Конфиденциальность данных: вопросы и ответы

Для AWS нет ничего важнее доверия клиентов. AWS отслеживает изменения законодательства в сфере защиты неприкосновенности частной жизни и помогает клиентам подобрать оптимальные инструменты для обеспечения соответствия новым требованиям. Поддерживать доверие клиентов – наш неизменный приоритет. Мы информируем своих клиентов о политиках защиты конфиденциальности и безопасности данных, а также о применяемых методах и технологиях. Мы берем на себя следующие обязательства.

  • Доступ. Клиент берет управление контентом, загруженным в сервисы AWS в аккаунте AWS, полностью в свои руки и несет ответственность за настройку доступа к сервисам и ресурсам AWS. Для эффективного выполнения этой задачи мы предоставляем расширенный набор инструментов для управления доступом, шифрования и ведения журналов (например, AWS Identity and Access Management, AWS Organizations и AWS CloudTrail). Кроме того, мы предоставляем API для настройки управления разрешениями доступа к любым сервисам, которые клиенты разрабатывают или разворачивают в среде AWS. Мы не получаем доступ к контенту клиентов и не используем его для каких-либо целей без соответствующего согласия. Мы ни при каких обстоятельствах не используем контент клиентов или связанную с ним информацию для маркетинга и рекламы.
  • Хранилище. Клиенты выбирают, в каких регионах AWS будет храниться их контент. Вы можете реплицировать контент между регионами AWS и создавать резервные копии в нескольких регионах. Мы не будем перемещать или реплицировать контент за пределы выбранных клиентом регионов AWS без согласия клиента, за исключением случаев, когда это требуется законодательством или обязывающим предписанием государственного органа.
  • Безопасность. Клиенты выбирают способы защиты контента. Мы предлагаем ведущий в отрасли функции для защиты контента при передаче и хранении, а также предоставляем клиентам возможность использовать собственные ключи шифрования. Такие способы защиты данных включают нижеследующее.
  • Раскрытие контента клиентов. Мы ни при каких условиях не раскрываем контент клиентов, кроме случаев, когда это требуется законодательством или постановлением обязательного характера, выпущенным государственным органом. Если государственный орган направляет в AWS требование предоставить контент клиента, мы всегда предлагаем такому органу обратиться за этими данными непосредственно к клиенту. Если мы будем вынуждены раскрыть контент клиента государственному органу, клиенту направляется обоснованное уведомление об этом требовании, чтобы он мог подготовить охранный судебный приказ или другой инструмент правовой защиты, если AWS имеет на это законное право.
  • Гарантия безопасности. Опираясь на международные рекомендации по защите данных и конфиденциальности, мы разработали программу обеспечения безопасности, которая помогает клиентам безопасно работать в AWS и в полной мере использовать нашу среду управления безопасностью. Наши процессы обеспечения безопасности и управления ею были неоднократно проверены независимыми сторонними специалистами.
  • Как AWS классифицирует информацию клиентов?

    В AWS информация клиентов подразделяются на две категории: контент клиента и данные аккаунта.

    К контенту клиента относится программное обеспечение (включая образы машин), данные, текстовые, аудио- и видеофайлы, файлы изображений, которые клиент или любой конечный пользователь перемещает в нашу систему для обработки, хранения или размещения с помощью сервисов AWS в рамках аккаунта клиента, а также любые результаты вычислений, которые клиент или любой конечный пользователь получает в результате использования сервисов AWS. Например, контент клиента включает любую информацию, которую клиент или конечные пользователи хранят в Amazon Simple Storage Service (S3). Контент клиента не включает данные аккаунта. Они будут описаны ниже. К контенту клиента применяются условия Пользовательского соглашения AWS и Условия обслуживания AWS.

    Данные аккаунта – это информация о клиенте, которую он предоставляет для создания или администрирования своего аккаунта. Данные аккаунта включают, к примеру, личные имена, имена пользователей, телефонные номера, адреса электронной почты и информацию об оплате, связанные с аккаунтом клиента. К данным аккаунта применяются методы работы с информацией, описанные в Заявлении AWS о защите конфиденциальности.

  • Кому принадлежит контент клиента?

    Клиенты сохраняют право собственности на свой контент и выбирают, какие сервисы AWS могут обрабатывать, хранить и размещать контент. Мы не получаем доступ к контенту клиентов и не используем его для каких-либо целей без соответствующего согласия. Мы ни при каких обстоятельствах не используем контент клиентов или связанную с ним информацию в маркетинговых и рекламных целях.

  • Кто управляет контентом клиента?

    Клиенты полностью управляют собственным контентом.

    • Клиенты определяют, где будет храниться принадлежащий им контент, включая тип хранилища и его географический регион.

    • Клиенты выбирают уровень безопасности, применимый к контенту. Мы предлагаем клиентам передовые в отрасли средства шифрования контента при передаче и хранении, а также предоставляем возможность использовать собственные ключи шифрования.

    • Клиенты управляют доступом к своему контенту, а также доступом к сервисам и ресурсам AWS посредством управления пользователями, группами, разрешениями и данными для доступа.

  • Как вы используете информацию из моего аккаунта?

    Правила сбора и использования данных аккаунтов описаны в Заявлении AWS о защите конфиденциальности. Мы знаем, что нашим клиентам не все равно, как используются данные их аккаунтов, и очень ценим уверенность клиентов в том, что мы соблюдаем по отношению к этим данным все необходимые меры предосторожности.

  • Мы внимательно следим за обеспечением защиты данных своих клиентов. Мы ни при каких условиях не раскрываем контент клиентов, кроме случаев, в которых это требуется законодательством или постановлением обязательного характера, выпущенным государственным органом. Если государственный орган направляет в AWS требование предоставить контент клиента, мы всегда предлагаем такому органу обратиться за этими данными непосредственно к клиенту. Для того чтобы получить действительное постановление обязательного характера, государственные или регулирующие органы обязаны следовать применимому правовому процессу. Мы изучаем каждое такое постановление и отклоняем его, если оно является неправомерным или неуместным. Если мы будем вынуждены раскрыть контент клиента государственному органу, клиенту направляется обоснованное уведомление об этом требовании, чтобы он мог подготовить охранный судебный приказ или другой инструмент правовой защиты, если AWS имеет на это законное право. Важно отметить, что наши клиенты могут зашифровать свой контент и что мы предоставляем возможность использовать для этого собственные ключи шифрования.

    Мы знаем, что для наших клиентов важна прозрачность нашей деятельности, поэтому на странице Запросы к Amazon на предоставление информации мы регулярно публикуем отчет о типах и количестве получаемых запросов на предоставление информации.

  • Где хранится контент клиента?

    Независимо от выбора местоположения и методов развертывания решений, глобальная инфраструктура AWS предоставляет единую сеть, панель управления, API и сервисы AWS. Если вам необходимо обеспечить работу приложений во всем мире, вы можете выбрать нужные регионы AWS или зоны доступности. Клиенты выбирают регионы AWS, в которых будет храниться их контент, что позволяет развертывать сервисы AWS в различных местоположениях в соответствии с конкретными географическими требованиями. Например, если клиенту AWS из Австралии требуется хранить данные только в Австралии, он может выбрать для развертывания своих сервисов AWS исключительно регион Азия и Тихий океан (Сидней). Если вы хотите рассмотреть другие гибкие варианты хранилищ, перейдите на страницу Регионы AWS.

    Клиенты могут реплицировать контент между регионами AWS и создавать резервные копии в нескольких регионах. Мы не будем перемещать или реплицировать контент за пределы выбранных клиентом регионов AWS без согласия клиента, за исключением отдельных случаев, когда это требуется законодательством или обязывающим предписанием государственного органа. Однако стоит отметить, что некоторые сервисы AWS могут быть недоступны в отдельных регионах. Подробнее о доступности сервисов в отдельных регионах AWS см. на странице Региональные сервисы AWS.

  • Какова роль клиента в обеспечении безопасности контента?

    При оценке безопасности облачного решения клиентам необходимо понимать и различать следующие понятия: «безопасность облака» и «безопасность в облаке». Безопасность облака заключается в мерах безопасности, реализуемых и поддерживаемых AWS. За безопасность облака несем ответственность мы. Безопасность в облаке заключается в мерах безопасности, реализуемых и поддерживаемых клиентом при использовании сервисов AWS. Ответственность за безопасность в облаке несет клиент. Подробнее см. на странице Модель общей ответственности AWS.

  • Что делает AWS для защиты конфиденциальности клиента?

    Для AWS главным приоритетом является безопасность данных клиентов, поэтому мы применяем жесткие контрактные, технические и организационные меры для защиты конфиденциальности, целостности и обеспечения доступности данных независимо от выбранного клиентом региона AWS.

    AWS соответствует требованиям стандарта ISO 27018. Этот стандарт представляет собой свод правил, который направлен на обеспечение защиты личных данных в облаке. Это нормативный документ расширяет сферу действия стандарта по информационной безопасности ISO 27001 с целью обеспечения применения регуляторных требований к защите персональной информации (PII) или персональных данных в общедоступной облачной вычислительной среде, а также представляет руководство по внедрению на основе средств управления ISO 27002, применимых к PII, которые обрабатываются поставщиками общедоступных облачных услуг. Чтобы получить дополнительные сведения или ознакомиться с сертификатом AWS, подтверждающим соответствие требованиям ISO 27018, см. веб-страницу Соответствие требованиям ISO 27018.

    Кроме того, AWS публикует отчет SOC 2 типа 1 на основе принципа защиты конфиденциальности SOC 2, разработанного Американским институтом дипломированных общественных бухгалтеров (American Institute of CPAs, AICPA), в котором установлены критерии оценки средств управления, применимых к сбору, использованию, хранению, раскрытию и уничтожению конфиденциальных данных для выполнения задач организации. Отчет AWS SOC 2 типа 1 – это заключение сторонних аудиторов в отношении наших систем и соответствия структуры наших средств управления защитой конфиденциальности согласно нашему уведомлению о конфиденциальности. В отчете SOC описаны используемые нами способы обработки контента, который вы загружаете в AWS, а также средства обеспечения защиты такого контента во всех сервисах и местоположениях, которые входят в область применения последних отчетов AWS SOC. Отчет SOC 2 типа 1 можно скачать с помощью AWS Artifact в консоли управления AWS.

  • К кому обращаться с вопросами об AWS и защите данных?

    Если у клиентов остаются вопросы об AWS или защите данных, рекомендуем им обратиться к персональному менеджеру AWS. При наличии уровня поддержки Enterprise Support можно также обратиться за поддержкой к своему персональному техническому менеджеру (TAM). Менеджеры аккаунтов AWS и TAM вместе с архитекторами решений помогают клиентам обеспечивать соблюдение нормативных требований. AWS не в праве консультировать по правовым вопросам, поэтому рекомендуем клиентам обращаться с вопросами о защите данных к юристам.

    С вопросами о конфиденциальности обращайтесь к представителям поддержки уровня «Корпоративный», консультантам Professional Services и другим сотрудникам AWS. Свяжитесь с нами, если есть вопросы, по этой ссылке.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »