Privacidade dos dados no México
Visão geral
A Lei federal de proteção de dados pessoais retidos por partes privadas (LFPDPPP) foi publicada em julho de 2010 e regula o processamento de dados pessoais (definidos como quaisquer informações relativas a uma pessoa física identificada ou identificável) realizado por pessoas físicas ou jurídicas do setor privado. Posteriormente, o Congresso da União aprovou várias regulamentações que regulam a privacidade dos dados, entre as quais estão a Lei geral de proteção de dados pessoais retidos por partes obrigadas (LGPDPPSO), que regula o processamento de dados pessoais por parte do setor público. O Instituto nacional de transparência, acesso a informações e proteção de dados pessoais (INAI) é o órgão constitucional autônomo do México encarregado de garantir a conformidade com as leis e suas regulamentações.
No caso do setor privado, o artigo 52 da regulamentação LFPDPPP afirma que os controladores de dados pessoais podem usar serviços, aplicações e infraestrutura na nuvem, desde que o provedor de nuvem cumpra certos requisitos relacionados, entre outras coisas, à proteção da privacidade dos dados pessoais. Para o setor público, essa mesma autorização encontra-se no artigo 63 da LGPDPPSO.
A AWS se preocupa com a sua privacidade e com a segurança dos seus dados. Na AWS, a segurança começa com a nossa infraestrutura principal. Projetada especificamente para a nuvem e para atender aos requisitos de segurança mais rigorosos do mundo, nossa infraestrutura é monitorada 24 horas por dia e 7 dias por semana, para garantir a confidencialidade, a integridade e a disponibilidade dos dados dos nossos clientes. Os mesmos especialistas em segurança de renome mundial que supervisionam essa infraestrutura também criam e mantêm nossa ampla seleção de serviços de segurança inovadores, que podem ajudar você a atender às suas próprias demandas regulatórias e de segurança. Como cliente da AWS, independentemente do seu tamanho ou da sua localização, você tem todos os benefícios da nossa experiência, que é medida e comparada com os mais rigorosos programas de segurança de terceiros.
A AWS implementa e mantém medidas de segurança técnicas e organizacionais aplicáveis aos serviços de infraestrutura da Nuvem AWS sob certificações de segurança e frameworks regulatórias globalmente reconhecidas, incluindo, entre outras, ISO 27001, ISO 27017, ISO 27018, PCI DSS Nível 1 e SOC 1, 2 e 3. Essas medidas de segurança técnicas e organizacionais são validadas por avaliadores externos independentes e foram projetadas para impedir o acesso não autorizado ao conteúdo dos clientes ou a divulgação não autorizada desse conteúdo.
Por exemplo, o ISO 27018 é o primeiro código de práticas internacional que enfatiza a proteção dos dados pessoais na nuvem. Ele se baseia no padrão de segurança das informações ISO 27002 e fornece diretrizes de aplicação sobre os controles do ISO 27002 aplicáveis a informações de identificação pessoal (PII) processadas por provedores de serviços de nuvem pública. Isso demonstra aos clientes que a AWS tem um sistema de controles voltado especificamente para proteger a privacidade de seu conteúdo.
As medidas técnicas e organizacionais da AWS são consistentes com os requisitos da LFPDPPP e da LGPDPPSO para proteger dados pessoais. Os clientes que usam os serviços da AWS mantêm controle sobre seu conteúdo e são responsáveis por implementar medidas de segurança adicionais com base em suas necessidades específicas, incluindo classificação, criptografia, gerenciamento de acesso e credenciais de segurança para o seu conteúdo.
Como a AWS não tem visibilidade do tipo de conteúdo que os clientes optam por armazenar na AWS, incluindo se esse conteúdo é ou não considerado sujeito à LFPDPPP e à LGPDPPSO, os clientes são em última análise os responsáveis por sua própria conformidade. O conteúdo desta página complementa recursos existentes de privacidade de dados para ajudar você a alinhar seus requisitos com o Modelo de Responsabilidade Compartilhada da AWS durante o processamento de dados pessoais em datacenters internacionais.
Perguntas frequentes
-
Posso usar os serviços da AWS e, ao mesmo tempo, estar em conformidade com a LFPDPPP e a LGPDPPSO?
Sim. Todos os serviços da AWS podem ser usados de acordo com a LFPDPPP e a LGPDPPSO para armazenar dados pessoais mexicanos, incluindo questões relacionadas à exclusão de dados. Isso significa que, além de se beneficiarem de todas as medidas já tomadas pela AWS para manter a segurança dos serviços, os clientes podem implementar esses serviços da AWS como um componente chave de seus planos de acordo com a LFPDPPP e a LGPDPPSO.
-
Qual é o papel do cliente na proteção de seu próprio conteúdo?
De acordo com o Modelo de Responsabilidade Compartilhada da AWS, os clientes da AWS permanecem no controle das medidas de segurança que escolhem implementar para proteger seu conteúdo, plataforma, aplicações, sistemas e redes, assim como fariam com aplicações localizadas em um datacenter em suas próprias instalações (datacenter on-premises). Os clientes podem contar com as proteções e os controles técnicos e organizacionais fornecidos pela AWS para gerenciar seus próprios requisitos de conformidade. Os clientes podem usar medidas de segurança comuns para proteger seus dados, como criptografia e autenticação multifator, além dos recursos de segurança da AWS, como o AWS Identity and Access Management.
Ao avaliar a segurança de uma solução em nuvem, é importante que os clientes entendam e façam a distinção entre:
- Medidas de segurança implementadas e operadas pela AWS: a “segurança da nuvem AWS”; e
- Medidas de segurança implementadas e operadas pelos clientes relacionadas à segurança do conteúdo e das aplicações do cliente usando os serviços da AWS: a “segurança do cliente na nuvem”
-
Quem pode acessar o conteúdo do cliente?
Os clientes mantêm a propriedade e o controle de seu conteúdo e selecionam com quais serviços da AWS eles processam, armazenam e recebem seu conteúdo. A AWS não tem visibilidade do conteúdo do cliente e não usa ou acessa esse conteúdo, exceto para prestar os serviços da AWS que o cliente selecionou ou conforme necessário para cumprir a lei ou uma ordem legal vinculativa.
Os clientes que usam serviços da AWS mantêm o controle sobre seu conteúdo no ambiente da AWS. Os clientes podem:
- Determinar onde o conteúdo será armazenado, como o tipo de ambiente de armazenamento e a localização geográfica do armazenamento.
- Controlar o formato do conteúdo, como texto sem formatação, mascarado, anônimo ou criptografado, usando a criptografia fornecida pela AWS ou um mecanismo de criptografia de terceiros de sua própria escolha.
- Gerenciar controles de acesso, como gerenciamento de identidade e acesso e credenciais de segurança.
- Controlar se o TLS, uma nuvem privada virtual e outras medidas de segurança de rede serão usadas para impedir o acesso não autorizado.
Isso permite que os clientes da AWS controlem todo o ciclo de vida de seu conteúdo na AWS e o gerenciem de acordo com suas necessidades específicas, incluindo classificação de conteúdo, controle de acesso, retenção e exclusão.
-
Onde o conteúdo do cliente será armazenado?
A Infraestrutura global da AWS oferece a flexibilidade de escolher como e onde você deseja executar suas workloads. Ao fazer isso, você usa a mesma rede, ambiente de gerenciamento, APIs e serviços da AWS. Se você deseja executar suas aplicações em todo o mundo, pode escolher entre qualquer uma das regiões da AWS e zonas de disponibilidade. Como cliente, você pode escolher as regiões da AWS nas quais seu conteúdo será armazenado, o que permite implementar serviços da AWS em um local de sua escolha com base em requisitos geográficos específicos. Por exemplo, se um cliente da AWS na Austrália deseja armazenar seus dados apenas naquele país, ele pode optar por implementar seus serviços da AWS exclusivamente na região da AWS Ásia-Pacífico (Sydney). Se quiser ler sobre outras opções flexíveis de armazenamento, consulte a página da Web de regiões da AWS.
Você pode fazer a replicação e o backup do conteúdo dos seus clientes em mais de uma região da AWS. Não transferiremos nem replicaremos seu conteúdo fora das regiões da AWS escolhidas sem o seu consentimento, exceto quando necessário para cumprir a lei ou uma ordem vinculativa de uma agência governamental. No entanto, observe que nem todos os serviços da AWS podem estar disponíveis em todas as regiões da AWS. Para obter mais informações sobre os serviços disponíveis nas diferentes regiões da AWS, consulte a página da Web Serviços regionais da AWS.
Os datacenters da AWS estão localizados em grupos em diversos países do mundo. Cada um dos nossos grupos de datacenters é chamado de “região”.
Os clientes da AWS escolhem as regiões da AWS em que seu conteúdo será armazenado. Dessa forma, clientes com requisitos geográficos específicos podem estabelecer ambientes nos locais de sua escolha.
Os clientes podem fazer replicação e backup do conteúdo em mais de uma região, mas a AWS não move esse conteúdo para fora das regiões selecionadas pelos clientes, exceto para prestar os serviços por eles solicitados ou para cumprir a lei. -
Como a AWS protege seus datacenters?
A abordagem da AWS à segurança dos datacenters é baseada em controles de segurança escaláveis e em vários níveis de proteção para ajudar a proteger as informações dos clientes. Por exemplo, a AWS gerencia cuidadosamente os riscos potenciais de inundações e terremotos. Usamos barreiras físicas, proteções de segurança, tecnologias de detecção de ameaças e um processo de revisão completo para limitar o acesso aos datacenters. Fazemos backup de nossos sistemas, testamos frequentemente equipamentos e processos e treinamos continuamente os funcionários da AWS para que eles estejam preparados para o inesperado.
Para validar a segurança dos nossos datacenters, auditores externos realizam testes em mais de 2.600 padrões e requisitos ao longo do ano. Com esta revisão independente, garantimos que os padrões de segurança sejam consistentemente atendidos ou até mesmo excedidos. Como resultado, as organizações mais regulamentadas do mundo confiam na AWS para proteger seus dados.
Faça um tour virtual para saber mais sobre como protegemos os datacenters da AWS estruturalmente » -
Qual região da AWS posso usar?
Os clientes podem optar por usar qualquer região, todas as regiões ou uma combinação de regiões, incluindo as regiões do Brasil e dos Estados Unidos da América. Acesse a página de Infraestrutura global da AWS para obter uma lista completa das regiões da AWS.