ความเป็นส่วนตัวของข้อมูลในประเทศแคนาดา
ภาพรวม
ลูกค้า AWS สามารถออกแบบและใช้งานสภาพแวดล้อม AWS และใช้บริการ AWS ในลักษณะที่ตอบสนองภาระผูกพันของพวกเขาภายใต้กฎหมายความเป็นส่วนตัวของรัฐบาลกลาง จังหวัด และอาณาเขตของแคนาดา
ลูกค้าสามารถควบคุมวิธีการจัดการและการเข้าถึงเนื้อหาที่จัดเก็บอยู่ใน AWS ได้ทุกเมื่อ AWS ไม่รับทราบเกี่ยวกับสิ่งที่ลูกค้ากำลังอัปโหลดไปยังบริการของตนรวมถึงว่าข้อมูลนั้นถือว่าอยู่ภายใต้กฎหมายความเป็นส่วนตัวของแคนาดาหรือไม่ และลูกค้าต้องรับผิดชอบในการตรวจสอบให้แน่ใจว่าพวกเขาปฏิบัติตามกฎหมายที่เกี่ยวข้อง
นอกจากนี้ AWS Data Processing Addendum (AWS DPA) ที่เรียกอีกชื่อหนึ่งว่าข้อตกลงด้านการถ่ายโอนข้อมูล ซึ่งบังคับใช้ทั่วโลกและประกอบด้วยข้อผูกมัดตามสัญญาที่เจาะจงเพื่อระบุบทบาทและความรับผิดชอบของแต่ละฝ่ายอย่างเพียงพอเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยของข้อมูลส่วนบุคคล
มีกฎหมายหลายแห่งในแคนาดาที่เกี่ยวข้องกับการปกป้องข้อมูลส่วนบุคคล การบังคับใช้กฎหมายเหล่านี้ได้รับการจัดการโดยองค์กรและหน่วยงานของรัฐบาลต่าง ๆ ในระดับรัฐบาลกลางจังหวัดและอาณาเขต
ในระดับรัฐบาลกลาง กฎหมายคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ (PIPEDA) อาจใช้กับการรวบรวม ใช้ และการเปิดเผยข้อมูลส่วนบุคคลภายในภาคเอกชน และกฎหมายความเป็นส่วนตัว อาจมีผลบังคับใช้ภายในภาครัฐ สำนักงานคณะกรรมาธิการความเป็นส่วนตัวของแคนาดา (OPC) ดูแลการใช้กฎหมายทั้งสองนี้
นอกจากนี้ จังหวัดและดินแดนของแคนาดาได้ยอมรับกฎหมายความเป็นส่วนตัวของตนเองสำหรับทั้งภาครัฐและเอกชนตลอดจนกฎหมายความเป็นส่วนตัวเฉพาะสำหรับข้อมูลส่วนบุคคลบางประเภทเช่นข้อมูลสุขภาพส่วนบุคคล เว็บไซต์ OPC ให้ภาพรวมของกฎหมายและหน่วยงานระดับจังหวัดและดินแดนเหล่านี้
สำหรับลูกค้าที่ต้องการประมวลผลข้อมูลของตนในแคนาดา มี Region AWS แคนาดา (ภาคกลาง) ใกล้กับมอนทรีออลและ Region แคนาดา (ตะวันตก) ใกล้คาลการี สำหรับรายการของเขตและบริการทั้งหมดของ AWS Region โปรดดูที่หน้าโครงสร้างพื้นฐานส่วนกลาง
คำถามที่พบบ่อย
-
ลูกค้าจะกำหนดว่ากฎหมายความเป็นส่วนตัวของแคนาดาใดใช้กับกรณีการใช้งานของพวกเขาได้อย่างไร
ไม่ว่าและขอบเขตใด ลูกค้า AWS จะอยู่ภายใต้ PIPEDA, กฎหมายความเป็นส่วนตัว หรือข้อกำหนดด้านความเป็นส่วนตัวอื่น ๆ ของแคนาดาอาจแตกต่างกันไปขึ้นอยู่กับธุรกิจและกรณีการใช้งานของลูกค้า ลูกค้าควรปรึกษากับที่ปรึกษาทางกฎหมายเพื่อทำความเข้าใจถึงกฎหมายความเป็นส่วนตัวที่ต้องปฏิบัติตาม
-
ลูกค้าสามารถปฏิบัติตามกฎหมายความเป็นส่วนตัวของแคนาดากับ AWS ได้อย่างไร
ลูกค้าที่อยู่ภายใต้กฎหมายความเป็นส่วนตัวของแคนาดาอาจต้องปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับการรวบรวม การเข้าถึง การใช้ การเปิดเผย และการปกป้องข้อมูลส่วนบุคคล AWS ให้สิทธิ์ลูกค้าในการควบคุมวิธีการจัดเก็บหรือประมวลผลเนื้อหาของลูกค้าเองเมื่อใช้บริการ AWS รวมถึงการควบคุมวิธีการรักษาความปลอดภัยของเนื้อหานั้น และผู้ที่สามารถเข้าถึงเนื้อหานั้นได้ AWS มอบบริการที่ลูกค้าสามารถกำหนดค่าและใช้งานเพื่อสนับสนุนการรักษาความปลอดภัยของข้อมูลส่วนบุคคลที่ตนจัดเก็บไว้บน AWS และเป็นความรับผิดชอบของลูกค้าในการออกแบบโซลูชันที่ตรงตามข้อกำหนดด้านความเป็นส่วนตัวที่บังคับใช้
AWS นำเสนอคู่มือการทำงาน เอกสารรายงาน และแนวปฏิบัติที่ดีที่สุดไว้ในหน้าทรัพยากรการปฏิบัติตามข้อกำหนดของ AWS ของเรา และลูกค้าสามารถเข้าถึงรายงานการตรวจสอบโดยบุคคลภายนอกของ AWS ใน AWS Artifact ได้ตามต้องการ
-
กฎหมายความเป็นส่วนตัวของแคนาดาใด ๆ ห้ามให้ลูกค้า AWS ถ่ายโอนหรือจัดเก็บข้อมูลส่วนบุคคลนอกแคนาดาหรือไม่
ลูกค้าควรปรึกษาที่ปรึกษาทางกฎหมายของตนเองเพื่อพิจารณาว่ากฎหมายความเป็นส่วนตัวของแคนาดาหรือภาระผูกพันอื่น ๆ ที่อาจนำไปใช้กับองค์กรและกรณีการใช้งานของพวกเขา
-
กฎหมายความเป็นส่วนตัวของแคนาดาใด ๆ กำหนดให้ข้อมูลส่วนบุคคลถูกเข้ารหัสหรือไม่
หน่วยงานภายใต้กฎหมายความเป็นส่วนตัวของแคนาดาจำเป็นต้องดำเนินการเพื่อปกป้องข้อมูลส่วนบุคคล และเป็นความรับผิดชอบของลูกค้าแต่ละรายในการพิจารณาว่าจำเป็นต้องเข้ารหัสเพื่อปฏิบัติตามภาระผูกพันด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดหรือไม่
AWS แนะนำให้ลูกค้าเข้ารหัสข้อมูลที่อยู่ในพื้นที่จัดเก็บและระหว่างการขนส่งเป็นแนวทางปฏิบัติที่ดีที่สุด สำหรับคำแนะนำเพิ่มเติม โปรดดูที่ การเข้ารหัสข้อมูลที่อยู่อาศัยและข้อมูลระหว่างการถ่ายโอน
-
บทบาทของลูกค้าในการรักษาความปลอดภัยเนื้อหาบน AWS คืออะไร
เมื่อทำการประเมินความปลอดภัยของโซลูชันระบบคลาวด์ ลูกค้าจำเป็นต้องเข้าใจและแยกความแตกต่างระหว่าง:
- มาตรการด้านความปลอดภัยที่ AWS นำไปใช้และดำเนินการ ซึ่งได้แก่ “ความปลอดภัยของระบบคลาวด์” และ
- มาตรการด้านความปลอดภัยที่ลูกค้านำไปใช้และดำเนินการเกี่ยวกับการรักษาความปลอดภัยของข้อมูลและแอปพลิเคชันของลูกค้าที่ใช้ประโยชน์จากบริการของ AWS ซึ่งได้แก่ “ความปลอดภัยในระบบคลาวด์”
ภายใต้ รูปแบบความรับผิดชอบร่วมกันของ AWS ลูกค้ายังคงมีความสามารถในการควบคุมความปลอดภัยที่ตนเลือกเพื่อนำไปใช้ปกป้องข้อมูล แพลตฟอร์ม แอปพลิเคชัน ระบบ และเครือข่ายของตนได้ เช่นเดียวกับที่ลูกค้าทำในแอปพลิเคชันในศูนย์ข้อมูลบนเว็บไซต์ ลูกค้าสามารถใช้มาตรการรักษาความปลอดภัยที่คุ้นเคย เช่น การเข้ารหัสและการตรวจสอบความถูกต้องแบบหลายปัจจัย เพื่อปกป้องข้อมูลของตนและตอบสนองข้อกำหนดในการปฏิบัติตามข้อกำหนดของตนนอกเหนือจากบริการและฟีเจอร์ความปลอดภัยของ AWS เช่น AWS Identity and Access Management (IAM)
-
ใครสามารถเข้าถึงเนื้อหาของลูกค้าบน AWS
ลูกค้าจะคงสิทธิ์ในการเป็นเจ้าของและการควบคุมเนื้อหาลูกค้าของตน และสามารถเลือกได้ว่าบริการของ AWS บริการใดจะทำหน้าที่ประมวลผล จัดเก็บ และเป็นโฮสต์ให้กับเนื้อหาลูกค้าของตน AWS ไม่เข้าถึงหรือใช้เนื้อหาของลูกค้า ยกเว้นในกรณีที่จำเป็นเพื่อรักษาหรือให้บริการของ AWS ที่ลูกค้าเลือกไว้ หรือตามความจำเป็นเพื่อปฏิบัติตามกฎหมายหรือคำสั่งผูกพันของหน่วยงานรัฐบาลตามที่ระบุไว้ในสัญญาลูกค้า AWS
ลูกค้าที่ใช้บริการของ AWS จะยังคงมีความสามารถในการควบคุมเนื้อหาของตนภายในสภาพแวดล้อมของ AWS ได้ พวกเขาสามารถ:
- กำหนดว่าจะอยู่ที่ไหนตัวอย่างเช่นโดยการเลือกประเภทของสภาพแวดล้อมการจัดเก็บและตำแหน่งทางภูมิศาสตร์ของที่เก็บข้อมูลนั้น
- ควบคุมรูปแบบของเนื้อหานั้น ตัวอย่างเช่น ข้อความธรรมดา แบบสวมข้อมูล ไม่ระบุชื่อ หรือใส่รหัส โดยใช้ได้ทั้ง AWS ในการเข้ารหัสข้อมูลหรือใช้กลไกการเข้ารหัสของบริษัทอื่น ทั้งนี้ขึ้นอยู่กับการเลือกของลูกค้า
- จัดการการควบคุมการเข้าถึง เช่น AWS Identity และการจัดการการเข้าถึง (IAM) และ
- ควบคุมว่าจะใช้การเข้ารหัส คุณสมบัติ Amazon Virtual Private Cloud (VPC) และมาตรการรักษาความปลอดภัยเครือข่ายและข้อมูลอื่น ๆ เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
สิ่งนี้ช่วยให้ลูกค้าของ AWS สามารถควบคุมวงจรการใช้งานเนื้อหาของตนบน AWS ได้ทั้งหมด และสามารถจัดการเนื้อหาได้ตามความต้องการ ซึ่งรวมถึงการจัดหมวดหมู่ข้อมูล การควบคุมการเข้าถึง การเก็บรักษา และการลบเนื้อหา
-
เนื้อหาของลูกค้าจัดเก็บไว้ที่ใด
AWS Global Infrastructure ช่วยให้คุณมีความยืดหยุ่นในการเลือกวิธีการและตำแหน่งที่คุณต้องการเรียกใช้เวิร์กโหลดของคุณ ในฐานะลูกค้า คุณเลือกได้ว่าจะจัดเก็บเนื้อหาของลูกค้าของคุณไว้ใน AWS Region ซึ่งช่วยให้คุณปรับใช้บริการของ AWS ในตำแหน่งที่ตั้งที่คุณต้องการได้ตามข้อกำหนดที่เฉพาะเจาะจงของคุณ หากต้องการดูตัวเลือกพื้นที่จัดเก็บข้อมูลที่ยืดหยุ่นแบบอื่น ๆ โปรดไปที่เว็บเพจ AWS Region
คุณสามารถทำซ้ำและสำรองข้อมูลเนื้อหาของลูกค้าของคุณใน AWS Region ได้มากกว่าหนึ่งแห่ง เราจะไม่เคลื่อนย้ายเนื้อหาของคุณนอกเขตของ AWS Region ที่คุณเลือกโดยไม่ได้รับความเห็นชอบจากคุณ ยกเว้นในแต่ละกรณีที่จำเป็นต้องปฏิบัติตามกฎหมายหรือคำสั่งที่มีผลผูกพันของหน่วยงานของรัฐ อย่างไรก็ตาม โปรดทราบว่าบริการของ AWS ทั้งหมดอาจไม่พร้อมใช้งานในบาง AWS Region สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบริการใดที่มีอยู่ใน AWS Region โปรดดูที่หน้าเว็บ บริการภูมิภาค AWS
-
มาตรการด้านความปลอดภัยแบบใดที่ AWS มีอยู่ในตัวเพื่อปกป้องระบบ
AWS ได้รับการออกแบบทางสถาปัตยกรรมให้เป็นโครงสร้างพื้นฐานระบบคลาวด์ระดับโลกที่ปลอดภัยที่สุดสำหรับสร้าง ย้าย และจัดการแอปพลิเคชันและเวิร์กโหลด โครงสร้างพื้นฐานนี้ประกอบด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่เรียกใช้บริการ AWS ซึ่งให้การควบคุมที่ทรงพลัง รวมถึงการควบคุมการกำหนดค่าความปลอดภัยให้กับลูกค้าสำหรับการจัดการข้อมูลส่วนบุคคล
AWS จัดทำรายงานการปฏิบัติตามข้อกำหนดหลายประการจากผู้สอบบัญชีบุคคลที่สามซึ่งได้ทดสอบและตรวจสอบการปฏิบัติตามมาตรฐานความปลอดภัยที่หลากหลาย รวมถึง SOC 2 Type 2, ISO 27001, ISO 27017 และ ISO 27018 ในแคนาดา บริการ AWS ยังได้รับการประเมินโดยศูนย์การรักษาความปลอดภัยทางไซเบอร์ของแคนาดา
เพื่อแสดงถึงความโปร่งใสในประสิทธิภาพของมาตรการเหล่านี้ คุณจะเข้าถึงรายงานการตรวจสอบบุคคลภายนอกได้ใน AWS Artifact รายงานเหล่านี้แสดงให้ลูกค้าเห็นว่าเรากำลังปกป้องโครงสร้างพื้นฐานที่พวกเขาจัดเก็บและประมวลผลข้อมูลส่วนบุคคล สำหรับข้อมูลเพิ่มเติม ให้ไปที่ แหล่งข้อมูลสำหรับการปฏิบัติตามข้อกำหนดของเรา
-
AWS รักษาความปลอดภัยของศูนย์ข้อมูลของตนอย่างไร
กลยุทธ์ด้านความปลอดภัยของศูนย์ข้อมูลของ AWS นั้นประกอบไปด้วยมาตรการควบคุมด้านความปลอดภัยหลายระดับและการป้องกันหลายชั้นที่ช่วยในการปกป้องข้อมูลของคุณ ตัวอย่างเช่น AWS จะบริหารจัดการกับความเสี่ยงของอุทกภัยและเหตุการณ์แผ่นดินไหวอย่างระมัดระวัง เรามีกำแพงป้องกันทางกายภาพ พนักงานรักษาความปลอดภัย เทคโนโลยีตรวจจับภัยคุกคาม และกระบวนการคัดกรองเชิงลึกเพื่อจำกัดการเข้าถึงศูนย์ข้อมูล เราทำการสำรองระบบ ทดสอบอุปกรณ์และกระบวนการของเราเป็นประจำ อีกทั้งยังฝึกอบรมพนักงานของ AWS อย่างต่อเนื่องเพื่อเตรียมความพร้อมสำหรับเหตุการณ์ที่ไม่คาดคิด
ในการตรวจสอบความปลอดภัยของศูนย์ข้อมูลของเรา ผู้ตรวจสอบภายนอกได้ดำเนินการทดสอบกับมาตรฐานและข้อกำหนดมากกว่า 2,600 รายการตลอดทั้งปี การตรวจสอบอิสระเช่นนี้ช่วยให้แน่ใจว่ามาตรฐานด้านความปลอดภัยเราของนั้นเป็นไปตามหรือสูงกว่าที่กำหนด ด้วยเหตุนี้ องค์กรที่มีการควบคุมที่เข้มงวดที่สุดในโลกจึงไว้ใจให้ AWS ปกป้องข้อมูลของตน
เรียนรู้เพิ่มเติมเกี่ยวกับวิธีในการรักษาความปลอดภัยของศูนย์ข้อมูลของ AWS ตามการออกแบบโดยการ เข้าร่วมทัวร์เสมือนจริง
แหล่งข้อมูลเกี่ยวกับความเป็นส่วนตัวของข้อมูลในประเทศแคนาดา
สรุปกฎหมายความเป็นส่วนตัว OPC ในแคนาดา ภาคผนวกการประมวลผลข้อมูล AWS การใช้ AWS ในบริบทของข้อพิจารณาด้านการคุ้มครองความเป็นส่วนตัวและข้อมูลทั่วไป คำถามที่พบบ่อยเกี่ยวกับความเป็นส่วนตัวของข้อมูลบน AWS