ศูนย์ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR)
การปฏิบัติตามข้อกำหนดของ GDPR เมื่อใช้บริการของ AWS
ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) แห่งสหภาพยุโรปทำหน้าที่ปกป้องสิทธิพื้นฐานในด้านความเป็นส่วนตัวและการปกป้องข้อมูลส่วนบุคคลของสหภาพยุโรป (EU) ที่อยู่ในสหภาพยุโรป GDPR ประกอบด้วยข้อกำหนดสำคัญที่จะช่วยยกระดับและสร้างประสานรวมมาตรฐานต่างๆ เพื่อการปกป้องข้อมูล ความปลอดภัย และการปฏิบัติตามข้อกำหนด โปรดตรวจสอบข้อมูลเพิ่มเติมได้ที่คำถามที่พบบ่อยเกี่ยวกับ GDPR ด้านล่าง
ลูกค้า AWS สามารถใช้บริการของ AWS เพื่อประมวลผลข้อมูลส่วนบุคคล (ตามที่กำหนดไว้ใน GDPR) ซึ่งอัปโหลดไปยังบริการของ AWS ภายใต้บัญชี AWS (ข้อมูลลูกค้า) ในการปฏิบัติตามข้อกำหนดของ GDPR นอกจากนี้ในด้านการปฏิบัติตามข้อกำหนดของเรา AWS มุ่งมั่นที่จะให้บริการและมอบทรัพยากรแก่ลูกค้าของเราเพื่อช่วยให้ลูกค้าปฏิบัติตามข้อกำหนด GDPR ซึ่งอาจมีผลบังคับใช้กับกิจการของพวกเขาได้ คุณสมบัติใหม่จะมีการเปิดตัวเป็นประจำ และ AWS ก็มีคุณสมบัติและบริการมากกว่า 500 รายการที่มุ่งเน้นเรื่องความปลอดภัยและการปฏิบัติตามข้อกำหนด อ่านบล็อก วิธีที่ AWS ช่วยให้ลูกค้าในสหภาพยุโรปดำเนินการด้านการคุ้มครองข้อมูลรูปแบบใหม่ในสถานการณ์ปัจจุบันเพื่อดูเพิ่มเติมว่า AWS กำลังทำอะไร
การควบคุมของลูกค้า
ลูกค้ามีสิทธิ์ควบคุมข้อมูลของตนเอง AWS ช่วยให้ลูกค้าทำสิ่งต่อไปนี้ได้
- กำหนดได้ว่าจะเก็บข้อมูลของลูกค้าเองไว้ที่ใด รวมทั้งประเภทของพื้นที่จัดเก็บและ Region ทางภูมิศาสตร์ของภูมิภาคของพื้นที่จัดเก็บนั้น
- เลือกสถานะที่ปลอดภัยของข้อมูลของตนเอง เรามีการเข้ารหัสที่มีประสิทธิภาพสูงสำหรับข้อมูลของลูกค้าในระหว่างส่งและจัดเก็บ และเราให้ตัวเลือกกับลูกค้าในการจัดการคีย์การเข้ารหัสด้วย
- จัดการการเข้าถึงข้อมูลของลูกค้าเองและการเข้าถึงบริการและทรัพยากรของ AWS ผ่านผู้ใช้ กลุ่ม สิทธิ์ และข้อมูลประจำตัวที่ลูกค้าควบคุม
การถ่ายโอนภายนอกเขตเศรษฐกิจยุโรป (EEA)
ลูกค้า AWS สามารถใช้บริการของ AWS ต่อไปเพื่อถ่ายโอนข้อมูลตนเองจาก EEA ไปยังประเทศที่อยู่นอก EEA ซึ่งไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป (รวมถึงสหรัฐอเมริกา) โดยเป็นไปตาม GDPR ที่ AWS สิ่งสำคัญที่สุดคือการรักษาความปลอดภัยให้กับข้อมูลของลูกค้า และเราได้นำมาตรการด้านเทคนิคและด้านองค์กรที่เข้มงวดมาใช้เพื่อคุ้มครองการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล ไม่ว่าลูกค้าจะเลือกAWS Region ใดก็ตาม เราทราบดีว่าความโปร่งใสนั้นสำคัญกับลูกค้าของเรา เราระบุบริการของ AWS ที่มีการถ่ายโอนข้อมูลของลูกค้าไว้ในหน้าเว็บคุณสมบัติด้านความเป็นส่วนตัวของเรา
ในขณะที่ขอบเขตด้านระเบียบบังคับและกฎหมายพัฒนาขึ้นเรื่อยๆ เราก็จะยังมุ่งทำงานเพื่อดูแลให้ลูกค้าได้รับประโยชน์จากบริการของ AWS ต่อไปได้เสมอ ไม่ว่าลูกค้าจะดำเนินงานที่ใด โปรดดูข้อมูลเพิ่มเติมได้ที่การอัปเดตถึงลูกค้าเกี่ยวกับการคุ้มครองความเป็นส่วนตัวในการโอนข้อมูลระหว่างสหภาพยุโรปกับสหรัฐอเมริกาของเราและบล็อกโพสต์ของเราเกี่ยวกับบทเสริมภาคผนวกการประมวลผลข้อมูลของ AWS และหลักจรรยาบรรณในการคุ้มครองข้อมูลของ CISPE
ทรัพยากร GDPR
คำถามที่พบบ่อยเกี่ยวกับ GDPR
ภาพรวมและข้อมูลพื้นฐานเกี่ยวกับ GDPR
-
GDPR คืออะไร
ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) คือกฎหมายด้านความเป็นส่วนตัวแห่งชาติยุโรปซึ่งมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018 GDPR เข้ามาแทนที่ EU Data Protection Directive หรือเรียกอีกอย่างว่า Directive 95/46/EC โดยมีจุดมุ่งหมายเพื่อประสานกฎหมายคุ้มครองข้อมูลทั่วทั้งสหภาพยุโรป (EU) ให้กลายเป็นหนึ่งเดียวโดยการใช้กฎหมายคุ้มครองข้อมูลซึ่งผูกพันครอบคลุมทุกประเทศสมาชิก
-
GDPR จะมีผลกับใครบ้าง
GDPR มีผลกับองค์กรทุกรูปแบบที่จัดตั้งขึ้นในสหภาพยุโรปและองค์กรอื่นๆ ที่ไม่ว่าจะจัดตั้งขึ้นในสหภาพยุโรปหรือไม่ก็ตาม ซึ่งมีการประมวลผลข้อมูลส่วนบุคคลของผู้ที่อยู่ในสหภาพยุโรปซึ่งเกี่ยวข้องกับการเสนอสินค้าหรือไม่ก็บริการไปยังเจ้าของข้อมูลที่อยู่ในสหภาพยุโรป หรือเกี่ยวกับการเฝ้าติดตามพฤติกรรมซึ่งเกิดขึ้นในสหภาพยุโรป ข้อมูลส่วนบุคคลคือข้อมูลใดๆ ก็ตามที่เกี่ยวข้องกับบุคคลที่ได้รับการระบุตัวตนหรือบุคคลธรรมดาที่สามารถระบุตัวตนได้ รวมถึงชื่อ อีเมล และหมายเลขโทรศัพท์
-
AWS คือผู้ประมวลผลข้อมูลหรือผู้ควบคุมข้อมูลภายใต้ GDPR หรือไม่
AWS ทำหน้าที่เป็นทั้งผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูลภายใต้ GDPR
- AWS ในฐานะผู้ประมวลผลข้อมูล – เมื่อลูกค้าใช้บริการของ AWS เพื่อประมวลผลข้อมูลส่วนบุคคลในเนื้อหาที่ตนอัปโหลดไปยังบริการของ AWS แล้ว AWS จะทำหน้าที่เป็นผู้ประมวลผลข้อมูล ลูกค้าสามารถใช้การควบคุมที่มีให้ในการบริการของ AWS ซึ่งประกอบด้วยการควบคุมการกำหนดค่าความปลอดภัย สำหรับการจัดการข้อมูลส่วนบุคคลได้ ภายใต้สถานการณ์เหล่านี้ ลูกค้าอาจทำหน้าที่เป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลเอง ส่วน AWS จะทำหน้าที่เป็นผู้ประมวลข้อมูลหรือผู้ประมวลชั้นรอง AWS มีบทเสริมเรื่องการประมวลผลข้อมูลของ AWS (AWS DPA) ตาม GDPR ซึ่งเป็นการปฏิบัติตามข้อกำหนดที่รวมภาระผูกพันของ AWS ในฐานะผู้ประมวลผลข้อมูลไว้ให้อีกด้วย AWS DPA ซึ่งรวมถึงเงื่อนไขสัญญามาตรฐานนี้ เป็นส่วนหนึ่งของข้อกำหนดการให้บริการของ AWS และพร้อมใช้งานโดยอัตโนมัติสำหรับลูกค้าทั้งหมดที่ต้องการให้สิ่งนี้เป็นไปตาม GDPR
- AWS ในฐานะผู้ควบคุมข้อมูล – เมื่อ AWS รวบรวมข้อมูลส่วนบุคคลและกำหนดจุดประสงค์และวิธีในการประมวลข้อมูลส่วนบุคคลนั้นๆ ตัวอย่างเช่น เมื่อ AWS จัดเก็บข้อมูลบัญชี (เช่น อีเมลที่ให้ไว้ระหว่างลงทะเบียนบัญชี) สำหรับการลงทะเบียนบัญชี การบริหารจัดการบัญชี การเข้าถึงบริการของบัญชี หรือข้อมูลการติดต่อสำหรับบัญชี AWS เพื่อให้ความช่วยเหลือผ่านกิจกรรมการสนับสนุนลูกค้า AWS จึงต้องทำหน้าที่เป็นผู้ควบคุมข้อมูล โปรดดูรายละเอียดเกี่ยวกับวิธีที่ AWS ประมวลผลข้อมูลส่วนบุคคลในฐานะผู้ควบคุมในประกาศเกี่ยวกับความเป็นส่วนตัวของ AWS
-
เงื่อนไขสัญญามาตรฐาน (SCC) คืออะไร
SCC เป็นกลไกการถ่ายโอนข้อมูลที่ได้รับการอนุมัติล่วงหน้าภายใต้ GDPR ซึ่งมีผลบังคับใช้ในประเทศสมาชิกสหภาพยุโรปทั้งหมด โดย SCC จะทำให้สามารถถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่อยู่นอกเขตเศรษฐกิจยุโรปซึ่งไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป (ประเทศภายนอก) ได้อย่างถูกกฎหมาย
-
AWS รวม SCC ไว้ใน AWS GDPR DPA กับลูกค้าอย่างไร
ข้อกำหนดการให้บริการของ AWS ประกอบด้วย SCC ที่คณะกรรมาธิการยุโรป (EC) ลงมติในเดือนมิถุนายน 2021 และ AWS DPA ยืนยันว่าจะดำเนินการตาม SCC โดยอัตโนมัติทุกครั้งที่ลูกค้าของ AWS ใช้บริการของ AWS เพื่อถ่ายโอนข้อมูลของลูกค้าไปยังประเทศภายนอกเขตเศรษฐกิจยุโรปซึ่งไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป (ประเทศภายนอก) ตามข้อกำหนดการให้บริการของ AWS นั้น SCC ใหม่จะมีผลบังคับใช้โดยอัตโนมัติทุกครั้งที่ลูกค้าใช้บริการของ AWS เพื่อถ่ายโอนข้อมูลของลูกค้าไปยังประเทศภายนอก ลูกค้าบางรายที่ได้ลงนามใน AWS DPA ยังสามารถใช้ AWS DPA ดังกล่าวต่อไปได้ เนื่องจาก SCC ใหม่ในข้อกำหนดการให้บริการของ AWS จะมาแทนที่ SCC เวอร์ชันก่อนหน้า ดังนั้นลูกค้าจึงสบายใจได้ว่าข้อมูลของลูกค้าที่ถูกถ่ายโอนไปยังประเทศภายนอกโดยใช้บริการของ AWS จะได้รับการคุ้มครองสูงในระดับเดียวกันกับข้อมูลของลูกค้าที่ได้รับในเขตเศรษฐกิจยุโรป สามารถดูข้อมูลเพิ่มเติมได้ที่บล็อกโพสต์เกี่ยวกับการบังคับใช้เงื่อนไขสัญญามาตรฐาน
การปฏิบัติตามข้อกำหนดของ AWS และ GDPR หลังจากการสั่ง Schrems II และคำแนะนำของ EDPB
-
การสั่ง Schrems II และคำแนะนำของ EDPB คืออะไร
ในวันที่ 16 กรกฎาคม 2020 ศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) ออกคำสั่งว่าด้วยการถ่ายโอนข้อมูลส่วนบุคคลของผู้ที่อยู่ในสหภาพยุโรปภายนอก EEA (Schrems II) ใน Schrems II นี้ CJEU ออกคำสั่งว่าการคุ้มครองความเป็นส่วนตัวในการโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกานั้น ไม่ใช่กลไกที่ถูกต้องสำหรับการถ่ายโอนข้อมูลส่วนบุคคลจาก EEA ไปยังสหรัฐฯ อีกต่อไป อย่างไรก็ตาม CJEU ยืนยันในคำสั่งเดียวกันว่าบริษัทต่างๆ สามารถ (ภายใต้มาตรการเสริมที่บังคับใช้ หากจำเป็น) ใช้เงื่อนไขสัญญามาตรฐานเป็นกลไกที่ถูกต้องสำหรับการถ่ายโอนข้อมูลส่วนบุคคลภายนอก EEA ต่อไปได้ คณะกรรมการด้านการคุ้มครองข้อมูลของยุโรป (EDPB) ซึ่งเป็นองค์กรในยุโรปที่ประกอบด้วยตัวแทนของหน่วยงานคุ้มครองข้อมูลระดับประเทศนั้น ได้ระบุรายการมาตรการเสริมโดยสังเขปใน “คำแนะนำ 01/2020 เกี่ยวกับมาตรการที่เสริมเครื่องมือถ่ายโอนข้อมูลเพื่อให้มีการปฏิบัติตามข้อกำหนดในระดับการคุ้มครองข้อมูลส่วนบุคคลใน EU” (คำแนะนำของ EDPB)
คำแนะนำของ EDPB ระบุตัวอย่างมาตรการเสริมที่ผู้ส่งออกข้อมูลนำไปบังคับใช้ได้ ดูรายละเอียดเกี่ยวกับทรัพยากรการถ่ายโอนข้อมูลจากคำถามที่พบบ่อย “ฉันจะใช้บริการของ AWS ต่อไปได้หรือไม่หลังจากคำสั่ง Schrems II” ด้านล่าง
-
ฉันจะใช้บริการของ AWS ต่อไปได้หรือไม่หลังจากคำสั่ง Schrems II
ได้ ลูกค้า AWS สามารถใช้บริการของ AWS ต่อไปเพื่อถ่ายโอนข้อมูลตนเองจากยุโรปไปยังประเทศที่อยู่นอก EEA ซึ่งไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป คำสั่ง Schrems II อนุมัติการใช้เงื่อนไขสัญญามาตรฐาน (SCCs) เป็นกลไกในการถ่ายโอนข้อมูลของลูกค้าภายนอก EEA และลูกค้า AWS สามารถพึ่งพาเงื่อนไขสัญญามาตรฐาน (SCCs) สำหรับการถ่ายโอนข้อมูลของลูกค้าใดๆ ภายนอก EEA โดยเป็นไปตาม GDPR
- ตำแหน่งที่ตั้งในการประมวลผล ลูกค้าเลือก AWS Region ที่จะจัดเก็บข้อมูลของตนเอง สามารถดูภาพรวมรีเจี้ยนของ AWS ได้ภายใต้รีเจี้ยนและ Availability Zone AWS จะไม่ประมวลผลข้อมูลของลูกค้าภายนอก AWS Region ที่ลูกค้าเลือกไว้ เว้นแต่ว่ามีความจำเป็นเพื่อจุดประสงค์ด้านการให้บริการของ AWS ที่เริ่มต้นโดยลูกค้า หรือตามที่จำเป็นเพื่อปฏิบัติตามกฎหมายหรือคำสั่งผูกมัดของหน่วยงานรัฐบาล โปรดดูหน้าเว็บคุณสมบัติด้านความเป็นส่วนตัวเพื่ออ่านเพิ่มเติมเกี่ยวกับการถ่ายโอนข้อมูลในฐานะส่วนหนึ่งของบริการของ AWS
- ผู้ประมวลผลชั้นรอง AWS อาจใช้ผู้ประมวลผลชั้นรอง เช่น บริษัทในเครือ AWS หรือบุคคลภายนอก เพื่อช่วยในการประมวลผลข้อมูลของลูกค้า เพื่อบรรลุภาระหน้าที่ต่อลูกค้าภายใต้ AWS DPA หรือให้บริการในนามของเรา ดูรายละเอียดได้ในคำถามที่พบบ่อยด้านล่างนี้ “AWS ใช้ผู้ประมวลผลชั้นรองเพื่อประมวลผลข้อมูลของลูกค้าหรือไม่”
- เครื่องมือถ่ายโอน เนื่องจากคำสั่ง Schrems II ได้อนุมัติการใช้ SCC เป็นกลไกสำหรับการถ่ายโอนข้อมูลนอกกลุ่มประเทศ EEA ที่ยังไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป ลูกค้าของเราจะยังคงสามารถใช้ SCC ที่รวมอยู่ใน AWS DPA ได้ต่อไป หากเลือกที่จะถ่ายโอนข้อมูลของตนออกไปนอก EEA โดยเป็นไปตาม GDPR
- มาตรการเสริม
- การควบคุมของลูกค้า ลูกค้ามีความเป็นเจ้าของและอำนาจควบคุมเหนือข้อมูลของตนเองตลอดเวลาผ่านเครื่องมือที่ใช้งานง่ายแต่ทรงพลัง ซึ่งช่วยให้ระบุสถานที่จะจัดเก็บข้อมูลของลูกค้า รักษาความปลอดภัยให้ข้อมูลนั้นระหว่างโยกย้ายหรือขณะอยู่กับที่ และจัดการการเข้าถึงทรัพยากร AWS ของผู้ใช้ ตลอดจนแก้ไข ลบ และเรียกใช้ข้อมูลดังกล่าว
- มาตรการทางเทคนิคและทางองค์กร AWS ใช้การควบคุมและกระบวนการทางเทคนิคและแบบจับต้องได้ที่มีความรับผิดชอบและซับซ้อน โดยออกแบบมาเพื่อป้องกันการเข้าถึงหรือเปิดเผยข้อมูลของลูกค้าโดยไม่ได้รับอนุญาต (ไปที่หน้าเว็บการปฏิบัติตามข้อกำหนดของ AWS เพื่อดูข้อมูลเพิ่มเติม) และเรายังให้บริการเข้ารหัสขั้นสูงและการจัดการคีย์จำนวนมาก (รวมถึงบริการที่อนุญาตให้ลูกค้าจัดการคีย์ของตนเอง) ที่ลูกค้าใช้เพื่อคุ้มครองข้อมูลของตนเองทั้งระหว่างโยกย้ายและขณะอยู่กับที่ได้ ระบบจะทำให้ไม่สามารถเข้าถึงข้อมูลของลูกค้าที่เข้ารหัสไว้ โดยไม่มีคีย์การถอดรหัสที่เกี่ยวข้อง ไม่ว่าข้อมูลของลูกค้าจะได้รับการเข้ารหัสหรือไม่ เราจะมุ่งทำงานอย่างคอยระมัดระวังเพื่อคุ้มครองข้อมูลของลูกค้าจากการเข้าถึงที่ไม่ได้รับอนุญาต
- คำขอจากหน่วยงานบังคับใช้กฎหมาย AWS มีกระบวนการภายในที่จัดการกับคำขอที่เราได้รับจากหน่วยงานบังคับใช้กฎหมาย เมื่อเราได้รับคำขอดูข้อมูลของลูกค้าจากหน่วยงานบังคับใช้กฎหมาย เราจะตรวจสอบอย่างละเอียดเพื่อดูความถูกต้องและเพื่อตรวจสอบว่าเหมาะสมและเป็นไปตามกฎหมายที่บังคับใช้ทั้งหมด AWS จะแจ้งลูกค้าก่อนที่จะเปิดเผยข้อมูลของลูกค้า เพื่อให้ลูกค้าสามารถดำเนินการเพิ่มเติมเพื่อเตรียมหาการคุ้มครองจากการเปิดเผย เว้นแต่ว่า AWS จะถูกสั่งระงับไม่ให้ดำเนินการดังกล่าวตามกฎหมาย ในบทเสริม AWS DPA (บทเสริม) AWS สร้างข้อผูกมัดทางสัญญาเสริมความมั่นคงในด้านที่เรื่องการจัดการกับคำขอข้อมูลลูกค้าจากรัฐบาล รวมถึงโดยการผูกมัดในด้านการ (1) ใช้ความพยายามที่สมเหตุสมผลอย่างเต็มที่เพื่อพาให้หน่วยงานรัฐบาลที่ร้องขอข้อมูลลูกค้าไปหาลูกค้าที่เกี่ยวข้อง (2) แจ้งให้ลูกค้าทราบถึงคำขอทันทีหากกฎหมายอนุญาตให้ทำเช่นนั้น (รวมถึงโดยใช้ความพยายามที่สมเหตุสมผลและชอบด้วยกฎหมายอย่างเต็มที่เพื่อขอการยกเว้นการห้ามหากจำเป็น) (3) โต้แย้งคำขอใดๆ ที่กว้างเกินไปหรือไม่เหมาะสม รวมทั้งกรณีที่คำขอขัดแย้งกับกฎหมายใน EU และ (4) หากหลังจากปฏิบัติตามขั้นตอนข้างต้นทั้งหมดแล้ว AWS ยังคงประสงค์ที่จะเปิดเผยข้อมูลของลูกค้าเพื่อตอบสนองต่อคำขอจากรัฐบาล ต้องมีการเปิดเผยข้อมูลดังกล่าวเป็นขั้นต่ำที่สุดเท่าที่จำเป็นตามคำขอ
- มาตรการทางสัญญา AWS สร้างข้อผูกมัดทางสัญญาหลายข้อกับมาตรการที่อธิบายข้างต้น ซึ่งระบุไว้ใน AWS DPA และบทเสริม AWS DPA และบทเสริมประกอบด้วยข้อผูกมัดทางสัญญาจาก AWS เกี่ยวกับ (1) การเลือก AWS Region ของลูกค้า ซึ่งจัดเก็บและประมวลผลข้อมูลของลูกค้า (2) ทั้งมาตรการทางเทคนิคและองค์กรที่ AWS ได้นำมาใช้เพื่อปกป้องโครงสร้างพื้นฐานของ AWS และมาตรการทางเทคนิคขององค์กรที่ลูกค้าอาจเลือกใช้เพื่อคุ้มครองข้อมูลของตนเอง (3) มาตรการของ AWS เพื่อคุ้มครองข้อมูลของลูกค้าและแจ้งให้ลูกค้าทราบในกรณีที่มีคำขอให้เปิดเผยข้อมูลจากหน่วยงานรัฐบาล และ (4) ความสามารถของ AWS ในการปฏิบัติตามภาระหน้าที่ซึ่งกำหนดไว้ใน AWS DPA ตามกฎหมายที่มีผลบังคับใช้ในประเทศภายนอกที่ประมวลผลข้อมูลของลูกค้า นอกจากนี้ บทเสริมยังอ้างอิงถึง (5) สิทธิตามกฎหมายของบุคคลในการเรียกร้องการชดเชยในกรณีที่มีการละเมิดสิทธิที่บุคคลนั้นมอบให้ตาม GDPR
- ตำแหน่งที่ตั้งในการประมวลผล ลูกค้าเลือก AWS Region ที่จะจัดเก็บข้อมูลของตนเอง สามารถดูภาพรวมรีเจี้ยนของ AWS ได้ภายใต้รีเจี้ยนและ Availability Zone AWS จะไม่ประมวลผลข้อมูลของลูกค้าภายนอก AWS Region ที่ลูกค้าเลือกไว้ เว้นแต่ว่ามีความจำเป็นเพื่อจุดประสงค์ด้านการให้บริการของ AWS ที่เริ่มต้นโดยลูกค้า หรือตามที่จำเป็นเพื่อปฏิบัติตามกฎหมายหรือคำสั่งผูกมัดของหน่วยงานรัฐบาล โปรดดูหน้าเว็บคุณสมบัติด้านความเป็นส่วนตัวเพื่ออ่านเพิ่มเติมเกี่ยวกับการถ่ายโอนข้อมูลในฐานะส่วนหนึ่งของบริการของ AWS
-
AWS ใช้ผู้ประมวลผลชั้นรองเพื่อประมวลผลข้อมูลของลูกค้าหรือไม่
ใช่ AWS อาจใช้ผู้ประมวลผลชั้นรองมีสามประเภท ได้แก่ (1) นิติบุคคลของ AWS ที่ให้บริการโครงสร้างพื้นฐานที่บริการของ AWS ทำงาน (2) นิติบุคคลของ AWS ที่รองรับบริการของ AWS เฉพาะ ซึ่งอาจกำหนดให้เอนทิตีเหล่านี้ประมวลผลข้อมูลลูกค้า และ (3) บุคคลภายนอกที่ AWS ทำสัญญาเพื่อจัดเตรียมกิจกรรมการประมวลผลสำหรับบริการของ AWS ที่เฉพาะเจาะจง หน้าเว็บผู้ประมวลผลข้อมูลชั้นรองของ AWS ให้ข้อมูลเพิ่มเติมเกี่ยวกับผู้ประมวลผลชั้นรองที่ AWS นำมาร่วมประมวลผลตาม AWS DPA เพื่อจัดเตรียมกิจกรรมการประมวลผลข้อมูลลูกค้าในนามของลูกค้า ผู้ประมวลผลชั้นรองที่เกี่ยวข้องกับลูกค้าแต่ละรายจะขึ้นอยู่กับ AWS Region ที่ลูกค้าเลือกและบริการของ AWS เฉพาะที่ลูกค้าใช้
-
AWS ช่วยลูกค้าเมื่อต้องทำการประเมินการถ่ายโอนข้อมูลได้อย่างไร
เอกสารรายงานของ AWS ว่าด้วยการดำเนินการปฏิบัติตามข้อกำหนดการถ่ายโอนข้อมูลของสหภาพยุโรป ให้ข้อมูลเกี่ยวกับบริการและแหล่งข้อมูลที่ AWS เสนอให้ลูกค้าเพื่อช่วยลูกค้าดำเนินการประเมินการถ่ายโอนข้อมูลให้เป็นไปตามกฎ Schrems II และรับข้อแนะนำจากคณะกรรมการคุ้มครองข้อมูลแห่งสหภาพยุโรป เอกสารรายงานยังอธิบายมาตรการสำคัญเพิ่มเติมที่มีและดำเนินงานโดย AWS เพื่อคุ้มครองข้อมูลของลูกค้า
-
ฉันจะพิสูจน์กับหน่วยงานด้านการคุ้มครองข้อมูลได้อย่างไรว่าฉันใช้บริการของ AWS โดยเป็นไปตามข้อกำหนดของ GDPR
AWS ได้เสนอข้อมูลที่มีประโยชน์ให้แก่ลูกค้า ซึ่งประกอบด้วยรายงานหลายฉบับเกี่ยวกับการปฏิบัติตามข้อกำหนดจากผู้ตรวจสอบจากภายนอก ซึ่งได้ยืนยันถึงการปฏิบัติตามข้อกำหนดของเรากับมาตรฐานและข้อบังคับด้านความปลอดภัยที่หลากหลาย เพื่อเป็นการพิสูจน์ถึงการปฏิบัติตามข้อกำหนดระดับสูงที่ AWS รักษาไว้ให้กับโครงสร้างพื้นฐาน รายงานเหล่านี้แสดงให้ลูกค้าของเราเห็นว่าเรากำลังปกป้องข้อมูลของพวกเขา ซึ่งเลือกที่จะประมวลผลบน AWS ตัวอย่างของเราประกอบด้วยการปฏิบัติตามข้อกำหนด ISO 27001, 27017 และ 27018 ของ AWS ISO 27018 ประกอบด้วยการควบคุมความปลอดภัยที่มุ่งเน้นเรื่องการคุ้มครองข้อมูลของลูกค้า
AWS ยังปฏิบัติตามข้อกำหนดของหลักจรรยาบรรณของ CISPE เพื่อการปกป้องข้อมูลอีกด้วย สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับหลักจรรยาบรรณของ CISPE ได้ในคำถามที่พบบ่อยด้านล่างนี้ “AWS ปฏิบัติตามหลักจรรยาบรรณด้านบริการโครงสร้างพื้นฐานระบบคลาวด์ตามที่ระบุไว้ใน GDPR หรือไม่”
-
AWS ปฏิบัติตามหลักจรรยาบรรณ CISPE ที่อนุมัติโดย GDPR ที่เจาะจงเรื่องบริการโครงสร้างพื้นฐานบนระบบคลาวด์หรือไม่
ได้ ณ เดือนมิถุนายน 2023 บริการของ AWS 107 บริการเป็นไปตามหลักจรรยาบรรณในการคุ้มครองข้อมูลของ Cloud Infrastructure Services Providers in Europe (CISPE) CISPE เป็นความร่วมมือกันของผู้นำการประมวลผลบนคลาวด์ที่ให้บริการลูกค้าชาวยุโรปหลายล้านคน หลักจรรยาบรรณในการคุ้มครองข้อมูลของ CISPE (CISPE Code) เป็นหลักจรรยาบรรณการคุ้มครองข้อมูลแห่งภาคพื้นยุโรปฉบับแรกที่มุ่งเน้นผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ จรรยาบรรณ CISPE ได้รับการอนุมัติโดยคณะกรรมการด้านการคุ้มครองข้อมูลของยุโรป ซึ่งดำเนินการในนามของหน่วยงานคุ้มครองข้อมูล 27 แห่งทั่วยุโรป และได้รับการรับรองอย่างเป็นทางการโดยหน่วยงานคุ้มครองข้อมูลของฝรั่งเศส (CNIL) ซึ่งทำหน้าที่เป็นหัวหน้าหน่วยงานกำกับดูแล ในปี 2017 ทาง AWS ได้ประกาศการปฏิบัติตามจรรยาบรรณ CISPE ฉบับก่อนหน้านี้
จรรยาบรรณ CISPE ช่วยให้ลูกค้ามั่นใจว่าบริการโครงสร้างพื้นฐานระบบคลาวด์มอบการรับประกันด้านการดำเนินงานที่เหมาะสมในด้านการปฏิบัติตาม GDPR และคุ้มครองข้อมูลของลูกค้า ประโยชน์ที่สำคัญบางอย่างของหลักจรรยาบรรณของ CISPE ประกอบด้วย:
- มุ่งเน้นโครงสร้างพื้นฐานระบบคลาวด์: การชี้แจ้งบทบาทของผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ให้ชัดเจนภายใต้ GDPR เกี่ยวกับการประมวลผลข้อมูลของลูกค้า นั่นคือข้อมูลส่วนบุคคลใดๆ ที่ประมวลผลในนามของลูกค้าโดยใช้บริการโครงสร้างพื้นฐานระบบคลาวด์
- ข้อมูลในยุโรป: ต้องมีผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์เพื่อให้ลูกค้าสามารถเลือกใช้บริการต่างๆ ในการจัดเก็บและประมวลผลข้อมูลของลูกค้าเฉพาะในเขตเศรษฐกิจยุโรป (EEA)
- ความเป็นส่วนตัวของข้อมูล: จรรยาบรรณ CISPE ช่วยให้องค์กรมั่นใจได้ว่าผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ของตนตรงตามข้อกำหนดที่บังคับใช้กับข้อมูลส่วนบุคคลที่ประมวลผลในนามของพวกเขา (ข้อมูลลูกค้า) ภายใต้ GDPR
ใบรับรองการปฏิบัติตามข้อกำหนดที่แสดงสถานะการปฏิบัติตามข้อกำหนดของ AWS มีอยู่ใน CISPE Public Register บริการของ AWS ที่อยู่ในรายการได้รับการยืนยันอย่างเป็นอิสระว่าเป็นไปตาม CISPE Code กระบวนการตรวจสอบนั้นดำเนินการโดย Ernst & Young CertifyPoint (EY CertifyPoint) ซึ่งเป็นหน่วยงานตรวจสอบอิสระที่ได้รับการยอมรับทั่วโลกและได้รับการรับรองโดย CNIL
มาตรการทางเทคนิคและทางองค์กร
-
GDPR มีผลกระทบอย่างไรต่อโมเดลความรับผิดชอบร่วมกันของ AWS
GDPR จะไม่เปลี่ยนแปลงโมเดลความรับผิดชอบร่วมกันของ AWS ซึ่งยังคงมีความเกี่ยวข้องกับลูกค้า โมเดลความรับผิดชอบร่วมกันคือแนวทางที่มีประโยชน์ในการแสดงให้เห็นถึงความรับผิดชอบต่างๆ ที่แตกต่างกันของ AWS (ในฐานะผู้ประมวลผลข้อมูล หรือ ผู้ประมวลผลย่อย) และลูกค้า (ทั้งในฐานะผู้ควบคุมข้อมูล หรือ ผู้ประมวลผลข้อมูล) ภายใต้ GDPR
ภายใต้โมเดลความรับผิดชอบร่วมกัน AWS จะรับผิดชอบการรักษาความปลอดภัยโครงสร้างพื้นฐานซึ่งรองรับบริการของ AWS (“การรักษาความปลอดภัย “ของ” ระบบคลาวด์”) และลูกค้าซึ่งทำหน้าที่เป็นทั้งผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล มีหน้าที่รับผิดชอบข้อมูลส่วนบุคคลใดๆ ที่อัปโหลดไปยังบริการของ AWS (“การรักษาความปลอดภัย “ใน” ระบบคลาวด์”)
ความรับผิดชอบของ AWS “การรักษาความปลอดภัยของระบบคลาวด์”– AWS รับผิดชอบในการปกป้องโครงสร้างพื้นฐานในการให้บริการทั้งหมดของ AWS โครงสร้างพื้นฐานนี้จะประกอบไปด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่เรียกใช้บริการของ AWS ที่รวมถึงการควบคุมการกำหนดค่าความปลอดภัย ซึ่งมอบการควบคุมอันทรงพลังแก่ลูกค้าสำหรับการจัดการเนื้อหาของลูกค้า AWS ยังมอบรายงานการปฏิบัติตามข้อกำหนดหลายฉบับจากผู้ตรวจสอบบริษัทอื่นซึ่งได้ยืนยันการปฏิบัติตามข้อกำหนดของเราด้วยมาตรฐานและข้อบังคับด้านความปลอดภัยคอมพิวเตอร์ต่างๆ (สำหรับข้อมูลเพิ่มเติม ไปที่หน้าเว็บการปฏิบัติตามข้อกำหนดของ AWS) รายงานเหล่านี้แสดงให้ลูกค้าเห็นว่าเรากำลังปกป้องข้อมูลของตนเอง ตัวอย่างของเราประกอบด้วยการปฏิบัติตามข้อกำหนด ISO 27001, 27017 และ 27018 ของ AWS ISO 27018ประกอบด้วยการควบคุมความปลอดภัยที่มุ่งเน้นเรื่องการคุ้มครองข้อมูลของลูกค้า
ความรับผิดชอบของลูกค้า “การรักษาความปลอดภัยในระบบคลาวด์” - ลูกค้า AWS มีความรับผิดชอบต่อการสร้างและรักษาความปลอดภัยแอปพลิเคชันและโซลูชันที่เลือกติดตั้งใช้จริงบนบริการของ AWS และลูกค้า AWS มีความรับผิดชอบต่อการกำหนดค่าบริการของ AWS ในลักษณะที่คุ้มครองความจำเป็นด้านการเป็นความลับ ความสมบูรณ์ และความปลอดภัยของข้อมูลลูกค้า ความรับผิดชอบแต่ละด้านที่ลูกค้ามีต่อการรักษาความปลอดภัยของข้อมูลตนเองนั้นแตกต่างกันไป โดยขึ้นอยู่กับบริการของ AWS ที่ลูกค้าเลือกใช้และวิธีที่บริการเหล่านั้นรวมเข้าอยู่ในสภาพแวดล้อมไอทีของลูกค้า ลูกค้า AWS มีความสามารถในการมองเห็นและควบคุมข้อมูลของตนเองและใช้มาตรการควบคุมที่ยืดหยุ่นตามความละเอียดอ่อนของข้อมูลดังกล่าวในประเภทต่างๆ ได้ ลูกค้าทำเช่นนี้ได้โดยใช้มาตรการและเครื่องมือรักษาความปลอดภัยในระบบเอง หรือใช้มาตรการรและเครื่องมือรักษาความปลอดภัยที่ AWS หรือซัพพลายเออร์อื่นมีให้ใช้ โดยวิธีนี้ช่วยให้ลูกค้าวางชั้นรักษาความปลอดภัยเพิ่มเติมสำหรับข้อมูลที่ละเอียดอ่อนกว่าของตนเองได้
AWS มีผลิตภัณฑ์ เครื่องมือ และบริการต่างๆ ให้ลูกค้าสามารถใช้เพื่อสร้างและรักษาความปลอดภัยแอปพลิเคชันและโซลูชันที่ติดตั้งใช้จริงเพื่อช่วยจัดการกับข้อกำหนดของ GDPR ได้ ได้แก่
- AWS Identity and Access Management (IAM) ช่วยให้องค์กรจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS ได้อย่างปลอดภัย เมื่อใช้ IAM ลูกค้าจะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
- AWS CloudTrail จะทำให้องค์กรสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ใน AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
- Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่ได้รับการจัดการซึ่งคอยเฝ้าติดตามพฤติกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตอย่างต่อเนื่องเพื่อช่วยปกป้องบัญชี และปริมาณงาน AWS โดยจะเฝ้าติดตามกิจกรรมต่างๆ ซึ่งสามารถบ่งบอกถึงการบุกรุกบัญชีที่อาจเกิดขึ้นได้อย่างเช่น การเรียก API ที่ผิดปกติหรือการปรับใช้ที่อาจไม่ได้รับอนุญาต GuardDuty ยังตรวจจับอินสแตนซ์ที่อาจถูกบุกรุกหรือการลาดตระเวนที่กระทำโดยผู้บุกรุก
- Amazon Macie เป็นเครื่องมือ Machine Learning ที่ช่วยในการสำรวจและจัดหมวดหมู่ของข้อมูลส่วนบุคคลที่จัดเก็บใน Amazon S3
โปรดดูเอกสารรายงานของเรา การปฏิบัติตามข้อกำหนด GDPR บน AWS สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีใช้ทรัพยากรของ AWS ให้เป็นไปตามข้อกำหนด GDPR
-
คู่ค้าของ AWS มีผลิตภัณฑ์และบริการเพื่อช่วยให้ปฏิบัติตามข้อกำหนดของ GDPR หรือไม่
มี คุณสามารถค้นหา “GDPR” ใน AWS Partner Solutions Finder เพื่อช่วยให้ค้นหาคู่ค้า ISV MSP และ SI ซึ่งมีผลิตภัณฑ์และบริการเพื่อช่วยในการปฏิบัติตามข้อกำหนดของ GDPR ลูกค้ายังสามารถค้นหาโซลูชัน “GDPR” บน AWS Marketplace ได้
-
AWS เสนอบริการระดับมืออาชีพที่ช่วยในการปฏิบัติตามข้อกำหนดของ GDPR หรือไม่
ใช่ ทีมบริการประกันความปลอดภัยของ AWS ได้จัดกิจกรรมมากมายเพื่อช่วยลูกค้าในเส้นทางการปฏิบัติตามข้อกำหนดของ GDPR ทีมผู้เชี่ยวชาญด้านการปฏิบัติตามข้อกำหนดที่ผ่านการรับรองในอุตสาหกรรมนี้จะช่วยให้ลูกค้าบรรลุหน้าที่ รักษา และตั้งระบบอัตโนมัติสำหรับการปฏิบัติตามข้อกำหนดในระบบคลาวด์ โดยเชื่อมโยงมาตรฐานการปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับคุณสมบัติและฟังก์ชันเฉพาะบริการของ AWS สามารถดูรายละเอียดเพิ่มเติมว่าที่ปรึกษา AWS Professional Services ช่วยลูกค้าอย่างไรบ้างได้ที่นี่
-
AWS Support จะช่วยฉันในเส้นทางการปฏิบัติตามข้อกำหนดของ GDPR ได้อย่างไร
ลูกค้าสามารถใช้ AWS Support เพื่อรับคำแนะนำทางเทคนิคเพื่อช่วยปูเส้นทางสู่การปฏิบัติตามข้อกำหนดของ GDPR ได้ โดยเรามีทีมวิศวกรสนับสนุนด้านระบบคลาวด์และผู้จัดการบัญชีฝ่ายเทคนิค (TAM) ที่ผ่านการฝึกมาเพื่อช่วยระบุและลดความเสี่ยงด้านปฏิบัติตามข้อกำหนดในฐานะส่วนหนึ่งของกิจกรรมนี้อีกด้วย ระดับการสนับสนุนที่ AWS มีให้จะขึ้นอยู่กับแผน AWS Support ที่ลูกค้าเลือก ลูกค้าที่กำลังต้องการจะเข้าใจว่า AWS Premium Support สามารถช่วยเหลือพวกเขาได้อย่างไร สามารถหาข้อมูลเพิ่มเติมได้ใน AWS Support Center ซึ่งมีให้ใช้งานผ่าน AWS Management Console โดยการใช้รายละเอียดการติดต่อซึ่งระบุไว้ในข้อตกลงการสนับสนุนสำหรับองค์กรที่ป้อนไว้ให้กับ AWS หรือไปที่หน้าเว็บ AWS Support ลูกค้าที่มีการสนับสนุนสำหรับองค์กรโปรดติดต่อ TAM ของตนหากมีคำถามที่เกี่ยวข้องกับ GDPR
สองโปรแกรมที่อาจมีประโยชน์กับลูกค้าในการดำเนินการตามการปฏิบัติตามข้อกำหนดของ GDPR ได้แก่:
- การตรวจสอบการปฏิบัติการบนระบบคลาวด์ – พร้อมให้ลูกค้า AWS Enterprise Supportใช้บริการ โปรแกรมนี้ออกแบบมาเพื่อช่วยระบุช่องโหว่ในแนวทางที่ลูกค้าใช้ในการปฏิบัติการบนระบบคลาวด์ โปรแกรมนี้ให้การตรวจสอบปฏิบัติการบนระบบคลาวด์และแนวปฏิบัติด้านการจัดการที่เกี่ยวข้อง โดยเป็นโปรแกรมที่มาจากชุดแนวปฏิบัติที่ดีที่สุดซึ่งกลั่นกรองจากประสบการณ์ของ AWS ที่มีร่วมกับลูกค้าที่เป็นตัวแทนจำนวนมาก ซึ่งสามารถช่วยองค์กรในเส้นทางสายปฏิบัติตามข้อกำหนดของ GDPR ได้ โปรแกรมจะใช้แนวทางสี่เสาหลักซึ่งมุ่งเน้นด้านการเตรียมความพร้อม การเฝ้าติดตาม การปฏิบัติการ และเพิ่มประสิทธิภาพของระบบบนระบบคลาวด์ให้เหมาะสมเพื่อนำไปสู่ความเป็นเลิศด้านการปฏิบัติงาน
- การตรวจสอบ Well-Architected – โปรแกรมนี้จะทำให้องค์กรสามารถวัดสถาปัตยกรรมของตนกับแนวปฏิบัติที่ดีที่สุดของ AWS และเพื่อสร้างสถาปัตยกรรมที่ปลอดภัย น่าเชื่อถือ, มีประสิทธิภาพสูง และคุ้มค่า การตรวจสอบ Well-Architected ยังสามารถทำให้ลูกค้าเข้าใจว่าสถาปัตยกรรมของตนมีความเสี่ยงตรงจุดใดบ้างและช่วยจัดการกับความเสี่ยงนั้นก่อนนำแอปพลิเคชันไปสู่ขั้นตอนการผลิต
-
AWS จะช่วยลูกค้าให้บรรลุภาระผูกพันภายใต้ GDPR เกี่ยวกับการแจ้งเตือนการรั่วไหลของข้อมูลส่วนบุคคลได้อย่างไร
AWS มีกระบวนการตรวจสอบเหตุการณ์ด้านความปลอดภัยและการแจ้งเตือนกรณีข้อมูลรั่วไหลเพียบพร้อมอยู่ และจะแจ้งให้ลูกค้าทราบถึงกรณีการเจาะระบบรักษาความปลอดภัยของ AWS โดยไม่มีการล่าช้าตาม AWS DPA AWS ยังมอบเครื่องมือมากมายให้ลูกค้าในการทำความเข้าใจว่าใครมีสิทธิ์เข้าถึงแหล่งข้อมูลตน เข้าถึงเมื่อใดและจากที่ใดบ้าง หนึ่งในเครื่องมือเหล่านั้นคือ AWS CloudTrail ซึ่งทำให้เกิดการกำกับดูแล การปฏิบัติตามข้อกำหนด การตรวจสอบการดำเนินงาน และการตรวจสอบความเสี่ยงของบัญชี AWS ด้วย AWS CloudTrail ลูกค้าจะสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมของบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐาน AWS ได้ ซึ่งนี่จะช่วยให้องค์กรต่างๆ เข้าใจว่ากำลังเกิดอะไรขึ้นกับโครงสร้างพื้นฐาน AWS ของลูกค้าและสามารถลงมือจัดการกับกิจกรรมที่ไม่ปกติได้ทันที สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือด้านความปลอดภัยอื่นๆ ที่ AWS มอบให้แก่ลูกค้าเพื่อช่วยให้บรรลุภาระผูกพันในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ ให้ดูที่หน้าเว็บการรักษาความปลอดภัยของ AWS Cloud
-
AWS จะช่วยฉันปกป้องข้อมูลของลูกค้าจากการโจมตีทางไซเบอร์ได้อย่างไร
AWS ยังมอบเครื่องมือมากมายให้แก่ลูกค้าและคู่ค้า APN เพื่อรักษาความปลอดภัยให้กับข้อมูลของลูกค้าและช่วยปกป้องจากการโจมตีทางไซเบอร์ หนึ่งในเครื่องมือดังกล่าวนั้นคือ AWS Shield ซึ่งนี่เป็นบริการป้องกัน Distributed Denial of Service (DDoS) ที่ได้รับการจัดการเพื่อปกป้องเว็บไซต์และแอปพลิเคชันที่ทำงานบน AWS AWS Shield Standard มีให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม และมีการตรวจจับที่ทำงานอยู่ตลอดเวลาและการลดการโจมตีภายในแบบอัตโนมัติที่จะลดเวลาหยุดทำงานและเวลาแฝงของแอปพลิเคชัน เพื่อการป้องกันระดับสูงจากการโจมตีที่มุ่งเป้าไปยังแอปพลิเคชันบนเว็บที่ทำงานบน AWS และใช้ทรัพยากร ELB, Amazon CloudFront, and Amazon Route 53 ลูกค้าและคู่ค้า APN สามารถสมัครใช้งาน AWS Shield Advanced ได้ ทั้งนี้ AWS ยังเผยแพร่และอัปเดตแนวทางปฏิบัติที่ดีที่สุดของ AWS สำหรับความทนทานต่อความเสียหายจาก DDoS เป็นประจำ ซึ่งช่วยลูกค้าสามารถใช้ AWS เพื่อสร้างแอปพลิเคชันที่ยืดหยุ่นต่อการโจมตีของ DDoS ได้
เครื่องมืออื่นๆ ของ AWS ที่ช่วยปกป้องข้อมูลของลูกค้าจากการโจมตีทางไซเบอร์ประกอบด้วย:
- AWS Identity and Access Management (IAM) ช่วยให้องค์กรจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS ได้อย่างปลอดภัย เมื่อใช้ IAM ลูกค้าและคู่ค้า APN จะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
- AWS Config ช่วยลูกค้าและคู่ค้า APN สามารถใช้งานกฎที่จัดเตรียมไว้อยู่แล้วที่ช่วยรับประกันว่าทรัพยากร AWS ของลูกค้าจะอยู่ในสถานะที่มีการกำหนดค่าและปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสม
- AWS CloudTrail จะทำให้องค์กรสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ใน AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
- Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่ได้รับการจัดการซึ่งคอยเฝ้าติดตามพฤติกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตอย่างต่อเนื่องเพื่อช่วยปกป้องบัญชี และปริมาณงาน AWS โดยจะเฝ้าติดตามกิจกรรมต่างๆ ซึ่งสามารถบ่งบอกถึงการบุกรุกบัญชีที่อาจเกิดขึ้นได้อย่างเช่น การเรียก API ที่ผิดปกติหรือการปรับใช้ที่อาจไม่ได้รับอนุญาต GuardDuty ยังตรวจจับอินสแตนซ์ที่อาจถูกบุกรุกหรือการลาดตระเวนที่กระทำโดยผู้บุกรุก
-
เครื่องมือชนิดใดที่พร้อมช่วยฉันในการระบุข้อมูลส่วนบุคคลภายในเนื้อหาบน AWS
Amazon Macie เป็นบริการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลที่ได้รับการจัดการแบบเต็มรูปแบบซึ่งใช้แมชชีนเลิร์นนิ่งและการจับคู่รูปแบบเพื่อค้นหาและปกป้องข้อมูลส่วนบุคคลของคุณใน AWS ในขณะที่องค์กรต่างๆ จัดการกับปริมาณข้อมูลที่เพิ่มขึ้นเรื่อยๆ การระบุและปกป้องข้อมูลส่วนบุคคลในทุกระดับอาจมีความซับซ้อน มีราคาแพง และกินเวลามากขึ้น Amazon Macie จะทำให้การค้นหาข้อมูลส่วนบุคคลเป็นระบบอัตโนมัติในทุกระดับและลดค่าใช้จ่ายในการปกป้องข้อมูลของคุณ Macie จะมอบคลังบัคเก็ต Amazon S3 ให้โดยอัตโนมัติซึ่งรวมถึงรายการบัคเก็ตที่ไม่ได้เข้ารหัส บัคเก็ตที่ทุกคนสามารถเข้าถึงได้ และบัคเก็ตที่แชร์กับบัญชี AWS นอกเหนือจากที่คุณกำหนดไว้ใน AWS Organizations จากนั้น Macie จะใช้แมชชีนเลิร์นนิ่งและเทคนิคการจับคู่รูปแบบกับบัคเก็ตที่คุณเลือกเพื่อระบุและเตือนให้คุณทราบถึงข้อมูลส่วนบุคคล
Amazon Macie ได้รับการรับรองตามมาตรฐานที่เป็นที่ยอมรับในระดับสากล เช่น ISO 27017 สำหรับความปลอดภัยของระบบคลาวด์, ISO 27018 สำหรับความเป็นส่วนตัวของระบบคลาวด์ และลูกค้าและคู่ค้า APN ยังสามารถใช้ Macie เพื่อเฝ้าติดตามการเข้าถึงข้อมูลได้อย่างต่อเนื่องเพื่อตรวจจับกิจกรรมที่น่าสงสัยโดยอิงตามรูปแบบการเข้าถึง
-
ฉันจะควบคุมการเข้าถึงข้อมูลส่วนบุคคลภายในเนื้อหาของฉันบน AWS ได้อย่างไร
เพื่อช่วยเหลือลูกค้าในการปฏิบัติตามข้อกำหนดของ GDPR AWS จึงมีเครื่องมือมากมายสำหรับควบคุมการเข้าถึงข้อมูลส่วนบุคคลที่มีในเนื้อหาของลูกค้าบน AWS เครื่องมือเหล่านี้ประกอบด้วย:
- ความปลอดภัยตั้งแต่เริ่มต้นหมายความว่าบริการของ AWS ถูกออกแบบมาให้ปลอดภัยตั้งแต่เริ่มต้น หากมีการใช้งานการกำหนดค่าเริ่มต้น การเข้าถึงทรัพยากรจะถูกล็อกให้เฉพาะเจ้าของบัญชีและผู้ดูแลระบบระดับรากเท่านั้นที่สามารถเข้าถึงได้
- AWS Identity and Access Management (IAM) ช่วยให้ลูกค้าจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS อย่างปลอดภัย เมื่อใช้ IAM องค์กรจะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
- AWS Multi-Factor Authentication เพิ่มชั้นป้องกันพิเศษสำหรับชื่อผู้ใช้และรหัสผ่านของบัญชี AWS AWS มอบตัวเลือกของอุปกรณ์ MFA แบบเสมือนจริงและแบบฮาร์ดแวร์ให้แก่ลูกค้า
- AWS Directory Service จะช่วยให้ลูกค้าผสานและรวมเข้ากับไดเรกทอรีขององค์กรเพื่อลดค่าใช้จ่ายด้านการจัดการและปรับปรุงประสบการณ์ของผู้ใช้ปลายทาง
- AWS Config ช่วยลูกค้าสามารถใช้งานกฎที่จัดเตรียมไว้อยู่แล้วที่ช่วยรับประกันว่าทรัพยากร AWS ของลูกค้าจะอยู่ในสถานะที่มีการกำหนดค่าและปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสม
- AWS CloudTrail จะทำให้ลูกค้าสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐานของ AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
- Amazon Macie ใช้ Machine Learning เพื่อช่วยลูกค้าป้องกันการสูญหายของข้อมูลด้วยการค้นหา จัดหมวดหมู่ และปกป้องข้อมูลที่อ่อนไหวใน AWS โดยอัตโนมัติ บริการที่ได้รับการจัดการอย่างเต็มรูปแบบนี้จะเฝ้าติดตามกิจกรรมการเข้าถึงข้อมูลอย่างต่อเนื่องเพื่อตรวจหาความผิดปกติและส่งคำเตือนโดยละเอียดเมื่อตรวจพบความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ – เช่น ข้อมูลที่อ่อนไหวที่ลูกค้าเผลอให้เกิดการเข้าถึงจากภายนอกโดยไม่ได้ตั้งใจ
-
ฉันจะเข้ารหัสข้อมูลของลูกค้าใน AWS เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างไร
AWS มอบความสามารถในการเพิ่มความปลอดภัยอีกชั้นให้กับข้อมูลของลูกค้าที่จัดเก็บในระบบคลาวด์ให้แก่ลูกค้าและช่วยให้ลูกค้าสามารถดำเนินการรักษาความปลอดภัยตามภาระผูกพันด้านการประมวลผลในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ เครื่องมือการเข้ารหัสที่พร้อมให้ใช้งานบน AWS ประกอบด้วย:
- ความสามารถในการเข้ารหัสมีให้ใช้งานในบริการพื้นที่จัดเก็บและบริการฐานข้อมูลของ AWS เช่น Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS และ Redshift
- ตัวเลือกการจัดการคีย์ที่มีความยืดหยุ่น รวมทั้ง AWS Key Management Service จะช่วยให้คุณเลือกได้ว่าจะให้ AWS จัดการคีย์การเข้ารหัสหรือให้ลูกค้าเข้าควบคุมคีย์ได้เองอย่างสมบูรณ์
- คิวข้อความที่ถูกเข้ารหัสสำหรับการส่งผ่านข้อมูลอ่อนไหวโดยใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ (SSE) สำหรับ Amazon SQS
- พื้นที่จัดเก็บคีย์การเข้ารหัสลับด้วยฮาร์ดแวร์เฉพาะโดยใช้ AWS CloudHSM ทำให้ลูกค้าสามารถปฏิบัติตามข้อกำหนดได้
นอกจากนี้ AWS ยังมี API ต่างๆ ให้ลูกค้าและคู่ค้าของ APN สามารถผนวกรวมการเข้ารหัสและการป้องกันข้อมูลกับบริการใดๆ ที่ลูกค้าพัฒนาหรือปรับใช้ในสภาพแวดล้อม AWS ได้ -
AWS นำเสนอบริการใดให้แก่ลูกค้าเพื่อช่วยในการปฏิบัติตามข้อกำหนดของ GDPR
AWS ได้มอบคุณสมบัติและบริการเฉพาะซึ่งช่วยลูกค้าให้บรรลุข้อกำหนดของ GDPR ดังนี้
การควบคุมการเข้าถึง: อนุญาตเฉพาะผู้ดูแลระบบ ผู้ใช้ และแอปพลิเคชันที่ได้รับอนุญาตให้เข้าถึงทรัพยากร AWS
- Multi-Factor Authentication (MFA)
- การเข้าถึงวัตถุแบบละเอียดพิเศษใน Amazon S3-Buckets/ Amazon SQS/ Amazon SNS และอื่นๆ
- การตรวจสอบสิทธิ์คำขอ API
- ข้อจำกัดทางภูมิศาสตร์
- โทเค็นการเข้าถึงแบบชั่วคราวผ่าน AWS Security Token Service
การเฝ้าติดตามและการบันทึก: รับภาพรวมเกี่ยวกับกิจกรรมบนทรัพยากร AWS ของคุณ
- การบริหารจัดการสินทรัพย์และการกำหนดค่าด้วย AWS Config
- การวิเคราะห์ความปลอดภัยและการตรวจสอบการปฏิบัติตามข้อกำหนดด้วย AWS CloudTrail
- การระบุความท้าทายด้านการกำหนดค่าผ่าน AWS Trusted Advisor
- การบันทึกแบบละเอียดพิเศษของการเข้าถึงอ็อบเจ็กต์ Amazon S3
- ข้อมูลอย่างละเอียดเกี่ยวกับการไหลในเครือข่ายผ่าน Amazon VPC Flow Logs
- การตรวจสอบและการดำเนินการการกำหนดค่าซึ่งอิงตามกฎด้วย AWS Config Rules
- คัดกรองและเฝ้าติดตามการเข้าถึงของ HTTP สู่แอปพลิเคชันด้วยฟังก์ชัน AWS WAF ใน AWS CloudFront
การเข้ารหัส: การเข้ารหัสข้อมูลบน AWS
- การเข้ารหัสข้อมูลที่จัดเก็บของคุณด้วย AES256 (EBS/S3/Glacier/RDS)
- Key Management ซึ่งถูกจัดการแบบรวมศูนย์ (โดย AWS Region)
- IPsec เจาะเข้าสู่ AWS ด้วยเกตเวย์ VPN
- โมดูล Dedicated HSM ในระบบคลาวด์พร้อมด้วย AWS CloudHSM
เฟรมเวิร์กการปฏิบัติตามข้อกำหนดและมาตรฐานการรักษาความปลอดภัยที่แข็งแกร่ง: เราแสดงให้เห็๖ถึงการปฏิบัติตามมาตรฐานนานาชาติที่รัดกุม เช่น:
- ISO 27001 สำหรับมาตรการทางเทคนิค
- ISO 27017 สำหรับการรักษาความปลอดภัยของระบบคลาวด์
- ISO 27018 สำหรับความเป็นส่วนตัวของระบบคลาวด์
- SOC 1, SOC 2 และ SOC 3, PCI DSS ระดับ 1,
- Common Cloud Computing Controls Catalogue (C5) ของ BSI
- ENS High
AWS และ UK GDPR
-
GDPR ยังคงมีผลบังคับใช้กับสหราชอาณาจักรหรือไม่
GDPR เป็นกฎระเบียบของสหภาพยุโรป และภายหลังการถอนตัวออกจากสหภาพยุโรปของสหราชอาณาจักร กฎระเบียบนี้ก็ไม่มีผลบังคับใช้กับสหราชอาณาจักรอีกต่อไป รัฐบาลสหราชอาณาจักรได้รวมข้อกำหนดของ GDPR ลงในกฎหมายสหราชอาณาจักรเป็น “UK GDPR”
-
ลูกค้าจะใช้ AWS ให้สอดคล้องกับ UK GDPR ได้อย่างไร
AWS แสดงข้อมูลบทเสริมของ UK GDPR ใน AWS DPA ซึ่งรวมเอาภาระผูกพันของ AWS ในฐานะผู้ประมวลผลข้อมูลภายใต้ UK GDPR เอาไว้ บทเสริม UK GDPR นี้เป็นส่วนหนึ่งของข้อกำหนดการให้บริการของ AWS และบังคับใช้โดยอัตโนมัติสำหรับลูกค้าทั้งหมดที่ต้องการให้ข้อตกลงว่าด้วยการประมวลผลข้อมูลเป็นไปตามข้อกำหนดของ UK GDPR
-
ลูกค้าจะถ่ายโอนข้อมูลลูกค้าให้เป็นไปตามข้อกำหนดของ UK GDPR ได้อย่างไร
บทเสริม UK GDPR ซึ่งเป็นส่วนหนึ่งของAWS Service Terms รวมถึง SCC ที่ EC นำไปใช้และบทเสริมการถ่ายโอนข้อมูลระหว่างประเทศ (IDTA) ที่ออกโดยหน่วยงานกำกับดูแลการปกป้องข้อมูลของสหราชอาณาจักร (สำนักงานคณะกรรมาธิการข้อมูล) IDTA แก้ไข SCC เพื่อให้แน่ใจว่าเป็นการป้องกันที่เหมาะสมภายใต้ UK GDPR สำหรับการถ่ายโอนข้อมูลระหว่างประเทศไปยังประเทศนอกสหราชอาณาจักรที่ไม่ได้รับการยอมรับว่าปกป้องข้อมูลส่วนบุคคลได้ในระดับที่เพียงพอ (ประเทศที่สามของสหราชอาณาจักร) บทเสริม UK GDPR ยืนยันว่า SCC (ตามที่แก้ไขโดย IDTA) จะมีผลบังคับใช้โดยอัตโนมัติเมื่อใดก็ตามที่ลูกค้าใช้บริการของ AWS เพื่อถ่ายโอนข้อมูลลูกค้าภายใต้ UK GDPR (ข้อมูลลูกค้าในสหราชอาณาจักร) ไปยังประเทศที่สามของสหราชอาณาจักร ตามบทเสริมของ UK GDPR ในAWS Service Termsนั้น SCC (ตามที่แก้ไขโดย IDTA) จะมีผลบังคับใช้โดยอัตโนมัติเมื่อใดก็ตามที่ลูกค้าใช้บริการของ AWS ในการถ่ายโอนข้อมูลลูกค้าในสหราชอาณาจักรไปยังประเทศที่สามของสหราชอาณาจักร
AWS และกฎหมายคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์
-
ลูกค้าจะสามารถใช้ AWS โดยเป็นไปตามกฎหมายคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์ได้อย่างไร
AWS จัดทำภาคผนวกสวิตเซอร์แลนด์ไว้กับภาคผนวกการประมวลผลข้อมูลของ AWS (“ภาคผนวกสวิตเซอร์แลนด์”) ที่ระบุภาระผูกพันของ AWS ในฐานะผู้ประมวลผลข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์ (“FDPA”) ภาคผนวกสวิตเซอร์แลนด์เป็นส่วนหนึ่งของข้อกําหนดการให้บริการของ AWS (ดูส่วนที่ 1.14.4) และมีผลบังคับใช้โดยอัตโนมัติเมื่อ FDPA มีความเกี่ยวข้องกับการที่ลูกค้าใช้บริการของ AWS เพื่อประมวลผลข้อมูลลูกค้า
-
ลูกค้าจะถ่ายโอนข้อมูลลูกค้าให้เป็นไปตาม FDPA ได้อย่างไร
ภาคผนวกสวิตเซอร์แลนด์ของภาคผนวกการประมวลผลข้อมูลของ AWS ซึ่งเป็นส่วนหนึ่งของข้อกําหนดการให้บริการของ AWS (ดูส่วนที่ 1.14.4) มีการระบุเงื่อนไขสัญญามาตรฐาน (“SCC”) ที่คณะกรรมาธิการยุโรปลงมติ และได้รับการแก้ไขตามที่กําหนดโดยคณะกรรมาธิการการคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์ ภาคผนวกสวิตเซอร์แลนด์ยืนยันว่า SCC (ตามที่แก้ไขโดยภาคผนวกสวิตเซอร์แลนด์) จะมีผลบังคับใช้โดยอัตโนมัติเมื่อใดก็ตามที่ลูกค้าใช้บริการของ AWS เพื่อถ่ายโอนข้อมูลลูกค้าภายใต้ภาคผนวกสวิตเซอร์แลนด์ไปยังประเทศที่สาม
ติดต่อ
-
ฉันควรติดต่อใครหากมีคำถามเกี่ยวกับ GDPR และ AWS
เราขอแนะนำให้ลูกค้าที่มีคำถามเกี่ยวกับ GDPR ให้ติดต่อผู้จัดการบัญชี AWS ของตนก่อนเป็นอันดับแรก หากลูกค้าได้สมัครใช้งาน Enterprise Support แล้ว ลูกค้าจะสามารถติดต่อผู้จัดการบัญชีฝ่ายเทคนิค (TAM) ได้ด้วยเช่นกัน TAM ทำงานกับสถาปนิกโซลูชันเพื่อช่วยลูกค้าในการระบุความเสี่ยงที่อาจเกิดขึ้นได้และการลดความเสี่ยงที่อาจเป็นไปได้ TAM และทีมบัญชียังสามารถระบุให้ลูกค้าและคู่ค้า APN เห็นถึงทรัพยากรที่เฉพาะเจาะจงโดยอิงจากสภาพแวดล้อมและความต้องการของพวกเขาได้AWS ยังมีทีมตัวแทนสนับสนุนองค์กร ผู้ให้คำปรึกษาด้านบริการมืออาชีพ และทีมงานอื่นๆ ที่คอยช่วยเหลือด้านคำถามที่เกี่ยวข้องกับ GDPR อีกด้วย คุณสามารถติดต่อเราพร้อมกับคำถามได้ที่นี่