ศูนย์ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR)

การปฏิบัติตามข้อกำหนดของ GDPR เมื่อใช้บริการของ AWS

ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) แห่งสหภาพยุโรปทำหน้าที่ปกป้องสิทธิพื้นฐานในด้านความเป็นส่วนตัวและการปกป้องข้อมูลส่วนบุคคลของสหภาพยุโรป (EU) ที่อยู่ในสหภาพยุโรป GDPR ประกอบด้วยข้อกำหนดสำคัญที่จะช่วยยกระดับและสร้างประสานรวมมาตรฐานต่างๆ เพื่อการปกป้องข้อมูล ความปลอดภัย และการปฏิบัติตามข้อกำหนด โปรดตรวจสอบข้อมูลเพิ่มเติมได้ที่คำถามที่พบบ่อยเกี่ยวกับ GDPR ด้านล่าง

ลูกค้า AWS สามารถใช้บริการของ AWS เพื่อประมวลผลข้อมูลส่วนบุคคล (ตามที่กำหนดไว้ใน GDPR) ซึ่งอัปโหลดไปยังบริการของ AWS ภายใต้บัญชี AWS (ข้อมูลลูกค้า) ในการปฏิบัติตามข้อกำหนดของ GDPR นอกจากนี้ในด้านการปฏิบัติตามข้อกำหนดของเรา AWS มุ่งมั่นที่จะให้บริการและมอบทรัพยากรแก่ลูกค้าของเราเพื่อช่วยให้ลูกค้าปฏิบัติตามข้อกำหนด GDPR ซึ่งอาจมีผลบังคับใช้กับกิจการของพวกเขาได้ คุณสมบัติใหม่จะมีการเปิดตัวเป็นประจำ และ AWS ก็มีคุณสมบัติและบริการมากกว่า 500 รายการที่มุ่งเน้นเรื่องความปลอดภัยและการปฏิบัติตามข้อกำหนด อ่านบล็อก วิธีที่ AWS ช่วยให้ลูกค้าในสหภาพยุโรปดำเนินการด้านการคุ้มครองข้อมูลรูปแบบใหม่ในสถานการณ์ปัจจุบันเพื่อดูเพิ่มเติมว่า AWS กำลังทำอะไร

การควบคุมของลูกค้า

ลูกค้ามีสิทธิ์ควบคุมข้อมูลของตนเอง AWS ช่วยให้ลูกค้าทำสิ่งต่อไปนี้ได้

  • กำหนดได้ว่าจะเก็บข้อมูลของลูกค้าเองไว้ที่ใด รวมทั้งประเภทของพื้นที่จัดเก็บและรีเจี้ยนทางภูมิศาสตร์ของภูมิภาคของพื้นที่จัดเก็บนั้น
  • เลือกสถานะที่ปลอดภัยของข้อมูลของตนเอง เรามีการเข้ารหัสที่มีประสิทธิภาพสูงสำหรับข้อมูลของลูกค้าในระหว่างส่งและจัดเก็บ และเราให้ตัวเลือกกับลูกค้าในการจัดการคีย์การเข้ารหัสด้วย
  • จัดการการเข้าถึงข้อมูลของลูกค้าเองและการเข้าถึงบริการและทรัพยากรของ AWS ผ่านผู้ใช้ กลุ่ม สิทธิ์ และข้อมูลประจำตัวที่ลูกค้าควบคุม
เรียนรู้เพิ่มเติม »

การถ่ายโอนภายนอกเขตเศรษฐกิจยุโรป (EEA)

ลูกค้า AWS สามารถใช้บริการของ AWS ต่อไปเพื่อถ่ายโอนข้อมูลตนเองจาก EEA ไปยังประเทศที่อยู่นอก EEA ซึ่งไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป (รวมถึงสหรัฐอเมริกา) โดยเป็นไปตาม GDPR ที่ AWS สิ่งสำคัญที่สุดคือการรักษาความปลอดภัยให้กับข้อมูลของลูกค้า และเราได้นำมาตรการด้านเทคนิคและด้านองค์กรที่เข้มงวดมาใช้เพื่อคุ้มครองการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล ไม่ว่าลูกค้าจะเลือกรีเจี้ยนใดของ AWS ก็ตาม เราทราบดีว่าความโปร่งใสนั้นสำคัญกับลูกค้าของเรา เราระบุบริการของ AWS ที่มีการถ่ายโอนข้อมูลของลูกค้าไว้ในหน้าเว็บคุณสมบัติด้านความเป็นส่วนตัวของเรา

ในขณะที่ภูมิทัศน์ด้านระเบียบบังคับและกฎหมายวิวัฒนาการไป เราจะยังมุ่งทำงานเพื่อดูแลให้ลูกค้ายังเพลิดเพลินไปกับประโยชน์จากบริการของ AWS ต่อไปเสมอ ไม่ว่าลูกค้าจะดำเนินงานที่ใด ดูเพิ่มเติมได้ที่การอัปเดตถึงลูกค้าเกี่ยวกับการคุ้มครองความเป็นส่วนตัวในการโอนข้อมูลระหว่างสหภาพยุโรปกับสหรัฐอเมริกาและโพสต์บล็อกเกี่ยวกับบทเสริมภาคผนวกการประมวลผลข้อมูล GDPR ของ AWS

ทรัพยากร GDPR

compliance-resources-banner@2x
การนำทางสู่การปฏิบัติตามข้อกำหนด GDPR บน AWS
ดาวน์โหลดเอกสารรายงาน »
compliance-banner-argentina
สิ่งที่คุณต้องทราบเกี่ยวกับ Brexit และ AWS
เรียนรู้เพิ่มเติม »
compliance-latestnews-banners
โพสต์บล็อกเกี่ยวกับ GDPR ด้านการรักษาความปลอดภัยของ AWS
เรียนรู้เพิ่มเติม »
compliance-programs-banner@2x
คุณสมบัติด้านความเป็นส่วนตัวของบริการของ AWS
เรียนรู้เพิ่มเติม »

คำถามที่พบบ่อยเกี่ยวกับ GDPR

ภาพรวมและข้อมูลพื้นฐานเกี่ยวกับ GDPR


  • GDPR คืออะไร

    ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) คือกฎหมายด้านความเป็นส่วนตัวแห่งชาติยุโรปซึ่งมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018 GDPR เข้ามาแทนที่ EU Data Protection Directive หรือเรียกอีกอย่างว่า Directive 95/46/EC โดยมีจุดมุ่งหมายเพื่อประสานกฎหมายคุ้มครองข้อมูลทั่วทั้งสหภาพยุโรป (EU) ให้กลายเป็นหนึ่งเดียวโดยการใช้กฎหมายคุ้มครองข้อมูลซึ่งผูกพันครอบคลุมทุกประเทศสมาชิก

  • GDPR จะมีผลกับใครบ้าง

    GDPR มีผลกับองค์กรทุกรูปแบบที่จัดตั้งขึ้นในสหภาพยุโรปและองค์กรอื่นๆ ที่ไม่ว่าจะจัดตั้งขึ้นในสหภาพยุโรปหรือไม่ก็ตาม ซึ่งมีการประมวลผลข้อมูลส่วนบุคคลของผู้ที่อยู่ในสหภาพยุโรปซึ่งเกี่ยวข้องกับการเสนอสินค้าหรือไม่ก็บริการไปยังเจ้าของข้อมูลที่อยู่ในสหภาพยุโรป หรือเกี่ยวกับการเฝ้าติดตามพฤติกรรมซึ่งเกิดขึ้นในสหภาพยุโรป ข้อมูลส่วนบุคคลคือข้อมูลใดๆ ก็ตามที่เกี่ยวข้องกับบุคคลที่ได้รับการระบุตัวตนหรือบุคคลธรรมดาที่สามารถระบุตัวตนได้ รวมถึงชื่อ อีเมล และหมายเลขโทรศัพท์

  • AWS คือผู้ประมวลผลข้อมูลหรือผู้ควบคุมข้อมูลภายใต้ GDPR หรือไม่

    AWS ทำหน้าที่เป็นทั้งผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูลภายใต้ GDPR

    • AWS ในฐานะผู้ประมวลผลข้อมูล – เมื่อลูกค้าใช้บริการของ AWS เพื่อประมวลผลข้อมูลส่วนบุคคลในเนื้อหาที่ตนอัปโหลดไปยังบริการของ AWS แล้ว AWS จะทำหน้าที่เป็นผู้ประมวลผลข้อมูล ลูกค้าสามารถใช้การควบคุมที่มีให้ในการบริการของ AWS ซึ่งประกอบด้วยการควบคุมการกำหนดค่าความปลอดภัย สำหรับการจัดการข้อมูลส่วนบุคคลได้ ภายใต้สถานการณ์เหล่านี้ ลูกค้าอาจทำหน้าที่เป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลเอง ส่วน AWS จะทำหน้าที่เป็นผู้ประมวลข้อมูลหรือผู้ประมวลผลย่อย AWS มีบทเสริมเรื่องการประมวลผลข้อมูล DPA ตาม GDPR ของ AWS (AWS GDPR DPA) ซึ่งเป็นการปฎิบัติตามข้อกำหนดที่รวมภาระผูกพันของ AWS ในฐานะผู้ประมวลผลข้อมูลไว้ให้อีกด้วย AWS GDPR DPA ซึ่งรวมถึงเงื่อนไขสัญญามาตรฐานนี้ เป็นส่วนหนึ่งของข้อกำหนดการให้บริการของ AWS และพร้อมใช้งานโดยอัตโนมัติสำหรับลูกค้าทั้งหมดที่ต้องการให้สิ่งนี้ปฏิบัติตาม GDPR
    • AWS ในฐานะผู้ควบคุมข้อมูล – เมื่อ AWS รวบรวมข้อมูลส่วนบุคคลและกำหนดจุดประสงค์และวิธีในการประมวลข้อมูลส่วนบุคคลนั้นๆ – ตัวอย่างเช่น เมื่อ AWS จัดเก็บข้อมูลบัญชี (เช่น อีเมลที่ให้ไว้ระหว่างลงทะเบียนบัญชี) สำหรับการลงทะเบียนบัญชี การบริหารจัดการบัญชี การเข้าถึงบริการของบัญชี หรือข้อมูลการติดต่อสำหรับบัญชี AWS เพื่อให้ความช่วยเหลือผ่านกิจกรรมการสนับสนุนลูกค้า AWS จึงต้องทำหน้าที่เป็นผู้ควบคุมข้อมูล โปรดดูรายละเอียดเกี่ยวกับวิธีที่ AWS ประมวลผลข้อมูลส่วนบุคคลในฐานผู้ควบคุมในประกาศเกี่ยวกับความเป็นส่วนตัวของ AWS

การปฏิบัติตามข้อกำหนดของ AWS และ GDPR หลังจากการสั่ง Schrems II และคำแนะนำของ EDPB


  • การสั่ง Schrems II และคำแนะนำของ EDPB คืออะไร

    ในวันที่ 16 กรกฎาคม 2020 ศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) ออกคำสั่งว่าด้วยการถ่ายโอนข้อมูลส่วนบุคคลของผู้ที่อยู่ในสหภาพยุโรปภายนอก EEA (Schrems II) ใน Schrems II นี้ CJEU ออกคำสั่งว่าการคุ้มครองความเป็นส่วนตัวในการโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกานั้น ไม่ใช่กลไกที่ถูกต้องสำหรับการถ่ายโอนข้อมูลส่วนบุคคลจาก EEA ไปยังสหรัฐฯ อีกต่อไป อย่างไรก็ตาม CJEU ยืนยันในคำสั่งเดียวกันว่าบริษัทต่างๆ สามารถ (ภายใต้มาตรการเสริมที่บังคับใช้ หากจำเป็น) ใช้เงื่อนไขสัญญามาตรฐานเป็นกลไกที่ถูกต้องสำหรับการถ่ายโอนข้อมูลส่วนบุคคลภายนอก EEA ต่อไปได้ คณะกรรมการด้านการคุ้มครองข้อมูลของยุโรป (EDPB) ซึ่งเป็นองค์กรในยุโรปที่ประกอบด้วยตัวแทนของหน่วยงานคุ้มครองข้อมูลระดับประเทศนั้น ได้ระบุรายการมาตรการเสริมโดยสังเขปใน “คำแนะนำ 01/2020 เกี่ยวกับมาตรการที่เสริมเครื่องมือถ่ายโอนข้อมูลเพื่อให้มีการปฏิบัติตามข้อกำหนดในระดับการคุ้มครองข้อมูลส่วนบุคคลใน EU” (คำแนะนำของ EDPB)

    คำแนะนำของ EDPB ระบุตัวอย่างมาตรการเสริมที่ผู้ส่งออกข้อมูลนำไปบังคับใช้ได้ ดูรายละเอียดเกี่ยวกับทรัพยากรการถ่ายโอนข้อมูลจากคำถามที่พบบ่อยฉันจะใช้บริการของ AWS ต่อไปได้หรือไม่หลังจากคำสั่ง Schrems II” ด้านล่าง 

  • ฉันจะใช้บริการของ AWS ต่อไปได้หรือไม่หลังจากคำสั่ง Schrems II

    ได้ ลูกค้า AWS สามารถใช้บริการของ AWS ต่อไปเพื่อถ่ายโอนข้อมูลตนเองจากยุโรปไปยังประเทศที่อยู่นอก EEA ซึ่งไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป คำสั่ง Schrems II อนุมัติการใช้เงื่อนไขสัญญามาตรฐาน (SCCs) เป็นกลไกในการถ่ายโอนข้อมูลของลูกค้าภายนอก EEA และลูกค้า AWS สามารถพึ่งพาเงื่อนไขสัญญามาตรฐาน (SCCs) สำหรับการถ่ายโอนข้อมูลของลูกค้าใดๆ ภายนอก EEA โดยเป็นไปตาม GDPR

    • ตำแหน่งที่ตั้งในการประมวลผล ลูกค้าเลือกรีเจี้ยนของ AWS ที่จะจัดเก็บข้อมูลของตนเอง สามารถดูภาพรวมรีเจี้ยนของ AWS ได้ภายใต้รีเจี้ยนและ Availability Zone AWS จะไม่ประมวลผลข้อมูลของลูกค้าภายนอกรีเจี้ยนของ AWS ที่ลูกค้าเลือกไว้ เว้นแต่ว่ามีความจำเป็นเพื่อจุดประสงค์ด้านการให้บริการของ AWS ที่เริ่มต้นโดยลูกค้า หรือตามที่จำเป็นเพื่อปฏิบัติตามกฎหมายหรือคำสั่งผูกมัดของหน่วยงานรัฐบาล โปรดดูหน้าเว็บคุณสมบัติด้านความเป็นส่วนตัวเพื่ออ่านเพิ่มเติมเกี่ยวกับการถ่ายโอนข้อมูลในฐานะส่วนหนึ่งของบริการของ AWS
    • ผู้ประมวลผลชั้นรอง AWS อาจใช้ผู้ประมวลผลชั้นรอง เช่น บริษัทในเครือ AWS หรือบุคคลภายนอก เพื่อช่วยในการประมวลผลข้อมูลของลูกค้า เพื่อบรรลุภาระหน้าที่ต่อลูกค้าภายใต้ DPA หรือให้บริการในนามของเรา ดูรายละเอียดได้ในคำถามที่พบบ่อยด้านล่างนี้ “AWS ใช้ผู้ประมวลผลชั้นรองเพื่อประมวลผลข้อมูลของลูกค้าหรือไม่
    • เครื่องมือถ่ายโอน เนื่องจากคำสั่ง Schrems II ได้อนุมัติการใช้ SCC เป็นกลไกสำหรับการถ่ายโอนข้อมูลนอกกลุ่มประเทศ EEA ที่ยังไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป ลูกค้าของเราจะยังคงสามารถใช้ SCC ที่รวมอยู่ใน AWS GDPR DPA ได้ต่อไป หากเลือกที่จะถ่ายโอนข้อมูลของตนออกไปนอก EEA โดยเป็นไปตาม GDPR
    • มาตรการเสริม
      • การควบคุมของลูกค้า ลูกค้ามีความเป็นเจ้าของและอำนาจควบคุมเหนือข้อมูลของตนเองตลอดเวลาผ่านเครื่องมือที่ใช้งานง่ายแต่ทรงพลัง ซึ่งช่วยให้ระบุสถานที่จะจัดเก็บข้อมูลของลูกค้า รักษาความปลอดภัยให้ข้อมูลนั้นระหว่างโยกย้ายหรือขณะอยู่กับที่ และจัดการการเข้าถึงทรัพยากร AWS ของผู้ใช้ ตลอดจนแก้ไข ลบ และเรียกใช้ข้อมูลดังกล่าว
      • มาตรการทางเทคนิคและทางองค์กร AWS ใช้การควบคุมและกระบวนการทางเทคนิคและแบบจับต้องได้ที่มีความรับผิดชอบและซับซ้อน โดยออกแบบมาเพื่อป้องกันการเข้าถึงหรือเปิดเผยข้อมูลของลูกค้าโดยไม่ได้รับอนุญาต (ไปที่หน้าเว็บการปฏิบัติตามข้อกำหนดของ AWS เพื่อดูข้อมูลเพิ่มเติม) และเรายังให้บริการเข้ารหัสขั้นสูงและการจัดการคีย์จำนวนมาก (รวมถึงบริการที่อนุญาตให้ลูกค้าจัดการคีย์ของตนเอง) ที่ลูกค้าใช้เพื่อคุ้มครองข้อมูลของตนเองทั้งระหว่างโยกย้ายและขณะอยู่กับที่ได้ ระบบจะทำให้ไม่สามารถเข้าถึงข้อมูลของลูกค้าที่เข้ารหัสไว้ โดยไม่มีคีย์การถอดรหัสที่เกี่ยวข้อง ไม่ว่าข้อมูลของลูกค้าจะได้รับการเข้ารหัสหรือไม่ เราจะมุ่งทำงานอย่างคอยระมัดระวังเพื่อคุ้มครองข้อมูลของลูกค้าจากการเข้าถึงที่ไม่ได้รับอนุญาต
      • คำขอจากหน่วยงานบังคับใช้กฎหมาย AWS มีกระบวนการภายในที่จัดการกับคำขอที่เราได้รับจากหน่วยงานบังคับใช้กฎหมาย เมื่อเราได้รับคำขอดูข้อมูลของลูกค้าจากหน่วยงานบังคับใช้กฎหมาย เราจะตรวจสอบอย่างละเอียดเพื่อดูความถูกต้องและเพื่อตรวจสอบว่าเหมาะสมและเป็นไปตามกฎหมายที่บังคับใช้ทั้งหมด AWS จะแจ้งลูกค้าก่อนที่จะเปิดเผยข้อมูลของลูกค้า เพื่อให้ลูกค้าสามารถดำเนินการเพิ่มเติมเพื่อเตรียมหาการคุ้มครองจากการเปิดเผย เว้นแต่ว่า AWS จะถูกสั่งระงับไม่ให้ดำเนินการดังกล่าวตามกฎหมาย ในบทเสริม AWS GDPR DPA (บทเสริม) AWS สร้างข้อผูกมัดทางสัญญาเสริมความมั่นคงในด้านที่เรื่องการจัดการกับคำขอข้อมูลลูกค้าจากรัฐบาล รวมถึงโดยการผูกมัดในด้านการ (i) ใช้ความพยายามที่สมเหตุสมผลอย่างเต็มที่เพื่อพาให้หน่วยงานรัฐบาลที่ร้องขอข้อมูลลูกค้าไปหาลูกค้าที่เกี่ยวข้อง (ii) แจ้งให้ลูกค้าทราบถึงคำขอทันทีหากกฎหมายอนุญาตให้ทำเช่นนั้น (รวมถึงโดยใช้ความพยายามที่สมเหตุสมผลและชอบด้วยกฎหมายอย่างเต็มที่เพื่อขอการยกเว้นการห้ามหากจำเป็น) (iii) โต้แย้งคำขอใดๆ ที่กว้างเกินไปหรือไม่เหมาะสม รวมทั้งกรณีที่คำขอขัดแย้งกับกฎหมายใน EU และ (iv) หากหลังจากปฏิบัติตามขั้นตอนข้างต้นทั้งหมดแล้ว AWS ยังคงประสงค์ที่จะเปิดเผยข้อมูลของลูกค้าเพื่อตอบสนองต่อคำขอจากรัฐบาล ต้องมีการเปิดเผยข้อมูลดังกล่าวเป็นขั้นต่ำที่สุดเท่าที่จำเป็นตามคำขอ
      • มาตรการทางสัญญา AWS สร้างข้อผูกมัดทางสัญญาหลายข้อกับมาตรการที่อธิบายข้างต้น ซึ่งระบุไว้ใน AWS GDPR DPA และบทเสริม AWS GDPR DPA และบทเสริมประกอบด้วยข้อผูกมัดทางสัญญาจาก AWS เกี่ยวกับ (1) การเลือกรีเจี้ยนของ AWS โดยลูกค้า ซึ่งจัดเก็บและประมวลผลข้อมูลของลูกค้า (2) ทั้งมาตรการทางเทคนิคและองค์กรที่ AWS ได้นำมาใช้เพื่อปกป้องโครงสร้างพื้นฐานของ AWS และมาตรการทางเทคนิคขององค์กรที่ลูกค้าอาจเลือกใช้เพื่อคุ้มครองข้อมูลของตนเอง (3) มาตรการของ AWS เพื่อคุ้มครองข้อมูลของลูกค้าและแจ้งให้ลูกค้าทราบในกรณีที่มีคำขอให้เปิดเผยข้อมูลจากหน่วยงานรัฐบาล และ (4) ความสามารถของ AWS ในการปฏิบัติตามภาระหน้าที่ซึ่งกำหนดไว้ใน AWS GDPR DPA ตามกฎหมายที่มีผลบังคับใช้ในประเทศที่สามที่ประมวลผลข้อมูลของลูกค้า นอกจากนี้ บทเสริมยังอ้างอิงถึง (5) สิทธิตามกฎหมายของบุคคลในการเรียกร้องการชดเชยในกรณีที่มีการละเมิดสิทธิของบุคคลนั้นตามซึ่งมอบให้โดย GDPR
  • AWS ใช้ผู้ประมวลผลชั้นรองเพื่อประมวลผลข้อมูลของลูกค้าหรือไม่

    ใช่ AWS อาจใช้ผู้ประมวลผลชั้นรองมีสามประเภท: (1) นิติบุคคลของ AWS ที่ให้บริการโครงสร้างพื้นฐานที่บริการของ AWS ทำงาน (2) นิติบุคคลของ AWS ที่รองรับบริการของ AWS เฉพาะ ซึ่งอาจกำหนดให้เอนทิตีเหล่านี้ประมวลผลข้อมูลลูกค้า และ (3) บุคคลภายนอกที่ AWS ทำสัญญาเพื่อจัดเตรียมกิจกรรมการประมวลผลสำหรับบริการของ AWS ที่เฉพาะเจาะจง หน้าเว็บผู้ประมวลผลข้อมูลชั้นรองของ AWS ให้ข้อมูลเพิ่มเติมเกี่ยวกับผู้ประมวลผลชั้นรองที่ AWS นำมาร่วมตาม AWS GDPR DPA เพื่อจัดเตรียมกิจกรรมการประมวลผลข้อมูลลูกค้าในนามของลูกค้า ผู้ประมวลผลชั้นรองที่เกี่ยวข้องกับลูกค้าแต่ละรายจะขึ้นอยู่กับรีเจี้ยน AWS ที่ลูกค้าเลือกและบริการของ AWS เฉพาะที่ลูกค้าใช้

  • AWS ช่วยลูกค้าเมื่อต้องทำการประเมินการถ่ายโอนข้อมูลได้อย่างไร

    เอกสารรายงานของ AWS ว่าด้วยการดำเนินการปฏิบัติตามข้อกำหนดการถ่ายโอนข้อมูลของสหภาพยุโรป ให้ข้อมูลเกี่ยวกับบริการและแหล่งข้อมูลที่ AWS เสนอให้ลูกค้าเพื่อช่วยลูกค้าดำเนินการประเมินการถ่ายโอนข้อมูลให้เป็นไปตามกฎ Schrems II และรับข้อแนะนำจากคณะกรรมการคุ้มครองข้อมูลแห่งสหภาพยุโรป เอกสารรายงานยังอธิบายมาตรการสำคัญเพิ่มเติมที่มีและดำเนินงานโดย AWS เพื่อคุ้มครองข้อมูลของลูกค้า

  • ฉันจะพิสูจน์กับผู้ควบคุมกฎข้อบังคับการปกป้องข้อมูลได้อย่างไรว่าฉันใช้บริการของ AWS โดยเป็นไปตามข้อกำหนดของ GDPR

    AWS ได้เสนอข้อมูลที่มีประโยชน์ให้แก่ลูกค้า ซึ่งประกอบด้วยรายงานหลายฉบับเกี่ยวกับการปฏิบัติตามข้อกำหนดจากผู้ตรวจสอบจากภายนอก ซึ่งได้ยืนยันถึงการปฏิบัติตามข้อกำหนดของเรากับมาตรฐานและข้อบังคับด้านความปลอดภัยที่หลากหลายเพื่อเป็นการพิสูจน์ถึงการปฏิบัติตามข้อกำหนดระดับสูงที่ AWS รักษาไว้เพื่อโครงสร้างพื้นฐาน รายงานเหล่านี้แสดงให้ลูกค้าเห็นว่าเรากำลังปกป้องข้อมูลของตนเอง ซึ่งลูกค้าเลือกที่จะประมวลผลบน AWS ตัวอย่างที่ดีของเราคือ การปฏิบัติตามข้อกำหนด ISO 27001, 27017 และ 27018 ของ AWS ISO 27018 ประกอบด้วยการควบคุมความปลอดภัยที่มุ่งเน้นเรื่องการคุ้มครองข้อมูลของลูกค้า

    AWS ยังปฏิบัติตามข้อกำหนดของหลักจรรยาบรรณของ CISPE เพื่อการปกป้องข้อมูลอีกด้วย สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับหลักจรรยาบรรณของ CISPE ได้ในคำถามที่พบบ่อยด้านล่างนี้ “AWS ปฏิบัติตามหลักจรรยาบรรณด้านบริการโครงสร้างพื้นฐานระบบคลาวด์ตามที่ระบุไว้ใน GDPR หรือไม่

  • AWS ปฏิบัติตามหลักจรรยาบรรณที่อนุมัติโดย GDPR ที่เจาะจงเรื่องบริการโครงสร้างพื้นฐานของระบบคลาวด์หรือไม่

    ในเดือนกุมภาพันธ์ 2017 AWS ยังได้ประกาศการปฏิบัติตามข้อกำหนดร่วมกับหลักจรรยาบรรณสำหรับการปกป้องข้อมูลของ CISPE อีกด้วย CISPE (Cloud Infrastructure Services Providers in Europe) คือการร่วมมือกันของผู้ให้บริการระบบคลาวด์ชั้นนำที่ให้บริการแก่ลูกค้าหลายล้านรายในยุโรป CISPE ได้พัฒนา หลักจรรยาบรรณในการคุ้มครองข้อมูลของ CISPE (CISPE Code) ร่วมกับหน่วยงานคุ้มครองข้อมูลของฝรั่งเศส (CNIL) ซึ่งเป็นหลักจรรยาบรรณการคุ้มครองข้อมูลแห่งภาคพื้นยุโรปที่มุ่งเน้นด้านบริการโครงสร้างพื้นฐานบนระบบคลาวด์ จรรยาบรรณ CISPE ได้รับการส่งเสริมโดย คณะกรรมการด้านการคุ้มครองข้อมูลของยุโรปและได้รับอนุมัติโดย CNIL
     
    จรรยาบรรณ CISPE ช่วยให้ลูกค้ามั่นใจว่าบริการโครงสร้างพื้นฐานระบบคลาวด์มอบการรับประกันด้านการดำเนินงานที่เหมาะสมในด้านการปฏิบัติตาม GDPR และคุ้มครองข้อมูลของลูกค้า ประโยชน์ที่สำคัญบางอย่างของหลักจรรยาบรรณของ CISPE ประกอบด้วย:
    • การชี้แจ้งบทบาทของผู้ให้บริการโครงสร้างพื้นฐานของระบบคลาวด์ให้ชัดเจนภายใต้ GDPR เกี่ยวกับการประมวลผลข้อมูลของลูกค้า นั่นคือข้อมูลส่วนบุคคลใดๆ ที่ประมวลผลในนามของลูกค้าโดยใช้บริการโครงสร้างพื้นฐานของระบบคลาวด์
    • ต้องมีผู้ให้บริการโครงสร้างพื้นฐานของระบบคลาวด์เพื่อให้ลูกค้าสามารถเลือกบริการที่จัดเก็บและประมวลผลข้อมูลของลูกค้าทั้งหมดภายในเขตเศรษฐกิจยุโรป
    • หลักจรรยาบรรณของ CISPE สร้างข้อกำหนดที่ผู้ให้บริการโครงสร้างพื้นฐานของระบบคลาวด์ ในฐานะผู้ประมวลผลข้อมูล ควรปฏิบัติตามโดยมีความมุ่งเน้นเจาะจงที่มาตรการรักษาความปลอดภัย โดยสรุปการดำเนินการและข้อผูกมัดที่ผู้ให้บริการโครงสร้างพื้นฐานของระบบคลาวด์ควรเข้ารับผิดชอบเพื่อปฏิบัติตาม GDPR (และช่วยให้ลูกค้าปฏิบัติตาม GDPR)
    • หลักจรรยาบรรณของ CISPE จะให้ข้อมูลการปกป้องข้อมูลและความปลอดภัยของข้อมูลแก่ลูกค้า ว่าลูกค้าจำเป็นต้องตัดสินใจเกี่ยวกับความจำเป็นด้านการปฏิบัติตาม GDPR โดยกำหนดให้ผู้ให้บริการโครงสร้างพื้นฐานของระบบคลาวด์มีความโปร่งใสเกี่ยวกับขั้นตอนที่ใช้ในการส่งมอบบริการตามภาระผูกพันด้านความปลอดภัยของผู้ให้บริการเหล่านั้น ขั้นตอนเหล่านี้ประกอบด้วยการแจ้งเตือนกรณีข้อมูลส่วนบุคคลรั่วไหลและการประมวลผลชั้นรองของบุคคลภายนอก ลูกค้าสามารถใช้ข้อมูลนี้เพื่อทำความเข้าใจด้านความปลอดภัยระดับสูงที่มอบให้อย่างเต็มรูปแบบ

มาตรการทางเทคนิคและทางองค์กร


  • GDPR มีผลกระทบอย่างไรต่อโมเดลความรับผิดชอบร่วมกันของ AWS

    GDPR จะไม่เปลี่ยนแปลงโมเดลความรับผิดชอบร่วมกันของ AWS ซึ่งยังคงมีความเกี่ยวข้องกับลูกค้า โมเดลความรับผิดชอบร่วมกันคือแนวทางที่มีประโยชน์ในการแสดงให้เห็นถึงความรับผิดชอบต่างๆ ที่แตกต่างกันของ AWS (ในฐานะผู้ประมวลผลข้อมูล หรือ ผู้ประมวลผลย่อย) และลูกค้า (ทั้งในฐานะผู้ควบคุมข้อมูล หรือ ผู้ประมวลผลข้อมูล) ภายใต้ GDPR

    ภายใต้โมเดลความรับผิดชอบร่วมกัน AWS จะรับผิดชอบการรักษาความปลอดภัยโครงสร้างพื้นฐานซึ่งรองรับบริการของ AWS (“การรักษาความปลอดภัย “ของ” ระบบคลาวด์”) และลูกค้าซึ่งทำหน้าที่เป็นทั้งผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล มีหน้าที่รับผิดชอบข้อมูลส่วนบุคคลใดๆ ที่อัปโหลดไปยังบริการของ AWS (“การรักษาความปลอดภัย “ใน” ระบบคลาวด์”)

    ความรับผิดชอบของ AWS “การรักษาความปลอดภัยของระบบคลาวด์”– AWS รับผิดชอบในการปกป้องโครงสร้างพื้นฐานในการให้บริการทั้งหมดของ AWS โครงสร้างพื้นฐานนี้จะประกอบไปด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่เรียกใช้บริการของ AWS ที่รวมถึงการควบคุมการกำหนดค่าความปลอดภัย ซึ่งมอบการควบคุมอันทรงพลังแก่ลูกค้าสำหรับการจัดการเนื้อหาของลูกค้า AWS ยังมอบรายงานการปฏิบัติตามข้อกำหนดหลายฉบับจากผู้ตรวจสอบบริษัทอื่นซึ่งได้ยืนยันการปฏิบัติตามข้อกำหนดของเราด้วยมาตรฐานและข้อบังคับด้านความปลอดภัยคอมพิวเตอร์ต่างๆ (สำหรับข้อมูลเพิ่มเติม ไปที่หน้าเว็บการปฏิบัติตามข้อกำหนดของ AWS) รายงานเหล่านี้แสดงให้ลูกค้าเห็นว่าเรากำลังปกป้องข้อมูลของตนเอง ตัวอย่างของเราประกอบด้วยการปฏิบัติตามข้อกำหนด ISO 27001, 27017 และ 27018 ของ AWS ISO 27018ประกอบด้วยการควบคุมความปลอดภัยที่มุ่งเน้นเรื่องการคุ้มครองข้อมูลของลูกค้า

    ความรับผิดชอบของลูกค้า “การรักษาความปลอดภัยในระบบคลาวด์” - ลูกค้า AWS มีความรับผิดชอบต่อการสร้างและรักษาความปลอดภัยแอปพลิเคชันและโซลูชันที่เลือกติดตั้งใช้จริงบนบริการของ AWS และลูกค้า AWS มีความรับผิดชอบต่อการกำหนดค่าบริการของ AWS ในลักษณะที่คุ้มครองความจำเป็นด้านการเป็นความลับ ความสมบูรณ์ และความปลอดภัยของข้อมูลลูกค้า ความรับผิดชอบแต่ละด้านที่ลูกค้ามีต่อการรักษาความปลอดภัยของข้อมูลตนเองนั้นแตกต่างกันไป โดยขึ้นอยู่กับบริการของ AWS ที่ลูกค้าเลือกใช้และวิธีที่บริการเหล่านั้นรวมเข้าอยู่ในสภาพแวดล้อมไอทีของลูกค้า ลูกค้า AWS มีความสามารถในการมองเห็นและควบคุมข้อมูลของตนเองและใช้มาตรการควบคุมที่ยืดหยุ่นตามความละเอียดอ่อนของข้อมูลดังกล่าวในประเภทต่างๆ ได้ ลูกค้าทำเช่นนี้ได้โดยใช้มาตรการและเครื่องมือรักษาความปลอดภัยในระบบเอง หรือใช้มาตรการรและเครื่องมือรักษาความปลอดภัยที่ AWS หรือซัพพลายเออร์อื่นมีให้ใช้ โดยวิธีนี้ช่วยให้ลูกค้าวางชั้นรักษาความปลอดภัยเพิ่มเติมสำหรับข้อมูลที่ละเอียดอ่อนกว่าของตนเองได้

    AWS มีผลิตภัณฑ์ เครื่องมือ และบริการต่างๆ ให้ลูกค้าสามารถใช้เพื่อสร้างและรักษาความปลอดภัยแอปพลิเคชันและโซลูชันที่ติดตั้งใช้จริงเพื่อช่วยจัดการกับข้อกำหนดของ GDPR ได้ ได้แก่

    • AWS Identity and Access Management (IAM) ช่วยให้องค์กรจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS ได้อย่างปลอดภัย เมื่อใช้ IAM ลูกค้าจะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
    • AWS CloudTrail จะทำให้องค์กรสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ใน AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
    • Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่ได้รับการจัดการซึ่งคอยเฝ้าติดตามพฤติกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตอย่างต่อเนื่องเพื่อช่วยปกป้องบัญชี และปริมาณงาน AWS โดยจะเฝ้าติดตามกิจกรรมต่างๆ ซึ่งสามารถบ่งบอกถึงการบุกรุกบัญชีที่อาจเกิดขึ้นได้อย่างเช่น การเรียก API ที่ผิดปกติหรือการปรับใช้ที่อาจไม่ได้รับอนุญาต GuardDuty ยังตรวจจับอินสแตนซ์ที่อาจถูกบุกรุกหรือการลาดตระเวนที่กระทำโดยผู้บุกรุก
    • Amazon Macie เป็นเครื่องมือ Machine Learning ที่ช่วยในการสำรวจและจัดหมวดหมู่ของข้อมูลส่วนบุคคลที่จัดเก็บใน Amazon S3

    โปรดดูเอกสารรายงานของเรา การปฏิบัติตามข้อกำหนด GDPR บน AWS สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีใช้ทรัพยากรของ AWS ให้เป็นไปตามข้อกำหนด GDPR

  • คู่ค้าของ AWS มีผลิตภัณฑ์และบริการเพื่อช่วยให้ปฏิบัติตามข้อกำหนดของ GDPR หรือไม่

    มี คุณสามารถค้นหา “GDPR” ใน AWS Partner Solutions Finder เพื่อช่วยให้ค้นหาคู่ค้า ISV MSP และ SI ซึ่งมีผลิตภัณฑ์และบริการเพื่อช่วยในการปฏิบัติตามข้อกำหนดของ GDPR ลูกค้ายังสามารถค้นหาโซลูชัน “GDPR” บน AWS Marketplace ได้

  • AWS เสนอบริการระดับมืออาชีพที่ช่วยในการปฏิบัติตามข้อกำหนดของ GDPR หรือไม่

    ใช่ ทีมบริการประกันความปลอดภัยของ AWS ได้จัดกิจกรรมมากมายเพื่อช่วยลูกค้าในเส้นทางการปฏิบัติตามข้อกำหนดของ GDPR ทีมผู้เชี่ยวชาญด้านการปฏิบัติตามข้อกำหนดที่ผ่านการรับรองในอุตสาหกรรมนี้จะช่วยให้ลูกค้าบรรลุหน้าที่ รักษา และตั้งระบบอัตโนมัติสำหรับการปฏิบัติตามข้อกำหนดในระบบคลาวด์ โดยเชื่อมโยงมาตรฐานการปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับคุณสมบัติและฟังก์ชันเฉพาะบริการของ AWS สามารถดูรายละเอียดเพิ่มเติมว่าที่ปรึกษา AWS Professional Services ช่วยลูกค้าอย่างไรบ้างได้ที่นี่

  • AWS Support จะช่วยฉันในเส้นทางการปฏิบัติตามข้อกำหนดของ GDPR ได้อย่างไร

    ลูกค้าสามารถใช้ AWS Support เพื่อรับคำแนะนำทางเทคนิคเพื่อช่วยปูเส้นทางสู่การปฏิบัติตามข้อกำหนดของ GDPR ได้ โดยเรามีทีมวิศวกรสนับสนุนด้านระบบคลาวด์และผู้จัดการบัญชีฝ่ายเทคนิค (TAM) ที่ผ่านการฝึกมาเพื่อช่วยระบุและลดความเสี่ยงด้านปฏิบัติตามข้อกำหนดในฐานะส่วนหนึ่งของกิจกรรมนี้อีกด้วย ระดับการสนับสนุนที่ AWS มีให้จะขึ้นอยู่กับแผน AWS Support ที่ลูกค้าเลือก ลูกค้าที่กำลังต้องการจะเข้าใจว่า AWS Premium Support สามารถช่วยเหลือพวกเขาได้อย่างไร สามารถหาข้อมูลเพิ่มเติมได้ใน AWS Support Center ซึ่งมีให้ใช้งานผ่าน AWS Management Console โดยการใช้รายละเอียดการติดต่อซึ่งระบุไว้ในข้อตกลงการสนับสนุนสำหรับองค์กรที่ป้อนไว้ให้กับ AWS หรือไปที่หน้าเว็บ AWS Support ลูกค้าที่มีการสนับสนุนสำหรับองค์กรโปรดติดต่อ TAM ของตนหากมีคำถามที่เกี่ยวข้องกับ GDPR

    สองโปรแกรมที่อาจมีประโยชน์กับลูกค้าในการดำเนินการตามการปฏิบัติตามข้อกำหนดของ GDPR ได้แก่:

    • การตรวจสอบการปฎิบัติการบนระบบคลาวด์ – พร้อมให้ลูกค้า AWS Enterprise Supportใช้บริการ โปรแกรมนี้ออกแบบมาเพื่อช่วยระบุช่องโหว่ในแนวทางที่ลูกค้าใช้ในการปฎิบัติการบนระบบคลาวด์ โปรแกรมนี้ให้การตรวจสอบปฏิบัติการบนระบบคลาวด์และแนวปฏิบัติด้านการจัดการที่เกี่ยวข้อง โดยเป็นโปรแกรมที่มาจากชุดแนวปฏิบัติที่ดีที่สุดซึ่งกลั่นกรองจากประสบการณ์ของ AWS ที่มีร่วมกับลูกค้าที่เป็นตัวแทนจำนวนมาก ซึ่งสามารถช่วยองค์กรในเส้นทางสายปฎิบัติตามข้อกำหนดของ GDPR ได้ โปรแกรมจะใช้แนวทางสี่เสาหลักซึ่งมุ่งเน้นด้านการเตรียมความพร้อม การเฝ้าติดตาม การปฏิบัติการ และเพิ่มประสิทธิภาพของระบบบนระบบคลาวด์ให้เหมาะสมเพื่อนำไปสู่ความเป็นเลิศด้านการปฏิบัติงาน
    • การตรวจสอบ Well-Architected – โปรแกรมนี้จะทำให้องค์กรสามารถวัดสถาปัตยกรรมของตนกับแนวปฏิบัติที่ดีที่สุดของ AWS และเพื่อสร้างสถาปัตยกรรมที่ปลอดภัย น่าเชื่อถือ ,มีประสิทธิภาพสูง และคุ้มค่า การตรวจสอบ Well-Architected ยังสามารถทำให้ลูกค้าเข้าใจว่าสถาปัตยกรรมของตนมีความเสี่ยงตรงจุดใดบ้างและช่วยจัดการกับความเสี่ยงนั้นก่อนนำแอปพลิเคชันไปสู่ขั้นตอนการผลิต

  • AWS จะช่วยลูกค้าให้บรรลุภาระผูกพันภายใต้ GDPR เกี่ยวกับการแจ้งเตือนการรั่วไหลของข้อมูลส่วนบุคคลได้อย่างไร

    AWS มีกระบวนการตรวจสอบเหตุการณ์ด้านความปลอดภัยและการแจ้งเตือนกรณีข้อมูลรั่วไหลเพียบพร้อมอยู่ และจะแจ้งให้ลูกค้าทราบถึงกรณีการเจาะระบบรักษาความปลอดภัยของ AWS โดยไม่ล่าช้าอย่างไม่เหมาะสมตาม AWS GDPR DPA AWS ยังมอบเครื่องมือมากมายในการทำความเข้าใจว่าใครมีสิทธิ์เข้าถึงแหล่งข้อมูลตน เมื่อใด และจากที่ใดบ้างให้แก่ลูกค้า หนึ่งในเครื่องมือเหล่านั้นคือ AWS CloudTrail ซึ่งทำให้เกิดการกำกับดูแล การปฏิบัติตามข้อกำหนด การตรวจสอบการดำเนินงาน และการตรวจสอบความเสี่ยงของบัญชี AWS ด้วย AWS CloudTrail ลูกค้าจะสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมของบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐาน AWS ได้ ซึ่งนี่จะช่วยให้องค์กรต่างๆ เข้าใจว่ากำลังเกิดอะไรขึ้นกับโครงสร้างพื้นฐาน AWS ของลูกค้าและสามารถลงมือจัดการกับกิจกรรมที่ไม่ปกติได้ทันที สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือด้านความปลอดภัยอื่นๆ ที่ AWS มอบให้แก่ลูกค้าเพื่อช่วยให้บรรลุภาระผูกพันในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ ให้ดูที่หน้าเว็บการรักษาความปลอดภัยของ AWS Cloud  

  • AWS จะช่วยฉันปกป้องข้อมูลของลูกค้าจากการโจมตีทางไซเบอร์ได้อย่างไร

    AWS ยังมอบเครื่องมือมากมายให้แก่ลูกค้าและคู่ค้า APN เพื่อรักษาความปลอดภัยให้กับข้อมูลของลูกค้าและช่วยปกป้องจากการโจมตีทางไซเบอร์ หนึ่งในเครื่องมือดังกล่าวนั้นคือ AWS Shield ซึ่งนี่เป็นบริการป้องกัน Distributed Denial of Service (DDoS) ที่ได้รับการจัดการเพื่อปกป้องเว็บไซต์และแอปพลิเคชันที่ทำงานบน AWS AWS Shield Standard มีให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม และมีการตรวจจับที่ทำงานอยู่ตลอดเวลาและการลดการโจมตีภายในแบบอัตโนมัติที่จะลดเวลาหยุดทำงานและเวลาแฝงของแอปพลิเคชัน เพื่อการป้องกันระดับสูงจากการโจมตีที่มุ่งเป้าไปยังแอปพลิเคชันบนเว็บที่ทำงานบน AWS และใช้ทรัพยากร ELB, Amazon CloudFront, and Amazon Route 53 ลูกค้าและคู่ค้า APN สามารถสมัครใช้งาน AWS Shield Advanced ได้ ทั้งนี้ AWS ยังเผยแพร่และอัปเดตแนวทางปฏิบัติที่ดีที่สุดของ AWS สำหรับความทนทานต่อความเสียหายจาก DDoS เป็นประจำ ซึ่งช่วยลูกค้าสามารถใช้ AWS เพื่อสร้างแอปพลิเคชันที่ยืดหยุ่นต่อการโจมตีของ DDoS ได้

    เครื่องมืออื่นๆ ของ AWS ที่ช่วยปกป้องข้อมูลของลูกค้าจากการโจมตีทางไซเบอร์ประกอบด้วย:

    • AWS Identity and Access Management (IAM) ช่วยให้องค์กรจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS ได้อย่างปลอดภัย เมื่อใช้ IAM ลูกค้าและคู่ค้า APN จะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
    • AWS Config ช่วยลูกค้าและคู่ค้า APN สามารถใช้งานกฎที่จัดเตรียมไว้อยู่แล้วที่ช่วยรับประกันว่าทรัพยากร AWS ของลูกค้าจะอยู่ในสถานะที่มีการกำหนดค่าและปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสม
    • AWS CloudTrail จะทำให้องค์กรสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ใน AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
    • Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่ได้รับการจัดการซึ่งคอยเฝ้าติดตามพฤติกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตอย่างต่อเนื่องเพื่อช่วยปกป้องบัญชี และปริมาณงาน AWS โดยจะเฝ้าติดตามกิจกรรมต่างๆ ซึ่งสามารถบ่งบอกถึงการบุกรุกบัญชีที่อาจเกิดขึ้นได้อย่างเช่น การเรียก API ที่ผิดปกติหรือการปรับใช้ที่อาจไม่ได้รับอนุญาต GuardDuty ยังตรวจจับอินสแตนซ์ที่อาจถูกบุกรุกหรือการลาดตระเวนที่กระทำโดยผู้บุกรุก
  • เครื่องมือชนิดใดที่พร้อมช่วยฉันในการระบุข้อมูลส่วนบุคคลภายในเนื้อหาบน AWS

    Amazon Macie เป็นบริการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลที่ได้รับการจัดการแบบเต็มรูปแบบซึ่งใช้แมชชีนเลิร์นนิ่งและการจับคู่รูปแบบเพื่อค้นหาและปกป้องข้อมูลส่วนบุคคลของคุณใน AWS ในขณะที่องค์กรต่างๆ จัดการกับปริมาณข้อมูลที่เพิ่มขึ้นเรื่อยๆ การระบุและปกป้องข้อมูลส่วนบุคคลในทุกระดับอาจมีความซับซ้อน มีราคาแพง และกินเวลามากขึ้น Amazon Macie จะทำให้การค้นหาข้อมูลส่วนบุคคลเป็นระบบอัตโนมัติในทุกระดับและลดค่าใช้จ่ายในการปกป้องข้อมูลของคุณ Macie จะมอบคลังบัคเก็ต Amazon S3 ให้โดยอัตโนมัติซึ่งรวมถึงรายการบัคเก็ตที่ไม่ได้เข้ารหัส บัคเก็ตที่ทุกคนสามารถเข้าถึงได้ และบัคเก็ตที่แชร์กับบัญชี AWS นอกเหนือจากที่คุณกำหนดไว้ใน AWS Organizations จากนั้น Macie จะใช้แมชชีนเลิร์นนิ่งและเทคนิคการจับคู่รูปแบบกับบัคเก็ตที่คุณเลือกเพื่อระบุและเตือนให้คุณทราบถึงข้อมูลส่วนบุคคล

    Amazon Macie ได้รับการรับรองตามมาตรฐานที่เป็นที่ยอมรับในระดับสากล เช่น ISO 27017 สำหรับความปลอดภัยของระบบคลาวด์, ISO 27018 สำหรับความเป็นส่วนตัวของระบบคลาวด์ และลูกค้าและคู่ค้า APN ยังสามารถใช้ Macie เพื่อเฝ้าติดตามการเข้าถึงข้อมูลได้อย่างต่อเนื่องเพื่อตรวจจับกิจกรรมที่น่าสงสัยโดยอิงตามรูปแบบการเข้าถึง

  • ฉันจะควบคุมการเข้าถึงข้อมูลส่วนบุคคลภายในเนื้อหาของฉันบน AWS ได้อย่างไร

    เพื่อช่วยเหลือลูกค้าในการปฏิบัติตามข้อกำหนดของ GDPR AWS จึงมีเครื่องมือมากมายสำหรับควบคุมการเข้าถึงข้อมูลส่วนบุคคลที่มีในเนื้อหาของลูกค้าบน AWS เครื่องมือเหล่านี้ประกอบด้วย:

    • ความปลอดภัยตั้งแต่เริ่มต้นหมายความว่าบริการของ AWS ถูกออกแบบมาให้ปลอดภัยตั้งแต่เริ่มต้น หากมีการใช้งานการกำหนดค่าเริ่มต้น การเข้าถึงทรัพยากรจะถูกล็อกให้เฉพาะเจ้าของบัญชีและผู้ดูแลระบบระดับรากเท่านั้นที่สามารถเข้าถึงได้
    • AWS Identity and Access Management (IAM) ช่วยให้ลูกค้าจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS อย่างปลอดภัย เมื่อใช้ IAM องค์กรจะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
    • AWS Multi-Factor Authentication เพิ่มชั้นป้องกันพิเศษสำหรับชื่อผู้ใช้และรหัสผ่านของบัญชี AWS AWS มอบตัวเลือกของอุปกรณ์ MFA แบบเสมือนจริงและแบบฮาร์ดแวร์ให้แก่ลูกค้า
    • AWS Directory Service จะช่วยให้ลูกค้าผสานและรวมเข้ากับไดเรกทอรีขององค์กรเพื่อลดค่าใช้จ่ายด้านการจัดการและปรับปรุงประสบการณ์ของผู้ใช้ปลายทาง
    • AWS Config ช่วยลูกค้าสามารถใช้งานกฎที่จัดเตรียมไว้อยู่แล้วที่ช่วยรับประกันว่าทรัพยากร AWS ของลูกค้าจะอยู่ในสถานะที่มีการกำหนดค่าและปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสม
    • AWS CloudTrail จะทำให้ลูกค้าสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐานของ AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
    • Amazon Macie ใช้ Machine Learning เพื่อช่วยลูกค้าป้องกันการสูญหายของข้อมูลด้วยการค้นหา จัดหมวดหมู่ และปกป้องข้อมูลที่อ่อนไหวใน AWS โดยอัตโนมัติ บริการที่ได้รับการจัดการอย่างเต็มรูปแบบนี้จะเฝ้าติดตามกิจกรรมการเข้าถึงข้อมูลอย่างต่อเนื่องเพื่อตรวจหาความผิดปกติและส่งคำเตือนโดยละเอียดเมื่อตรวจพบความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ – เช่น ข้อมูลที่อ่อนไหวที่ลูกค้าเผลอให้เกิดการเข้าถึงจากภายนอกโดยไม่ได้ตั้งใจ
       
  • ฉันจะเข้ารหัสข้อมูลของลูกค้าใน AWS เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างไร

    AWS มอบความสามารถในการเพิ่มความปลอดภัยอีกชั้นให้กับข้อมูลของลูกค้าที่จัดเก็บในระบบคลาวด์ให้แก่ลูกค้าและช่วยให้ลูกค้าสามารถดำเนินการรักษาความปลอดภัยตามภาระผูกพันด้านการประมวลผลในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ เครื่องมือการเข้ารหัสที่พร้อมให้ใช้งานบน AWS ประกอบด้วย:

    • ความสามารถในการเข้ารหัสมีให้ใช้งานในบริการพื้นที่จัดเก็บและบริการฐานข้อมูลของ AWS เช่น Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS และ Redshift
    • ตัวเลือกการจัดการคีย์ที่มีความยืดหยุ่น รวมทั้ง AWS Key Management Service จะช่วยให้คุณเลือกได้ว่าจะให้ AWS จัดการคีย์การเข้ารหัสหรือให้ลูกค้าเข้าควบคุมคีย์ได้เองอย่างสมบูรณ์
    • คิวข้อความที่ถูกเข้ารหัสสำหรับการส่งผ่านข้อมูลอ่อนไหวโดยใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ (SSE) สำหรับ Amazon SQS
    • พื้นที่จัดเก็บคีย์การเข้ารหัสลับด้วยฮาร์ดแวร์เฉพาะโดยใช้ AWS CloudHSM ทำให้ลูกค้าสามารถปฏิบัติตามข้อกำหนดได้
     
    นอกจากนี้ AWS ยังมี API ต่างๆ ให้ลูกค้าและคู่ค้าของ APN สามารถผนวกรวมการเข้ารหัสและการป้องกันข้อมูลกับบริการใดๆ ที่ลูกค้าพัฒนาหรือปรับใช้ในสภาพแวดล้อม AWS ได้
  • AWS ได้เสนอบริการใดแก่ลูกค้าเพื่อช่วยให้พวกเขาดำเนินการสอดคล้องกับ GDPR

    AWS ได้มอบคุณสมบัติและบริการเฉพาะซึ่งช่วยลูกค้าให้บรรลุข้อกำหนดของ GDPR ดังนี้

    การควบคุมการเข้าถึง: อนุญาตเฉพาะผู้ดูแลระบบ ผู้ใช้ และแอปพลิเคชันที่ได้รับอนุญาตให้เข้าถึงทรัพยากร AWS

    • Multi-Factor Authentication (MFA)
    • การเข้าถึงวัตถุแบบละเอียดพิเศษใน Amazon S3-Buckets/ Amazon SQS/ Amazon SNS และอื่นๆ
    • การตรวจสอบสิทธิ์คำขอ API
    • ข้อจำกัดทางภูมิศาสตร์
    • โทเค็นการเข้าถึงแบบชั่วคราวผ่าน AWS Security Token Service

    การเฝ้าติดตามและการบันทึก: รับภาพรวมเกี่ยวกับกิจกรรมบนทรัพยากร AWS ของคุณ

    • การบริหารจัดการสินทรัพย์และการกำหนดค่าด้วย AWS Config
    • การวิเคราะห์ความปลอดภัยและการตรวจสอบการปฏิบัติตามข้อกำหนดด้วย AWS CloudTrail
    • การระบุความท้าทายด้านการกำหนดค่าผ่าน AWS Trusted Advisor
    • การบันทึกแบบละเอียดพิเศษของการเข้าถึงอ็อบเจ็กต์ Amazon S3
    • ข้อมูลอย่างละเอียดเกี่ยวกับการไหลในเครือข่ายผ่าน Amazon VPC Flow Logs
    • การตรวจสอบและการดำเนินการการกำหนดค่าซึ่งอิงตามกฎด้วย AWS Config Rules
    • คัดกรองและเฝ้าติดตามการเข้าถึงของ HTTP สู่แอปพลิเคชันด้วยฟังก์ชัน AWS WAF ใน AWS CloudFront

    การเข้ารหัส: การเข้ารหัสข้อมูลบน AWS

    • การเข้ารหัสข้อมูลที่จัดเก็บของคุณด้วย AES256 (EBS/S3/Glacier/RDS)
    • Key Management ซึ่งถูกจัดการแบบรวมศูนย์ (โดย ภูมิภาค AWS)
    • IPsec เจาะเข้าสู่ AWS ด้วยเกตเวย์ VPN
    • โมดูล Dedicated HSM ในระบบคลาวด์พร้อมด้วย AWS CloudHSM

    เฟรมเวิร์กการปฏิบัติตามข้อกำหนดและมาตรฐานการรักษาความปลอดภัยที่แข็งแกร่ง: เราแสดงให้เห็๖ถึงการปฏิบัติตามมาตรฐานนานาชาติที่รัดกุม เช่น:

ติดต่อ


  • ฉันควรติดต่อใครหากมีคำถามเกี่ยวกับ GDPR และ AWS

    เราขอแนะนำให้ลูกค้าที่มีคำถามเกี่ยวกับ GDPR ให้ติดต่อผู้จัดการบัญชี AWS ของตนก่อนเป็นอันดับแรก หากลูกค้าได้สมัครใช้งาน Enterprise Support แล้ว ลูกค้าจะสามารถติดต่อผู้จัดการบัญชีฝ่ายเทคนิค (TAM) ได้ด้วยเช่นกัน TAM ทำงานกับสถาปนิกโซลูชันเพื่อช่วยลูกค้าในการระบุความเสี่ยงที่อาจเกิดขึ้นได้และการลดความเสี่ยงที่อาจเป็นไปได้ TAM และทีมบัญชียังสามารถระบุให้ลูกค้าและคู่ค้า APN เห็นถึงทรัพยากรที่เฉพาะเจาะจงโดยอิงจากสภาพแวดล้อมและความต้องการของพวกเขาได้
     

    AWS ยังมีทีมตัวแทนสนับสนุนองค์กร ผู้ให้คำปรึกษาด้านบริการมืออาชีพ และทีมงานอื่นๆ ที่คอยช่วยเหลือด้านคำถามที่เกี่ยวข้องกับ GDPR อีกด้วย คุณสามารถติดต่อเราพร้อมกับคำถามได้ที่นี่

compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »