A Regulamentação Geral de Proteção de Dados (GDPR) da União Europeia protege o direito fundamental dos assuntos dos dados da União Europeia à privacidade e à proteção de dados pessoais. Ela apresenta requisitos robustos que elevarão e padronizarão aos padrões de proteção, segurança e conformidade dos dados.

Os serviços da AWS estarão em conformidade com a GDPR quando ela entrar em vigor em 25 de maio de 2018.

Além da nossa própria conformidade, a AWS está comprometida em oferecer serviços e recursos a seus clientes a fim de ajudá-los a também estarem em conformidade com os requisitos da GDPR que se apliquem às suas atividades. Novos recursos são lançados regularmente. A AWS disponibiliza mais de 500 recursos e serviços com foco na segurança e conformidade.

A AWS fornece recursos e serviços específicos que os clientes podem aproveitar ao tentar cumprir com as normas da GDPR.

HA_DynamoDB-DAX_HERO-ART

Controle de acesso: permita o acesso apenas de administradores, usuários e aplicativos autorizados 

  • Multi-Factor Authentication (MFA)
  • Acesso granular a objetos no Amazon S3, Amazon SQS e Amazon SNS
  • Autenticação de solicitação de APIs
  • Restrições geográficas
  • Acesso temporário a tokens por meio do AWS Security Token Service
Saiba mais »
HA_EFS-Data-Encryption_hero-art

Monitoramento e registro em log: obtenha uma visão geral sobre as atividades nos seus recursos da AWS

  • Gerenciamento e configuração de ativos com o AWS Config
  • Auditoria e análise de segurança com o AWS CloudTrail
  • Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow Logs
  • Verificações e ações de configuração baseada em regras com o AWS Config Rules
  • Filtragem e monitoramento de acesso HTTP a aplicativos com funções do AWS WAF no AWS CloudFront
GC_Storage_HERO-ART

Criptografia: criptografe dados na AWS

  • Criptografia dos seus dados em repouso com o AES256 (EBS/S3/Glacier/RDS)
  • Gerenciamento centralizado de chaves (por região da AWS)
  • Túneis IPsec na AWS com gateways de VPN
  • Módulos HSM dedicados na nuvem com o AWS CloudHSM
Saiba mais »

Privacidade de dados

Os clientes controlam o conteúdo do cliente. Com a AWS, os clientes:

  • Determinam onde seu conteúdo será armazenado, incluindo o tipo de armazenamento e a região geográfica desse armazenamento.
  • Escolhem o estado protegido de seu conteúdo. Oferecemos a nossos clientes criptografia forte para seu conteúdo em trânsito ou ocioso, bem como a opção de gerenciar suas próprias chaves de criptografia.
  • Gerenciam o acesso ao seu conteúdo e aos serviços e recursos da AWS por meio de usuários, grupos, permissões e credenciais controlados pelo cliente.
Saiba mais »

Security by Design

A abordagem SbD tem a intenção de obter o seguinte:

  • Criação de funções obrigatórias que não podem ser ignoradas pelos usuários que não têm permissão para alterar essas funções.
  • Estabelecimento de operações de controles confiáveis.
  • Ativação de auditoria contínua e em tempo real.
  • Criação de roteiros técnicos da sua política de governança.
Saiba mais »

Proteção de dados da UE

O GDPR é a maior alteração nas leis de proteção de dados na Europa desde a introdução da Diretiva de proteção de dados da UE em 1995. O GDPR visa intensificar a segurança e a proteção de dados pessoais na UE, bem como unificar a lei de proteção de dados da UE. O GDPR substituirá a Diretiva de proteção de dados da UE e todas as leis locais relacionadas a ela.

Saiba mais »

Certificações, programas, relatórios e declarações da AWS

O alinhamento da AWS com a norma ISO 27018 foi validado por um avaliador terceirizado independente. A norma ISO 27018 é o primeiro código de práticas internacional que enfatiza a proteção de dados pessoais na nuvem. Essa norma é baseada na norma de segurança de informações ISO 27002 e oferece orientação para a implementação dos controles dessa norma aplicáveis a informações de identificação pessoal (PII) processadas por provedores de serviços de nuvem pública. Isso mostra aos clientes que a AWS tem um sistema de controles em vigor que corrobora o comprometimento da AWS com a privacidade e proteção do conteúdo do cliente.

Saiba mais »

O GDPR é uma nova lei de privacidade europeia que se tornará obrigatória no dia 25 de maio de 2018. O GDPR substituirá a Diretiva de proteção de dados da UE, também conhecida como Diretiva 95/46/EC, e destina-se a unificar as leis de proteção de dados em toda a União Europeia ao aplicar uma única lei de proteção de dados vinculativa em cada um dos estados membro.

 

O GDPR se aplica a todas as empresas em operação na UE que estiverem processando "dados pessoais" dos residentes da UE. Os dados pessoais são qualquer informação relacionada a uma pessoa física identificada ou identificável.

O GDPR substituirá a Diretiva de proteção de dados (Diretiva 95/46/CE do Parlamento Europeu e do Conselho). A partir do dia 25 de maio de 2018, a Diretiva de proteção de dados e as leis relacionadas a ela não serão mais aplicáveis.

Os departamentos de conformidade e proteção de dados, bem como os especialistas em segurança da AWS têm trabalhado com clientes em todo o mundo para responder suas perguntas e ajudá-los a se preparar para cargas de trabalho em execução na Nuvem AWS depois que o GDPR se tornar obrigatório. Essas equipes também têm revisado tudo o que a AWS já faz para garantir que ela cumpra os requisitos do novo GDPR. Podemos confirmar que todos os Serviços da AWS cumprirão o GDPR quando ele se tornar obrigatório, em maio de 2018.

Além disso, temos um novo DPA do GDPR que atenderá aos requisitos do GDPR. Esse DPA do GDPR já está disponível para todos os clientes da AWS para ajudá-los a se preparar para maio de 2018. Para obter informações adicionais sobre o DPA do GDPR, ou obter uma cópia dele, entre em contato com o gerente de contas da AWS.

Recentemente, a AWS também anunciou a conformidade com o Código de conduta da CISPE. O Código de conduta da Cispe ajuda clientes de nuvem a avaliar de que maneira seus fornecedores de infraestrutura de nuvem cumprem suas obrigações de proteção de dados de acordo com o GDPR. A AWS declarou que o Amazon Elastic Compute Cloud (Amazon EC2), o Amazon Simple Storage Service (Amazon S3), o Amazon Relational Database Service (Amazon RDS), o AWS Identity and Access Management (IAM), o AWS CloudTrail e o Amazon Elastic Block Storage (Amazon EBS) estão em total conformidade com o Código da CISPE. Isso proporciona aos clientes garantias adicionais sobre a capacidade de controlar totalmente seus dados em um ambiente seguro, protegido e em conformidade quando eles usarem a AWS. Mais detalhes sobre a conformidade da AWS com o Código de conduta da CISPE poderão ser encontrados no website: https://cispe.cloud/

A AWS mantém continuamente um patamar elevado de segurança e conformidade em todas as suas operações globais. A segurança sempre foi nossa maior e mais importante prioridade. Nossa segurança líder no setor disponibiliza a base para uma longa lista de certificações e credenciamentos reconhecidos internacionalmente, o que demonstra conformidade com padrões internacionais rigorosos, como ISO 27017 para segurança de nuvem, ISO 27018 para privacidade de nuvem, SOC 1, SOC 2 e SOC 3, PCI DSS Nível 1, entre outros. A AWS também ajuda os clientes a atenderem a padrões de segurança locais, como o Common Cloud Computing Controls Catalogue (C5) do BSI, que é importante na Alemanha.

A AWS anunciou o cumprimento do Código de conduta de proteção de dados da CISPE. A CISPE é uma coalisão de fornecedores de infraestrutura de nuvem (também conhecida como infraestrutura como serviço) que presta serviços de nuvem para clientes na Europa. O Código de conduta da CISPE ajuda os clientes de nuvem a garantir que seus provedores de infraestrutura de nuvem estejam usando os padrões de proteção de dados corretos para proteger seus dados em alinhamento com o GDPR. Alguns dos principais benefícios do Código incluem:

  • Delegação clara das responsabilidades relacionadas à proteção de dados: o Código de conduta explica o papel do provedor e do cliente de acordo com o GDPR, especificamente dentro do contexto de serviços de infraestrutura de nuvem.
  • O Código de conduta define a quais princípios os provedores devem aderir: ele destaca as ações e os compromissos que os provedores devem realizar/assumir para cumprir o GDPR e ajudar os clientes a cumpri-los também.
  • O Código de conduta disponibiliza aos clientes informações, relacionadas à proteção e à segurança de dados, necessárias para que eles possam tomar decisões sobre conformidade. Além disso, ele também exige que os provedores sejam transparentes sobre as etapas que estão realizando para cumprir seus compromissos de segurança. Essas etapas envolvem notificações com relação a violações de dados, exclusão de dados e subprocessamento de terceiros, como também a aplicação da lei e solicitações governamentais. Os clientes podem usar essas informações para obter um entendimento total dos altos níveis de segurança disponibilizados.

Um dos principais aspectos do GDPR é que ele cria uma uniformidade entre os estados membro da UE com relação a como os dados pessoais podem ser processados, usados e trocados com segurança. As empresas precisarão demonstrar a segurança dos dados que estão processando e a sua conformidade com o GDPR de modo contínuo ao implementar e revisar frequentemente medidas técnicas e organizacionais importantes, além de políticas de conformidade.

A AWS já está disponibilizando recursos e serviços específicos que ajudam os clientes a atender aos requisitos do GDPR:
 

Controle de acesso: permite que apenas aplicações, administradores e usuários autorizados acessem os recursos da AWS

  • Multi-Factor Authentication (MFA)
  • Acesso granular refinado a objetos nos buckets do Amazon S3/no Amazon SQS/no Amazon SNS e mais
  • Autenticação de solicitação de APIs
  • Restrições geográficas
  • Acesso temporário a tokens por meio do AWS Security Token Service

 

Monitoramento e registro em log: obtenha uma visão geral sobre as atividades nos seus recursos da AWS

  • Gerenciamento e configuração de ativos com o AWS Config
  • Auditoria de conformidade e análise de segurança com o AWS CloudTrail
  • Identificação de desafios de configuração por meio do AWS Trusted Advisor
  • Registro em log de acesso granular refinado a objetos do Amazon S3
  • Informações detalhadas sobre fluxos na rede por meio do Amazon VPC Flow Logs
  • Verificações e ações de configuração baseada em regras com o AWS Config Rules
  • Filtragem e monitoramento do acesso HTTP a aplicações com funções do WAF no AWS CloudFront

 

Criptografia: criptografe dados na AWS

  • Criptografia dos seus dados em repouso com o AES256 (EBS/S3/Glacier/RDS)
  • Gerenciamento centralizado de chaves (por região da AWS)
  • Túneis IPsec na AWS com gateways de VPN
  • Módulos HSM dedicados na nuvem com o AWS CloudHSM

 

Excelente estrutura de conformidade e padrões de segurança:

  • Certificado pelo ISO 27001/9001
  • Certificado pelo ISO 27017/27018
  • Cloud Computing Compliance Controls Catalog (C5 – Esquema de credenciamento baseado no governo alemão)
  • A AWS, junto com a auditoria TÜV TRUST IT, publicou um manual de certificação do cliente que oferece orientações sobre a obtenção da conformidade alemã BSI IT Grundschutz na nuvem

Embora ele só se torne obrigatório em maio de 2018, estamos incentivando os clientes e os parceiros a começarem a se preparar para o GDPR desde já. Para quem já tiver implementado um nível elevado de conformidade, segurança e privacidade de dados, a mudança para o GDPR será bem simples. Quem ainda não tiver começado a jornada para entrar em conformidade com o GDPR, recomendamos fortemente que comecem a revisar os processos de segurança, conformidade e proteção de dados agora para garantir uma transição sem problemas em maio de 2018. Aqui estão alguns dos pontos principais a considerar para a obtenção da conformidade com o GDPR:

Alcance territorial: determinar se um GDPR se aplica às atividades de uma empresa é essencial para garantir sua capacidade de atender a obrigações de conformidade. O GDPR se aplica a todas as empresas estabelecidas na UE. No entanto, dependendo das suas atividades, o GDPR também poderá se aplicar a você, caso esteja estabelecido fora da UE.

Direitos dos titulares de dados: o GDPR aprimora os direitos dos titulares de dados de várias maneiras. Por exemplo, os titulares de dados têm o direito de contestar o processamento de seus dados, bem como têm o direito à portabilidade deles. Será necessário garantir que você possa acomodar os direitos dos titulares de dados, caso esteja processando seus dados pessoais.

Notificações sobre violações de dados: se você for um controlador de dados, deverá reportar violações de dados às autoridades de proteção pertinentes sem nenhum atraso indevido. Ao usar a AWS, você tem controle sobre como deseja processar dados pessoais e também sobre como protegê-los. Isso dá a você a capacidade de monitorar seu próprio ambiente em busca de violações de privacidade e notificar agências reguladoras e indivíduos afetados, conforme as exigências do GDPR. Além disso, notificaremos você, sem nenhum atraso indevido, assim que tomarmos conhecimento de alguma violação dos nossos padrões de segurança relacionados à rede da AWS.

DPO (Data Protection Officer – Responsável pela proteção de dados): é possível que seja necessário indicar um DPO que deverá gerenciar a segurança dos dados e outros problemas relacionados ao processamento de dados pessoais.

DPIA (Data Protection Impact Assessment – Avaliação do impacto de proteção de dados): é possível que seja necessário conduzir um DPIA para suas atividades de processamento. Em alguns casos, será exigido registrá-lo com uma autoridade de fiscalização. Essa avaliação deverá identificar seus procedimentos e processos de administração de dados, bem como os controles atuais destinados a proteger dados pessoais.

DPA (Data Processing Agreement – Acordo de processamento de dados): é possível que seja necessário um DPA que atenda aos requisitos do GDPR, especialmente se os dados pessoais forem transferidos para fora do EEA. A AWS oferece aos clientes um DPA do GDPR que foi disponibilizado para ajudar os clientes a se preparar para maio de 2018.

A AWS oferece uma ampla variedade de serviços e recursos específicos de serviços que ajudam os clientes a atender a requisitos do GDPR, inclusive serviços para controles de acesso, monitoramento, registro em log e criptografia. Mais informações sobre eles podem ser encontradas na seção acima, "Quais serviços a AWS oferece aos clientes para ajudá-los a cumprir os requisitos do GDPR?".

Também temos equipes de conformidade, proteção de dados e especialistas em segurança, como também parceiros da Rede de parceiros da AWS, que trabalham com clientes em toda a Europa para responder suas perguntas e ajudá-los a se preparar para executar cargas de trabalho na nuvem depois que o GDPR tornar-se obrigatório. Para obter informações adicionais sobre isso, entre em contato com o gerente de contas da AWS.

Usando o IAM, você pode criar e gerenciar usuários e grupos da AWS e usar permissões para conceder e negar acesso a recursos da AWS.


How to Become an IAM Policy Ninja in 60 Minutes or Less

AWS Summit Tel Aviv 2017 Becoming an AWS Policy Ninja using AWS IAM and AWS Organizations


Melhores práticas do IAM a serem seguidas

iam

Crie e controle facilmente as chaves usadas para criptografar seus dados.

Soberania de dados

As chaves são armazenadas e usadas apenas na região em que são criadas. Elas não podem ser transferidas para outra região. Por exemplo, chaves criadas na região central da UE (Frankfurt) são apenas armazenadas e usadas dentro da região central da UE (Frankfurt).

Auditoria integrada

O AWS Key Management Service funciona com o AWS CloudTrail para fornecer logs de chamadas de API feitas para ou pelo KMS. Esses logs ajudam você a atender aos requisitos de conformidade e regulatórios fornecendo detalhes sobre quando as chaves foram acessadas e quem as acessou.

Conceitos básicos do KMS

AWS_KMS_video_intro

Obter o máximo do KMS

reinvent-img

Defina os padrões e as melhores práticas para seus aplicativos. Valide a adesão a esses padrões.

inspector thumbnail

Para ajudá-lo a começar a usar rapidamente, o Amazon Inspector inclui uma base de conhecimento com centenas de regras mapeadas para melhores práticas de segurança e definições de vulnerabilidade comuns. Os exemplos de regras integradas incluem a verificação da habilitação de login-raiz remoto ou da instalação de versões de software vulneráveis. Essas regras sempre são atualizadas pelos pesquisadores de segurança da AWS.

Saiba mais sobre o Amazon Inspector »

A Amazon Web Services oferecerá sessões dedicadas à conformidade com a GDPR no re:Invent 2017.

Sessões direcionadas à GDPR

reinvent-img