Centro do Regulamento geral de proteção de dados (GDPR)


Visão geral

O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia protege o direito fundamental dos sujeitos dos dados da União Europeia à privacidade e à proteção de dados pessoais. O GDPR inclui requisitos robustos que elevam e harmonizam os padrões de proteção, segurança e conformidade dos dados.

Todos os serviços da AWS prontos para o GDPR – Ler mais

Além da nossa própria conformidade, a AWS está comprometida em oferecer serviços e recursos a seus clientes a fim de ajudá-los a manter a própria conformidade com os requisitos da GDPR aplicáveis às suas atividades. Novos recursos são lançados regularmente, e a AWS disponibiliza mais de 500 recursos e serviços com foco na segurança e compatibilidade.

Ativação do GDPR no seu ambiente da AWS

A AWS fornece recursos e serviços específicos que os clientes podem aproveitar para buscar a conformidade com o GDPR.

Criptografe dados na AWS:

  • Criptografia dos seus dados em repouso com o AES256 (EBS/S3/Glacier/RDS)
  • Gerenciamento centralizado de chaves (por região da AWS)
  • Túneis IPsec na AWS com gateways de VPN
  • Módulos HSM dedicados na nuvem com o AWS CloudHSM
Fechar

Obtenha uma visão geral sobre as atividades em seus recursos da AWS:

  • Gerenciamento e configuração de ativos com o AWS Config
  • Auditoria e análise de segurança com o AWS CloudTrail
  • Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow Logs
  • Verificações e ações de configuração baseada em regras com o AWS Config Rules
  • Filtragem e monitoramento de acesso HTTP a aplicativos com funções do AWS WAF no AWS CloudFront
Fechar

Permita o acesso somente de administradores, usuários e aplicativos autorizados:

  • Multi-Factor Authentication (MFA)
  • Acesso granular a objetos no Amazon S3, Amazon SQS e Amazon SNS
  • Autenticação de solicitação de APIs
  • Restrições geográficas
  • Acesso temporário a tokens por meio do AWS Security Token Service
Fechar

Os clientes controlam o conteúdo do cliente. Com a AWS, os clientes:

  • Determinam onde seu conteúdo será armazenado, incluindo o tipo de armazenamento e a região geográfica desse armazenamento.
  • Escolhem o estado protegido de seu conteúdo. Oferecemos a nossos clientes criptografia forte para seu conteúdo em trânsito ou ocioso, bem como a opção de gerenciar suas próprias chaves de criptografia.
  • Gerenciam o acesso ao seu conteúdo e aos serviços e recursos da AWS por meio de usuários, grupos, permissões e credenciais controlados pelo cliente.
Fechar

A abordagem Security by Design tem como objetivo:

  • Criação de funções obrigatórias que não podem ser ignoradas pelos usuários que não têm permissão para alterar essas funções.
  • Estabelecimento de operações de controles confiáveis.
  • Ativação de auditoria contínua e em tempo real.
  • Criação de roteiros técnicos da sua política de governança.
Fechar

Nossa funcionalidade líder no setor fornece a base para uma longa lista de certificações e credenciamentos reconhecidos internacionalmente, o que demonstra compatibilidade com padrões internacionais rigorosos, como ISO 27001 para medidas técnicas, ISO 27017 para segurança na nuvem, ISO 27018 para privacidade na nuvem, SOC 1, SOC 2 e SOC 3, PCI DSS nível 1 e certificações específicas da UE, como Common Cloud Computing Controls Catalogue (C5) do BSI e ENS High. A AWS também anunciou a compatibilidade com o Código de Conduta da CISPE.

Fechar

Usar os serviços da AWS

AWS Key Management Service (KMS)

Crie e controle facilmente as chaves usadas para criptografar seus dados.

SAIBA MAIS SOBRE O AWS KMS »

AWS Identity and Access Management (IAM)

Crie e gerencie usuários e grupos da AWS e use permissões para permitir e negar o acesso a recursos da AWS.

SAIBA MAIS SOBRE O AWS IAM »

Amazon Inspector

Defina os padrões e as melhores práticas para seus aplicativos. Valide a adesão a esses padrões.

SAIBA MAIS SOBRE O AMAZON INSPECTOR »

Amazon GuardDuty

Detecção de ameaças inteligente e monitoramento contínuo para proteger suas contas e cargas de trabalho da AWS.

SAIBA MAIS SOBRE O AMAZON GUARDDUTY »

Perguntas frequentes sobre o GDPR

  • O que é GDPR?

    O Regulamento Geral de Proteção de Dados (GDPR) é uma nova lei de privacidade europeia que entrou em vigor em 25 de maio de 2018. O GDPR substituiu a Diretiva de Proteção de Dados da UE, também conhecida como Diretiva 95/46/EC, e tem como objetivo unificar as leis de proteção de dados em toda a União Europeia ao aplicar uma única lei de proteção de dados vinculativa em cada um dos estados-membros.

  • Quem está sujeito ao GDPR?

    O GDPR aplica-se a todas as organizações estabelecidas na UE e às organizações, quer estejam estabelecidas ou não na UE, que processam dados pessoais de sujeitos de dados da UE para fins de oferta de mercadorias ou serviços a sujeitos de dados na UE ou para fins de monitoramento de comportamento ocorrido dentro da UE. Dados pessoais são quaisquer informações relacionadas a uma pessoa física identificada ou identificável.

  • Os serviços da AWS estão em conformidade com o GDPR?

    Podemos confirmar que todos os serviços da AWS podem ser usados em conformidade com o GDPR. Isso significa que, além dos benefícios oferecidos por todas as medidas já empregadas pela AWS para manter a segurança dos serviços, os clientes podem implantar serviços da AWS como parte essencial de seus planos de conformidade com o GDPR. Para obter mais detalhes, consulte nosso comunicado sobre preparação dos serviços para o GDPR disponível no Blog de segurança da AWS.

  • A AWS oferece um Adendo de processamento de dados (DPA)?

    Sim. O DPA do GDPR da AWS com cláusulas contratuais padrão é parte dos Termos de serviço da AWS e está disponível automaticamente para todos os clientes que necessitam atender aos requisitos do GDPR.

  • A AWS cumpre o Código de conduta conforme definido no GDPR?

    Em fevereiro de 2017, a AWS anunciou a compatibilidade com o Código de conduta de proteção de dados da CISPE. A CISPE é uma coalizão de fornecedores de infraestrutura de nuvem (também conhecida como infraestrutura como serviço) que presta serviços de nuvem para clientes na Europa. O Código de conduta da CISPE ajuda os clientes de nuvem a garantir que seus provedores de infraestrutura de nuvem estejam usando os padrões de proteção de dados corretos para proteger seus dados em alinhamento com o GDPR. Alguns dos principais benefícios do Código incluem:

    • Delegação clara das responsabilidades relacionadas à proteção de dados: o Código de conduta explica o papel do provedor e do cliente de acordo com o GDPR, especificamente dentro do contexto de serviços de infraestrutura de nuvem.
    • O Código de conduta define os princípios que os provedores devem aderir: ele destaca as ações e os compromissos que os provedores devem realizar/assumir para cumprir o GDPR e ajudar os clientes a fazer o mesmo.
    • O Código de conduta disponibiliza aos clientes informações relacionadas à proteção e à segurança de dados necessárias para que eles possam tomar decisões sobre conformidade. Além disso, ele também exige que os provedores sejam transparentes em relação às etapas que estão realizando para cumprir seus compromissos de segurança. Essas etapas envolvem notificações sobre violações de dados pessoais e subprocessamento por terceiros, bem como sobre solicitações das autoridades policiais e governamentais. Os clientes podem usar essas informações para obter um entendimento total dos altos níveis de segurança fornecidos.

    Para saber mais sobre como as solicitações de aplicação da lei são tratadas, consulte Solicitação de informações sobre aplicação da lei.

  • Como a decisão do tribunal de justiça da União Europeia de julho de 2020 afeta os principais mecanismos de transferência de dados regidos pelo Privacy Shield entre UE e EUA?

    Na AWS, nossa maior prioridade é a proteção dos dados de nossos clientes. Portanto, implementamos rigorosas medidas técnicas e organizacionais para proteger a confidencialidade, integridade e disponibilidade, independentemente da região da AWS selecionada pelo cliente. Além disso, temos serviços de criptografia líderes do setor que oferecem a nossos clientes uma variedade de opções para criptografar dados em trânsito e em repouso. Visto que o tribunal de justiça da União Europeia validou o uso de cláusulas contratuais padrão (SCCs) como mecanismo de transferência de dados para fora da União Europeia, nossos clientes poderão continuar confiando nos SCCs incluídos no Adendo de processamento de dados do GDPR da AWS se optarem por transferir dados para fora da União Europeia em conformidade com o GDPR. O Adendo de processamento de dados do GDPR da AWS faz parte dos Termos de serviço da AWS e está disponível para todos os clientes que transferem dados pessoais da UE para qualquer região da AWS no mundo, inclusive nos EUA.

    Após a decisão de julho de 2020 do tribunal de justiça da União Europeia, criamos duas publicações no blog: Atualização do cliente: AWS e o Privacy Shield entre UE e EUA e AWS e transferências de dados na EU: compromissos reforçados para proteger os dados dos clientes. Forneceremos atualizações adicionais no Blog de segurança da AWS, usando uma tag "GDPR".

  • Que serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos do GDPR?

    A AWS disponibiliza recursos e serviços específicos que ajudam os clientes a atender aos requisitos do GDPR:

    Controle de acesso: permite que somente administradores, usuários e aplicativos autorizados acessem os recursos da AWS

    • Multi-Factor Authentication (MFA)
    • Acesso granular refinado a objetos nos buckets do Amazon S3/no Amazon SQS/no Amazon SNS e mais
    • Autenticação de solicitação de APIs
    • Restrições geográficas
    • Acesso temporário a tokens por meio do AWS Security Token Service

    Monitoramento e registro em log: obtenha uma visão geral sobre as atividades nos seus recursos da AWS

    • Gerenciamento e configuração de ativos com o AWS Config
    • Auditoria de conformidade e análise de segurança com o AWS CloudTrail
    • Identificação de desafios de configuração por meio do AWS Trusted Advisor
    • Registro em log de acesso granular refinado a objetos do Amazon S3
    • Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow Logs
    • Verificações e ações de configuração baseada em regras com o AWS Config Rules
    • Filtragem e monitoramento do acesso HTTP a aplicativos com funções do WAF no AWS CloudFront

    Criptografia: criptografe dados na AWS

    • Criptografia dos seus dados em repouso com o AES256 (EBS/S3/Glacier/RDS)
    • Gerenciamento centralizado de chaves (por região da AWS)
    • Túneis IPsec na AWS com gateways de VPN
    • Módulos HSM dedicados na nuvem com o AWS CloudHSM

    Estrutura de compatibilidade e padrões de segurança robustos:

    • Certificação ISO 27001/9001
    • Certificação ISO 27017/27018
    • Cloud Computing Compliance Controls Catalog (C5 – Esquema de credenciamento baseado no governo alemão)
    • A AWS, juntamente com a auditoria TÜV TRUST IT, publicou um Manual de certificação do cliente que oferece orientações sobre a obtenção da compatibilidade alemã BSI IT Grundschutz na nuvem
  • Quais são alguns dos principais pontos que podem ser úteis para os clientes levando em consideração a conformidade com o GDPR?

    • Alcance territorial: determinar se o GDPR é aplicável às atividades de uma organização é essencial para garantir sua capacidade de atender às obrigações de compatibilidade. O GDPR aplica-se a todas as organizações estabelecidas na UE. No entanto, dependendo das suas atividades, o GDPR também poderá se aplicar a você, caso esteja estabelecido fora da UE.
    • Direitos dos sujeitos de dados: o GDPR aprimora os direitos dos sujeitos de dados de várias maneiras. Por exemplo, os sujeitos de dados podem ter o direito de contestar o processamento de seus dados, bem como podem ter o direito de acessar os próprios dados pessoais. As organizações sujeitas ao GDPR deverão garantir que possam respeitar os direitos dos sujeitos de dados se estiverem processando dados pessoais.
    • Notificações de violações de dados: Se você for um controlador de dados, talvez precise comunicar uma violação de dados pessoais à autoridade supervisora apropriada ou aos indivíduos afetados dentro de prazos especificados. O uso da AWS fornece controle sobre como processar e proteger dados pessoais. Esse nível de controle permite monitorar seu próprio ambiente em busca de violações e notificar as autoridades supervisoras e os indivíduos afetados conforme as exigências do GDPR. Além disso, a AWS, na condição de processadora dos dados, notificará você o mais rápido possível caso saibamos de alguma violação em nossa segurança capaz de levar à destruição, perda, alteração, divulgação não autorizada ou acesso acidentais ou ilegais a quaisquer dados pessoais enviados para os serviços da AWS em sua conta.
    • Data Protection Impact Assessment (DPIA – Avaliação do impacto de proteção de dados): talvez seja necessário conduzir uma DPIA para atividades de processamento. Em alguns casos, será preciso registrá-lo com uma autoridade de fiscalização. Essa avaliação deverá identificar seus procedimentos e processos de administração de dados, bem como os controles atuais destinados a proteger dados pessoais.
    • Data Processing Agreement (DPA – Acordo de processamento de dados): um DPA que atenda aos requisitos do GDPR pode ser necessário. A AWS oferece aos clientes um DPA compatível com o GDPR incorporado aos Termos de serviço da AWS aplicável automaticamente a todos os clientes que exigem conformidade com o GDPR. A AWS oferece uma ampla variedade de serviços e recursos específicos de serviços que ajudam os clientes a atender a requisitos do GDPR, inclusive serviços para controles de acesso, monitoramento, registro em log e criptografia. Informações adicionais sobre eles podem ser encontradas na seção acima, "Quais serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos do GDPR?"
  • Como posso provar para um regulador de proteção de dados que o meu uso da AWS está em conformidade com o GDPR?

    A AWS oferece informações úteis aos clientes e parceiros do APN, incluindo vários relatórios de conformidade de auditores externos que verificaram a nossa conformidade com diversos padrões e regulamentos de segurança de computador, comprovando os altos níveis de conformidade mantidos pela AWS em sua infraestrutura. Esses relatórios demonstram a nossos clientes e parceiros do APN que protegemos os dados pessoais que eles optam por processar na AWS. A conformidade da AWS com os padrões ISO 27001, 27017 e 27018 é um bom exemplo. A ISO 27018 contém controles de segurança dedicados à proteção de dados pessoais. Você pode encontrar detalhes da compatibilidade da AWS com a ISO 27108 em: https://aws.amazon.com/compliance/iso-27018-faqs/.

    A AWS também é compatível com o Código de conduta da CISPE para proteção de dados. A CISPE é uma coalizão de fornecedores de infraestrutura de nuvem (também conhecida como infraestrutura como serviço) que presta serviços de nuvem para clientes na Europa. O Código de conduta da CISPE ajuda os clientes de nuvem e os parceiros do APN a garantir que provedores de infraestrutura de nuvem usem os padrões de proteção de dados corretos para proteger os dados em alinhamento com o GDPR. Alguns dos principais benefícios do Código incluem:

    • Delegação clara das responsabilidades relacionadas à proteção de dados: o Código de conduta explica o papel do provedor e do cliente de acordo com o GDPR, especificamente dentro do contexto de serviços de infraestrutura de nuvem.
    • O Código de conduta define os princípios que devem ser adotados pelos provedores. Ele destaca as ações e os compromissos que os provedores devem realizar/assumir para cumprir o GDPR e ajudar os clientes e os parceiros do APN a cumpri-lo.

    O Código de conduta disponibiliza aos clientes e parceiros do APN as informações sobre proteção e segurança de dados necessárias para que eles possam tomar decisões sobre conformidade. Além disso, ele também exige que os provedores sejam transparentes sobre as etapas que estão realizando para cumprir seus compromissos de segurança. Essas etapas envolvem notificações sobre violações de dados pessoais e subprocessamento por terceiros, bem como sobre solicitações das autoridades policiais e governamentais. Os clientes e os parceiros do APN podem usar essas informações para obter uma compreensão total dos altos níveis de segurança disponibilizados.

  • A AWS tem subprocessadores?

    Notificamos nossos clientes e parceiros do APN sobre quaisquer subprocessadores na página da Web de subprocessadores da AWS. Esse compromisso está incluído no Adendo de processamento de dados do GDPR da AWS (DPA do GDPR). O DPA do GDPR da AWS está incorporado aos Termos de serviço da AWS e é automaticamente aplicado a todos os clientes que exigem que ele esteja em conformidade com o GDPR.

  • A AWS é uma processadora de dados ou uma controladora de dados nos termos do GDPR?

    A AWS atua como processadora e controladora de dados nos termos do GDPR.

    • A AWS como processadora de dados – quando os clientes e os parceiros da rede de parceiros da AWS (APN) usam os serviços da AWS para processar dados pessoais em seu conteúdo, a AWS atua como processadora de dados. Os clientes e os parceiros do APN podem usar os controles disponíveis em serviços da AWS, incluindo os controles de configuração de segurança, para processar dados pessoais. Nessas circunstâncias, o cliente ou o parceiro do APN pode atuar como um controlador de dados ou como o próprio processador de dados, e a AWS atua como processadora ou subprocessadora de dados. A AWS oferece um Data Processing Addendum (DPA – Adendo de processamento de dados) compatível com o GDPR que incorpora os compromissos da AWS como processadora de dados.
    • AWS como controladora de dados – Ao coletar dados pessoais e determinar os objetivos e os meios de processamento para esses dados pessoais (por exemplo, quando armazena informações da conta para fins de registro, administração, acesso a serviços ou informações de contato e usa essas informações para oferecer auxílio em atividades de suporte ao cliente), a AWS atua como uma controladora de dados.
  • Como o GDPR afeta o modelo de responsabilidade compartilhada da AWS?

    O GDPR não altera o modelo de responsabilidade compartilhada da AWS, que continua relevante para clientes e parceiros do APN que se dedicam a usar serviços de computação em nuvem. O modelo de responsabilidade compartilhada é uma abordagem útil para ilustrar as diferentes responsabilidades da AWS (como processadora ou subprocessadora de dados) e dos clientes ou parceiros do APN (como controladores ou processadores de dados) nos termos do GDPR.

    No modelo de responsabilidade compartilhada, a AWS é responsável pela proteção da infraestrutura subjacente de suporte à nuvem, e os clientes e parceiros do APN, atuando como controladores ou processadores de dados, são responsáveis por todos os dados pessoais que colocam na nuvem.

    Quais são as responsabilidades da AWS como processadora de dados?

    A AWS é responsável pela proteção da infraestrutura global que executa todos os serviços oferecidos na Nuvem AWS. Essa infraestrutura consiste em hardware, software, redes e instalações que executam os serviços da AWS e oferecem controles avançados aos clientes e parceiros do APN, incluindo controles de configuração de segurança, para processar o conteúdo dos clientes. A proteção dessa infraestrutura é a principal prioridade da AWS. A AWS oferece vários relatórios de compatibilidade de auditores externos que verificaram a nossa compatibilidade com diversos padrões e regulamentos de segurança de computadores (para obter mais informações, acesse: https://aws.amazon.com/compliance). Esses relatórios demonstram a nossos clientes e parceiros do APN que protegemos os dados pessoais que eles optam por processar na AWS. A conformidade da AWS com os padrões ISO 27001, 27017 e 27018 é um bom exemplo. A ISO 27018 contém controles de segurança dedicados à proteção de dados pessoais. Você pode encontrar detalhes da compatibilidade da AWS com a ISO 27108 em: https://aws.amazon.com/compliance/iso-27018-faqs/.

    Além disso, a AWS é responsável pela configuração da segurança de suas tecnologias que são consideradas serviços gerenciados. Exemplos desses serviços incluem Amazon DynamoDB, Amazon RDS, Amazon Redshift, Amazon Elastic MapReduce e vários outros serviços. Além da escalabilidade e da flexibilidade dos recursos baseados na nuvem, esses serviços da AWS oferecem o benefício de serem gerenciados. No caso desses serviços, a AWS se encarrega das tarefas básicas de segurança, como aplicação de patches a bancos de dados e sistemas operacionais (SOs), configuração de firewalls e recuperação de desastres. Nos serviços da AWS gerenciados, os clientes e os parceiros do APN configuram os controles de acesso lógico aos recursos e protegem as credenciais das contas. Alguns deles podem exigir tarefas adicionais, como configurar contas de usuários de banco de dados. Entretanto, em termos gerais, a configuração da segurança é executada pelo serviço da AWS. Para todos esses serviços da AWS, os clientes e os parceiros do APN continuam responsáveis por todos os dados pessoais que colocam na nuvem.

    Responsabilidades dos clientes e parceiros do APN como controladores de dados, e como os serviços da AWS podem ajudar:

    Com a Nuvem AWS, os clientes e os parceiros do APN podem provisionar servidores virtuais, armazenamento, bancos de dados e desktops em minutos, em vez de semanas. Eles também podem usar ferramentas de fluxo de trabalho e análise baseadas na nuvem para processar os dados conforme a necessidade e armazená-los em seus próprios datacenters ou na nuvem. Os serviços da AWS usados pelos clientes e parceiros do APN determinam a quantidade de trabalho de configuração necessário como parte de suas responsabilidades nos termos do GDPR. Os produtos da AWS da categoria de infraestrutura como serviço (IaaS), como os serviços Amazon EC2, Amazon VPC e Amazon S3, ficam inteiramente sob o controle do cliente ou do parceiro do APN, o qual deve realizar todas as configurações de segurança e tarefas de gerenciamento necessárias. Por exemplo, para instâncias do EC2, eles são responsáveis pelo gerenciamento do sistema operacional convidado (incluindo atualizações e patches de segurança), por todos os softwares aplicativos ou utilitários instalados nas instâncias e pela configuração do firewall fornecido pela AWS (chamado de grupo de segurança) em cada instância. Essas tarefas de segurança devem ser executadas independentemente da localização dos servidores.

    Para realizar a proteção de dados por design e por princípios padrão, é recomendável que os clientes e os parceiros do APN protejam as credenciais de suas contas da AWS e configurem contas de usuários individuais com o Amazon Identity and Access Management (IAM). Assim, cada usuário tem suas próprias credenciais, proporcionando a capacidade de implementar o acesso a dados com base em permissões e a segregação de tarefas por função do usuário. Também recomendamos o uso da autenticação multifator (MFA) em cada conta, a obrigatoriedade do uso de SSL/TLS na comunicação com os recursos da AWS, a configuração de registro das atividades de usuários e APIs em log usando o AWS CloudTrail, o uso das soluções de criptografia da AWS e outros controles de segurança dentro dos serviços da AWS. Os clientes e os parceiros do APN também podem usar serviços de segurança avançados, como o Amazon GuardDuty, para segurança de contas e infraestrutura, e o Amazon Macie, para ajudar na descoberta e na proteção de dados pessoais armazenados no Amazon S3, para fins de conformidade com o GDPR.

    Para obter mais informações sobre as medidas adicionais que podem ser tomadas pelos clientes, e sobre as soluções oferecidas pela AWS, visite Melhores práticas de segurança, identidade e conformidade e a leitura recomendada na página da Web Recursos de conformidade da AWS.

  • Com quem devo entrar em contato em caso de dúvidas a respeito do GDPR e da AWS?

    Recomendamos que os clientes e parceiros do APN com dúvidas sobre o GDPR entrem em contato primeiro com seus gerente de conta da AWS. Se os clientes assinaram o Enterprise Support, também poderão entrar em contato com seus Technical Account Managers (TAM – Gerente técnico da conta). Os TAMs trabalham com os arquitetos de soluções para ajudar os clientes a identificar possíveis riscos e mitigações. Os TAMs e as equipes de contas também podem indicar recursos específicos aos clientes e parceiros do APN, de acordo com seu ambiente e suas necessidades.

    Além disso, a AWS conta com equipes de representantes do Enterprise Support, consultores de serviços profissionais e outras equipes que podem ajudar a resolver dúvidas sobre o GDPR.

  • Qual a orientação técnica sobre o GDPR oferecida pela AWS aos clientes e parceiros do APN?

    A AWS oferece aos clientes e parceiros do APN vários recursos para ajudá-los em suas jornadas rumo à conformidade com o GDPR. A AWS dispõe de equipes de representantes do Enterprise Support, consultores de serviços profissionais e outras equipes para ajudar a resolver as dúvidas dos clientes e parceiros do APN sobre o GDPR. Incluímos a possibilidade para os clientes pesquisarem "GDPR" no AWS Partner Solutions Finder para ajudá-los a encontrar ISVs, MSPs e parceiros de SI que têm produtos e serviços que ajudam na compatibilidade com o GDPR. Os clientes também podem procurar soluções "GDPR" no AWS Marketplace.

  • A AWS oferece a ajuda dos serviços profissionais para a compatibilidade com o GDPR?

    A equipe de AWS Professional Services está executando várias atividades para ajudar os clientes e os parceiros do APN em suas jornada rumo à conformidade com o GDPR. A equipe AWS Professional Services também está trabalhando diretamente com os clientes e parceiros do APN para oferecer orientação técnica sobre o GDPR e sobre a implementação de proteção de dados por design e por padrão usando ferramentas da AWS.

  • Como o Suporte da AWS pode me ajudar em minha jornada rumo à conformidade com o GDPR?

    O AWS Premium Support trabalha com os clientes e os parceiros do APN para oferecer orientação técnica a fim de ajudá-los na jornada para a conformidade com o GDPR. Como parte dessa atividade, temos equipes de engenheiros de suporte de nuvem e gerentes de contas técnicas treinados para ajudar a identificar e mitigar riscos de conformidade. Temos também dois programas que podem ser úteis para clientes e parceiros do APN que buscam a conformidade com o GDPR:

    • Análise de operações em nuvem – disponível para clientes do AWS Enterprise Support, este programa foi criado para ajudar a identificar lacunas na abordagem das operações na nuvem. Com origem em um conjunto de melhores práticas operacionais obtidas da experiência da AWS com um grande número de clientes representativos, o programa fornece uma análise das operações na nuvem e das práticas de gerenciamento associadas, o que pode ajudar as organizações em sua jornada rumo à conformidade com o GDPR. O programa usa uma abordagem com quatro pilares, priorizando a preparação, o monitoramento, a operação e a otimização de sistemas baseados na nuvem para alcançar a excelência operacional.
    • Análise Well-Architected – este programa permite que as organizações comparem sua arquitetura com as melhores práticas da AWS e criem arquiteturas seguras, confiáveis, econômicas e de alta performance. Com as análises Well-Architected, os clientes e parceiros do APN também podem compreender onde estão os riscos em sua arquitetura e abordá-los antes que os aplicativos entrem em produção.

    Os clientes e parceiros do APN que querem compreender como o AWS Premium Support pode ajudá-los encontrarão mais informações no AWS Support Center, disponível por meio do Console de Gerenciamento da AWS, usando os detalhes de contato especificados no contrato de Enterprise Support firmado com a AWS ou acessando a página do AWS Premium Support em: https://aws.amazon.com/premiumsupport/. Os clientes com Enterprise Support devem entrar em contato com seu TAM em caso de dúvidas relacionadas ao GDPR.

  • Como a AWS exclui as instruções dos clientes?

    Os serviços da AWS permitem excluir o conteúdo de clientes sob demanda por meio do Console de Gerenciamento da AWS, de APIs ou de outros métodos de entrada. Para obter mais informações sobre funcionalidades de serviços específicos, consulte https://aws.amazon.com/documentation.  

  • Quais ferramentas a AWS disponibiliza para implementar as medidas técnicas e organizacionais necessárias para proteger dados por design e por padrão?

    Muitos dos requisitos do GDPR são voltados ao controle e à proteção de dados. Os serviços da AWS permitem que clientes e parceiros do APN implementem suas próprias medidas de segurança em conformidade com o GDPR, incluindo medidas táticas especificas como:

    • Criptografia de dados pessoais
    • Capacidade de garantir a confidencialidade, a integridade, a disponibilidade e a resiliência contínuas dos sistemas e serviços de processamento
    • Capacidade de restaurar a disponibilidade e o acesso a dados pessoais em tempo hábil quando ocorrem incidentes físicos ou técnicos
    • Um processo para testar, analisar e avaliar regularmente a eficácia das medidas técnicas para garantir a segurança do processamento

    A AWS dispõe de um conjunto avançado de serviços de segurança e conformidade que podem ser implantados para ajudar a cumprir requisitos do GDPR, incluindo:

    • Amazon GuardDuty, um serviço que oferece detecção inteligente de ameaças e monitoramento contínuo de comportamentos mal-intencionados ou não autorizados
    • Amazon Macie, uma ferramenta de Machine Learning para ajudar na descoberta e na classificação de dados pessoais armazenados no Amazon S3
    • Amazon Inspector, um serviço automatizado de avaliação de segurança para manter a conformidade dos aplicativos com as melhores práticas de segurança
    • Regras do AWS Config, um recurso que permite verificar dinamicamente a conformidade de recursos da nuvem com regras de segurança

    A AWS também publicou um whitepaper dedicado a esse tópico, "Navegação na compatibilidade com o GDPR na AWS". Esse whitepaper considera e detalha as formas de vincular especificamente recursos a conceitos como monitoramento, acesso a dados e gerenciamento de chaves. 

  • Quais medidas de segurança a AWS implementou para proteger os sistemas?

    A infraestrutura da Nuvem AWS foi projetada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros atualmente disponíveis. A escala da Amazon permite um volume de investimentos em vigilância e contramedidas de segurança consideravelmente maior que praticamente qualquer outra grande empresa seria capaz de atingir. Essa infraestrutura consiste em hardware, software, redes e instalações que executam os serviços da AWS e oferecem controles avançados aos clientes e parceiros do APN, incluindo controles de configuração de segurança, para processar dados pessoais.

    Além disso, a AWS oferece vários relatórios de conformidade de auditores externos, que testaram e verificaram nossa conformidade com diversos padrões e regulamentos de segurança de computador, incluindo ISO 27001, ISO 27017 e ISO 27018. Para oferecer transparência sobre a eficácia dessas medidas, oferecemos aos clientes e parceiros do APN acesso a relatórios de auditorias externas no Console de Gerenciamento da AWS. Esses relatórios mostram aos nossos clientes e parceiros do APN, que podem atuar como controladores ou processadores de dados, que protegemos a infraestrutura subjacente que usam para armazenar e processar dados pessoais. Para obter mais informações, acesse https://aws.amazon.com/compliance

  • Como a AWS pode ajudar os controladores de dados a cumprir suas obrigações nos termos do GDPR, especificamente sobre notificações de violações de dados pessoais?

    A AWS tem um processo de monitoramento de incidentes de segurança e notificação de violações de dados em vigor que informa os clientes e parceiros do APN sobre qualquer violação na segurança da AWS capaz de levar à destruição, perda, alteração, divulgação não autorizada ou acesso acidentais ou ilegais a quaisquer dados pessoais enviados para sua conta. Além disso, a AWS oferece aos clientes e parceiros do APN diversas ferramentas para compreender quem tem acesso a seus recursos, bem como o momento e o local do acesso. Uma dessas ferramentas é o AWS CloudTrail, que oferece governança, conformidade, auditorias operacionais e auditorias de risco para contas da AWS. Com o CloudTrail, os clientes podem registrar, monitorar continuamente e reter informações sobre a atividade da conta relacionada às ações executadas na infraestrutura da AWS. Dessa forma, as organizações compreendem o que ocorre em sua infraestrutura na AWS e podem tomar medidas imediatas em caso de atividades incomuns. Para obter mais informações sobre o CloudTrail e sobre as outras ferramentas de segurança disponibilizadas aos clientes pela AWS para ajudar a cumprir suas obrigações de controladores de dados nos termos do GDPR, acesse: https://aws.amazon.com/security/.  

  • Como a AWS me ajuda a proteger meus dados contra ataques cibernéticos?

    A AWS oferece aos clientes e parceiros do APN várias ferramentas para proteger dados e ajudar a proteger contra ataques cibernéticos. Uma dessas ferramentas é o AWS Shield. O AWS Shield é um serviço gerenciado de proteção contra ataques distribuídos de negação de serviço (DDoS) que mantém a segurança de sites e aplicativos executados na AWS. O AWS Shield Standard é disponibilizado gratuitamente e oferece detecção sempre ativa e mitigações em linha automáticas que podem minimizar o tempo de inatividade e a latência dos aplicativos. Para obter níveis mais altos de proteção contra ataques direcionados a aplicativos web executados na AWS que usam recursos dos serviços ELB, Amazon CloudFront e Amazon Route 53, os clientes e os parceiros do APN podem assinar o AWS Shield Advanced. A AWS também publica e atualiza frequentemente o documento "Melhores práticas da AWS para resiliência contra DDoS" que ajuda clientes a usar a AWS para criar aplicativos que resistem a ataques de DDoS.

    Entre as outras ferramentas que a AWS dispõe para ajudar a proteger contra ataques cibernéticos, estão:

    • O AWS Identity and Access Management (IAM) permite que as organizações gerenciem com segurança o acesso aos serviços e recursos da AWS. Usando o IAM, os clientes e parceiros do APN podem criar e gerenciar usuários e grupos da AWS, e usar permissões para conceder e negar acesso aos recursos da AWS. O IAM é um recurso gratuito das contas da AWS.
    • O AWS Config permite que clientes e parceiros do APN habilitem regras pré-definidas que ajudam a garantir que os recursos da AWS estão devidamente configurados e em conformidade.
    • O AWS CloudTrail permite que as organizações registrem monitorem continuamente e retenham informações sobre atividade da conta relacionada a ações na AWS, o que simplifica a análise de segurança, o rastreamento de alteração de recursos e a resolução de problemas (por padrão, o AWS CloudTrail é habilitado para todas as contas da AWS).
    • O Amazon GuardDuty é um serviço gerenciado de detecção de ameaças que monitora continuamente comportamentos mal-intencionados ou não autorizados para ajudar a proteger contas e cargas de trabalho da AWS. O serviço monitora atividades que podem indicar um possível comprometimento de uma conta, como chamadas de API incomuns ou implantações potencialmente não autorizadas. O GuardDuty também detecta instâncias possivelmente comprometidas ou atividades de reconhecimento por invasores.
  • Quais ferramentas estão disponíveis para ajudar a encontrar dados pessoais em meu conteúdo na AWS?

    O Amazon Macie é um serviço de segurança e privacidade de dados totalmente gerenciado que usa machine learning e correspondência de padrões para descobrir e proteger seus dados confidenciais na AWS. À medida que as organizações gerenciam volumes crescentes de dados, identificar e proteger seus dados confidenciais em escala pode se tornar cada vez mais complexo, caro e demorado. O Macie automatiza a descoberta de dados confidenciais em escala e reduz o custo da proteção de seus dados. O Macie fornece automaticamente um inventário de buckets do Amazon S3, incluindo uma lista de buckets não criptografados, buckets acessíveis ao público e buckets compartilhados com as contas da AWS fora as definidas por você no AWS Organizations. Em seguida, o Macie aplica técnicas de machine learning e de correspondência de padrões aos buckets selecionados para identificar e alertar sobre dados pessoais.

    O Macie é certificado por padrões reconhecidos internacionalmente, como ISO 27017 para segurança na nuvem e ISO 27018 para privacidade na nuvem. Além disso, os clientes e parceiros do APN podem usar o Macie para monitorar continuamente o acesso a seus dados para detectar atividade suspeita com base em padrões de acesso.

  • Como posso controlar o acesso a dados pessoais dentro do meu conteúdo na AWS?

    Para ajudar os clientes e parceiros do APN a ter conformidade com o GDPR, a AWS tem diversas ferramentas para controlar o acesso a dados pessoais em seu conteúdo na AWS. Essas ferramentas incluem:

    • Segurança por padrão significa que os serviços da AWS são projetados para serem seguros por padrão. Se a configuração padrão for usada, o acesso aos recursos será limitado apenas ao proprietário da conta e ao administrador root.
    • O AWS Identity and Access Management (IAM) permite que clientes e parceiros do APN gerenciem com segurança o acesso aos serviços e recursos da AWS. Usando o IAM, as organizações podem criar e gerenciar usuários e grupos da AWS, e usar permissões para conceder e negar acesso aos recursos da AWS. O IAM é um recurso gratuito das contas da AWS.
    • O AWS Multi-Factor Authentication adiciona uma camada extra de proteção ao nome do usuário e à senha da conta da AWS. A AWS oferece aos clientes a opção de dispositivos MFA virtuais e de hardware.
    • O AWS Directory Service permite que clientes e parceiros do APN usem a integração e a federação a diretórios corporativos para reduzir a sobrecarga administrativa e aprimorar a experiência do usuário final.
    • O AWS Config permite que clientes e parceiros do APN habilitem regras pré-definidas que ajudam a garantir que os recursos da AWS estão devidamente configurados e em conformidade.
    • O AWS CloudTrail permite que clientes e parceiros do APN registrem, monitorem continuamente e retenham informações sobre atividade da conta relacionada a ações em toda a sua infraestrutura da AWS, o que simplifica as análises de segurança, o rastreamento de alteração de recursos e a solução de problemas.
    • O Amazon Macie usa o Machine Learning para ajudar os clientes a evitar a perda de dados por meio da automação da descoberta, da classificação e da proteção de dados confidenciais na AWS. Esse serviço gerenciado monitora continuamente as atividades de acesso a dados para detectar anomalias e gera alertas detalhados quando identifica riscos de acesso não autorizado ou vazamentos de dados acidentais, como dados confidenciais disponibilizados acidentalmente por um cliente para acesso externo.
  • Como posso criptografar dados pessoais mantidos na AWS para evitar acessos não autorizados?

    A AWS oferece aos clientes e aos parceiros do APN a capacidade de adicionar uma camada extra de segurança aos dados ociosos na nuvem para ajudá-los a cumprir suas obrigações de segurança de processamento como controladores de dados nos termos do GDPR. As ferramentas de criptografia disponíveis na AWS incluem:

    • Recursos de criptografia de dados disponíveis nos serviços de armazenamento e banco de dados da AWS, como o Amazon Elastic Block Store, o Amazon S3, o Amazon Glacier, o Amazon DynamoDB, o Oracle RDS, o SQL Server RDS e o Redshift
    • Opções flexíveis de gerenciamento de chaves, como o AWS Key Management Service, que permitem optar entre o gerenciamento das chaves de criptografia pela AWS ou o controle completo sobre suas chaves
    • Filas de mensagens criptografadas para transmissão de dados confidenciais usando criptografia do lado do servidor (SSE) para o Amazon SQS
    • Armazenamento de chaves criptográficas baseadas em hardware usando o AWS CloudHSM, que permite que os clientes cumpram requisitos de conformidade
     
    Além disso, a AWS disponibiliza aos clientes e parceiros do APN APIs para integrar criptografia e proteção de dados a qualquer serviço que desenvolvam ou implantem em um ambiente da AWS.
compliance-contactus-icon
Dúvidas? Entre em contato com um representante comercial da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »