Конфиденциальность данных в Индонезии

Обзор

privacy-indonesia-flag

В настоящее время в Индонезии нет общего закона о защите персональных данных. Тем не менее, некоторые требования по защите данных содержатся в Законе № 11 от 2008 года, касающемся электронной информации и транзакций, Постановлении правительства № 82 от 2012 года, определяющем положения об электронных системах и транзакциях (GR 82), и соответствующем исполнительном распоряжении, Регламенте № 20 от 2016 года о защите персональных данных в электронных системах, утвержденном Министром по коммуникациям и информатике. Эти нормативные акты устанавливают обязательства операторов электронных систем при обработке личных данных и передаче таких данных за пределы Индонезии, включая обязательства по обеспечению безопасности и конфиденциальности. Например, постановление GR 82 отмечает, что операторы электронных систем, работающие с системами общего пользования, должны обеспечивать непрерывную работу бизнеса и иметь план аварийного восстановления, а их центры обработки данных и центры восстановления после отказа должны располагаться на территории Индонезии. В настоящее время правительство Индонезии вносит поправки в постановление GR 82, в том числе для потенциального содействия расширению трансграничных потоков данных, и предлагает ввести общий закон о защите данных. Учреждения, оказывающие финансовые услуги, также могут предъявлять дополнительные требования к хранению данных и управлению ими в соответствии с применимыми нормативными актами Банка Индонезии (BI) и Службы финансового надзора Индонезии (OJK). AWS сообщила о своей работе в регионе AWS Азия и Тихий океан (Джакарта) в Индонезии, расположенном в Большой Джакарте и состоящем из трех зон доступности, что позволит дать клиентам и партнерам AWS возможность использовать рабочие нагрузки и хранить данные в Индонезии.

AWS внимательно следит за обеспечением конфиденциальности и защиты данных клиентов. Обеспечение безопасности в AWS начинается уже на уровне базовой инфраструктуры. Состояние инфраструктуры, созданной специально для облачных вычислений и отвечающей самым строгим мировым требованиям безопасности, круглосуточно отслеживается, чтобы обеспечивать конфиденциальность, целостность и доступность данных клиентов. Эксперты по безопасности мирового класса, отслеживающие состояние этой инфраструктуры, также создают и поддерживают широкий ряд инновационных сервисов безопасности AWS, которые упрощают соблюдение нормативных требований и требований безопасности. Независимо от размера или местоположения, клиенты AWS могут пользоваться всеми преимуществами нашего опыта, который прошел проверку на соответствие самым строгим требованиям сторонних организаций по обеспечению безопасности.

AWS внедряет и поддерживает технико‑организационные меры обеспечения безопасности, которые распространяются на сервисы облачной инфраструктуры AWS и отвечают требованиям общепризнанных схем обеспечения безопасности и сертификаций, включая ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1, а также SOC 1, 2 и 3. Эти технико‑организационные меры обеспечения безопасности проверены независимыми сторонними инспекторами и предназначены для предотвращения несанкционированного доступа к пользовательскому контенту и раскрытия информации.

К примеру, ISO 27018 является первым международным сводом правил, который направлен на обеспечение защиты персональных данных в облаке. Он основан на стандарте информационной безопасности ISO 27002 и содержит руководство по использованию средств контроля этого стандарта, применимых к персональным данным, обрабатываемым поставщиками публичных облачных сервисов. Для клиентов это служит доказательством того, что AWS обладает системой средств контроля, предназначенных для обеспечения безопасности их контента.

Эти комплексные технико‑организационные меры AWS соответствуют целям стандартных нормативов по защите персональных данных. Клиенты, использующие сервисы AWS, могут полностью контролировать свой контент и несут ответственность за реализацию дополнительных мер обеспечения безопасности, исходя из конкретных потребностей (включая классификацию контента, шифрование, управление доступом и учетные данные для доступа).

Поскольку AWS не знает, какого рода информацию клиенты загружают в сеть, и не имеет возможности определить, попадают ли эти данные под действие соответствующих нормативных актов Индонезии или какой‑либо другой страны, полную ответственность за соблюдение действующих нормативно‑правовых актов несут сами клиенты. Содержимое этой страницы дополняет существующие ресурсы по конфиденциальности данных, чтобы вы могли привести свои требования в соответствие с моделью общей ответственности AWS при обработке персональных данных в международных центрах обработки данных.

  • Какова роль клиента в обеспечении безопасности своего контента?

    По аналогии с обеспечением безопасности приложений в локальном центре обработки данных, в соответствии с моделью общей ответственности клиенты AWS самостоятельно определяют, какой уровень безопасности необходимо реализовать для защиты собственного контента, платформы, приложений, систем и сетей в облаке. Для управления соответствием актуальным для них требованиям клиенты могут использовать технико‑организационные меры обеспечения безопасности и средства управления, предлагаемые AWS. Клиентам доступны привычные средства защиты данных, такие как шифрование и многофакторная аутентификация, а также возможности обеспечения безопасности AWS, такие как сервис AWS Identity and Access Management.

    При оценке безопасности облачного решения клиенты должны понимать и различать следующие понятия:

    • меры безопасности, реализуемые и поддерживаемые AWS, – «безопасность облака» – и
    • меры безопасности, реализуемые и поддерживаемые клиентом и относящиеся к безопасности клиентского контента и приложений, использующих сервисы AWS, – «безопасность в облаке».
    compliance-srm
  • Кто имеет доступ к клиентскому контенту?

    Клиенты сохраняют право собственности на свой контент и право управления им и сами выбирают, какие сервисы AWS могут обрабатывать, хранить и размещать его. AWS не видит клиентский контент, не имеет к нему доступа и не использует его ни для каких целей, кроме предоставления сервисов AWS, которые выбрал клиент, или в случаях, когда это требуется для соблюдения закона или предписания, имеющего законную силу.

    Клиенты, использующие сервисы AWS, полностью контролируют свой контент в среде AWS. Они могут:

    • определять, где будет располагаться их контент, например выбирать тип среды хранения и географическое расположение хранилища;
    • управлять форматом этого контента, т. е. хранить его в виде обычного текста, с использованием масок, анонимно или в зашифрованном виде с использованием механизма шифрования, предоставляемого AWS или сторонним поставщиком по выбору клиента;
    • управлять другими элементами контроля доступа, например сервисом Identity and Access Management и учетными данными для доступа;
    • управлять использованием SSL, Virtual Private Cloud и других мер обеспечения сетевой безопасности для предотвращения несанкционированного доступа.

    Это позволяет клиентам AWS контролировать полный жизненный цикл своего контента в AWS и управлять контентом, исходя из собственных потребностей, включая классификацию контента, управление доступом, хранение и удаление.

  • Где будет храниться контент клиента?

    Центры обработки данных AWS созданы в виде кластеров в различных местоположениях по всему миру. Каждый кластер ЦОД в конкретном местоположении получает статус региона.

    Именно клиенты AWS выбирают регион (регионы) для хранения своего контента. Это позволяет клиентам с определенными географическими требованиями развертывать среды в нужных местоположениях (или в одном из них).

    Клиенты могут реплицировать контент и создавать резервные копии в нескольких регионах, но AWS не перемещает контент за пределы выбранного клиентом региона (регионов). Это возможно только при предоставлении сервисов по просьбе клиента или в соответствии с применимыми законодательными документами.

  • Как AWS обеспечивает безопасность своих центров обработки данных?

    Стратегия безопасности центров обработки данных AWS состоит из масштабируемых элементов управления безопасностью и нескольких уровней защиты, которые помогают обеспечить безопасность информации клиентов. Например, AWS тщательно управляет потенциальными рисками наводнений и сейсмической активности. Для ограничения доступа к центрам обработки данных мы используем физические препятствия, службу охраны, технологию обнаружения угроз и процедуру углубленной проверки. Мы выполняем резервное копирование наших систем, регулярно тестируем оборудование и процессы, а также постоянно обучаем сотрудников AWS, чтобы они были готовы к нештатным ситуациям.

    Для проверки безопасности наших центров обработки данных внешние аудиторы проводят в них тестирование на соответствие более чем 2600 стандартам и требованиям в течение всего года. Такая независимая экспертиза гарантирует постоянное соблюдение или превышение стандартов безопасности. В результате даже организации с самыми строгими в мире требованиями доверяют AWS защиту своих данных.

    Подробнее о том, как мы защищаем центры обработки данных AWS, см. в виртуальной демонстрации »

  • Какие регионы AWS я могу использовать?

    Можно выбрать любой регион, все регионы или произвольный набор регионов. Полный список регионов AWS см. на странице глобальной инфраструктуры AWS.

  • Какие действующие меры безопасности для защиты систем реализованы в AWS?

    На данный момент облачная инфраструктура AWS является одной из наиболее гибких и защищенных сред для облачных вычислений. Масштаб Amazon позволяет инвестировать в стратегию безопасности и защитные меры значительно больше, чем может позволить себе большинство других крупных компаний. Наша базовая инфраструктура состоит из аппаратного обеспечения, программного обеспечения, сетей и объектов, обеспечивающих работу сервисов AWS. Все это предоставляет клиентам и партнерам APN продвинутые инструменты управления, в том числе инструменты настройки безопасности для обработки персональных данных. Подробнее о мерах, предпринимаемых AWS для обеспечения стабильно высокого уровня безопасности, см. в техническом описании «Обзор процессов обеспечения безопасности AWS».

    AWS также предоставляет ряд отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных положений и стандартов безопасности, в том числе требованиям ISO 27001, ISO 27017, ISO 27018. С целью эффективного и открытого информирования об этих мерах мы предоставляем доступ к отчетам сторонних аудиторов в AWS Artifact. В этих отчетах для клиентов и партнеров APN указывается, кто может выступать оператором данных или обработчиком данных и как мы защищаем базовую инфраструктуру, на основе которой выполняется хранение и обработка персональных данных. Дополнительную информацию см. в разделе ресурсов по соответствию требованиям.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »