Arjantin Veri Gizliliği

Genel Bakış

Arjantin’in 25.326 sayılı Kişisel Verileri Koruma Yasası, 1558/2001 sayılı Düzenleyici Kararname ve ilave düzenlemeler ("PDPL") de dahil olmak üzere, Arjantin'de kişisel verilerin korunması ve kişisel verilerin işlenmek üzere uluslararası düzeyde aktarılması durumunda geçerli olan bir Arjantin federal yasasıdır. 2018’in Temmuz ayında Arjantin Veri Koruma Kurumu (Agencia de Acceso a la Información Pública, “ADPA”), kişisel verilerin işlenmesi sırasında veri denetçilerinin (yani AWS müşterileri) dikkate alması gereken güvenlik önlemleri ile ilgili 11/2006 sayılı temliki kaldıran PDPL kapsamında 47/2018 sayılı (“47 Sayılı Kararname”) Kararname’yi yayınladı. 47 Sayılı Kararname, uluslararası en iyi uygulamalar ve standartlarla uyumlu ve veri toplamadan veri silmeye kadar işleme sırasında kişisel verilerin gizliliğini ve bütünlüğünü korumayı amaçlayan yeni ve tavsiye edilen güvenlik önlemleri açıklanmaktadır. Bu yeni karar özellikle kişisel verileri işlerken güvenliği yönetmek, planlamak, kontrol etmek ve iyileştirmek için tavsiye edilen önlemler ve kontroller listesini güncelledi. Tavsiye edilen bu güvenlik önlemleri; veri toplama, erişim kontrolleri, değişiklik kontrolleri, yedekleme ve kurtarma, güvenlik açığı yönetimi, veri kaldırma veya silme, güvenlik olayları ve geliştirme ortamları dahil olmak üzere, işlemle ilgili faaliyetler kategorilerine ayrılmıştır. Ayrıca, Resolution 47, "hassas verilere" (PDPL’de tanımlandığı gibi) uygulanabilir güvenlik önlemlerinin bir listesini içerir.

AWS, gizliliğiniz ve veri güvenliğiniz konusunda tedbirlidir. AWS'deki güvenlik, temel altyapımızla başlar. Bulut için özel olarak düzenlenmiş ve dünyadaki en sıkı güvenlik gereksinimlerini karşılayacak şekilde tasarlanmış olan altyapımız; müşterilerimizin verilerinin gizliliği, bütünlüğü ve erişilebilirliğini sağlamak için 7x24 izlenir. Bu altyapıyı gözlemleyen aynı dünya standartlarındaki uzmanlar, yenilikçi güvenlik hizmetlerimizden oluşan geniş seçkimizi de oluşturmuş ve sürdürmektedir. Bu seçki, kendi güvenlik gereksinimlerinizi ve mevzuatla uyumlu gereksinimleri karşılamanızı kolaylaştırmaya yardımcı olur. Büyüklüğünüz ve konumunuz ne olursa olsun bir AWS müşterisi olarak, en sıkı üçüncü taraf güvence entegrasyonlarında test edilmiş olan deneyimimizin tüm avantajlarından yararlanırsınız.

AWS, ISO 27001, ISO 27017, ISO 27018, PCI DSS 1. Düzey ile SOC 1, 2 ve 3 dahil olmak üzere, küresel çapta tanınan güvenlik teminatı çerçeveleri ve sertifikaları kapsamında AWS Cloud altyapı hizmetleri için geçerli olan teknik ve kurumsal güvenlik önlemlerini uygulayıp sürdürür. Bu teknik ve kurumsal güvenlik önlemleri, bağımsız üçüncü taraf değerlendirenleri tarafından doğrulanmış ve müşteri içeriğinin yetkisiz erişimini veya ifşa edilmesini önleyecek şekilde tasarlanmıştır.

Örneğin; ISO 27018, buluttaki kişisel verilerin korunmasına odaklanmış ilk uluslararası uygulama esaslarıdır. 27002 ISO bilgi güvenliği standardını temel alır ve genel bulut hizmeti sağlayıcıları tarafından işlenen Kişisel Kimliği Açığa Çıkaran Bilgiler (PII) için geçerli olan ISO 27002 denetimleri hakkında uygulama yönergeleri sağlar. Bu, müşterilere AWS'nin, özel olarak müşteri içeriğinin gizliliğini korumak için hazırlanmış bir denetim sistemine sahip olduğunu gösterir.

Bu kapsamlı AWS teknik ve organizasyonel önlemler, kişisel verileri korumak için PDPL ve PDPL kapsamında 47 Sayılı Kararname ile uyumludur. AWS hizmetlerini kullanan müşteriler, içerikleri üzerinde denetime sahiptir ve içerik sınıflandırması, şifreleme, erişim yönetimi ve güvenlik kimlik bilgileri gibi belirli ihtiyaçlarına dayanan ilave güvenlik önlemlerini uygulamadan sorumludur.

AWS müşteriler tarafından ağa yüklenen verileri görmediğinden ve bunların PDPL’ye tabi olup olmadığı da dahil olmak üzere bu veriler hakkında bilgi sahibi olmadığından, PDPL ve ilgili yönetmeliklere uyumluluğu müşterinin sorumluluğundadır. Bu sayfadaki içerik, uluslararası veri merkezlerinde kişisel verileri işlerken gereksinimlerinizi AWS Paylaşılan Sorumluluk Modeli ile uyumlu hale getirmenize yardımcı olmak için mevcut Veri Gizliliği kaynaklarına ek bilgiler içerir.

• Müşteri, kendi içeriğinin güvenliğini sağlamada hangi rolü üstlenir?

  AWS Paylaşılan Sorumluluk Modeli’ne göre AWS müşterileri, kendi kuruluşları içindeki veri merkezinde bulunan uygulamalarda olduğu gibi, kendi içerikleri, platformları, uygulamaları, sistemleri ve ağlarını korumak üzere uygulamayı tercih ettikleri güvenlik üzerindeki denetimi ellerinde tutar. Müşteriler, kendi uyumluluk gereksinimlerini yönetmek için AWS'nin sunduğu teknik ve kurumsal güvenlik önlemlerine ve denetimlerine ekleme yapabilir. Müşteriler, verilerini korumak için şifreleme ve çok faktörlü kimlik doğrulama gibi tanıdık önlemlerin yanı sıra, AWS Identity and Access Management gibi AWS'nin güvenlik özelliklerini de kullanabilir.

  Bir bulut çözümünün güvenliğini değerlendirirken, müşterilerin aşağıdakileri ve bunlar arasındaki farkı anlaması gerekir:

  • AWS'nin uygulamaya koyduğu ve kullandığı güvenlik önlemleri – "bulutun güvenliği" ve

  • AWS hizmetlerini kullanan müşteri içeriğinin ve uygulamalarının güvenliğiyle ilgili olarak müşterilerin uygulamaya koyduğu ve kullandığı güvenlik önlemleri – "buluttaki güvenlik"
    

  

• Müşteri içeriğine kim erişebilir?

  Müşteriler, kendi içeriklerinin sahibi olur ve denetimini elinde bulundurur, içeriklerinin hangi AWS hizmetleri tarafından işleneceğini, depolanacağını ve barındırılacağını kendileri seçer. AWS, müşteri içeriğini görüntüleyemez ve müşteri tarafından seçilen AWS hizmetlerini sağlama dışında veya bir kanun ya da bağlayıcı yasal emre uymak için gerekli olmadığı takdirde müşteri içeriğine erişmez veya bu içeriği kullanmaz.

  AWS hizmetlerini kullanan müşteriler, AWS ortamı içindeki içeriklerinin denetimine sahiptir. Şunları yapabilirler:

  • İçeriğin nerede bulunacağını, örneğin depolama ortamının türü ve depolamanın coğrafi konumunu seçebilir. 
  • İçeriğin biçimini; örneğin, düz metin, maskelenmiş, isimsiz ya da AWS'nin sağladığı veya müşterinin seçtiği üçüncü taraf şifreleme mekanizmasıyla şifreli olmasını denetleyebilir. 
  • Kimlik erişim yönetimi ve güvenlik kimlik bilgileri gibi diğer erişim denetimlerini yönetebilir. 
  • Yetkisiz erişimi önlemek için SSL, Sanal Özel Bulut ve başka ağ güvenliği önlemlerini kullanmayı seçebilir.

  Bunlar, AWS müşterilerine AWS'deki içeriklerinin tüm kullanım ömrü üzerinde denetim sahibi olmalarını ve içerik sınıflandırması, erişim denetimi, muhafaza etme ve silme gibi kendi belirli ihtiyaçlarına göre içeriklerini yönetmelerini sağlar.
  

• Müşteri içeriği nerede depolanır?

  AWS Küresel Altyapısı, iş yüklerinizi nasıl ve nerede çalıştırmak istediğinizi ve iş yüklerinizi çalıştırırken de aynı ağı, denetim düzlemini, API'leri ve AWS hizmetlerini kullanmanızı seçme olanağı sunar. Uygulamalarınızı küresel olarak çalıştırmak istiyorsanız, AWS Bölgeleri ve Erişilebilirlik Alanlarından herhangi birini seçebilirsiniz. Müşteri olarak, müşteri içeriğinizin depolandığı AWS Bölgelerini seçersiniz, böylece coğrafi gereksinimleriniz doğrultusunda seçtiğiniz konumlarda AWS hizmetlerini dağıtmanıza olanak sağlanır. Örneğin, Avustralya'daki bir AWS müşterisi verilerini yalnızca Avustralya'da depolamak isterse, AWS hizmetlerini yalnızca Asya Pasifik (Sidney) AWS Bölgesinde dağıtmayı seçebilir. Diğer esnek depolama seçeneklerini keşfetmek istiyorsanız AWS Bölgeleri web sayfasına bakın.
  

  Müşteri içeriğinizi birden fazla AWS Bölgesinde çoğaltabilir ve yedekleyebilirsiniz. Yasalara veya bir devlet organının bağlayıcı emrine uymak için gerekli olduğu durumlar dışında, anlaşmanız olmadan içeriğinizi seçtiğiniz AWS Bölgelerinin dışına taşımayacağız veya çoğaltmayacağız. Ancak tüm AWS hizmetlerinin tüm AWS Bölgelerinde erişilebilir olmayabileceğini lütfen unutmayın. Hangi AWS Bölgelerinde hangi hizmetlerin kullanılabilir olduğu hakkında daha fazla bilgi için AWS Regional Services web sayfasına bakın.
  

• AWS, veri merkezlerinin güvenliğini nasıl sağlar?

  AWS veri merkezi güvenlik stratejisi, bilgilerinizi korumaya yardımcı olan ölçeklenebilir güvenlik denetimlerinden ve çok katmanlı savunmadan oluşur. Örneğin; AWS, olası akış ve sismik faaliyet risklerini dikkatli bir şekilde yönetir. Veri merkezlerine erişimi sınırlandırmak için fiziksel engeller, güvenlik görevlileri, tehdit algılama teknolojisi ve kapsamlı tarama süreci kullanıyoruz. Sistemlerimizi yedekliyoruz, ekipmanları ve süreçleri düzenli olarak test ediyoruz ve beklenmedik durumlara hazır olmaları için AWS çalışanlarını devamlı olarak eğitiyoruz.

  Veri merkezlerimizin güvenliğinden emin olmak için, harici denetçiler yıl boyunca 2600'den fazla standarda ve gereksinime göre testler gerçekleştiriyor. Bu bağımsız inceleme, güvenlik standartlarının veya daha fazlasının devamlı olarak sağlandığından emin olmamıza yardım ediyor. Sonuç olarak da dünyada denetime en çok tabi tutulan kuruluşlar, verilerini korumak için AWS'ye güveniyor.
  

  AWS veri merkezlerimizin tasarım gereği güvenliğini nasıl sağladığımız hakkında daha fazla bilgi edinmek için sanal tura katılın.
  

• Hangi AWS Bölgelerini kullanabilirim?

  Müşteriler Brezilya ve ABD'deki Bölgeler de dahil olmak üzere herhangi bir Bölgeyi, tüm Bölgeleri veya her türlü Bölgeler kombinasyonunu kullanmayı tercih edebilir. AWS Bölgelerinin tam listesi için, AWS Küresel Altyapı sayfasını ziyaret edin.

• Arjantin Veri Koruma Kurumu’na göre, belirli ülkeler kişisel veriler için “yeterli düzeyde koruma” sağlıyor. Bu ülkelerden herhangi birinde bir AWS Bölgesi bulunuyor mu?

  PDPL'ye göre veri denetçileri (ör. AWS müşterileri), kişisel veriler için ADPA'nın belirlediği "yeterli düzeyde koruma" sağlayan yargılara kişisel verilerini aktarabilir. ADPA'nın yayımladığı 60-E/2016 Düzenlemesine göre, Avrupa Birliği (AB) ve Avrupa Ekonomik Topluluğu (AET) üye devletleri, kişisel veriler için yeterli düzeyde koruma sağlamaktadır.

  AWS, ADPA'nın PDPL uyarınca "yeterli düzeyde koruma" sağladığını kabul ettiği AB'de Almanya, Fransa, Birleşik Krallık ve İrlanda gibi birçok ülkede Bölgeye sahiptir. AWS Bölgelerinin tam listesi için, AWS Küresel Altyapı sayfasını ziyaret edin.

  AWS, seçtiğiniz Bölge fark etmeksizin veri merkezlerine aynı güvenlik standartlarını uygular.
  

• Brezilya ve ABD de dahil olmak üzere herhangi bir ülkeye aktarılan kişisel verilerin korunması için, AWS hangi uluslararası veri aktarımı sözleşmelerini sunuyor?

  AWS, müşterilerle yaptığı sözleşmelerde, müşterinin verilerini depolamak için seçtiği her Bölgedeki müşteri içeriğine kapsamlı şekilde uygulanan belirli güvenlik ve gizlilik taahhütleri sunuyor. AWS’nin taahhütleri, kişisel verileri korumak için PDPL kapsamındaki 60-E/2016 sayılı temlik ve 47/2018 sayılı kararname hedefleriyle uyumludur.

  Ayrıca AWS, küresel olarak geçerli olan ve her bir tarafın kişisel verilerin gizliliği ve güvenliği ile ilgili rollerini ve yükümlülüklerini yeterince ele almak için özel sözleşme taahhütleri içeren bir veri aktarım sözleşmesi olarak da adlandırılan uluslararası bir Veri İşleme Eki (DPA) sunmaktadır.

  Müşteriler, belirli müşteri ihtiyaçlarına en iyi uyacak şekilde özelleştirilebilecek olan AWS ile Kurum Sözleşmesi yapma seçeneğine de sahiptir. AWS Kurum Sözleşmeleri veya DPA hakkında daha fazla bilgi için lütfen AWS satış temsilcinizle iletişime geçin.