Centro do Regulamento geral de proteção de dados (GDPR)


Visão geral

O Regulamento geral de proteção de dados (GDPR) da União Europeia protege o direito fundamental dos assuntos dos dados da União Europeia à privacidade e à proteção de dados pessoais. Ela apresenta requisitos robustos que elevarão e padronizarão aos padrões de proteção, segurança e conformidade dos dados.

Os serviços da AWS estarão em conformidade com o GDPR quando ele entrar em vigor em 25 de maio de 2018.

Além da nossa própria conformidade, a AWS está comprometida em oferecer serviços e recursos a seus clientes a fim de ajudá-los a também estarem em conformidade com os requisitos do GDPR que se apliquem às suas atividades. Novos recursos são lançados regularmente. A AWS disponibiliza mais de 500 recursos e serviços com foco na segurança e conformidade.

Ativação do GDPR no seu ambiente da AWS

A AWS fornece recursos e serviços específicos que os clientes podem aproveitar para buscar a conformidade com o GDPR.

Criptografe dados na AWS:

  • Criptografia dos seus dados ociosos com o AES256 (EBS/S3/Glacier/RDS)
  • Gerenciamento centralizado de chaves (por região da AWS)
  • Túneis IPsec na AWS com gateways de VPN
  • Módulos HSM dedicados na nuvem com o AWS CloudHSM

Obtenha uma visão geral sobre as atividades em seus recursos da AWS:

  • Gerenciamento e configuração de ativos com o AWS Config
  • Auditoria e análise de segurança com o AWS CloudTrail
  • Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow Logs
  • Verificações e ações de configuração baseada em regras com o AWS Config Rules
  • Filtragem e monitoramento de acesso HTTP a aplicativos com funções do AWS WAF no AWS CloudFront

Permita apenas administradores, usuários e aplicativos autorizados:

  • Multi-Factor Authentication (MFA)
  • Acesso granular a objetos no Amazon S3, Amazon SQS e Amazon SNS
  • Autenticação de solicitação de APIs
  • Restrições geográficas
  • Acesso temporário a tokens por meio do AWS Security Token Service

Os clientes controlam o conteúdo de seus clientes. Com a AWS, os clientes:

  • Determinam onde seu conteúdo será armazenado, incluindo o tipo de armazenamento e a região geográfica desse armazenamento.
  • Escolhem o estado protegido de seu conteúdo. Oferecemos a nossos clientes criptografia forte para seu conteúdo em trânsito ou ocioso, bem como a opção de gerenciar suas próprias chaves de criptografia.
  • Gerenciam o acesso ao seu conteúdo e aos serviços e recursos da AWS por meio de usuários, grupos, permissões e credenciais controlados pelo cliente.

A abordagem SbD tem a intenção de obter o seguinte:

  • Criação de funções obrigatórias que não podem ser ignoradas pelos usuários que não têm permissão para alterar essas funções.
  • Estabelecimento de operações de controles confiáveis.
  • Ativação de auditoria contínua e em tempo real.
  • Criação de roteiros técnicos da sua política de governança.

O alinhamento da AWS com a norma ISO 27018 foi validado por um avaliador terceirizado independente. A norma ISO 27018 é o primeiro código de práticas internacional que enfatiza a proteção de dados pessoais na nuvem. Essa norma é baseada na norma de segurança de informações ISO 27002 e oferece orientação para a implementação dos controles dessa norma aplicáveis a informações de identificação pessoal (PII) processadas por provedores de serviços de nuvem pública. Isso mostra aos clientes que a AWS tem um sistema de controles em vigor que corrobora o comprometimento da AWS com a privacidade e proteção do conteúdo do cliente

Use os serviços da AWS

Amazon Macie

Proteja proativamente Personally Identifiable Information (PII – Informações de identificação pessoal) e saiba quando ela se movimenta.

SAIBA MAIS SOBRE O AMAZON MACIE »

AWS Identity and Access Management (IAM)

Usando o IAM, você pode criar e gerenciar usuários e grupos da AWS e usar permissões para conceder e negar acesso a recursos da AWS.

SAIBA MAIS SOBRE O AWS IAM »

Amazon Inspector

Defina os padrões e as melhores práticas para seus aplicativos. Valide a adesão a esses padrões.

SAIBA MAIS SOBRE O AMAZON INSPECTOR »

AWS Key Management Service (KMS)

Crie e controle facilmente as chaves usadas para criptografar seus dados.

SAIBA MAIS SOBRE O AWS KMS »

Perguntas frequentes sobre o GDPR

  • O que é o GDPR?

    O Regulamento geral de proteção de dados (GDPR) é uma nova lei de privacidade europeia que entrará em vigor em 25 de maio de 2018. O GDPR substituirá a Diretiva de proteção de dados da UE, também conhecida como Diretiva 95/46/EC, e destina-se a unificar as leis de proteção de dados em toda a União Europeia ao aplicar uma única lei de proteção de dados vinculativa em cada um dos estados membro.

  • A quem o GDPR se aplica?

    O GDPR se aplica a todas as organizações estabelecidas na UE e a organizações estabelecidas ou não na UE que processam dados pessoais de sujeitos de dados da UE para fins de oferta de mercadorias ou serviços a sujeitos de dados na UE ou para fins de monitoramento de comportamento ocorrido dentro da UE. Os dados pessoais são qualquer informação relacionada a uma pessoa física identificada ou identificável.

  • O que acontece com as leis atuais de proteção de dados da UE depois que o GDPR entrar em vigor?

    O GDPR substituirá a Diretiva de proteção de dados (Diretiva 95/46/CE do Parlamento Europeu e do Conselho). A partir do dia 25 de maio de 2018, a Diretiva de proteção de dados e as leis relacionadas a ela não serão mais aplicáveis.

  • O que a AWS está fazendo para se preparar para o GDPR?

    Os departamentos de conformidade e proteção de dados, bem como os especialistas em segurança da AWS têm trabalhado com clientes em todo o mundo para responder suas perguntas e ajudá-los a se preparar para cargas de trabalho em execução na Nuvem AWS depois que o GDPR se tornar obrigatório. Essas equipes também têm revisado tudo o que a AWS já faz para garantir que ela cumpra os requisitos do novo GDPR. Podemos confirmar que todos os Serviços da AWS cumprirão o GDPR quando ele se tornar obrigatório, em maio de 2018.

    Além disso, temos um novo DPA do GDPR que atenderá aos requisitos do GDPR. Esse DPA do GDPR já está disponível para todos os clientes da AWS para ajudá-los a se preparar para maio de 2018. Para obter informações adicionais sobre o DPA do GDPR, ou obter uma cópia dele, entre em contato com o gerente de contas da AWS.

    Recentemente, a AWS também anunciou a conformidade com o Código de conduta da CISPE. O Código de conduta da Cispe ajuda clientes de nuvem a avaliar de que maneira seus fornecedores de infraestrutura de nuvem cumprem suas obrigações de proteção de dados de acordo com o GDPR. A AWS declarou que os serviços Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail e Amazon Elastic Block Storage (Amazon EBS) estão em total conformidade com o código da CISPE. Isso proporciona aos clientes garantias adicionais sobre a capacidade de controlar totalmente seus dados em um ambiente seguro, protegido e em conformidade quando eles usarem a AWS. Mais detalhes sobre a conformidade da AWS com o Código de conduta da CISPE poderão ser encontrados no website: https://cispe.cloud/

    A AWS mantém continuamente um patamar elevado de segurança e conformidade em todas as suas operações globais. A segurança sempre foi nossa maior e mais importante prioridade. Nossa segurança líder no setor disponibiliza a base para uma longa lista de certificações e credenciamentos reconhecidos internacionalmente, o que demonstra conformidade com padrões internacionais rigorosos, como ISO 27017 para segurança de nuvem, ISO 27018 para privacidade de nuvem, SOC 1, SOC 2 e SOC 3, PCI DSS nível 1 e muitos outros. A AWS também ajuda os clientes a atenderem a padrões de segurança locais, como o Common Cloud Computing Controls Catalogue (C5) do BSI, que é importante na Alemanha.

  • A AWS cumpre o código de conduta como definido nos requisitos do GDPR?

    A AWS anunciou o cumprimento do código de conduta de proteção de dados da CISPE. A CISPE é uma coalisão de fornecedores de infraestrutura de nuvem (também conhecida como infraestrutura como serviço) que presta serviços de nuvem para clientes na Europa. O Código de conduta da CISPE ajuda os clientes de nuvem a garantir que seus provedores de infraestrutura de nuvem estejam usando os padrões de proteção de dados corretos para proteger seus dados em alinhamento com o GDPR. Alguns dos principais benefícios do Código incluem:

    • Delegação clara das responsabilidades relacionadas à proteção de dados: o código de conduta explica o papel do provedor e do cliente de acordo com o GDPR, especificamente dentro do contexto de serviços de infraestrutura de nuvem.
    • O Código de conduta define a quais princípios os provedores devem aderir: ele destaca as ações e os compromissos que os provedores devem realizar/assumir para cumprir o GDPR e ajudar os clientes a cumpri-los também.
    • O Código de conduta disponibiliza aos clientes informações, relacionadas à proteção e à segurança de dados, necessárias para que eles possam tomar decisões sobre conformidade. Além disso, ele também exige que os provedores sejam transparentes sobre as etapas que estão realizando para cumprir seus compromissos de segurança. Essas etapas envolvem notificações com relação a violações de dados, exclusão de dados e subprocessamento de terceiros, como solicitações das autoridades policiais e governamentais. Os clientes podem usar essas informações para obter um entendimento total dos altos níveis de segurança disponibilizados.

    Para ver considerações sobre como a AWS lida com solicitações das autoridades policiais, consulte: “Abordagem da residência de dados com a AWS

  • Que alterações o GDPR apresenta para as organizações em operação na UE?

    Um dos principais aspectos do GDPR é que ele cria uma uniformidade entre os estados membro da UE com relação a como os dados pessoais podem ser processados, usados e trocados com segurança. As empresas precisarão demonstrar a segurança dos dados que estão processando e a sua conformidade com o GDPR de modo contínuo ao implementar e revisar frequentemente medidas técnicas e organizacionais importantes, além de políticas de conformidade.

  • Quais serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos do GDPR?

    A AWS já está disponibilizando recursos e serviços específicos que ajudam os clientes a atender aos requisitos do GDPR:


    Controle de acesso: permite que somente administradores, usuários e aplicativos autorizados acessem os recursos da AWS

    • Multi-Factor Authentication (MFA)
    • Acesso granular refinado a objetos nos buckets do Amazon S3/no Amazon SQS/no Amazon SNS e mais
    • Autenticação de solicitação de APIs
    • Restrições geográficas
    • Acesso temporário a tokens por meio do AWS Security Token Service


    Monitoramento e registro em log: obtenha uma visão geral sobre as atividades nos seus recursos da AWS

    • Gerenciamento e configuração de ativos com o AWS Config
    • Auditoria de conformidade e análise de segurança com o AWS CloudTrail
    • Identificação de desafios de configuração por meio do AWS Trusted Advisor
    • Registro em log de acesso granular refinado a objetos do Amazon S3
    • Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow Logs
    • Verificações e ações de configuração baseada em regras com o AWS Config Rules
    • Filtragem e monitoramento do acesso HTTP a aplicativos com funções do WAF no AWS CloudFront
     

    Criptografia: criptografe dados na AWS
     
    • Criptografia dos seus dados ociosos com o AES256 (EBS/S3/Glacier/RDS)
    • Gerenciamento centralizado de chaves (por região da AWS)
    • Túneis IPsec na AWS com gateways de VPN
    • Módulos HSM dedicados na nuvem com o AWS CloudHSM


    Estrutura de conformidade e padrões de segurança robustos:

    • Certificação ISO 27001/9001
    • Certificação ISO 27017/27018
    • Cloud Computing Compliance Controls Catalog (C5 – Esquema de credenciamento baseado no governo alemão)
    • A AWS, junto com a auditoria TÜV TRUST IT, publicou um manual de certificação do cliente que oferece orientações sobre a obtenção da conformidade alemã BSI IT Grundschutz na nuvem
  • O que os clientes podem fazer para se preparar para o GDPR?

    Embora ele só se torne obrigatório em maio de 2018, estamos incentivando os clientes e os parceiros a começarem a se preparar para o GDPR desde já. Para quem já tiver implementado um nível elevado de conformidade, segurança e privacidade de dados, a mudança para o GDPR será bem simples. Quem ainda não tiver começado a jornada para entrar em conformidade com o GDPR, recomendamos fortemente que comecem a revisar os processos de segurança, conformidade e proteção de dados agora para garantir uma transição sem problemas em maio de 2018. Aqui estão alguns dos pontos principais a considerar para a obtenção da conformidade com o GDPR:

    • Alcance territorial: determinar se um GDPR se aplica às atividades de uma empresa é essencial para garantir sua capacidade de atender às obrigações de conformidade. O GDPR se aplica a todas as empresas estabelecidas na UE. No entanto, dependendo das suas atividades, o GDPR também poderá se aplicar a você, caso esteja estabelecido fora da UE.
    • Direitos dos titulares de dados: o GDPR aprimora os direitos dos titulares de dados de várias maneiras. Por exemplo, os titulares de dados têm o direito de contestar o processamento de seus dados, bem como têm o direito à portabilidade deles. Será necessário garantir que você possa acomodar os direitos dos titulares de dados, caso esteja processando seus dados pessoais.
    • Notificações sobre violações de dados: se você for um controlador de dados, deverá reportar violações de dados às autoridades de proteção pertinentes sem nenhum atraso indevido. Ao usar a AWS, você tem controle sobre como deseja processar dados pessoais e também sobre como protegê-los. Isso dá a você a capacidade de monitorar seu próprio ambiente em busca de violações de privacidade e notificar agências reguladoras e indivíduos afetados, conforme as exigências do GDPR. Além disso, notificaremos você, sem nenhum atraso indevido, assim que tomarmos conhecimento de alguma violação dos nossos padrões de segurança relacionados à rede da AWS.
    • DPO (Data Protection Officer – Responsável pela proteção de dados): é possível que seja necessário indicar um DPO que deverá gerenciar a segurança dos dados e outros problemas relacionados ao processamento de dados pessoais.
    • DPIA (Data Protection Impact Assessment – Avaliação do impacto de proteção de dados): é possível que seja necessário conduzir um DPIA para suas atividades de processamento. Em alguns casos, será preciso registrá-lo com uma autoridade de fiscalização. Essa avaliação deverá identificar seus procedimentos e processos de administração de dados, bem como os controles atuais destinados a proteger dados pessoais.
    • DPA (Data Processing Agreement – Acordo de processamento de dados): é possível que seja necessário um DPA que atenda aos requisitos do GDPR, especialmente se os dados pessoais forem transferidos para fora do EEA. A AWS oferece aos clientes um DPA do GDPR que foi disponibilizado para ajudar os clientes a se preparar para o próximo mês de maio.

    A AWS oferece uma ampla variedade de serviços e recursos específicos de serviços que ajudam os clientes a atender a requisitos do GDPR, inclusive serviços para controles de acesso, monitoramento, registro em log e criptografia. Mais informações sobre eles podem ser encontradas na seção acima, “Quais serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos do GDPR?”.

    Também temos equipes de conformidade, proteção de dados e especialistas em segurança, como também parceiros da Rede de parceiros da AWS, que trabalham com clientes em toda a Europa para responder suas perguntas e ajudá-los a se preparar para executar cargas de trabalho na nuvem depois que o GDPR tornar-se obrigatório. Para obter informações adicionais sobre isso, entre em contato com o gerente de contas da AWS.

  • A AWS oferece um Data Processing Addendum (DPA – Adendo de processamento de dados)?

    Sim. Para obter mais informações sobre como os clientes podem firmar o Adendo de processamento de dados da AWS, consulte aqui (login obrigatório).

  • O Adendo de processamento de dados da AWS contém as cláusulas modelo?

    O Article 29 Working Party (Grupo de trabalho do artigo 29) aprovou o Adendo de processamento de dados da AWS, que inclui as cláusulas modelo. O Grupo de trabalho do artigo 29 concluiu que o Adendo de processamento de dados da AWS cumpre os requisitos da diretiva com relação às cláusulas modelo. Isso significa que o Adendo de processamento de dados da AWS não é considerado “ad hoc”. Para obter mais detalhes sobre a aprovação do Adendo de processamento de dados da AWS do Grupo de trabalho do artigo 29, acesse: https://cnpd.public.lu/en/actualites/international/2015/03/AWS.html

    A Luxembourg Data Protection Authority (CNPD – Agência de Proteção de Dados de Luxemburgo) atuou como a principal autoridade em nome do Grupo de trabalho do artigo 29, de acordo com o procedimento do Grupo de trabalho do artigo 29.

    Para obter mais informações sobre como os clientes podem firmar o Adendo de processamento de dados da AWS, consulte aqui (login obrigatório).

  • O que são “cláusulas modelo”?

    As cláusulas contratuais padrão (também conhecidas como “cláusulas modelo”) são um conjunto de disposições padrão definidas e aprovadas pela Comissão Europeia que podem ser usadas para permitir que dados pessoais sejam transferidos pelo controlador de dados para um processador de dados fora da Área econômica europeia, sem afetar a conformidade.

compliance-contactus-icon
Dúvidas? Entre em contato com um representante de conformidade da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a conformidade da AWS?
Sigam-nos no Twitter »