Я хочу получать информацию о защите данных в ЕС »
  • Обзор

    EUAWSLogo

    Для AWS нет ничего важнее доверия клиентов. Нашими сервисами пользуются миллионы активных клиентов более чем в 190 странах, в том числе крупные корпорации, учебные заведения и правительственные учреждения. Наши клиенты – поставщики финансовых и медицинских услуг, а также правительственные учреждения – доверяют нам обработку конфиденциальной информации.

    Мы знаем, что наши клиенты глубоко заинтересованы в обеспечении безопасности и сохранении конфиденциальности данных. Поэтому AWS предоставляет своим клиентам контроль над их контентом с помощью простых, но эффективных инструментов. Эти инструменты дают клиентам AWS возможность определить, где будет храниться их контент, обеспечить его безопасность при передаче и хранении, а также управлять доступом своих пользователей к сервисам и ресурсам AWS. Мы также реализуем надежные комплексные средства технического и физического контроля, предназначенные для предотвращения несанкционированного доступа к пользовательскому контенту или раскрытия информации.

    Мы неизменно стремимся поддерживать доверие наших клиентов и информируем их о политиках защиты конфиденциальности и безопасности данных, а также о применяемых методах и технологиях. Мы берем на себя следующие обязательства.

    • Доступ. Клиенты самостоятельно управляют доступом к своему содержимому, сервисам и ресурсам AWS. Для эффективного выполнения этой задачи мы предоставляем расширенный набор инструментов для управления доступом, шифрования и ведения журналов (такие как AWS CloudTrail). Мы не используем доступ к контенту клиентов, кроме случаев, когда этого требует законодательство и когда это необходимо для поддержки сервисов AWS и предоставления их нашим клиентам и конечным пользователям.
    • Хранение. Клиенты выбирают, в каких регионах будет храниться их содержимое. Мы не перемещаем и не копируем контент клиентов за пределы выбранных регионов, кроме случаев, когда этого требует законодательство и когда это необходимо для поддержки сервисов AWS и предоставления их нашим клиентам и конечным пользователям.
    • Безопасность. Клиенты выбирают, как будет обеспечиваться безопасность их содержимого. Мы предлагаем нашим клиентам надежные средства шифрования пользовательского контента при передаче и хранении, а также предоставляем возможность использовать собственные ключи шифрования.
    • Раскрытие содержимого клиентов. Мы ни при каких условиях не раскрываем содержимое клиентов, кроме случаев, когда это требуется законодательством или действительным постановлением обязательного характера, выпущенным государственным или иным регулирующим органом. Прежде чем раскрыть контент, Amazon уведомляет своих клиентов, чтобы они могли предотвратить раскрытие, за исключением случаев, когда на такое уведомление наложен запрет или когда присутствуют четкие свидетельства нелегальной деятельности, связанной с использованием продуктов и сервисов Amazon.
    • Гарантия безопасности. Мы разработали программу обеспечения безопасности, используя мировые рекомендации по обеспечению защиты данных и конфиденциальности, чтобы помочь нашим клиентам создать среду управления безопасностью и использовать ее. Эти процессы обеспечения безопасности и управления были неоднократно проверены независимыми сторонними специалистами.

    В AWS данные клиентов подразделяются на две категории: контент клиента и данные аккаунта.

    К контенту клиента относится программное обеспечение (включая образы машин), данные, текстовые, аудио- и видеофайлы, файлы изображений, которые клиент или любой конечный пользователь перемещает в нашу систему для обработки, хранения или хостинга с помощью сервисов AWS в рамках аккаунта клиента, а также любые результаты вычислений, которые клиент или любой конечный пользователь получает в результате использования сервисов AWS. Например, контент клиента включает любую информацию, которую клиент или конечные пользователи хранят в Amazon Simple Storage Service. Контент клиента не включает данные аккаунта. Они будут описаны ниже. К контенту клиента применяются условия пользовательского соглашения AWS или любого другого соглашения с нами, регулирующего использование сервисов AWS.

    Данные аккаунта – это информация о клиенте, которую он предоставляет для создания или администрирования своего аккаунта. Данные аккаунта включают, к примеру, личные имена, имена пользователей, телефонные номера, адреса электронной почты и информацию об оплате, связанные с аккаунтом клиента. К данным аккаунта применяются методы работы с информацией, описанные в Заявлении AWS о защите конфиденциальности.

    Клиенты сохраняют право собственности на свой контент и сами выбирают, какие сервисы AWS могут обрабатывать, хранить и размещать его. Мы не используем доступ к контенту клиентов, кроме случаев, когда этого требует законодательство и когда это необходимо для поддержки сервисов AWS и предоставления их нашим клиентам и конечным пользователям. Мы ни при каких обстоятельствах не используем контент клиентов или связанную с ним информацию в маркетинговых и рекламных целях.

    Клиенты контролируют собственное содержимое. AWS предоставляет своим клиентам следующие возможности.

    • Определять, где будет храниться принадлежащий им контент, включая тип хранилища и его географический регион.

    • Выбирать, необходимо ли шифрование контента. Мы предлагаем своим клиентам надежные средства шифрования контента при передаче и хранении, а также предоставляем возможность использовать собственные ключи шифрования.

    • Управлять доступом к своему контенту, а также сервисам и ресурсам AWS с помощью системы пользователей, групп и данных для доступа, которые контролируются клиентом.

    Мы знаем, что нашим клиентам не все равно, как используются данные аккаунтов, и очень ценим уверенность клиентов в том, что мы соблюдаем по отношению к этим данным все необходимые предосторожности. Правила сбора и использования данных аккаунтов описаны в Заявлении AWS о защите конфиденциальности.

    Мы внимательно следим за обеспечением защиты данных своих клиентов. Мы ни при каких условиях не раскрываем контент клиентов, кроме случаев, когда это требуется законодательством или действительным постановлением обязательного характера, выпущенным государственным или иным регулирующим органом. Для того чтобы получить действительное постановление обязательного характера, государственные или регулирующие органы обязаны следовать правовому процессу, применимому в данной ситуации. Мы изучаем каждое такое постановление и отклоняем его, если оно является неправомерным или неуместным. Прежде чем раскрыть контент, Amazon уведомляет своих клиентов, чтобы они могли предотвратить раскрытие, за исключением случаев, когда на такое уведомление наложен запрет или когда присутствуют четкие свидетельства нелегальной деятельности, связанной с использованием продуктов и сервисов Amazon. Важно отметить, что наши клиенты могут зашифровать свой контент и что мы предоставляем возможность использовать для этого собственные ключи шифрования.

    Мы знаем, что для наших клиентов важна прозрачность нашей деятельности, поэтому мы регулярно публикуем отчет о типах и количестве получаемых запросов на предоставление информации.

    Клиенты выбирают регионы, в которых будет храниться их контент, и могут развертывать сервисы AWS в выбранном местоположении в соответствии с географическими требованиями. Центры обработки данных AWS созданы в виде кластеров в различных регионах мира.

    К примеру, если клиент AWS из Великобритании захочет выполнить развертывание своих сервисов AWS исключительно в регионе Европа (Лондон) и хранить контент на территории Великобритании, его контент будет храниться в Великобритании. Клиенты могут реплицировать свой контент или создавать его резервные копии в нескольких регионах. Мы не будем перемещать или реплицировать контент клиента за пределы выбранных пользователем регионов, кроме случаев, когда этого требует законодательство или когда это необходимо для поддержки сервисов AWS и предоставления их нашим клиентам и конечным пользователям.

    *Некоторые сервисы AWS могут быть недоступны в отдельных регионах.

    При оценке безопасности облачного решения клиенты должны понимать и различать следующие понятия:

    • Меры безопасности, реализуемые и поддерживаемые AWS – «безопасность облака»

    и

    • Меры безопасности, реализуемые и поддерживаемые клиентом и относящиеся к безопасности клиентского содержимого и приложений, использующих сервисы AWS, – «безопасность в облаке»

    Модель общей ответственности

    С полным списком всех функций безопасности, встроенных в ядро, платформы и сервисы облачной инфраструктуры AWS, можно ознакомиться в техническом описании Обзор процессов обеспечения безопасности.

    Мы разработали программу обеспечения безопасности, используя мировые рекомендации по обеспечению защиты данных и конфиденциальности, чтобы помочь нашим клиентам создать среду управления безопасностью и использовать ее. Эти процессы обеспечения безопасности и управления были неоднократно проверены независимыми сторонними специалистами.

    Соответствие AWS требованиям стандарта ISO 27018 было установлено независимым инспектором. ISO 27018 является первым международным сводом правил, который направлен на обеспечение защиты личных данных в облаке. Он основан на стандарте информационной безопасности ISO 27002 и содержит руководство по использованию средств контроля этого стандарта, применимых к персональным данным, обрабатываемым поставщиками общедоступных облачных сервисов. Для клиентов это служит доказательством того, что AWS обладает системой средств контроля, предназначенных для обеспечения безопасности своего контента. Для получения дополнительной информации посетите страницу Вопросы и ответы по ISO 27018.

    Центры обработки данных AWS создаются как кластеры в разных странах по всему миру. Каждый кластер ЦОД в конкретной стране получает статус «региона». Клиентам доступны шестнадцать регионов AWS по всему миру, в том числе три региона в ЕС: Ирландия (Дублин), Великобритания (Лондон) и Германия (Франкфурт). Клиенты могут выбрать для работы один регион, все регионы или их произвольный набор.

    Именно клиенты AWS определяют регион (регионы) для хранения своего контента. Это позволяет клиентам с определенными географическими требованиями развернуть среды в конкретных местоположениях (или в одном из них). Например, клиенты AWS в Европе могут развертывать свои сервисы AWS исключительно в одном из регионов ЕС (в Германии, Великобритании или Ирландии). В этом случае контент будет храниться в Германии, Великобритании или Ирландии, в зависимости от того, что было выбрано, до тех пор, пока клиент явно не выразит желание перенести или реплицировать контент в другой регион AWS.

    Клиенты могут реплицировать контент и создавать резервные копии в нескольких регионах, но AWS не перемещает контент за пределы выбранного клиентом региона (регионов). Это возможно только при предоставлении сервисов по просьбе клиента или в соответствии с действующим законодательством.

    AWS имеет сертификаты соответствия самым жестким стандартам безопасности, таким как ISO 27001, SOC 1/2/3 и PCI DSS Level 1. В работе облака используется модель общей ответственности, согласно которой AWS отвечает за безопасность основной облачной инфраструктуры (безопасность облака), а клиент – за безопасность данных и приложений (безопасность в облаке). В AWS работают команды архитекторов решений, персональных менеджеров, консультантов, преподавателей и других специалистов ЕС. Их профессиональная подготовка в области обеспечения безопасности облака и соответствия требованиям, а также рекомендации по обеспечению безопасности облака помогают клиентам AWS достичь высокого уровня безопасности и соответствия требованиям в облаке. Кроме того, AWS помогает клиентам соблюдать региональные стандарты безопасности. Например, AWS совместно с аудиторской компанией TÜV TRUST IT опубликовала Руководство по сертификации клиентов с рекомендациями по соблюдению в облаке требований немецкого стандарта IT Grundschutz, разработанного Федеральным управлением по информационной безопасности (BSI) при поддержке правительства Германии.

  • Директива ЕС

    Директива ЕС о защите данных (также известная как Директива 95/46/EC) – это свод правил, регулирующих обработку и свободное перемещение персональных данных. Иными словами, эта директива устанавливает ряд требований безопасности, которые применяются при обработке персональных данных.

    Да. Дополнительную информацию о том, каким образом клиенты могут подписать Приложение по обработке данных в AWS, см. по ссылке (необходимо войти в систему).

    Рабочая группа статьи 29 утвердила Приложение по обработке данных в AWS, включая типовые положения. Рабочая группа статьи 29 подтвердила, что типовые положения Приложения по обработке данных в AWS соответствуют требованиям директивы. Это означает, что Приложение по обработке данных в AWS не применяется от случаю к случаю, а является руководящим документом в полном смысле этого слова. Дополнительную информацию об утверждении Приложения по обработке данных в AWS рабочей группой статьи 29 см. на странице http://www.cnpd.public.lu/en/actualites/international/2015/03/AWS/index.html

    В соответствии с процедурой рабочей группы статьи 29 ее ведущим органом управления является орган по надзору за соблюдением законодательства о защите персональных данных Люксембурга (CNPD).

    Дополнительную информацию о том, каким образом клиенты могут подписать Приложение по обработке данных в AWS, см. по ссылке (необходимо войти в систему).

    Согласно Директиве 95/46/EC клиенты AWS, которые собирают и хранят персональные данные в облаке, являются операторами персональных данных.

    Подробную информацию о разделении ролей клиента и AWS см. в разделе «Защита данных в соответствии с Директивой ЕС» в техническом описании AWS по защите данных в ЕС.

    Стандартные контрактные положения (также известные как «типовые положения») представляют собой набор стандартных требований, определенных и утвержденных Европейской комиссией. Они регламентируют процесс передачи персональных данных оператором данных обработчику данных за пределами Европейской экономической зоны.

    Рабочая группа статьи 29 была создана в рамках директивы ЕС о защите данных Европейского парламента и Совета Европы. В ее состав входят представители органов по надзору за соблюдением законодательства о защите персональных данных всех государств-членов ЕС, а также члены Европейской комиссии. Рабочая группа статьи 29 согласовывает применение правил по защите данных на всей территории ЕС, а также консультирует Комиссию ЕС по вопросам соответствия требованиям директивы стандартов по защите данных в странах, не входящих в ЕС.

    Безопасность данных наших клиентов является нашим важнейшим приоритетом, и AWS уже получила одобрение Управления по защите данных Европейского союза, известного как Рабочая группа статьи 29, в отношении Дополнения и типовых положений об обработке данных AWS, чтобы разрешить перемещение данных за пределы Европы, в том числе в США. Дополнение и типовые положения об обработке данных, одобренные ЕС, позволяют клиентам продолжать вести свой бизнес с помощью AWS и соответствовать законам ЕС. Приложение по обработке данных в AWS доступно всем клиентам AWS, которые обрабатывают личные данные, независимо от того, расположены ли их офисы в Европе или они представляют глобальную компанию, работающую в Европейской экономической зоне.

    Дополнительную информацию о том, каким образом клиенты могут подписать Приложение по обработке данных в AWS, см. по ссылке (необходимо войти в систему).

    Да. Компания Amazon.com, Inc. сертифицирована по стандарту EU-US Privacy Shield, а сервисы AWS соответствуют его требованиям. Таким образом, клиентам, которые передают персональные данные в США, проще соблюдать свои обязательства по защите данных. Подтверждение наличия у Amazon.com Inc. соответствующего сертификата можно найти на веб-сайте EU-US Privacy Shield: https://www.privacyshield.gov/list

    Дополнительную информацию см. на странице EU-US Privacy Shield.

  • GDPR

    CISPEAWS

    В 2016 году Европейская комиссия утвердила и приняла к исполнению новый закон – Общий регламент по защите данных (General Data Protection Regulation, или GDPR). Введение GDPR в законодательство означает значительные изменения в области защиты данных. Такого не было со времен принятия Директивы ЕС о защите данных (также известной как Директива 95/46/EC) в 1995 году. Цель GDPR – повысить безопасность и степень защиты персональных данных в ЕС, а также унифицировать законодательство ЕС в данной области. GDPR придет на смену Директиве ЕС о защите данных и принятым в соответствии с ней местным законодательным актам.

    AWS поддерживает принятие GDPR. Новый закон защищает фундаментальное право граждан ЕС на конфиденциальность и защиту их персональных данных. Он подразумевает введение жестких требований, благодаря которым планка в области защиты данных, безопасности и соответствия требованиям поднимется выше, а представители отрасли должны будут принять строгие меры контроля. Мы официально заявляем, что к моменту вступления GDPR в силу 25 мая 2018 года все сервисы AWS будут соответствовать требованиям этого закона.

    Мы намерены не только добиться соответствия требованиям внутри компании, но и предложить нашим клиентам сервисы и ресурсы, с помощью которых они смогут привести свои операции в соответствие с требованиями нового закона.

    Общий регламент по защите данных (General Data Protection Regulation, или GDPR) – это новый европейский закон о конфиденциальности данных, который вступит в силу 25 мая 2018 года. GDPR придет на смену Директиве ЕС о защите данных, также известной как Директива 95/46/EC. Его цель – унифицировать законодательство ЕС в области защиты данных путем принятия единого закона о защите данных, обязательного для исполнения всеми странами-участницами ЕС.

     

    Под действие GDPR подпадают все организации, действующие в ЕС и занимающиеся обработкой «персональных данных» жителей ЕС. Под «персональными данными» подразумевается любая информация, касающаяся идентифицированного или идентифицируемого физического лица.

    GDPR заменит существующую Директиву ЕС о защите данных (также известную как Директива 95/46/EC). Начиная с 25 мая 2018 года существующая Директива ЕС о защите данных и принятые в соответствии с ней местные законодательные акты станут недействительны.

    Специалисты AWS по обеспечению соответствия требованиям, безопасности и защите данных активно работают с клиентами по всему миру – отвечают на их вопросы и помогают им в подготовке к работе в облаке AWS после вступления GDPR в силу. Кроме того, они анализируют различные меры, предпринятые AWS, на предмет соответствия требованиям GDPR. Мы официально заявляем, что к моменту вступления GDPR в силу в мае 2018 года все сервисы AWS будут соответствовать требованиям этого закона.

    Мы также разработали новое соглашение об обработке данных (GDPR DPA), соответствующее требованиям GDPR. Соглашение GDPR DPA доступно всем клиентам AWS уже сейчас. Оно поможет подготовиться к вступлению GDPR в силу в мае 2018 года. Дополнительную информацию о GDPR DPA (а также копию соглашения) можно получить у персонального менеджера AWS.

    Кроме того, недавно AWS объявила о том, что ее сервисы соответствуют требованиям Кодекса поведения CISPE. Благодаря Кодексу поведения CISPE клиенты могут оценить, насколько сервисы их поставщика облачной инфраструктуры соответствуют требованиям о защите данных, установленным GDPR. AWS официально заявила, что сервисы Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail и Amazon Elastic Block Storage (Amazon EBS) полностью соответствуют требованиям Кодекса поведения CISPE. Таким образом, клиенты получают дополнительные гарантии того, что при работе с AWS они смогут осуществлять полный контроль над своими данными в безопасной и соответствующей требованиям среде. Дополнительную информацию о соответствии AWS требованиям Кодекса поведения CISPE см. на веб-сайте https://cispe.cloud/

    AWS поддерживает неизменно высокий уровень безопасности и соответствия требованиям при выполнении каждой операции. Для AWS нет ничего важнее безопасности, поэтому обеспечение безопасности всегда было нашей первоочередной задачей. Использование передовых для отрасли мер безопасности стало залогом получения множества сертификатов и аттестатов, подтверждающих соответствие наших сервисов самым жестким международным стандартам, таким как ISO 27017 в сфере безопасности в облаке, ISO 27018 в сфере конфиденциальности в облаке, SOC 1, SOC 2 и SOC 3, PCI DSS Level 1 и многим другим. Кроме того, AWS помогает своим клиентам добиться соответствия требованиям местных стандартов безопасности, например Cloud Computing Compliance Controls Catalogue (C5) – схеме аттестации, разработанной Федеральным управлением по информационной безопасности (BSI) при поддержке правительства Германии и, соответственно, играющей важную роль для действующих в Германии организаций.

    AWS официально заявила о том, что ее сервисы соответствуют требованиям Кодекса поведения CISPE по защите данных. CISPE – это объединение поставщиков облачной инфраструктуры (также известной как «Инфраструктура как сервис»), предоставляющих облачные сервисы клиентам в Европе. Благодаря Кодексу поведения CISPE клиенты могут убедиться, что их поставщик облачной инфраструктуры соблюдает надлежащие стандарты по защите данных в соответствии с требованиями GDPR. Почему же Кодекс поведения так важен?

    • В Кодексе уточняются обязанности всех заинтересованных сторон в вопросах защиты данных: в Кодексе поведения прописаны роли поставщика и клиента в рамках GDPR, прежде всего в контексте сервисов облачной инфраструктуры.
    • В Кодексе излагаются принципы, которых должны придерживаться поставщики: в Кодексе поведения перечислены обязательства поставщиков и действия, которые они должны предпринять, чтобы обеспечить соответствие требованиям GDPR и помочь своим клиентам добиться соответствия этим требованиям.
    • В Кодексе представлена информация о защите и безопасности данных, необходимая клиентам для принятия решений в области соблюдения требований: Кодекс поведения требует от поставщиков прозрачности в отношении действий, предпринимаемых в рамках выполнения обязательств в сфере обеспечения безопасности. В частности, речь идет об уведомлениях об утечке или удалении данных и их обработке сторонними организациями, а также о запросах от правоохранительных и государственных структур. Клиенты могут использовать эту информацию, чтобы лучше понимать, какой уровень безопасности обеспечивает поставщик облачных сервисов.

    Одной из основных задач GDPR является унификация процесса обеспечения безопасности при обработке, использовании и передаче персональных данных всеми странами-участницами ЕС. Организации должны будут на регулярной основе демонстрировать защищенность обрабатываемых ими данных и общее соответствие требованиям GDPR. Для этого им нужно будет внедрить и регулярно пересматривать строгие меры организационно-технического плана, а также политики в области соответствия требованиям.

    AWS предоставляет своим клиентам целый ряд возможностей и сервисов, с помощью которых они смогут добиться соответствия требованиям GDPR.
     

    Контроль доступа: возможность предоставления доступа к ресурсам AWS только авторизованным администраторам, пользователям и приложениям

    • Многофакторная аутентификация (MFA)
    • Тщательная настройка доступа к объектам в корзинах Amazon S3/Amazon SQS/Amazon SNS и других сервисах
    • Аутентификация через запрос API
    • Географические ограничения
    • Временные токены доступа, распределяемые с помощью AWS Security Token Service

     

    Мониторинг и ведение журналов: обзор процессов, происходящих в ресурсах AWS клиента

    • Управление ресурсами и их настройка с помощью AWS Config
    • Аудит на предмет соответствия требованиям и анализ безопасности с помощью AWS CloudTrail
    • Определение проблем конфигурации с помощью AWS Trusted Advisor
    • Тщательное ведение журналов доступа к объектам Amazon S3
    • Предоставление подробных сведений о сетевых потоках с помощью Amazon VPC-FlowLogs
    • Проверка конфигурации и принятие необходимых мер на основе правил, прописываемых в AWS Config Rules
    • Фильтрация и мониторинг доступа по HTTP к приложениям с функциями WAF в AWS CloudFront

     

    Шифрование: шифрование данных в AWS

    • Шифрование сохраненных клиентских данных по стандарту AES256 (сервисы EBS/S3/Glacier/RDS)
    • Централизованное управление ключами (в пределах одного региона AWS)
    • Туннели IPsec, предоставляемые AWS сервисом VPN-Gateways
    • Выделение в облаке модулей HSM с помощью AWS CloudHSM

     

    Мощная система обеспечения соответствия требованиям и строгие стандарты безопасности

    • Пройдена сертификация по стандарту ISO 27001/9001
    • Пройдена сертификация по стандарту ISO 27017/27018
    • Cloud Computing Compliance Controls Catalogue (C5 – схема аттестации, разработанная при поддержке правительства Германии)
    • AWS совместно с аудиторской компанией TÜV TRUST IT опубликовала Руководство по сертификации клиентов с рекомендациями по соблюдению в облаке требований немецкого стандарта IT Grundschutz, разработанного Федеральным управлением по информационной безопасности (BSI) при поддержке правительства Германии.

    Хотя GDPR вступит в силу лишь в мае 2018 года, мы рекомендуем нашим клиентам и партнерам начать подготовку к этому уже сейчас. Клиентам, уже добившимся высокого уровня соответствия требованиям, безопасности и конфиденциальности данных, внедрение требований GDPR не должно доставить проблем. Тем же, кто только узнал об этом законе, мы рекомендуем начать анализ процессов защиты данных, обеспечения безопасности и соответствия требованиям прямо сейчас, чтобы в мае 2018 года проблем не возникло. Всем, кто намерен добиться соответствия требованиям GDPR, следует обратить внимание на некоторые основные моменты.

    Территориальный охват: чтобы организация могла гарантированно выполнять свои обязательства в области соответствия требованиям, необходимо проверить, что подпадает ли ее деятельность под действие GDPR. GDPR распространяется на все организации, расположенные на территории ЕС. Однако этот закон может затрагивать и организации, расположенные за пределами ЕС, – все зависит от специфики деятельности каждой конкретной организации.

    Права субъекта данных: GDPR расширяет права субъектов данных в нескольких областях. К примеру, субъекты данных получают право возражать против обработки своих данных, а также право на переносимость данных. Вам необходимо убедиться, что при обработке персональных данных вы в состоянии соблюдать права субъектов данных.

    Уведомления об утечке данных: оператор данных должен незамедлительно сообщать соответствующим органам о любых нарушениях требований по защите данных. Благодаря использованию AWS вы можете выбирать, каким образом обрабатывать и защищать персональные данные. Таким образом, вы сможете осуществлять мониторинг собственной среды на предмет утечек и своевременно уведомлять о них регулирующие органы и всех тех, кто может от этого пострадать (как того требует GDPR). Кроме того, AWS незамедлительно сообщает о нарушениях требований стандартов безопасности, связанных с архитектурой сети AWS.

    Сотрудник по защите данных (DPO): возможно, вам нужно будет назначить DPO, который будет отвечать за безопасность данных и другие вопросы, связанные с обработкой персональных данных.

    Оценка влияния на защиту данных (DPIA): возможно, вам нужно будет провести оценку DPIA используемых процессов обработки данных (в некоторых случаях требуется подать соответствующие документы в надзорные органы). Это необходимо для выявления применяемых в вашей организации процедур и процессов обработки данных, а также средств контроля, используемых для защиты персональных данных.

    Соглашение об обработке данных (DPA): возможно, вам нужно будет заключить DPA, соответствующее требованиям GDPR (в частности, в случае перемещения персональных данных за пределы Европейской экономической зоны). Чтобы помочь своим клиентам подготовиться к вступлению GDPR в силу в мае следующего года, AWS разработала GDPR DPA. Это соглашение доступно по требованию.

    AWS предоставляет своим клиентам целый ряд сервисов и специальных возможностей, с помощью которых они смогут добиться соответствия требованиям GDPR. К ним относятся сервисы для контроля доступа, мониторинга, ведения журналов и шифрования. Дополнительную информацию по этим вопросам можно найти выше, в разделе «С помощью каких сервисов AWS клиенты могут добиться соответствия требованиям GDPR?»

    Кроме того, наши специалисты по обеспечению соответствия требованиям, безопасности и защите данных, а также участники партнерской сети AWS работают с клиентами по всей Европе – отвечают на их вопросы и помогают им в подготовке к работе в облаке после вступления GDPR в силу. Дополнительную информацию по этим вопросам можно получить у персонального менеджера AWS.

 

Свяжитесь с нами