Центр Общих норм защиты данных (GDPR)

Да. Публичный реестр Кодекса поведения по защите данных поставщиков услуг облачной инфраструктуры в Европе (CISPE) включает перечень сервисов AWS, присоединившихся к данному кодексу. CISPE – это объединение передовых поставщиков облачных вычислений, которые обслуживают миллионы клиентов в Европе. Кодекс поведения по защите данных CISPE (далее – Кодекс CISPE) – это первый панъевропейский кодекс поведения в области защиты данных, который ориентирован на поставщиков сервисов облачной инфраструктуры. Кодекс CISPE утвержден Европейским советом по защите данных, который действует в интересах 27 органов, обеспечивающих защиту данных в Европе. Кодекс официально принят Органом по надзору за соблюдением законодательства о защите персональных данных во Франции (CNIL) – главным контролирующим ведомством по надзору. В 2017 году в AWS было сделано заявление об обеспечении соответствия требованиям более ранней версии Кодекса CISPE.

Чтобы помочь клиентам соответствовать требованиям GDPR, AWS предлагает ряд инструментов для контроля доступа к персональным данным, хранящимся как контент клиентов на AWS. Примеры таких инструментов показаны ниже.

• Безопасность по умолчанию означает, что сервисы AWS спроектированы безопасными по умолчанию. При использовании конфигурации по умолчанию доступ к ресурсам предоставляется только владельцу аккаунта и администратору с правами root.
• Управление идентификацией и доступом AWS (IAM) предоставляет клиентам возможности безопасного управления доступом к сервисам и ресурсам AWS. Используя сервис IAM, организации могут создавать пользователей и группы AWS и управлять ими, а также использовать разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
• Многофакторная аутентификация AWS вводит дополнительный уровень защиты, помимо проверки имени пользователя и пароля аккаунта AWS. AWS предоставляет клиентам выбор аппаратного или виртуального устройства MFA.
• Сервис каталогов AWS позволяет клиентам выполнять интеграцию и федерализацию с корпоративными директориями для уменьшения административных накладных расходов и улучшения условий работы конечных пользователей.
• AWS Config позволяет клиентам задействовать встроенные правила, которые проверяют правильность настройки и состояние соответствия для ресурсов AWS.
• AWS CloudTrail позволяет клиентам вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с действиями в инфраструктуре AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
• Amazon Macie помогает клиентам предотвращать потерю данных, используя машинное обучение для автоматического обнаружения, классификации и защиты конфиденциальных данных в AWS. Это полностью управляемый сервис. Он непрерывно выполняет мониторинг действий по доступу к данным для выявления отклонений от нормы и генерирует предупреждения, если обнаруживает риск несанкционированного доступа или неумышленной утечки данных, например когда клиент открыл доступ к конфиденциальным данным извне.

AWS предлагает клиентам и партнерам APN возможность добавить дополнительный уровень безопасности для клиентских данных, хранящихся в облаке, а также помогает им выполнять собственные обязательства (обязательства контролеров данных) в отношении безопасной обработки данных в рамках GDPR. К инструментам шифрования, доступным на AWS, относятся указанные ниже.

• Функции шифрования данных, доступные в сервисах AWS для хранилищ и баз данных, таких как Эластичное блочное хранилище Amazon, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS и Redshift
• Гибкие варианты управления ключами, в том числе Сервис управления ключами AWS, позволяющие клиентам выбирать, сохранять ли полный контроль над ключами шифрования или передать управление ключами AWS
• Очереди зашифрованных сообщений для передачи конфиденциальных данных с помощью шифрования на стороне сервера (SSE) в Amazon SQS
• Выделенные аппаратные хранилища криптографических ключей, использующие AWS CloudHSM, которые позволяют клиентам обеспечить соответствие требованиям

Кроме того, AWS предоставляет API, позволяющие клиентам и партнерам APN интегрировать шифрование и защиту данных с любыми сервисами, которые они разрабатывают или развертывают в среде AWS.

AWS предоставляет своим клиентам целый ряд функций и сервисов, с помощью которых они смогут достичь соответствия требованиям GDPR.

Контроль доступа. Возможность предоставления доступа к ресурсам AWS только авторизованным администраторам, пользователям и приложениям.

• Многофакторная аутентификация (MFA)
• Тщательная настройка доступа к объектам в корзинах Amazon S3/Amazon SQS/Amazon SNS и других сервисах
• Аутентификация через запрос API
• Географические ограничения
• Временные токены доступа, распределяемые с помощью Сервиса токенов безопасности AWS

Мониторинг и ведение журналов. Обзор процессов, происходящих в клиентских ресурсах AWS.

• Управление ресурсами и их настройка с помощью AWS Config
• Аудит на предмет соответствия требованиям и анализ безопасности с помощью AWS CloudTrail
• Определение проблем конфигурации с помощью AWS Trusted Advisor
• Тщательное ведение журналов доступа к объектам Amazon S3
• Предоставление подробных сведений о сетевых потоках с помощью Amazon VPC Flow Logs
• Проверка конфигурации и принятие необходимых мер на основе правил, прописываемых в AWS Config Rules
• Фильтрация и мониторинг доступа к приложениям по HTTP с использованием функций AWS WAF в составе AWS CloudFront

Шифрование. Шифрование данных в AWS.

• Шифрование данных в местах хранения по стандарту AES256 (сервисы EBS/S3/Glacier/RDS)
• Централизованное управление ключами (в пределах одного региона AWS)
• Туннели IPsec, предоставляемые AWS сервисом VPN-Gateways
• Выделение в облаке модулей HSM с помощью AWS CloudHSM

Надежная платформа обеспечения соответствия требованиям и стандарты безопасности. Мы демонстрируем соответствие требованиям, соблюдая строгие международные стандарты, в том числе следующие.

• ISO 27001 относительно технических мер
• ISO 27017 относительно безопасности облака
• ISO 27018 относительно конфиденциальности облака
• SOC 1, SOC 2 и SOC 3, PCI DSS уровня 1
• Common Cloud Computing Controls Catalogue (C5) от BSI
• ENS высокого уровня

Дополнение UK GDPR, которое является частью Условий обслуживания в AWS, включает SCC, утвержденные Европейской комиссией, и соглашение о международной передаче данных (IDTA), выданное регулирующим органом Великобритании по защите информации (Управлением по надзору за информацией).  IDTA дополняет SCC, чтобы они в соответствии с UK GDPR надлежащим образом гарантировали безопасность информации, передающейся за пределы Великобритании в страны, которые не были признаны как обеспечивающие удовлетворительный уровень защиты персональных данных (третьи страны согласно законодательству Великобритании). Дополнение UK GDPR подтверждает, что SCC (дополненные соглашением IDTA) будут автоматически применяться всякий раз, когда клиент использует сервисы AWS для передачи клиентских данных, регулируемых UK GDPR (данных клиентов из Великобритании), в третьи страны.  Поскольку SCC (дополненные соглашением IDTA) являются частью Дополнения UK GDPR, которое входит в Условия обслуживания в AWS, такие положения будут применяться автоматически всякий раз, когда клиент использует сервисы AWS для передачи клиентских данных из Великобритании в третьи страны.