ความเป็นส่วนตัวของข้อมูลในประเทศแคนาดา

ภาพรวม

ลูกค้า AWS สามารถออกแบบและใช้งานสภาพแวดล้อม AWS และใช้บริการ AWS ในลักษณะที่ตอบสนองภาระผูกพันของพวกเขาภายใต้กฎหมายความเป็นส่วนตัวของรัฐบาลกลาง จังหวัด และอาณาเขตของแคนาดา

ลูกค้าสามารถควบคุมวิธีการจัดการและการเข้าถึงเนื้อหาที่จัดเก็บอยู่ใน AWS ได้ทุกเมื่อ AWS ไม่รับทราบเกี่ยวกับสิ่งที่ลูกค้ากำลังอัปโหลดไปยังบริการของตนรวมถึงว่าข้อมูลนั้นถือว่าอยู่ภายใต้กฎหมายความเป็นส่วนตัวของแคนาดาหรือไม่ และลูกค้าต้องรับผิดชอบในการตรวจสอบให้แน่ใจว่าพวกเขาปฏิบัติตามกฎหมายที่เกี่ยวข้อง

นอกจากนี้ AWS Data Processing Addendum (AWS DPA) ที่เรียกอีกชื่อหนึ่งว่าข้อตกลงด้านการถ่ายโอนข้อมูล ซึ่งบังคับใช้ทั่วโลกและประกอบด้วยข้อผูกมัดตามสัญญาที่เจาะจงเพื่อระบุบทบาทและความรับผิดชอบของแต่ละฝ่ายอย่างเพียงพอเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยของข้อมูลส่วนบุคคล

มีกฎหมายหลายแห่งในแคนาดาที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล การบังคับใช้กฎหมายเหล่านี้ได้รับการจัดการโดยองค์กรและหน่วยงานของรัฐบาลต่าง ๆ ในระดับรัฐบาลกลางจังหวัดและอาณาเขต

ในระดับรัฐบาลกลาง กฎหมายคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ (PIPEDA) อาจใช้กับการรวบรวม ใช้ และการเปิดเผยข้อมูลส่วนบุคคลภายในภาคเอกชน และกฎหมายความเป็นส่วนตัว อาจมีผลบังคับใช้ภายในภาครัฐ สำนักงานคณะกรรมาธิการความเป็นส่วนตัวของแคนาดา (OPC) ดูแลการใช้กฎหมายทั้งสองนี้

นอกจากนี้ จังหวัดและดินแดนของแคนาดาได้ยอมรับกฎหมายความเป็นส่วนตัวของตนเองสำหรับทั้งภาครัฐและเอกชนตลอดจนกฎหมายความเป็นส่วนตัวเฉพาะสำหรับข้อมูลส่วนบุคคลบางประเภทเช่นข้อมูลสุขภาพส่วนบุคคล เว็บไซต์ OPC ให้ภาพรวมของกฎหมายและหน่วยงานระดับจังหวัดและดินแดนเหล่านี้

สำหรับลูกค้าที่ต้องการประมวลผลข้อมูลของตนในแคนาดา มี Region AWS แคนาดา (ภาคกลาง) ใกล้กับมอนทรีออลและ Region แคนาดา (ตะวันตก) ใกล้คาลการี สำหรับรายการของเขตและบริการทั้งหมดของ AWS Region โปรดดูที่หน้าโครงสร้างพื้นฐานส่วนกลาง

คำถามที่พบบ่อย

• ลูกค้าจะกำหนดว่ากฎหมายความเป็นส่วนตัวของแคนาดาใดใช้กับกรณีการใช้งานของพวกเขาได้อย่างไร

  ไม่ว่าและขอบเขตใด ลูกค้า AWS จะอยู่ภายใต้ PIPEDA, กฎหมายความเป็นส่วนตัว หรือข้อกำหนดด้านความเป็นส่วนตัวอื่น ๆ ของแคนาดาอาจแตกต่างกันไปขึ้นอยู่กับธุรกิจและกรณีการใช้งานของลูกค้า ลูกค้าควรปรึกษากับที่ปรึกษาทางกฎหมายเพื่อทำความเข้าใจถึงกฎหมายความเป็นส่วนตัวที่ต้องปฏิบัติตาม

• ลูกค้าสามารถปฏิบัติตามกฎหมายความเป็นส่วนตัวของแคนาดากับ AWS ได้อย่างไร

  ลูกค้าที่อยู่ภายใต้กฎหมายความเป็นส่วนตัวของแคนาดาอาจต้องปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับการรวบรวม การเข้าถึง การใช้ การเปิดเผย และการปกป้องข้อมูลส่วนบุคคล AWS ให้สิทธิ์ลูกค้าในการควบคุมวิธีการจัดเก็บหรือประมวลผลเนื้อหาของลูกค้าเองเมื่อใช้บริการ AWS รวมถึงการควบคุมวิธีการรักษาความปลอดภัยของเนื้อหานั้น และผู้ที่สามารถเข้าถึงเนื้อหานั้นได้ AWS มอบบริการที่ลูกค้าสามารถกำหนดค่าและใช้งานเพื่อสนับสนุนการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ตนจัดเก็บไว้บน AWS และเป็นความรับผิดชอบของลูกค้าในการออกแบบโซลูชันที่ตรงตามข้อกำหนดด้านความเป็นส่วนตัวที่บังคับใช้

  AWS นำเสนอคู่มือการทำงาน เอกสารรายงาน และแนวปฏิบัติที่ดีที่สุดไว้ในหน้าทรัพยากรการปฏิบัติตามข้อกำหนดของ AWS ของเรา และลูกค้าสามารถเข้าถึงรายงานการตรวจสอบโดยบุคคลภายนอกของ AWS ใน AWS Artifact ได้ตามต้องการ

• กฎหมายความเป็นส่วนตัวของแคนาดาใด ๆ ห้ามให้ลูกค้า AWS ถ่ายโอนหรือจัดเก็บข้อมูลส่วนบุคคลนอกแคนาดาหรือไม่

  ลูกค้าควรปรึกษาที่ปรึกษาทางกฎหมายของตนเองเพื่อพิจารณาว่ากฎหมายความเป็นส่วนตัวของแคนาดาหรือภาระผูกพันอื่น ๆ ที่อาจนำไปใช้กับองค์กรและกรณีการใช้งานของพวกเขา

• กฎหมายความเป็นส่วนตัวของแคนาดาใด ๆ กำหนดให้ข้อมูลส่วนบุคคลถูกเข้ารหัสหรือไม่

  หน่วยงานภายใต้กฎหมายความเป็นส่วนตัวของแคนาดาจำเป็นต้องดำเนินการเพื่อปกป้องข้อมูลส่วนบุคคล และเป็นความรับผิดชอบของลูกค้าแต่ละรายในการพิจารณาว่าจำเป็นต้องเข้ารหัสเพื่อปฏิบัติตามภาระผูกพันด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดหรือไม่

  AWS แนะนำให้ลูกค้าเข้ารหัสข้อมูลที่อยู่ในพื้นที่จัดเก็บและระหว่างการขนส่งเป็นแนวทางปฏิบัติที่ดีที่สุด สำหรับคำแนะนำเพิ่มเติม โปรดดูที่ การเข้ารหัสข้อมูลที่อยู่อาศัยและข้อมูลระหว่างการถ่ายโอน

• บทบาทของลูกค้าในการรักษาความปลอดภัยเนื้อหาบน AWS คืออะไร

  เมื่อทำการประเมินความปลอดภัยของโซลูชันระบบคลาวด์ ลูกค้าจำเป็นต้องเข้าใจและแยกความแตกต่างระหว่าง:

  • มาตรการด้านความปลอดภัยที่ AWS นำไปใช้และดำเนินการ ซึ่งได้แก่ “ความปลอดภัยของระบบคลาวด์” และ
  • มาตรการด้านความปลอดภัยที่ลูกค้านำไปใช้และดำเนินการเกี่ยวกับการรักษาความปลอดภัยของข้อมูลและแอปพลิเคชันของลูกค้าที่ใช้ประโยชน์จากบริการของ AWS ซึ่งได้แก่ “ความปลอดภัยในระบบคลาวด์”

  

  ภายใต้ รูปแบบความรับผิดชอบร่วมกันของ AWS ลูกค้ายังคงมีความสามารถในการควบคุมความปลอดภัยที่ตนเลือกเพื่อนำไปใช้ปกป้องข้อมูล แพลตฟอร์ม แอปพลิเคชัน ระบบ และเครือข่ายของตนได้ เช่นเดียวกับที่ลูกค้าทำในแอปพลิเคชันในศูนย์ข้อมูลบนเว็บไซต์ ลูกค้าสามารถใช้มาตรการรักษาความปลอดภัยที่คุ้นเคย เช่น การเข้ารหัสและการตรวจสอบความถูกต้องแบบหลายปัจจัย เพื่อปกป้องข้อมูลของตนและตอบสนองข้อกำหนดในการปฏิบัติตามข้อกำหนดของตนนอกเหนือจากบริการและฟีเจอร์ความปลอดภัยของ AWS เช่น AWS Identity and Access Management (IAM)

• ใครสามารถเข้าถึงเนื้อหาของลูกค้าบน AWS

  ลูกค้าจะคงสิทธิ์ในการเป็นเจ้าของและการควบคุมเนื้อหาลูกค้าของตน และสามารถเลือกได้ว่าบริการของ AWS บริการใดจะทำหน้าที่ประมวลผล จัดเก็บ และเป็นโฮสต์ให้กับเนื้อหาลูกค้าของตน AWS ไม่เข้าถึงหรือใช้เนื้อหาของลูกค้า ยกเว้นในกรณีที่จำเป็นเพื่อรักษาหรือให้บริการของ AWS ที่ลูกค้าเลือกไว้ หรือตามความจำเป็นเพื่อปฏิบัติตามกฎหมายหรือคำสั่งผูกพันของหน่วยงานรัฐบาลตามที่ระบุไว้ในสัญญาลูกค้า AWS

  ลูกค้าที่ใช้บริการของ AWS จะยังคงมีความสามารถในการควบคุมเนื้อหาของตนภายในสภาพแวดล้อมของ AWS ได้ พวกเขาสามารถ:

  • กำหนดว่าจะอยู่ที่ไหนตัวอย่างเช่นโดยการเลือกประเภทของสภาพแวดล้อมการจัดเก็บและตำแหน่งทางภูมิศาสตร์ของที่เก็บข้อมูลนั้น
  • ควบคุมรูปแบบของเนื้อหานั้น ตัวอย่างเช่น ข้อความธรรมดา แบบสวมข้อมูล ไม่ระบุชื่อ หรือใส่รหัส โดยใช้ได้ทั้ง AWS ในการเข้ารหัสข้อมูลหรือใช้กลไกการเข้ารหัสของบริษัทอื่น ทั้งนี้ขึ้นอยู่กับการเลือกของลูกค้า
  • จัดการการควบคุมการเข้าถึง เช่น AWS Identity และการจัดการการเข้าถึง (IAM) และ
  • ควบคุมว่าจะใช้การเข้ารหัส คุณสมบัติ Amazon Virtual Private Cloud (VPC) และมาตรการรักษาความปลอดภัยเครือข่ายและข้อมูลอื่น ๆ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

  สิ่งนี้ช่วยให้ลูกค้าของ AWS สามารถควบคุมวงจรการใช้งานเนื้อหาของตนบน AWS ได้ทั้งหมด และสามารถจัดการเนื้อหาได้ตามความต้องการ ซึ่งรวมถึงการจัดหมวดหมู่ข้อมูล การควบคุมการเข้าถึง การเก็บรักษา และการลบเนื้อหา

• เนื้อหาของลูกค้าจัดเก็บไว้ที่ใด

  AWS Global Infrastructure ช่วยให้คุณมีความยืดหยุ่นในการเลือกวิธีการและตำแหน่งที่คุณต้องการเรียกใช้เวิร์กโหลดของคุณ ในฐานะลูกค้า คุณเลือกได้ว่าจะจัดเก็บเนื้อหาของลูกค้าของคุณไว้ใน AWS Region ซึ่งช่วยให้คุณปรับใช้บริการของ AWS ในตำแหน่งที่ตั้งที่คุณต้องการได้ตามข้อกำหนดที่เฉพาะเจาะจงของคุณ หากต้องการดูตัวเลือกพื้นที่จัดเก็บข้อมูลที่ยืดหยุ่นแบบอื่น ๆ โปรดไปที่เว็บเพจ AWS Region

  คุณสามารถทำซ้ำและสำรองข้อมูลเนื้อหาของลูกค้าของคุณใน AWS Region ได้มากกว่าหนึ่งแห่ง เราจะไม่เคลื่อนย้ายเนื้อหาของคุณนอกเขตของ AWS Region ที่คุณเลือกโดยไม่ได้รับความเห็นชอบจากคุณ ยกเว้นในแต่ละกรณีที่จำเป็นต้องปฏิบัติตามกฎหมายหรือคำสั่งที่มีผลผูกพันของหน่วยงานของรัฐ อย่างไรก็ตาม โปรดทราบว่าบริการของ AWS ทั้งหมดอาจไม่พร้อมใช้งานในบาง AWS Region สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบริการใดที่มีอยู่ใน AWS Region โปรดดูที่หน้าเว็บ บริการภูมิภาค AWS

• มาตรการด้านความปลอดภัยแบบใดที่ AWS มีอยู่ในตัวเพื่อปกป้องระบบ

  AWS ได้รับการออกแบบทางสถาปัตยกรรมให้เป็นโครงสร้างพื้นฐานระบบคลาวด์ระดับโลกที่ปลอดภัยที่สุดสำหรับสร้าง ย้าย และจัดการแอปพลิเคชันและเวิร์กโหลด โครงสร้างพื้นฐานนี้ประกอบด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่เรียกใช้บริการ AWS ซึ่งให้การควบคุมที่ทรงพลัง รวมถึงการควบคุมการกำหนดค่าความปลอดภัยให้กับลูกค้าสำหรับการจัดการข้อมูลส่วนบุคคล

  AWS จัดทำรายงานการปฏิบัติตามข้อกำหนดหลายประการจากผู้สอบบัญชีบุคคลที่สามซึ่งได้ทดสอบและตรวจสอบการปฏิบัติตามมาตรฐานความปลอดภัยที่หลากหลาย รวมถึง SOC 2 Type 2, ISO 27001, ISO 27017 และ ISO 27018 ในแคนาดา บริการ AWS ยังได้รับการประเมินโดยศูนย์การรักษาความปลอดภัยทางไซเบอร์ของแคนาดา

  เพื่อแสดงถึงความโปร่งใสในประสิทธิภาพของมาตรการเหล่านี้ คุณจะเข้าถึงรายงานการตรวจสอบบุคคลภายนอกได้ใน AWS Artifact รายงานเหล่านี้แสดงให้ลูกค้าเห็นว่าเรากำลังปกป้องโครงสร้างพื้นฐานที่พวกเขาจัดเก็บและประมวลผลข้อมูลส่วนบุคคล สำหรับข้อมูลเพิ่มเติม ให้ไปที่ แหล่งข้อมูลสำหรับการปฏิบัติตามข้อกำหนดของเรา

• AWS รักษาความปลอดภัยของศูนย์ข้อมูลของตนอย่างไร

  กลยุทธ์ด้านความปลอดภัยของศูนย์ข้อมูลของ AWS นั้นประกอบไปด้วยมาตรการควบคุมด้านความปลอดภัยหลายระดับและการป้องกันหลายชั้นที่ช่วยในการปกป้องข้อมูลของคุณ ตัวอย่างเช่น AWS จะบริหารจัดการกับความเสี่ยงของอุทกภัยและเหตุการณ์แผ่นดินไหวอย่างระมัดระวัง เรามีกำแพงป้องกันทางกายภาพ พนักงานรักษาความปลอดภัย เทคโนโลยีตรวจจับภัยคุกคาม และกระบวนการคัดกรองเชิงลึกเพื่อจำกัดการเข้าถึงศูนย์ข้อมูล เราทำการสำรองระบบ ทดสอบอุปกรณ์และกระบวนการของเราเป็นประจำ อีกทั้งยังฝึกอบรมพนักงานของ AWS อย่างต่อเนื่องเพื่อเตรียมความพร้อมสำหรับเหตุการณ์ที่ไม่คาดคิด

  ในการตรวจสอบความปลอดภัยของศูนย์ข้อมูลของเรา ผู้ตรวจสอบภายนอกได้ดำเนินการทดสอบกับมาตรฐานและข้อกำหนดมากกว่า 2,600 รายการตลอดทั้งปี การตรวจสอบอิสระเช่นนี้ช่วยให้แน่ใจว่ามาตรฐานด้านความปลอดภัยเราของนั้นเป็นไปตามหรือสูงกว่าที่กำหนด ด้วยเหตุนี้ องค์กรที่มีการควบคุมที่เข้มงวดที่สุดในโลกจึงไว้ใจให้ AWS ปกป้องข้อมูลของตน

  เรียนรู้เพิ่มเติมเกี่ยวกับวิธีในการรักษาความปลอดภัยของศูนย์ข้อมูลของ AWS ตามการออกแบบโดยการ เข้าร่วมทัวร์เสมือนจริง