Genel Veri Koruma Yönetmeliği (GDPR) Merkezi

Müşteri kontrolü

Avrupa Ekonomik Alanı (AEA) dışındaki aktarımlar

Teknik ve kurumsal önlemler

• GDPR, AWS paylaşılan sorumluluk modelini nasıl etkiler?

  GDPR, müşteriler için geçerli olmaya devam eden AWS paylaşılan sorumluluk modelini değiştirmez. Paylaşılan sorumluluk modeli, GDPR kapsamında AWS'nin (bir veri işleyicisi ve alt işleyici olarak) ve müşterilerin (veri denetçileri veya veri işleyicileri olarak) çeşitli sorumluluklarının gösterilmesi için kullanışlı bir yaklaşımdır.

  Paylaşılan sorumluluk modeli kapsamında AWS, AWS hizmetlerini (“Bulutun Güvenliği”) destekleyen temel altyapının güvenliğini sağlamaktan sorumludur ve veri denetleyicileri veya veri işleyicileri olarak hareket eden müşteriler, AWS hizmetlerine (“Bulutta Güvenlik”) yükledikleri tüm kişisel verilerden sorumludur.
  

  AWS'nin sorumluluğu “Bulutun Güvenliği” – AWS, AWS hizmetlerinin çalıştırıldığı altyapıyı korumaktan sorumludur. Bu altyapı, AWS hizmetlerini çalıştıran ve müşteriler kendi içeriklerinin işlenmesi için güvenlik yapılandırması denetimleri dahil olmak üzere güçlü denetimler sağlayan donanımlar, yazılımlar, ağ iletişimleri ve tesislerden oluşur. AWS, çeşitli bilgisayar güvenlik standartları ve düzenlemeleriyle uyumluluğumuzu doğrulayan üçüncü taraf denetçilerden çeşitli uyumluluk raporları sağlar (daha fazla bilgi için AWS Uyumluluğu web sayfasını ziyaret edin). Bu raporlar müşterilerimize müşteri verilerini koruduğumuzu gösterir. Örnekler arasında AWS’nin ISO 27001, 27017 ve 27018 uyumluluğu sayılabilir. ISO 27018, müşteri verilerinin korunmasına odaklanan güvenlik denetimleri içerir.
  

  Müşteri sorumluluğu “Bulutta Güvenlik” - AWS müşterileri, AWS hizmetlerinde devreye almayı seçtikleri uygulama ve çözümlerin mimarisini ve güvenliğini sağlamaktan sorumludur. AWS müşterileri, AWS hizmetlerini müşteri verilerinin gizliliğini, bütünlüğünü ve güvenlik gereksinimlerini koruyacak şekilde yapılandırmaktan da sorumludur. Müşterilerin müşteri verilerini güvence altına almak için sahip olduğu belirli sorumluluklar, müşterilerin kullanmayı seçtikleri AWS hizmetlerine ve bu hizmetlerin müşterilerin BT ortamlarına nasıl entegre edildiğine bağlı olarak değişiklik gösterir. AWS müşterileri, müşteri verileri üzerinde görünürlük ve denetime sahiptir ve belirli türdeki müşteri verilerinin hassasiyetine dayalı olarak esnek güvenlik denetimleri uygulayabilir. Müşteriler bunu kendi güvenlik önlemleri ve araçlarını kullanarak veya AWS veya diğer tedarikçiler tarafından sağlanan güvenlik önlemleri ve araçlarını kullanarak yapabilir. Bu şekilde müşteriler, daha hassas müşteri verileri için ek güvenlik katmanları yerleştirebilir.
  

  AWS, müşterilerin uygulamalarını ve çözümlerini tasarlamak ve güvenceye almak için kullanabilecekleri ve GDPR gereksinimlerini karşılamaya yardımcı olmak için dağıtılabilecek, aşağıdakiler de dahil olmak üzere, kullanılabilir ürünler, araçlar ve hizmetler sunar:

  • AWS Identity and Access Management (IAM) ile kurumlar AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilir. Müşteriler, IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
  • AWS CloudTrail, kurumların AWS'de gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu, güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
  • Amazon GuardDuty, AWS hesaplarının ve iş yüklerinin korunmasına yardımcı olmak amacıyla sürekli olarak kötü amaçlı veya yetkisiz davranışları izleyen bir yönetilen tehdit algılama hizmetidir. Olağan dışı API çağrıları veya yetkisiz olabilecek dağıtımlar gibi olası hesap ihlallerine işaret edebilecek etkinlikleri izler. GuardDuty, güvenliği ihlal edilmiş olabilecek bulut sunucularını ve saldırganlar tarafından keşif gerçekleştirildiğini de algılar.
  • Amazon Macie, Amazon S3'te depolanan kişisel verilerin bulunup sınıflandırılmasına yardımcı olmaya yönelik bir makine öğrenimi aracı

  AWS kaynaklarının GDPR ile uyumlu olarak nasıl kullanılacağına ilişkin daha fazla ayrıntı için lütfen AWS’de GDPR Uyumluluğunda Gezinme başlıklı teknik incelememize bakınız.
  

• AWS Çözüm Ortakları, GDPR uyumluluğuna yardımcı olacak ürünler ve hizmetler sunuyor mu?

  GDPR uygunluğu konusunda yardımcı olabilecek ürün ve hizmetlere sahip ISV'leri, MSP'leri ve SI çözüm ortaklarını bulmaya yardımcı olmak amacıyla AWS Çözüm Ortağı Çözümleri Bulucu'da "GDPR" için arama yapabilirsiniz. Müşteriler, AWS Marketplace'te de "GDPR" çözümleri için arama yapabilir.

• AWS, GDPR mevzuat uyumluluğu için profesyonel hizmetler yardımı sunuyor mu?

  Evet, AWS Güvenlik Güvencesi Hizmetleri ekibinin, müşterilere GDPR uyumluluğuna giden yolculuklarında yardımcı olacak bir dizi etkinliği vardır. Sektör sertifikalı uyumluluk uzmanlarından oluşan bu ekip, geçerli uyumluluk standartlarını AWS hizmetine özgü özellikler ve işlevlerle birleştirerek müşterilerin bulutta uyumluluğu sağlamasına, sürdürmesine ve otomatikleştirmesine yardımcı olur. AWS Professional Services Danışmanlarının müşterilere nasıl yardımcı olduğu hakkında daha fazla ayrıntı burada bulunabilir.
  

• GDPR uygunluğuna giden yolda AWS Support bana nasıl yardımcı olabilir?

  Müşteriler, GDPR uyumluluğuna giden yolda kendilerine yardımcı olacak teknik rehberlik almak için AWS Support’u kullanabilir. Bu çalışmanın bir parçası olarak mevzuat uyumluluğu risklerinin belirlenip giderilmesine yardımcı olacak şekilde eğitilmiş Bulut Destek Mühendisi ve Teknik Müşteri Yöneticisi (TMY) ekiplerimiz vardır. AWS’nin sağladığı destek düzeyi, müşterilerin seçtiği AWS Support Plan’ına bağlıdır. AWS Premium Support aboneliğinin nasıl yardımcı olabileceğini anlamak isteyen müşteriler, AWS Management Console üzerinden erişilebilen AWS Support Center'da, AWS ile imzalanan Enterprise Support Sözleşmesi'nde belirtilen iletişim bilgilerini kullanarak veya AWS Support web sayfasını ziyaret ederek daha fazla bilgi edinebilir. Enterprise Support aboneliği olan müşteriler, GDPR ile ilgili soruları için TAM temsilcilerine ulaşmalıdır.
  

  Müşteriler, GDPR uyumluluğunu sürdürürken aşağıdaki iki programı faydalı bulabilir:
  

  • Cloud Operations Review – AWS Enterprise Support müşterilerinin yararlanabileceği bu program, bulutta çalışmaya yönelik yaklaşımdaki boşlukların tespit edilmesine yardımcı olacak şekilde tasarlanmıştır. AWS'nin büyük bir temsilci müşteri kümesiyle olan deneyimlerinden elde edilmiş bir dizi en iyi operasyonel uygulamadan yola çıkılarak oluşturulan bu program, bulut işlemlerini ve ilişkili yönetim uygulamalarını gözden geçirme olanağı sunarak GDPR uyumluluğuna giden yolda kurumlara yardımcı olabilir. Program, operasyonel kusursuzluğu hedefleyerek bulut kaynaklı sistemleri hazırlama, izleme, çalıştırma ve iyileştirmeye odaklı dört temel ilkeye dayanan bir yaklaşım kullanır.
  • Well-Architected Review – Bu program, kurumların mimarilerini en iyi AWS uygulamalarıyla karşılaştırmalı bir biçimde ölçmesine ve güvenli, güvenilir, yüksek performanslı ve uygun maliyetli mimariler oluşturmasına imkan tanır. Well-Architected Review'lar müşterilerin mimarinin nerelerinde risk olduğunu anlamasına ve uygulamalar üretime geçirilmeden önce bu riskleri gidermesine de imkân tanır.
    
    

• AWS, müşterilerin kişisel verilerin güvenliğinin ihlaline ilişkin bildirimler konusunda GDPR kapsamındaki yükümlülüklerini karşılamasına nasıl yardımcı olabilir?

  AWS'nin bir güvenlik olayı izleme ve veri ihlali bildirim süreci vardır ve AWS'nin güvenliğine ilişkin ihlalleri müşterilere gecikmeden ve AWS DPA'ya uygun olarak bildirir. AWS, müşterilere sahip oldukları kaynaklara kimin, ne zaman ve nereden eriştiğini anlamaya yönelik bir dizi araç da sunar. Bu araçlardan biri de AWS hesabının yönetim, uyumluluk, operasyonel denetim ve risk denetimini mümkün kılan AWS CloudTrail'dır. AWS CloudTrail ile müşteriler, AWS altyapılarının tamamında gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydedebilir, sürekli olarak izleyebilir ve tutabilir. Bu, kurumların AWS altyapılarında olup bitenleri anlamasına ve olağan dışı etkinlikler karşısında hemen harekete geçmesine yardımcı olur. AWS CloudTrail ve AWS'nin veri denetçileri olarak GDPR kapsamında üstlendikleri yükümlülükleri yerine getirme konusunda müşterilere yardımcı olmak için sunduğu diğer güvenlik araçları hakkında daha fazla bilgi edinmek için şu adresi ziyaret edin: AWS Cloud Security web sayfası.  

• AWS, müşteri verilerimi siber saldırılara karşı korumama nasıl yardımcı olur?

  AWS, müşterilere ve APN Çözüm Ortaklarına sahip oldukları müşteri verilerinin güvenliğinin sağlanmasına ve siber saldırılara karşı korunmasına yardımcı olmaya yönelik bir dizi araç sunar. Bu araçlardan biri de AWS Shield'dır. Bu, AWS'de çalışan web sitelerinin ve uygulamaların korunmasına yönelik, yönetilen bir Dağıtılmış Hizmet Engelleme (DDoS) koruma hizmetidir. AWS Shield Standard ek ücret olmaksızın sunulur ve uygulama kapalı kalma süresi ile gecikme süresini en aza indirebilecek her zaman açık algılama ve otomatik satır içi düzeltme olanağı sağlar. AWS'de çalışan ve ELB, Amazon CloudFront ve Amazon Route 53 kaynakları kullanan web uygulamalarını hedefleyen saldırılara karşı daha üst düzey bir koruma sağlamak isteyen müşteriler ve APN Çözüm Ortakları, AWS Shield Advanced hizmetine abone olabilir. AWS ayrıca müşterilerin AWS'yi kullanarak DDoS saldırılarına karşı dayanıklı uygulamalar geliştirmesine yardımcı olabilecek DDoS Dayanıklılığı için AWS En İyi Uygulamaları teknik incelemesini yayınlar ve düzenli olarak günceller.

  AWS’nin müşteri verilerini siber saldırılara karşı korumaya yardımcı olması gereken diğer araçlar arasında şunlar yer alır:

  • AWS Identity and Access Management (IAM) ile kurumlar AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilir. Müşteriler ve APN Çözüm Ortakları IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
  • AWS Config, müşterilerin ve APN Çözüm Ortaklarının AWS kaynaklarının düzgün yapılandırılmış ve uyumlu bir durumda olduğundan emin olmasına yardımcı olan önceden paketlenmiş kuralları etkinleştirmesine imkan tanır.
  • AWS CloudTrail, kurumların AWS'de gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu, güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
  • Amazon GuardDuty, AWS hesaplarının ve iş yüklerinin korunmasına yardımcı olmak amacıyla sürekli olarak kötü amaçlı veya yetkisiz davranışları izleyen bir yönetilen tehdit algılama hizmetidir. Olağan dışı API çağrıları veya yetkisiz olabilecek dağıtımlar gibi olası hesap ihlallerine işaret edebilecek etkinlikleri izler. GuardDuty, güvenliği ihlal edilmiş olabilecek bulut sunucularını ve saldırganlar tarafından keşif gerçekleştirildiğini de algılar.

• AWS’deki içeriğimdeki kişisel verileri tanımlamama yardımcı olacak hangi araçlar mevcut?

  Amazon Macie, AWS'deki kişisel verilerinizi keşfetmek ve korumak için makine öğrenimi ve desen eşlemeyi kullanan, tamamen yönetilen bir veri güvenliği ve veri gizliliği hizmetidir. Kuruluşlar giderek artan veri hacimlerini yönetirken uygun ölçekte kişisel verilerini tanımlamak ve korumak her geçen gün daha karmaşık, pahalı ve zaman alan bir iş olabilir. Amazon Macie, uygun ölçekte kişisel verilerin keşfedilmesini otomatik hale getirir ve verilerinizi koruma maliyetini düşürür. Macie, AWS Organizations'da tanımladıklarınız hariç olmak üzere şifrelenmemiş klasörler, genel erişime açık klasörler ve AWS hesaplarıyla paylaşılan klasörlerin bir listesini içeren bir Amazon S3 klasörleri envanterini otomatik olarak sağlar. Ardından Macie, makine öğrenimi ve desen eşleme tekniklerini tanımlanması için seçtiğiniz klasörlere uygular ve kişisel veriler konusunda sizi uyarır.
  

  Amazon Macie, uluslararası geçerliliği olan bulut güvenliği için ISO 27017, bulut gizliliği için ISO 27018 gibi standartlarda sertifikalıdır. Müşteriler ve APN Çözüm ortakları Macie'yi kullanarak erişim düzenlerine göre şüpheli etkinlikleri algılamak için kendi verilerine erişimi sürekli izleyebilir.
  

• AWS'deki içeriklerimin içindeki kişisel verilere erişimi nasıl denetleyebilirim?

  AWS, müşterilere GDPR uyumluluğu konusunda yardımcı olmak için AWS'de sahip oldukları içeriklerin barındırdığı kişisel verilere erişimi denetlemeye yönelik bir dizi araç sunar. Bunlara aşağıdakiler dahildir:

  • Varsayılan olarak güvenlik, AWS hizmetlerinin varsayılan olarak güvenli olacak şekilde tasarlandığı anlamına gelir. Varsayılan yapılandırma kullanılırsa kaynaklara erişim yalnızca hesap sahibi ve kök yöneticisi tarafından açılabilecek şekilde kilitlenir.
  • AWS Identity and Access Management (IAM) ile AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilirsiniz. Kurumlar IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
  • AWS Multi-Factor Authentication, bir AWS hesabının kullanıcı adına ve parolasına ek olarak fazladan bir koruma katmanı sağlar. AWS, müşterilere sanal ve donanımsal MFA cihazları arasında seçim yapma seçeneği sunar.
  • AWS Directory Service, müşteriler için kurumsal dizinlerle entegrasyon ve federasyon aracılığıyla yönetim yükünü azaltmanıza ve son kullanıcı deneyimini iyileştirmenize olanak tanır.
  • AWS Config, müşterilerin AWS kaynaklarının düzgün yapılandırılmış ve uyumlu bir durumda olduğundan emin olmasına yardımcı olan önceden paketlenmiş kuralları etkinleştirmesine imkan tanır.
  • AWS CloudTrail, müşterilerin AWS altyapıları arasında gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu, güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
  • Amazon Macie, AWS'deki hassas verileri otomatik olarak keşfederek, sınıflandırarak ve koruyarak müşterilerin veri kaybını önlemesine yardımcı olmak için makine öğrenimi kullanan bir güvenlik hizmetidir. Tümüyle yönetilen hizmet, sürekli olarak veri erişimi etkinliğindeki anormallikleri izler ve yetkisiz erişim ya da yanlışlıkla veri sızdırma (müşterinin yanlışlıkla dış erişime açtığı hassas veriler gibi) durumu algıladığında ayrıntılı uyarılar oluşturur.
     

• AWS'de barındırılan müşteri verilerinin yetkisiz erişimi önlemek için bunları nasıl şifreleyebilirim?

  AWS, müşterilere ve APN Çözüm Ortaklarına buluttaki bekleyen müşteri verilerine ek bir güvenlik katmanı kazandırma olanağı sunar ve bunların GDPR kapsamındaki veri denetçileri olarak işleme güvenliği yükümlülüklerini karşılamasına yardımcı olur. AWS'de kullanılabilen şifreleme araçları:

  • Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS ve Redshift gibi AWS depolama ve veritabanı hizmetlerinde sunulan veri şifreleme özellikleri
  • Şifreleme anahtarlarının AWS tarafından yönetilmesinin tercih edilmesine veya müşterilerin anahtarların üzerinde tam denetim sahibi olmasına imkan tanıyan AWS Key Management Service gibi esnek anahtar yönetimi seçenekleri
  • Amazon SQS için sunucu tarafı şifreleme (SSE) kullanılarak hassas verilerin aktarılması için şifrelenen ileti kuyrukları
  • AWS CloudHSM ile tahsis edilmiş, donanım tabanlı şifreleme anahtarı depolama imkanı, müşterilerin mevzuat uyumluluğu gereksinimlerini karşılamasını mümkün kılar

   

  AWS ayrıca müşterilerin ve APN Çözüm Ortaklarının bir AWS ortamında geliştirdiği veya dağıttığı herhangi bir hizmette şifreleme ve veri koruma entegrasyonu yapmasını mümkün kılan API'ler sağlar.

• AWS, müşterilerinin GDPR'ye uygunluk sağlamasına yardımcı olmak için hangi hizmetleri sunuyor?

  AWS müşterilerin GDPR gereksinimlerini karşılamasına yardımcı olan belirli özellikler ve hizmetler sağlamaktadır:

  Erişim Denetimi: AWS kaynaklarına yalnızca yetkili yöneticilerin, kullanıcıların ve uygulamaların erişmesine izin verin

  • Multi-Factor-Authentication (MFA)
  • Amazon S3 Klasörleri/ Amazon SQS/ Amazon SNS ve diğer hizmetlerdeki nesnelere ince ayrıntılı erişim
  • API İsteği Kimlik Doğrulaması
  • Coğrafi Kısıtlamalar
  • AWS Security Token Service aracılığıyla geçici erişim belirteçleri

  İzleme ve Günlük Kaydı: AWS kaynaklarınızdaki etkinliklerin genel bir görünümünü elde edin

  • AWS Config ile Varlık Yönetimi ve Yapılandırması
  • AWS CloudTrail ile Mevzuat Uyumluluğu Denetimi ve güvenlik analitiği
  • AWS Trusted Advisor aracılığıyla yapılandırma zorluklarının belirlenmesi
  • Amazon S3 nesnelerine erişimin ince ayrıntılarla günlüğe kaydedilmesi
  • Amazon VPC Flow Logs aracılığıyla ağdaki akışlar hakkında ayrıntılı bilgi
  • AWS Config Kuralları ile kural tabanlı yapılandırma denetimleri ve eylemleri
  • AWS CloudFront'taki AWS WAF işlevleriyle uygulamalara HTTP erişiminin filtrelenmesi ve izlenmesi

  Şifreleme: AWS'deki Verileri Şifreleme

  • Bekleyen verilerinizin AES256 ile şifrelenmesi (EBS/S3/Glacier/RDS)
  • Merkezi olarak yönetilen Anahtar Yönetimi (AWS Bölgesine göre)
  • VPN-Gateway'ler ile AWS'ye IPsec tünelleri
  • AWS CloudHSM ile bulutta tahsis edilmiş HSM modülleri

  Güçlü Uyum Çerçevesi ve Güvenlik Standartları: Aşağıdakiler gibi katı uluslararası standartlarla uyumluluğu gösteririz:

  • Teknik önlemler için ISO 27001
  • Bulut güvenliği için ISO 27017
  • Bulut gizliliği için ISO 27018
  • SOC 1, SOC 2 ve SOC 3, PCI DSS Seviyesi 1,
  • BSI’nin Ortak Bulut Bilişim Kontrolleri Kataloğu (C5)
    
  • ENS High