Genel Veri Koruma Yönetmeliği (GDPR) Merkezi

AWS hizmetlerini kullanırken GDPR uyumluluğu

Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği (AB) vatandaşlarının temel gizlilik ve kişisel verilerinin korunması haklarını korur. Bu yönetmelik veri koruması, güvenlik ve mevzuat uyumluluğu standartlarını yükseltecek ve uyumlu hale getirecek güçlü gereksinimler içerir. Daha fazla bilgi için lütfen aşağıdaki GDPR SSS’lerimizi inceleyin.

AWS müşterileri, AWS hesapları altındaki AWS hizmetlerine (müşteri verileri) yüklenen kişisel verileri (GDPR'de tanımlandığı gibi) GDPR'ye uygun olarak işlemek için tüm AWS hizmetlerini kullanabilir. AWS olarak kendi mevzuat uyumluluğumuzu sağlamanın yanı sıra müşterilerin kendi faaliyetleri için geçerli olabilecek GDPR gereksinimleriyle uyumluluğunu sağlamaya yardımcı olmak için çeşitli hizmetler ve kaynaklar sunmaya önem veriyoruz. Düzenli olarak yeni özellikler kullanıma sunulurken, AWS'nin güvenlik ve uygunluğa odaklanan 500'den fazla özelliği ve hizmeti vardır. AWS'nin ne yaptığı hakkında daha fazla bilgi için blogumuzu okuyun: AWS, AB müşterilerinin veri koruması için yeni normalde gezinmesine nasıl yardımcı oluyor.

Müşteri kontrol

Müşteriler, müşteri verilerinin kontrolüne sahiptir. AWS ile müşteriler:

  • Depolama türü ve bu depolamanın coğrafi bölgesi dahil olmak üzere müşteri verilerinin nerede depolanacağını belirleyebilir.
  • Müşteri verilerinin güvenlik altına alınmış durumunu seçebilir. Müşterilere aktarım veya bekleme halindeki müşteri verileri için güçlü şifreleme olanağının yanı sıra kendi şifreleme anahtarlarını yönetme seçeneği sunuyoruz.
  • Kendi denetimleri altında olan kullanıcılar, gruplar, izinler ve kimlik bilgileri aracılığıyla müşteri verilerine, AWS hizmetlerine ve kaynaklarına erişimi denetleyebilir.
Daha fazla bilgi edinin »

Avrupa Ekonomik Alanı (AEA) dışındaki aktarımlar

AWS müşterileri, GDPR’ye uygun olarak Avrupa Komisyonu'ndan (ABD dahil) bir yeterlilik kararı almamış olan AEA dışındaki ülkelere müşteri verilerini AEA’dan aktarmak için AWS hizmetlerini kullanmaya devam edebilir. AWS'de en yüksek önceliğimiz müşteri verilerinin güvenliğini sağlamaktır ve müşterinin hangi AWS Bölgesini seçtiğinden bağımsız olarak gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için sıkı teknik ve kurumsal önlemler uygularız. Şeffaflığın müşterilerimiz için önemli olduğunu biliyoruz. Müşteri verilerinin veri aktarımını içeren AWS hizmetlerini Gizlilik Özellikleri web sayfamızda listeleriz.

Mevzuat ve yasal çerçeve geliştikçe, müşterilerimizin faaliyet gösterdiği her yerde AWS hizmetlerinden yararlanmaya devam edebilmelerini sağlamak için her zaman çalışacağız. Daha fazla bilgi için lütfen AB-ABD Gizlilik Kalkanı hakkındaki müşteri güncellememize ve AWS GDPR Veri İşleme Eki'nin Ek Eki hakkındaki blog gönderimize bakın.

GDPR kaynakları

compliance-resources-banner@2x
AWS'de GDPR'ye Uygunluğu Sağlama
Teknik incelemeyi indir »
compliance-banner-argentina
Brexit ve AWS hakkında bilmeniz gerekenler
Daha fazla bilgi edinin »
compliance-latestnews-banners
GDPR ile ilgili AWS Güvenlik Blogu Gönderileri
Daha fazla bilgi edinin »
compliance-programs-banner@2x
AWS Services Gizlilik Özellikleri
Daha fazla bilgi edinin »

GDPR SSS

Genel bakış ve GDPR’nin temelleri


  • GDPR nedir?

    Genel Veri Koruma Yönetmeliği (GDPR), 25 Mayıs 2018'de yürürlüğe girmiş olan bir Avrupa gizlilik kanunudur. GDPR, Direktif 95/46/EC olarak da bilinen AB Veri Koruma Direktifi'nin yerini almıştır ve tüm üye devletler için bağlayıcı olan tek bir veri koruma kanununu yürürlüğe sokarak Avrupa Birliği (AB) genelinde veri koruma kanunlarını birbiriyle uyumlu hale getirmeyi amaçlamaktadır.

  • GDPR kimler için geçerlidir?

    GDPR, AB'de kurulmuş olan tüm kuruluşların yanı sıra AB'de kurulmuş olup olmadığından bağımsız olarak AB vatandaşlarına mal veya hizmet sunma ya da AB'de gerçekleşen davranışların izlenmesi ile ilişkili olarak AB veri öznelerinin kişisel verilerini işleyen tüm kuruluşlar için geçerlidir. Kişisel veriler; adlar, e-posta adresleri ve telefon numaraları dahil olmak üzere kimliği belirli veya belirlenebilir gerçek kişiyle ilgili her türlü bilgidir.

  • AWS GDPR kapsamında bir veri işleyicisi veya veri denetçisi midir?

    AWS, GDPR kapsamında hem veri işleyicisi hem de veri denetçisi olarak faaliyet gösterir.

    • Veri işleyicisi olarak AWS – Müşteriler, AWS hizmetlerine yükledikleri içerikteki kişisel verileri işlemek için AWS hizmetlerini kullandıklarında, AWS bir veri işleyicisi olarak hareket eder. Müşteriler, güvenlik yapılandırması denetimleri dahil olmak üzere AWS hizmetlerinde sunulan denetimleri kişisel verilerin işlenmesi için kullanabilir. Bu koşullar altında müşterinin kendisi bir veri denetçisi ya da veri işleyicisi olarak faaliyet gösterebilirken AWS bir veri işleyicisi veya alt işleyici olarak faaliyet göstermiş olur. AWS ayrıca bir veri işleyicisi olarak AWS'nin taahhütlerini içeren, GDPR ile uyumlu bir Veri İşleme Eki (GDPR DPA) sunar. Standart Sözleşme Maddelerini içeren AWS GDPR DPA, AWS Hizmet Koşullarının bir parçasıdır ve GDPR ile uyumlu olması için buna ihtiyaç duyan tüm müşteriler tarafından otomatik olarak kullanılabilir.
    • Veri denetleyicisi olarak AWS – AWS kişisel verileri toplayıp bu kişisel verileri işleme amaçlarını ve araçlarını belirlediğinde – örneğin, AWS hesap kaydı, yönetim, hizmetlere erişim veya AWS için iletişim bilgileri için hesap bilgilerini (ör. hesap kaydı sırasında sağlanan e-posta adresleri) depoladığında müşteri destek faaliyetleri aracılığıyla yardım sağlamak için hesap – bir veri denetleyicisi olarak hareket eder. AWS'nin kişisel verileri bir denetleyici olarak nasıl işlediğine ilişkin ayrıntılar için lütfen AWS Gizlilik Bildirimi'ne bakın.
  • Standart Sözleşme Maddeleri (SCC) nelerdir?

    Standart Sözleşme Maddeleri, kişisel verilerin üçüncü ülkelere (Avrupa Komisyonu'ndan bir yeterlilik kararı almamış, Avrupa Ekonomik Alanı dışındaki ülkeler) yasal olarak aktarılmasını sağlayan, tüm AB Üye Devletleri'nde geçerli olan, GDPR kapsamında önceden onaylanmış bir veri aktarım mekanizmasıdır.
     

  • AWS, Standart Sözleşme Maddeleri'ni AWS GDPR Veri İşleme Eki'ne nasıl dahil eder?

    AWS Hizmet Koşulları, Haziran 2021'de Avrupa Komisyonu (AK) tarafından kabul edilen Standart Sözleşme Maddeleri'ni içerir ve AWS GDPR Veri İşleme Eki, bir AWS müşterisi, müşteri verilerini "üçüncü ülkelere" (Avrupa Komisyonu'ndan bir yeterlilik kararı almamış, Avrupa Ekonomik Alanı dışındaki ülkeler) aktarmak için AWS hizmetlerini kullandığında Standart Sözleşme Maddeleri'nin otomatik olarak uygulanacağını onaylar. Dolayısıyla müşteriler, üçüncü ülkelere aktardıkları müşteri verilerinin Avrupa Ekonomik Alanı'nda sunulan aynı yüksek koruma düzeyine sahip olduğu konusunda rahat olabilirler. Daha fazla bilgi için lütfen New Standard Contractual Clauses now part of the AWS GDPR Data Processing Addendum for customers başlıklı blog gönderisini inceleyin.

Schrems II kararı ve EDPB Tavsiyeleri uyarınca AWS ve GDPR uygunluğu


  • Schrems II kararı ve EDPB Tavsiyeleri nelerdir?

    16 Temmuz 2020’de Avrupa Birliği Adalet Divanı (CJEU), AB bireylerinin kişisel verilerinin AEA (Schrems II) dışına aktarılmasına ilişkin bir karar verdi. Schrems II davasında, ABAD, AB-ABD Gizlilik Kalkanı’nın kişisel verileri AEA’dan ABD’ye aktarmak için artık geçerli bir mekanizma olmadığına karar verdi. Ancak, aynı kararda ABAD, şirketlerin (gerekirse ek tedbirlerin uygulanmasına tabi olarak) kişisel verileri AEA dışına aktarmak için geçerli bir mekanizma olarak Standart Sözleşme Maddelerini kullanmaya devam edebileceklerini teyit etmiştir. Ulusal veri koruma makamlarının temsilcilerinden oluşan bir Avrupa organı olan Avrupa Veri Koruma Kurulu (EDPB), o zamandan beri, “Şirketle uyumu sağlamak için aktarım araçlarını tamamlayan önlemlere ilişkin AB kişisel verilerin koruma düzeyine (EDPB Tavsiyeleri) uygun olarak 01/2020 sayılı Tavsiyelerinde” tamamlayıcı tedbirlerin kapsamlı olmayan bir listesini sağlamıştır.

    EDPB Tavsiyeleri, veri ihracatçılarına uygulamaya konulabilecek ek önlem örnekleri sağlar. AWS'nin veri aktarım kaynaklarıyla ilgili ayrıntılar için aşağıdaki SSS bölümünde "Schrems II kararının ardından AWS hizmetlerini kullanmaya devam edebilir miyim?" sorusuna bakın. 

  • Schrems II kararının ardından AWS hizmetlerini kullanmaya devam edebilir miyim?

    Evet. AWS müşterileri, Avrupa Komisyonu'ndan bir yeterlilik kararı almamış olan AEA dışındaki ülkelere müşteri verilerini Avrupa'dan aktarmak için AWS hizmetlerini kullanmaya devam edebilir. Schrems II kararı, müşteri verilerini AEA dışına aktarmak için bir mekanizma olarak Standart Sözleşme Maddelerinin (SCC'ler) kullanımını doğrulamıştır ve AWS müşterileri, müşteri verilerinin GDPR ile uyumlu olarak AEA dışına her türlü aktarımı için SCC'lere güvenmeye devam edebilir.

    • İşleme konumu. Müşteriler, müşteri verilerinin depolanacağı AWS Bölgesini seçer. Mevcut AWS Bölgelerine genel bakış, Bölgeler ve Erişilebilirlik Alanları altında bulunabilir. AWS, müşteri tarafından başlatılan AWS hizmetlerini sağlamak amacıyla gerekli olmadıkça veya yasalara veya bir devlet kurumunun bağlayıcı emrine uymak için gerekli olmadıkça, müşteri verilerini müşterinin seçtiği AWS Bölgesi dışında işlemeyecektir. AWS hizmetlerinin bir parçası olarak veri aktarımları hakkında daha fazla bilgi edinmek için lütfen Gizlilik Özellikleri web sayfamıza bakınız.
    • Alt işleyiciler. AWS, müşteri verilerinin işlenmesine yardımcı olmak, DPA kapsamında müşterilere karşı yükümlülüklerimizi yerine getirmek veya bizim adımıza hizmet sağlamak için alt işleyiciler, yani AWS bağlı kuruluşları veya üçüncü taraflar kullanabilir. Ayrıntılar için aşağıdaki SSS bölümünde "AWS, müşteri verilerini işlemek için alt işleyiciler kullanıyor mu?" sorusuna bakın.
    • Aktarım araçları. Schrems II kararı, Avrupa Komisyonu'ndan bir yeterlilik kararı almayan AEA dışındaki ülkelere veri aktarımı için bir mekanizma olarak SCC'lerin kullanımını doğruladığından, müşterilerimiz GDPR'ye uygun olarak verilerini AEA dışına aktarmak için AWS GDPR DPA'ya dahil edilen SCC'lere güvenmeye devam edebilir.
    • Ek önlemler.
      • Müşteri kontrol. Müşteriler, müşteri verilerinin nerede depolanacağını belirlemelerine, aktarım sırasında ve beklemedeyken müşteri verilerini güvence altına almalarına ve AWS kaynaklarına kullanıcı erişimini yönetmelerine ve ve müşteri verilerini değiştirmeye, silmeye ve almaya olanak tanıyan basit ancak güçlü araçlar aracılığıyla müşteri verileri üzerinde her zaman sahiplik ve denetime sahiptir.
      • Teknik ve organizasyonel önlemler. AWS, müşteri verilerine yetkisiz erişimi veya bunların ifşasını önlemek için tasarlanmış sorumlu ve karmaşık teknik ve fiziksel kontroller ve süreçler uygular (daha fazla bilgi için AWS Uyumluluk web sayfasını ziyaret edin). Ayrıca, müşterilerin hem aktarım sırasında hem de hareketsiz durumdayken müşteri verilerini korumak için kullanabilecekleri bir dizi gelişmiş şifreleme ve anahtar yönetimi hizmeti (müşterilerin kendi anahtarlarını yönetmelerine olanak tanıyan hizmetler dahil) sunuyoruz: şifrelenmiş müşteri verileri, geçerli şifre çözme olmadan erişilemez hale getirilir anahtarlar. Müşteri verilerinin şifrelenmiş veya şifrelenmemiş olmasına bakılmaksızın, müşteri verilerini herhangi bir yetkisiz erişime karşı korumak için her zaman dikkatli bir şekilde çalışacağız.
      • Kolluk kuvvetlerinden gelen talepler. AWS, kolluk kuvvetlerinden aldığımız taleplerle ilgilenmek için dahili işlemlere sahiptir. Kolluk kuvvetlerinden müşteri verileri için bir talep aldığımızda, doğruluğunu teyit etmek ve uygun olduğunu ve geçerli tüm yasalara uygun olduğunu doğrulamak için bunları dikkatle inceleriz. Yasal açıdan herhangi bir yasaklama olmadığı sürece AWS, müşterilerin, içeriklerini ifşadan korunmak için daha fazla adım atabilmeleri için müşteri verilerini açıklamadan önce müşterilere bildirimde bulunur. AWS GDPR DPA'nın Tamamlayıcı Eki'nde (Tamamlayıcı Ek) AWS, (i) müşteri verilerini talep eden herhangi bir devlet kurumunu ilgili müşteriye yönlendirmek için makul her türlü çabayı göstermeyi, (ii) yasal olarak izin veriliyorsa, (gerekirse bir yasaktan feragat elde etmek için tüm makul ve yasal çabalar dahil olmak üzere) talebi müşteriye derhal bildirmeyi, (iii) talebin AB yasalarıyla çeliştiği durumlar da dahil olmak üzere, aşırı kapsamlı veya uygunsuz herhangi bir talebe itiraz etmeyi ve (iv) yukarıda açıklanan adımlardan sonra AWS resmi bir talebe yanıt olarak müşteri verilerini ifşa etmek zorunda kalırsa yalnızca talebi karşılamak için gereken minimum miktarda müşteri verisini ifşa etmeyi içeren güçlendirilmiş sözleşme taahhütlerinde bulunur.
      • Sözleşme önlemleri. AWS, yukarıda açıklanan önlemler için AWS GDPR DPA ve Tamamlayıcı Ek'te yansıtılan çeşitli sözleşme taahhütlerinde bulunur. AWS GDPR DPA ve Tamamlayıcı Ek, AWS’nin aşağıdakilerle ilgili şu sözleşme taahhütlerini içerir: (1) müşterinin, müşteri verilerinin depolandığı ve işlendiği AWS Bölgeleri seçimi, (2) hem AWS'nin AWS altyapısını korumak için uyguladığı teknik ve kurumsal önlemler hem de müşterilerin müşteri verilerini korumak için uygulamayı seçebilecekleri teknik kurumsal önlemler, (3) AWS'nin, bir devlet kurumundan bir veri ifşa talebi olması durumunda müşteri verilerini korumaya ve müşteriyi bilgilendirmeye yönelik önlemleri ve (4) AWS'nin, müşteri verilerinin işlendiği üçüncü bir ülkede geçerli olan mevzuata uygun olarak AWS GDPR DPA’da belirtilen yükümlülüklerini yerine getirme kabiliyeti. Tamamlayıcı Ek, (5) bireylerin GDPR tarafından tanınan haklarının ihlali durumunda tazminat talep etme yasal haklarını da ele almaktadır.
  • AWS, müşteri verilerini işlemek için alt işleyiciler kullanıyor mu?

    Evet, AWS üç tür alt işleyici kullanabilir: (1) AWS hizmetlerinin üzerinde çalıştığı altyapıyı sağlayan AWS kuruluşları; (2) Bu kuruluşların müşteri verilerini işlemesini gerektirebilecek belirli AWS hizmetlerini destekleyen AWS kuruluşları ve (3) AWS'nin belirli AWS hizmetleri için işleme faaliyetleri sağlamak üzere sözleşme yaptığı üçüncü taraflar. AWS Alt İşleyiciler web sayfası, AWS'nin müşteriler adına müşteri verileri üzerinde işleme etkinlikleri sağlamak için AWS GDPR DPA'ya uygun olarak çalıştığı alt işleyiciler hakkında daha fazla bilgi sağlar. Her bir müşteriyle ilgili alt işleyiciler, müşterinin seçtiği AWS Bölgesine ve müşterinin kullandığı belirli AWS hizmetlerine bağlı olacaktır.

  • AWS, veri aktarımı değerlendirmeleri gerçekleştirdikleri sırada müşterilere nasıl yardımcı olur?

    AB Veri Aktarım Gereklilikleriyle Uygunluk Sağlama başlıklı AWS teknik incelemesi, AWS'nin müşterilere Schrems II kararına göre veri aktarımı değerlendirmeleri gerçekleştirmelerine yardımcı olmak için sunduğu hizmetler ve kaynaklar hakkında bilgilere ek olarak Avrupa Veri Koruma Kurulu'ndan müteakip tavsiyeler sağlar. Teknik inceleme aynı zamanda, müşteri verilerini korumak için AWS tarafından alınan ve kullanıma sunulan önemli ek önlemleri de açıklar.

  • AWS hizmetlerini kullanımımın GDPR ile uyumlu olduğunu bir veri koruma yetkilisine nasıl kanıtlayabilirim?

    AWS, AWS'nin altyapısı için sürdürdüğü yüksek uygunluk düzeyini kanıtlamak için çeşitli güvenlik standartlarıyla ve düzenlemeleriyle uygunluğumuzu onaylayan üçüncü taraf denetçilerce hazırlanmış birkaç uygunluk raporu dahil olmak üzere müşterilere yararlı bilgiler sunar. Bu raporlar müşterilerimize AWS'de işlemeyi tercih ettikleri müşteri verilerini koruduğumuzu gösterir. Bunun örnekleri arasında AWS'nin ISO 27001, 27017 ve 27018 uygunluğu sayılabilir. ISO 27018, müşteri verilerinin korunmasına odaklanan güvenlik denetimleri içerir.

    AWS, veri koruması için CISPE Davranış Kuralları ile de uyumludur. CISPE Davranış Kuralları hakkında daha fazla bilgi için aşağıdaki SSS bölümünde "AWS, bulut altyapı hizmetlerine özel GDPR onaylı Davranış Kuralları ile uyumlu mu?" sorusuna bakın.

  • AWS, bulut altyapı hizmetlerine özel GDPR onaylı Davranış Kuralları ile uyumlu mu?

    Şubat 2017'de AWS, CISPE Veri Koruma Davranış Kuralları ile uyumlu olduğunu duyurdu. CISPE (Avrupa'daki Bulut Altyapısı Hizmet Sağlayıcıları), milyonlarca Avrupalı müşteriye hizmet sunan bulut bilişim liderlerinden oluşan bir koalisyondur. CISPE, Fransız Veri Koruma Kurumu (CNIL) ile işbirliği içinde, bulut altyapı hizmetlerine odaklanan ilk Pan-Avrupa veri koruma davranış kuralları olan CISPE Veri Koruma Davranış Kuralları’nı (CISPE Kuralları) geliştirdi. CISPE Kuralları, CNIL tarafından onaylanan Avrupa Veri Koruma Kurulu tarafından onaylanmıştır.
     
    CISPE Kuralları, müşterilerin bulut altyapısı hizmet sağlayıcılarının GDPR ile uyumluluğu göstermek ve müşteri verilerini korumak için uygun operasyonel güvenceler sunmasını sağlamalarına yardımcı olur. CISPE Kuralların bazı önemli avantajları şunlardır:
    • Müşteri verilerinin, yani bulut altyapı hizmeti kullanılarak müşteri adına işlenen tüm kişisel verilerin işlenmesiyle ilgili olarak GDPR kapsamında bulut altyapısı hizmet sağlayıcısının rolünün netleştirilmesi.
    • Bulut altyapısı hizmet sağlayıcılarının, müşterilere müşteri verilerini tamamen Avrupa Ekonomik Alanı içinde depolayan ve işleyen hizmetleri seçme seçeneği sunmasını gerektirir.
    • CISPE Kuralları, veri işleyicileri olarak bulut altyapısı hizmet sağlayıcılarının, özellikle güvenlik önlemlerine odaklanarak uyması gereken gereksinimleri belirler: bulut altyapısı hizmeti sağlayıcılarının GDPR'ye uymak için üstlenmesi gereken eylemleri ve taahhütleri ana hatlarıyla belirtir (ve müşterilerin GDPR'ye uygunlukları konusunda yardımcı olur).
    • CISPE Kuralları, müşterilere GDPR uyumluluk ihtiyaçları hakkında karar vermeleri için ihtiyaç duydukları veri koruma ve veri güvenliği bilgilerini sağlar: bulut altyapısı hizmet sağlayıcılarının güvenlik taahhütlerini yerine getirmek için attıkları adımlar konusunda şeffaf olmalarını gerektirir. Bu adımlar, kişisel veri ihlalleri ve üçüncü taraf alt işleme ile ilgili bildirimleri içerir. Müşteriler bu bilgileri kullanarak sağlanan üst düzey güvenliği tam olarak anlayabilir.

Teknik ve kuruluşa ait önlemler


  • GDPR, AWS paylaşılan sorumluluk modelini nasıl etkiler?

    GDPR, müşteriler için geçerli olmaya devam eden AWS paylaşılan sorumluluk modelini değiştirmez. Paylaşılan sorumluluk modeli, GDPR kapsamında AWS'nin (bir veri işleyicisi ve alt işleyici olarak) ve müşterilerin (veri denetçileri veya veri işleyicileri olarak) çeşitli sorumluluklarının gösterilmesi için kullanışlı bir yaklaşımdır.

    Paylaşılan sorumluluk modeli kapsamında AWS, AWS hizmetlerini (“Bulutun Güvenliği”) destekleyen temel altyapının güvenliğini sağlamaktan sorumludur ve veri denetleyicileri veya veri işleyicileri olarak hareket eden müşteriler, AWS hizmetlerine (“Bulutta Güvenlik”) yükledikleri tüm kişisel verilerden sorumludur.

    AWS'nin sorumluluğu “Bulutun Güvenliği” – AWS, AWS hizmetlerinin çalıştırıldığı altyapıyı korumaktan sorumludur. Bu altyapı, AWS hizmetlerini çalıştıran ve müşteriler kendi içeriklerinin işlenmesi için güvenlik yapılandırması denetimleri dahil olmak üzere güçlü denetimler sağlayan donanımlar, yazılımlar, ağ iletişimleri ve tesislerden oluşur. AWS, çeşitli bilgisayar güvenlik standartları ve düzenlemeleriyle uyumluluğumuzu doğrulayan üçüncü taraf denetçilerden çeşitli uyumluluk raporları sağlar (daha fazla bilgi için AWS Uyumluluğu web sayfasını ziyaret edin). Bu raporlar müşterilerimize müşteri verilerini koruduğumuzu gösterir. Örnekler arasında AWS’nin ISO 27001, 27017 ve 27018 uyumluluğu sayılabilir. ISO 27018, müşteri verilerinin korunmasına odaklanan güvenlik denetimleri içerir.

    Müşteri sorumluluğu “Bulutta Güvenlik” - AWS müşterileri, AWS hizmetlerinde devreye almayı seçtikleri uygulama ve çözümlerin mimarisini ve güvenliğini sağlamaktan sorumludur. AWS müşterileri, AWS hizmetlerini müşteri verilerinin gizliliğini, bütünlüğünü ve güvenlik gereksinimlerini koruyacak şekilde yapılandırmaktan da sorumludur. Müşterilerin müşteri verilerini güvence altına almak için sahip olduğu belirli sorumluluklar, müşterilerin kullanmayı seçtikleri AWS hizmetlerine ve bu hizmetlerin müşterilerin BT ortamlarına nasıl entegre edildiğine bağlı olarak değişiklik gösterir. AWS müşterileri, müşteri verileri üzerinde görünürlük ve denetime sahiptir ve belirli türdeki müşteri verilerinin hassasiyetine dayalı olarak esnek güvenlik denetimleri uygulayabilir. Müşteriler bunu kendi güvenlik önlemleri ve araçlarını kullanarak veya AWS veya diğer tedarikçiler tarafından sağlanan güvenlik önlemleri ve araçlarını kullanarak yapabilir. Bu şekilde müşteriler, daha hassas müşteri verileri için ek güvenlik katmanları yerleştirebilir.

    AWS, müşterilerin uygulamalarını ve çözümlerini tasarlamak ve güvenceye almak için kullanabilecekleri ve GDPR gereksinimlerini karşılamaya yardımcı olmak için dağıtılabilecek, aşağıdakiler de dahil olmak üzere, kullanılabilir ürünler, araçlar ve hizmetler sunar:

    • AWS Identity and Access Management (IAM) ile kurumlar AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilir. Müşteriler, IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
    • AWS CloudTrail, kurumların AWS'de gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu, güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
    • Amazon GuardDuty, AWS hesaplarının ve iş yüklerinin korunmasına yardımcı olmak amacıyla sürekli olarak kötü amaçlı veya yetkisiz davranışları izleyen bir yönetilen tehdit algılama hizmetidir. Olağan dışı API çağrıları veya yetkisiz olabilecek dağıtımlar gibi olası hesap ihlallerine işaret edebilecek etkinlikleri izler. GuardDuty, güvenliği ihlal edilmiş olabilecek bulut sunucularını ve saldırganlar tarafından keşif gerçekleştirildiğini de algılar.
    • Amazon Macie, Amazon S3'te depolanan kişisel verilerin bulunup sınıflandırılmasına yardımcı olmaya yönelik bir makine öğrenimi aracı

    AWS kaynaklarının GDPR ile uyumlu olarak nasıl kullanılacağına ilişkin daha fazla ayrıntı için lütfen AWS’de GDPR Uyumluluğunda Gezinme başlıklı teknik incelememize bakınız.

  • AWS Çözüm Ortakları, GDPR uyumluluğuna yardımcı olacak ürünler ve hizmetler sunuyor mu?

    GDPR uygunluğu konusunda yardımcı olabilecek ürün ve hizmetlere sahip ISV'leri, MSP'leri ve SI çözüm ortaklarını bulmaya yardımcı olmak amacıyla AWS Çözüm Ortağı Çözümleri Bulucu'da "GDPR" için arama yapabilirsiniz. Müşteriler, AWS Marketplace'te de "GDPR" çözümleri için arama yapabilir.

  • AWS, GDPR mevzuat uyumluluğu için profesyonel hizmetler yardımı sunuyor mu?

    Evet, AWS Güvenlik Güvencesi Hizmetleri ekibinin, müşterilere GDPR uyumluluğuna giden yolculuklarında yardımcı olacak bir dizi etkinliği vardır. Sektör sertifikalı uyumluluk uzmanlarından oluşan bu ekip, geçerli uyumluluk standartlarını AWS hizmetine özgü özellikler ve işlevlerle birleştirerek müşterilerin bulutta uyumluluğu sağlamasına, sürdürmesine ve otomatikleştirmesine yardımcı olur. AWS Professional Services Danışmanlarının müşterilere nasıl yardımcı olduğu hakkında daha fazla ayrıntı burada bulunabilir.

  • GDPR uygunluğuna giden yolda AWS Support bana nasıl yardımcı olabilir?

    Müşteriler, GDPR uyumluluğuna giden yolda kendilerine yardımcı olacak teknik rehberlik almak için AWS Support’u kullanabilir. Bu çalışmanın bir parçası olarak mevzuat uyumluluğu risklerinin belirlenip giderilmesine yardımcı olacak şekilde eğitilmiş Bulut Destek Mühendisi ve Teknik Müşteri Yöneticisi (TMY) ekiplerimiz vardır. AWS’nin sağladığı destek düzeyi, müşterilerin seçtiği AWS Support Plan’ına bağlıdır. AWS Premium Support aboneliğinin nasıl yardımcı olabileceğini anlamak isteyen müşteriler, AWS Management Console üzerinden erişilebilen AWS Support Center'da, AWS ile imzalanan Enterprise Support Sözleşmesi'nde belirtilen iletişim bilgilerini kullanarak veya AWS Support web sayfasını ziyaret ederek daha fazla bilgi edinebilir. Enterprise Support aboneliği olan müşteriler, GDPR ile ilgili soruları için TAM temsilcilerine ulaşmalıdır.

    Müşteriler, GDPR uyumluluğunu sürdürürken aşağıdaki iki programı faydalı bulabilir:

    • Cloud Operations Review – AWS Enterprise Support müşterilerinin yararlanabileceği bu program, bulutta çalışmaya yönelik yaklaşımdaki boşlukların tespit edilmesine yardımcı olacak şekilde tasarlanmıştır. AWS'nin büyük bir temsilci müşteri kümesiyle olan deneyimlerinden elde edilmiş bir dizi en iyi operasyonel uygulamadan yola çıkılarak oluşturulan bu program, bulut işlemlerini ve ilişkili yönetim uygulamalarını gözden geçirme olanağı sunarak GDPR uyumluluğuna giden yolda kurumlara yardımcı olabilir. Program, operasyonel kusursuzluğu hedefleyerek bulut kaynaklı sistemleri hazırlama, izleme, çalıştırma ve iyileştirmeye odaklı dört temel ilkeye dayanan bir yaklaşım kullanır.
    • Well-Architected Review – Bu program, kurumların mimarilerini en iyi AWS uygulamalarıyla karşılaştırmalı bir biçimde ölçmesine ve güvenli, güvenilir, yüksek performanslı ve uygun maliyetli mimariler oluşturmasına imkan tanır. Well-Architected Review'lar müşterilerin mimarinin nerelerinde risk olduğunu anlamasına ve uygulamalar üretime geçirilmeden önce bu riskleri gidermesine de imkân tanır.

  • AWS, müşterilerin kişisel verilerin güvenliğinin ihlaline ilişkin bildirimler konusunda GDPR kapsamındaki yükümlülüklerini karşılamasına nasıl yardımcı olabilir?

    AWS’nin bir güvenlik olayı izleme ve veri ihlali bildirim süreci vardır ve AWS’nin güvenliğine ilişkin ihlalleri müşterilere gecikmeden ve AWS GDPR DPA’ya uygun olarak bildirir. AWS, müşterilere sahip oldukları kaynaklara kimin, ne zaman ve nereden eriştiğini anlamaya yönelik bir dizi araç da sunar. Bu araçlardan biri de AWS hesabının yönetim, uyumluluk, operasyonel denetim ve risk denetimini mümkün kılan AWS CloudTrail'dır. AWS CloudTrail ile müşteriler, AWS altyapılarının tamamında gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydedebilir, sürekli olarak izleyebilir ve tutabilir. Bu, kurumların AWS altyapılarında olup bitenleri anlamasına ve olağan dışı etkinlikler karşısında hemen harekete geçmesine yardımcı olur. AWS CloudTrail ve AWS'nin veri denetçileri olarak GDPR kapsamında üstlendikleri yükümlülükleri yerine getirme konusunda müşterilere yardımcı olmak için sunduğu diğer güvenlik araçları hakkında daha fazla bilgi edinmek için şu adresi ziyaret edin: AWS Cloud Security web sayfası.  

  • AWS, müşteri verilerimi siber saldırılara karşı korumama nasıl yardımcı olur?

    AWS, müşterilere ve APN Çözüm Ortaklarına sahip oldukları müşteri verilerinin güvenliğinin sağlanmasına ve siber saldırılara karşı korunmasına yardımcı olmaya yönelik bir dizi araç sunar. Bu araçlardan biri de AWS Shield'dır. Bu, AWS'de çalışan web sitelerinin ve uygulamaların korunmasına yönelik, yönetilen bir Dağıtılmış Hizmet Engelleme (DDoS) koruma hizmetidir. AWS Shield Standard ek ücret olmaksızın sunulur ve uygulama kapalı kalma süresi ile gecikme süresini en aza indirebilecek her zaman açık algılama ve otomatik satır içi düzeltme olanağı sağlar. AWS'de çalışan ve ELB, Amazon CloudFront ve Amazon Route 53 kaynakları kullanan web uygulamalarını hedefleyen saldırılara karşı daha üst düzey bir koruma sağlamak isteyen müşteriler ve APN Çözüm Ortakları, AWS Shield Advanced hizmetine abone olabilir. AWS ayrıca müşterilerin AWS'yi kullanarak DDoS saldırılarına karşı dayanıklı uygulamalar geliştirmesine yardımcı olabilecek DDoS Dayanıklılığı için AWS En İyi Uygulamaları teknik incelemesini yayınlar ve düzenli olarak günceller.

    AWS’nin müşteri verilerini siber saldırılara karşı korumaya yardımcı olması gereken diğer araçlar arasında şunlar yer alır:

    • AWS Identity and Access Management (IAM) ile kurumlar AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilir. Müşteriler ve APN Çözüm Ortakları IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
    • AWS Config, müşterilerin ve APN Çözüm Ortaklarının AWS kaynaklarının düzgün yapılandırılmış ve uyumlu bir durumda olduğundan emin olmasına yardımcı olan önceden paketlenmiş kuralları etkinleştirmesine imkan tanır.
    • AWS CloudTrail, kurumların AWS'de gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu, güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
    • Amazon GuardDuty, AWS hesaplarının ve iş yüklerinin korunmasına yardımcı olmak amacıyla sürekli olarak kötü amaçlı veya yetkisiz davranışları izleyen bir yönetilen tehdit algılama hizmetidir. Olağan dışı API çağrıları veya yetkisiz olabilecek dağıtımlar gibi olası hesap ihlallerine işaret edebilecek etkinlikleri izler. GuardDuty, güvenliği ihlal edilmiş olabilecek bulut sunucularını ve saldırganlar tarafından keşif gerçekleştirildiğini de algılar.
  • AWS’deki içeriğimdeki kişisel verileri tanımlamama yardımcı olacak hangi araçlar mevcut?

    Amazon Macie, AWS'deki kişisel verilerinizi keşfetmek ve korumak için makine öğrenimi ve desen eşlemeyi kullanan, tamamen yönetilen bir veri güvenliği ve veri gizliliği hizmetidir. Kuruluşlar giderek artan veri hacimlerini yönetirken uygun ölçekte kişisel verilerini tanımlamak ve korumak her geçen gün daha karmaşık, pahalı ve zaman alan bir iş olabilir. Amazon Macie, uygun ölçekte kişisel verilerin keşfedilmesini otomatik hale getirir ve verilerinizi koruma maliyetini düşürür. Macie, AWS Organizations'da tanımladıklarınız hariç olmak üzere şifrelenmemiş klasörler, genel erişime açık klasörler ve AWS hesaplarıyla paylaşılan klasörlerin bir listesini içeren bir Amazon S3 klasörleri envanterini otomatik olarak sağlar. Ardından Macie, makine öğrenimi ve desen eşleme tekniklerini tanımlanması için seçtiğiniz klasörlere uygular ve kişisel veriler konusunda sizi uyarır.

    Amazon Macie, uluslararası geçerliliği olan bulut güvenliği için ISO 27017, bulut gizliliği için ISO 27018 gibi standartlarda sertifikalıdır. Müşteriler ve APN Çözüm ortakları Macie'yi kullanarak erişim düzenlerine göre şüpheli etkinlikleri algılamak için kendi verilerine erişimi sürekli izleyebilir.

  • AWS'deki içeriklerimin içindeki kişisel verilere erişimi nasıl denetleyebilirim?

    AWS, müşterilere GDPR uyumluluğu konusunda yardımcı olmak için AWS'de sahip oldukları içeriklerin barındırdığı kişisel verilere erişimi denetlemeye yönelik bir dizi araç sunar. Bunlara aşağıdakiler dahildir:

    • Varsayılan olarak güvenlik, AWS hizmetlerinin varsayılan olarak güvenli olacak şekilde tasarlandığı anlamına gelir. Varsayılan yapılandırma kullanılırsa kaynaklara erişim yalnızca hesap sahibi ve kök yöneticisi tarafından açılabilecek şekilde kilitlenir.
    • AWS Identity and Access Management (IAM) ile AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilirsiniz. Kurumlar IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
    • AWS Multi-Factor Authentication, bir AWS hesabının kullanıcı adına ve parolasına ek olarak fazladan bir koruma katmanı sağlar. AWS, müşterilere sanal ve donanımsal MFA cihazları arasında seçim yapma seçeneği sunar.
    • AWS Directory Service, müşteriler için kurumsal dizinlerle entegrasyon ve federasyon aracılığıyla yönetim yükünü azaltmanıza ve son kullanıcı deneyimini iyileştirmenize olanak tanır
    • AWS Config, müşterilerin AWS kaynaklarının düzgün yapılandırılmış ve uyumlu bir durumda olduğundan emin olmasına yardımcı olan önceden paketlenmiş kuralları etkinleştirmesine imkan tanır.
    • AWS CloudTrail, müşterilerin AWS altyapıları arasında gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu, güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
    • Amazon Macie, AWS'deki hassas verileri otomatik olarak keşfederek, sınıflandırarak ve koruyarak müşterilerin veri kaybını önlemesine yardımcı olmak için makine öğrenimi kullanan bir güvenlik hizmetidir. Tümüyle yönetilen hizmet, sürekli olarak veri erişimi etkinliğindeki anormallikleri izler ve yetkisiz erişim ya da yanlışlıkla veri sızdırma (müşterinin yanlışlıkla dış erişime açtığı hassas veriler gibi) durumu algıladığında ayrıntılı uyarılar oluşturur.
       
  • AWS'de barındırılan müşteri verilerinin yetkisiz erişimi önlemek için bunları nasıl şifreleyebilirim?

    AWS, müşterilere ve APN Çözüm Ortaklarına buluttaki bekleyen müşteri verilerine ek bir güvenlik katmanı kazandırma olanağı sunar ve bunların GDPR kapsamındaki veri denetçileri olarak işleme güvenliği yükümlülüklerini karşılamasına yardımcı olur. AWS'de kullanılabilen şifreleme araçları:

    • Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS ve Redshift gibi AWS depolama ve veritabanı hizmetlerinde sunulan veri şifreleme özellikleri
    • Şifreleme anahtarlarının AWS tarafından yönetilmesinin tercih edilmesine veya müşterilerin anahtarların üzerinde tam denetim sahibi olmasına imkan tanıyan AWS Key Management Service gibi esnek anahtar yönetimi seçenekleri
    • Amazon SQS için sunucu tarafı şifreleme (SSE) kullanılarak hassas verilerin aktarılması için şifrelenen ileti kuyrukları
    • AWS CloudHSM ile tahsis edilmiş, donanım tabanlı şifreleme anahtarı depolama imkanı, müşterilerin mevzuat uyumluluğu gereksinimlerini karşılamasını mümkün kılar
     
    AWS ayrıca müşterilerin ve APN Çözüm Ortaklarının bir AWS ortamında geliştirdiği veya dağıttığı herhangi bir hizmette şifreleme ve veri koruma entegrasyonu yapmasını mümkün kılan API'ler sağlar.
  • AWS, müşterilerinin GDPR ile uyumlu olmasına yardımcı olmak için hangi hizmetleri sunuyor?

    AWS müşterilerin GDPR gereksinimlerini karşılamasına yardımcı olan belirli özellikler ve hizmetler sağlamaktadır:

    Erişim Denetimi: AWS kaynaklarına yalnızca yetkili yöneticilerin, kullanıcıların ve uygulamaların erişmesine izin verin

    • Multi-Factor-Authentication (MFA)
    • Amazon S3 Klasörleri/ Amazon SQS/ Amazon SNS ve diğer hizmetlerdeki nesnelere ince ayrıntılı erişim
    • API İsteği Kimlik Doğrulaması
    • Coğrafi Kısıtlamalar
    • AWS Security Token Service aracılığıyla geçici erişim belirteçleri

    İzleme ve Günlük Kaydı: AWS kaynaklarınızdaki etkinliklerin genel bir görünümünü elde edin

    Şifreleme: AWS'deki Verileri Şifreleme

    • Bekleyen verilerinizin AES256 ile şifrelenmesi (EBS/S3/Glacier/RDS)
    • Merkezi olarak yönetilen Anahtar Yönetimi (AWS Bölgesine göre)
    • VPN-Gateway'ler ile AWS'ye IPsec tünelleri
    • AWS CloudHSM ile bulutta tahsis edilmiş HSM modülleri

    Güçlü Uyum Çerçevesi ve Güvenlik Standartları: Aşağıdakiler gibi katı uluslararası standartlarla uyumluluğu gösteririz:

İletişim


  • GDPR ve AWS ile ilgili sorularım varsa kime ulaşmalıyım?

    GDPR ile ilgili soruları olan müşterilerin önce AWS müşteri yöneticilerine başvurmasını öneririz. Müşteriler Enterprise Support aboneliğine sahipse Teknik Müşteri Yöneticilerine (TAM) de ulaşabilir. TAM'ler Çözüm Mimarlarıyla birlikte çalışarak müşterilerin olası riskleri ve olası düzeltme olanaklarını belirlemesine yardımcı olur. TAM'ler ve hesap ekipleri ayrıca belirli kaynaklara sahip olan müşterileri ve APN Çözüm Ortaklarını ortam ve gereksinimlerine göre yönlendirebilir.
     

    AWS'de, GDPR ile ilgili sorular konusunda yardımcı olabilecek Kurumsal Destek Temsilcileri ve Profesyonel Hizmetler Danışmanlarından oluşan ekiplerin yanı sıra başka çalışanlar da vardır. Herhangi bir sorunuz olması durumunda buradan bizimle iletişime geçebilirsiniz.

compliance-contactus-icon
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »