Центр Общих норм защиты данных (GDPR)

Обеспечение соответствия требованиям GDPR при использовании сервисов AWS

Принятый в Европейском союзе Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR) обеспечивает защиту фундаментальных прав физических лиц из ЕС на конфиденциальность и безопасность личных данных. GDPR – это свод строгих требований, которые повышают и унифицируют стандарты в области защиты данных, безопасности и соответствия требованиям. Для получения дополнительной информации, см. ниже Вопросы и ответы по GDPR.

Клиенты AWS могут пользоваться всеми сервисами AWS для обработки персональных данных (согласно определению, данному в GDPR), которые они передают в сервисы AWS из своих аккаунтов AWS (данные клиентов) в соответствии с GDPR. AWS не только обеспечит соответствие новым требованиям своих сервисов, но и предлагает своим клиентам услуги и ресурсы, которые помогут им выполнить применимые к их деятельности требования GDPR. AWS регулярно представляет новые функциональные возможности и имеет более 500 функциональных компонентов и сервисов, ориентированных на безопасность и соответствие требованиям. Подробнее о работе AWS можно прочитать в нашем блоге Как AWS помогает пользователям в ЕС ориентироваться в новых стандартах защиты данных.

Контроль со стороны клиентов

Клиенты контролируют свои данные С помощью AWS клиенты могут выполнять следующие задачи.

  • Определять, где будет храниться принадлежащие им данные, включая тип хранилища и его географический регион.
  • Выбирать, необходимо ли шифрование данных. Мы предлагаем своим клиентам надежные средства шифрования данных при передаче и хранении, а также предоставляем возможность использовать собственные ключи шифрования.
  • Управлять доступом к своим данным, а также сервисам и ресурсам AWS с помощью системы пользователей, групп и данных для доступа, которые контролируются клиентом.
Подробнее »

Передача за пределы Европейской экономической зоны (ЕЭЗ)

Клиенты AWS могут продолжать пользоваться сервисами AWS для передачи данных клиентов из ЕЭЗ в страны за пределами ЕЭЗ, которые не получили от Европейской комиссии решение о достаточности мер (в том числе США) в соответствии GDPR. Для AWS главным приоритетом является безопасность данных клиентов, поэтому мы применяем жесткие технические и организационные меры для защиты конфиденциальности, целостности и обеспечения доступности данных независимо от выбранного клиентом региона AWS. Мы знаем, насколько для наших клиентов важна прозрачность. Сервисы AWS, которые производят передачу данных клиентов, перечислены на нашей веб-странице Функции конфиденциальности.

В соответствии с нормативными требованиями и законодательством мы всегда будем работать над тем, чтобы клиенты продолжали пользоваться преимуществами сервисов AWS, где бы они ни находились. Для получения дополнительной информации см. новость от клиента об EU-US Privacy Shield, наши публикации в блоге о Дополнительном приложении к Приложению по обработке данных AWS и Кодекс поведения CISPE в области защиты данных.

Ресурсы по GDPR

Обеспечение соответствия требованиям GDPR на AWS
Загрузить техническое описание »
Что нужно знать о сервисах AWS в контексте Брексита
Подробнее »
Публикации в блоге AWS Security о GDPR
Подробнее »
Функции конфиденциальности в сервисах AWS
Подробнее »

Вопросы и ответы по GDPR

Обзор и основы GDPR


  • Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR) – это новое постановление Европейского союза о конфиденциальности данных, вступившее в силу 25 мая 2018 года. Регламент GDPR заменил директиву Data Protection Directive, также известную как Директива 95/46/EC. Цель регламента – унифицировать законодательство ЕС в области защиты данных путем принятия единого закона о защите данных, обязательного для исполнения всеми государствами-членами ЕС.

  • Регламент GDPR применим ко всем учрежденным на территории ЕС организациям и предприятиям, независимо от юридического адреса, которые обрабатывают персональные данные физических лиц из ЕС в связи с предложением субъектам данных в ЕС товаров или услуг либо мониторингом поведения на территории ЕС. Под «персональными данными» подразумевается любая информация, касающаяся идентифицированного или идентифицируемого физического лица, в том числе Ф. И. О., адреса электронной почты и номера телефонов.

  • В соответствии с терминологией GDPR AWS выступает обработчиком данных и контролером данных.

    • AWS как обработчик данных. Когда клиенты используют сервисы AWS для обработки персональных данных в рамках собственного контента, который они передают в сервисы AWS, AWS выступает в качестве обработчика данных. Для обработки персональных данных клиенты могут использовать инструменты управления AWS, в том числе инструменты обеспечения безопасности. При таких условиях клиент сам может выступать в роли контролера или обработчика данных, а AWS выступает в качестве обработчика данных или субподрядчика. AWS предлагает подписать Приложение по обработке данных AWS (AWS DPA), соответствующее положениям GDPR и в котором закреплены обязательства AWS как обработчика данных. Положение по обработке данных AWS со стандартными договорными условиями является частью Условий обслуживания AWS. Этот документ автоматически доступен для всех клиентов, которым он необходим для выполнения требований GDPR.
    • AWS в роли контролера данных. AWS выступает в роли контролера данных, когда собирает персональные данные и определяет способы и цели обработки этих персональных данных, например, когда AWS сохраняет информацию об аккаунте (в том числе адрес электронной почты, указанный во время регистрации) для его регистрации, администрирования, а также доступа к сервисам или контактную информацию для аккаунта AWS в целях поддержки клиентов. Подробные сведения о том, как AWS обрабатывает персональные данные как контролер, см. в Заявлении о конфиденциальности AWS.
  • SCC – это предварительно одобренный механизм передачи данных в соответствии с GDPR, который применяется во всех странах-членах ЕС и позволяет в соответствии с законодательством отправлять персональные данные в третьи страны (страны за пределами Европейской экономической зоны, не получившие соответствующего решения от Европейской комиссии).

  • SCC, принятые Европейской комиссией в июне 2021 года, входят в Условия предоставления сервиса AWS. Положение по обработке данных AWS подтверждает, что SCC автоматически применяется каждый раз, когда клиент AWS использует сервисы AWS для передачи клиентских данных «третьи страны» (страны за пределами Европейской экономической зоны, не получившие соответствующего решения от Европейской комиссии). Как часть Условий предоставления сервиса AWS, новые SCC будут применяться автоматически всякий раз, когда клиент использует сервисы AWS для передачи данных клиента в третьи страны. Те немногие клиенты, которые подписали Положение по обработке данных AWS, могут продолжать полагаться на это Положение, поскольку новые SCC в Условиях предоставления сервиса AWS заменяют предыдущую версию SCC. Поэтому клиенты могут быть уверены, что любые клиентские данные, передаваемые в третьи страны с помощью сервисов AWS, имеют столь же высокий уровень защиты, как и данные, получаемые в ЕЭЗ. Для получения дополнительной информации см. публикацию в блоге о внедрении новых стандартных договорных условий.

AWS и соответствие требованиям GDPR по правилам Schrems II и Рекомендациям EDPB


  • 16 июля 2020 г. Суд Европейского союза (CJEU) выпустил правила передачи данных физических лиц из ЕС за пределы ЕЭЗ (Schrems II). В рамках Schrems II CJEU постановил, что EU-US Privacy Shield больше не является приемлемым механизмом передачи персональных данных из ЕЭЗ в США. Однако в том же постановлении CJEU подтвердил, что компании могут (при условии принятия дополнительных мер, если таковые необходимы) продолжать использовать Стандартные контрактные положения как допустимый механизм передачи персональных данных за пределы ЕЭЗ. После этого Европейский совет по защите данных (EDPB), в состав которого входят представители государственных органов по защите данных, предоставил неполный список дополнительных мер в своих «Рекомендациях 01/2020 относительно мер, которые применяются в дополнение к инструментам передачи для обеспечения соответствия уровню безопасности персональных данных в ЕС» (Рекомендации EDPB).

    В Рекомендациях EDPB для экспортеров данных приведены примеры дополнительных мер, которые могут быть приняты. См. в вопросах и ответах раздел «Могу ли я продолжать пользоваться сервисами AWS после принятия постановления Schrems II?», чтобы получить подробную информацию о ресурсах AWS для передачи данных. 

  • Да. Клиенты AWS могут продолжать пользоваться сервисами AWS для передачи данных клиентов из Европы в страны за пределами ЕЭЗ, которые не получили от Европейской комиссии решение о достаточности мер. Постановление Schrems II узаконило использование Стандартных контрактных положений (SCC) как механизма для передачи данных клиентов за пределы ЕЭЗ, и клиенты AWS могут и далее полагаться на SCC при любой передаче данных клиентов за пределы ЕЭЗ в соответствии с GDPR.

    • Место обработки. Клиенты выбирают регион AWS, в котором будут храниться данные их клиентов. Обзор доступных регионов AWS приведен в разделе Регионы и зоны доступности. AWS не будет обрабатывать данные клиентов за пределами выбранного клиентом региона AWS за исключением случаев, когда это необходимо для предоставления сервисов AWS и затребовано клиентом или требуется для соблюдения закона или обязывающего предписания правительственного органа. Подробнее о передаче данных с использованием сервисов AWS см. на веб-странице Функции конфиденциальности.
    • Субподрядчики. AWS может пользоваться услугами субподрядчиков, то есть дочерних организаций AWS или сторонних компаний, чтобы получить помощь в обработке данных клиентов для выполнения своих обязательств перед клиентами по Положению по обработке данных AWS или для предоставления сервисов от нашего имени. Для получения подробной информации см. ниже раздел вопросов и ответов «Пользуется ли AWS услугами субподрядчиков при обработке данных клиентов?».
    • Инструменты передачи. Поскольку постановление Schrems II утвердило стандартные договорные условия как механизм передачи данных в страны за пределы ЕЭЗ, которые не получили от Европейской комиссии решение о достаточности мер, наши клиенты могут по-прежнему руководствоваться стандартными договорными условиями, приведенными в Приложении по обработке данных AWS, если им требуется передавать данные за пределы ЕЭЗ в соответствии с GDPR.
    • Дополнительные меры.
      • Контроль со стороны клиентов. Клиенты всегда являются владельцами своих данных клиентов и контролируют их с помощью простых, но эффективных инструментов, которые дают им возможность определять, где будут храниться данные клиентов, защищать данные клиентов при передаче и хранении и управлять доступом пользователей к ресурсам AWS, а также изменять, удалять и получать данные клиентов.
      • Технические и организационные меры. AWS реализует надежные комплексные средства и процессы технического и физического контроля, предназначенные для предотвращения несанкционированного доступа к пользовательским данным или их раскрытия (для получения дополнительной информации откройте страницу Соответствие AWS нормативным требованиям). Также мы предоставляем комплект продвинутых сервисов для шифрования и управления ключами (в том числе сервисы, которые дают клиентам возможность управлять собственными ключами), которые можно использовать для защиты данных клиентов при передаче и хранении: зашифрованные данные клиентов становятся недоступными без соответствующих ключей расшифровки. Независимо от того, зашифрованы ли данные клиентов, мы всегда бдительно защищаем данные клиентов от несанкционированного доступа.
      • Запросы от правоохранительных органов. В AWS есть внутренние процессы обработки запросов, получаемых от правоохранительных органов. При получении запроса на предоставление данных клиента от правоохранительных органов мы тщательно изучаем его, чтобы удостовериться в его приемлемости и соответствии применимому законодательству. Если это не запрещено законом, AWS уведомляет клиентов перед раскрытием их данных, чтобы они могли воспользоваться средством правовой защиты во избежание раскрытия. В Дополнительном приложении к Положению по обработке данных AWS (Дополнительное приложение) AWS выражает стойкие контрактные обязательства относительно обработки правительственных запросов на получение данных клиентов, в том числе обязуется: (i) принимать все обоснованные меры для перенаправления любых правительственных органов, запрашивающих данные клиента, к соответствующему клиенту; (ii) незамедлительно сообщать о запросе клиенту, если это разрешено законом (в том числе принимая все обоснованные и законные меры для получения отклонения запрета, если это необходимо); (iii) оспаривать любой расплывчатый или неприемлемый запрос, в том числе если он противоречит законодательству ЕС, а (iv) если после принятия всех вышеуказанных мер от AWS еще требуется раскрыть данные клиента в ответ на правительственный запрос, – раскрыть только минимальное количество данных клиента, необходимое для удовлетворения запроса.
      • Контрактные меры. AWS дает некоторые контрактные обязательства по принятию вышеуказанных мер, которые отражены в Положении по обработке данных AWS и Дополнительном приложении. В Положение по обработке данных AWS и Дополнительном приложении приведены контрактные обязательства AWS относительно следующего: (1) выбора клиентом регионов AWS, в которых будут храниться и обрабатываться данные клиентов; (2) технические и организационные меры, которые приняты AWS для защиты инфраструктуры AWS, и технические и организационные меры, которые могут выбрать клиенты для защиты данных клиентов; (3) меры AWS по защите данных клиентов и информированию клиентов в случае получения запроса от правительственного органа на раскрытие данных; (4) способности AWS выполнить свои обязательства, изложенные в Положении по обработке данных AWS в соответствии с применимым законодательством в третьей стране, в которой обрабатываются данные клиентов. Также в Дополнительном приложении приведены (5) законные права физических лиц на требование компенсации в случае нарушения их прав, предоставленных GDPR.
  • Да, в AWS имеется три типа субподрядчиков: (1) подразделения AWS, которые предоставляют инфраструктуру, на основе которой работают сервисы AWS; (2) подразделения AWS, которые поддерживают определенные сервисы AWS, что может потребовать от этих подразделений обработки данных клиента; и (3) третьи лица, с которыми у AWS был заключен договор на обработку данных для определенных сервисов AWS. На веб-странице Субподрядчики AWS приведена дополнительная информация о субподрядчиках, услугами которых пользуется AWS в соответствии с Положением по обработке данных AWS, для обработки данных клиентов от имени клиентов. Субподрядчики для отдельного клиента зависят от региона AWS, выбранного клиентом, и от конкретных сервисов AWS, которыми пользуется клиент.

  • Техническое описание AWS Механизмы соответствия требованиям, которые помогут выполнить требования ЕС к передаче данных предоставляет информацию о том, какие сервисы и ресурсы AWS помогут нашим клиентам провести оценку передачи данных в свете решения “Schrems II” и последующих рекомендаций Европейского совета по защите данных. Также это техническое описание содержит сведения об основных вспомогательных мерах, принятых AWS и предоставленных клиентам для защиты клиентских данных.

  • AWS предоставляет полезную для клиентов информацию, в том числе несколько отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов и положений по безопасности, в качестве подтверждения того, что AWS поддерживает высокий уровень соответствия требованиям для своей инфраструктуры. Благодаря этим отчетам наши клиенты могут быть уверены, что мы защищаем данные клиентов, которые они обрабатывают на AWS. Примером является соответствие AWS стандартам ISO 27001, 27017 и 27018. ISO 27018 содержит описание средств управления безопасностью, которые предназначены для защиты данных клиентов.

    AWS также соответствует требованиям Кодекса поведения CISPE по защите данных. Подробнее о Кодексе CISPE можно узнать из приведенных ниже вопросов и ответов: «Соблюдает ли AWS одобренный в GDPR Кодекс поведения для сервисов облачной инфраструктуры?»

  • Да. По состоянию на июнь 2023 года 107 сервисов AWS соответствуют требованиям Кодекса поведения европейских поставщиков сервисов облачной инфраструктуры в области защиты данных (CISPE). CISPE – это объединение передовых поставщиков облачных вычислений, которые обслуживают миллионы европейских клиентов. Кодекс поведения CISPE в области защиты данных (Кодекс CISPE) – это первый панъевропейский кодекс поведения в области защиты данных, которые ориентирован на поставщиков сервисов облачной инфраструктуры. Кодекс CISPE утвержден Европейским советом по защите данных, который действует от имени 27 органов, обеспечивающих защиту данных в Европе. Кодекс официально принят Органом по надзору за соблюдением законодательства о защите персональных данных во Франции (CNIL) — главным контролирующим ведомством по надзору. В 2017 году в AWS было сделано заявление об обеспечении соответствия требованиям более ранней версии Кодекса CISPE.

    Кодекс CISPE помогает клиентам гарантировать, что их поставщик сервисов облачной инфраструктуры предоставляет соответствующие гарантии, чтобы продемонстрировать соответствие GDPR и защитить данные клиентов. Ниже перечислены основные преимущества Кодекса CISPE.

    • Ориентированность на облачную инфраструктуру. Прояснение роли поставщика сервисов облачной инфраструктуры в соответствии с GDPR в отношении обработки данных клиента, то есть любых персональных данных, которые обрабатываются от имени клиента с помощью сервиса облачной инфраструктуры.
    • Данные в Европе. Требование того, чтобы поставщики сервисов облачной инфраструктуры предоставляли клиентам возможность выбора сервисов, которые хранят и обрабатывают все данные клиентов в Европейской экономической зоне (ЕЭЗ).
    • Конфиденциальность данных. Кодекс CISPE гарантирует организациям, что их поставщики сервисов облачной инфраструктуры соответствуют требования в отношении обработки персональных данных (данных клиентов) от их имени согласно GDPR.

    Сертификат соответствия, который подтверждает соответствующий статус AWS, доступен в открытом реестре CISPE. Перечисленные сервисы AWS прошли независимую проверку на соответствие Кодексу CISPE, которую осуществила компания Ernst & Young CertifyPoint (EY CertifyPoint), независимый всемирно признанный контрольный орган, аккредитованный CNIL.

Технические и организационные меры


  • GDPR не меняет модель общей ответственности AWS. Она сохраняет свою актуальность для клиентов. Модель общей ответственности – полезный принцип, демонстрирующий разграничение ответственности AWS (в качестве обработчика данных или субподрядчика) и клиентов (как обработчиков данных или операторов данных) в рамках GDPR.

    В рамках модели общей ответственности на AWS налагаются определенные обязательства в отношении защиты безопасность базовой инфраструктуры, которая поддерживает сервисы AWS («безопасность облака»). Клиенты, выступающие в роли контролеров или операторов данных, несут ответственности за все персональные данные, которые они размещают в облаке («безопасность в облаке»).

    Ответственность AWS, «безопасность облака». AWS несет ответственность за защиту глобальной инфраструктуры, на которой работают все сервисы AWS. Данная инфраструктура состоит из аппаратного обеспечения, программного обеспечения, сетей и объектов, обеспечивающих работу сервисов AWS. Эти системы предоставляют клиентам мощные инструменты управления, в том числе инструменты настройки безопасности для обработки контента клиентов. AWS предоставляет ряд отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов и положений по вычислительной безопасности (подробнее см. на странице Соответствие AWS нормативным требованиям). Благодаря этим отчетам наши клиенты могут быть уверены, что мы защищаем данные клиентов. Примером является соответствие AWS стандартам ISO 27001, 27017 и 27018. ISO 27018 содержит описание средств управления безопасностью, которые предназначены для защиты данных клиентов.

    Ответственность клиента, «безопасность в облаке». Клиенты AWS несут ответственность за создание архитектуры и обеспечение безопасности приложения и решений, которые они выбирают для развертывания сервисов AWS. Также клиенты AWS несут ответственность за настройку конфигурации сервисов AWS таким образом, который позволит удовлетворить потребности в конфиденциальности, целостности и безопасности данных клиентов. Конкретная ответственность, которую несет клиент относительно защиты данных клиентов, зависит от сервисов AWS, выбранных клиентом для использования, и от того, как эти сервисы интегрируются в ИТ-среды клиентов. Клиенты AWS пользуются преимуществами видимости и контроля над данными клиентов и могут реализовать гибкие средства обеспечения безопасности в зависимости от уровня конфиденциальности определенного типа данных клиентов. Это делается за счет применения собственных мер и инструментов обеспечения безопасности или применения мер и инструментов обеспечения безопасности, предоставляемых AWS или другими поставщиками. Таким образом клиенты могут реализовать дополнительные уровни безопасности для более конфиденциальных данных клиентов.

    AWS предоставляет продукты, инструменты и сервисы, которые клиенты могут использовать для создания архитектуры и обеспечения безопасности их приложений и решений и которые можно развернуть для соблюдения требований GDPR, в том числе следующих.

    • Сервис AWS Identity and Access Management (IAM) предоставляет организациям возможности безопасного управления доступом к сервисам и ресурсам AWS. С помощью IAM клиенты могут создавать пользователей AWS и группы пользователей, управлять ими, а также применять разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
    • AWS CloudTrail позволяет организациям вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с ресурсами AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
    • Amazon GuardDuty – это управляемый сервис обнаружения угроз, который постоянно отслеживает вредоносное или несанкционированное поведение с целью защиты аккаунтов AWS и связанных рабочих нагрузок. Он отслеживает действия, которые могут представлять угрозу для аккаунтов, например необычные вызовы API или потенциально несанкционированные развертывания. GuardDuty также обнаруживает потенциально опасные инстансы или исследование систем злоумышленниками.
    • Amazon Macie – сервис, который использует машинное обучение для обнаружения и классификации персональных данных, хранящихся в Amazon S3

    См. наше техническое описание Navigating GDPR Compliance on AWS, чтобы получить дополнительные сведения о том, как использовать ресурсы AWS в соответствии с GDPR.

  • Да. Можно выполнить поиск в AWS Partner Solutions Finder по ключевому слову GDPR, чтобы помочь им находить независимых поставщиков программного обеспечения, поставщиков управляемых сервисов и системных интеграторов, продукты и сервисы которых помогают выполнить требования GDPR. Кроме того, искать решения по ключевому слову GDPR можно и на веб-сайте AWS Marketplace.

  • Да. Команда AWS Security Assurance Services проводит некоторые мероприятия для клиентов, помогая им обеспечить соответствие требованиям GDPR. Эта команда сертифицированных специалистов в области обеспечения соответствия требованиям помогает клиентам обеспечивать, поддерживать и автоматизировать обеспечение соответствия требованиям в облаке, связывая применимые стандарты обеспечения соответствия с определенными функциями и возможностями сервисов AWS. Подробнее о том, как консультанты AWS Professional Services помогают клиентам см. по этой ссылке.

  • С помощью AWS Support клиенты могут получить технические инструкции, которые им помогут реализовать соответствие требованиям GDPR. В рамках этой деятельности у нас имеются специалисты по облачной поддержке и персональные менеджеры технической поддержки (TAM), которые подготовлены для помощи в обнаружении рисков в вопросах соответствия требованиям и их нейтрализации. Уровень поддержки, которую оказывает AWS, зависит от выбранного клиентом плана AWS Support. Подробная информация об AWS Premium Support для клиентов приведена в AWS Support Center на консоли управления AWS. Клиенты и партнеры APN могут воспользоваться контактными данными, приведенными в соглашении AWS об Enterprise Support, или перейти на страницу AWS Support. По вопросам GDPR клиентам с уровнем поддержки Enterprise Support следует обращаться к персональному техническому менеджеру.

    Клиентам, ориентированным на соответствие требованиям GDPR, могут пригодиться следующие две программы.

    • Cloud Operations Review. Программа доступна для клиентов AWS Enterprise Support и предназначена для определения пробелов в подходе клиентов к работе в облаке. Программа создана на основе ряда рекомендаций, полученных из опыта работы AWS с большим количеством типовых клиентов. Она представляет собой обзор облачных операций и соответствующих методов управления, поэтому может помочь организациям соответствовать требованиям GDPR. В программе использован четырехсторонний подход: подготовка, мониторинг, использование и оптимизация облачных систем для достижения эффективности бизнес-процессов.
    • Программа проверки архитектуры Well-Architected Review. Эта программа позволяет организациям сопоставить свою архитектуру с рекомендациями AWS с целью создания безопасной, надежной, высокопроизводительной и экономичной архитектуры. Оценки Well-Architected Review позволяют клиентам выявить риски в архитектуре и устранить их до начала эксплуатации приложений.

  • В AWS реализован процесс мониторинга инцидентов безопасности и взлома данных, и клиенты будут получать уведомления о взломе системы безопасности AWS без задержки и в соответствии с Положением по обработке данных AWS. AWS также предоставляет клиентам набор инструментов для получения информации о том, кто, когда и откуда получил доступ к их ресурсам. Один из таких инструментов – AWS CloudTrail. Сервис позволяет управлять аккаунтом AWS, обеспечивать соответствие требованиям и проводить аудит операционных процессов и рисков. С помощью AWS CloudTrail можно вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях в аккаунте в пределах всей используемой инфраструктуры AWS. Таким образом, в распоряжении организации находится информация о том, что происходит с корпоративной инфраструктурой AWS. Более того, компания может незамедлительно принимать меры в случае подозрительных действий. Подробнее о других инструментах безопасности, предоставляемых AWS клиентам для обеспечения соответствия требованиям GDPR как операторов данных, см. на странице Безопасность облака AWS.  

  • AWS предоставляет клиентам и партнерам APN ряд инструментов для обеспечения безопасности данных клиентов и защиты от кибератак. Один из таких инструментов – AWS Shield. Это управляемый сервис защиты от атак типа «распределенный отказ в обслуживании» (DDoS). Он защищает приложения и веб-сайты, работающие на AWS. AWS Shield Standard предоставляется бесплатно, он обеспечивает непрерывное обнаружение и автоматическую линейную нейтрализацию атак, сокращая время простоя и задержку приложений. Клиенты и партнеры APN могут оформить подписку на AWS Shield Advanced и обеспечить защиту более высокого уровня от атак, нацеленных на веб-приложения в сервисах AWS, которые используют ресурсы ELB, Amazon CloudFront и Amazon Route 53. Также AWS публикует и регулярно обновляет рекомендации AWS по обеспечению устойчивости к DDoS-атакам, которые помогают клиентам использовать AWS для создания приложений, устойчивых к DDoS-атакам.

    Другие инструменты AWS для защиты данных клиентов от кибератак перечислены ниже.

    • Сервис AWS Identity and Access Management (IAM) предоставляет организациям возможности безопасного управления доступом к сервисам и ресурсам AWS. С помощью IAM клиенты и партнеры APN могут создавать пользователей AWS и группы пользователей, управлять ими, а также применять разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
    • AWS Config позволяет клиентам и партнерам APN задействовать встроенные правила, которые проверяют правильность настройки и состояние соответствия для ресурсов AWS.
    • AWS CloudTrail позволяет организациям вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с ресурсами AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
    • Amazon GuardDuty – это управляемый сервис обнаружения угроз, который постоянно отслеживает вредоносное или несанкционированное поведение с целью защиты аккаунтов AWS и связанных рабочих нагрузок. Он отслеживает действия, которые могут представлять угрозу для аккаунтов, например необычные вызовы API или потенциально несанкционированные развертывания. GuardDuty также обнаруживает потенциально опасные инстансы или исследование систем злоумышленниками.
  • Amazon Macie – это полностью управляемый сервис, который обеспечивает безопасности и конфиденциальности данных и использует Machine Learning и сопоставление с шаблонами для обнаружения и защиты персональных данных в AWS. По мере роста объема данных, с которыми работают организации, распознавание и защита больших объемов персональных данных становится все более сложной, дорогостоящей и трудоемкой задачей. Сервис Amazon Macie позволяет автоматизировать обнаружение персональных данных и снизить затраты на их защиту. Macie автоматически предоставляет перечень корзин Amazon S3, включая список незашифрованных и общедоступных корзин, а также корзин, доступ к которым предоставлен аккаунтам AWS, не включенным в AWS Organizations. Кроме того, сервис Macie применяет к выбранным корзинам методы Machine Learning и сопоставления с шаблонами, чтобы распознавать конфиденциальные данные и отправлять уведомления о них.

    Сервис Amazon Macie сертифицирован по признанным на международном уровне стандартам, например ISO 27017 в сфере безопасности в облаке и ISO 27018 в сфере конфиденциальности в облаке. Клиенты и партнеры APN могут использовать Macie для непрерывного мониторинга доступа к данным, чтобы обнаружить подозрительные действия на основе шаблонов доступа.

  • Чтобы помочь клиентам соответствовать требованиям GDPR, AWS предлагает ряд инструментов для контроля доступа к персональным данным, хранящимся как контент клиентов на AWS. Примеры таких инструментов показаны ниже.

    • Безопасность по умолчанию означает, что сервисы AWS спроектированы безопасными по умолчанию. При использовании конфигурации по умолчанию доступ к ресурсам предоставляется только владельцу аккаунта и администратору с правами root.
    • Сервис AWS Identity and Access Management (IAM) предоставляет клиентам возможности безопасного управления доступом к сервисам и ресурсам AWS. Используя сервис IAM, организации могут создавать пользователей и группы AWS и управлять ими, а также использовать разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
    • AWS Multi-Factor Authentication вводит дополнительный уровень защиты, помимо проверки имени пользователя и пароля. AWS предоставляет клиентам выбор аппаратного или виртуального устройства MFA.
    • AWS Directory Service позволяет клиентам выполнять интеграцию и федерализацию с корпоративными директориями для уменьшения административных накладных расходов и улучшения условий работы конечных пользователей.
    • AWS Config позволяет клиентам задействовать встроенные правила, которые проверяют правильность настройки и состояние соответствия для ресурсов AWS.
    • AWS CloudTrail позволяет клиентам вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с действиями в инфраструктуре AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
    • Amazon Macie помогает клиентам предотвращать потерю данных, используя машинное обучение для автоматического обнаружения, классификации и защиты конфиденциальных данных в AWS. Amazon Macie является полностью управляемым сервисом. Он непрерывно выполняет мониторинг действий по доступу к данным для выявления отклонений от нормы и генерирует предупреждения, если обнаруживает риск несанкционированного доступа или неумышленной утечки данных, например когда клиент открыл доступ к конфиденциальным данным извне.
       
  • AWS предлагает клиентам и партнерам APN возможность добавить дополнительный уровень безопасности для данных клиентов, хранящихся в облаке, а также помогает им выполнять собственные обязательства (обязательства контролеров данных) в отношении безопасной обработки данных в рамках GDPR. К инструментам шифрования, доступным на AWS, относятся указанные ниже.

    • Функции шифрования данных, доступные в сервисах AWS для хранилищ и баз данных, таких как Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS и Redshift
    • Гибкие варианты управления ключами, включая AWS Key Management Service, позволяющие клиентам выбирать, сохранять полный контроль над ключами шифрования или передать управление ключами AWS
    • Очереди зашифрованных сообщений для передачи конфиденциальных данных с помощью шифрования на стороне сервера (SSE) в Amazon SQS
    • Выделенные аппаратные хранилища криптографических ключей, использующие AWS CloudHSM, которые позволяют клиентам обеспечить соответствие требованиям
     
    Кроме того, AWS предоставляет API, позволяющие клиентам и партнерам APN интегрировать шифрование и защиту данных с любыми сервисами, которые они разрабатывают или развертывают в среде AWS.
  • AWS предоставляет своим клиентам целый ряд возможностей и сервисов, с помощью которых они смогут достичь соответствия требованиям GDPR.

    Контроль доступа: возможность предоставления доступа к ресурсам AWS только авторизованным администраторам, пользователям и приложениям

    • Многофакторная аутентификация (MFA)
    • Тщательная настройка доступа к объектам в корзинах Amazon S3/Amazon SQS/Amazon SNS и других сервисах
    • Аутентификация через запрос API
    • Географические ограничения
    • Временные токены доступа, распределяемые с помощью AWS Security Token Service

    Мониторинг и ведение журналов: обзор процессов, происходящих в ресурсах AWS клиента

    Шифрование: шифрование данных в AWS

    • Шифрование сохраненных клиентских данных по стандарту AES256 (сервисы EBS/S3/Glacier/RDS)
    • Централизованное управление ключами (в пределах одного региона AWS)
    • Туннели IPsec, предоставляемые AWS сервисом VPN-Gateways
    • Выделение в облаке модулей HSM с помощью AWS CloudHSM

    Надежная платформа обеспечения соответствия и стандарты безопасности. Мы демонстрируем соответствие, соблюдая строгие международные стандарты, в том числе следующие.

AWS и UK GDPR


AWS и Федеральный закон Швейцарии о защите данных


Контакты


  • Если у клиентов остаются вопросы о GDPR, рекомендуем им в первую очередь обратиться к персональному менеджеру AWS. При наличии уровня поддержки Enterprise Support можно также обратиться к своему персональному техническому менеджеру. Персональные технические менеджеры (TAM) работают в контакте с архитекторами решений, чтобы помочь клиентам выявить потенциальные риски и возможности их нейтрализации. Персональные технические менеджеры (TAM) и сотрудники, отвечающие за поддержку аккаунта, могут предлагать конкретные ресурсы в зависимости от среды и потребностей клиентов и партнеров APN.
     

    С вопросами о GDPR обращайтесь к представителям уровня поддержки «Корпоративный», консультантам Professional Services и другим сотрудникам AWS. Свяжитесь с нами, если есть вопросы, по этой ссылке.

Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »