Центр Общих норм защиты данных (GDPR)


Обзор

Принятые в Европейском союзе Общие нормы защиты данных (GDPR) защищают фундаментальные права субъектов данных ЕС на конфиденциальность и защиту личных данных. Общие нормы защиты данных предъявляют жесткие требования, которые повышают и унифицируют стандарты в области защиты данных, безопасности и соответствия требованиям.

Соответствие сервисов AWS нормам GDPR будет обеспечено с момента вступления этих норм в силу 25 мая 2018 г.

AWS не только обеспечит соответствие новым требованиям для своих сервисов, но и готова предложить своим клиентам услуги и ресурсы, которые помогут им выполнить актуальные для их деятельности требования GDPR. AWS регулярно представляет новые функциональные возможности и предлагает более 500 возможностей и сервисов, ориентированных на безопасность и соответствие требованиям.

Реализация норм GDPR в вашей среде AWS

AWS предоставляет специальные функциональные компоненты и сервисы, которые клиенты могут использовать для обеспечения соответствия нормам GDPR.

Шифрование данных в AWS.

  • Шифрование сохраненных клиентских данных по стандарту AES256 (сервисы EBS/S3/Glacier/RDS)
  • Централизованное управление ключами (в пределах одного региона AWS)
  • Туннели IPsec, предоставляемые AWS сервисом VPN-Gateways
  • Выделение в облаке модулей HSM с помощью AWS CloudHSM

Обзор процессов, происходящих в ресурсах AWS клиента.

  • Управление ресурсами и их настройка с помощью AWS Config
  • Аудит и аналитика безопасности с AWS CloudTrail
  • Предоставление подробных сведений о сетевых потоках с помощью Amazon VPC-FlowLogs
  • Проверка конфигурации и принятие необходимых мер на основе правил, прописываемых в AWS Config Rules
  • Фильтрация и мониторинг доступа к приложениям по HTTP с использованием функций AWS WAF в составе AWS CloudFront

Возможность предоставления доступа только авторизованным администраторам, пользователям и приложениям.

  • Многофакторная аутентификация (MFA)
  • Точный и эффективный контроль доступа к объектам в Amazon S3, Amazon SQS и Amazon SNS
  • Аутентификация через запрос API
  • Географические ограничения
  • Временные токены доступа, распределяемые с помощью AWS Security Token Service

Клиенты контролируют собственный контент. AWS предоставляет своим клиентам следующие возможности.

  • Определять, где будет храниться принадлежащий им контент, включая тип хранилища и его географический регион.
  • Выбирать, необходимо ли шифрование контента. Мы предлагаем своим клиентам надежные средства шифрования контента при передаче и хранении, а также предоставляем возможность использовать собственные ключи шифрования.
  • Управлять доступом к своему контенту, а также сервисам и ресурсам AWS с помощью системы пользователей, групп и данных для доступа, которые контролируются клиентом.

Подход с применением встроенной безопасности направлен на достижение следующих целей:

  • создание принудительных функций, недоступных для переопределения пользователями, которые не имеют разрешения на изменение этих функций;
  • организация надежной эксплуатации систем контроля;
  • возможность непрерывного аудита в режиме реального времени;
  • техническое описание политик управления.

Соответствие AWS требованиям стандарта ISO 27018 было проверено независимым инспектором. ISO 27018 является первым международным сводом правил, который направлен на обеспечение защиты личных данных в облаке. Он основан на стандарте информационной безопасности ISO 27002 и содержит руководство по использованию средств контроля этого стандарта, применимых к персональным данным, обрабатываемым поставщиками общедоступных облачных сервисов. Для клиентов это служит доказательством того, что AWS обладает системой средств контроля, демонстрирующих приверженность AWS обеспечению конфиденциальности и защите содержимого клиентов

Использование сервисов AWS

Amazon Macie

Обеспечивает предупреждающую защиту персональных данных (PII) и отслеживает их перемещение.

ПОДРОБНЕЕ ОБ AMAZON MACIE »

AWS Identity and Access Management (IAM)

Используя IAM, можно создавать пользователей AWS и группы пользователей, управлять ими, а также использовать разрешения, чтобы предоставить или запретить доступ к ресурсам AWS.

ПОДРОБНЕЕ ОБ AWS IAM »

Amazon Inspector

Определяйте стандарты и рекомендации для своих приложений и подтверждайте соблюдение этих стандартов.

ПОДРОБНЕЕ ОБ AMAZON INSPECTOR »

AWS Key Management Service (KMS)

Легко создавайте ключи шифрования данных и управляйте ими.

ПОДРОБНЕЕ ОБ AWS KMS »

Вопросы и ответы по GDPR

  • Что такое GDPR?

    Общий регламент по защите данных (General Data Protection Regulation, или GDPR) – это новый европейский закон о конфиденциальности данных, который вступит в силу 25 мая 2018 года. GDPR придет на смену Директиве ЕС о защите данных, также известной как Директива 95/46/EC. Его цель – унифицировать законодательство ЕС в области защиты данных путем принятия единого закона о защите данных, обязательного для исполнения всеми странами-участницами ЕС.

  • Какие организации подпадают под действие GDPR?

    Нормы GDPR применяются ко всем организациям, созданным в ЕС, и к организациям, независимо от того, созданы они в ЕС или нет, которые обрабатывают персональные данные субъектов данных ЕС в связи с предложением субъектам данных в ЕС товаров или услуг или мониторингом поведения, происходящего в ЕС. Под «персональными данными» подразумевается любая информация, касающаяся идентифицированного или идентифицируемого физического лица.

  • Как вступление GDPR в силу отразится на существующих законах ЕС о защите данных?

    GDPR заменит существующую Директиву ЕС о защите данных (также известную как Директива 95/46/EC). Начиная с 25 мая 2018 года существующая Директива ЕС о защите данных и принятые в соответствии с ней местные законодательные акты станут недействительны.

  • Как AWS готовится к вступлению GDPR в силу?

    Специалисты AWS по обеспечению соответствия требованиям, безопасности и защите данных активно работают с клиентами по всему миру – отвечают на их вопросы и помогают им в подготовке к работе в облаке AWS после вступления GDPR в силу. Кроме того, они анализируют различные меры, предпринятые AWS, на предмет соответствия требованиям GDPR. Мы официально заявляем, что к моменту вступления GDPR в силу в мае 2018 года все сервисы AWS будут соответствовать требованиям этого закона.

    Мы также разработали новое соглашение об обработке данных (GDPR DPA), соответствующее требованиям GDPR. Соглашение GDPR DPA доступно всем клиентам AWS уже сейчас. Оно поможет подготовиться к вступлению GDPR в силу в мае 2018 года. Дополнительную информацию о GDPR DPA (а также копию соглашения) можно получить у персонального менеджера AWS.

    Кроме того, недавно AWS объявила о том, что ее сервисы соответствуют требованиям Кодекса поведения CISPE. Благодаря Кодексу поведения CISPE клиенты могут оценить, насколько сервисы их поставщика облачной инфраструктуры соответствуют требованиям о защите данных, установленным GDPR. AWS официально заявила, что сервисы Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail и Amazon Elastic Block Storage (Amazon EBS) полностью соответствуют требованиям Кодекса поведения CISPE. Таким образом, клиенты получают дополнительные гарантии того, что при работе с AWS они смогут осуществлять полный контроль над своими данными в безопасной и соответствующей требованиям среде. Дополнительную информацию о соответствии AWS требованиям Кодекса поведения CISPE см. на веб-сайте https://cispe.cloud/

    AWS поддерживает неизменно высокий уровень безопасности и соответствия требованиям при выполнении каждой операции. Для AWS нет ничего важнее безопасности, поэтому обеспечение безопасности всегда было нашей первоочередной задачей. Использование передовых для отрасли мер безопасности стало залогом получения множества сертификатов и аттестатов, подтверждающих соответствие наших сервисов самым жестким международным стандартам, таким как ISO 27017 в сфере безопасности в облаке, ISO 27018 в сфере конфиденциальности в облаке, SOC 1, SOC 2 и SOC 3, PCI DSS Level 1 и многим другим. Кроме того, AWS помогает своим клиентам добиться соответствия требованиям местных стандартов безопасности, например Cloud Computing Compliance Controls Catalogue (C5) – схеме аттестации, разработанной Федеральным управлением по информационной безопасности (BSI) при поддержке правительства Германии и, соответственно, играющей важную роль для действующих в Германии организаций.

  • Соответствует ли AWS нормам Кодекса поведения, как того требует GDPR?

    AWS announced compliance with the CISPE Data Protection Code of Conduct. CISPE – это объединение поставщиков облачной инфраструктуры (иначе называемой «инфраструктура как сервис»), предлагающих облачные сервисы клиентам в Европе. Благодаря Кодексу поведения CISPE клиенты могут убедиться, что их поставщик облачной инфраструктуры соблюдает надлежащие стандарты по защите данных в соответствии с требованиями GDPR. Почему же Кодекс поведения так важен?

    • В Кодексе уточняются обязанности всех заинтересованных сторон в отношении защиты данных: в Кодексе поведения прописаны роли поставщика и клиента в рамках GDPR, прежде всего в контексте сервисов облачной инфраструктуры.
    • В Кодексе излагаются принципы, которых должны придерживаться поставщики: в Кодексе поведения перечислены обязательства поставщиков и действия, которые они должны предпринять, чтобы обеспечить соответствие требованиям GDPR и помочь своим клиентам добиться соответствия этим требованиям.
    • В Кодексе представлена информация о защите и безопасности данных, необходимая клиентам для принятия решений в области соблюдения требований: Кодекс поведения требует от поставщиков прозрачности в отношении действий, предпринимаемых в рамках выполнения обязательств в сфере обеспечения безопасности. В частности, речь идет об уведомлениях об утечке или удалении данных и их обработке сторонними организациями, а также о запросах от правоохранительных и государственных структур. Клиенты могут использовать эту информацию, чтобы лучше понимать, какой уровень безопасности обеспечивает поставщик облачных сервисов.

    Информацию о том, как AWS обрабатывает запросы правоохранительных органов, см. в техническом описании «Вопросы размещения данных в контексте AWS».

  • Как вступление GDPR в силу отразится на организациях, работающих в ЕС?

    Одной из основных задач GDPR является унификация процесса обеспечения безопасности при обработке, использовании и передаче персональных данных всеми странами-участницами ЕС. Организации должны будут на регулярной основе демонстрировать защищенность обрабатываемых ими данных и общее соответствие требованиям GDPR. Для этого им нужно будет внедрить и регулярно пересматривать строгие меры организационно-технического плана, а также политики в области соответствия требованиям.

  • С помощью каких сервисов AWS клиенты могут добиться соответствия требованиям GDPR?

    AWS предоставляет своим клиентам целый ряд возможностей и сервисов, с помощью которых они смогут добиться соответствия требованиям GDPR.


    Контроль доступа: возможность предоставления доступа к ресурсам AWS только авторизованным администраторам, пользователям и приложениям

    • Многофакторная аутентификация (MFA)
    • Тщательная настройка доступа к объектам в корзинах Amazon S3/Amazon SQS/Amazon SNS и других сервисах
    • Аутентификация через запрос API
    • Географические ограничения
    • Временные токены доступа, распределяемые с помощью AWS Security Token Service


    Мониторинг и ведение журналов: общее представление о процессах, происходящих в ресурсах AWS клиента

    • Управление ресурсами и их настройка с помощью AWS Config
    • Аудит на предмет соответствия требованиям и анализ безопасности с помощью AWS CloudTrail
    • Определение проблем конфигурации с помощью AWS Trusted Advisor
    • Тщательное ведение журналов доступа к объектам Amazon S3
    • Предоставление подробных сведений о сетевых потоках с помощью Amazon VPC-FlowLogs
    • Проверка конфигурации и принятие необходимых мер на основе правил, прописываемых в AWS Config Rules
    • Фильтрация и мониторинг доступа по HTTP к приложениям с функциями WAF в AWS CloudFront
     

    Шифрование: шифрование данных в AWS
     
    • Шифрование сохраненных клиентских данных по стандарту AES256 (сервисы EBS/S3/Glacier/RDS)
    • Централизованное управление ключами (в пределах одного региона AWS)
    • Туннели IPsec, предоставляемые AWS сервисом VPN-Gateways
    • Выделение в облаке модулей HSM с помощью AWS CloudHSM


    Мощная система обеспечения соответствия требованиям и строгие стандарты безопасности

    • Пройдена сертификация по стандарту ISO 27001/9001
    • Пройдена сертификация по стандарту ISO 27017/27018
    • Cloud Computing Compliance Controls Catalogue (C5 – схема аттестации, разработанная при поддержке правительства Германии)
    • AWS совместно с аудиторской компанией TÜV TRUST IT опубликовала Руководство по сертификации клиентов с рекомендациями по соблюдению в облаке требований немецкого стандарта IT Grundschutz, разработанного Федеральным управлением по информационной безопасности (BSI) при поддержке правительства Германии.
  • Что клиенты AWS могут предпринять в рамках подготовки к вступлению GDPR в силу?

    Хотя GDPR вступит в силу лишь в мае 2018 года, мы рекомендуем нашим клиентам и партнерам начать подготовку к этому уже сейчас. Клиентам, уже добившимся высокого уровня соответствия требованиям, безопасности и конфиденциальности данных, внедрение требований GDPR не должно доставить проблем. Тем же, кто только узнал об этом законе, мы рекомендуем начать анализ процессов защиты данных, обеспечения безопасности и соответствия требованиям прямо сейчас, чтобы в мае 2018 года проблем не возникло. Всем, кто намерен добиться соответствия требованиям GDPR, следует обратить внимание на некоторые основные моменты.

    • Территориальный охват: чтобы организация могла гарантированно выполнять свои обязательства в области соответствия требованиям, необходимо проверить, подпадает ли ее деятельность под действие GDPR. GDPR распространяется на все организации, расположенные на территории ЕС. Однако этот закон может затрагивать и организации, расположенные за пределами ЕС, – все зависит от специфики деятельности каждой конкретной организации.
    • Права субъекта данных: GDPR расширяет права субъектов данных в нескольких областях. К примеру, субъекты данных получают право возражать против обработки своих данных, а также право на переносимость данных. Вам необходимо убедиться, что при обработке персональных данных вы в состоянии соблюдать права субъектов данных.
    • Уведомления об утечке данных: оператор данных должен незамедлительно сообщать соответствующим органам о любых нарушениях требований по защите данных. Благодаря использованию AWS вы можете выбирать, каким образом обрабатывать и защищать персональные данные. Таким образом, вы сможете осуществлять мониторинг собственной среды на предмет утечек и своевременно уведомлять о них регулирующие органы и всех тех, кто может от этого пострадать (как того требует GDPR). Кроме того, AWS незамедлительно сообщает о нарушениях требований стандартов безопасности, связанных с архитектурой сети AWS.
    • Сотрудник по защите данных (DPO): возможно, потребуется назначить DPO, который будет отвечать за безопасность данных и другие вопросы, связанные с обработкой персональных данных.
    • Оценка влияния на защиту данных (DPIA): возможно, вам нужно будет провести оценку DPIA для используемых процессов обработки данных (в некоторых случаях требуется подать соответствующие документы в надзорные органы). Это необходимо для выявления применяемых в организации процедур и процессов обработки данных, а также инструментов контроля, используемых для защиты персональных данных.
    • Соглашение об обработке данных (DPA): возможно, вам нужно будет заключить DPA, соответствующее требованиям GDPR (в частности, в случае перемещения персональных данных за пределы Европейской экономической зоны). Чтобы помочь своим клиентам подготовиться к вступлению GDPR в силу в мае следующего года, AWS разработала GDPR DPA. Это соглашение доступно по требованию.

    AWS предоставляет своим клиентам целый ряд сервисов и специальных возможностей, с помощью которых они смогут добиться соответствия требованиям GDPR. К ним относятся сервисы для контроля доступа, мониторинга, ведения журналов и шифрования. Дополнительную информацию по этим вопросам можно найти выше, в разделе «С помощью каких сервисов AWS клиенты могут добиться соответствия требованиям GDPR?»

    Кроме того, наши специалисты по обеспечению соответствия требованиям, безопасности и защите данных, а также участники партнерской сети AWS работают с клиентами по всей Европе – отвечают на их вопросы и помогают им в подготовке к работе в облаке после вступления GDPR в силу. Дополнительную информацию по этим вопросам можно получить у персонального менеджера AWS.

  • Предлагает ли AWS возможность подписать Приложение по обработке данных (DPA)?

    Да. Дополнительную информацию о том, как клиенты могут подписать Приложение по обработке данных в AWS, см. по ссылке (необходимо войти в систему).

  • Есть ли в Приложении по обработке данных в AWS типовые положения?

    Рабочая группа статьи 29 утвердила Приложение по обработке данных в AWS, которое включает типовые положения. Рабочая группа статьи 29 подтвердила, что типовые положения Приложения по обработке данных в AWS соответствуют требованиям директивы. Это означает, что Приложение по обработке данных в AWS не применяется от случаю к случаю, а является руководящим документом в полном смысле этого слова. Дополнительную информацию об утверждении Приложения по обработке данных в AWS рабочей группой статьи 29 см. на странице https://cnpd.public.lu/en/actualites/international/2015/03/AWS.html

    В соответствии с процедурой рабочей группы статьи 29 ее ведущим органом управления является орган по надзору за соблюдением законодательства о защите персональных данных Люксембурга (CNPD).

    Подробную информацию о том, каким образом клиенты могут подписать дополнительное соглашение об обработке данных в AWS, см. здесь (необходимо войти в систему).

  • Что такое «типовые положения»?

    Стандартные контрактные положения (также известные как «типовые положения») представляют собой набор стандартных требований, определенных и утвержденных Европейской комиссией. Они регламентируют процесс передачи персональных данных от оператора данных к обработчику данных за пределами Европейской экономической зоны.

compliance-contactus-icon
Есть вопросы? Свяжитесь с представителем AWS по соответствию требованиям
Ищете работу в сфере соответствия требованиям?
Подайте заявку сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следите за новостями в Twitter »