Центр Общих норм защиты данных (GDPR)


Обзор

Принятый в Европейском союзе Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR) обеспечивает защиту фундаментальных прав субъектов данных ЕС на конфиденциальность и безопасность личных данных. GDPR – это свод строгих требований, которые повышают и унифицируют стандарты в области защиты данных, безопасности и соответствия требованиям.

Все сервисы AWS, соответствующие требованиям GDPR: узнать больше

AWS не только обеспечит соответствие новым требованиям своих сервисов, но и предлагает своим клиентам услуги и ресурсы, которые помогут им выполнить применимые к их деятельности требования GDPR. AWS регулярно представляет новые функциональные возможности и имеет более 500 функциональных компонентов и сервисов, ориентированных на безопасность и соответствие требованиям.

Реализация норм GDPR в вашей среде AWS

AWS предоставляет специальные функциональные компоненты и сервисы, которые клиенты могут использовать для обеспечения соответствия нормам GDPR.

Шифрование данных в AWS.

  • Шифрование сохраненных клиентских данных по стандарту AES256 (сервисы EBS/S3/Glacier/RDS)
  • Централизованное управление ключами (в пределах одного региона AWS)
  • Туннели IPsec, предоставляемые AWS сервисом VPN-Gateways
  • Выделение в облаке модулей HSM с помощью AWS CloudHSM
Close

Обзор процессов, происходящих в ресурсах AWS клиента.

  • Управление ресурсами и их настройка с помощью AWS Config
  • Аудит и аналитика безопасности с AWS CloudTrail
  • Предоставление подробных сведений о сетевых потоках с помощью Amazon VPC-FlowLogs
  • Проверка конфигурации и принятие необходимых мер на основе правил, прописываемых в AWS Config Rules
  • Фильтрация и мониторинг доступа к приложениям по HTTP с использованием функций AWS WAF в составе AWS CloudFront
Close

Возможность предоставления доступа только авторизованным администраторам, пользователям и приложениям.

  • Многофакторная аутентификация (MFA)
  • Точный и эффективный контроль доступа к объектам в Amazon S3, Amazon SQS и Amazon SNS
  • Аутентификация через запрос API
  • Географические ограничения
  • Временные токены доступа, распределяемые с помощью AWS Security Token Service
Close

Клиенты контролируют собственное содержимое. AWS предоставляет своим клиентам следующие возможности.

  • Определять, где будет храниться принадлежащий им контент, включая тип хранилища и его географический регион.
  • Выбирать, необходимо ли шифрование контента. Мы предлагаем своим клиентам надежные средства шифрования контента при передаче и хранении, а также предоставляем возможность использовать собственные ключи шифрования.
  • Управлять доступом к своему контенту, а также сервисам и ресурсам AWS с помощью системы пользователей, групп и данных для доступа, которые контролируются клиентом.
Close

Подход обеспечения встроенной безопасности направлен на достижение следующих целей:

  • создание принудительных функций, недоступных для переопределения пользователями, которые не имеют разрешения на изменение этих функций;
  • организация надежной эксплуатации систем контроля;
  • непрерывный аудит в режиме реального времени;
  • техническое описание политик управления.
Close

Использование передовых функциональных возможностей позволило получить множество международно признанных сертификатов и аттестатов, подтверждающих соответствие наших сервисов самым строгим международным стандартам, таким как ISO 27001 по техническим мерам, ISO 27017 по безопасности в облаке, ISO 27018 по конфиденциальности в облаке, SOC 1, SOC 2 и SOC 3, PCI DSS, уровень 1, а также сертификатов Европейского союза, таких как Common Cloud Computing Controls Catalogue (C5) Федерального управления по информационной безопасности и ENS High. Кроме того, в AWS было сделано заявление о соответствии требованиям Кодекса поведения CISPE.

Close

Использование сервисов AWS

AWS Key Management Service (KMS)

Легко создавайте ключи шифрования данных и управляйте ими.

ПОДРОБНЕЕ ОБ AWS KMS »

AWS Identity and Access Management (IAM)

Создание пользователей и группы AWS и управление ими. Разрешения сервиса позволяют предоставлять или запрещать пользователям доступ к ресурсам AWS.

ПОДРОБНЕЕ ОБ AWS IAM »

Amazon Inspector

Определяйте стандарты и рекомендации для своих приложений и подтверждайте соблюдение этих стандартов.

ПОДРОБНЕЕ ОБ AMAZON INSPECTOR »

Amazon GuardDuty

Интеллектуальное обнаружение угроз и непрерывный мониторинг для защиты аккаунтов и рабочих нагрузок AWS.

ПОДРОБНЕЕ ОБ AMAZON GUARDDUTY »

Вопросы и ответы по GDPR

  • Что такое GDPR?

    Общий регламент защиты персональных данных (General Data Protection Regulation, GDPR) – это новое постановление Европейского союза о конфиденциальности данных, вступившее в силу 25 мая 2018 года. Регламент GDPR заменил директиву Data Protection Directive, также известную как Директива 95/46/EC. Цель регламента – унифицировать законодательство ЕС в области защиты данных путем принятия единого закона о защите данных, обязательного для исполнения всеми государствами-членами ЕС.

  • На какие организации распространяется действие GDPR?

    Регламент GDPR применим ко всем учрежденным на территории ЕС организациям и предприятиям, независимо от юридического адреса, которые обрабатывают персональные данные субъектов данных ЕС в связи с предложением субъектам данных в ЕС товаров или услуг либо мониторингом поведения на территории ЕС. Под «персональными данными» подразумевается любая информация, касающаяся идентифицированного или идентифицируемого физического лица.

  • Соответствуют ли сервисы AWS требованиям GDPR?

    Мы заявляем, что все сервисы AWS соответствуют требованиям GDPR. Таким образом, развертывая сервисы AWS, клиенты не только получают преимущества от работы в защищенной среде, но также выполняют основную часть своих проектов в соответствии с требованиями GDPR. Дополнительные сведения см. в заявлении о соответствии сервисов требованиям GDPR в блоге AWS о защите безопасности.

  • Предлагает ли AWS возможность подписать Приложение по обработке данных?

    Да. Приложение по обработке данных AWS GDPR со стандартными договорными условиями является частью Условий обслуживания AWS. Доступ к этому документу автоматически получают все клиенты, которым он необходим для выполнения требований GDPR.

  • Соответствует ли AWS нормам Кодекса поведения, как того требует GDPR?

    В феврале 2017 г. в AWS было сделано заявление о выполнении требований Кодекса поведения CISPE в области защиты данных. CISPE – это объединение поставщиков облачной инфраструктуры (также известной как «инфраструктура как сервис»), которые предлагают облачные сервисы клиентам в Европе. Благодаря Кодексу поведения CISPE клиенты могут убедиться, что их поставщик облачной инфраструктуры соблюдает надлежащие стандарты по защите данных в соответствии с требованиями GDPR. Ниже перечислены основные преимущества Кодекса поведения.

    • В Кодексе подробно описаны обязанности всех заинтересованных сторон в отношении защиты данных: в этом документе определены роли поставщика услуг и клиента в рамках GDPR, прежде всего в контексте сервисов облачной инфраструктуры.
    • В Кодексе изложены принципы, которых должны придерживаться поставщики услуг: обязательства поставщиков и действия, которые необходимо предпринять для обеспечения соответствия требованиям GDPR, а также чтобы помочь своим клиентам добиться соответствия этим требованиям.
    • В Кодексе представлена информация о защите и безопасности данных, необходимая клиентам для принятия решений в области соблюдения требований: Кодекс поведения требует от поставщиков прозрачности в отношении действий, предпринимаемых в рамках выполнения обязательств в сфере обеспечения безопасности. В частности, речь идет об уведомлениях об утечке или удалении данных и их обработке сторонними организациями, а также о запросах от правоохранительных и государственных структур. Клиенты могут использовать эту информацию, чтобы лучше понимать, какой уровень безопасности обеспечивает поставщик облачных сервисов.

    Дополнительная информация об обработке запросов правоохранительных структур см. в разделе о запросах правоохранительных структур на доступ к информации.

  • Как постановление Суда Европейского союза, вынесенное в июле 2020 г., повлияет на ключевые механизмы передачи данных в соответствии с требованиями EU-US Privacy Shield?

    Для AWS главным приоритетом является безопасность данных клиентов, поэтому мы применяем жесткие технические и организационные меры для защиты конфиденциальности, целостности и обеспечения доступности данных независимо от выбранного клиентом региона AWS. Кроме того, мы предлагаем лучшие в отрасли сервисы шифрования, предоставляя клиентам целый спектр возможностей шифрования данных во время передачи и хранения. Поскольку Суд Европейского союза в качестве механизма передачи данных за пределы Европейского союза утвердил стандартные договорные условия, наши клиенты, которым необходимо передать данные за пределы Европейского союза в соответствии с требованиями GDPR, могут по-прежнему руководствоваться стандартными договорными условиями, приведенными в Приложении по обработке данных AWS GDPR. Приложение по обработке данных AWS GDPR со стандартными договорными условиями является частью Условий обслуживания AWS. Оно распространяется на всех клиентов, передающих персональные данные из ЕС в любой регион AWS во всем мире, в том числе в США.

    После вынесения в июле 2020 г. Судом Европейского союза соответствующего постановления в нашем блоге было опубликовано 2 статьи: Новость от клиента: AWS и EU-US Privacy Shield и AWS и передача данных в пределах ЕС: упрочение обязательств по защите данных клиентов. Следите за новостями и напоминаниями с тегом GDPR в блоге AWS о защите безопасности.

  • С помощью каких сервисов AWS клиенты могут добиться соответствия требованиям GDPR?

    AWS предоставляет своим клиентам целый ряд возможностей и сервисов, с помощью которых они смогут достичь соответствия требованиям GDPR.

    Контроль доступа: возможность предоставления доступа к ресурсам AWS только авторизованным администраторам, пользователям и приложениям

    • Многофакторная аутентификация (MFA)
    • Тщательная настройка доступа к объектам в корзинах Amazon S3/Amazon SQS/Amazon SNS и других сервисах
    • Аутентификация через запрос API
    • Географические ограничения
    • Временные токены доступа, распределяемые с помощью AWS Security Token Service

    Мониторинг и ведение журналов: обзор процессов, происходящих в ресурсах AWS клиента

    • Управление ресурсами и их настройка с помощью AWS Config
    • Аудит на предмет соответствия требованиям и анализ безопасности с помощью AWS CloudTrail
    • Определение проблем конфигурации с помощью AWS Trusted Advisor
    • Тщательное ведение журналов доступа к объектам Amazon S3
    • Предоставление подробных сведений о сетевых потоках с помощью Amazon VPC-FlowLogs
    • Проверка конфигурации и принятие необходимых мер на основе правил, прописываемых в AWS Config Rules
    • Фильтрация и мониторинг доступа по HTTP к приложениям с функциями WAF в AWS CloudFront

    Шифрование: шифрование данных в AWS

    • Шифрование сохраненных клиентских данных по стандарту AES256 (сервисы EBS/S3/Glacier/RDS)
    • Централизованное управление ключами (в пределах одного региона AWS)
    • Туннели IPsec, предоставляемые AWS сервисом VPN-Gateways
    • Выделение в облаке модулей HSM с помощью AWS CloudHSM

    Мощная система обеспечения соответствия требованиям и строгие стандарты безопасности:

    • Пройдена сертификация по стандарту ISO 27001/9001
    • Пройдена сертификация по стандарту ISO 27017/27018
    • Cloud Computing Compliance Controls Catalogue (C5 – схема аттестации, разработанная при поддержке правительства Германии)
    • AWS параллельно с аудиторской компанией TÜV TRUST IT, опубликовала практическое руководство по сертификации клиентов, которое содержит рекомендации по достижению в облаке соответствия требованиям Основополагающих правил для ИТ, составленных Федеральным управлением по информационной безопасности Германии.
  • На какие ключевые моменты стоит обратить внимание пользователям, которые стремятся к соответствию требованиям GDPR?

    • Территориальный охват. Чтобы гарантированно выполнять свои обязательства в области соответствия требованиям GDPR, необходимо проверить, распространяется ли действие Регламента на деятельность организации. Регламент GDPR распространяется на все организации на территории ЕС. Однако Регламент также может применяться к организациям за пределами ЕС. Все зависит от специфики деятельности каждой конкретной организации.
    • Права субъекта данных. Регламент GDPR расширяет права субъектов данных в нескольких плоскостях. К примеру, субъекты данных получают право возражать против обработки данных, а также право на доступ к персональным данным. Компаниям, на которые распространяется действие GDPR, необходимо убедиться в способности соблюдать права субъектов данных при обработке персональных данных.
    • Уведомления об утечке данных. Контролерам данных может потребоваться сообщить об утечке персональных данных соответствующему контролирующему органу или пострадавшим лицам в определенные сроки. Используя сервисы AWS, пользователи могут контролировать процессы обработки и защиты персональных данных. Подобный уровень контроля обеспечивает мониторинг собственной среды на предмет утечек и позволяет уведомлять о них контролирующие органы и пострадавших лиц согласно GDPR. Кроме того, при наличии фактических сведений AWS как обработчик данных без неоправданной задержки уведомит вас о нарушении нашей безопасности, обуславливающем случайное или незаконное уничтожение, утечку, изменение, несанкционированное раскрытие или доступ к каким-либо персональным данным, загруженным в сервисы AWS в вашем аккаунте.
    • Тестирование рисков защиты данных. В некоторых случаях возникает необходимость протестировать применимые процессы обработки данных на предмет рисков защиты данных, а также подать соответствующие документы контролирующим органам. Это необходимо для выявления применяемых в организации процедур и процессов обработки данных, а также инструментов контроля, используемых для защиты персональных данных.
    • Соглашение об обработке данных. В некоторых случаях может возникнуть необходимость в соответствующем требованиям GDPR соглашении об обработке данных. AWS предлагает своим клиентам соглашение об обработке данных согласно GDPR, которое включено в Условия обслуживания AWS и автоматически применяется ко всем клиентам, которые стремятся к соответствию требованиям GDPR. AWS предоставляет своим клиентам целый ряд сервисов и специальных возможностей, с помощью которых они смогут добиться соответствия требованиям GDPR. К ним относятся сервисы для контроля доступа, мониторинга, ведения журналов и шифрования. Дополнительную информацию по этим вопросам можно найти выше, в разделе «С помощью каких сервисов AWS клиенты могут добиться соответствия требованиям GDPR?»
  • Как доказать органам, регулирующим защиту данных, что использование AWS соответствует требованиям GDPR?

    AWS предоставляет полезную для клиентов и партнеров APN информацию, в том числе несколько отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов и положений по вычислительной безопасности, в качестве подтверждения того, что AWS поддерживает высокий уровень соответствия требованиям для своей инфраструктуры. Благодаря этим отчетам наши клиенты и партнеры APN могут быть уверены, что мы защищаем персональные данные, которые они обрабатывают на AWS. Ярким примером является соответствие AWS стандартам ISO 27001, 27017, 27018. ISO 27018 содержит описание средств управления безопасностью, которые предназначены для защиты персональных данных. Подробнее о соответствии AWS стандарту ISO 27108 см. на странице https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS также соответствует требованиям Кодекса поведения CISPE по защите данных. CISPE – это объединение поставщиков облачной инфраструктуры (модель «инфраструктура как сервис»), предоставляющих облачные сервисы клиентам в Европе. Благодаря Кодексу поведения CISPE клиенты и партнеры APN могут быть уверены, что их поставщик облачной инфраструктуры соблюдает надлежащие стандарты по защите данных в соответствии с требованиями GDPR. Ниже перечислены основные преимущества Кодекса поведения.

    • В Кодексе подробно описаны обязанности всех заинтересованных сторон в отношении защиты данных: в этом документе определены роли поставщика услуг и клиента в рамках GDPR, прежде всего в контексте сервисов облачной инфраструктуры.
    • В Кодексе изложены принципы, которых должны придерживаться поставщики услуг: в документе перечислены обязательства поставщиков и действия, которые они должны предпринять, чтобы обеспечить соответствие требованиям GDPR и помочь своим клиентам и партнерам APN достичь соответствия этим требованиям.

    В Кодексе представлена информация о защите и безопасности данных, необходимая клиентам и партнерам APN для принятия решений в области соблюдения требований. Кодекс поведения требует от поставщиков прозрачности в отношении действий, предпринимаемых в рамках выполнения обязательств в сфере обеспечения безопасности. В частности, речь идет об уведомлениях об утечке или удалении данных и их обработке сторонними организациями, а также о запросах от правоохранительных и государственных структур. Клиенты и партнеры APN могут использовать эту информацию, чтобы понимать, какой уровень безопасности обеспечивает поставщик облачных сервисов.

  • Есть ли у AWS субподрядчики по обработке данных?

    Мы уведомляем наших клиентов и партнеров APN об использовании услуг субподрядчиков для обработки данных на веб-странице с информацией о субподрядных обработчиках данных AWS. Это обязательство включено в Положение в отношении обработки данных AWS GDPR DPA. Приложение в отношении обработки данных AWS GDPR интегрировано в Условия обслуживания AWS и автоматически применяется ко всем клиентам, которые стремятся к соответствию требованиям GDPR.

  • Согласно GDPR AWS является обработчиком данных или контролером данных?

    В соответствии с терминологией GDPR AWS выступает обработчиком данных и контролером данных.

    • AWS как обработчик данных. Когда клиенты и участники партнерской сети AWS (APN) используют сервисы AWS для обработки персональных данных в рамках собственного контента, AWS выступает в качестве обработчика данных. Для обработки персональных данных клиенты и партнеры APN могут использовать инструменты управления AWS, в том числе инструменты обеспечения безопасности. При таких условиях клиент или партнер APN сам может выступать в роли контролера или обработчика данных, а AWS выступает в качестве обработчика данных или субподрядчика. AWS предлагает своим клиентам Приложение по обработке данных, которое не только соответствует требованиям GDPR, но и описывает обязательства AWS как обработчика данных.
    • AWS в роли контролера данных. Когда AWS собирает персональные данные и определяет способы и цели обработки этих персональных данных (например, когда AWS сохраняет информацию об аккаунте для его регистрации, администрирования, а также доступа к сервисам или контактную информацию для аккаунта AWS в целях поддержки клиентов), выступает в роли контролера данных.
  • Как GDPR влияет на модель общей ответственности AWS?

    GDPR не меняет модель общей ответственности AWS. Она сохраняет свою актуальность для клиентов и партнеров APN, которые активно используют облачные вычислительные сервисы. Модель общей ответственности – полезный принцип, демонстрирующий разграничение ответственности AWS (в качестве обработчика данных или субподрядчика) и клиентов или партнеров APN (как обработчиков данных или операторов данных) в рамках GDPR.

    В рамках модели общей ответственности на AWS налагаются определенные обязательства в отношении защиты безопасность базовой инфраструктуры, которая поддерживает облако. Клиенты и партнеры APN, выступающие в роли контролеров или операторов данных, несут ответственности за все персональные данные, которые они размещают в облаке.

    Какие обязательства несет AWS как обработчик данных

    AWS несет ответственность за защиту глобальной инфраструктуры, которая обеспечивает работу всех сервисов в облаке AWS. Данная инфраструктура состоит из аппаратного обеспечения, программного обеспечения, сетей и объектов, обеспечивающих работу сервисов AWS. Эти системы предоставляют клиентам и партнерам APN мощные инструменты управления, в том числе инструменты настройки безопасности для обработки контента клиентов. Защита инфраструктуры является основным приоритетом AWS. AWS предоставляет ряд отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов и положений по вычислительной безопасности (подробнее см. на странице https://aws.amazon.com/compliance). Благодаря этим отчетам наши клиенты и партнеры APN могут быть уверены, что мы защищаем персональные данные, которые они обрабатывают на AWS. Ярким примером является соответствие AWS стандартам ISO 27001, 27017 и 27018. ISO 27018 содержит описание средств управления безопасностью, которые предназначены для защиты персональных данных. Подробнее о соответствии AWS стандарту ISO 27108 см. на странице https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS также несет ответственность за настройки безопасности своих технологий, которые называются управляемыми сервисами. Примеры таких сервисов: Amazon DynamoDB, Amazon RDS, Amazon Redshift, Amazon Elastic MapReduce и некоторые другие. Эти сервисы AWS обеспечивают масштабируемость, гибкость облачных ресурсов и возможность управления ими. Для таких сервисов AWS выполняет базовые задачи по обеспечению безопасности: поддержку безопасности операционной системы, установку исправлений базы данных, настройку брандмауэра и аварийное восстановление. При использовании управляемых сервисов AWS клиенты и партнеры APN настраивают логические инструменты контроля доступа к своим ресурсам и защиты собственных данных для доступа. Для некоторых сервисов могут потребоваться дополнительные операции, например настройка пользовательских аккаунтов для базы данных, но основные действия по настройке безопасности выполняются сервисом AWS. Используя все эти сервисы AWS, клиенты и партнеры APN несут ответственность за все персональные данные, размещенные в облаке.

    Ответственность клиентов и партнеров APN как контролеров данных: чем могут помочь сервисы AWS.

    Облако AWS позволяет клиентам и партнерам APN выделять виртуальные серверы, хранилища, базы данных и рабочие столы за несколько минут, а не недель. Они также могут использовать облачную аналитику и рабочие процессы для обработки данных требуемым способом с последующим сохранением данных в собственные центры обработки данных или в облако. Использование клиентами и партнерами APN сервисов AWS определяет объем работ по настройке, которые должен выполнить клиент в рамках своих обязанностей по соответствию GDPR. Продукты AWS, предоставляемые по модели «инфраструктура как услуга» (IaaS), например Amazon EC2, Amazon VPC и Amazon S3, находятся под полным контролем клиентов или партнеров APN, поэтому последние должны самостоятельно проводить необходимую настройку безопасности и процессов управления. Например, при использовании инстансов EC2 клиенты и партнеры APN несут ответственность за управление гостевой ОС (включая установку обновлений и исправлений уязвимостей) и всеми приложениями на инстансах, а также за настройку брандмауэра, предоставляемого AWS (групп безопасности) на каждом инстансе. Эти задачи безопасности необходимо решать вне зависимости от местонахождения серверов.

    Для реализации принципов встроенной безопасности и безопасности по умолчанию мы рекомендуем клиентам и партнерам APN защищать свои данные для доступа к аккаунту AWS и настраивать аккаунты отдельных пользователей с помощью Amazon Identity and Access Management (IAM), чтобы у каждого пользователя были свои собственные данные для входа. Таким образом можно реализовать доступ к данным на основе разрешений и разделить полномочия на основе ролей пользователей. Мы также рекомендуем использовать для каждого аккаунта многофакторную аутентификацию (MFA), требовать использования SSL/TLS для связи с ресурсами AWS, настраивать ведение журналов вызовов API и действий пользователей с помощью AWS CloudTrail, применять решения AWS для шифрования и другие средства обеспечения безопасности сервисов AWS. Для обеспечения соответствия требованиям GDPR клиенты и партнеры APN могут использовать расширенные сервисы безопасности (например, Amazon GuardDuty) в целях безопасности аккаунтов и инфраструктуры, а также Amazon Macie для обнаружения и защиты персональных данных, которые хранятся в Amazon S3.

  • К кому обращаться с вопросами о GDPR и AWS?

    Если у клиентов и партнеров APN остаются вопросы о GDPR, рекомендуем им в первую очередь обратиться к персональному менеджеру AWS. При наличии уровня поддержки Enterprise Support можно также обратиться к своему персональному техническому менеджеру. Персональные технические менеджеры (TAM) работают в контакте с архитекторами решений, чтобы помочь клиентам выявить потенциальные риски и возможности их нейтрализации. Персональные технические менеджеры (TAM) и сотрудники, отвечающие за поддержку аккаунта, могут предлагать конкретные ресурсы в зависимости от среды и потребностей клиентов и партнеров APN.

    С вопросами о GDPR обращайтесь к представителям уровня поддержки «Корпоративный», консультантам Professional Services и другим сотрудникам AWS.

  • Какое техническое руководство по GDPR предоставляет AWS клиентам и партнерам APN?

    AWS предлагает клиентам и партнерам APN ряд ресурсов для достижения соответствия требованиям GDPR. Ответы на вопросы клиентов и партнеров APN о GDPR предоставляют представители уровня поддержки «Корпоративный», консультанты Professional Services и другие сотрудники AWS. Можно выполнить поиск в AWS Partner Solutions Finder по ключевому слову GDPR, чтобы помочь им находить независимых поставщиков программного обеспечения, поставщиков управляемых сервисов и системных интеграторов, продукты и сервисы которых помогают выполнить требования GDPR. Кроме того, искать решения по ключевому слову GDPR можно и на веб-сайте AWS Marketplace.

  • Предоставляет ли AWS помощь по выполнению требований GDPR в рамках оказания профессиональных услуг?

    Команда AWS Professional Services проводит мероприятия для клиентов и партнеров APN, помогая им обеспечить соответствие требованиям GDPR. Команда AWS Professional Services также работает напрямую с клиентами и партнерами APN, предлагая им техническое руководство по вопросам GDPR и реализации встроенной защиты данных и защиты данных по умолчанию с помощью инструментов AWS.

  • Как AWS Support помогает соответствовать требованиям GDPR?

    Команда AWS Premium Support работает с клиентами и партнерами APN, предлагая им техническое руководство по соответствию требованиям GDPR. В рамках этой деятельности у нас имеются специалисты по облачной поддержке и персональные менеджеры технической поддержки (TAM), которые подготовлены для помощи в обнаружении рисков в вопросах соответствия требованиям и их нейтрализации. Клиентам и партнерам APN, ориентированным на соответствие требованиям GDPR, могут пригодиться следующие две программы.

    • Cloud Operations Review. Программа доступна для клиентов AWS Support с уровнем поддержки «Корпоративный» и предназначена для определения пробелов в подходе клиентов к работе в облаке. Программа создана на основе ряда рекомендаций, полученных из опыта работы AWS с большим количеством типовых клиентов. Она представляет собой обзор облачных операций и соответствующих методов управления, поэтому может помочь организациям соответствовать требованиям GDPR. В программе использован четырехсторонний подход: подготовка, мониторинг, использование и оптимизация облачных систем для достижения эффективности бизнес-процессов.
    • Оценка Well-Architected Review. Эта программа позволяет организациям сопоставить свою архитектуру с рекомендациями AWS с целью создания безопасной, надежной, высокопроизводительной и экономичной архитектуры. Оценки Well-Architected Review позволяют клиентам и партнерам APN выявить риски в архитектуре и устранить их до начала эксплуатации приложений.

    Подробная информация об AWS Premium Support для клиентов и партнеров APN приведена в Центре AWS Support на консоли управления AWS. Клиенты и партнеры APN могут воспользоваться контактными данными, приведенными в соглашении AWS об Enterprise Support, или перейти на страницу AWS Premium Support по адресу https://aws.amazon.com/premiumsupport/. По вопросам GDPR клиентам с уровнем поддержки Enterprise Support следует обращаться к персональному техническому менеджеру.

  • Как AWS обрабатывает инструкции по удалению, поступающие от клиентов?

    Сервисы AWS позволяют клиентам удалять контент по требованию с помощью консоли управления AWS, API и других методов ввода команд. Подробную информацию о функциональных возможностях конкретных сервисов см. на странице https://aws.amazon.com/documentation.  

  • Какие инструменты AWS предоставляет для реализации технических и организационных мер, необходимых для встроенной защиты данных и защиты данных по умолчанию?

    Многие требования GDPR направлены на управление данными и их защиту. Сервисы AWS обеспечивают клиентам и партнерам APN возможность реализовать собственные меры безопасности в соответствие с GDPR, в том числе перечисленные ниже конкретные тактические меры.

    • Шифрование персональных данных
    • Возможность обеспечить постоянную конфиденциальность, целостность, доступность, отказоустойчивость обрабатывающих систем и сервисов
    • Возможность своевременно восстановить доступность персональных данных и доступ к ним в случае физического или технического сбоя
    • Процесс регулярной проверки и оценки эффективности технических мер в целях обеспечения безопасности обработки

    У AWS имеется продвинутый ряд сервисов безопасности и соответствия требованиям, которые можно развертывать для соответствия требованиям GDPR, включая перечисленные ниже.

    • Amazon GuardDuty – интеллектуальный сервис обнаружения угроз, который постоянно отслеживает вредоносное или несанкционированное поведение
    • Amazon Macie – сервис, который использует машинное обучение для обнаружения и классификации персональных данных, хранящихся в Amazon S3
    • Amazon Inspector – сервис автоматизированной оценки безопасности, который поддерживает соответствие приложений рекомендациям по безопасности
    • Правила AWS Config позволяют динамически проверять облачные ресурсы на соответствие правилам безопасности

    Также AWS публикует техническое описание под названием Обеспечение соответствия требованиям GDPR в AWS, в котором подробно описаны способы соотношения ресурсов и понятия мониторинга, доступа к данным, управления ключами и пр. 

  • Какие действующие меры безопасности для защиты систем реализованы в AWS?

    Сегодня облачная инфраструктура AWS является одной из самых гибких и защищенных сред для облачных вычислений. Масштаб Amazon позволяет инвестировать в стратегию безопасности и защитные меры значительно больше, чем может позволить себе большинство других крупных компаний. Наша базовая инфраструктура состоит из аппаратного обеспечения, программного обеспечения, сетей и объектов, обеспечивающих работу сервисов AWS. Все это предоставляет клиентам и партнерам APN эффективные инструменты управления, в том числе инструменты настройки безопасности для обработки персональных данных.

    AWS также предоставляет ряд отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов и положений по компьютерной безопасности, в том числе требованиям ISO 27001, ISO 27017, ISO 27018. Для оценки эффективности этих мер мы предоставляем клиентам и партнерам APN доступ к сторонним отчетам по аудиту через Консоль управления AWS. В этих отчетах для клиентов и партнеров APN указывается, кто может выступать оператором данных или обработчиком данных и как мы защищаем базовую инфраструктуру, на основе которой выполняется хранение и обработка персональных данных. Дополнительные сведения см. на странице https://aws.amazon.com/compliance

  • Как AWS может помочь операторам данных выполнять свои обязательства по уведомлениям об утечке персональных данных в рамках GDPR?

    AWS применяет процедуру мониторинга угроз безопасности и уведомления об утечке данных. Компания обязуется информировать клиентов и партнеров APN обо всех нарушениях безопасности AWS, обуславливающих случайное или незаконное уничтожение, утечку, изменение, несанкционированное раскрытие или доступ к каким-либо персональным данным, загруженным в аккаунт AWS. AWS также предоставляет клиентам и партнерам APN набор инструментов для получения информации о том, кто, когда и откуда получил доступ к их ресурсам. Один из таких инструментов – AWS CloudTrail. Сервис позволяет управлять аккаунтом AWS, обеспечивать соответствие требованиям и проводить аудит операционных процессов и рисков. С помощью AWS CloudTrail можно вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях в аккаунте в пределах инфраструктуры AWS. Таким образом, в распоряжении организации находится информация о том, что происходит с корпоративной инфраструктурой AWS. Более того, компания может незамедлительно принимать меры в случае подозрительных действий. Подробнее об AWS CloudTrail и других инструментах безопасности, предоставляемых AWS клиентам для обеспечения соответствия требованиям GDPR как контролеров данных, см. на странице https://aws.amazon.com/security/.  

  • Как AWS помогает защитить данные от кибератак?

    AWS предоставляет клиентам и партнерам APN ряд инструментов для обеспечения безопасности данных и защиты от кибератак. Один из таких инструментов – AWS Shield. Это управляемый сервис защиты от атак типа «распределенный отказ в обслуживании» (DDoS). Он защищает приложения и веб-сайты, работающие на AWS. AWS Shield Standard предоставляется бесплатно, он обеспечивает непрерывное обнаружение и автоматическую линейную нейтрализацию атак, сокращая время простоя и задержку приложений. Клиенты и партнеры APN могут оформить подписку на AWS Shield Advanced и обеспечить защиту более высокого уровня от атак, нацеленных на веб-приложения в сервисах AWS, которые используют ресурсы ELB, Amazon CloudFront и Amazon Route 53. Также AWS публикует и регулярно обновляет рекомендации AWS по обеспечению устойчивости к DDoS-атакам, которые помогают клиентам использовать AWS для создания приложений, устойчивых к DDoS-атакам.

    Другие инструменты AWS для защиты от кибератак перечислены ниже.

    • Сервис AWS Identity and Access Management (IAM) предоставляет организациям возможности безопасного управления доступом к сервисам и ресурсам AWS. С помощью IAM клиенты и партнеры APN могут создавать пользователей AWS и группы пользователей, управлять ими, а также применять разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
    • AWS Config позволяет клиентам и партнерам APN задействовать встроенные правила, которые проверяют правильность настройки и состояние соответствия для ресурсов AWS.
    • AWS CloudTrail позволяет организациям вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с ресурсами AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
    • Amazon GuardDuty – это управляемый сервис обнаружения угроз, который постоянно отслеживает вредоносное или несанкционированное поведение с целью защиты аккаунтов AWS и связанных рабочих нагрузок. Он отслеживает действия, которые могут представлять угрозу для аккаунтов, например необычные вызовы API или потенциально несанкционированные развертывания. GuardDuty также обнаруживает потенциально опасные инстансы или исследование систем злоумышленниками.
  • Какие есть инструменты для поиска персональных данных в контенте на AWS?

    Amazon Macie – это полностью управляемый сервис, который обеспечивает безопасности и конфиденциальности данных и использует Machine Learning и сопоставление с шаблонами для обнаружения и защиты конфиденциальных данных в AWS. По мере роста объема данных, с которыми работают организации, распознавание и защита больших объемов конфиденциальных данных становится все более сложной, дорогостоящей и трудоемкой задачей. Сервис Amazon Macie позволяет автоматизировать обнаружение конфиденциальных данных и снизить затраты на их защиту. Macie автоматически предоставляет перечень корзин Amazon S3, включая список незашифрованных и общедоступных корзин, а также корзин, доступ к которым предоставлен аккаунтам AWS, не включенным в AWS Organizations. Кроме того, сервис Macie применяет к выбранным корзинам методы Machine Learning и сопоставления с шаблонами, чтобы распознавать конфиденциальные данные и отправлять уведомления о них.

    Сервис Macie сертифицирован по признанным на международном уровне стандартам, например ISO 27017 в сфере безопасности в облаке и ISO 27018 в сфере конфиденциальности в облаке. Клиенты и партнеры APN могут использовать Macie для непрерывного мониторинга доступа к данным, чтобы обнаружить подозрительные действия на основе шаблонов доступа.

  • Как управлять доступом к персональным данным в контенте на AWS?

    Чтобы помочь клиентам и партнерам APN соответствовать требованиям GDPR, AWS предлагает ряд инструментов для контроля доступа к персональным данным, хранящимся как контент клиентов на AWS. Примеры таких инструментов показаны ниже.

    • Безопасность по умолчанию означает, что сервисы AWS спроектированы безопасными по умолчанию. При использовании конфигурации по умолчанию доступ к ресурсам предоставляется только владельцу аккаунта и администратору с правами root.
    • Сервис AWS Identity and Access Management (IAM) предоставляет клиентам и партнерам APN возможности безопасного управления доступом к сервисам и ресурсам AWS. Используя сервис IAM, организации могут создавать пользователей и группы AWS и управлять ими, а также использовать разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
    • AWS Multi-Factor Authentication вводит дополнительный уровень защиты, помимо проверки имени пользователя и пароля. AWS предоставляет клиентам выбор аппаратного или виртуального устройства MFA.
    • AWS Directory Service позволяет клиентам и партнерам APN выполнять интеграцию и федерацию с корпоративными директориями для уменьшения административных издержек и оптимизации обслуживания конечных пользователей.
    • AWS Config позволяет клиентам и партнерам APN задействовать встроенные правила, которые проверяют правильность настройки и состояние соответствия для ресурсов AWS.
    • AWS CloudTrail помогает клиентам и партнерам APN вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях в аккаунте в пределах всей используемой инфраструктуры AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок.
    • Amazon Macie помогает клиентам предотвращать потерю данных, используя машинное обучение для автоматического обнаружения, классификации и защиты конфиденциальных данных в AWS. Amazon Macie является полностью управляемым сервисом. Он непрерывно выполняет мониторинг действий по доступу к данным для выявления отклонений от нормы и генерирует предупреждения, если обнаруживает риск несанкционированного доступа или неумышленной утечки данных, например когда клиент открыл доступ к конфиденциальным данным извне.
  • Как зашифровать персональные данные на AWS, чтобы предотвратить неавторизованный доступ?

    AWS предлагает клиентам и партнерам APN возможность добавить дополнительный уровень безопасности для данных, хранящихся в облаке, а также помогает им выполнять собственные обязательства (обязательства контролеров данных) в отношении безопасной обработки данных в рамках GDPR. К инструментам шифрования, доступным на AWS, относятся указанные ниже.

    • Функции шифрования данных, доступные в сервисах AWS для хранилищ и баз данных, таких как Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS и Redshift
    • Гибкие варианты управления ключами, включая AWS Key Management Service, позволяющие клиентам выбирать, сохранять полный контроль над ключами шифрования или передать управление ключами AWS
    • Очереди зашифрованных сообщений для передачи конфиденциальных данных с помощью шифрования на стороне сервера (SSE) в Amazon SQS
    • Выделенные аппаратные хранилища криптографических ключей, использующие AWS CloudHSM, которые позволяют клиентам обеспечить соответствие требованиям
     
    Кроме того, AWS предоставляет API, позволяющие клиентам и партнерам APN интегрировать шифрование и защиту данных с любыми сервисами, которые они разрабатывают или развертывают в среде AWS.
compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »