ความเป็นส่วนตัวของข้อมูลในประเทศออสเตรเลีย

ภาพรวม

หลักการเกี่ยวกับความเป็นส่วนตัวของออสเตรเลีย (APPs) ที่กำหนดไว้ในกฎหมายว่าด้วยความเป็นส่วนตัวของออสเตรเลียปี 1988 (Cth) ระบุข้อกำหนดสำหรับการรวบรวม การจัดการ การรับมือ การใช้งาน การเปิดเผย และการจัดการข้อมูลส่วนบุคคลในลักษณะอื่นไว้ APPs กำหนดหลักการคุ้มครองข้อมูลเพื่อปกป้องความเป็นส่วนตัวของบุคคล

AWS นั้นให้ความระมัดระวังกับความเป็นส่วนตัวและความปลอดภัยของข้อมูลของคุณ ความปลอดภัยที่ AWS นั้นมีจุดเริ่มต้นมาจากโครงสร้างที่เป็นหัวใจหลักของเรา สร้างมาเฉพาะสำหรับระบบคลาวด์และออกแบบมาให้สอดคล้องต่อข้อกำหนดความปลอดภัยที่เข้มงวดที่สุดในโลก โครงสร้างของเราได้รับการตรวจสอบตลอด 24 ชั่วโมงทุกวันเพื่อให้แน่ใจถึงการรักษาความลับ ความถูกต้อง และความพร้อมใช้งานของข้อมูลของลูกค้าของเรา ผู้เชี่ยวชาญด้านความปลอดภัยระดับโลกที่ตรวจสอบโครงสร้างนี้ยังได้สร้างและรักษาตัวเลือกบริการด้านความปลอดภัยอันหลากหลายของเราไว้ ซึ่งช่วยให้คุณสามารถลดความยุ่งยากในการดำเนินการอย่างสอดคล้องกับข้อกำหนดด้านความปลอดภัยและกฎระเบียบของคุณด้วย ในฐานะลูกค้าของ AWS ไม่ว่าอุตสาหกรรมของคุณจะมีขนาดเท่าใดหรือตั้งอยู่ที่ใด คุณก็มีสิทธิ์ในการใช้ประโยชน์จากประสบการณ์ของเรา ซึ่งผ่านการทดสอบกับเฟรมเวิร์กประกันคุณภาพที่เข้มงวดที่สุดของผู้ทดสอบภายนอกมาแล้ว

AWS ใช้และคงมาตรการทางเทคนิคและความปลอดภัยขององค์กรกับบริการโครงสร้างพื้นฐานระบบคลาวด์ของ AWS ภายใต้เฟรมเวิร์กการรับประกันและการรับรองด้านความปลอดภัยที่ได้รับการยอมรับในระดับโลก ซึ่งประกอบไปด้วย IRAP, ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 และ SOC 1, 2 และ 3 มาตรการทางเทคนิคและความปลอดภัยขององค์กรเหล่านี้ได้รับการตรวจสอบโดยผู้ประเมินอิสระจากภายนอก และออกแบบมาเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตหรือการเปิดเผยข้อมูลของลูกค้า

ตัวอย่างเช่น ISO 27018 เป็นหลักปฏิบัติสากลที่มุ่งเน้นการปกป้องข้อมูลส่วนบุคคลบนระบบคลาวด์ ซึ่งมีรากฐานมาจากมาตรฐานด้านความปลอดภัยของข้อมูล ISO 27002 และให้ข้อมูลแนะนำด้านการนำไปใช้เกี่ยวกับมาตรฐานการควบคุม ISO 27002 ซึ่งใช้กับข้อมูลที่ระบุตัวบุคคลได้ (PII) ที่ประมวลผลโดยผู้ให้บริการระบบคลาวด์สาธารณะ สิ่งนี้แสดงให้ลูกค้าเห็นได้ว่า AWS นั้นมีระบบการกำกับดูแลเฉพาะสำหรับปกป้องความเป็นส่วนตัวของข้อมูลลูกค้า

มาตรการด้านเทคนิคและองค์กรของ AWS อันครอบคลุมเหล่านี้สอดคล้องกับเป้าหมายของ APPs ในการปกป้องข้อมูลส่วนตัว ลูกค้าที่ใช้บริการของ AWS จะมีความสามารถในการควบคุมข้อมูลของตน และต้องรับผิดชอบต่อการดำเนินการตามมาตรการด้านความปลอดภัยเพิ่มเติมตามความต้องการที่เจาะจงของตน ซึ่งประกอบไปด้วยการจัดหมวดหมู่ข้อมูล การเข้ารหัส การจัดการการเข้าถึง และการยืนยันเพื่อรักษาความปลอดภัย

เนื่องจาก AWS ไม่สามารถมองเห็นหรือรับทราบเกี่ยวกับสิ่งที่ลูกค้าอัปโหลดไปยังเครือข่ายของเราได้ รวมทั้งไม่สามารถทราบได้ว่าข้อมูลดังกล่าวถือว่าอยู่ภายใต้กฎหมายว่าด้วยความเป็นส่วนตัวหรือไม่ ลูกค้าจึงต้องรับผิดชอบต่อการปฏิบัติตามกฎหมายว่าด้วยความเป็นส่วนตัวและกฎระเบียบที่เกี่ยวข้องเอง เนื้อหาในหน้านี้เป็นส่วนเสริมของแหล่งข้อมูลด้านความเป็นส่วนตัวของข้อมูลที่มีอยู่แล้วเพื่อช่วยให้ข้อกำหนดของคุณสอดคล้องกับโมเดลความรับผิดชอบร่วมกันของ AWS เมื่อคุณจัดเก็บและประมวลผลข้อมูลส่วนตัวโดยใช้บริการของ AWS

  • ภายใต้ โมเดลความรับผิดชอบร่วมกันของ AWS ลูกค้ายังคงมีความสามารถในการควบคุมความปลอดภัยที่ตนเลือกเพื่อนำไปใช้ปกป้องข้อมูล แพลตฟอร์ม แอปพลิเคชัน ระบบ และเครือข่ายของตนได้ เช่นเดียวกับที่ลูกค้าทำในแอปพลิเคชันในศูนย์ข้อมูลบนเว็บไซต์ ลูกค้าสามารถพัฒนาจากมาตรการและการควบคุมทางเทคนิคและความปลอดภัยขององค์กรที่ AWS มอบให้ได้เพื่อบริหารจัดการข้อกำหนดในการปฏิบัติตามกฎระเบียบของตน ลูกค้าสามารถใช้มาตรการที่ตนคุ้นเคยในการปกป้องข้อมูลของตนได้ เช่น การเข้ารหัสและการยืนยันตัวตนหลายปัจจัยนอกเหนือจากคุณสมบัติด้านความปลอดภัยของ AWS อย่าง AWS Identity and Access Management

    เมื่อทำการประเมินความปลอดภัยของโซลูชันระบบคลาวด์ ลูกค้าจำเป็นต้องเข้าใจและแยกความแตกต่างระหว่าง:

    • มาตรการด้านความปลอดภัยที่ AWS นำไปใช้และดำเนินการ ซึ่งได้แก่ “ความปลอดภัยของระบบคลาวด์” และ
    • มาตรการด้านความปลอดภัยที่ลูกค้านำไปใช้และดำเนินการเกี่ยวกับการรักษาความปลอดภัยของข้อมูลและแอปพลิเคชันของลูกค้าที่ใช้ประโยชน์จากบริการของ AWS ซึ่งได้แก่ “ความปลอดภัยในระบบคลาวด์”

  • ลูกค้าจะคงสิทธิ์ในการเป็นเจ้าของและการควบคุมเนื้อหาลูกค้าของตน และสามารถเลือกได้ว่าบริการของ AWS บริการใดจะทำหน้าที่ประมวลผล จัดเก็บ และเป็นโฮสต์ให้กับเนื้อหาลูกค้าของตน AWS ไม่มีความสามารถในการมองเห็นเนื้อหาของลูกค้า และจะไม่เข้าถึงหรือใช้งานเนื้อหาของลูกค้า เว้นแต่เพื่อการให้บริการของ AWS ที่ลูกค้าเลือก หรือเมื่อจำเป็นต่อการปฏิบัติตามกฎหมายหรือคำสั่งทางกฎหมายที่ผูกมัด

    ลูกค้าที่ใช้บริการของ AWS จะยังคงมีความสามารถในการควบคุมเนื้อหาของตนภายในสภาพแวดล้อมของ AWS ได้ พวกเขาสามารถ:

    • กำหนดได้ว่าจะเก็บเนื้อหาไว้ที่ใด ตัวอย่างเช่นประเภทของพื้นที่จัดเก็บและตำแหน่งที่ตั้งทางภูมิศาสตร์ของพื้นที่จัดเก็บ
    • ควบคุมรูปแบบของเนื้อหานั้น ตัวอย่างเช่น ข้อความธรรมดา แบบสวมข้อมูล ไม่ระบุชื่อ หรือใส่รหัส โดยใช้ได้ทั้ง AWS ในการเข้ารหัสข้อมูลหรือใช้กลไกการเข้ารหัสของบริษัทอื่น ทั้งนี้ขึ้นอยู่กับการเลือกของลูกค้า
    • จัดการการควบคุมการเข้าถึงอื่นๆ เช่นการจัดการการเข้าถึงข้อมูลประจำตัวและข้อมูลรับรองความปลอดภัย
    • ควบคุมว่าจะใช้ SSL, Virtual Private Cloud และมาตรการรักษาความปลอดภัยเครือข่ายอื่นๆ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตหรือไม่

    สิ่งนี้ช่วยให้ลูกค้าของ AWS สามารถควบคุมวงจรการใช้งานเนื้อหาของตนบน AWS ได้ทั้งหมด และสามารถจัดการเนื้อหาได้ตามความต้องการ ซึ่งรวมถึงการจัดหมวดหมู่ข้อมูล การควบคุมการเข้าถึง การเก็บรักษา และการลบเนื้อหา

  • โครงสร้างพื้นฐานส่วนกลางของ AWS ช่วยให้คุณเลือกวิธีและสถานที่ที่คุณจะเรียกใช้ปริมาณงานได้อย่างยืดหยุ่น และเมื่อเลือกแล้ว คุณจะใช้เครือข่าย, ชั้นการควบคุม, API และบริการของ AWS เดียวกัน หากคุณต้องการเรียกใช้แอปพลิเคชันของคุณทั่วโลก คุณสามารถเลือกจากรีเจี้ยนและ Availability Zone ใดของ AWS ก็ได้ ในฐานะลูกค้า คุณเลือกได้ว่าจะจัดเก็บเนื้อหาของลูกค้าของคุณไว้ใน Region ใดของ AWS ซึ่งช่วยให้คุณปรับใช้บริการของ AWS ในตำแหน่งที่ตั้งที่คุณต้องการได้ตามข้อกำหนดทางภูมิศาสตร์ที่เฉพาะเจาะจงของคุณ ตัวอย่างเช่น หากลูกค้า AWS ในออสเตรเลียต้องการจัดเก็บข้อมูลของตนไว้ในออสเตรเลียเท่านั้น ลูกค้าสามารถปรับใช้บริการของ AWS เฉพาะใน Region เอเชียแปซิฟิก (ซิดนีย์) ของ AWS ได้ หากต้องการดูตัวเลือกพื้นที่จัดเก็บข้อมูลที่ยืดหยุ่นแบบอื่นๆ โปรดไปที่เว็บเพจรีเจี้ยนของ AWS

    คุณสามารถทำซ้ำและสำรองข้อมูลเนื้อหาของลูกค้าของคุณใน AWS Region ได้มากกว่าหนึ่งแห่ง เราจะไม่เคลื่อนย้ายหรือทำซ้ำเนื้อหาของคุณนอกเขตของ AWS Region ที่คุณเลือกโดยไม่ได้รับความเห็นชอบจากคุณ ยกเว้นในแต่ละกรณีที่จำเป็นต้องปฏิบัติตามกฎหมายหรือคำสั่งที่มีผลผูกพันของหน่วยงานของรัฐ อย่างไรก็ตาม โปรดทราบว่าบริการของ AWS ทั้งหมดอาจไม่พร้อมใช้งานในบางรีเจี้ยนของ AWS สำหรับข้อมูลเพิ่มเติมว่าบริการใดพร้อมใช้งานในรีเจี้ยนใดของ AWS โปรดดูเว็บเพจ รีเจี้ยนของ AWS

  • กลยุทธ์ด้านความปลอดภัยของศูนย์ข้อมูลของ AWS นั้นประกอบไปด้วยมาตรการควบคุมด้านความปลอดภัยหลายระดับและการป้องกันหลายชั้นที่ช่วยในการปกป้องข้อมูลของคุณ ตัวอย่างเช่น AWS จะบริหารจัดการกับความเสี่ยงของอุทกภัยและเหตุการณ์แผ่นดินไหวอย่างระมัดระวัง เรามีกำแพงป้องกันทางกายภาพ พนักงานรักษาความปลอดภัย เทคโนโลยีตรวจจับภัยคุกคาม และกระบวนการคัดกรองเชิงลึกเพื่อจำกัดการเข้าถึงศูนย์ข้อมูล เราทำการสำรองระบบ ทดสอบอุปกรณ์และกระบวนการของเราเป็นประจำ อีกทั้งยังฝึกอบรมพนักงานของ AWS อย่างต่อเนื่องเพื่อเตรียมความพร้อมสำหรับเหตุการณ์ที่ไม่คาดคิด

    ในการตรวจสอบความปลอดภัยของศูนย์ข้อมูลของเรา ผู้ตรวจสอบภายนอกได้ดำเนินการทดสอบกับมาตรฐานและข้อกำหนดมากกว่า 2,600 รายการตลอดทั้งปี การตรวจสอบอิสระเช่นนี้ช่วยให้แน่ใจว่ามาตรฐานด้านความปลอดภัยเราของนั้นเป็นไปตามหรือสูงกว่าที่กำหนด ด้วยเหตุนี้ องค์กรที่มีการควบคุมที่เข้มงวดที่สุดในโลกจึงไว้ใจให้ AWS ปกป้องข้อมูลของตน

    เรียนรู้เพิ่มเติมเกี่ยวกับวิธีในการรักษาความปลอดภัยของศูนย์ข้อมูลของ AWS ตามการออกแบบโดยการเข้าร่วมทัวร์เสมือนจริง »

  • ลูกค้าจะเลือกใช้แค่หนึ่งเขต ทุกเขต หรือเลือกชุดเขตที่ต้องการใช้ก็ได้ ไปที่หน้าโครงสร้างพื้นฐานระดับโลกของ AWS เพื่อดูรายการเขต AWS ทั้งหมด

  • โครงสร้างพื้นฐาน AWS Cloud ได้รับการออกแบบมาให้เป็นหนึ่งในสภาพแวดล้อมการประมวลผลบนระบบคลาวด์ที่ยืดหยุ่นและปลอดภัยที่สุดที่มีอยู่ในขณะนี้ คุณภาพระดับ Amazon เอื้อเป็นอย่างมากให้ลงทุนกับนโยบายความปลอดภัยและมาตรการรับมือได้มากกว่าที่บริษัทขนาดใหญ่อื่นๆ แทบทุกบริษัทจะสามารถทำได้เอง โครงสร้างพื้นฐานนี้ประกอบไปด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่ใช้บริการต่างๆ ของ AWS ที่ให้ลูกค้าและคู่ค้า APN มีอำนาจควบคุมหลากหลายอย่าง รวมถึงการควบคุมการกำหนดค่าความปลอดภัย สำหรับการจัดการข้อมูลส่วนบุคคล 

    AWS ยังจะให้รายงานการปฏิบัติตามข้อกำหนดหลายฉบับจากผู้ตรวจสอบภายนอกซึ่งได้ตรวจสอบและยืนยันการปฏิบัติตามข้อกำหนดมาตรฐานและข้อบังคับด้านความปลอดภัยของเรา ซึ่งประกอบด้วย ISO 27001, ISO 27017 และ ISO 27018 เพื่อแสดงถึงความโปร่งใสในประสิทธิภาพของมาตรการเหล่านี้ คุณจะเข้าถึงรายงานการตรวจสอบบุคคลภายนอกได้ใน AWS Artifact สำหรับลูกค้าและคู่ค้า APN ของเราซึ่งอาจทำหน้าที่เป็นทั้งผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลแล้ว รายงานเหล่านี้ได้แสดงให้เห็นว่าเรากำลังปกป้องโครงสร้างพื้นฐานที่สำคัญอันเป็นที่ซึ่งลูกค้าได้ใช้จัดเก็บและประมวลผลข้อมูลส่วนบุคคล สำหรับข้อมูลเพิ่มเติม ให้ไปที่แหล่งข้อมูลสำหรับการปฏิบัติตามข้อกำหนดของเรา

  • AWS นำเสนอภาคผนวกข้อมูลเกี่ยวกับการละเมิดข้อมูลที่ต้องมีการแจ้งให้ทราบของออสเตรเลีย (ANDB) สองประเภทให้กับลูกค้าที่ดำเนินงานภายใต้กฎหมายความเป็นส่วนตัวของออสเตรเลียปี 1988 (Cth) และใช้ AWS เพื่อจัดเก็บและดำเนินการกับข้อมูลส่วนบุคคลที่คุ้มครองโดยรูปแบบ NDB ภาคผนวก ANDB ระบุความจำเป็นของลูกค้าสำหรับการแจ้งเตือนหากเหตุการณ์ด้านความปลอดภัยส่งผลกระทบต่อข้อมูลของตน AWS ทำให้ภาคผนวก ANDB ทั้งสองประเภทพร้อมให้บริการแบบออนไลน์เมื่อคลิกผ่านข้อตกลงใน AWS Artifact (พอร์ทัลการตรวจสอบและปฏิบัติตามข้อกำหนดที่ลูกค้าใช้งานซึ่งสามารถเข้าถึงได้จาก AWS Management Console) ประเภทแรก ภาคผนวก ANDB สำหรับบัญชีที่ใช้กับบัญชีส่วนบุคคลเฉพาะที่ยอมรับภาคผนวก ANDB สำหรับบัญชีเท่านั้น ภาคผนวก ANDB สำหรับบัญชีต้องมีการยอมรับแยกกันในบัญชี AWS แต่ละบัญชีซึ่งลูกค้าต้องได้รับการคุ้มครอง ประเภทที่สอง ภาคผนวก ANDB สำหรับองค์กร เมื่อยอมรับโดยบัญชีหลักใน AWS Organizations ใช้กับบัญชีหลักและบัญชีของสมาชิกทั้งหมดในองค์กร AWS ดังกล่าว หากลูกค้าไม่ต้องการใช้ประโยชน์จากภาคผนวก ANDB สำหรับบัญชี ลูกค้ายังสามารถยอมรับภาคผนวก ANDB สำหรับบัญชีสำหรับบัญชีส่วนตัว คำถามที่พบบ่อยเกี่ยวกับภาพผนวก ANDB มีให้บริการออนไลน์ที่คำถามที่พบบ่อยเกี่ยวกับ AWS Artifact

แหล่งข้อมูลเกี่ยวกับความเป็นส่วนตัวของข้อมูลในประเทศออสเตรเลีย

การใช้ AWS ในบริบทเกี่ยวกับข้อพิจารณาความเป็นส่วนตัวในประเทศออสเตรเลีย
การขอข้อมูลของ Amazon
คำถามที่พบบ่อยเกี่ยวกับ ISO 27018 ของ AWS
การปฏิบัติตามข้อกำหนดของ AWS IRAP
คุณสมบัติด้านความเป็นส่วนตัวของบริการของ AWS
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »