDPR) da União Europeia protege o direito fundamental dos assuntos dos dados da União Europeia à privacidade e à proteção de dados pessoais. O GDPR introduz requisitos robustos que elevarão e padronizarão aos padrões de proteção, segurança e conformidade dos dados.

Todos os serviços da AWS prontos para o GDPR – Leia mais

Além da nossa própria conformidade, a AWS está comprometida em oferecer serviços e recursos a seus clientes a fim de ajudá-los a também estarem em conformidade com os requisitos da GDPR que se apliquem às suas atividades. Novos recursos são lançados regularmente e a AWS disponibiliza mais de 500 recursos e serviços com foco na segurança e compatibilidade.

Ativação do GDPR no seu ambiente da AWS

A AWS fornece recursos e serviços específicos que os clientes podem aproveitar para buscar a conformidade com o GDPR.

Criptografe dados na AWS:

  • Criptografia dos seus dados em repouso com o AES256 (EBS/S3/Glacier/RDS)
  • Gerenciamento centralizado de chaves (por região da AWS)
  • Túneis IPsec na AWS com gateways de VPN
  • Módulos HSM dedicados na nuvem com o AWS CloudHSM

Obtenha uma visão geral sobre as atividades em seus recursos da AWS:

  • Gerenciamento e configuração de ativos com o AWS Config
  • Auditoria e análise de segurança com o AWS CloudTrail
  • Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow Logs
  • Verificações e ações de configuração baseada em regras com o AWS Config Rules
  • Filtragem e monitoramento de acesso HTTP a aplicativos com funções do AWS WAF no AWS CloudFront

Permita o acesso somente de administradores, usuários e aplicativos autorizados:

  • Multi-Factor Authentication (MFA)
  • Acesso granular a objetos no Amazon S3, Amazon SQS e Amazon SNS
  • Autenticação de solicitação de APIs
  • Restrições geográficas
  • Acesso temporário a tokens por meio do AWS Security Token Service

Os clientes controlam o conteúdo do cliente. Com a AWS, os clientes:

  • Determinam onde seu conteúdo será armazenado, incluindo o tipo de armazenamento e a região geográfica desse armazenamento.
  • Escolhem o estado protegido de seu conteúdo. Oferecemos a nossos clientes criptografia forte para seu conteúdo em trânsito ou ocioso, bem como a opção de gerenciar suas próprias chaves de criptografia.
  • Gerenciam o acesso ao seu conteúdo e aos serviços e recursos da AWS por meio de usuários, grupos, permissões e credenciais controlados pelo cliente.

A abordagem SbD tem a intenção de obter o seguinte:

  • Criação de funções obrigatórias que não podem ser ignoradas pelos usuários que não têm permissão para alterar essas funções.
  • Estabelecimento de operações de controles confiáveis.
  • Ativação de auditoria contínua e em tempo real.
  • Criação de roteiros técnicos da sua política de governança.

Nossa funcionalidade líder no setor fornece a base para uma longa lista de certificações e credenciamentos reconhecidos internacionalmente, o que demonstra compatibilidade com padrões internacionais rigorosos, como ISO 27001 para medidas técnicas, ISO 27017 para segurança na nuvem, ISO 27018 para privacidade na nuvem, SOC 1, SOC 2 e SOC 3, PCI DSS nível 1 e certificações específicas da UE, como Common Cloud Computing Controls Catalogue (C5) do BSI e ENS High. Recentemente, a AWS também anunciou a compatibilidade com o Código de conduta da CISPE.

Use os serviços da AWS

Amazon Macie

Proteja proativamente Personally Identifiable Information (PII – Informações de identificação pessoal) e saiba quando ela se movimenta.

SAIBA MAIS SOBRE O AMAZON MACIE »

AWS Identity and Access Management (IAM)

Crie e gerencie usuários e grupos da AWS e use permissões para permitir e negar o acesso a recursos da AWS.

SAIBA MAIS SOBRE O AWS IAM »

AWS Config

Simplifique a auditoria de conformidade, as análises de segurança, o gerenciamento de mudanças e a resolução de problemas operacionais.  

SAIBA MAIS SOBRE O AWS CONFIG »

Amazon Inspector

Defina os padrões e as melhores práticas para seus aplicativos. Valide a adesão a esses padrões.

SAIBA MAIS SOBRE O AMAZON INSPECTOR »

Amazon GuardDuty

Detecção inteligente de ameaças e monitoramento contínuo para proteger contas e cargas de trabalho da AWS.

SAIBA MAIS SOBRE O AMAZON GUARDDUTY »

AWS Key Management Service (KMS)

Crie e controle facilmente as chaves usadas para criptografar seus dados.

SAIBA MAIS SOBRE O AWS KMS »

Perguntas frequentes sobre o GDPR

  • O que é o GDPR?

    A Regulamentação Geral de Proteção de Dados (GDPR) é uma nova lei de privacidade europeia que entrou em vigor em 25 de maio de 2018. O GDPR substitui a Diretiva de proteção de dados da UE, também conhecida como Diretiva 95/46/EC e destina-se a unificar as leis de proteção de dados em toda a União Europeia ao aplicar uma única lei de proteção de dados vinculativa em cada um dos estados membro.

  • A quem o GDPR se aplica?

    O GDPR se aplica a todas as organizações estabelecidas na UE e a organizações estabelecidas ou não na UE que processam dados pessoais de sujeitos de dados da UE para fins de oferta de mercadorias ou serviços a sujeitos de dados na UE ou para fins de monitoramento de comportamento ocorrido dentro da UE. Os dados pessoais são qualquer informação relacionada a uma pessoa física identificada ou identificável.

  • A AWS é certificada pelo Privacy Shield entre UE e EUA?

    Sim. A Amazon.com, Inc. é certificada pelo Privacy Shield entre UE e EUA, e a AWS é contemplada por essa certificação. Isso ajuda os clientes que optam por transferir dados pessoais para os EUA para atender a obrigações de proteção de dados. A certificação da Amazon.com Inc. pode ser encontrada no site do Privacy Shield entre UE e EUA aqui: https://www.privacyshield.gov/list

    Para saber mais sobre esse tópico no contexto da AWS, acesse nossa página sobre o Privacy Shield entre UE e EUA. 

  • O que a AWS fez para se preparar para o GDPR?

    Os departamentos de conformidade e proteção de dados, bem como os especialistas em segurança da AWS têm trabalhado com clientes em todo o mundo para responder suas perguntas e ajudá-los a se preparar para cargas de trabalho em execução na Nuvem AWS depois que o GDPR se tornar obrigatório. Essas equipes também analisaram a prontidão dos serviços da AWS para atender aos requisitos do GDPR e confirmaram que todos os serviços da AWS estão prontos para o GDPR.

    Além disso, oferecemos aos clientes um Contrato de processamento de dados que atenderá aos requisitos do GDPR (DPA do GDPR). O DPA do GDPR da AWS está incorporado aos Termos de serviço da AWS e se aplica automaticamente a todos os clientes que exigem que ele esteja em conformidade com o GDPR.

    Recentemente, a AWS também anunciou a compatibilidade com o Código de conduta da CISPE. O Código de conduta da Cispe ajuda clientes de nuvem a avaliar de que maneira seus fornecedores de infraestrutura de nuvem cumprem suas obrigações de proteção de dados de acordo com o GDPR. A AWS declarou que o Amazon Elastic Compute Cloud (Amazon EC2), o Amazon Simple Storage Service (Amazon S3), o Amazon Relational Database Service (Amazon RDS), o AWS Identity and Access Management (IAM), o AWS CloudTrail e o Amazon Elastic Block Storage (Amazon EBS) são totalmente compatíveis com o Código da CISPE. Isso proporciona aos clientes garantias adicionais sobre a capacidade de controlar totalmente seus dados em um ambiente seguro, protegido e em conformidade quando eles usarem a AWS. Você pode encontrar mais detalhes sobre a compatibilidade da AWS com o Código de conduta da CISPE no site: https://cispe.cloud/

    A AWS mantém continuamente um patamar elevado de segurança e conformidade em todas as suas operações globais. A segurança sempre foi nossa maior e mais importante prioridade. Nossa segurança líder no setor disponibiliza a base para uma longa lista de certificações e credenciamentos reconhecidos internacionalmente, o que demonstra conformidade com padrões internacionais rigorosos, como ISO 27017 para segurança de nuvem, ISO 27018 para privacidade de nuvem, SOC 1, SOC 2 e SOC 3, PCI DSS nível 1 e muitos outros. A AWS também ajuda os clientes a atenderem a padrões de segurança locais, como o Common Cloud Computing Controls Catalogue (C5) do BSI, que é um atestado apoiado pelo governo alemão.

  • A AWS cumpre o código de conduta como definido nos requisitos do GDPR?

    A AWS anunciou a compatibilidade com o Código de conduta de proteção de dados da CISPE. A CISPE é uma coalisão de fornecedores de infraestrutura de nuvem (também conhecida como infraestrutura como serviço) que presta serviços de nuvem para clientes na Europa. O Código de conduta da CISPE ajuda os clientes de nuvem a garantir que seus provedores de infraestrutura de nuvem estejam usando os padrões de proteção de dados corretos para proteger seus dados em alinhamento com o GDPR. Alguns dos principais benefícios do Código incluem:

    • Delegação clara das responsabilidades relacionadas à proteção de dados: o Código de conduta explica o papel do provedor e do cliente de acordo com o GDPR, especificamente dentro do contexto de serviços de infraestrutura de nuvem.
    • O Código de conduta define a quais princípios os provedores devem aderir: ele destaca as ações e os compromissos que os provedores devem realizar/assumir para cumprir o GDPR e ajudar os clientes a cumpri-los também.
    • O Código de conduta disponibiliza aos clientes informações, relacionadas à proteção e à segurança de dados, necessárias para que eles possam tomar decisões sobre conformidade. Além disso, ele também exige que os provedores sejam transparentes sobre as etapas que estão realizando para cumprir seus compromissos de segurança. Essas etapas envolvem notificações sobre violações de dados, exclusão de dados e subprocessamento de terceiros, bem como sobre solicitações das autoridades policiais e governamentais. Os clientes podem usar essas informações para obter um entendimento total dos altos níveis de segurança fornecidos.

    Para ver as considerações sobre como a AWS lida com solicitações das autoridades policiais, consulte: "Abordagem da residência de dados com a AWS".

  • Que alterações o GDPR apresenta para as organizações em operação na UE?

    Um dos principais aspectos do GDPR é que ele cria uma uniformidade entre os estados membro da UE com relação a como os dados pessoais podem ser processados, usados e trocados com segurança. As empresas precisarão demonstrar a segurança dos dados que estão processando e a sua conformidade com o GDPR de modo contínuo ao implementar e revisar frequentemente medidas técnicas e organizacionais importantes, além de políticas de conformidade.

  • Quais serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos do GDPR?

    A AWS já está disponibilizando recursos e serviços específicos que ajudam os clientes a atender aos requisitos do GDPR:

    Controle de acesso: permite que somente administradores, usuários e aplicativos autorizados acessem os recursos da AWS

    • Multi-Factor Authentication (MFA)
    • Acesso granular refinado a objetos nos buckets do Amazon S3/no Amazon SQS/no Amazon SNS e mais
    • Autenticação de solicitação de APIs
    • Restrições geográficas
    • Acesso temporário a tokens por meio do AWS Security Token Service

    Monitoramento e registro em log: obtenha uma visão geral sobre as atividades nos seus recursos da AWS

    • Gerenciamento e configuração de ativos com o AWS Config
    • Auditoria de conformidade e análise de segurança com o AWS CloudTrail
    • Identificação de desafios de configuração por meio do AWS Trusted Advisor
    • Registro em log de acesso granular refinado a objetos do Amazon S3
    • Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow Logs
    • Verificações e ações de configuração baseada em regras com o AWS Config Rules
    • Filtragem e monitoramento do acesso HTTP a aplicativos com funções do WAF no AWS CloudFront

    Criptografia: criptografe dados na AWS

    • Criptografia dos seus dados em repouso com o AES256 (EBS/S3/Glacier/RDS)
    • Gerenciamento centralizado de chaves (por região da AWS)
    • Túneis IPsec na AWS com gateways de VPN
    • Módulos HSM dedicados na nuvem com o AWS CloudHSM

    Estrutura de compatibilidade e padrões de segurança robustos:

    • Certificação ISO 27001/9001
    • Certificação ISO 27017/27018
    • Cloud Computing Compliance Controls Catalog (C5 – Esquema de credenciamento baseado no governo alemão)
    • A AWS, juntamente com a auditoria TÜV TRUST IT, publicou um Manual de certificação do cliente que oferece orientações sobre a obtenção da compatibilidade alemã BSI IT Grundschutz na nuvem.
  • O que os clientes podem fazer para se preparar para o GDPR?

    Seguem alguns dos principais pontos que podem ser úteis ao considerar a conformidade com o GDPR:

    • Alcance territorial: determinar se o GDPR se aplica às atividades de uma empresa é essencial para garantir sua capacidade de atender às obrigações de compatibilidade. O GDPR se aplica a todas as empresas estabelecidas na UE. No entanto, dependendo das suas atividades, o GDPR também poderá se aplicar a você, caso esteja estabelecido fora da UE.
       
    • Direitos dos titulares de dados: o GDPR aprimora os direitos dos titulares de dados de várias maneiras. Por exemplo, os titulares de dados têm o direito de contestar o processamento de seus dados, além de acessar os dados pessoais deles. As organizações sujeitas ao GDPR deverão certificar-se de que podem acomodar os direitos dos titulares de dados se estiverem processando dados pessoais.
       
    • Notificações de violação de dados: caso você seja controlador de dados, será necessário informar uma violação de dados pessoais à autoridade de supervisão apropriada, sem atrasos indevidos e, quando possível, no prazo máximo de 72 horas após ter tomado conhecimento dela. O uso da AWS fornece controle sobre como processar e proteger dados pessoais. Isso permite o monitoramento de seu próprio ambiente em busca de violações e a notificação de órgãos reguladores e indivíduos afetados, conforme as exigências do GDPR. Além disso, a AWS, como um processador de dados, o notificará sem demora se tiver conhecimento de (i) uma violação dos padrões de segurança relacionados à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a quaisquer dados pessoais enviados para os serviços da AWS em sua conta ou (ii) qualquer acesso não autorizado a equipamentos ou instalações da AWS, onde, em quaisquer dos casos, o acesso resulte em destruição, perda, divulgação não autorizada ou alteração de dados pessoais enviados para Serviços da AWS na sua conta.
       
    • DPO (Data Protection Officer – Responsável pela proteção de dados): pode ser necessário indicar um DPO para gerenciar a segurança dos dados e outros problemas relacionados ao processamento de dados pessoais.
       
    • DPIA (Data Protection Impact Assessment – Avaliação do impacto de proteção de dados): pode ser necessário conduzir um DPIA para atividades de processamento. Em alguns casos, será preciso registrá-lo com uma autoridade de fiscalização. Essa avaliação deverá identificar seus procedimentos e processos de administração de dados, bem como os controles atuais destinados a proteger dados pessoais.
       
    • DPA (Data Processing Agreement – Acordo de processamento de dados): pode ser necessário um DPA que atenda aos requisitos do GDPR, especialmente se os dados pessoais forem transferidos para fora do EEE. A AWS oferece aos clientes o DPA do GDPR que está incorporado aos Termos de serviço da AWS e se aplica automaticamente a todos os clientes que exigem que ele esteja em conformidade com o GDPR. A AWS oferece uma ampla variedade de serviços e recursos específicos de serviços que ajudam os clientes a atender a requisitos do GDPR, inclusive serviços para controles de acesso, monitoramento, registro em log e criptografia. Mais informações sobre eles podem ser encontradas na seção acima, “Quais serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos do GDPR?”.

    Também temos equipes de conformidade, proteção de dados e especialistas em segurança, além de parceiros da AWS que trabalham com clientes para responder às suas perguntas e ajudá-los a se preparar para executar cargas de trabalho na nuvem depois que o GDPR tornar-se obrigatório. Para obter informações adicionais sobre isso, entre em contato com o gerente de contas da AWS.

  • A AWS oferece um Data Processing Addendum (DPA – Adendo de processamento de dados)?

    Sim. A AWS oferece um Adendo de processamento de dados (DPA) compatível com o GDPR (DPA do GDPR) que permite que você cumpra as obrigações contratuais do GDPR. O DPA do GDPR da AWS está incorporado aos Termos de serviço da AWS e se aplica automaticamente a todos os clientes de forma global que exigem a compatibilidade com o GDPR.

  • Os serviços da AWS estão em conformidade com o GDPR?

    Os serviços da AWS estão em conformidade com o General Data Protection Regulation (GDPR – Regulamento geral de proteção de dados). Isso significa que, além dos benefícios oferecidos por todas as medidas já tomadas pela AWS para manter a segurança dos serviços, os clientes podem implantar serviços da AWS como parte essencial de seus planos de conformidade com o GDPR. Para obter mais detalhes, leia o nosso anúncio sobre a da prontidão de serviços para o GDPR no blog de segurança da AWS: https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/.

  • Qual é a função da AWS nos termos do GDPR? A AWS é uma processadora de dados ou uma controladora de dados?

    A AWS atua como processadora e controladora de dados, nos termos do GDPR.

    • A AWS como processadora de dados – quando os clientes e os parceiros da rede de parceiros da AWS (APN) usam os serviços da AWS para processar dados pessoais em seu conteúdo, a AWS atua como processadora de dados. Os clientes e os parceiros do APN podem usar os controles disponíveis em serviços da AWS, incluindo os controles de configuração de segurança, para processar dados pessoais. Nessas circunstâncias, o cliente ou o parceiro do APN podem atuar como um controlador de dados ou como o próprio processador de dados, e a AWS atua como processadora ou subprocessadora de dados. A AWS oferece um Adendo de processamento de dados (DPA) compatível com o GDPR que incorpora os compromissos da AWS como processador de dados.
    • A AWS como controladora de dados – quando coleta dados pessoais e determina os objetivos e os meios de processamento para esses dados pessoais (por exemplo, quando armazena informações sobre a conta para fins de registro, administração, acesso a serviços ou informações de contato e usa essas informações para oferecer auxílio em atividades de suporte ao cliente), a AWS atua como uma controladora de dados.
  • Como o GDPR afeta o modelo de responsabilidade compartilhada da AWS?

    O GDPR não altera o modelo de responsabilidade compartilhada da AWS, que continua relevante para clientes e parceiros do APN que se dedicam a usar serviços de computação em nuvem. O modelo de responsabilidade compartilhada é uma abordagem útil para ilustrar as diferentes responsabilidades da AWS (como processadora ou subprocessadora de dados) e dos clientes ou parceiros do APN (como controladores ou processadores de dados) nos termos do GDPR.

    No modelo de responsabilidade compartilhada, a AWS é responsável pela proteção da infraestrutura subjacente que sustenta a nuvem, e os clientes e parceiros do APN, atuando como controladores ou processadores de dados, são responsáveis por todos os dados pessoais que colocam na nuvem.

    Responsabilidades da AWS como processadora de dados

    A AWS é responsável pela proteção da infraestrutura global que executa todos os serviços oferecidos na Nuvem AWS. Essa infraestrutura consiste em hardware, software, redes e instalações que executam os serviços da AWS e oferecem controles avançados aos clientes e parceiros do APN, incluindo controles de configuração de segurança, para processar o conteúdo dos clientes. A proteção dessa infraestrutura é a principal prioridade da AWS. A AWS oferece vários relatórios de compatibilidade de auditores externos que verificaram a nossa compatibilidade com diversos padrões e regulamentos de segurança de computadores (para obter mais informações, acesse: https://aws.amazon.com/compliance). Esses relatórios demonstram a nossos clientes e parceiros do APN que protegemos os dados pessoais que eles optam por processar na AWS. A conformidade da AWS com os padrões ISO 27001, 27017 e 27018 é um bom exemplo. A ISO 27018 contém controles de segurança dedicados à proteção de dados pessoais. Você pode encontrar detalhes da compatibilidade da AWS com a ISO 27108 em: https://aws.amazon.com/compliance/iso-27018-faqs/.

    Além disso, a AWS é responsável pela configuração da segurança de suas tecnologias que são consideradas serviços gerenciados. Os exemplos desses serviços incluem o Amazon DynamoDB, o Amazon RDS, o Amazon Redshift, o Amazon Elastic MapReduce e vários outros serviços. Além da escalabilidade e da flexibilidade dos recursos baseados na nuvem, esses serviços oferecem o benefício de serem gerenciados. No caso desses serviços, a AWS se encarrega das tarefas básicas de segurança, como aplicação de patches a bancos de dados e sistemas operacionais (SOs), configuração de firewalls e recuperação de desastres. Nos serviços gerenciados, os clientes e os parceiros do APN configuram os controles de acesso lógico aos recursos e protegem as credenciais das contas. Alguns deles podem exigir tarefas adicionais, como configurar contas de usuários de banco de dados. Entretanto, em termos gerais, a configuração da segurança é executada pelo serviço. Em todos esses serviços, os clientes e os parceiros do APN continuam responsáveis por todos os dados pessoais que colocam na nuvem.

    A AWS também oferece um Adendo de processamento de dados (DPA) compatível com o GDPR (DPA do GDPR) que incorpora os compromissos da AWS como processador de dados. O DPA do GDPR da AWS está incorporado aos Termos de serviço da AWS e se aplica automaticamente a todos os clientes que exigem que ele esteja em conformidade com o GDPR.

    Responsabilidades dos clientes e parceiros do APN como controladores de dados, e como os serviços da AWS podem ajudar:

    Com a Nuvem AWS, os clientes e os parceiros do APN podem provisionar servidores virtuais, armazenamento, bancos de dados e desktops em minutos, em vez de semanas. Eles também podem usar ferramentas de fluxo de trabalho e análise baseadas na nuvem para processar os dados conforme a necessidade e armazená-los em seus próprios datacenters ou na nuvem. Os serviços da AWS usados pelos clientes e parceiros do APN determinam a quantidade de trabalho de configuração necessário como parte de suas responsabilidades nos termos do GDPR. Os produtos da AWS da categoria de infraestrutura como serviço (IaaS), como os serviços Amazon EC2, Amazon VPC e Amazon S3, ficam inteiramente sob o controle do cliente ou do parceiro do APN, que devem executar todas as configurações de segurança e tarefas de gerenciamento necessárias. Por exemplo, para instâncias do EC2, eles são responsáveis pelo gerenciamento do sistema operacional convidado (incluindo atualizações e patches de segurança), por todos os softwares aplicativos ou utilitários instalados nas instâncias e pela configuração do firewall fornecido pela AWS (denominado um grupo de segurança) em cada instância. Essas tarefas de segurança devem ser executadas independentemente da localização dos servidores.

    Para realizar a proteção de dados por design e por princípios padrão, é recomendável que os clientes e os parceiros do APN protejam as credenciais de suas contas da AWS e configurem contas de usuários individuais com o Amazon Identity and Access Management (IAM). Assim, cada usuário tem suas próprias credenciais, permitindo a capacidade de implementar o acesso a dados com base em permissões e a segregação de tarefas por função do usuário. Também recomendamos o uso da autenticação multifator (MFA) em cada conta, a obrigatoriedade do uso de SSL/TLS na comunicação com os recursos da AWS, a configuração de registro das atividades de usuários e APIs em log usando o AWS CloudTrail, o uso das soluções de criptografia da AWS e outros controles de segurança dentro dos serviços da AWS. Os clientes e os parceiros do APN também podem usar serviços de segurança avançados, como o Amazon GuardDuty, para segurança de contas e infraestrutura, e o Amazon Macie, para ajudar na descoberta e na proteção de dados pessoais armazenados no Amazon S3, para fins de conformidade com o GDPR.

    Para obter mais informações sobre as medidas adicionais que podem ser tomadas pelos clientes, e sobre as soluções oferecidas pela AWS, consulte o whitepaper Melhores práticas de segurança da AWS e as leituras recomendadas na página Recursos de segurança da AWS em: https://aws.amazon.com/security/.

  • Com quem devo entrar em contato se tiver dúvidas a respeito do GDPR e da AWS?

    Recomendamos que os clientes e parceiros do APN com dúvidas sobre proteção de dados ou sobre a AWS e o GDPR entrem em contato antes com seu gerente de contas. Se os clientes assinaram o Enterprise Support, também podem entrar em contato com seu gerente de contas técnicas (TAM). Os TAMs trabalham com os arquitetos de soluções para ajudar os clientes a identificar possíveis riscos e mitigações. Os TAMs e as equipes de contas também podem indicar recursos específicos aos clientes e parceiros do APN, de acordo com seu ambiente e suas necessidades.

    Além disso, a AWS tem equipes de representantes do Enterprise Support, consultores de serviços profissionais e outras equipes que podem ajudar a resolver dúvidas sobre o GDPR. Para oferecer orientação adicional aos clientes e parceiros do APN, a AWS também promove várias palestras, webinars e workshops nas Conferências da AWS e nos AWS Pop-up Lofts para ajudar os clientes e parceiros do APN a compreender o GDPR e a implementar soluções usando as ferramentas da AWS.

  • Qual a orientação técnica sobre o GDPR oferecida pela AWS aos clientes e parceiros do APN?

    A AWS oferece aos clientes e parceiros do APN vários recursos como ajuda na jornada para a compatibilidade com o GDPR. A AWS dispõe de equipes de representantes do Enterprise Support, consultores de serviços profissionais e outras equipes para ajudar a resolver as dúvidas dos clientes e parceiros do APN sobre o GDPR. Incluímos a possibilidade para os clientes pesquisarem "GDPR" no AWS Partner Solutions Finder para ajudá-los a encontrar ISVs, MSPs e parceiros de SI que têm produtos e serviços que ajudam na compatibilidade com o GDPR. Os clientes também podem procurar por soluções "GDPR" no AWS Marketplace.

  • A AWS oferece a ajuda dos serviços profissionais para a compatibilidade com o GDPR?

    A equipe de serviços profissionais da AWS está executando várias atividades para ajudar os clientes e os parceiros do APN em sua jornada para a conformidade com o GDPR. Os consultores de serviços profissionais ajudam a esclarecer dúvidas sobre o GDPR em sessões de consultoria privada, bem como em palestras, webinars e workshops públicos nas Conferências da AWS e nos AWS Pop-up Lofts. A equipe de serviços profissionais da AWS também está trabalhando diretamente com os clientes e parceiros do APN para oferecer orientação técnica sobre o GDPR e sobre a implementação de proteção de dados por definição e por padrão usando ferramentas da AWS. Você pode encontrar mais detalhes sobre como os consultores de serviços profissionais da AWS estão ajudando clientes e parceiros do APN em: https://aws.amazon.com/professional-services/.

  • Como o AWS Support pode me ajudar em minha jornada para a conformidade com o GDPR?

    O AWS Premium Support trabalha com os clientes e os parceiros do APN para oferecer orientação técnica a fim de ajudá-los na jornada para a conformidade com o GDPR. Como parte dessa atividade, temos equipes de engenheiros de suporte de nuvem e gerentes de contas técnicas treinados para ajudar a identificar e mitigar riscos de conformidade. Temos também dois programas que podem ser úteis para clientes e parceiros do APN que buscam a conformidade com o GDPR:

    • Análise de operações em nuvem – disponível para clientes do AWS Enterprise Support, este programa foi criado para ajudar a identificar lacunas na abordagem das operações na nuvem. Com origem em um conjunto de melhores práticas operacionais obtidas da experiência da AWS com um grande número de clientes representativos, o programa fornece uma análise das operações na nuvem e das práticas de gerenciamento associadas, o que pode ajudar as organizações em sua jornada rumo à conformidade com o GDPR. O programa usa uma abordagem com quatro pilares, priorizando a preparação, o monitoramento, a operação e a otimização de sistemas baseados na nuvem para alcançar a excelência operacional.
    • Análise bem arquitetada – este programa permite que as organizações comparem sua arquitetura com as melhores práticas da AWS e criem arquiteturas seguras, confiáveis, econômicas e de alta performance. Com o Well-Architected Reviews, os clientes e parceiros do APN também podem compreender onde estão os riscos em sua arquitetura e abordá-los antes que os aplicativos entrem em produção.

    Os clientes e parceiros do APN que querem compreender como o AWS Premium Support pode ajudá-los encontrarão mais informações no AWS Support Center, disponível por meio do Console AWS (https://console.aws.amazon.com/support/), usando os detalhes de contato especificados no contrato de Enterprise Support firmado com a AWS ou acessando a página do AWS Premium Support em: https://aws.amazon.com/premiumsupport/. Os clientes com Enterprise Support devem entrar em contato com seu TAM em caso de dúvidas relacionadas ao GDPR.

  • A AWS tem subprocessadores?

    Informamos de maneira proativa os clientes e parceiros do APN sobre todos os subcontratados que têm acesso ao conteúdo carregado na AWS, incluindo conteúdo que pode conter dados pessoais. Esse compromisso está incluído no Adendo de processamento de dados do GDPR da AWS (DPA do GDPR). O DPA do GDPR da AWS está incorporado aos Termos de serviço da AWS e se aplica automaticamente a todos os clientes que exigem que ele esteja em conformidade com o GDPR.

  • Quais ferramentas a AWS disponibiliza para implementar as medidas técnicas e organizacionais necessárias para proteger dados por definição e por padrão?

    Muitos dos requisitos do GDPR são voltados ao controle e à proteção de dados. Os serviços da AWS permitem que clientes e parceiros do APN implementem suas próprias medidas de segurança em conformidade com o GDPR, incluindo medidas táticas especificas como:

    • Criptografia de dados pessoais
    • Capacidade de garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento
    • Capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil quando ocorrem incidentes físicos ou técnicos
    • Um processo para testar, analisar e avaliar regularmente a eficácia das medidas técnicas para garantir a segurança do processamento

    A AWS dispõe de um conjunto avançado de serviços de segurança e conformidade que podem ser implantados para ajudar a cumprir requisitos do GDPR, incluindo:

    • Amazon GuardDuty, um serviço que oferece detecção inteligente de ameaças e monitoramento contínuo de comportamentos mal-intencionados ou não autorizados
    • Amazon Macie, uma ferramenta de Machine Learning para ajudar na descoberta e na classificação de dados pessoais armazenados no Amazon S3
    • Amazon Inspector, um serviço automatizado de avaliação de segurança para manter a conformidade dos aplicativos com as melhores práticas de segurança
    • AWS Config Rules, um recurso que permite verificar dinamicamente a conformidade de recursos da nuvem com regras de segurança

    A AWS também publicou um whitepaper dedicado a esse tópico, "Navegação da compatibilidade com o GDPR na AWS". Esse whitepaper considera e detalha as formas de vincular especificamente recursos a conceitos como monitoramento, acesso a dados e gerenciamento de chaves. 

  • Quais medidas de segurança a AWS implementou para proteger os sistemas?

    A infraestrutura da Nuvem AWS foi projetada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros atualmente disponíveis. A escala da Amazon permite um volume de investimentos em vigilância e contramedidas de segurança consideravelmente maior que praticamente qualquer outra grande empresa pode ser permitir. Essa infraestrutura consiste em hardware, software, redes e instalações que executam os serviços da AWS e oferecem controles avançados aos clientes e parceiros do APN, incluindo controles de configuração de segurança, para processar dados pessoais. Você pode encontrar detalhes adicionais sobre as medidas implementadas pela AWS para manter níveis consistentemente altos de segurança no "Whitepaper de visão geral dos processos de segurança".

    Além disso, a AWS oferece vários relatórios de conformidade de auditores externos, que testaram e verificaram nossa conformidade com diversos padrões e regulamentos de segurança de computador, incluindo ISO 27001, ISO 27017 e ISO 27018. Para oferecer transparência sobre a eficácia dessas medidas, oferecemos aos clientes e parceiros do APN acesso a relatórios de auditorias externas no Console de Gerenciamento da AWS. Esses relatórios mostram aos nossos clientes e parceiros do APN, que podem atuar como controladores ou processadores de dados, que protegemos a infraestrutura subjacente que usam para armazenar e processar dados pessoais. Para obter mais informações, acesse: https://aws.amazon.com/compliance

  • Como a AWS pode ajudar os controladores de dados a cumprir suas obrigações nos termos do GDPR, especificamente sobre notificações de violações de dados pessoais?

    A AWS implementou um processo de monitoramento de incidentes de segurança e notificações de violação de dados e apoiará e informará clientes e parceiros do APN sobre qualquer violação confirmada de sistemas da AWS. Além disso, a AWS oferece aos clientes e parceiros do APN diversas ferramentas para compreender quem tem acesso a seus recursos, bem como o momento e o local do acesso. Uma dessas ferramentas é o AWS CloudTrail, que oferece governança, conformidade, auditorias operacionais e auditorias de risco para contas da AWS. Com o AWS CloudTrail, os clientes podem registrar, monitorar continuamente e reter informações sobre a atividade da conta relacionada às ações executadas na infraestrutura da AWS. Dessa forma, as organizações compreendem o que ocorre em sua infraestrutura na AWS e podem tomar medidas imediatas em caso de atividades incomuns. Para obter mais informações sobre o AWS CloudTrail e sobre as outras ferramentas de segurança disponibilizadas aos clientes pela AWS para ajudar a cumprir suas obrigações de controladores de dados nos termos do GDPR, acesse: https://aws.amazon.com/security/.  

  • Como a AWS me ajuda a proteger meus dados contra ataques cibernéticos?

    A AWS oferece aos clientes e parceiros do APN várias ferramentas para proteger dados e ajudar a proteger contra ataques cibernéticos. Uma dessas ferramentas é o AWS Shield. O AWS Shield é um serviço gerenciado de proteção contra ataques distribuídos de negação de serviço (DDoS) que mantém a segurança de sites e aplicativos executados na AWS. O AWS Shield Standard é disponibilizado gratuitamente e oferece detecção sempre ativa e mitigações em linha automáticas que podem minimizar o tempo de inatividade e a latência dos aplicativos. Para obter níveis mais altos de proteção contra ataques direcionados a aplicativos web executados na AWS que usam recursos dos serviços ELB, Amazon CloudFront e Amazon Route 53, os clientes e os parceiros do APN podem assinar o AWS Shield Advanced. A AWS também publica e atualiza frequentemente o documento "Melhores práticas da AWS para resiliência contra DDoS" que ajuda clientes a usar a AWS para criar aplicativos que resistem a ataques de DDoS.

    Entre as outras ferramentas que a AWS dispõe para ajudar a proteger contra ataques cibernéticos, estão:

    • O AWS Identity and Access Management (IAM) permite que as organizações gerenciem com segurança o acesso aos serviços e recursos da AWS. Usando o IAM, os clientes e parceiros do APN podem criar e gerenciar usuários e grupos da AWS, e usar permissões para conceder e negar acesso aos recursos da AWS. O IAM é um recurso gratuito das contas da AWS.
    • O AWS Config permite que clientes e parceiros do APN habilitem regras pré-definidas que ajudam a garantir que os recursos da AWS estão devidamente configurados e em conformidade.
    • O AWS CloudTrail permite que as organizações registrem monitorem continuamente e retenham informações sobre atividade da conta relacionada a ações na AWS, o que simplifica a análise de segurança, o rastreamento de alteração de recursos e a resolução de problemas (por padrão, o AWS CloudTrail é habilitado para todas as contas da AWS).
    • O Amazon GuardDuty é um serviço gerenciado de detecção de ameaças que monitora continuamente comportamentos mal-intencionados ou não autorizados para ajudar a proteger contas e cargas de trabalho da AWS. O serviço monitora atividades que podem indicar um possível comprometimento de uma conta, como chamadas de API incomuns ou implantações potencialmente não autorizadas. O GuardDuty também detecta instâncias possivelmente comprometidas ou atividades de reconhecimento por invasores.
    • O Amazon Macie é um serviço de segurança que usa Machine Learning para ajudar clientes e parceiros do APN a descobrir, classificar e proteger automaticamente dados confidenciais na AWS. Esse serviço gerenciado monitora continuamente as atividades de acesso a dados para detectar anomalias e gera alertas detalhados quando identifica riscos de acesso não autorizado ou vazamentos de dados acidentais, como dados confidenciais disponibilizados acidentalmente por um cliente para acesso externo.  
  • Quais ferramentas estão disponíveis para ajudar a encontrar dados pessoais em meu conteúdo na AWS?

    O Amazon Macie é um serviço de segurança que usa Machine Learning para ajudar clientes e parceiros do APN a descobrir, classificar e proteger automaticamente dados confidenciais na AWS. Esse serviço gerenciado monitora continuamente as atividades de acesso a dados para detectar anomalias e gera alertas detalhados quando identifica riscos de acesso não autorizado ou vazamentos de dados acidentais, como acesso a dados confidenciais disponibilizados acidentalmente para acesso externo. O Macie é certificado por padrões reconhecidos internacionalmente, como ISO 27017 para segurança na nuvem e ISO 27018 para privacidade na nuvem. Além disso, os clientes e parceiros do APN podem usar o Macie para monitorar continuamente o acesso a seus dados para detectar atividade suspeita com base em padrões de acesso.

  • Como posso controlar o acesso a dados pessoais dentro do meu conteúdo na AWS?

    Para ajudar os clientes e parceiros do APN a ter conformidade com o GDPR, a AWS tem diversas ferramentas para controlar o acesso a dados pessoais em seu conteúdo na AWS. Essas ferramentas incluem:

    Segurança por padrão significa que os serviços da AWS são projetados para serem seguros por padrão. Se a configuração padrão for usada, o acesso aos recursos será limitado apenas ao proprietário da conta e ao administrador root.

    • O AWS Identity and Access Management (IAM) permite que clientes e parceiros do APN gerenciem com segurança o acesso aos serviços e recursos da AWS. Usando o IAM, as organizações podem criar e gerenciar usuários e grupos da AWS, e usar permissões para conceder e negar acesso aos recursos da AWS. O IAM é um recurso gratuito das contas da AWS.
    • O AWS Multi-Factor Authentication adiciona uma camada extra de proteção ao nome do usuário e à senha da conta da AWS. A AWS oferece aos clientes a opção de dispositivos MFA virtuais e de hardware.
    • O AWS Directory Service permite que clientes e parceiros do APN usem a integração e a federação a diretórios corporativos para reduzir a sobrecarga administrativa e aprimorar a experiência do usuário final.
    • O AWS Config permite que clientes e parceiros do APN habilitem regras pré-definidas que ajudam a garantir que os recursos da AWS estão devidamente configurados e em conformidade.
    • O AWS CloudTrail permite que clientes e parceiros do APN registrem, monitorem continuamente e retenham informações sobre atividade da conta relacionada a ações em toda a sua infraestrutura da AWS, o que simplifica as análises de segurança, o rastreamento de alteração de recursos e a solução de problemas.
    • O Amazon Macie usa o Machine Learning para ajudar os clientes a evitar a perda de dados por meio da automação da descoberta, da classificação e da proteção de dados confidenciais na AWS. Esse serviço gerenciado monitora continuamente as atividades de acesso a dados para detectar anomalias e gera alertas detalhados quando identifica riscos de acesso não autorizado ou vazamentos de dados acidentais, como dados confidenciais disponibilizados acidentalmente por um cliente para acesso externo.
  • Como posso criptografar dados pessoais mantidos na AWS para evitar acessos não autorizados?

    A AWS oferece aos clientes e aos parceiros do APN a capacidade de adicionar uma camada extra de segurança aos dados ociosos na nuvem para ajudá-los a cumprir suas obrigações de segurança de processamento como controladores de dados nos termos do GDPR. As ferramentas de criptografia disponíveis na AWS incluem:

    • Recursos de criptografia de dados disponíveis nos serviços de armazenamento e banco de dados da AWS, como o Amazon Elastic Block Store, o Amazon S3, o Amazon Glacier, o Amazon DynamoDB, o Oracle RDS, o SQL Server RDS e o Redshift
    • Opções flexíveis de gerenciamento de chaves, como o AWS Key Management Service, que permitem optar entre o gerenciamento das chaves de criptografia pela AWS ou o controle completo sobre suas chaves
    • Filas de mensagens criptografadas para transmissão de dados confidenciais usando criptografia do lado do servidor (SSE) para o Amazon SQS
    • Armazenamento de chaves criptográficas baseadas em hardware usando o AWS CloudHSM, que permite que os clientes cumpram requisitos de conformidade
     
    Além disso, a AWS disponibiliza aos clientes e parceiros do APN APIs para integrar criptografia e proteção de dados a qualquer serviço que desenvolvam ou implantem em um ambiente da AWS.
  • Como a AWS processa as instruções de exclusão dos clientes?

    Os serviços da AWS permitem excluir o conteúdo de clientes sob demanda por meio do Console de Gerenciamento da AWS, das APIs ou de outros métodos de entrada. Para obter mais informações sobre funcionalidades de serviços específicos, consulte a documentação https://aws.amazon.com/documentation.  

  • Como posso provar a um regulador de proteção de dados que o meu uso da AWS está em conformidade com o GDPR?

    A AWS oferece informações úteis aos clientes e parceiros do APN, incluindo vários relatórios de conformidade de auditores externos que verificaram a nossa conformidade com diversos padrões e regulamentos de segurança de computador, comprovando os altos níveis de conformidade mantidos pela AWS em sua infraestrutura. Esses relatórios demonstram a nossos clientes e parceiros do APN que protegemos os dados pessoais que eles optam por processar na AWS. A conformidade da AWS com os padrões ISO 27001, 27017 e 27018 é um bom exemplo. A ISO 27018 contém controles de segurança dedicados à proteção de dados pessoais. Você pode encontrar detalhes da compatibilidade da AWS com a ISO 27108 em: https://aws.amazon.com/compliance/iso-27018-faqs/.

    A AWS também é compatível com o Código de conduta da CISPE para proteção de dados. A CISPE é uma coalisão de fornecedores de infraestrutura de nuvem (também conhecida como infraestrutura como serviço) que presta serviços de nuvem para clientes na Europa. O Código de conduta da CISPE ajuda os clientes de nuvem e os parceiros do APN a garantir que provedores de infraestrutura de nuvem usem os padrões de proteção de dados corretos para proteger os dados em alinhamento com o GDPR. Alguns dos principais benefícios do Código incluem:

    • Delegação clara das responsabilidades relacionadas à proteção de dados: o Código de conduta explica o papel do provedor e do cliente de acordo com o GDPR, especificamente dentro do contexto de serviços de infraestrutura de nuvem.
    • O Código de conduta define os princípios que devem ser adotados pelos provedores. Ele destaca as ações e os compromissos que os provedores devem realizar/assumir para cumprir o GDPR e ajudar os clientes e os parceiros do APN a cumpri-los também.
    • O Código de conduta disponibiliza aos clientes e aos parceiros do APN as informações sobre proteção e segurança de dados necessárias para que eles possam tomar decisões sobre conformidade. Além disso, ele também exige que os provedores sejam transparentes sobre as etapas que estão realizando para cumprir seus compromissos de segurança. Essas etapas envolvem notificações sobre violações de dados, exclusão de dados e subprocessamento de terceiros, bem como sobre solicitações das autoridades policiais e governamentais. Os clientes e os parceiros do APN podem usar essas informações para compreender integralmente os altos níveis de segurança disponibilizados.
compliance-contactus-icon
Dúvidas? Entre em contato com um representante comercial da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »