CISPE Veri Koruma Davranış Kuralları

Avrupa'daki Bulut Altyapısı Hizmeti Sağlayıcıları Veri Koruma Davranış Kuralları (CISPE Kuralları), Avrupa Birliği Genel Veri Koruma Yönetmeliği'nin (GDPR) 40. Maddesi uyarınca bulut altyapısı hizmetleri sağlayıcılarına odaklanan ilk Pan-Avrupa veri koruma davranış kurallarıdır. Mayıs 2021'de Avrupa Veri Koruma Kurulu (EDPB) tarafından onaylanmış ve Fransız Veri Koruma Kurumu (CNIL) tarafından Haziran 2021'de resmi olarak kabul edilmiştir.

CISPE Kuralları, kuruluşlara bulut altyapısı hizmet sağlayıcılarının GDPR kapsamındaki bir veri işleyicisi için geçerli gereksinimleri karşıladığını garanti eder. Bu, GDPR'ye uygunlukları bağımsız olarak doğrulanmış hizmetler seçebilecekleri konusunda bulut müşterilerine ek güven sağlar.

AWS'nin CISPE Kurallarına bağlılığı, müşterilerimize, AWS'nin GDPR'nin 28. Maddesi uyarınca işleyiciler için geçerli gereksinimleri karşılayan sözleşme ve operasyon önlemlerini uygulamaya koyduğuna dair ek teminat sağlamaktadır. AWS'nin CISPE Kurallarına uygunluğu, CNIL tarafından İzleme Kurumu olarak akredite edilmiş bir dış denetçi olan EY CertifyPoint tarafından doğrulanmıştır.

CISPE Kuralları, GDPR uygunluğunun da ötesine geçerek, bulut altyapısı hizmet sağlayıcılarının, müşterilere verilerini tamamen Avrupa Ekonomik Alanı içinde depolama ve işleme seçeneği sunmasını gerektirir. Bulut altyapısı hizmet sağlayıcılarının ayrıca, beyan edilen hizmetleri sağlamak ve sürdürmek için gerekli olduğu durumlar haricinde hiçbir müşteri verisine erişmeyeceklerini veya bu verileri kullanmayacaklarını taahhüt etmesi gerekir. Özellikle bulut altyapısı hizmet sağlayıcılarının müşteri verilerini veri madenciliği, profil oluşturma veya doğrudan pazarlama dahil olmak üzere kendi amaçları için kullanmayacaklarını taahhüt etmesi gerekmektedir.

CISPE Kuralları, bulut müşterilerinin, GDPR'ye uygunluk sağlayarak kullanılabilecek bulut altyapısı hizmetlerini güvenle seçmesine olanak tanır. CISPE Kuralları, kuruluşlara bulut altyapısı hizmet sağlayıcılarının GDPR kapsamındaki bir veri işleyicisi için geçerli gereksinimleri karşıladığını garanti eder. Bu, GDPR'ye uygunlukları bağımsız olarak doğrulanan bulut hizmetleri seçebilecekleri konusunda bulut müşterilerine ek güven sağlar. AWS, müşterilerimize ek teminat sağlaması nedeniyle hizmetlerinin CISPE Kuralları kapsamında olduğunu duyurdu. CISPE Kuralları, bulut altyapısı hizmetlerine odaklanan ilk Pan-Avrupa veri koruma davranış kurallarıdır; veri koruma baş makamı olarak görev yapan Fransız Veri Koruma Kurumu (CNIL) tarafından onaylanmıştır ve Avrupa Veri Koruma Kurulu tarafından desteklenmektedir.

Evet. AWS tüm müşteri içeriklerine yönelik olarak CISPE Kurallarında vurgulanan yüksek bir veri koruma ve gizlilik denetimleri standardına sahiptir.

EY CertifyPoint (EYCP) bağımsız olarak AWS hizmetlerinin CISPE Kurallarına uygun olduğunu onaylamıştır. EYCP, CNIL tarafından akredite edilmiş ve bulut altyapısı hizmet sağlayıcısının CISPE Kurallarına uygunluğunu doğrulayan ilk "izleme kurumudur". CNIL, daha sonra Bureau Veritas ve LNE de dahil olmak üzere diğer pek çok izleme kurumunu akredite etti. Bunların tümü, şirketlerin veri koruma gereksinimlerine uygunluklarını doğrulama konusunda kanıtlanmış deneyime sahip uluslararası düzeyde kabul gören bağımsız denetçiler ve sertifika kurumlarıdır.

CISPE Kuralları'na uyduğu beyan edilen hizmetler, CISPE Kamu Sicili'ne "Kontrole Tabi Uygunluk" olarak kaydedilmiştir. Bu hizmetlere yönelik olarak AWS'nin CISPE Kuralları gerekliliklerine uygunluğu, CNIL tarafından akredite edilmiş bağımsız bir İzleme Kurumu olan EY CertifyPoint tarafından doğrulanmıştır. CISPE Kuralları kapsamına giren AWS hizmetleri, Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri bağlantısında da bulunabilir.

AWS diğer bulut sağlayıcılarına kıyasla çok daha fazla güvenlik standardına ve uygunluk sertifikasına sahiptir; bu bağlamda, düzenleyici mevzuat ortamı geliştikçe biz de müşterilerimizin ihtiyaçlarını sürekli olarak gözden geçiriyoruz. CISPE Kuralları, müşterilerimizin GDPR'ye uygun şekilde kullanılabilecek ve günümüzde müşterilerimizin uygunluk gereksinimlerini karşılayan bulut altyapısı hizmetlerini güvenle seçmesine olanak tanır.

AB Bulut Davranış Kuralları, CISPE Kurallarına benzer unsurlar ve yaklaşımlar içeren farklı bir girişimdir. AWS; CISPE Kurallarının, GDPR'ye yönelik AWS uygunluğunu ortaya koyan ve müşterilerimizin bununla ilişkili beklentilerine cevap veren mükemmel bir araç olduğuna inanmaktadır. Düzenleyici mevzuat ortamı geliştikçe müşterilerimizin ihtiyaçlarını gözden geçirmeye devam edeceğiz.