Kanada Veri Gizliliği

Genel Bakış

AWS müşterileri bir AWS ortamı tasarlayıp uygulamaya aldıktan sonra AWS hizmetlerini Kanada federal, eyalet ve bölge gizlilik yasaları kapsamındaki yükümlülüklerini karşılayacak şekilde kullanabilir.

AWS'de depolanan içeriklerini yönetme ve bu içeriklere erişme konusunda denetim her zaman müşterilerdedir. AWS, müşteriler tarafından hizmetlerine yüklenen verilerin Kanada gizlilik yasalarına konu olup olmadığı dahil olmak üzere bu veriler hakkında bilgi sahibi olmadığından, yürürlükteki yasalara uygunluğu sağlamak müşterinin sorumluluğundadır.

Veri aktarım sözleşmesi olarak da adlandırılan AWS Veri İşleme Eki (AWS DPA), küresel çapta geçerlidir ve her bir tarafın kişisel verilerin gizliliği ve güvenliği ile ilgili rollerini ve yükümlülüklerini yeterince ele almak için özel sözleşme taahhütleri içerir.

Kanada'da kişisel bilgilerin korunmasıyla ilgili çeşitli yasalar vardır. Bu yasalar; federal, eyalet ve bölge düzeylerinde çeşitli devlet kuruluşları ve kurumları tarafından uygulanır.

Federal düzeyde, Kişisel Bilgilerin Korunması ve Elektronik Belgeler Yasası (PIPEDA) özel sektördeki kişisel bilgilerin toplanması, kullanılması ve ifşa edilmesi için geçerliyken Gizlilik Yasası kamu sektöründe geçerli olabilir. Kanada Gizlilik Komisyonu (OPC) her iki yasanın da uygulanmasını denetler.

Kanada eyaletlerinde ve bölgelerinde hem kamu sektörü hem de özel sektör için gizlilik yasalarının yanı sıra kişisel sağlık bilgileri gibi belirli türde kişisel verilere özgü gizlilik yasaları da uygulanmaktadır. OPC web sitesi, bu eyalet ve bölge yasalarına ve yetkililerine genel bir bakış sağlar.

Verilerini Kanada'da işlemek isteyen müşteriler için Montreal yakınlarındaki AWS Kanada (Orta) Bölgesi ve Calgary yakınlarındaki Kanada (Batı) Bölgesi kullanılabilir. AWS Bölgeleriyle hizmetlerinin tam listesi için Küresel Altyapı sayfasını ziyaret edin.

SSS

• Müşteriler, kullanım durumları için hangi Kanada gizlilik yasalarının geçerli olduğunu nasıl belirleyebilir?

  Bir AWS müşterisinin PIPEDA, Gizlilik Yasası veya diğer Kanada gizlilik gereksinimlerine tabi olup olmaması veya tabi olma ölçütü, müşterinin yaptığı işe ve kullanım durumuna göre değişiklik gösterebilir. Müşteriler, tabi oldukları gizlilik yasalarını belirlemek üzere hukuk danışmanlarıyla irtibata geçmelidir.

• Müşteriler, AWS'deki Kanada gizlilik yasalarına nasıl uyum sağlayabilir?

  Kanada gizlilik yasaları kapsamındaki müşteriler, kişisel bilgilerin toplanması, erişim sağlanması, kullanılması, ifşa edilmesi ve korunmasıyla ilgili gereksinimlere uymak zorunda olabilir. AWS, AWS hizmetleri kullanılarak depolanan veya işlenen içeriklerin güvenliğinin sağlanması ve bu içeriklere erişebilecek kişilerin belirlenmesi dahil olmak üzere denetimi müşterilere bırakır. AWS, müşterilerin AWS üzerinde depoladığı kişisel bilgilerin güvenliğini sağlama konusunda yardımcı olmak üzere yapılandırabileceği ve kullanabileceği hizmetler sunmaktadır ve ilgili gizlilik gereksinimlerine uygun bir çözüm tasarlanması müşterinin sorumluluğundadır.

  AWS, AWS Uygunluk Kaynakları sayfasında bu konuyla ilgili çalışma kitapları, teknik incelemeler ve en iyi uygulama kılavuzları sağlamaktadır. Ayrıca müşteriler, AWS Artifact hizmetinden AWS üçüncü taraf denetim raporlarına erişebilir.

• Bir AWS müşterisinin kişisel verileri Kanada dışına aktarmasını veya Kanada dışında saklamasını yasaklayan bir Kanada gizlilik yasası var mı?

  Müşteriler, kuruluşları ve kullanım örnekleri için hangi Kanada gizlilik yasalarının veya diğer yükümlülüklerin geçerli olabileceğini belirlemek için kendi hukuk danışmanlarına danışmalıdır.

• Kişisel bilgilerin şifrelenmesini gerektiren bir Kanada gizlilik yasası var mı?

  Kanada gizlilik yasalarına tabi olan kurumlar kişisel bilgilerin güvenliğini sağlamak için gerekli önlemleri almalıdır ve şifrelemenin güvenlik ve uygunluk yükümlülüklerini karşılamak için gerekli olup olmadığını belirlemek her bir müşterinin kendi sorumluluğundadır.

  AWS, bir en iyi uygulama olarak müşterilerin bekleyen ve taşınan verilerini şifrelemesini önerir. Ek rehberlik için Bekleyen ve Taşınan Verileri Şifreleme kısmına başvurun.

• Müşteri, AWS'deki içeriklerinin güvenliğini sağlamada hangi rolü üstlenir?

  Bir bulut çözümünün güvenliğini değerlendirirken, müşterilerin aşağıdakileri ve bunlar arasındaki farkı anlaması gerekir:

  • AWS'nin uygulamaya koyduğu ve kullandığı güvenlik önlemleri - "bulutun güvenliği" ve
  • AWS hizmetlerini kullanan müşteri içeriğinin ve uygulamalarının güvenliğiyle ilgili olarak müşterilerin uygulamaya koyduğu ve kullandığı güvenlik önlemleri - "buluttaki güvenlik".

  

  AWS Paylaşılan Sorumluluk Modeli'ne göre AWS müşterileri, kendi kuruluşları içindeki veri merkezinde bulunan uygulamalarda olduğu gibi, kendi içerikleri, platformları, uygulamaları, sistemleri ve ağlarını korumak üzere uygulamayı tercih ettikleri güvenlik üzerindeki denetimi ellerinde tutar. Müşteriler, AWS güvenlik hizmetlerine ve AWS Kimlik ve Erişim Yönetimi (IAM) gibi özelliklere ek olarak, verilerini korumak ve uygunluk gereksinimlerini karşılamak için şifreleme ve çok faktörlü kimlik doğrulaması gibi bilindik güvenlik önlemlerini kullanabilir.

• AWS'de müşteri içeriğine kimler erişebilir?

  Müşteriler, kendi içeriklerinin sahibi olur ve denetimini elinde bulundurur, içeriklerinin hangi AWS hizmetleri tarafından işleneceğini, depolanacağını ve barındırılacağını kendileri seçer. AWS, bir müşteri tarafından seçilen AWS hizmetlerini sürdürmek veya sağlamak veya AWS Müşteri Sözleşmesi'nde belirtilen yasalara veya bir devlet kurumunun bağlayıcı emrine uymak için gerekli olduğu durumlar dışında müşteri içeriğine erişmez veya bu içeriği kullanmaz.

  AWS hizmetlerini kullanan müşteriler, AWS ortamı içindeki içeriklerinin denetimine sahiptir. Şunları yapabilirler:

  • Örneğin depolama ortamının türünü ve depolamanın coğrafi konumunu seçerek içeriğin nerede bulunacağını belirleyebilir;
  • İçeriklerinin biçimini; örneğin, düz metin, maskelenmiş, isimsiz ya da AWS'nin sağladığı veya müşterinin seçtiği üçüncü taraf şifreleme mekanizmasıyla şifreli olmasını denetleyebilir;
  • AWS Kimlik ve Erişim Yönetimi (IAM) gibi erişim denetimlerini yönetebilir ve
  • Yetkisiz erişimi önlemek için şifreleme, Amazon Sanal Özel Bulut (VPC) özellikleri ve diğer ağ ve veri güvenliği önlemlerinin kullanılıp kullanılmayacağını kontrol edebilirler.

  Bunlar, AWS müşterilerine AWS'deki içeriklerinin tüm kullanım ömrü üzerinde denetim sahibi olmalarını ve içerik sınıflandırması, erişim denetimi, muhafaza etme ve silme gibi belirli ihtiyaçlarına göre içeriklerini yönetmelerini sağlar.

• Müşteri içeriği nerede depolanır?

  AWS Küresel Altyapısı, size iş yüklerinizi nasıl ve nerede çalıştırmak istediğinizi seçme esnekliği sağlar. Müşteri olarak, müşteri içeriğinizin depolandığı AWS Bölgelerini seçersiniz. Böylece gereksinimleriniz doğrultusunda seçtiğiniz konumlarda AWS hizmetlerini dağıtmanıza olanak sağlanır. Diğer esnek depolama seçeneklerimizi keşfetmek istiyorsanız AWS Bölgeleri web sayfasına bakın.

  Müşteri içeriğinizi birden fazla AWS Bölgesinde çoğaltabilir ve yedekleyebilirsiniz. Yasalara veya bir devlet organının bağlayıcı emrine uymak için gerekli olduğu durumlar dışında, anlaşmanız olmadan içeriğinizi seçtiğiniz AWS Bölgelerinin dışına taşımayacağız. Ancak tüm AWS hizmetlerinin tüm AWS Bölgelerinde erişilebilir olmayabileceğini lütfen unutmayın. Hangi AWS Bölgelerinde hangi hizmetlerin kullanılabilir olduğu hakkında daha fazla bilgi için AWS Bölgesel Hizmetler web sayfasına bakın.

• AWS'nin, sistemleri korumak için uygulamaya hazır olduğu güvenlik önlemleri nelerdir?

  AWS, uygulamaları ve iş yüklerini oluşturmak, taşımak ve yönetmek için en güvenli küresel bulut altyapısı olarak tasarlanmıştır. Bu altyapı, AWS hizmetlerini çalıştıran ve kişisel verilerin işlenmesi için müşterilere güvenlik yapılandırması denetimleri dahil olmak üzere güçlü denetimler sağlayan donanımlar, yazılımlar, ağ iletişimleri ve tesislerden oluşur.

  AWS, çeşitli güvenlik standartlarına (SOC 2 Tür 2, ISO 27001, ISO 27017 ve ISO 27018 dahil) uygunluğunuzu test edip onaylayan üçüncü taraf denetim kuruluşları tarafından hazırlanmış bazı uygunluk raporları sunar. Kanada'da AWS hizmetleri, Kanada Siber Güvenlik Merkezi tarafından da değerlendirilmektedir.

  Bu ölçümlerin verimliliği üzerinde şeffaflık sağlamak için, AWS Artifact'te üçüncü taraf denetim raporlarına erişme olanağı sunuyoruz. Bu raporlar müşterilerimize kişisel verileri depolayıp işlemek için kullandıkları temel altyapıyı koruduğumuzu gösterir. Daha fazla bilgi için Uygunluk Kaynakları sayfamızı ziyaret edin.

• AWS, veri merkezlerinin güvenliğini nasıl sağlar?

  AWS veri merkezi güvenlik stratejisi, bilgilerinizi korumaya yardımcı olan ölçeklenebilir güvenlik denetimlerinden ve çok katmanlı savunmadan oluşur. Örneğin AWS, olası akış ve sismik faaliyet risklerini dikkatli bir şekilde yönetir. Veri merkezlerine erişimi sınırlandırmak için fiziksel engeller, güvenlik görevlileri, tehdit algılama teknolojisi ve kapsamlı tarama süreci kullanıyoruz. Sistemlerimizi yedekliyoruz, ekipmanları ve süreçleri düzenli olarak test ediyoruz ve beklenmedik durumlara hazır olmaları için AWS çalışanlarını devamlı olarak eğitiyoruz.

  Veri merkezlerimizin güvenliğinden emin olmak için, harici denetçiler yıl boyunca 2600'den fazla standarda ve gereksinime göre testler gerçekleştiriyor. Bu bağımsız inceleme, güvenlik standartlarının veya daha fazlasının devamlı olarak sağlandığından emin olmamıza yardım ediyor. Sonuç olarak da dünyada denetime en çok tabi tutulan kuruluşlar, verilerini korumak için AWS'ye güveniyor.

  AWS veri merkezlerimizin tasarım gereği güvenliğini nasıl sağladığımız hakkında daha fazla bilgi edinmek için sanal tura katılın.