ความเป็นส่วนตัวของข้อมูลในประเทศอาร์เจนตินา

ภาพรวม

Argentina

กฎหมายคุ้มครองข้อมูลส่วนบุคคลของประเทศอาร์เจนตินาหมายเลข 25,326 รวมถึงคำสั่งของฝ่ายบริหารที่ 1558/2001 และกฎระเบียบเพิ่มเติม ("PDPL") คือกฎหมายรัฐบาลกลางแห่งประเทศอาร์เจนตินาที่บังคับใช้กับการคุ้มครองข้อมูลส่วนบุคคลในประเทศอาร์เจนตินาเมื่อมีการถ่ายโอนข้อมูลส่วนบุคคลไปยังต่างประเทศเพื่อการประมวลผล ในเดือนกรกฎาคม ปี 2018 หน่วยงานคุ้มครองข้อมูลของประเทศอาร์เจนตินา (Agencia de Acceso a la Información Pública หรือ “ADPA”) ได้ออกข้อมติ 47/2018 (“Resolution 47”) ภายใต้ PDPL ซึ่งยกเลิกการโอนกรรมสิทธิ์ที่ 11/2006 อันเกี่ยวข้องกับมาตรการด้านความปลอดภัยที่ผู้ควบคุมข้อมูล (ซึ่งก็คือลูกค้า AWS) จำเป็นต้องพิจารณาเมื่อประมวลผลข้อมูลส่วนบุคคล Resolution 47 อธิบายมาตรการด้านความปลอดภัยใหม่ที่แนะนำซึ่งสอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดและมาตรฐานสากล และมีวัตถุประสงค์เพื่อคุ้มครองการรักษาความลับและความสมบูรณ์ของข้อมูลส่วนบุคคลในระหว่างการประมวลผล ตั้งแต่การเก็บรวบรวมข้อมูลไปจนถึงการลบข้อมูล กล่าวโดยเฉพาะ ข้อมติใหม่นี้อัปเดตรายการของมาตรการและการควบคุมที่แนะนำในการจัดการ วางแผน ควบคุม และปรับปรุงความปลอดภัยขณะประมวลผลข้อมูลส่วนบุคคล มาตรการด้านความปลอดภัยที่แนะนำเหล่านี้แบ่งตามหมวดหมู่ของกิจกรรมที่เกี่ยวข้องกับการประมวลผล ซึ่งรวมถึงการเก็บรวบรวมข้อมูล การควบคุมการเข้าถึง การควบคุมการเปลี่ยนแปลง การสำรองและการกู้คืนข้อมูล การจัดการช่องโหว่ การนำข้อมูลออกหรือการลบข้อมูล เหตุการณ์ด้านความปลอดภัย และสภาพแวดล้อมในการพัฒนา นอกจากนี้ Resolution 47 ยังมีรายการมาตรการความปลอดภัยที่ใช้กับ “ข้อมูลที่ละเอียดอ่อน” (ตามที่ให้คำจำกัดความไว้ใน PDPL)

AWS ให้ความระมัดระวังกับความเป็นส่วนตัวและความปลอดภัยของข้อมูลของคุณ ความปลอดภัยที่ AWS นั้นเริ่มตั้งแต่โครงสร้างพื้นฐานหลักของเรา โครงสร้างพื้นฐานของเราสร้างมาเพื่อระบบคลาวด์โดยเฉพาะและได้รับการออกแบบให้สอดคล้องกับข้อกำหนดด้านความปลอดภัยที่เข้มงวดที่สุดในโลก โดยได้รับการตรวจสอบทุกวันตลอด 24 ชั่วโมงเพื่อให้มั่นใจในการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลลูกค้าของเรา ผู้เชี่ยวชาญด้านความปลอดภัยระดับโลกที่ตรวจสอบโครงสร้างพื้นฐานนี้ยังได้สร้างและรักษาตัวเลือกบริการด้านความปลอดภัยอันหลากหลายของเราไว้ ซึ่งช่วยให้คุณสามารถลดความยุ่งยากในการดำเนินการอย่างสอดคล้องกับข้อกำหนดด้านความปลอดภัยและกฎระเบียบของคุณเองด้วย ในฐานะลูกค้าของ AWS ไม่ว่าอุตสาหกรรมของคุณจะใหญ่หรือตั้งอยู่ที่ใด คุณมีสิทธิ์ในการใช้ประโยชน์จากประสบการณ์ของเราที่ผ่านการทดสอบกับเฟรมเวิร์กประกันคุณภาพที่เข้มงวดที่สุดของผู้ทดสอบภายนอกมาแล้ว

AWS ใช้และคงมาตรการทางเทคนิคและความปลอดภัยขององค์กรกับบริการโครงสร้างระบบคลาวด์ของ AWS ภายใต้เฟรมเวิร์กการรับประกันและการรับรองด้านความปลอดภัยระดับโลกซึ่งประกอบไปด้วย ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 และ SOC 1, 2 และ 3 มาตรการทางเทคนิคและความปลอดภัยขององค์กรเหล่านี้ได้รับการตรวจสอบโดยผู้ประเมินอิสระภายนอก และออกแบบมาเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตหรือการเปิดเผยข้อมูลของลูกค้า

ตัวอย่างเช่น มาตรฐาน ISO 27018 เป็นหลักปฏิบัติสากลที่มุ่งเน้นการปกป้องข้อมูลส่วนบุคคลบนระบบคลาวด์ ซึ่งมีรากฐานมาจากมาตรฐานด้านความปลอดภัย ISO 27002 และให้ข้อมูลแนะนำด้านการนำไปใช้กับมาตรฐานควบคุม ISO 27002 ซึ่งใช้กับข้อมูลที่ระบุตัวบุคคลได้ (Personally Identifiable Information – PII) ที่รับการประมวลผลโดยผู้ให้บริการระบบคลาวด์สาธารณะ สิ่งนี้แสดงให้ลูกค้าเห็นได้ว่า AWS นั้นมีระบบการควบคุมไว้คอยจัดการกับการคุ้มครองความเป็นส่วนตัวของเนื้อหาของตนโดยเฉพาะ

มาตรการด้านเทคนิคและด้านองค์กรของ AWS อันครอบคลุมเหล่านี้สอดคล้องกับเป้าหมายของ PDPL และ Resolution 47 ภายใต้ PDPL ในการคุ้มครองข้อมูลส่วนบุคคล ลูกค้าที่ใช้บริการของ AWS คงความสามารถในการควบคุมเนื้อหาของตนและมีหน้าที่รับผิดชอบต่อการนำมาตรการด้านความปลอดภัยเพิ่มเติมมาใช้ตามความต้องการที่เฉพาะเจาะจงของตน ซึ่งรวมถึงการจำแนกประเภทเนื้อหา การเข้ารหัส การจัดการการเข้าถึง และข้อมูลประจำตัวเพื่อการรักษาความปลอดภัย

เนื่องจาก AWS ไม่สามารถมองเห็นได้ว่าลูกค้าเลือกที่จะจัดเก็บเนื้อหาประเภทใดใน AWS รวมถึงไม่ทราบว่าข้อมูลดังกล่าวอยู่ภายใต้บังคับแห่ง PDPL หรือไม่ ท้ายที่สุดแล้ว ลูกค้าจึงมีหน้าที่รับผิดชอบต่อการปฏิบัติตาม PDPL และกฎระเบียบที่เกี่ยวข้องของตนเอง เนื้อหาในหน้านี้เป็นส่วนเสริมของแหล่งข้อมูลด้านความเป็นส่วนตัวของข้อมูลฉบับเดิมเพื่อช่วยให้ข้อกำหนดของคุณสอดคล้องกับโมเดลความรับผิดชอบร่วมกันของ AWS เมื่อคุณทำการประมวลผลข้อมูลส่วนบุคคลในศูนย์ข้อมูลต่างประเทศ

  • บทบาทของลูกค้าในการปกป้องข้อมูลของตนคืออะไร

    ภายใต้โมเดลความรับผิดชอบร่วมกันของ AWS ลูกค้า AWS เป็นผู้ควบคุมวิธีการรักษาความปลอดภัยที่ตนเลือกนำไปใช้เพื่อคุ้มครองเนื้อหา แพลตฟอร์ม แอปพลิเคชัน ระบบ และเครือข่ายของตนเอง ซึ่งไม่ต่างจากที่ลูกค้าจะทำสำหรับแอปพลิเคชันในศูนย์ข้อมูลในองค์กร ลูกค้าสามารถต่อยอดจากมาตรการและการควบคุมความปลอดภัยด้านเทคนิคและด้านองค์กรที่ AWS นำเสนอเพื่อจัดการข้อกำหนดในการปฏิบัติตามกฎข้อบังคับของตนเองได้ ลูกค้าสามารถใช้มาตรการที่ตนคุ้นเคยในการปกป้องข้อมูลของตนได้ เช่น การเข้ารหัสและการยืนยันตัวตนหลายปัจจัยนอกเหนือจากคุณสมบัติด้านความปลอดภัยของ AWS อย่าง AWS Identity and Access Management

    เมื่อทำการประเมินความปลอดภัยของโซลูชันระบบคลาวด์ ลูกค้าจำเป็นต้องเข้าใจและแยกความแตกต่างระหว่าง:

    • มาตรการด้านความปลอดภัยที่ AWS นำไปใช้และดำเนินการ ซึ่งได้แก่ "ความปลอดภัยของระบบคลาวด์" และ
    • มาตรการด้านความปลอดภัยที่ลูกค้านำไปใช้และดำเนินการ ซึ่งเกี่ยวข้องกับการรักษาความปลอดภัยของเนื้อหาและแอปพลิเคชันของลูกค้าของตนที่ใช้ประโยชน์จากบริการของ AWS ซึ่งได้แก่ "ความปลอดภัยในระบบคลาวด์"
    compliance-srm
  • ใครบ้างที่สามารถเข้าถึงเนื้อหาของลูกค้า

    ลูกค้าเป็นผู้ถือกรรมสิทธิ์และควบคุมเนื้อหาของลูกค้าของตน รวมถึงเลือกว่าบริการใดของ AWS ที่จะประมวลผล จัดเก็บ และโฮสต์เนื้อหาของลูกค้าของตน AWS ไม่มีความสามารถในการมองเห็นเนื้อหาของลูกค้า และจะไม่เข้าถึงหรือใช้งานเนื้อหาของลูกค้า เว้นแต่เพื่อการให้บริการของ AWS ที่ลูกค้าเลือก หรือเมื่อจำเป็นต่อการปฏิบัติตามกฎหมายหรือคำสั่งที่มีผลผูกพันทางกฎหมาย

    ลูกค้าที่ใช้บริการของ AWS คงความสามารถในการควบคุมเนื้อหาของตนภายในสภาพแวดล้อมของ AWS พวกเขาสามารถ:

    • กำหนดได้ว่าจะเก็บเนื้อหาไว้ที่ใด ตัวอย่างเช่นประเภทของพื้นที่จัดเก็บและตำแหน่งที่ตั้งทางภูมิศาสตร์ของพื้นที่จัดเก็บ 
    • ควบคุมรูปแบบของเนื้อหา ตัวอย่างเช่นข้อความธรรมดา แบบสวมข้อมูล ไม่ระบุชื่อ หรือเข้ารหัส โดยสามารถใช้ได้ทั้งการเข้ารหัสที่ให้บริการโดย AWS หรือกลไกการเข้ารหัสที่ให้บริการโดยบริษัทอื่นตามที่ลูกค้าเลือก 
    • จัดการการควบคุมการเข้าถึงอื่นๆ เช่นการจัดการการเข้าถึงข้อมูลประจำตัวและข้อมูลรับรองความปลอดภัย 
    • ควบคุมการเลือกการใช้งาน SSL, Virtual Private Cloud และมาตรการด้านความปลอดภัยของเครือข่ายอื่นๆ เพื่อป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต

    สิ่งนี้ช่วยให้ลูกค้าของ AWS สามารถควบคุมวงจรการใช้งานเนื้อหาของตนบน AWS ได้ทั้งหมด และสามารถจัดการเนื้อหาได้ตามความต้องการ ซึ่งรวมถึงการจัดหมวดหมู่ข้อมูล การควบคุมการเข้าถึง การเก็บรักษา และการลบเนื้อหา

  • เนื้อหาของลูกค้าจัดเก็บไว้ที่ใด

    โครงสร้างพื้นฐานส่วนกลางของ AWS ช่วยให้คุณเลือกวิธีและสถานที่ที่คุณจะเรียกใช้ปริมาณงานได้อย่างยืดหยุ่น และเมื่อเลือกแล้ว คุณจะใช้เครือข่าย, ชั้นการควบคุม, API และบริการของ AWS เดียวกัน หากคุณต้องการเรียกใช้แอปพลิเคชันของคุณทั่วโลก คุณสามารถเลือกจากรีเจี้ยนและ Availability Zone ใดของ AWS ก็ได้ ในฐานะลูกค้า คุณเลือกได้ว่าจะจัดเก็บเนื้อหาของลูกค้าของคุณไว้ในรีเจี้ยนใดของ AWS ซึ่งช่วยให้คุณปรับใช้บริการของ AWS ในตำแหน่งที่ตั้งที่คุณต้องการได้ตามข้อกำหนดทางภูมิศาสตร์ที่เฉพาะเจาะจงของคุณ ตัวอย่างเช่น หากลูกค้า AWS ในออสเตรเลียต้องการจัดเก็บข้อมูลของตนไว้ในออสเตรเลียเท่านั้น ลูกค้าสามารถปรับใช้บริการของ AWS เฉพาะในรีเจี้ยนเอเชียแปซิฟิก (ซิดนีย์) ของ AWS ได้ หากต้องการดูตัวเลือกพื้นที่จัดเก็บข้อมูลที่ยืดหยุ่นแบบอื่นๆ โปรดไปที่เว็บเพจรีเจี้ยนของ AWS

    คุณสามารถทำซ้ำและสำรองข้อมูลเนื้อหาของลูกค้าของคุณในรีเจี้ยน AWS ได้มากกว่าหนึ่งแห่ง เราจะไม่เคลื่อนย้ายหรือทำซ้ำเนื้อหาของคุณนอกเขตของรีเจี้ยน AWS ที่คุณเลือกโดยไม่ได้รับความเห็นชอบจากคุณ ยกเว้นในแต่ละกรณีที่จำเป็นต้องปฏิบัติตามกฎหมายหรือคำสั่งที่มีผลผูกพันของหน่วยงานของรัฐ อย่างไรก็ตาม โปรดทราบว่าบริการของ AWS ทั้งหมดอาจไม่พร้อมใช้งานในบางรีเจี้ยนของ AWS สำหรับข้อมูลเพิ่มเติมว่าบริการใดพร้อมใช้งานในรีเจี้ยนใดของ AWS โปรดดูเว็บเพจ รีเจี้ยนของ AWS

  • AWS รักษาความปลอดภัยของศูนย์ข้อมูลของตนอย่างไร

    กลยุทธ์ด้านความปลอดภัยของศูนย์ข้อมูลของ AWS นั้นประกอบไปด้วยมาตรการควบคุมด้านความปลอดภัยหลายระดับและการป้องกันหลายชั้นที่ช่วยในการปกป้องข้อมูลของคุณ ตัวอย่างเช่น AWS จะบริหารจัดการกับความเสี่ยงของอุทกภัยและเหตุการณ์แผ่นดินไหวอย่างระมัดระวัง เรามีกำแพงป้องกันทางกายภาพ พนักงานรักษาความปลอดภัย เทคโนโลยีตรวจจับภัยคุกคาม และกระบวนการคัดกรองเชิงลึกเพื่อจำกัดการเข้าถึงศูนย์ข้อมูล เราทำการสำรองระบบ ทดสอบอุปกรณ์และกระบวนการของเราเป็นประจำ อีกทั้งยังฝึกอบรมพนักงานของ AWS อย่างต่อเนื่องเพื่อเตรียมความพร้อมสำหรับเหตุการณ์ที่ไม่คาดคิด

    ในการตรวจสอบความปลอดภัยของศูนย์ข้อมูลของเรา ผู้ตรวจสอบภายนอกได้ดำเนินการทดสอบกับมาตรฐานและข้อกำหนดมากกว่า 2,600 รายการตลอดทั้งปี การตรวจสอบอิสระเช่นนี้ช่วยให้แน่ใจว่ามาตรฐานด้านความปลอดภัยเราของนั้นเป็นไปตามหรือสูงกว่าที่กำหนด ด้วยเหตุนี้ องค์กรที่มีการควบคุมที่เข้มงวดที่สุดในโลกจึงไว้ใจให้ AWS ปกป้องข้อมูลของตน

    เรียนรู้เพิ่มเติมเกี่ยวกับวิธีในการรักษาความปลอดภัยของศูนย์ข้อมูลของ AWS ตามการออกแบบโดยการเข้าร่วมทัวร์เสมือนจริง »

  • ฉันสามารถใช้งานภูมิภาค AWS ใดได้บาง

    ลูกค้าสามารถเลือกใช้ภูมิภาค AWS ใดๆ หนึ่งภูมิภาค ทุกภูมิภาค หรือผสมรวมภูมิภาคต่างๆ ก็ได้ ซึ่งรวมถึงภูมิภาคในประเทศบราซิลและสหรัฐอเมริกา ไปที่ หน้าโครงสร้างพื้นฐานส่วนกลางของ AWS เพื่อดูรายชื่อของรีเจี้ยน AWS ทั้งหมด

  • หน่วยงานคุ้มครองข้อมูลของประเทศอาร์เจนตินาได้กำหนดให้บางประเทศต้องให้ “การคุ้มครองในระดับที่เพียงพอ” กับข้อมูลส่วนบุคคล AWS มีรีเจี้ยนในประเทศเหล่านี้หรือไม่

    ภายใต้ PDPL ผู้ควบคุมข้อมูล (ซึ่งก็คือลูกค้าของ AWS) นั้นได้รับอนุญาตให้ถ่ายโอนข้อมูลส่วนตัวไปยังเขตอำนาจศาลที่ให้ “การคุ้มครองในระดับที่เพียงพอ” กับข้อมูลส่วนตัวตามที่กำหนดโดย ADPA ตามกฎหมายมาตราที่ 60-E/2016 ซึ่งออกโดย ADPA ประเทศสมาชิกในสหภาพยุโรป (EU) และประชาคมเศรษฐกิจยุโรป (EEC) ถือว่ามีการป้องกันข้อมูลส่วนตัวในระดับที่เพียงพอ

    AWS มีภูมิภาคในหลายๆ ประเทศที่ ADPA พิจารณาแล้วว่าให้ “การป้องกันในระดับที่เพียงพอ” ภายใต้ PDPL เช่น ประเทศเยอรมนี ฝรั่งเศส สหราชอาณาจักร และไอร์แลนด์ในสหภาพยุโรป ไปที่ หน้าโครงสร้างพื้นฐานส่วนกลางของ AWS เพื่อดูรายชื่อของรีเจี้ยน AWS ทั้งหมด

    AWS จะใช้มาตรฐานด้านความปลอดภัยเดียวกันกับศูนย์ข้อมูลของตนไม่ว่าคุณจะเลือกรีเจี้ยนใดก็ตาม

  • AWS เสนอข้อตกลงด้านการถ่ายโอนข้อมูลระหว่างประเทศแบบใดเพื่อแสดงถึงการคุ้มครองข้อมูลส่วนบุคคลที่ถ่ายโอนไปยังประเทศใดๆ ซึ่งรวมถึงประเทศบราซิลและสหรัฐฯ

    ในข้อตกลงร่วมกับลูกค้า AWS ให้พันธะสัญญาเฉพาะด้านความปลอดภัยและความเป็นส่วนตัวซึ่งมีผลกับเนื้อหาของลูกค้าในวงกว้างในแต่ละรีเจี้ยนที่ลูกค้าเลือกใช้จัดเก็บข้อมูล พันธะสัญญาที่ AWS ให้ไว้นั้นสอดคล้องกับเป้าหมายของ PDPL, Disposition 60-E/2016 และ Resolution 47/2018 ภายใต้ PDPL เพื่อคุ้มครองข้อมูลส่วนบุคคล

    นอกจากนี้ AWS ยังจัดทำบทเสริมเกี่ยวกับการประมวลผลข้อมูลระหว่างประเทศ (DPA) ที่เรียกอีกชื่อหนึ่งว่าข้อตกลงด้านการถ่ายโอนข้อมูล ซึ่งบังคับใช้ทั่วโลกและประกอบด้วยข้อผูกมัดตามสัญญาที่เจาะจงเพื่อระบุบทบาทและความรับผิดชอบของแต่ละฝ่ายอย่างเพียงพอเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยของข้อมูลส่วนบุคคล

    อีกทั้งลูกค้ายังมีตัวเลือกที่จะลงนามในข้อตกลงระดับองค์กรกับ AWS ซึ่งสามารถปรับแต่งเพิ่มเติมให้เหมาะสมกับความต้องการที่เฉพาะเจาะจงของลูกค้าได้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับข้อตกลงระดับองค์กรหรือ DPA โปรดติดต่อตัวแทนฝ่ายขายของ AWS ของคุณ

compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »