ศูนย์ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR)


ภาพรวม

ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) แห่งสหภาพยุโรปทำหน้าที่ปกป้องสิทธิพื้นฐานในด้านความเป็นส่วนตัวและการปกป้องข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในสหภาพยุโรป นี่ยังเป็นการแนะนำข้อกำหนดสำคัญที่จะช่วยยกระดับและสร้างประสานรวมมาตรฐานต่างๆ เพื่อการปกป้องข้อมูล ความปลอดภัย และการปฏิบัติตามข้อกำหนด

บริการ AWS GDPR ทั้งหมดพร้อมให้บริการแล้ว – อ่านเพิ่มเติม

นอกจากนี้ในด้านการปฏิบัติตามข้อกำหนดของเรา AWS มุ่งมั่นที่จะให้บริการและมอบทรัพยากรแก่ลูกค้าของเราเพื่อช่วยให้ลูกค้าปฏิบัติตามข้อกำหนด GDPR ซึ่งอาจมีผลบังคับใช้กับกิจการของพวกเขาได้ คุณสมบัติใหม่จะมีการเปิดตัวเป็นประจำ และ AWS ก็มีคุณลักษณะและบริการมากกว่า 500 รายการที่มุ่งเน้นเรื่องความปลอดภัยและการปฏิบัติตามข้อกำหนด

การนำ GDPR ไปใช้ในสภาพแวดล้อม AWS ของคุณ

AWS มอบคุณสมบัติและบริการเฉพาะที่ลูกค้าสามารถนำไปใช้ประโยชน์พร้อมกับที่พยายามจะปฏิบัติตาม GDPR ไปด้วยได้

การเข้ารหัสข้อมูลบน AWS

  • การเข้ารหัสข้อมูลที่จัดเก็บของคุณด้วย AES256 (EBS/S3/Glacier/RDS)
  • Key Management ซึ่งถูกจัดการแบบรวมศูนย์ (โดย ภูมิภาค AWS)
  • IPsec เจาะเข้าสู่ AWS ด้วยเกตเวย์ VPN
  • โมดูล Dedicated HSM ในระบบคลาวด์พร้อมด้วย AWS CloudHSM

รับภาพรวมเกี่ยวกับกิจกรรมบนทรัพยากร AWS ของคุณ:

  • การบริหารจัดการสินทรัพย์และการกำหนดค่าด้วย AWS Config
  • การวิเคราะห์ความปลอดภัยและการตรวจสอบด้วย AWS CloudTrail
  • ข้อมูลอย่างละเอียดเกี่ยวกับการไหลในเครือข่ายผ่าน Amazon VPC-FlowLogs
  • ดำเนินการและตรวจสอบการกำหนดค่าซึ่งอิงตามกฎด้วย AWS Config Rules
  • คัดกรองและเฝ้าติดตามการเข้าถึงของ HTTP สู่แอปพลิเคชันด้วยฟังก์ชัน AWS WAF ใน AWS CloudFront

อนุญาตเฉพาะผู้ดูแลระบบ ผู้ใช้ และแอปพลิเคชันที่ได้รับอนุญาตเท่านั้น:

  • Multi-Factor Authentication (MFA)
  • การเข้าถึงวัตถุแบบละเอียดพิเศษใน Amazon S3, Amazon SQS และ Amazon SNS
  • การตรวจสอบสิทธิ์คำขอ API
  • ข้อจำกัดทางภูมิศาสตร์
  • โทเค็นการเข้าถึงแบบชั่วคราวผ่าน AWS Security Token Service

ลูกค้าควบคุมเนื้อหาของตนเอง ด้วย AWS ลูกค้าจะสามารถ:

  • กำหนดได้ว่าจะเก็บเนื้อหาของลูกค้าเองไว้ที่ใด รวมทั้งประเภทของพื้นที่จัดเก็บและสภาพทางภูมิศาสตร์ของภูมิภาคของพื้นที่จัดเก็บนั้น
  • เลือกสถานะที่ปลอดภัยของเนื้อหาของตนเอง เรามีการเข้ารหัสที่มีประสิทธิภาพสูงสำหรับเนื้อหาของลูกค้าในระหว่างส่งและจัดเก็บ และเราให้ตัวเลือกกับลูกค้าในการจัดการคีย์การเข้ารหัสด้วย
  • จัดการการเข้าถึงเนื้อหาของลูกค้าเองและการเข้าถึงบริการและทรัพยากรของ AWS ผ่านผู้ใช้ กลุ่ม สิทธิ์ และข้อมูลประจำตัวที่ลูกค้าควบคุม

แนวทาง SbD เป็นวิธีที่ใช้เพื่อบรรลุในสิ่งต่อไปนี้:

  • การสร้างฟังก์ชันแบบบังคับซึ่งผู้ใช้ซึ่งไม่ได้รับอนุญาตให้แก้ไขฟังก์ชันเหล่านี้ไม่สามารถลบล้างได้
  • การสร้างการดำเนินงานการควบคุมที่เชื่อถือได้
  • เปิดใช้งานการตรวจสอบแบบเรียลไทม์อย่างต่อเนื่อง
  • การเขียนสคริปต์เชิงเทคนิคสำหรับนโยบายด้านการกำกับดูแลของคุณ

ฟังก์ชันชั้นนำแห่งอุตสาหกรรมของเรามอบรากฐานที่ทำให้เราได้รับใบรับรองและการรับรองในระดับนานาชาติมากมายหลายรายการ ซึ่งแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดของมาตรฐานระดับนานาชาติที่เข้มงวด เช่น ISO 27001 สำหรับมาตรการทางเทคนิค ISO 27017 สำหรับความปลอดภัยในระบบคลาวด์ ISO 27018 สำหรับความเป็นส่วนตัวในระบบคลาวด์ SOC 1, SOC 2 และ SOC 3, PCI DSS ระดับ 1, และการรับรองเฉพาะยุโรปเช่น Common Cloud Computing Controls Catalogue (C5) ของ BSI และ ENS High AWS ยังได้ประกาศการปฏิบัติตามข้อกำหนดร่วมกับ หลักจรรยาบรรณของ CISPE มาเมื่อไม่นานนี้อีกด้วย

การใช้ประโยชน์จากบริการ AWS

Amazon Macie

ช่วยปกป้องข้อมูลที่สามารถระบุตัวบุคคลได้ (PII) ในเชิงรุกและทราบทันทีเมื่อข้อมูลมีการเคลื่อนไหว

เรียนรู้เพิ่มเติมเกี่ยวกับ AMAZON MACIE »

AWS Identity and Access Management (IAM)

สร้างและจัดการผู้ใช้และกลุ่ม AWS และใช้สิทธิ์เพื่ออนุญาตหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้

เรียนรู้เพิ่มเติมเกี่ยวกับ AWS IAM »

AWS Config

ลดความซับซ้อนของการตรวจสอบการปฏิบัติตามข้อกำหนด การวิเคราะห์ด้านความปลอดภัย การจัดการการเปลี่ยนแปลง และการแก้ปัญหาด้านการดำเนินงาน  

เรียนรู้เพิ่มเติมเกี่ยวกับ AWS CONFIG »

Amazon Inspector

กำหนดมาตรฐานและแนวปฏิบัติที่ดีที่สุดให้แอปพลิเคชันได้ รวมถึงยืนยันได้ว่าแอปพลิเคชันเป็นไปตามมาตรฐานเหล่านี้

เรียนรู้เพิ่มเติมเกี่ยวกับ AMAZON INSPECTOR »

Amazon GuardDuty

การตรวจจับภัยคุกคามอัจฉริยะและการตรวจสอบอย่างต่อเนื่องเพื่อปกป้องบัญชี AWS และปริมาณงานของคุณ

เรียนรู้เพิ่มเติมเกี่ยวกับ AMAZON GUARDDUTY »

AWS Key Management Service (KMS)

สร้างและควบคุมคีย์ที่ใช้เพื่อเข้ารหัสข้อมูลได้อย่างง่ายดาย

เรียนรู้เพิ่มเติมเกี่ยวกับ AWS KMS »

คำถามที่พบบ่อยเกี่ยวกับ GDPR

  • GDPR คืออะไร

    ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) คือกฎหมายด้านความเป็นส่วนตัวฉบับใหม่แห่งชาติยุโรปซึ่งมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018 GDPR เข้ามาแทนที่ EU Data Protection Directive หรือเรียกอีกอย่างว่า Directive 95/46/EC โดยมีจุดมุ่งหมายเพื่อประสานกฎหมายคุ้มครองข้อมูลทั่วทั้งสหภาพยุโรป (EU) ให้กลายเป็นหนึ่งเดียวโดยการใช้กฎหมายคุ้มครองข้อมูลซึ่งผูกพันทั่วแต่ละประเทศสมาชิก

  • GDPR จะมีผลกับใครบ้าง

    GDPR มีผลกับองค์กรทุกรูปแบบที่จัดตั้งขึ้นในสหภาพยุโรปและองค์กรอื่นๆ ที่ไม่ว่าจะจัดตั้งขึ้นในสหภาพยุโรปหรือไม่ก็ตาม ซึ่งมีการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่สหภาพยุโรปซึ่งเกี่ยวข้องกับการเสนอสินค้าหรือไม่ก็บริการไปยังเจ้าของข้อมูลที่อยู่ในสหภาพยุโรป หรือเกี่ยวกับการเฝ้าติดตามพฤติกรรมซึ่งเกิดขึ้นในสหภาพยุโรป ข้อมูลส่วนบุคคลคือข้อมูลใดๆ ก็ตามที่เกี่ยวข้องกับบุคคลที่ได้รับการระบุตัวตนหรือบุคคลธรรมดาที่สามารถระบุตัวตนได้

  • AWS ได้รับการรับรองภายใต้ EU-US Privacy Shield หรือไม่

    ใช่ Amazon.com, Inc. ได้รับการรับรองภายใต้ EU-US Privacy Shield และ AWS ก็อยู่ภายใต้การรับรองนี้ ซึ่งช่วยให้ลูกค้าที่เลือกถ่ายโอนข้อมูลส่วนบุคคลไปยังสหรัฐอเมริกาสามารถปฏิบัติตามภาระผูกพันในการปกป้องข้อมูลของตนเองได้ การรับรองของ Amazon.com Inc สามารถดูได้ในเว็บไซต์ EU-US Privacy Shield ที่นี่: https://www.privacyshield.gov/list

    หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับหัวข้อนี้ในบริบทของ AWS โปรดไปที่หน้า EU-US Privacy Shield ของเรา 

  • AWS ได้ทำสิ่งใดเพื่อเตรียมตัวสำหรับ GDPR

    ผู้เชี่ยวชาญด้านความปลอดภัย การปกป้องข้อมูล และการปฏิบัติตามข้อกำหนดของ AWS ได้ทำงานร่วมกับลูกค้าทั่วโลกเพื่อตอบปัญหาและช่วยเหลือในการเตรียมตัวเพื่อเรียกใช้ปริมาณงานใน AWS Cloud หลังจากที่ GDPR มีผลบังคับใช้ ทีมเหล่านี้ยังได้ทำการตรวจสอบความพร้อมของบริการ AWS เพื่อให้บรรลุข้อกำหนดของ GDPR และได้ยืนยันแล้วว่า บริการ AWS ทั้งหมดพร้อมสำหรับ GDPR แล้ว

    นอกจากนี้ เรายังเสนอข้อตกลงการประมวลผลข้อมูลซึ่งเป็นไปตามข้อกำหนดของ GDPR (GDPR DPA) ให้แก่ลูกค้าอีกด้วย GDPR DPA รวมอยู่ในข้อกำหนดการให้บริการของ AWS และนำไปใช้โดยอัตโนมัติกับลูกค้าที่ต้องการปฏิบัติตาม GDPR

    AWS ยังได้ประกาศการปฏิบัติตามข้อกำหนดร่วมกับ หลักจรรยาบรรณของ CISPE เมื่อไม่นานนี้อีกด้วย หลักจรรยาบรรณของ CISPE ช่วยให้ลูกค้าระบบคลาวด์สามารถประเมินว่าผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ได้ปฏิบัติตามภาระผูกพันในการปกป้องข้อมูลภายใต้ GDPR อย่างไรบ้าง AWS ได้ประกาศแล้วว่า Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail และ Amazon Elastic Block Storage (Amazon EBS) ได้เป็นไปตามข้อกำหนดของหลักจรรยาบรรณของ CISPE อย่างเต็มรูปแบบแล้ว ซึ่งนี่จะให้ความมั่นใจแก่ลูกค้าเพิ่มขึ้นในด้านความสามารถในการควบคุมข้อมูลของลูกค้าอย่างเต็มรูปแบบในสภาพแวดล้อมที่ปลอดภัยและเป็นไปตามข้อกำหนดเมื่อลูกค้าใช้งาน AWS ข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดของหลักจรรยาบรรณของ CISPE ของ AWS สามารถดูได้ที่เว็บไซต์: https://cispe.cloud/

    AWS ยังคงรักษามาตรฐานความปลอดภัยและการปฏิบัติตามข้อกำหนดในทุกการปฏิบัติการทั่วโลกให้อยู่ในระดับสูงได้อย่างต่อเนื่อง ความปลอดภัยคือเป็นสิ่งที่เราให้ความสำคัญสูงสุดเสมอ นับเป็น "งานลำดับที่ศูนย์" อย่างแท้จริง การรักษาความปลอดภัยที่เป็นชั้นนำในอุตสาหกรรมของเรามอบรากฐานที่ทำให้เราได้รับใบรับรองและการรับรองในระดับนานาชาติมากมายหลายรายการ ซึ่งแสดงให้เห็นถึงการปฏิบัติตามข้อกำหนดของมาตรฐานระดับนานาชาติที่เข้มงวด เช่น ISO 27017 สำหรับความปลอดภัยระบบคลาวด์, ISO 27018 สำหรับความเป็นส่วนตัวในระบบคลาวด์, SOC 1, SOC 2 และ SOC 3, PCI DSS ระดับ 1 และอื่นๆ AWS ยังช่วยลูกค้าให้บรรลุมาตรฐานความปลอดภัยในท้องถิ่นอีกด้วย เช่น Common Cloud Computing Controls Catalogue (C5) ของ BSI ซึ่งได้รับการรับรองจากรัฐบาลเยอรมนี

  • AWS ได้ปฏิบัติตามหลักจรรยาบรรณ ดังที่สะท้อนอยู่ในข้อกำหนดของ GDPR หรือไม่

    AWS ยังได้ประกาศการปฏิบัติตามข้อกำหนดร่วมกับ หลักจรรยาบรรณสำหรับการปกป้องข้อมูลของ CISPE อีกด้วย CISPE คือความร่วมมือกันของผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ (ซึ่งเรียกกันว่าโครงสร้างพื้นฐานเป็นบริการ) ซึ่งให้บริการระบบคลาวด์แก่ลูกค้าในยุโรป หลักจรรยาบรรณของ CISPE ช่วยให้ลูกค้ามั่นใจว่าผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์จะใช้มาตรฐานการปกป้องข้อมูลที่เหมาะสมในการปกป้องข้อมูลของพวกเขาอย่างสอดคล้องกับ GDPR ประโยชน์ที่สำคัญบางอย่างของหลักจรรยาบรรณประกอบด้วย:

    • อธิบายว่าใครมีหน้าที่รับผิดชอบในด้านการปกป้องข้อมูล: หลักจรรยาบรรณจะอธิบายหน้าที่ของทั้งผู้ให้บริการและลูกค้าภายใต้ GDPR โดยเฉพาะในบริบทของบริการโครงสร้างพื้นฐานระบบคลาวด์
    • หลักจรรยาบรรณได้กำหนดหลักการที่ผู้ให้บริการควรยึดถือ: หลักจรรยาบรรณจะสรุปการกระทำและภาระผูกพันที่ผู้ให้บริการควรปฏิบัติเพื่อให้สอดคล้องกับ GDPR และช่วยให้ลูกค้าปฏิบัติตนได้สอดคล้องด้วยเช่นกัน
    • หลักจรรยาบรรณจะให้ข้อมูลเกี่ยวข้องกับการปกป้องข้อมูลและความปลอดภัยของข้อมูลแก่ลูกค้า ว่าลูกค้าจำเป็นต้องตัดสินใจเกี่ยวกับการปฏิบัติตามข้อกำหนด: หลักจรรยาบรรณกำหนดให้ผู้ให้บริการมีความโปร่งใสเกี่ยวกับขั้นตอนที่ใช้ในการส่งมอบบริการตามภาระผูกพันด้านความปลอดภัยของผู้ให้บริการเหล่านั้น ขั้นตอนเหล่านี้เกี่ยวข้องกับการแจ้งเตือนซึ่งสัมพันธ์กับการละเมิดข้อมูล การลบข้อมูล การประมวลผลแบบย่อยโดยบริษัทอื่น รวมทั้งคำขอของหน่วยงานบังคับใช้กฎหมายและของรัฐบาล ลูกค้าสามารถใช้ข้อมูลนี้เพื่อให้เกิดความเข้าใจเต็มรูปแบบด้านความปลอดภัยระดับสูงที่มอบให้

    เพื่อการพิจารณาว่า AWS ปฏิบัติต่อคำร้องของหน่วยงานบังคับใช้กฎหมายอย่างไร โปรดดู "การจัดการกับที่อยู่ข้อมูลด้วย AWS"

  • GDPR นำการเปลี่ยนแปลงใดมาสู่องค์กรซึ่งดำเนินการอยู่ในสหภาพยุโรปบ้าง

    ประเด็นสำคัญของ GDPR คือการสร้างความสอดคล้องให้แก่ประเทศสมาชิกสหภาพยุโรปแต่ละประเทศเกี่ยวกับวิธีการนำข้อมูลส่วนบุคคลไปประมวลผล ใช้งาน และแลกเปลี่ยนอย่างปลอดภัย องค์กรจำเป็นต้องแสดงให้เห็นถึงความปลอดภัยของข้อมูลที่ตนเองประมวลผลและการปฏิบัติตามข้อกำหนดของ GDPR อย่างต่อเนื่อง โดยการปรับใช้และตรวจสอบมาตรการทางเทคนิคที่มีประสิทธิภาพและมาตรฐานขององค์กรอย่างเป็นประจำสม่ำเสมอ เช่นเดียวกับนโยบายการปฏิบัติตามข้อกำหนดด้วย

  • AWS ได้เสนอบริการใดแก่ลูกค้าเพื่อช่วยให้พวกเขาดำเนินการสอดคล้องกับ GDPR

    AWS ได้มอบคุณสมบัติและบริการเฉพาะซึ่งช่วยลูกค้าให้บรรลุข้อกำหนดของ GDPR เป็นที่เรียบร้อยแล้วดังนี้:

    การควบคุมการเข้าถึง: อนุญาตเฉพาะผู้ดูแลระบบ ผู้ใช้ และแอปพลิเคชันที่ได้รับอนุญาตให้เข้าถึงทรัพยากร AWS

    • Multi-Factor Authentication (MFA)
    • การเข้าถึงวัตถุแบบละเอียดพิเศษใน Amazon S3-Buckets/ Amazon SQS/ Amazon SNS และอื่นๆ
    • การตรวจสอบสิทธิ์คำขอ API
    • ข้อจำกัดทางภูมิศาสตร์
    • โทเค็นการเข้าถึงแบบชั่วคราวผ่าน AWS Security Token Service

    การเฝ้าติดตามและการบันทึก: รับภาพรวมเกี่ยวกับกิจกรรมบนทรัพยากร AWS ของคุณ

    • การบริหารจัดการสินทรัพย์และการกำหนดค่าด้วย AWS Config
    • การวิเคราะห์ความปลอดภัยและการตรวจสอบการปฏิบัติตามข้อกำหนดด้วย AWS CloudTrail
    • การระบุความท้าทายด้านการกำหนดค่าผ่าน AWS Trusted Advisor
    • การบันทึกแบบละเอียดพิเศษของการเข้าถึงวัตถุ Amazon S3
    • ข้อมูลอย่างละเอียดเกี่ยวกับการไหลในเครือข่ายผ่าน Amazon VPC-FlowLogs
    • การตรวจสอบและการดำเนินการการกำหนดค่าซึ่งอิงตามกฎด้วย AWS Config Rules
    • คัดกรองและตรวจสอบการเข้าถึงของ HTTP สู่แอปพลิเคชันด้วยฟังก์ชัน WAF ใน AWS CloudFront

    การเข้ารหัส: การเข้ารหัสข้อมูลบน AWS

    • การเข้ารหัสข้อมูลที่จัดเก็บของคุณด้วย AES256 (EBS/S3/Glacier/RDS)
    • Key Management ซึ่งถูกจัดการแบบรวมศูนย์ (โดย ภูมิภาค AWS)
    • IPsec เจาะเข้าสู่ AWS ด้วยเกตเวย์ VPN
    • โมดูล Dedicated HSM ในระบบคลาวด์พร้อมด้วย AWS CloudHSM

    เฟรมเวิร์กการปฏิบัติตามข้อกำหนดและมาตรฐานด้านความปลอดภัยที่ทรงประสิทธิภาพ:

    • ได้รับการรับรอง ISO 27001/9001
    • ได้รับการรับรอง ISO 27017/27018
    • Cloud Computing Compliance Controls Catalog (C5 – แผนการการรับประกันที่ได้รับการสนับสนุนจากรัฐบาลเยอรมนี)
    • AWS ร่วมกับผู้ตรวจสอบ TÜV TRUST IT ได้เผยแพร่ คู่มือการรับรองตามกฎระเบียบของลูกค้า ซึ่งมอบคำแนะนำในการบรรลุการปฏิบัติตามข้อกำหนด BSI IT Grundschutz ของเยอรมนี
  • ลูกค้าสามารถทำสิ่งใดได้บ้างในการเตรียมพร้อมสำหรับ GDPR

    นี่คือประเด็นสำคัญซึ่งอาจมีประโยชน์เมื่อพิจารณาการปฎิบัติตามข้อกำหนดของ GDPR:

    • การเข้าถึงดินแดน: เป็นการพิจารณาว่าการปรับใช้ GDPR กับกิจกรรมขององค์กรนั้นเป็นสิ่งสำคัญต่อการรับประกันความสามารถขององค์กรในการบรรลุภาระผูกพันด้านการปฏิบัติตามข้อกำหนดหรือไม่ GDPR นำไปใช้กับทุกองค์กรที่จัดตั้งขึ้นในสหภาพยุโรป อย่างไรก็ตาม อาจมีการใช้ GDPR กับคุณอยู่ถึงแม้ว่าองค์กรของคุณจะจัดตั้งอยู่นอกสหภาพยุโรป ขึ้นอยู่กับกิจกรรมที่คุณทำ
       
    • สิทธิ์ของเจ้าของข้อมูล: GDPR ส่งเสริมสิทธิ์ของเจ้าของข้อมูลในหลายทางด้วยกัน ตัวอย่างเช่น เจ้าของข้อมูลมีสิทธิ์ในการปฏิเสธการประมวลผลข้อมูลของตนเองและมีสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคลของตนเองได้ องค์กรซึ่งอยู่ภายใต้ GDPR จะต้องตรวจสอบให้แน่ใจว่าสามารถเอื้อสิทธิ์ต่างๆ ให้แก่เจ้าของข้อมูล หากทำการประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลเหล่านั้น
       
    • การแจ้งเตือนการรั่วไหลของข้อมูล: หากคุณเป็นผู้ควบคุมข้อมูล คุณจำเป็นต้องรายงานการรั่วไหลของข้อมูลให้แก่หน่วยงานกำกับดูแลที่เหมาะสมโดยปราศจากความล่าช้าที่เกินสมควร เมื่อเป็นไปได้ โดยไม่ช้ากว่า 72 ชั่วโมงหลังทราบถึงการรั่วไหล การใช้ AWS ช่วยให้คุณควบคุมวิธีการประมวลและการป้องกันข้อมูลส่วนบุคคล ซึ่งนี่ยังมอบความสามารถในการตรวจสอบสภาพแวดล้อมของคุณสำหรับการรั่วไหลและเพื่อแจ้งเตือนหน่วยงานกำกับดูแลและบุคคลที่ได้รับกระทบตามที่กำหนดภายใต้ข้อกำหนดของ GDPR นอกจากนี้ AWS ในฐานะผู้ประมวลผลข้อมูลจะแจ้งเตือนคุณโดยปราศจากความล่าช้าที่เกินควรหากเราทราบถึง (i) การฝ่าฝืนมาตรฐานการรักษาความปลอดภัยที่เกี่ยวข้องกับการนำไปสู่การทำลาย การสูญเสีย การเปลี่ยนแปลงโดยไม่ตั้งใจหรือผิดกฎหมาย การเปิดเผยหรือการเข้าถึงข้อมูลส่วนบุคคลใดๆ ที่อัปโหลดไปยังบริการของ AWS ในบัญชีของคุณโดยไม่ได้รับอนุญาตหรือ (ii) การเข้าถึงอุปกรณ์หรือสิ่งอำนวยความสะดวกใดๆ ก็ตามของ AWS โดยไม่ได้รับอนุญาต ซึ่งส่งผลให้เกิดการทำลาย การสูญเสีย การเปิดเผยข้อมูล หรือการเปลี่ยนแปลงของข้อมูลส่วนบุคคลที่อัปโหลดไปยังบริการของ AWS ในบัญชีของคุณโดยไม่ได้รับอนุญาตทั้งสองกรณี
       
    • เจ้าหน้าที่ฝ่ายปกป้องข้อมูล (DPO): คุณอาจต้องนัดหมาย DPO เพื่อจัดการเรื่องปัญหาความปลอดภัยของข้อมูลและปัญหาอื่นๆ ที่เกี่ยวข้องกับการประมวลผลข้อมูลส่วนบุคคล
       
    • การประเมินผลกระทบของการปกป้องข้อมูล (DPIA): คุณอาจต้องดำเนินการ DPIA สำหรับกิจกรรมการประมวลผลของคุณ โดยที่ในบางสถานการณ์คุณอาจจำเป็นต้องยื่นเอกสารให้แก่หน่วยงานที่กำกับดูแลด้วย โดยจำเป็นต้องระบุขั้นตอนและกระบวนการจัดการข้อมูลของคุณ เช่นเดียวกับการควบคุมในตัวเพื่อปกป้องข้อมูลส่วนบุคคล
       
    • ข้อตกลงการประมวลผลข้อมูล (DPA): คุณอาจต้องการ DPA ที่จะเป็นไปตามข้อกำหนดของ GDPR โดยเฉพาะอย่างยิ่งหากมีการถ่ายโอนข้อมูลส่วนบุคคลไปภายนอกเขตเศรษฐกิจยุโรป AWS ได้เสนอ DPA ตาม GDPR ให้แก่ลูกค้าซึ่งรวมอยู่ในข้อกำหนดการให้บริการของ AWS และนำไปใช้โดยอัตโนมัติกับลูกค้าที่ต้องการให้การคุ้มครองข้อมูลเป็นไปตาม GDPR AWS เสนอการบริการที่หลากหลายและคุณสมบัติของบริการเฉพาะซึ่งช่วยลูกค้าให้บรรลุข้อกำหนดของ GDPR ซึ่งประกอบด้วยบริการสำหรับการควบคุมการเข้าถึง การเฝ้าติดตาม การบันทึก และการเข้ารหัส ข้อมูลเพิ่มเติมเกี่ยวกับบริการเหล่านี้สามารถดูได้ที่ส่วนด้านบน “AWS เสนอบริการใดให้แก่ลูกค้าเพื่อช่วยในการปฏิบัติตาม GDPR”

    ทั้งนี้เรายังมีผู้เชี่ยวชาญด้านความปลอดภัย การคุ้มครองข้อมูล และการปฏิบัติตามข้อกำหนด เช่นเดียวกับคู่ค้าของ AWS ซึ่งทำงานร่วมกับลูกค้าเพื่อตอบปัญหาและช่วยเหลือพวกเขาในการเตรียมตัวเพื่อเรียกใช้ปริมาณงานในระบบคลาวด์หลังจากที่ GDPR มีผลบังคับใช้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ โปรดติดต่อผู้จัดการบัญชี AWS ของคุณ

  • AWS มีบทเสริมเรื่องการประมวลผลข้อมูล (DPA) หรือไม่

    ใช่ AWS มีบทเสริมเรื่องการประมวลผลข้อมูลที่สอดคล้องกับ GDP (DPA ตาม GDPR) ซึ่งช่วยให้คุณปฏิบัติตามภาระผูกพันตามสัญญาที่ทำกับ GDPR ได้ DPA ตาม GDPR ของ AWS รวมอยู่ในข้อกำหนดการให้บริการของ AWS และนำไปใช้โดยอัตโนมัติกับลูกค้าทั่วโลกทุกรายที่ต้องการให้การคุ้มครองข้อมูลเป็นไปตาม GDPR

  • บริการ AWS ได้ปฏิบัติตามข้อกำหนดของ GDPR หรือไม่

    เรายืนยันได้ว่าบริการของ AWS ทั้งหมดสามารถใช้งานได้ตามข้อกำหนดของ GDPR ซึ่งหมายความว่า นอกเหนือจากการได้รับประโยชน์จากมาตรการทั้งหมดที่ AWS ใช้เพื่อรักษาความปลอดภัยของบริการแล้ว ลูกค้ายังสามารถติดตั้งใช้บริการของ AWS เป็นส่วนสำคัญสำหรับแผนการปฏิบัติตามข้อกำหนดของ GDPR ของตนได้อีกด้วย สำหรับรายละเอียดเพิ่มเติม ดูที่ประกาศการเตรียมความพร้อมบริการ GDPR ในบล็อกการรักษาความปลอดภัย AWS: https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/

  • บทบาทของ AWS ภายใต้ GDPR คืออะไร AWS คือผู้ประมวลผลข้อมูลหรือผู้ควบคุมข้อมูล

    AWS ทำหน้าที่เป็นทั้งผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูลภายใต้ GDPR

    • AWS ในฐานะผู้ประมวลผลข้อมูล – เมื่อลูกค้าและคู่ค้าเครือข่ายคู่ค้า AWS (APN) ใช้บริการของ AWS เพื่อประมวลผลข้อมูลส่วนบุคคลในเนื้อหาของตน AWS จะทำหน้าที่เป็นผู้ประมวลผลข้อมูล ลูกค้าและคู่ค้า APN สามารถใช้การควบคุมที่มีให้ในการบริการของ AWS ซึ่งประกอบด้วยการควบคุมการกำหนดค่าความปลอดภัย สำหรับการจัดการข้อมูลส่วนบุคคลได้ ภายใต้สถานการณ์เหล่านี้ ลูกค้าหรือคู่ค้า APN อาจทำหน้าที่เป็นผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลเอง ส่วน AWS จะทำหน้าที่เป็นผู้ประมวลข้อมูลหรือผู้ประมวลผลย่อย AWS เสนอบทเสริมเรื่องการประมวลผลข้อมูล (DPA) ซึ่งเป็นการปฎิบัติตามข้อกำหนดที่รวมภาระผูกพันของ AWS ในฐานะผู้ประมวลผลข้อมูลไว้
    • AWS ในฐานะผู้ควบคุมข้อมูล – เมื่อ AWS รวบรวมข้อมูลส่วนบุคคลและกำหนดจุดประสงค์และวิธีในการประมวลข้อมูลส่วนบุคคลนั้นๆ – ตัวอย่างเช่น เมื่อ AWS จัดเก็บข้อมูลบัญชีสำหรับการลงทะเบียนบัญชี การบริหารจัดการบัญชี การเข้าถึงบริการของบัญชี หรือข้อมูลการติดต่อสำหรับบัญชี AWS เพื่อให้ความช่วยเหลือผ่านกิจกรรมการสนับสนุนลูกค้า AWS จึงต้องทำหน้าที่เป็นผู้ควบคุมข้อมูล
  • GDPR มีผลกระทบอย่างไรต่อโมเดลความรับผิดชอบร่วมกันของ AWS

    GDPR จะไม่เปลี่ยนแปลงโมเดลความรับผิดชอบร่วมกันของ AWS ซึ่งยังคงมีความเกี่ยวข้องกับลูกค้าและคู่ค้า APN ที่มุ่งเน้นการใช้งานบริการประมวลผลระบบคลาวด์ต่อไป โมเดลความรับผิดชอบร่วมกันคือแนวทางที่มีประโยชน์ในการแสดงให้เห็นถึงความรับผิดชอบต่างๆ ที่แตกต่างกันของ AWS (ในฐานะผู้ประมวลผลข้อมูล หรือ ผู้ประมวลผลย่อย) และลูกค้าหรือคู่ค้า APN (ทั้งในฐานะผู้ควบคุมข้อมูล หรือ ผู้ประมวลผลข้อมูล) ภายใต้ GDPR

    ภายใต้โมเดลความรับผิดชอบร่วมกัน AWS จะรับผิดชอบการรักษาความปลอดภัยโครงสร้างพื้นฐานซึ่งรองรับระบบคลาวด์ และลูกค้าและคู่ค้า APN ซึ่งทำหน้าที่เป็นทั้งผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล มีหน้าที่รับผิดชอบข้อมูลส่วนบุคคลใดๆ ที่ใส่ลงไปในระบบคลาวด์

    ความรับผิดชอบของ AWS ในฐานะผู้ประมวลผลข้อมูล

    AWS รับผิดชอบในการปกป้องโครงสร้างพื้นฐานทั่วโลกที่เรียกใช้บริการทั้งหมดที่มีให้ใน AWS Cloud โครงสร้างพื้นฐานนี้จะประกอบไปด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่เรียกใช้บริการของ AWS ที่รวมถึงการควบคุมการกำหนดค่าความปลอดภัย ซึ่งมอบการควบคุมอันทรงพลังแก่ลูกค้าและคู่ค้า APN สำหรับการจัดการเนื้อหาของลูกค้า การปกป้องโครงสร้างพื้นฐานนี้คือสิ่งที่ AWS ให้ความสำคัญเป็นอันดับหนึ่ง AWS ยังมอบรายงานการปฏิบัติตามข้อกำหนดหลายฉบับจากผู้ตรวจสอบบริษัทอื่นซึ่งได้ยืนยันการปฏิบัติตามข้อกำหนดของเราด้วยมาตรฐานและข้อบังคับด้านความปลอดภัยคอมพิวเตอร์ต่างๆ (สำหรับข้อมูลเพิ่มเติม ไปที่ https://aws.amazon.com/compliance) รายงานเหล่านี้แสดงให้ลูกค้าและคู่ค้า APN เห็นว่าเรากำลังปกป้องข้อมูลส่วนบุคคลซึ่งลูกค้าเลือกที่จะประมวลผลบน AWS อยู่ ตัวอย่างที่ดีของเราประกอบด้วยการปฏิบัติตามข้อกำหนด ISO 27001, 27017 และ 27018 ของ AWS ISO 27018 ประกอบด้วยการควบคุมความปลอดภัยที่มุ่งเน้นถึงการปกป้องข้อมูลส่วนบุคคล รายละเอียดของการปฏิบัติตามข้อกำหนด ISO 27108 ของ AWS สามารถดูได้ที่นี่: https://aws.amazon.com/compliance/iso-27018-faqs/

    AWS ยังรับผิดชอบในการกำหนดค่าความปลอดภัยของเทคโนโลยีของตนซึ่งถือว่าเป็นบริการต่างๆ ที่ได้รับการจัดการอีกด้วย โดยตัวอย่างจะประกอบด้วย Amazon DynamoDB, Amazon RDS, Amazon Redshift, Amazon Elastic MapReduce และบริการอื่นๆ อีกมากมาย บริการเหล่านี้มอบการปรับขนาดและความยืดหยุ่นของทรัพยากรบนระบบคลาวด์พร้อมด้วยประโยชน์เพิ่มเติมจากการได้รับการจัดการ สำหรับบริการเหล่านี้ AWS จะจัดการงานด้านความปลอดภัยพื้นฐานเช่นความปลอดภัยของระบบปฏิบัติการ (OS) และการแพทช์ฐานข้อมูล การกำหนดค่าไฟร์วอลล์ และการกู้คืนข้อมูลหลังภัยพิบัติ สำหรับบริการด้านการจัดการ ลูกค้าและคู่ค้า APN จะกำหนดค่าการควบคุมการเข้าถึงเชิงตรรกะสำหรับทรัพยากรของตนและปกป้องข้อมูลประจำตัวของบัญชีของลูกค้าเอง บริการเหล่านี้บางรายการอาจต้องการงานเพิ่มเติม เช่นการตั้งค่าฐานข้อมูลของบัญชีผู้ใช้ แต่งานด้านการกำหนดค่าความปลอดภับโดยรวมนั้นจะได้รับการดำเนินการโดยการบริการนั้นๆ เอง อย่างไรก็ตามในการบริการทั้งหมด ลูกค้าและคู่ค้า APN ยังคงต้องรับผิดชอบต่อข้อมูลส่วนบุคคลใดๆ ที่ได้ใส่ลงไปในระบบคลาวด์

    AWS ยังมีบทเสริมเรื่องการประมวลผลข้อมูล (DPA ตาม GDPR) ซึ่งเป็นการปฎิบัติตามข้อกำหนดที่รวมภาระผูกพันของ AWS ในฐานะผู้ประมวลผลข้อมูลไว้ให้อีกด้วย DPA ตาม GDPR ของ AWS รวมอยู่ในข้อกำหนดการให้บริการของ AWS และนำไปใช้โดยอัตโนมัติกับลูกค้าที่ต้องการให้การคุ้มครองข้อมูลเป็นไปตาม GDPR

    ความรับผิดชอบของลูกค้าและคู่ค้า APN ในฐานะผู้ควบคุมข้อมูล — และสิ่งที่ AWS สามารถช่วยเหลือได้:

    ด้วย AWS Cloud ลูกค้าและคู่ค้า APN สามารถจัดเตรียมเซิร์ฟเวอร์ พื้นที่จัดเก็บ ฐานข้อมูล และเดสก์ท็อปเสมือนได้ในไม่กี่นาทีแทนที่จะใช้การเตรียมการเป็นสัปดาห์ ลูกค้ายังสามารถใช้การวิเคราะห์บนระบบคลาวด์และเครื่องมือเวิร์กโฟลว์เพื่อประมวลผลข้อมูลตามต้องการ แล้วจัดเก็บข้อมูลเหล่านั้นในศูนย์ข้อมูลของลูกค้าเองหรือภายในระบบคลาวด์ บริการของ AWS ที่ลูกค้าและคู่ค้า APN ใช้จะเป็นตัวกำหนดว่าพวกเขาต้องดำเนินงานการกำหนดค่าซึ่งเป็นส่วนหนึ่งของความรับผิดชอบตาม GDPR เท่าใด ผลิตภัณฑ์ของ AWS ซึ่งตกอยู่ในประเภทของโครงสร้างพื้นฐานเป็นบริการ (IaaS) เช่น Amazon EC2, Amazon VPC และ Amazon S3 ต่างอยู่ใต้การควบคุมของลูกค้าหรือคู่ค้า APN ทั้งสิ้น และกำหนดให้ลูกค้าจำเป็นต้องดำเนินงานการจัดการและการกำหนดค่าด้านความปลอดภัยที่จำเป็น ตัวอย่างเช่น สำหรับ EC2 instance ลูกค้าจะต้องรับผิดชอบเกี่ยวกับการจัดการระบบปฏิบัติการเยือน (ซึ่งประกอบด้วยการอัปเดตและแพตช์รักษาความปลอดภัย) และซอฟต์แวร์แอปพลิเคชันหรือยูทิลิตีใดๆ ที่ติดตั้งบนอินสแตนซ์ดังกล่าว และการกำหนดค่าไฟล์วอลล์จาก AWS (เรียกว่ากลุ่มการรักษาความปลอดภัย) ของแต่ละอินสแตนซ์ ซึ่งเป็นงานด้านความปลอดภัยที่ต้องดำเนินการไม่ว่าเซิร์ฟเวอร์จะตั้งอยู่ที่ตำแหน่งใดก็ตาม

    เพื่อให้ตระหนักถึงการปกป้องข้อมูลตามการออกแบบและตามหลักการเริ่มต้น เราจึงได้แนะนำให้ลูกค้าและคู่ค้า APN ปกป้องข้อมูลประจำตัวของบัญชี AWS ของตนและตั้งค่าบัญชีผู้ใช้แต่ละรายด้วย Amazon Identity and Access Management (IAM) เพื่อให้ผู้ใช้แต่ละท่านมีข้อมูลประจำตัวของเขาหรือเธอเป็นของตัวเอง ทำให้สามารถเปิดใช้ความสามารถในการใช้ใช้การเข้าถึงข้อมูลตามสิทธิ์และการแบ่งแยกหน้าที่ตามบทบาทของผู้ใช้ได้ ทั้งนี้เรายังแนะนำให้ใช้ multi-factor authentication (MFA) กับแต่ละบัญชี ซึ่งจำเป็นต้องใช้ SSL/TLS เพื่อสื่อสารกับทรัพยากร AWS การตั้งค่า API/การบันทึกกิจกรรมของผู้ใช้ด้วย AWS CloudTrail การใช้ประโยชน์ของโซลูชันการเข้ารหัสของ AWS และการควบคุมความปลอดภัยอื่นๆ ภายในบริการของ AWS ลูกค้าและคู่ค้า APN ยังสามารถใช้บริการด้านความปลอดภัยขั้นสูงได้ เช่น Amazon GuardDuty สำหรับความปลอดภัยของบัญชีและโครงสร้างพื้นฐาน และ Amazon Macie เพื่อช่วยเหลือในการค้นหาและรักษาความปลอดภัยข้อมูลส่วนบุคคลที่จัดเก็บไว้ใน Amazon S3 เพื่อให้เป็นไปตามข้อกำหนดของ GDPR

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับมาตรการเพิ่มเติมที่ลูกค้าสามารถใช้ได้ และโซลูชันที่ AWS มีให้ โปรดดูเอกสารรายงานแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ AWS และขอแนะนำให้อ่านบนหน้าเว็บทรัพยากรด้านความปลอดภัยของ AWS ซึ่งพร้อมให้อ่านที่: https://aws.amazon.com/security/

  • ฉันควรติดต่อใครหากมีคำถามเกี่ยวกับ GDPR และ AWS

    เราขอแนะนำให้ลูกค้าและคู่ค้า APN ที่มีคำถามเกี่ยวกับการปกป้องข้อมูล หรือ AWS และ GDPR ติดต่อผู้จัดการบัญชี AWS ของตนเองก่อนเป็นอันดับแรก หากลูกค้าได้สมัครใช้งาน Enterprise Support แล้ว ลูกค้าจะสามารถติดต่อผู้จัดการบัญชีฝ่ายเทคนิค (TAM) ได้ด้วยเช่นกัน TAM ทำงานกับสถาปนิกโซลูชันเพื่อช่วยลูกค้าในการระบุความเสี่ยงที่อาจเกิดขึ้นได้และการลดความเสี่ยงที่อาจเป็นไปได้ TAM และทีมบัญชียังสามารถระบุให้ลูกค้าและคู่ค้า APN เห็นถึงทรัพยากรที่เฉพาะเจาะจงโดยอิงจากสภาพแวดล้อมและความต้องการของพวกเขาได้

    AWS ยังมีทีมตัวแทนสนับสนุนองค์กร ผู้ให้คำปรึกษาด้านบริการมืออาชีพ และทีมงานอื่นๆ ที่คอยช่วยเหลือด้านคำถามที่เกี่ยวข้องกับ GDPR อีกด้วย ในการช่วยให้ความรู้แก่ลูกค้าและคู่ค้า APN ต่อไป AWS ได้จัดให้มีการมีส่วนร่วมพูดคุย การสัมมนาผ่านเว็บ และเวิร์กช็อปหลายครั้งที่ AWS Summits และ AWS Pop-up Lofts เพื่อช่วยให้ลูกค้าและคู่ค้า APN เข้าใจ GDPR และใช้โซลูชันโดยใช้เครื่องมือ AWS ได้

  • AWS เสนอคำแนะนำทางเทคนิคเกี่ยวกับ GDPR ให้กับลูกค้าและคู่ค้า APN ว่าอย่างไร

    AWS ยังเสนอทรัพยากรที่หลากหลายให้แก่ลูกค้าและคู่ค้า APN เพื่อช่วยลูกค้าในเส้นทางการปฎิบัติตามข้อกำหนดของ GDPR AWS มีทีมตัวแทนสนับสนุนองค์กร ผู้ให้คำปรึกษาด้านบริการมืออาชีพ และทีมงานอื่นๆ ที่คอยช่วยเหลือลูกค้าและคู่ค้า APN ด้านคำถามที่เกี่ยวข้องกับ GDPR เราได้เพิ่มความสามารถให้ลูกค้าในการค้นหา “GDPR” ใน AWS Partner Solutions Finder เพื่อช่วยให้ค้นหาคู่ค้า ISV MSP และ SI ซึ่งมีผลิตภัณฑ์และบริการเพื่อช่วยในการปฏิบัติตามข้อกำหนดของ GDPR ลูกค้ายังสามารถค้นหาโซลูชัน “GDPR” บน AWS Marketplace ได้

  • AWS เสนอบริการระดับมืออาชีพที่ช่วยในการปฏิบัติตามข้อกำหนดของ GDPR หรือไม่

    ทีมบริการมืออาชีพของ AWS ได้จัดกิจกรรมที่หลากหลายเพื่อช่วยลูกค้าและคู่ค้า APN ในเส้นทางการปฎิบัติตามข้อกำหนดของ GDPR ผู้ให้คำปรึกษาด้านบริการมืออาชีพจะช่วยตอบคำถามที่เกี่ยวข้องกับ GDPR โดยการจัดเซสชันการให้คำปรึกษาแบบส่วนตัว เช่นเดียวกับการมีส่วนร่วมพูดคุย การสัมมนาผ่านเว็บ และเวิร์กช็อปที่ AWS Summits และ AWS Pop-up Lofts ทีมบริการมืออาชีพของ AWS ยังทำงานร่วมกับลูกค้าและคู่ค้า APN โดยตรงเพื่อให้คำแนะนำทางเทคนิคเกี่ยวกับ GDPR และการใช้การปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น โดยใช้เครื่องมือของ AWS อีกด้วย รายละเอียดเพิ่มเติมถึงวิธีที่ผู้ให้คำปรึกษาด้านบริการมืออาชีพของ AWS ให้ความช่วยเหลือลูกค้าและคู่ค้า APN สามารถดูได้ที่: https://aws.amazon.com/professional-services/

  • AWS Support จะช่วยฉันในเส้นทางการปฏิบัติตามข้อกำหนดของ GDPR ได้อย่างไร

    AWS Premium Support ทำงานร่วมกับลูกค้าและคู่ค้า APN เพื่อมอบคำแนะนำทางเทคนิคในการช่วยเหลือลูกค้าในเส้นทางสู่การปฎิบัติตามข้อกำหนดของ GDPR โดยในขณะนี้เรามีทีมวิศวกรสนับสนุนด้านระบบคลาวด์และผู้จัดการบัญชีฝ่ายเทคนิคที่ถูกฝึกมาเพื่อช่วยระบุและลดความเสี่ยงด้านปฏิบัติตามข้อกำหนดในฐานะส่วนหนึ่งของกิจกรรมนี้อีกด้วย โปรแกรมสองโปรแกรมที่อาจมีประโยชน์กับลูกค้าและคู่ค้า APN ในการดำเนินการตามการปฏิบัติตามข้อกำหนดของ GDPR ได้แก่:

    • การตรวจสอบการปฎิบัติการบนระบบคลาวด์ – พร้อมให้ลูกค้า AWS Enterprise Supportใช้บริการ โปรแกรมนี้ออกแบบมาเพื่อช่วยระบุช่องโหว่ในแนวทางที่ลูกค้าใช้ในการปฎิบัติการบนระบบคลาวด์ โปรแกรมนี้ให้การตรวจสอบปฏิบัติการบนระบบคลาวด์และแนวปฏิบัติด้านการจัดการที่เกี่ยวข้อง โดยเป็นโปรแกรมที่มาจากชุดแนวปฏิบัติที่ดีที่สุดซึ่งกลั่นกรองจากประสบการณ์ของ AWS ที่มีร่วมกับลูกค้าที่เป็นตัวแทนจำนวนมาก ซึ่งสามารถช่วยองค์กรในเส้นทางสายปฎิบัติตามข้อกำหนดของ GDPR ได้ โปรแกรมจะใช้แนวทางสี่เสาหลักซึ่งมุ่งเน้นด้านการเตรียมความพร้อม การเฝ้าติดตาม การปฏิบัติการ และเพิ่มประสิทธิภาพของระบบบนระบบคลาวด์ให้เหมาะสมเพื่อนำไปสู่ความเป็นเลิศด้านการปฏิบัติงาน
    • การตรวจสอบที่ออกแบบมาเป็นอย่างดี – โปรแกรมนี้จะทำให้องค์กรสามารถวัดสถาปัตยกรรมของตนกับแนวปฏิบัติที่ดีที่สุดของ AWS และเพื่อสร้างสถาปัตยกรรมที่ปลอดภัย น่าเชื่อถือ ,มีประสิทธิภาพสูง และคุ้มค่า การตรวจสอบที่ออกแบบมาเป็นอย่างดียังสามารถทำให้ลูกค้าและคู่ค้า APN เข้าใจว่าสถาปัตยกรรมของตนมีความเสี่ยงตรงจุดใดบ้างและช่วยจัดการกับความเสี่ยงนั้นก่อนนำแอปพลิเคชันไปสู่ขั้นตอนการผลิต

    ลูกค้าและคู่ค้า APN ที่กำลังต้องการจะเข้าใจว่า AWS Premium Support สามารถช่วยเหลือพวกเขาได้อย่างไรสามารถหาข้อมูลเพิ่มเติมได้ในศูนย์ช่วยเหลือของ AWS ซึ่งมีให้ใช้งานผ่านคอนโซล AWS (https://console.aws.amazon.com/support/), โดยการใช้รายละเอียดการติดต่อซึ่งระบุไว้ในข้อตกลงการสนับสนุนสำหรับองค์กรที่ป้อนไว้ให้กับ AWS หรือไปที่หน้า AWS Premium Support ที่: https://aws.amazon.com/premiumsupport/ ลูกค้าที่มีการสนับสนุนสำหรับองค์กรโปรดติดต่อ TAM ของตนหากมีคำถามที่เกี่ยวข้องกับ GDPR

  • AWS มีผู้ประมวลผลย่อยหรือไม่

    เราแจ้งลูกค้าและคู่ค้า APN ของผู้รับเหมาใดๆ ของเราที่มีการเข้าถึงเนื้อหาที่อัปโหลดไปยัง AWS ในเชิงรุก ซึ่งรวมถึงเนื้อหาที่อาจมีข้อมูลส่วนบุคคล ภาระผูกพันนี้ได้รวมอยู่ในบทเสริมเรื่องการประมวลผลข้อมูล AWS GDPR (DPA ตาม GDPR) DPA ตาม GDPR ของ AWS รวมอยู่ในข้อกำหนดการให้บริการของ AWS และนำไปใช้โดยอัตโนมัติกับลูกค้าที่ต้องการให้การคุ้มครองข้อมูลเป็นไปตาม GDPR

  • AWS มอบเครื่องมือใดให้แก่ฉันในการใช้มาตรการด้านเทคนิคและองค์กรซึ่งจำเป็นต่อการปกป้องข้อมูลตามการออกแบบและตามค่าเริ่มต้น

    ข้อกำหนดของ GDPR ส่วนใหญ่จะมุ่งไปที่การควบคุมและปกป้องข้อมูล บริการของ AWS จะมอบความสามารถในการใช้มาตรการความปลอดภัยของลูกค้าเองในการปฎิบัติตามข้อกำหนดของ GDPR ให้แก่ลูกค้าและคู่ค้า APN ซึ่งรวมถึงมาตรการเชิงกลยุทธที่เฉพาะเจาะจงด้วย เช่น:

    • การเข้ารหัสข้อมูลส่วนบุคคล
    • ความสามารถในการรับประกันได้ว่าจะมีการรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของการประมวลผลระบบและบริการอย่างต่อเนื่อง
    • ความสามารถในการคืนค่าความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลได้ทันท่วงทีเมื่อเกิดเหตุการณ์ทางกายภาพและเทคนิค
    • กระบวนการสำหรับการทดสอบ การวัดค่า และการประเมินประสิทธิภาพของมาตรการทางเทคนิคเป็นประจำเพื่อรับประกันความปลอดภัยของการประมวลผล

    AWS มีชุดบริการด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดขั้นสูงที่สามารถปรับใช้เพื่อช่วยเหลือในการจัดการกับข้อกำหนดของ GDPR ซึ่งประกอบด้วย:

    • Amazon GuardDuty – บริการที่มีคุณสมบัติในการตรวจจับภัยคุกคามอัจฉริยะและการเฝ้าติดตามพฤติกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตอย่างต่อเนื่อง
    • Amazon Macie – เครื่องมือ Machine Learning ที่ช่วยในการสำรวจและจัดหมวดหมู่ของข้อมูลส่วนบุคคลที่จัดเก็บใน Amazon S3
    • Amazon Inspector – บริการประเมินความปลอดภัยอัตโนมัติเพื่อให้แอปพลิเคชันมีความสอดคล้องกับแนวปฎิบัติด้านความปลอดภัยที่ดีที่สุด
    • AWS Config Rules – คุณสมบัติที่ช่วยคุณให้คุณสามารถตรวจสอบทรัพยากรระบบคลาวด์แบบไดนามิกเพื่อให้สอดคล้องกับกฎด้านความปลอดภัยได้

    AWS ยังได้เผยแพร่เอกสารรายงาน “การนำทางสู่การปฏิบัติตามข้อกำหนด GDPR บน AWS” ซึ่งอุทิศให้กับหัวข้อนี้อีกด้วย เอกสารยังพิจารณาและให้รายละเอียดถึงวิธีการผนวกทรัพยากรเข้ากับแนวคิดต่างๆ โดยเฉพาะ เช่น การเฝ้าติดตาม การเข้าถึงข้อมูล และการจัดการคีย์ 

  • มาตรการด้านความปลอดภัยแบบใดที่ AWS มีอยู่ในตัวและใช้เพื่อปกป้องระบบ

    โครงสร้างพื้นฐานของระบบคลาวด์ AWS ถูกออกแบบมาให้เป็นหนึ่งในสภาพแวดล้อมการประมวลผลบนระบบคลาวด์ที่ยืดหยุ่นและปลอดภัยที่สุดที่มีอยู่ในขณะนี้ คุณภาพระดับ Amazon เอื้อเป็นอย่างมากให้สามารถลงทุนกับนโยบายความปลอดภัยและมาตรการตอบโต้มากกว่าที่บริษัทขนาดใหญ่อื่นๆ จะสามารถทำได้ โครงสร้างพื้นฐานนี้จะประกอบไปด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่เรียกใช้บริการของ AWS ซึ่งมอบการควบคุมอันทรงพลังแก่ลูกค้าและคู่ค้า APN ที่รวมถึงการควบคุมการกำหนดค่าความปลอดภัย สำหรับการจัดการข้อมูลส่วนบุคคล รายละเอียดเพิ่มเติมเกี่ยวกับมาตรการที่ AWS มีอยู่ในตัวเพื่อรักษาความปลอดภัยให้อยู่ในระดับสูงอยู่เสมอสามารถดูได้ใน AWS "เอกสารรายงานภาพรวมเกี่ยวกับกระบวนการรักษาความปลอดภัย"

    AWS ยังมอบรายงานการปฏิบัติตามข้อกำหนดหลายฉบับจากผู้ตรวจสอบภายนอกซึ่งได้ตรวจสอบและยืนยันการปฏิบัติตามข้อกำหนดมาตรฐานและข้อบังคับด้านความปลอดภัยคอมพิวเตอร์ของเรา – ซึ่งประกอบด้วย ISO 27001, ISO 27017 และ ISO 27018 เพื่อให้ความโปร่งใสเรื่องประสิทธิภาพของมาตรการเหล่านี้ เราจึงให้สิทธิ์แก่ลูกค้าและคู่ค้า APN ของเราในการเข้าถึงรายงานการตรวจสอบจากบุคคลภายนอกผ่าน AWS Management Console รายงานเหล่านี้ได้แสดงให้ลูกค้าและคู่ค้า APN ของเราซึ่งอาจทำหน้าที่เป็นทั้งผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูลเห็นว่าเรากำลังปกป้องโครงสร้างพื้นฐานที่สำคัญอันเป็นที่ซึ่งลูกค้าได้จัดเก็บข้อมูลส่วนบุคคลไว้และประมวลผลข้อมูลส่วนบุคคล สำหรับข้อมูลเพิ่มเติม ดูที่: https://aws.amazon.com/compliance 

  • AWS จะช่วยผู้ควบคุมข้อมูลให้บรรลุภาระผูกพันภายใต้ GDPR เกี่ยวกับการแจ้งเตือนการรั่วไหลของข้อมูลส่วนบุคคลได้อย่างไร

    AWS มีกระบวนการเฝ้าติดตามเหตุการณ์ด้านความปลอดภัยและการแจ้งเตือนการละเมิดข้อมูลในตัว และจะสนับสนุนและแจ้งเรื่องการละเมิดใดๆ ก็ตามของระบบ AWS ให้ลูกค้าและคู่ค้า APN ทราบ AWS ยังมอบเครื่องมือมากมายในการทำความเข้าใจว่าใครมีสิทธิ์เข้าถึงแหล่งข้อมูลตน เมื่อใด และจากที่ใดบ้างให้แก่ลูกค้าและคู่ค้า APN หนึ่งในเครื่องมือเหล่านั้นคือ AWS CloudTrail ซึ่งทำให้เกิดการกำกับดูแล การปฏิบัติตามข้อกำหนด การตรวจสอบการดำเนินงาน และการตรวจสอบความเสี่ยงของบัญชี AWS ด้วย CloudTrail ลูกค้าจะสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมของบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐาน AWS ได้ ซึ่งนี่จะช่วยให้องค์กรต่างๆ เข้าใจว่ากำลังเกิดอะไรขึ้นกับโครงสร้างพื้นฐาน AWS ของลูกค้าและสามารถลงมือจัดการกับกิจกรรมที่ไม่ปกติได้ทันที สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ AWS CloudTrail และเครื่องมือด้านความปลอดภัยอื่นๆที่ AWS มอบให้แก่ลูกค้าเพื่อช่วยให้บรรลุภาระผูกพันในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ โปรดดูที่: https://aws.amazon.com/security/  

  • AWS จะช่วยฉันปกป้องข้อมูลจากการโจมตีทางไซเบอร์ได้อย่างไร

    AWS ยังมอบเครื่องมือมากมายให้แก่ลูกค้าและคู่ค้า APN เพื่อรักษาความปลอดภัยให้กับข้อมูลและช่วยปกป้องจากการโจมตีทางไซเบอร์ หนึ่งในเครื่องมือดังกล่าวนั้นคือ AWS Shield ซึ่งนี่เป็นบริการป้องกัน Distributed Denial of Service (DDoS) ที่ได้รับการจัดการเพื่อปกป้องเว็บไซต์และแอปพลิเคชันที่ทำงานบน AWS AWS Shield Standard มีให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม และมีการตรวจจับที่ทำงานอยู่ตลอดเวลาและการลดการโจมตีภายในแบบอัตโนมัติที่จะลดเวลาหยุดทำงานและเวลาแฝงของแอปพลิเคชัน เพื่อการป้องกันระดับสูงจากการโจมตีที่มุ่งเป้าไปยังแอปพลิเคชันบนเว็บที่ทำงานบน AWS และใช้ทรัพยากร ELB, Amazon CloudFront, and Amazon Route 53 ลูกค้าและคู่ค้า APN สามารถสมัครใช้งาน AWS Shield Advanced ได้ ทั้งนี้ AWS ยังเผยแพร่และอัพเดตเอกสาร 'แนวปฏิบัติที่ดีที่สุดของ AWS เพื่อความยืดหยุ่นต่อ DDoS' เป็นประจำ ซึ่งช่วยลูกค้าสามารถใช้ AWS เพื่อสร้างแอปพลิเคชันที่ยืดหยุ่นต่อการโจมตีของ DDoS ได้

    เครื่องมืออื่นๆ ของ AWS ที่ช่วยปกป้องข้อมูลจากการโจมตีทางไซเบอร์ประกอบด้วย:

    • AWS Identity and Access Management (IAM) ช่วยให้องค์กรจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS ได้อย่างปลอดภัย เมื่อใช้ IAM ลูกค้าและคู่ค้า APN จะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
    • AWS Config ช่วยลูกค้าและคู่ค้า APN สามารถใช้งานกฎที่จัดเตรียมไว้อยู่แล้วที่ช่วยรับประกันว่าทรัพยากร AWS ของลูกค้าจะอยู่ในสถานะที่มีการกำหนดค่าและปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสม
    • AWS CloudTrail จะทำให้องค์กรสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ใน AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
    • Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่ได้รับการจัดการซึ่งคอยเฝ้าติดตามพฤติกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตอย่างต่อเนื่องเพื่อช่วยปกป้องบัญชี และปริมาณงาน AWS โดยจะเฝ้าติดตามกิจกรรมต่างๆ ซึ่งสามารถบ่งบอกถึงการบุกรุกบัญชีที่อาจเกิดขึ้นได้อย่างเช่น การเรียก API ที่ผิดปกติหรือการปรับใช้ที่อาจไม่ได้รับอนุญาต GuardDuty ยังตรวจจับอินสแตนซ์ที่อาจถูกบุกรุกหรือการลาดตระเวนที่กระทำโดยผู้บุกรุก
    • Amazon Macie เป็นบริการด้านความปลอดภัยที่ใช้ Machine Learning เพื่อช่วยลูกค้าและคู่ค้า APN ด้วยการค้นหา จัดหมวดหมู่ และปกป้องข้อมูลสำคัญใน AWS โดยอัตโนมัติ บริการที่ได้รับการจัดการอย่างเต็มรูปแบบนี้จะเฝ้าติดตามกิจกรรมการเข้าถึงข้อมูลอย่างต่อเนื่องเพื่อตรวจหาความผิดปกติและส่งคำเตือนโดยละเอียด เมื่อตรวจพบความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ เช่น ข้อมูลที่อ่อนไหวที่ลูกค้าเผลอทำให้เข้าถึงได้จากภายนอกโดยไม่ได้ตั้งใจ  
  • เครื่องมือชนิดใดที่พร้อมช่วยฉันในการค้นหาข้อมูลส่วนบุคคลภายในเนื้อหาบน AWS

    Amazon Macie เป็นบริการด้านความปลอดภัยที่ใช้ Machine Learning เพื่อช่วยลูกค้าและคู่ค้า APN ด้วยการค้นหา จัดหมวดหมู่ และปกป้องข้อมูลสำคัญใน AWS โดยอัตโนมัติ บริการที่ได้รับการจัดการอย่างเต็มรูปแบบนี้จะเฝ้าติดตามกิจกรรมการเข้าถึงข้อมูลอย่างต่อเนื่องเพื่อตรวจหาความผิดปกติและส่งคำเตือนโดยละเอียด เมื่อตรวจพบความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ เช่น ข้อมูลที่อ่อนไหวที่ลูกค้าเผลอทำให้เข้าถึงได้จากภายนอกโดยไม่ได้ตั้งใจ Macie ได้รับการรับรองตามมาตรฐานที่เป็นที่ยอมรับในระดับสากล เช่น ISO 27017 สำหรับความปลอดภัยของระบบคลาวด์, ISO 27018 สำหรับความเป็นส่วนตัวของระบบคลาวด์ และลูกค้าและคู่ค้า APN ยังสามารถใช้ Macie เพื่อเฝ้าติดตามการเข้าถึงข้อมูลได้อย่างต่อเนื่องเพื่อตรวจจับกิจกรรมที่น่าสงสัยโดยอิงตามรูปแบบการเข้าถึง

  • ฉันจะควบคุมการเข้าถึงข้อมูลส่วนบุคคลภายในเนื้อหาของฉันบน AWS ได้อย่างไร

    เพื่อช่วยเหลือลูกค้าและคู่ค้า APN ในการปฏิบัติตามข้อกำหนดของ GDPR AWS จึงมีเครื่องมือมากมายสำหรับควบคุมการเข้าถึงข้อมูลส่วนบุคคลที่มีในเนื้อหาของลูกค้าบน AWS เครื่องมือเหล่านี้ประกอบด้วย:

    ความปลอดภัยตั้งแต่เริ่มต้นหมายความว่าบริการของ AWS ถูกออกแบบมาให้ปลอดภัยตั้งแต่เริ่มต้น หากมีการใช้งานการกำหนดค่าเริ่มต้น การเข้าถึงทรัพยากรจะถูกล็อกให้เฉพาะเจ้าของบัญชีและผู้ดูแลระบบระดับรากเท่านั้นที่สามารถเข้าถึงได้

    • AWS Identity and Access Management (IAM) ช่วยให้ลูกค้าและคู่ค้า APN สามารถจัดการการเข้าถึงทรัพยากรและบริการของ AWS ได้อย่างปลอดภัย เมื่อใช้ IAM องค์กรจะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
    • AWS Multi-Factor Authentication เพิ่มชั้นป้องกันพิเศษสำหรับชื่อผู้ใช้และรหัสผ่านของบัญชี AWS AWS มอบตัวเลือกของอุปกรณ์ MFA แบบเสมือนจริงและแบบฮาร์ดแวร์ให้แก่ลูกค้า
    • AWS Directory Service จะช่วยให้ลูกค้าและคู่ค้า APN ผสานและรวมเข้ากับไดเรกทอรีขององค์กรเพื่อลดค่าใช้จ่ายด้านการจัดการและปรับปรุงประสบการณ์ของผู้ใช้ปลายทาง
    • AWS Config ช่วยลูกค้าและคู่ค้า APN สามารถใช้งานกฎที่จัดเตรียมไว้อยู่แล้วที่ช่วยรับประกันว่าทรัพยากร AWS ของลูกค้าจะอยู่ในสถานะที่มีการกำหนดค่าและปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสม
    • AWS CloudTrail ช่วยลูกค้าและคู่ค้า APN ในการบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมของบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐานของ AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา
    • Amazon Macie ใช้ Machine Learning เพื่อช่วยลูกค้าป้องกันการสูญหายของข้อมูลด้วยการค้นหา จัดหมวดหมู่ และปกป้องข้อมูลที่อ่อนไหวใน AWS โดยอัตโนมัติ บริการที่ได้รับการจัดการอย่างเต็มรูปแบบนี้จะเฝ้าติดตามกิจกรรมการเข้าถึงข้อมูลอย่างต่อเนื่องเพื่อตรวจหาความผิดปกติและส่งคำเตือนโดยละเอียดเมื่อตรวจพบความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ – เช่น ข้อมูลที่อ่อนไหวที่ลูกค้าเผลอให้เกิดการเข้าถึงจากภายนอกโดยไม่ได้ตั้งใจ
  • ฉันจะเข้ารหัสข้อมูลส่วนบุคคลที่อยู่ใน AWS เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างไร

    AWS มอบความสามารถในการเพิ่มความปลอดภัยอีกชั้นให้กับข้อมูลที่จัดเก็บในระบบคลาวด์ให้แก่ลูกค้าและช่วยให้ลูกค้าสามารถดำเนินการรักษาความปลอดภัยตามภาระผูกพันด้านการประมวลผลในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ เครื่องมือการเข้ารหัสที่พร้อมให้ใช้งานบน AWS ประกอบด้วย:

    • ความสามารถในการเข้ารหัสมีให้ใช้งานในบริการพื้นที่จัดเก็บและบริการฐานข้อมูลของ AWS เช่น Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS และ Redshift
    • ตัวเลือกการจัดการคีย์ที่มีความยืดหยุ่น รวมทั้ง AWS Key Management Service จะช่วยให้คุณเลือกได้ว่าจะให้ AWS จัดการคีย์การเข้ารหัสหรือให้ลูกค้าเข้าควบคุมคีย์ได้เองอย่างสมบูรณ์
    • คิวข้อความที่ถูกเข้ารหัสสำหรับการส่งผ่านข้อมูลอ่อนไหวโดยใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ (SSE) สำหรับ Amazon SQS
    • พื้นที่จัดเก็บคีย์การเข้ารหัสลับด้วยฮาร์ดแวร์เฉพาะโดยใช้ AWS CloudHSM ทำให้ลูกค้าสามารถปฏิบัติตามข้อกำหนดได้
     
    นอกจากนี้ AWS ยังมี API ต่างๆ ให้ลูกค้าและคู่ค้าของ APN สามารถผนวกรวมการเข้ารหัสและการป้องกันข้อมูลกับบริการใดๆ ที่ลูกค้าพัฒนาหรือปรับใช้ในสภาพแวดล้อม AWS ได้
  • AWS จัดการเรื่องการลบคำแนะนำจากลูกค้าได้อย่างไร

    บริการของ AWS ช่วยลูกค้าให้ทำการลบเนื้อหาได้ตามความต้องการ โดยใช้ AWS Management Console, API และวิธีป้อนข้อมูลอื่นๆ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับฟังก์ชันของบริการที่เฉพาะเจาะจง โปรดดูที่ https://aws.amazon.com/documentation  

  • ฉันจะพิสูจน์กับผู้ควบคุมกฎข้อบังคับการปกป้องข้อมูลได้อย่างไรว่าการใช้งาน AWS ของฉันนั้นเป็นไปตามข้อกำหนดของ GDPR

    AWS ได้เสนอข้อมูลที่มีประโยชน์ให้แก่ลูกค้าและคู่ค้า APN ซึ่งประกอบด้วยรายงานหลายฉบับเกี่ยวกับการปฏิบัติตามข้อกำหนดจากผู้ตรวจสอบจากภายนอก ซึ่งได้ยืนยันถึงการปฏิบัติตามข้อกำหนดของเรากับมาตรฐานและข้อบังคับด้านความปลอดภัยทางคอมพิวเตอร์ที่หลากหลายเพื่อเป็นการพิสูจน์ถึงการปฏิบัติตามข้อกำหนดระดับสูงที่ AWS รักษาไว้เพื่อโครงสร้างพื้นฐาน รายงานเหล่านี้แสดงให้ลูกค้าและคู่ค้า APN เห็นว่าเรากำลังปกป้องข้อมูลส่วนบุคคลซึ่งลูกค้าเลือกที่จะประมวลผลบน AWS ตัวอย่างที่ดีของเราคือ การปฏิบัติตามข้อกำหนด ISO 27001, 27017 และ 27018 ของ AWS ISO 27018 ประกอบด้วยการควบคุมความปลอดภัยที่มุ่งเน้นเรื่องการปกป้องข้อมูลส่วนบุคคล รายละเอียดของการปฏิบัติตามข้อกำหนด ISO 27108 ของ AWS สามารถดูได้ที่นี่: https://aws.amazon.com/compliance/iso-27018-faqs/

    AWS ยังปฏิบัติตามข้อกำหนดของหลักจรรยาบรรณของ CISPE เพื่อการปกป้องข้อมูลอีกด้วย CISPE คือความร่วมมือกันของผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ (ซึ่งเรียกกันว่าโครงสร้างพื้นฐานเป็นบริการ) ซึ่งให้บริการระบบคลาวด์แก่ลูกค้าในยุโรป หลักจรรยาบรรณของ CISPE ช่วยให้ลูกค้าและคู่ค้า APN มั่นใจว่าผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ใช้มาตรฐานการปกป้องข้อมูลที่เหมาะสมในการปกป้องข้อมูลของพวกเขาอย่างสอดคล้องกับ GDPR ประโยชน์ที่สำคัญบางอย่างของหลักจรรยาบรรณประกอบด้วย:

    • อธิบายว่าใครมีหน้าที่รับผิดชอบในด้านการปกป้องข้อมูล: หลักจรรยาบรรณจะอธิบายหน้าที่ของทั้งผู้ให้บริการและลูกค้าภายใต้ GDPR โดยเฉพาะในบริบทของบริการโครงสร้างพื้นฐานระบบคลาวด์
    • หลักจรรยาบรรณได้กำหนดหลักการที่ผู้ให้บริการควรยึดถือ: หลักจรรยาบรรณจะสรุปการกระทำและภาระผูกพันที่ผู้ให้บริการควรปฏิบัติเพื่อให้สอดคล้องกับ GDPR และช่วยให้ลูกค้าและคู่ค้า APN ปฏิบัติตนได้สอดคล้องด้วยเช่นกัน
    • หลักจรรยาบรรณจะให้ข้อมูลเกี่ยวข้องกับการปกป้องข้อมูลและความปลอดภัยของข้อมูลแก่ลูกค้าและคู่ค้า APN ว่าพวกเขาจำเป็นต้องตัดสินใจเกี่ยวกับการปฏิบัติตามข้อกำหนด: หลักจรรยาบรรณกำหนดให้ผู้ให้บริการมีความโปร่งใสเกี่ยวกับขั้นตอนที่ใช้ในการส่งมอบบริการตามภาระผูกพันด้านความปลอดภัยของผู้ให้บริการเหล่านั้น ขั้นตอนเหล่านี้เกี่ยวข้องกับการแจ้งเตือนซึ่งสัมพันธ์กับการละเมิดข้อมูล การลบข้อมูล การประมวลผลแบบย่อยโดยบริษัทอื่น รวมทั้งคำขอของหน่วยงานบังคับใช้กฎหมายและของรัฐบาล ลูกค้าและคู่ค้า APN สามารถใช้ข้อมูลนี้เพื่อให้เกิดความเข้าใจเต็มรูปแบบด้านความปลอดภัยระดับสูงที่มอบให้
compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »