Конфиденциальность данных в Канаде

Обзор

Клиенты AWS имеют возможность проектировать среду AWS и использовать сервисы AWS в соответствии с требованиями канадского федерального, провинциального и территориального законодательства о конфиденциальности.

Клиенты всегда сохраняют полный контроль над своим контентом на AWS. AWS не знает, какого рода информацию клиенты загружают в свои сервисы, и не имеет возможности определить, подпадают ли эти данные под действие канадских законов о конфиденциальности, поэтому за соблюдение действующего законодательства несут ответственность сами клиенты.

Кроме того, AWS предлагает Приложение по обработке данных (AWS DPA), также называемое соглашением о передаче данных, которое применяется во всем мире и включает в себя конкретные договорные обязательства для адекватного решения вопросов, касающихся роли и обязательств каждой стороны относительно конфиденциальности и безопасности персональных данных.

В Канаде действует несколько законов, касающихся защиты персональной информации. Исполнение этих законов осуществляется различными правительственными организациями и органами на федеральном, провинциальном и территориальном уровнях.

На федеральном уровне сбор, использование и раскрытие личной информации в частных организациях регулируется Актом о защите персональной информации и электронных документах (PIPEDA), а в государственных – Законом о конфиденциальности. Управление комиссара по вопросам конфиденциальности Канады (OPC) следит за применением обоих законов.

Кроме того, канадские провинции и территории приняли собственные законы о конфиденциальности для государственных и частных организаций, а также специальные законы о защите определенных типов персональных данных, таких как персональная медицинская информация. На веб-сайте OPC представлен обзор этих провинциальных и территориальных законов и органов власти.

Клиентам, которые хотят обрабатывать свои данные в Канаде, доступны такие регионы AWS: Канада (Центральная) рядом с Монреалем и Канада (Западная) возле Калгари. Полный список регионов и сервисов AWS см. на странице глобальной инфраструктуры.

Вопросы и ответы

  • Применимые требования закона PIPEDA, Закона о конфиденциальности и любого другого закона Канады о защите конфиденциальности могут отличаться в зависимости от типа деятельности и сценария использования конкретного клиента AWS. Клиентам следует проконсультироваться со своими юристами по вопросам применимости законов о конфиденциальности.

  • Клиенты, подпадающие под действие канадского законодательства о конфиденциальности, обязаны соблюдать требования, касающиеся сбора, использования, раскрытия, защиты персональной информации и доступа к ней. AWS обеспечивает клиентам возможность управлять хранением или обработкой контента при использовании сервисов AWS, в том числе с помощью систем защиты контента и ограничения доступа к нему. AWS предоставляет сервисы, которые клиенты могут настроить и использовать для защиты любой персональной информации, хранящейся на AWS. Ответственность за создание решений, которые соответствуют требованиям применимых законов о конфиденциальности, лежит на клиентах.

    На странице ресурсов AWS по соответствию требованиям AWS предоставляет руководства, технические описания и рекомендации. Кроме того, по запросу клиенты могут получить в AWS Artifact доступ к отчетам независимых аудиторов.

  • Клиентам следует проконсультироваться со своими юристами, чтобы определить, какие канадские законы о конфиденциальности или другие обязательства могут применяться к их организации и сценарию использования.

  • Организации, подпадающие под действие канадского законодательства о конфиденциальности, обязаны принимать меры по защите персональных данных. Каждый клиент должен самостоятельно определить, следует ли ему применять шифрование для соблюдения своих обязательств по защите указанных данных.

    AWS рекомендует всегда шифровать данные в движении и в местах хранения. Дополнительные сведения см. на странице Шифрование данных в движении и в местах хранения.

  • При оценке безопасности облачного решения клиенты должны понимать и различать следующие понятия:

    • меры безопасности, реализуемые и поддерживаемые AWS, – «безопасность облака»;
    • меры безопасности, реализуемые и поддерживаемые клиентом и относящиеся к безопасности клиентского контента и приложений, использующих сервисы AWS, – «безопасность в облаке».

    По аналогии с обеспечением безопасности приложений в локальном центре обработки данных, в соответствии с Моделью общей ответственности, клиенты AWS самостоятельно определяют, какой уровень безопасности необходимо реализовать для защиты собственного контента, платформы, приложений, систем и сетей в облаке. Клиентам доступны привычные средства защиты, такие как шифрование и многофакторная аутентификация, а также сервисы и функции AWS для обеспечения безопасности, такие как Управление идентификацией и доступом AWS (IAM). С их помощью они могут защищать свои данные и выполнять необходимые требования.

  • Клиенты сохраняют право собственности на свой контент и право управления им и сами выбирают, какие сервисы AWS могут обрабатывать, хранить и размещать его. AWS не имеет доступа к контенту клиентов и не использует его, за исключением случаев, когда это необходимо для обслуживания или предоставления выбранных клиентом сервисов AWS, а также для соблюдения законодательства или выполнения обязывающего предписания государственного органа, как указано в Клиентском соглашении AWS.

    Клиенты, использующие сервисы AWS, полностью контролируют свой контент в среде AWS. Они могут выполнять следующие действия:

    • определять, где будет располагаться их контент, например выбирать тип среды хранения и географическое расположение хранилища;
    • задавать формат хранения своего контента, например в виде обычного текста, с использованием масок, анонимно или в зашифрованном виде с помощью механизма шифрования, предоставляемого AWS или сторонним поставщиком по выбору клиента;
    • использовать средства управления доступом, такие как Управление идентификацией и доступом AWS (IAM);
    • контролировать использование шифрования, функций виртуального частного облака Amazon (VPC) и других мер безопасности сети и данных для защиты от несанкционированного доступа.

    Это позволяет клиентам AWS контролировать полный жизненный цикл своего контента на AWS и управлять контентом, исходя из собственных потребностей, включая его классификацию, управление доступом, хранение и удаление.

  • Глобальная инфраструктура AWS позволяет гибко выбирать, как и где выполнять рабочие нагрузки. Клиенты выбирают регионы AWS, в которых будет храниться их контент, что позволяет развертывать сервисы AWS в различных местоположениях в соответствии с конкретными требованиями. Если вы хотите рассмотреть наши гибкие варианты хранилищ, перейдите на страницу Регионы AWS.

    Клиенты могут реплицировать контент между регионами AWS и создавать резервные копии в нескольких регионах. Мы не будем перемещать контент за пределы выбранных клиентом регионов AWS без согласия клиента, за исключением отдельных случаев, когда это требуется законодательством или обязывающим предписанием государственного органа. Однако стоит отметить, что некоторые сервисы AWS могут быть недоступны в отдельных регионах. Подробнее о доступности сервисов в отдельных регионах AWS см. на странице Региональные сервисы AWS.

  • AWS спроектирована как самая безопасная глобальная облачная инфраструктура для разработки, миграции приложений и рабочих нагрузок, а также управления ими. Наша базовая инфраструктура состоит из аппаратного обеспечения, программного обеспечения, сетей и объектов, обеспечивающих работу сервисов AWS. Все это предоставляет продвинутые инструменты управления, в том числе инструменты настройки безопасности для обработки персональных данных клиентов.

    AWS предоставляет ряд отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов безопасности, в том числе требованиям SOC 2 Type 2, ISO 27001, ISO 27017 и ISO 27018. В Канаде сервисы AWS также оцениваются Канадским центром кибербезопасности.

    С целью эффективного и открытого информирования об этих мерах мы предоставляем доступ к отчетам сторонних аудиторов в AWS Artifact. В этих отчетах для клиентов указывается, как мы защищаем базовую инфраструктуру, на основе которой выполняется хранение и обработка персональных данных. Дополнительную информацию см. в разделе ресурсов по соответствию требованиям.

  • Стратегия безопасности центров обработки данных AWS состоит из масштабируемых элементов управления безопасностью и нескольких уровней защиты, которые помогают обеспечить безопасность информации клиентов. Например, AWS тщательно управляет потенциальными рисками наводнений и сейсмической активности. Для ограничения доступа к центрам обработки данных мы используем физические препятствия, службу охраны, технологию обнаружения угроз и процедуру углубленной проверки. Мы выполняем резервное копирование наших систем, регулярно тестируем оборудование и процессы, а также постоянно обучаем сотрудников AWS, чтобы они были готовы к нештатным ситуациям.

    Для проверки безопасности наших центров обработки данных внешние аудиторы проводят в них тестирование на соответствие более чем 2600 стандартам и требованиям в течение всего года. Эта независимая экспертиза гарантирует постоянное соблюдение или превышение стандартов безопасности. В результате даже организации с самыми строгими в мире требованиями доверяют AWS защиту своих данных.

    Подробнее о том, как мы защищаем центры обработки данных AWS, см. в виртуальной демонстрации.

Ресурсы по конфиденциальности данных в Канаде

 Краткое изложение законов о конфиденциальности в Канаде от OPC
 Приложение по обработке данных AWS
 Использование AWS в контексте стандартных требований к конфиденциальности и защите данных
 Вопросы и ответы по конфиденциальности данных на AWS