Вопросы и ответы по защите данных
Обязательства
Поддерживать доверие клиентов – наш неизменный приоритет. AWS отслеживает изменения законодательства в сфере защиты неприкосновенности частной жизни и помогает клиентам подобрать оптимальные инструменты для достижения их целей по соответствию нормативным требованиям. Мы информируем своих клиентов о политиках защиты конфиденциальности и безопасности данных, а также о применяемых методах и технологиях.
Мы берем на себя перечисленные ниже обязательства.
- Доступ. Клиент берет управление контентом, загруженным в сервисы AWS в аккаунте AWS, полностью в свои руки и несет ответственность за настройку доступа к сервисам и ресурсам AWS. Для эффективного выполнения этой задачи мы предоставляем расширенный набор функций для управления доступом, шифрования и ведения журналов (например, Управление идентификацией и доступом AWS, Организации AWS и AWS CloudTrail). Мы предоставляем API для настройки управления разрешениями доступа к любым сервисам, которые клиенты разрабатывают или разворачивают в среде AWS. Мы не получаем доступ к контенту клиентов и не используем его для каких-либо целей без соответствующего согласия. Мы ни при каких обстоятельствах не используем контент клиентов или связанную с ним информацию для маркетинга и рекламы.
- Хранилище. Клиенты выбирают, в каких регионах AWS будет храниться их контент. Вы можете реплицировать контент между регионами AWS и создавать резервные копии в нескольких регионах. Мы не будем перемещать или реплицировать контент клиентов за пределы выбранных ими регионов AWS без их согласия.
- Безопасность. Клиенты выбирают способы защиты контента. Мы предлагаем ведущие в отрасли функции для защиты контента при передаче и хранении, а также предоставляем клиентам возможность использовать собственные ключи шифрования. Эти функции защиты включают указанные ниже аспекты.
- Средства шифрования данных для более чем 100 сервисов AWS.
- Гибкие варианты управления ключами с помощью Сервиса управления ключами AWS (AWS KMS), которые позволяют клиентам выбирать способ управления ключами шифрования: передать это под контроль AWS или сохранить полный контроль над ключами.
- Программа обеспечения безопасности, в которой используются передовые методы обеспечения безопасности и защиты данных, чтобы гарантировать безопасность вашей работы в AWS и максимально эффективно использовать нашу среду контроля безопасности. Наши процессы обеспечения безопасности и управления ею были неоднократно проверены независимыми сторонними специалистами.
- Раскрытие контента клиентов. Мы ни при каких условиях не раскрываем контент клиентов (см. ниже «Как AWS классифицирует информацию клиентов?»), кроме случаев, когда это требуется законодательством или действительным постановлением обязательного характера, выпущенным государственным органом. Если государственный орган направляет в AWS требование предоставить контент вашего клиента, мы всегда предлагаем такому органу обратиться за этими данными непосредственно к вам. Если мы будем вынуждены раскрыть контент государственному органу, вам направится обоснованное уведомление об этом требовании, чтобы вы могли подготовить охранный судебный приказ или другой инструмент правовой защиты, если AWS имеет на это законное право.
Вопросы и ответы
К контенту клиента относится программное обеспечение (включая образы машин), данные, текстовые, аудио- и видеофайлы, файлы изображений, которые он или любой конечный пользователь перемещает в нашу систему для обработки, хранения либо размещения с помощью сервисов AWS в рамках аккаунта клиента, а также любые результаты вычислений, которые клиент или его конечный пользователь получает в результате использования сервисов AWS. Например, контент клиента включает информацию клиента, которую он или конечные пользователи хранят в Amazon Simple Storage Service (Amazon S3). Контент клиента не включает данные аккаунта (описаны ниже). К контенту клиента также не относится информация, входящая в идентификаторы ресурсов, теги метаданных, средства контроля доступа, правила, политики использования, разрешения и похожие элементы, относящиеся к управлению ресурсами AWS. AWS рекомендует не размещать в этих материалах личную, конфиденциальную или служебную информацию. К контенту клиента применяются положения документов Клиентское соглашение AWS и Условия обслуживания в AWS.
Данные аккаунта – это информация о клиенте, которую он предоставляет для создания или администрирования своего аккаунта. К информации об аккаунте относятся связанная с аккаунтом клиента информация (например, личные имена, имена пользователей, номера телефонов, адреса электронной почты и информация для оплаты). К данным аккаунта применяются методы работы с информацией, описанные в Уведомлении об обеспечении конфиденциальности AWS.
Вы сохраняете право собственности на контент своего клиента и выбираете, какие сервисы AWS могут его обрабатывать, хранить и размещать. Мы не получаем доступ к контенту клиента и не используем его для каких-либо целей без соответствующего согласия. Мы не используем контент клиента или связанную с ним информацию в маркетинговых и рекламных целях.
Клиенты полностью управляют собственным контентом.
- Вы определяете географический регион, в котором будет храниться контент ваших клиентов, а также тип хранилища.
- Вы выбираете уровень безопасности, применимый к контенту вашего клиента. Мы предлагаем ведущие в отрасли функции для защиты контента при передаче и хранении, а также предоставляем клиентам возможность использовать собственные ключи шифрования.
- Вы управляете доступом к контенту своего клиента, а также доступом к сервисам и ресурсам AWS посредством управления пользователями, группами, разрешениями и мандатами.
Правила сбора и использования данных аккаунтов описаны в Уведомлении об обеспечении конфиденциальности AWS.
AWS использует эту информацию для предоставления сервисов AWS, защиты и улучшения качества обслуживания клиентов. Например, AWS использует идентификаторы ресурсов, чтобы предоставить клиентам возможность генерировать отчеты о расходах и использовании сервисов (отчеты можно использовать для группировки расходов по центрам затрат) и разрешения IAM для определения, может ли конкретный пользователь приобретать зарезервированные инстансы. Когда клиент обращается в AWS за технической помощью, AWS может проанализировать идентификаторы ресурсов и разрешения для решения проблемы.
Мы внимательно следим за обеспечением защиты данных своих клиентов. Мы ни при каких условиях не раскрываем контент клиентов, кроме случаев, когда это требуется законодательством или действительным постановлением обязательного характера, выпущенным государственным органом. Если государственный орган направляет в AWS требование предоставить контент клиента, мы всегда предлагаем такому органу обратиться за этими данными непосредственно к клиенту. Для того чтобы получить действительное постановление обязательного характера, государственные или регулирующие органы обязаны следовать применимому правовому процессу. Мы изучаем каждое такое постановление и отклоняем его, если оно является неправомерным или неуместным. Если мы будем вынуждены раскрыть контент клиента государственному органу, клиенту направляется обоснованное уведомление об этом требовании, чтобы он мог подготовить охранный судебный приказ или другой инструмент правовой защиты, если AWS имеет на это законное право. Важно отметить, что наши клиенты могут зашифровать свой контент и что мы предоставляем возможность использовать для этого собственные ключи шифрования.
Мы знаем, что для клиентов важна прозрачность нашей деятельности, поэтому на странице Запросы к Amazon на предоставление информации мы регулярно публикуем отчет о типах и количестве получаемых запросов на предоставление информации.
Глобальная инфраструктура AWS позволяет гибко выбирать, где и как вы хотите запускать рабочие нагрузки, причем можно использовать одну и ту же сеть, плоскость управления, API и сервисы AWS. Если вам необходимо обеспечить работу приложений во всем мире, вы можете выбрать нужные регионы AWS или зоны доступности. Клиенты выбирают регионы AWS, в которых будет храниться их контент, что позволяет развертывать сервисы AWS в различных местоположениях в соответствии с конкретными географическими требованиями. Например, если клиенту AWS из Австралии требуется хранить данные только в Австралии, он может выбрать для развертывания своих сервисов AWS исключительно Азиатско-Тихоокеанский регион (Сидней). Если вы хотите рассмотреть другие гибкие варианты хранилищ, перейдите на страницу Регионы AWS.
Клиенты могут реплицировать контент между регионами AWS и создавать резервные копии в нескольких регионах. Мы не будем перемещать или реплицировать ваш контент вне выбранного вами региона или регионов AWS, кроме случаев, когда это необходимо для оказания услуг, которые вы запросили, а также соблюдения законодательства или обязательного распоряжения государственных органов. Однако стоит отметить, что некоторые сервисы AWS могут быть доступны не во всех регионах AWS. Подробнее о доступности сервисов в отдельных регионах AWS см. на странице Региональные сервисы AWS.
При оценке безопасности облачного решения клиентам необходимо понимать и различать следующие понятия: «безопасность облака» и «безопасность в облаке». Безопасность облака подразумевает меры защиты, которые реализует и применяет AWS. За безопасность облака несем ответственность мы. Безопасность в облаке охватывает меры защиты, которые вы внедряете и применяете применительно к используемым сервисам AWS. Ответственность за безопасность в облаке несет клиент. Подробнее см. на странице Модель общей ответственности AWS.
Для AWS главным приоритетом является безопасность данных клиентов, поэтому мы применяем жесткие контрактные, технические и организационные меры для защиты конфиденциальности, целостности и обеспечения доступности данных независимо от выбранного клиентом региона AWS.
AWS соответствует требованиям стандарта ISO 27018. Этот стандарт регламентирует обеспечение защиты личных данных в облаке. Это нормативный документ расширяет сферу действия стандарта по информационной безопасности ISO 27001 с целью обеспечения применения регуляторных требований к защите информации, позволяющей установить личность (PII), или персональных данных в общедоступной среде облачных вычислений, а также представляет руководство по внедрению на основе средств управления ISO 27002, применимых к PII, которые обрабатываются поставщиками общедоступных облачных услуг. Чтобы получить дополнительные сведения или ознакомиться с сертификатом AWS, подтверждающим соответствие требованиям ISO 27018, см. страницу Соответствие требованиям ISO 27018.
Кроме того, AWS публикует отчет SOC 2 типа II касательно конфиденциальности на основе критериев защиты соблюдения приватности SOC 2, разработанных Американским институтом дипломированных общественных бухгалтеров (American Institute of CPAs, AICPA), в котором установлены критерии оценки средств управления, применимых к сбору, использованию, хранению, раскрытию и уничтожению конфиденциальных данных для выполнения задач организации. Отчет AWS SOC 2 типа II касательно конфиденциальности – это заключение сторонних аудиторов в отношении наших систем и соответствия структуры средств управления защитой конфиденциальности. В отчете SOC описаны используемые нами способы обработки контента, который вы загружаете в AWS, а также средства обеспечения защиты этого контента во всех сервисах и местах расположения, что входят в область применения последних отчетов AWS SOC. Отчет SOC 2 типа II можно скачать с помощью AWS Artifact в Консоли управления AWS.
Если у клиентов остаются вопросы об AWS или защите данных, рекомендуем им обратиться к персональному менеджеру AWS. При наличии уровня Корпоративная поддержка AWS можно также обратиться за поддержкой к своему персональному техническому менеджеру (TAM). Менеджеры аккаунтов AWS и TAM вместе с архитекторами решений помогают клиентам обеспечивать соблюдение нормативных требований. AWS не в праве консультировать по правовым вопросам, поэтому рекомендуем клиентам обращаться с вопросами о защите данных к юристам.
С вопросами о конфиденциальности обращайтесь к представителям команды поддержки уровня «Корпоративный», консультантам AWS Professional Services и другим сотрудникам AWS. Если есть вопросы, свяжитесь с нами по этой ссылке.