Центр Общих норм защиты данных (GDPR)


Обзор

Принятые в Европейском союзе Общие нормы защиты данных (GDPR) защищают фундаментальные права субъектов данных ЕС на конфиденциальность и защиту личных данных. Общие нормы защиты данных предъявляют жесткие требования, которые повышают и унифицируют стандарты в области защиты данных, безопасности и соответствия требованиям.

Все сервисы AWS соответствуют требованиям GDPR – Подробнее

AWS не только обеспечивает соответствие новым требованиям для своих сервисов, но и готова предложить своим клиентам сервисы и ресурсы, которые помогут им выполнить актуальные для их деятельности требования GDPR. AWS регулярно предоставляет новые функциональные возможности и предлагает более 500 возможностей и сервисов для безопасности и соответствия требованиям.

Реализация норм GDPR в вашей среде AWS

AWS предоставляет специальные функциональные компоненты и сервисы, которые клиенты могут использовать для обеспечения соответствия нормам GDPR.

Шифрование данных в AWS.

  • Шифрование сохраненных клиентских данных по стандарту AES256 (сервисы EBS/S3/Glacier/RDS)
  • Централизованное управление ключами (в пределах одного региона AWS)
  • Туннели IPsec, предоставляемые AWS сервисом VPN-Gateways
  • Выделение в облаке модулей HSM с помощью AWS CloudHSM

Обзор процессов, происходящих в ресурсах AWS клиента.

  • Управление ресурсами и их настройка с помощью AWS Config
  • Аудит и аналитика безопасности с AWS CloudTrail
  • Предоставление подробных сведений о сетевых потоках с помощью Amazon VPC-FlowLogs
  • Проверка конфигурации и принятие необходимых мер на основе правил, прописываемых в AWS Config Rules
  • Фильтрация и мониторинг доступа к приложениям по HTTP с использованием функций AWS WAF в составе AWS CloudFront

Возможность предоставления доступа только авторизованным администраторам, пользователям и приложениям.

  • Многофакторная аутентификация (MFA)
  • Точный и эффективный контроль доступа к объектам в Amazon S3, Amazon SQS и Amazon SNS
  • Аутентификация через запрос API
  • Географические ограничения
  • Временные токены доступа, распределяемые с помощью AWS Security Token Service

Клиенты контролируют собственный контент. AWS предоставляет своим клиентам следующие возможности.

  • Определять, где будет храниться принадлежащий им контент, включая тип хранилища и его географический регион.
  • Выбирать, необходимо ли шифрование контента. Мы предлагаем своим клиентам надежные средства шифрования контента при передаче и хранении, а также предоставляем возможность использовать собственные ключи шифрования.
  • Управлять доступом к своему контенту, а также сервисам и ресурсам AWS с помощью системы пользователей, групп и данных для доступа, которые контролируются клиентом.

Подход с применением встроенной безопасности направлен на достижение следующих целей:

  • создание принудительных функций, недоступных для переопределения пользователями, которые не имеют разрешения на изменение этих функций;
  • организация надежной эксплуатации систем контроля;
  • возможность непрерывного аудита в режиме реального времени;
  • техническое описание политик управления.

Наши передовые функциональные возможности стали основой для длинного списка сертификатов и аккредитаций, которые подтверждают соответствие наших сервисов жестким международным стандартам. В их числе ISO 27001 для технических вопросов, ISO 27017 для облачной безопасности, ISO 27018 для конфиденциальных данных в облаке, SOC 1, SOC 2 и SOC 3, PCI DSS Level 1, а также сертификаты, используемые в зоне Евросоюза, такие как Common Cloud Computing Controls Catalogue (C5) BSI и ENS High. Кроме того, недавно AWS объявила о соответствии требованиям Кодекса поведения CISPE.

Использование сервисов AWS

Amazon Macie

Обеспечивает предупреждающую защиту персональных данных (PII) и отслеживает их перемещение.

ПОДРОБНЕЕ ОБ AMAZON MACIE »

AWS Identity and Access Management (IAM)

Создание пользователей и группы AWS и управление ими. Разрешения сервиса позволяют предоставлять или запрещать пользователям доступ к ресурсам AWS.

ПОДРОБНЕЕ ОБ AWS IAM »

AWS Config

Упрощение аудита на соответствие требованиям, анализа безопасности, управления изменениями и оперативного устранения неполадок.  

ПОДРОБНЕЕ ОБ AWS CONFIG »

Amazon Inspector

Определяйте стандарты и рекомендации для своих приложений и подтверждайте соблюдение этих стандартов.

ПОДРОБНЕЕ ОБ AMAZON INSPECTOR »

Amazon GuardDuty

Интеллектуальное обнаружение угроз и постоянный мониторинг для защиты аккаунтов AWS и связанных рабочих нагрузок.

ПОДРОБНЕЕ ОБ AMAZON GUARDDUTY »

AWS Key Management Service (KMS)

Легко создавайте ключи шифрования данных и управляйте ими.

ПОДРОБНЕЕ ОБ AWS KMS »

Вопросы и ответы по GDPR

  • Что такое GDPR?

    Общий регламент по защите данных (General Data Protection Regulation, или GDPR) – это новый европейский закон о конфиденциальности данных, который вступит в силу 25 мая 2018 года. GDPR придет на смену Директиве ЕС о защите данных, также известной как Директива 95/46/EC. Его цель – унифицировать законодательство ЕС в области защиты данных путем принятия единого закона о защите данных, обязательного для исполнения всеми странами-участницами ЕС.

  • Какие организации подпадают под действие GDPR?

    Нормы GDPR применяются ко всем организациям, созданным в ЕС, и к организациям, независимо от того, созданы они в ЕС или нет, которые обрабатывают персональные данные субъектов данных ЕС в связи с предложением субъектам данных в ЕС товаров или услуг или мониторингом поведения, происходящего в ЕС. Под «персональными данными» подразумевается любая информация, касающаяся идентифицированного или идентифицируемого физического лица.

  • Как вступление GDPR в силу отразится на существующих законах ЕС о защите данных?

    GDPR заменит существующую Директиву ЕС о защите данных (также известную как Директива 95/46/EC). Начиная с 25 мая 2018 года существующая Директива ЕС о защите данных и принятые в соответствии с ней местные законодательные акты станут недействительны.

  • Как AWS готовится к вступлению GDPR в силу?

    Специалисты AWS по обеспечению соответствия требованиям, безопасности и защите данных активно работают с клиентами по всему миру, отвечают на их вопросы и помогают им в подготовке к работе в облаке AWS после вступления GDPR в силу. Эти команды экспертов также оценили степень готовности сервисов AWS к требованиям GDPR и подтвердили, что все сервисы AWS полностью готовы к вступлению GDPR в силу.

    Дополнительно мы предлагаем нашим клиентам соглашение об обработке данных, которое удовлетворяет требованиям GDPR (GDPR DPA). GDPR DPA включено в Условия обслуживания AWS и автоматически применяется ко всем клиентам, от которых требуется соответствие требованиям GDPR.

    Кроме того, недавно AWS объявила о том, что ее сервисы соответствуют требованиям Кодекса поведения CISPE. Благодаря Кодексу поведения CISPE клиенты могут оценить, насколько сервисы их поставщика облачной инфраструктуры соответствуют требованиям о защите данных, установленным GDPR. AWS официально заявила, что сервисы Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail и Amazon Elastic Block Storage (Amazon EBS) полностью соответствуют требованиям Кодекса поведения CISPE. В результате клиенты получают дополнительные гарантии того, что при работе с AWS они смогут осуществлять полный контроль над своими данными в безопасной и соответствующей требованиям среде. Дополнительную информацию о соответствии AWS требованиям Кодекса поведения CISPE см. на веб-сайте https://cispe.cloud/

    AWS поддерживает неизменно высокий уровень безопасности и соответствия требованиям при выполнении каждой операции. Для AWS нет ничего важнее безопасности, поэтому обеспечение безопасности всегда было нашей первоочередной задачей. Использование передовых для отрасли мер безопасности стало залогом получения множества сертификатов и аттестатов, подтверждающих соответствие наших сервисов самым жестким международным стандартам, таким как ISO 27017 в сфере безопасности в облаке, ISO 27018 в сфере конфиденциальности в облаке, SOC 1, SOC 2 и SOC 3, PCI DSS Level 1 и многим другим. Кроме того, AWS помогает своим клиентам обеспечить соответствие требованиям местных стандартов безопасности, например Cloud Computing Compliance Controls Catalogue (C5) – схеме аттестации, разработанной при поддержке правительства Германии.

  • Соответствует ли AWS нормам Кодекса поведения, как того требует GDPR?

    AWS announced compliance with the CISPE Data Protection Code of Conduct. CISPE – это объединение поставщиков облачной инфраструктуры (иначе называемой «инфраструктура как сервис»), предлагающих облачные сервисы клиентам в Европе. Благодаря Кодексу поведения CISPE клиенты могут убедиться, что их поставщик облачной инфраструктуры соблюдает надлежащие стандарты по защите данных в соответствии с требованиями GDPR. Почему же Кодекс поведения так важен?

    • В Кодексе уточняются обязанности всех заинтересованных сторон в отношении защиты данных: в Кодексе поведения прописаны роли поставщика и клиента в рамках GDPR, прежде всего в контексте сервисов облачной инфраструктуры.
    • В Кодексе излагаются принципы, которых должны придерживаться поставщики: в Кодексе поведения перечислены обязательства поставщиков и действия, которые они должны предпринять, чтобы обеспечить соответствие требованиям GDPR и помочь своим клиентам добиться соответствия этим требованиям.
    • В Кодексе представлена информация о защите и безопасности данных, необходимая клиентам для принятия решений в области соблюдения требований: Кодекс поведения требует от поставщиков прозрачности в отношении действий, предпринимаемых в рамках выполнения обязательств в сфере обеспечения безопасности. В частности, речь идет об уведомлениях об утечке или удалении данных и их обработке сторонними организациями, а также о запросах от правоохранительных и государственных структур. Клиенты могут использовать эту информацию, чтобы лучше понимать, какой уровень безопасности обеспечивает поставщик облачных сервисов.

    Информацию о том, как AWS обрабатывает запросы правоохранительных органов, см. в техническом описании «Вопросы размещения данных в контексте AWS».

  • Как вступление GDPR в силу отразится на организациях, работающих в ЕС?

    Одной из основных задач GDPR является унификация процесса обеспечения безопасности при обработке, использовании и передаче персональных данных всеми странами-участницами ЕС. Организации должны будут на регулярной основе демонстрировать защищенность обрабатываемых ими данных и общее соответствие требованиям GDPR. Для этого им нужно будет внедрить и регулярно пересматривать строгие меры организационно-технического плана, а также политики в области соответствия требованиям.

  • С помощью каких сервисов AWS клиенты могут добиться соответствия требованиям GDPR?

    AWS предоставляет своим клиентам целый ряд возможностей и сервисов, с помощью которых они смогут добиться соответствия требованиям GDPR.

    Контроль доступа: возможность предоставления доступа к ресурсам AWS только авторизованным администраторам, пользователям и приложениям

    • Многофакторная аутентификация (MFA)
    • Тщательная настройка доступа к объектам в корзинах Amazon S3/Amazon SQS/Amazon SNS и других сервисах
    • Аутентификация через запрос API
    • Географические ограничения
    • Временные токены доступа, распределяемые с помощью AWS Security Token Service

    Мониторинг и ведение журналов: обзор процессов, происходящих в ресурсах AWS клиента

    • Управление ресурсами и их настройка с помощью AWS Config
    • Аудит на предмет соответствия требованиям и анализ безопасности с помощью AWS CloudTrail
    • Определение проблем конфигурации с помощью AWS Trusted Advisor
    • Тщательное ведение журналов доступа к объектам Amazon S3
    • Предоставление подробных сведений о сетевых потоках с помощью Amazon VPC-FlowLogs
    • Проверка конфигурации и принятие необходимых мер на основе правил, прописываемых в AWS Config Rules
    • Фильтрация и мониторинг доступа по HTTP к приложениям с функциями WAF в AWS CloudFront

    Шифрование: шифрование данных в AWS

    • Шифрование сохраненных клиентских данных по стандарту AES256 (сервисы EBS/S3/Glacier/RDS)
    • Централизованное управление ключами (в пределах одного региона AWS)
    • Туннели IPsec, предоставляемые AWS сервисом VPN-Gateways
    • Выделение в облаке модулей HSM с помощью AWS CloudHSM

    Мощная система обеспечения соответствия требованиям и строгие стандарты безопасности

    • Пройдена сертификация по стандарту ISO 27001/9001
    • Пройдена сертификация по стандарту ISO 27017/27018
    • Cloud Computing Compliance Controls Catalogue (C5 – схема аттестации, разработанная при поддержке правительства Германии)
    • AWS совместно с аудиторской компанией TÜV TRUST IT опубликовала Руководство по сертификации клиентов с рекомендациями по соблюдению в облаке требований немецкого стандарта IT Grundschutz, разработанного Федеральным управлением по информационной безопасности (BSI) при поддержке правительства Германии.
  • Что клиенты AWS могут предпринять в рамках подготовки к вступлению GDPR в силу?

    Вот несколько ключевых моментов, которые будут полезны при обеспечении соответствия требованиям GDPR.

    • Территориальный охват. Чтобы гарантированно выполнять свои обязательства в области соответствия требованиям, необходимо проверить, подпадает ли деятельность организации под действие GDPR. GDPR распространяется на все организации, расположенные на территории ЕС. Однако этот закон может затрагивать и организации, расположенные за пределами ЕС, – все зависит от специфики деятельности каждой конкретной организации.
       
    • Права субъекта данных. GDPR расширяет права субъектов данных в нескольких вопросах. К примеру, субъекты получают право возражать против обработки своих данных, а также право на доступ к касающимся их персональным данным. Компаниям, подпадающим под действие GDPR, необходимо убедиться, что при обработке персональных данных они в состоянии соблюдать права субъектов этих данных.
       
    • Уведомления об утечке данных. Оператор должен незамедлительно сообщать соответствующим органам о любых нарушениях системы защиты персональных данных. Срок оповещения по возможности не должен превышать 72 часов с момента, когда оператору стало известно об утечке. Использование сервисов AWS дает пользователям возможность контролировать процессы обработки и защиты персональных данных. Вы можете осуществлять мониторинг собственной среды на предмет утечек и своевременно уведомлять о них регулирующие органы и всех тех, кто может от этого пострадать (как того требует GDPR). Кроме того, AWS, являясь оператором данных, незамедлительно уведомит вас о (а) любых фактах нарушения стандартов безопасности, которые могут привести к случайной или незаконной порче, утрате, изменению, несанкционированному раскрытию ваших персональных данных, а также неавторизованному доступу к этим данным, загруженным в ваш аккаунт AWS, или (б) о любых фактах неавторизованного доступа к оборудованию или инфраструктурным зданиям AWS, когда такой доступ может привести к порче, утрате, изменению, несанкционированному раскрытию ваших персональных данных, а также неавторизованному доступу к этим данным, загруженным в ваш аккаунт AWS.
       
    • Сотрудник по защите данных (DPO). Возможно, вам потребуется назначить DPO, который будет отвечать за безопасность данных и другие вопросы, связанные с обработкой персональных данных.
       
    • Оценка влияния на защиту данных (DPIA). Возможно, вам нужно будет провести оценку DPIA для используемых процессов обработки данных (в некоторых случаях требуется подать соответствующие документы в надзорные органы). Это необходимо для выявления применяемых в организации процедур и процессов обработки данных, а также инструментов контроля, используемых для защиты персональных данных.
       
    • Соглашение об обработке данных (DPA): возможно, вам потребуется заключить DPA, соответствующее требованиям GDPR (в частности, в случае перемещения персональных данных за пределы Европейской экономической зоны). AWS предлагает своим клиентам соглашение GDPR DPA, которое включено в Условия обслуживания AWS и автоматически применяется ко всем клиентам, которым необходимо соответствие требованиям GDPR. AWS предоставляет своим клиентам целый ряд сервисов и специальных возможностей, с помощью которых они смогут добиться соответствия требованиям GDPR. К ним относятся сервисы для контроля доступа, мониторинга, ведения журналов и шифрования. Дополнительную информацию по этим вопросам можно найти выше, в разделе «С помощью каких сервисов AWS клиенты могут добиться соответствия требованиям GDPR?»

    Кроме того, наши специалисты по обеспечению соответствия требованиям, безопасности и защите данных, а также партнеры AWS работают с клиентами, отвечают на их вопросы и помогают им в подготовке к работе в облаке после вступления GDPR в силу. Дополнительную информацию по этим вопросам можно получить у персонального менеджера AWS.

  • Предлагает ли AWS возможность подписать Приложение по обработке данных (DPA)?

    Да. Для соблюдения при работе требований GDPR AWS предлагает своим клиентам Приложение по обработке данных (GDPR DPA), соответствующее положениям GDPR. AWS GDPR DPA включено в Условия обслуживания AWS и автоматически применяется ко всем клиентам, которым необходимо соответствие требованиям GDPR.

  • Соответствуют ли сервисы AWS требованиям GDPR?

    Сервисы AWS соответствуют Общим нормам защиты данных ЕС (GDPR). Поэтому клиенты AWS, помимо всех преимуществ от мер обеспечения безопасности наших сервисов, получают возможность развертывать сервисы AWS в качестве основной части своих проектов по соответствию требованиям GDPR. Дополнительную информацию о соответствии наших сервисов требованиям GDPR см. в блоге AWS Security по адресу https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/.

  • Какова роль AWS при соблюдении требований GDPR? AWS является обработчиком данных или оператором данных?

    В соответствии с терминологией GDPR AWS выступает обработчиком данных и оператором данных.

    • AWS как обработчик данных. Когда клиенты и участники партнерской сети AWS (APN) используют сервисы AWS для обработки персональных данных в рамках собственного контента, AWS выступает в качестве обработчика данных. Для обработки персональных данных клиенты и партнеры APN могут использовать инструменты управления AWS, в том числе инструменты обеспечения безопасности. При таких условиях клиент или партнер APN сам может выступать как оператор данных или обработчик данных, а AWS выступает в качестве обработчика данных или субподрядчика. AWS предлагает своим клиентам Приложение по обработке данных (DPA), соответствующее GDPR и закрепляющее обязательства AWS как обработчика данных.
    • AWS как оператор данных. Когда AWS собирает персональные данные и определяет способы и цели обработки этих персональных данных (например, когда AWS сохраняет информацию об аккаунте для целей регистрации аккаунта, администрирования, доступа к сервисам или контактную информацию для аккаунта AWS в целях поддержки пользователя), AWS выступает в качестве оператора данных.
  • Как GDPR влияет на модель общей ответственности AWS?

    GDPR не меняет модель общей ответственности AWS. Она сохраняет свою актуальность для клиентов и партнеров APN, которые активно используют облачные вычислительные сервисы. Модель общей ответственности – полезный принцип, демонстрирующий разграничение ответственности AWS (в качестве обработчика данных или субподрядчика) и клиентов или партнеров APN (как обработчиков данных или операторов данных) в рамках GDPR.

    Согласно модели общей ответственности, AWS несет ответственность за безопасность базовой инфраструктуры, которая поддерживает облако. Клиенты и партнеры APN, выступающие в качестве обработчиков данных или операторов данных, несут ответственности за все персональные данные, которые они размещают в облаке.

    Ответственность AWS как обработчика данных

    AWS несет ответственность за защиту глобальной инфраструктуры, которая обеспечивает работу всех сервисов, предлагаемых в облаке AWS. Данная инфраструктура состоит из аппаратного обеспечения, программного обеспечения, сетей и объектов, обеспечивающих работу сервисов AWS. Эти системы предоставляют клиентам и партнерам APN мощные инструменты управления, в том числе инструменты настройки безопасности для обработки контента клиентов. Защита инфраструктуры является основным приоритетом AWS. AWS предоставляет ряд отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов и положений по вычислительной безопасности (подробнее см. на странице https://aws.amazon.com/compliance). Благодаря этим отчетам наши клиенты и партнеры APN могут быть уверены, что мы защищаем персональные данные, которые они обрабатывают на AWS. Ярким примером является соответствие AWS стандартам ISO 27001, 27017 и 27018. ISO 27018 содержит описание средств управления безопасностью, которые предназначены для защиты персональных данных. Подробную информацию о соответствии AWS стандарту ISO 27108 см. на странице https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS также несет ответственность за настройки безопасности своих технологий, которые называются управляемыми сервисами. Примеры таких сервисов: Amazon DynamoDB, Amazon RDS, Amazon Redshift, Amazon Elastic MapReduce и некоторые другие. Данные сервисы обеспечивают масштабируемость, гибкость облачных ресурсов и возможность управления ими. Для таких сервисов AWS выполняет базовые задачи по обеспечению безопасности: поддержку безопасности операционной системы, установку исправлений базы данных, настройку брандмауэра и аварийное восстановление. При использовании управляемых сервисов клиенты и партнеры APN настраивают логические инструменты контроля доступа к своим ресурсам и защиты собственных данных для доступа. Для некоторых сервисов могут потребоваться дополнительные операции, например настройка пользовательских аккаунтов для базы данных, но основные действия по настройке безопасности выполняются сервисом. Во всех этих сервисах клиенты и партнеры APN несут ответственность за все персональные данные, которые они размещают в облаке.

    AWS также предлагает клиентам Приложение по обработке данных (GDPR DPA), соответствующее GDPR и закрепляющее обязательства AWS как обработчика данных. AWS GDPR DPA интегрировано в Условия обслуживания AWS и автоматически применяется ко всем клиентам, которым необходимо соответствие требованиям GDPR.

    Ответственность клиентов и партнеров APN как операторов данных: чем могут помочь сервисы AWS.

    Облако AWS позволяет клиентам и партнерам APN выделять виртуальные серверы, хранилища, базы данных и рабочие столы за несколько минут, а не недель. Они также могут использовать облачную аналитику и рабочие процессы для обработки данных требуемым способом с последующим сохранением данных в собственные центры обработки данных или в облако. Использование клиентами и партнерами APN сервисов AWS определяет объем работ по настройке, которые должен выполнить клиент в рамках своих обязанностей по соответствию GDPR. Продукты AWS, предоставляемые по модели «инфраструктура как услуга» (IaaS), например Amazon EC2, Amazon VPC и Amazon S3, находятся полностью под контролем клиентов или партнеров APN, поэтому они должны самостоятельно проводить необходимую настройку безопасности и процессов управления. Например, для инстансов EC2 клиенты и партнеры APN отвечают за управление гостевой ОС (включая установку обновлений и исправлений уязвимостей) и всеми приложениями на инстансах, а также за настройку брандмауэра, предоставляемого AWS (групп безопасности) на каждом инстансе. Эти задачи безопасности необходимо решать вне зависимости от местонахождения серверов.

    Для реализации принципов встроенной безопасности и безопасности по умолчанию мы рекомендуем клиентам и партнерам APN защищать свои данные для доступа к аккаунту AWS и настраивать индивидуальные аккаунты пользователей с помощью Amazon Identity and Access Management (IAM), чтобы у каждого пользователя были свои собственные данные для входа. Таким образом можно реализовать доступ к данным на основе разрешений и разделить полномочия на основе ролей пользователей. Мы также рекомендуем использовать для каждого аккаунта многофакторную аутентификацию (MFA), требовать использования SSL/TLS для связи с ресурсами AWS, настраивать ведение журналов вызовов API и действий пользователей с помощью AWS CloudTrail, применять решения AWS для шифрования и другие средства обеспечения безопасности сервисов AWS. Для соответствия требованиям GDPR клиенты и партнеры APN могут использовать расширенные сервисы безопасности (например, Amazon GuardDuty) для обеспечения безопасности аккаунтов и инфраструктуры, а также Amazon Macie для обнаружения и обеспечения безопасности персональных данных, которые хранятся в Amazon S3.

    Подробную информацию о дополнительных мерах, которые могут предпринять клиенты, и соответствующих решениях AWS см. в техническом описании «Рекомендации по безопасности AWS» и на странице ресурсов AWS для обеспечения безопасности по адресу https://aws.amazon.com/security/.

  • У меня есть вопросы по GDPR и AWS. К кому мне обратиться?

    Если у клиентов и партнеров APN остаются вопросы по защите данных или AWS и GDPR, рекомендуем им в первую очередь обратиться к персональному менеджеру AWS. При наличии уровня поддержки «Корпоративный» можно также обратиться к своему персональному техническому менеджеру (TAM). Персональные технические менеджеры (TAM) работают в контакте с архитекторами решений, чтобы помочь клиентам выявить потенциальные риски и возможности их нейтрализации. Персональные технические менеджеры (TAM) и сотрудники, отвечающие за поддержку аккаунта, могут предлагать конкретные ресурсы в зависимости от среды и потребностей клиентов и партнеров APN.

    Для ответов на вопросы по соответствию требованиям GDPR в AWS есть представители уровня поддержки «Корпоративный», консультанты по профессиональным сервисам и другие сотрудники. Чтобы предоставить клиентам и партнерам APN больше информации о GDPR и помочь им реализовать решения с помощью инструментов AWS, мы проводим целый ряд презентаций, вебинаров и семинаров на мероприятиях AWS Summit и AWS Pop-up Loft.

  • Какое техническое руководство по GDPR предоставляет AWS клиентам и партнерам APN?

    AWS предлагает клиентам и партнерам APN справочные ресурсы для соответствия требованиям GDPR. Для ответов на вопросы клиентов и партнеров APN по соответствию требованиям GDPR в AWS есть представители уровня поддержки «Корпоративный», консультанты по профессиональным сервисам и другие сотрудники. AWS также проводит ряд презентаций, вебинаров и семинаров на мероприятиях AWS Summit и AWS Pop-up Loft, чтобы помочь клиентам и партнерам понять требования GDPR и реализовать встроенную защиту данных и защиту данных по умолчанию с помощью инструментов AWS.

  • Предоставляет ли AWS помощь по соответствию требованиям GDPR в рамках Professional Services?

    Специалисты подразделения AWS Professional Services проводит множество мероприятий для клиентов и партнеров APN, помогая им обеспечить соответствие требованиям GDPR. Консультанты AWS Professional Services отвечают на вопросы о GDPR в рамках частных консультаций и публичных выступлений, вебинаров и семинаров на мероприятиях AWS Summit и AWS Pop-up Loft. Подразделение AWS Professional Services также работает напрямую с клиентами и партнерами APN, предлагая им техническое руководство по вопросам GDPR и реализации встроенной защиты данных и защиты данных по умолчанию с помощью инструментов AWS. Подробнее о том, как консультанты AWS Professional Services помогают клиентам и партнерам APN, см. на странице https://aws.amazon.com/professional-services/.

  • Как AWS Support помогает соответствовать требованиям GDPR?

    AWS Premium Support работает с клиентами и партнерами APN, предлагая им техническое руководство по соответствию требованиям GDPR. В рамках этой деятельности у нас имеются специалисты по облачной поддержке и персональные менеджеры технической поддержки (TAM), которые подготовлены для помощи в обнаружении рисков в вопросах соответствия требованиям и их нейтрализации. Клиентам и партнерам APN, ориентированным на соответствие требованиям GDPR, могут пригодиться следующие две программы.

    • Cloud Operations Review. Программа доступна для клиентов AWS Support с уровнем поддержки «Корпоративный» и предназначена для определения пробелов в подходе клиентов к работе в облаке. Программа создана на основе ряда рекомендаций, полученных из опыта работы AWS с большим количеством типовых клиентов. Она представляет собой обзор облачных операций и соответствующих методов управления, поэтому может помочь организациям соответствовать требованиям GDPR. В программе использован четырехсторонний подход: подготовка, мониторинг, использование и оптимизация облачных систем для достижения эффективности бизнес-процессов.
    • Well-Architected Review. Эта программа позволяет организациям сопоставить свою архитектуру с рекомендациями AWS с целью создания безопасной, надежной, высокопроизводительной и экономичной архитектуры. Оценки Well-Architected Review позволяют клиентам и партнерам APN выявить риски в архитектуре и устранить их до начала эксплуатации приложений.

    Подробная информация об AWS Premium Support для клиентов и партнеров APN приведена в Центре AWS Support, доступном через Консоль AWS (https://console.aws.amazon.com/support/). Клиенты и партнеры APN могут воспользоваться контактными данными, приведенными в соглашении AWS по плану поддержки «Корпоративный», или перейти на страницу AWS Premium Support по адресу https://aws.amazon.com/premiumsupport/. По вопросам GDPR клиентам с планом поддержки «Корпоративный» следует обращаться к персональному менеджеру технической поддержки (TAM).

  • Есть ли у AWS субподрядчики по обработке данных?

    Мы заранее информируем своих клиентов и партнеров APN о любых субподрядчиках, имеющих доступ к контенту, загружаемому на AWS, в том числе контенту, который может содержать персональные данные. Данное обязательство включено в Положение по обработке данных AWS (GDPR DPA). AWS GDPR DPA интегрировано в Условия обслуживания AWS и автоматически применяется ко всем клиентам, которым необходимо соответствие требованиям GDPR.

  • Какие инструменты AWS предоставляет для реализации технических и организационных мер, необходимых для встроенной защиты данных по умолчанию?

    Многие требования GDPR направлены на управление данными и их защиту. Сервисы AWS обеспечивают клиентам и партнерам APN возможность реализовать собственные меры безопасности в соответствие с GDPR, в том числе перечисленные ниже конкретные тактические меры.

    • Шифрование персональных данных
    • Возможность обеспечить постоянную конфиденциальность, целостность, доступность, отказоустойчивость обрабатывающих систем и сервисов
    • Возможность своевременно восстановить доступность персональных данных и доступ к ним в случае физического или технического сбоя
    • Процесс регулярной проверки и оценки эффективности технических мер в целях обеспечения безопасности обработки

    У AWS имеется продвинутый ряд сервисов безопасности и соответствия требованиям, которые можно развертывать для соответствия требованиям GDPR, включая перечисленные ниже.

    • Amazon GuardDuty – интеллектуальный сервис обнаружения угроз, который постоянно отслеживает вредоносное или несанкционированное поведение
    • Amazon Macie – сервис, который использует машинное обучение для обнаружения и классификации персональных данных, хранящихся в Amazon S3
    • Amazon Inspector – сервис автоматизированной оценки безопасности, который поддерживает соответствие приложений рекомендациям по безопасности
    • Правила AWS Config позволяют динамически проверять облачные ресурсы на соответствие правилам безопасности

    AWS подготовила техническое описание «Обеспечение соответствия требованиям GDPR на AWS», посвященное данной теме. В этом техническом описании подробно рассматривается, как соотносить ресурсы и понятия мониторинга, доступа к данным, управления ключами.

  • Какие действующие меры безопасности для защиты систем реализованы в AWS?

    На данный момент облачная инфраструктура AWS является одной из наиболее гибких и защищенных сред для облачных вычислений. Масштаб Amazon позволяет инвестировать в стратегию безопасности и защитные меры значительно больше, чем может позволить себе большинство других крупных компаний. Наша базовая инфраструктура состоит из аппаратного обеспечения, программного обеспечения, сетей и объектов, обеспечивающих работу сервисов AWS. Все это предоставляет клиентам и партнерам APN продвинутые инструменты управления, в том числе инструменты настройки безопасности для обработки персональных данных. Подробнее о мерах, предпринимаемых AWS для обеспечения стабильно высокого уровня безопасности, см. в техническом описании AWS «Обзор процессов обеспечения безопасности».

    AWS также предоставляет ряд отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов и положений по компьютерной безопасности, в том числе требованиям ISO 27001, ISO 27017, ISO 27018. Для оценки эффективности этих мер мы предоставляем клиентам и партнерам APN доступ к сторонним отчетам по аудиту через Консоль управления AWS. В этих отчетах для клиентов и партнеров APN указывается, кто может выступать оператором данных или обработчиком данных и как мы защищаем базовую инфраструктуру, на основе которой выполняется хранение и обработка персональных данных. Подробнее см. на странице https://aws.amazon.com/compliance.

  • Как AWS может помочь операторам данных выполнять свои обязательства по уведомлениям об утечке персональных данных в рамках GDPR?

    У AWS реализован процесс текущего мониторинга инцидентов безопасности и уведомлений об утечке данных. AWS уведомляет клиентов и партнеров APN о любой подтвержденной утечке из систем AWS и предоставляет им соответствующую поддержку. AWS также предоставляет клиентам и партнерам APN набор инструментов для выяснения, кто получил доступ к их ресурсам, когда и откуда. Один из таких инструментов – сервис AWS CloudTrail, который позволяет управлять аккаунтом AWS, обеспечивать соответствие требованиям и проводить аудит операционных процессов и рисков. С помощью AWS CloudTrail можно вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях в аккаунте в пределах всей используемой инфраструктуры AWS. Это позволяет организациям понимать, что происходит с их инфраструктурой AWS, и незамедлительно принимать меры в случае подозрительных действий. Подробнее о AWS CloudTrail и других инструментах безопасности, предоставляемых AWS клиентам для обеспечения соответствия требованиям GDPR как операторов данных, см. на странице https://aws.amazon.com/security/.

  • Как AWS помогает защитить данные от кибератак?

    AWS предоставляет клиентам и партнерам APN ряд инструментов для обеспечения безопасности их данных и защиты от кибератак. Один из таких инструментов – AWS Shield. Это управляемый сервис защиты от атак типа «распределенный отказ в обслуживании» (DDoS). Он защищает приложения и веб-сайты, работающие на AWS. AWS Shield Standard предоставляется бесплатно, он обеспечивает непрерывное обнаружение и автоматическую линейную нейтрализацию атак, сокращая время простоя и задержку приложений. Клиенты и партнеры APN могут оформить подписку на AWS Shield Advanced и обеспечить защиту более высокого уровня от атак, нацеленных на интернет-приложения в сервисах AWS, которые используют ресурсы ELB, Amazon CloudFront и Amazon Route 53. AWS публикует и регулярно обновляет документ «Рекомендации AWS по обеспечению устойчивости к DDoS-атакам», который помогает клиентам использовать AWS для создания приложений, устойчивых к DDoS-атакам.

    Другие инструменты AWS для защиты от кибератак перечислены ниже.

    • Сервис AWS Identity and Access Management (IAM) предоставляет организациям возможности безопасного управления доступом к сервисам и ресурсам AWS. С помощью IAM клиенты и партнеры APN могут создавать пользователей AWS и группы пользователей, управлять ими, а также применять разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
    • AWS Config позволяет клиентам и партнерам APN задействовать встроенные правила, которые проверяют правильность настройки и состояние соответствия для ресурсов AWS.
    • AWS CloudTrail позволяет организациям вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с ресурсами AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
    • Amazon GuardDuty – это управляемый сервис обнаружения угроз, который постоянно отслеживает вредоносное или несанкционированное поведение с целью защиты аккаунтов AWS и связанных рабочих нагрузок. Он отслеживает действия, которые могут представлять угрозу для аккаунтов, например необычные вызовы API или потенциально несанкционированные развертывания. GuardDuty также обнаруживает потенциально небезопасные инстансы или исследование систем злоумышленниками.
    • Amazon Macie – это сервис безопасности, который помогает клиентам и партнерам APN в вопросах автоматического обнаружения, классификации и защиты конфиденциальных данных в AWS, используя машинное обучение. Amazon Macie является полностью управляемым сервисом. Он непрерывно выполняет мониторинг действий по доступу к данным для выявления отклонений от нормы и генерирует предупреждения, если обнаруживает риск несанкционированного доступа или неумышленной утечки данных, например когда клиент открыл доступ к конфиденциальным данным извне.  
  • Какие есть инструменты для поиска персональных данных в контенте на AWS?

    Amazon Macie – это сервис безопасности, который помогает клиентам и партнерам APN автоматически обнаруживать, классифицировать и защищать конфиденциальные данные в AWS, используя машинное обучение. Amazon Macie является полностью управляемым сервисом. Он непрерывно выполняет мониторинг действий по доступу к данным для выявления отклонений от нормы и генерирует предупреждения, если обнаруживает риск несанкционированного доступа или неумышленной утечки данных, например когда случайно открыт доступ к конфиденциальным данным извне. Macie сертифицирован по признанным на международном уровне стандартам, например ISO 27017 в сфере безопасности в облаке и ISO 27018 в сфере конфиденциальности в облаке. Клиенты и партнеры APN могут использовать Macie для постоянного мониторинга доступа к своим данным, чтобы обнаружить подозрительные действия на основе шаблонов доступа.

  • Как управлять доступом к персональным данным в контенте на AWS?

    Чтобы помочь клиентам и партнерам APN соответствовать требованиям GDPR, AWS предлагает ряд инструментов для контроля доступа к персональным данным, хранящимся как контент клиентов на AWS. Примеры таких инструментов показаны ниже.

    Безопасность по умолчанию означает, что сервисы AWS спроектированы безопасными по умолчанию. При использовании конфигурации по умолчанию доступ к ресурсам предоставляется только владельцу аккаунта и администратору с правами root.

    • Сервис AWS Identity and Access Management (IAM) предоставляет клиентам и партнерам APN возможности безопасного управления доступом к сервисам и ресурсам AWS. Используя сервис IAM, организации могут создавать пользователей и группы AWS и управлять ими, а также использовать разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
    • AWS Multi-Factor Authentication вводит дополнительный уровень защиты, помимо проверки имени пользователя и пароля. AWS предоставляет клиентам выбор аппаратного или виртуального устройства MFA.
    • AWS Directory Service позволяет клиентам и партнерам APN выполнять интеграцию и федерацию с корпоративными директориями для уменьшения административных издержек и оптимизации обслуживания конечных пользователей.
    • AWS Config позволяет клиентам и партнерам APN задействовать встроенные правила, которые проверяют правильность настройки и состояние соответствия для ресурсов AWS.
    • AWS CloudTrail помогает клиентам и партнерам APN вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях в аккаунте в пределах всей используемой инфраструктуры AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок.
    • Amazon Macie помогает клиентам предотвращать потерю данных, используя машинное обучение для автоматического обнаружения, классификации и защиты конфиденциальных данных в AWS. Amazon Macie является полностью управляемым сервисом. Он непрерывно выполняет мониторинг действий по доступу к данным для выявления отклонений от нормы и генерирует предупреждения, если обнаруживает риск несанкционированного доступа или неумышленной утечки данных, например когда клиент открыл доступ к конфиденциальным данным извне.
  • Как зашифровать персональные данные на AWS, чтобы предотвратить неавторизованный доступ?

    AWS предлагает клиентам и партнерам APN возможность добавить дополнительный уровень безопасности для данных, хранящихся в облаке, а также помогает им выполнять собственные обязательства (обязательства операторов данных) по безопасной обработке данных в рамках GDPR. К инструментам шифрования, доступным на AWS, относятся следующие.

    • Шифрование данных в сервисах хранения и сервисах баз данных AWS, например в Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS, Redshift
    • Гибкие варианты управления ключами, включая AWS Key Management Service, позволяющие клиентам выбирать, сохранять полный контроль над ключами шифрования или передать управление ключами AWS
    • Очереди зашифрованных сообщений для передачи конфиденциальных данных с помощью шифрования на стороне сервера (SSE) в Amazon SQS
    • Выделенные аппаратные хранилища криптографических ключей, использующие AWS CloudHSM, которые позволяют клиентам обеспечить соответствие требованиям
     
    Кроме того, AWS предоставляет API, позволяющие клиентам и партнерам APN интегрировать шифрование и защиту данных с любыми сервисами, которые они разрабатывают или развертывают в среде AWS.
  • Как AWS обрабатывает инструкции по удалению, поступающие от клиентов?

    Сервисы AWS позволяют клиентам удалять контент по требованию с помощью Консоли управления AWS, API и других методов ввода команд. Подробную информацию о функциональных возможностях конкретных сервисов см. на странице https://aws.amazon.com/documentation.

  • Как доказать контролирующим органам, что использование AWS соответствует требованиям GDPR по защите данных?

    AWS предоставляет полезную для клиентов и партнеров APN информацию, в том числе несколько отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов и положений по вычислительной безопасности, в качестве подтверждения того, что AWS поддерживает высокий уровень соответствия требованиям для своей инфраструктуры. Благодаря этим отчетам наши клиенты и партнеры APN могут быть уверены, что мы защищаем персональные данные, которые они обрабатывают на AWS. Ярким примером является соответствие AWS стандартам ISO 27001, 27017, 27018. ISO 27018 содержит описание средств управления безопасностью, которые предназначены для защиты персональных данных. Подробнее о соответствии AWS стандарту ISO 27108 см. на странице https://aws.amazon.com/compliance/iso-27018-faqs/

    AWS также соответствует требованиям Кодекса поведения CISPE по защите данных. CISPE – это объединение поставщиков облачной инфраструктуры (модель «инфраструктура как сервис»), предоставляющих облачные сервисы клиентам в Европе. Благодаря Кодексу поведения CISPE клиенты и партнеры APN могут быть уверены, что их поставщик облачной инфраструктуры соблюдает надлежащие стандарты по защите данных в соответствии с требованиями GDPR. Ниже перечислены основные преимущества Кодекса поведения.

    • В Кодексе уточняются обязанности всех заинтересованных сторон в отношении защиты данных: в этом документе прописаны роли поставщика и клиента в рамках GDPR, прежде всего в контексте сервисов облачной инфраструктуры.
    • В Кодексе излагаются принципы, которых должны придерживаться поставщики: в документе перечислены обязательства поставщиков и действия, которые они должны предпринять, чтобы обеспечить соответствие требованиям GDPR и помочь своим клиентам и партнерам APN добиться соответствия этим требованиям.
    • В Кодексе представлена информация о защите и безопасности данных, необходимая клиентам и партнерам APN для принятия решений в области соблюдения требований. Кодекс поведения требует от поставщиков прозрачности в отношении действий, предпринимаемых в рамках выполнения обязательств в сфере обеспечения безопасности. В частности, речь идет об уведомлениях об утечке или удалении данных и их обработке сторонними организациями, а также о запросах от правоохранительных и государственных структур. Клиенты и партнеры APN могут использовать эту информацию, чтобы понимать, какой уровень безопасности обеспечивает поставщик облачных сервисов.
  • Получила ли AWS сертификацию на соответствие требованиям EU-US Privacy Shield?

    Да. Компания Amazon.com, Inc. сертифицирована по стандарту EU-US Privacy Shield, а сервисы AWS соответствуют его требованиям. Таким образом, клиентам, которые передают персональные данные в США, проще соблюдать свои обязательства по защите данных. Подтверждение наличия у Amazon.com Inc. соответствующей сертификации см. на веб-сайте EU-US Privacy Shield: https://www.privacyshield.gov/list

    Подробнее эта тема в контексте AWS раскрыта на странице EU-US Privacy Shield.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »