Genel Veri Koruma Yönetmeliği (GDPR) Merkezi


Genel Bakış

Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği'ndeki veri öznelerinin temel gizlilik ve kişisel verilerin korunması haklarını korur. Bu yönetmelik veri koruması, güvenlik ve mevzuat uyumluluğu standartlarını yükseltecek ve uyumlu hale getirecek güçlü gereksinimler öngörür.

Tüm AWS Hizmetleri GDPR için hazır – Devamını Okuyun

AWS olarak kendi mevzuat uyumluluğumuzu sağlamanın yanı sıra müşterilerin kendi faaliyetleri için geçerli olabilecek GDPR gereksinimleriyle uyumluluğunu sağlamaya yardımcı olmak için çeşitli hizmetler ve kaynaklar sunmaya önem veriyoruz. Düzenli olarak yeni özellikler kullanıma sunulurken, AWS'nin güvenlik ve mevzuat uyumluluğuna odaklanan 500'den fazla özelliği ve hizmeti vardır.

AWS Ortamınızda GDPR'yi Destekleme

AWS, GDPR ile uyumlu olmak isteyen müşterilerin yararlanabileceği ve özel olarak bunun için sunulan özellikler ve hizmetler sağlar.

AWS'deki Verileri Şifreleme:

  • Bekleyen verilerinizin AES256 ile şifrelenmesi (EBS/S3/Glacier/RDS)
  • Merkezi olarak yönetilen Anahtar Yönetimi (AWS Bölgesine göre)
  • VPN-Gateway'ler ile AWS'ye IPsec tünelleri
  • AWS CloudHSM ile bulutta tahsis edilmiş HSM modülleri

AWS kaynaklarınızdaki etkinliklerin genel bir görünümünü elde edin:

  • AWS Config ile Varlık Yönetimi ve Yapılandırması
  • AWS CloudTrail ile denetim ve güvenlik analitiği
  • Amazon VPC-FlowLogs aracılığıyla ağdaki akışlar hakkında ayrıntılı bilgi
  • AWS Config Kuralları ile kural tabanlı yapılandırma denetimleri ve eylemleri
  • AWS CloudFront'taki AWS WAF işlevleriyle uygulamalara HTTP erişiminin filtrelenmesi ve izlenmesi

Yalnızca yetkili yöneticilere, kullanıcılara ve uygulamalara izin verme:

  • Multi-Factor-Authentication (MFA)
  • Amazon S3, Amazon SQS ve Amazon SNS'deki nesnelere ayrıntılı erişim
  • API İsteği Kimlik Doğrulaması
  • Coğrafi Kısıtlamalar
  • AWS Security Token Service aracılığıyla geçici erişim belirteçleri

Müşteri içerikleri müşterilerin denetimindedir. AWS ile müşteriler:

  • Depolama türü ve bu depolamanın coğrafi bölgesi dahil olmak üzere müşteri verilerinin nerede depolanacağını belirleyebilir.
  • Müşteri içeriklerinin güvenlik altına alınmış durumunu seçebilir. Müşterilere aktarım veya bekleme halindeki müşteri içerikleri için güçlü şifreleme olanağının yanı sıra kendi şifreleme anahtarlarını yönetme seçeneği sunuyoruz.
  • Kendi denetimleri altında olan kullanıcılar, gruplar, izinler ve kimlik bilgileri aracılığıyla müşteri içeriklerine, AWS hizmetlerine ve kaynaklarına erişimi denetleyebilir.

SbD yaklaşımı aşağıdaki hedeflere ulaşmaya yöneliktir:

  • Değiştirme izni olmayan kullanıcılar tarafından geçersiz kılınamayan zorlama işlevlerinin oluşturulması.
  • Denetimlerin güvenilir bir şekilde çalışmasını sağlama.
  • Sürekli ve gerçek zamanlı denetimi etkinleştirme.
  • Yönetim politikanızın teknik olarak yazılması.

Sektör öncüsü işlevlerimiz, uluslararası geçerliliği olan çok sayıdaki sertifika ve akreditasyonumuzun temelini oluşturur ve teknik önlemler için ISO 27001, bulut güvenliği için ISO 27017, bulutta gizlilik için ISO 27018, SOC 1, SOC 2 ve SOC 3, PCI DSS Level 1'in yanı sıra BSI Common Cloud Computing Controls Catalogue (C5) ve ENS High gibi AB'ye özgü sertifikaların dahil olduğu bu liste, katı uluslararası standartlarla uyumlu olduğumuzu gösterir. AWS kısa bir süre önce CISPE Davranış Kuralları ile de uyumlu olduğunu duyurdu.

AWS Hizmetlerinden Yararlanın

Amazon Macie

Kişisel Bilgileri (PII) proaktif olarak koruyun ve bunlar taşındığında haberdar olun.

AMAZON MACIE HAKKINDA DAHA FAZLA BİLGİ EDİNİN »

AWS Identity and Access Management (IAM)

AWS kullanıcıları ve grupları oluşturup bunları yönetin ve izinleri kullanarak AWS kaynaklarına erişimlerine izin verin ya da erişimlerini reddedin.

AWS IAM HAKKINDA DAHA FAZLA BİLGİ EDİNİN »

AWS Config

Mevzuat uyumluluğu denetimi, güvenlik analizi, değişiklik yönetimi ve operasyonel sorun giderme süreçlerini basitleştirin.  

AWS CONFIG HAKKINDA DAHA FAZLA BİLGİ EDİNİN »

Amazon Inspector

Uygulamalarınız için standartlar ve en iyi uygulamalar tanımlayıp bu standartlara uyulduğunu doğrulayın.

AMAZON INSPECTOR HAKKINDA DAHA FAZLA BİLGİ EDİNİN »

Amazon GuardDuty

AWS hesaplarınızın ve iş yüklerinizin korunması için akıllı tehdit algılama ve sürekli izleme.

AMAZON GUARDDUTY HAKKINDA DAHA FAZLA BİLGİ EDİNİN »

AWS Key Management Service (KMS)

Kolayca verilerinizin şifrelenmesi için kullanılan anahtarlar oluşturup bu anahtarları yönetin.

AWS KMS HAKKINDA DAHA FAZLA BİLGİ EDİNİN »

GDPR SSS

  • GDPR nedir?

    Genel Veri Koruma Yönetmeliği (GDPR), 25 Mayıs 2018'de yürürlüğe girecek yeni bir Avrupa gizlilik kanunudur. Direktif 95/46/EC olarak da bilinen AB Veri Koruma Direktifi'nin yerini alacak olan GDPR, tüm üye devletler için bağlayıcı olan tek bir veri koruma kanununu yürürlüğe sokarak Avrupa Birliği (AB) genelinde veri koruma kanunlarını birbiriyle uyumlu hale getirmeyi amaçlamaktadır.

  • GDPR kimler için geçerlidir?

    GDPR, AB'de kurulmuş olan tüm kuruluşların yanı sıra AB'de kurulmuş olup olmadığından bağımsız olarak AB'deki veri öznelerine mal veya hizmet sunma ya da AB'de gerçekleşen davranışların izlenmesi ile ilişkili olarak AB veri öznelerinin kişisel verilerini işleyen tüm kuruluşlar için geçerlidir. Kişisel veriler, kimliği tanımlanmış veya tanımlanabilecek bir gerçek kişiyle ilgili tüm verilerdir.

  • GDPR yürürlüğe girdikten sonra şu anda yürürlükte olan AB veri koruma kanunlarına ne olacak?

    GDPR, mevcut Veri Koruma Direktifi'nin (Avrupa Direktifi 95/46/EC) yerini alacaktır. 25 Mayıs 2018'den itibaren mevcut Veri Koruma Direktifi ve bununla ilgili kanunlar yürürlükten kalkacaktır.

  • AWS şimdiye kadar GDPR hazırlıkları kapsamında neler yaptı?

    AWS'deki mevzuat uyumluluğu, veri koruması ve güvenlik uzmanları bir süredir dünyanın çeşitli yerlerinden müşterilerle birlikte çalışarak bunların sorularını yanıtlıyor ve GDPR yürürlüğe girdikten sonra AWS Bulut'ta iş yükü çalıştırmaya hazırlanmalarına yardımcı oluyor. Bu takımlar ayrıca GDPR gereksinimlerini karşılama açısından AWS hizmetlerinin hazırlık durumunu gözden geçirdi ve tüm AWS Hizmetlerinin GDPR için hazır olduğunu onayladı.

    Bunlara ek olarak, müşterilere GDPR gereksinimlerini karşılayan bir Veri İşleme Sözleşmesi (GDPR DPA) sunuyoruz. Bu GDPR DPA belgesi AWS Hizmet Koşulları'na dahil edilmiştir ve GDPR uyumluluğu sağlaması gereken tüm müşteriler için otomatik olarak geçerli olur.

    AWS kısa bir süre önce CISPE Davranış Kuralları ile de uyumlu olduğunu duyurdu. CISPE Davranış Kuralları, bulut altyapı sağlayıcılarının GDPR kapsamındaki veri koruma yükümlülükleriyle ne kadar uyumlu olduğunu değerlendirme konusunda bulut müşterilerine yardımcı olur. AWS tarafından Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon Relational Database Service (Amazon RDS), AWS Identity and Access Management (IAM), AWS CloudTrail ve Amazon Elastic Block Storage (Amazon EBS) hizmetlerinin CISPE Kuralları ile tam olarak uyumlu olduğu beyan edilmiştir. Bu, AWS'yi kullanan müşterilerin verilerini güvenli, korumalı ve uyumlu bir ortamda tam olarak denetleme olanağına sahip olduğu konusunda ek güvenceler sunar. AWS'nin CISPE Davranış Kuralları uyumluluğuyla ilgili olarak şu web sitesinden daha ayrıntılı bilgi edinebilirsiniz: https://cispe.cloud/

    AWS olarak tüm küresel operasyonlarımızda güvenlik ve mevzuat uyumluluğu çıtasını yüksekte tutuyoruz. Güvenlik her zaman en büyük önceliğimiz – gerçek manada "sıfırıncı işimiz" olmuştur. Sektör öncüsü güvenliğimiz, uluslararası geçerliliği olan çok sayıdaki sertifika ve akreditasyonumuzun temelini oluşturur ve teknik önlemler için ISO 27017, bulut güvenliği için ISO 27018, bulutta gizlilik için ISO 1, SOC 2, SOC 3 ve SOC 1, PCI DSS Level 1 gibi sıkı uluslararası standartlarla uyumlu olduğumuzu gösterir. AWS ayrıca müşterilerin Alman hükümeti tarafından desteklenen bir onay mekanizması olan BSI Common Cloud Computing Controls Catalogue (C5) gibi yerel güvenlik standartlarını karşılamasına yardımcı olur.

  • AWS, GDPR'nin gereksinimleri arasında yer alan Davranış Kuralları ile uyumlu mudur?

    AWS, CISPE Veri Koruma Davranış Kuralları ile de uyumlu olduğunu duyurdu. CISPE, Avrupa'da müşterilere bulut hizmetleri sunan bulut altyapısı (Hizmet Olarak Altyapı olarak da bilinir) sağlayıcılarından oluşan bir koalisyondur. CISPE Davranış Kuralları, bulut müşterilerinin bulut altyapı sağlayıcıları tarafından GDPR ile uyumlu bir şekilde uygun veri koruma standartlarının kullanıldığından emin olmasına yardımcı olur. Kuralların bazı önemli avantajları şunlardır:

    • Veri koruması söz konusu olduğunda kimin neden sorumlu olduğunun açıklığa kavuşturulması: Davranış Kuralları, özellikle de bulut altyapı hizmetleri bağlamında hem sağlayıcının hem de müşterinin GDPR kapsamındaki rolünü açıklar.
    • Davranış Kuralları sağlayıcıların hangi ilkelere uyması gerektiğini açıklar: Davranış Kuralları sağlayıcıların GDPR ile uyumlu olmak ve müşterilerin uyumlu olmasına yardımcı olmak için gerçekleştirmesi gereken eylemleri ve üstlenmesi gereken yükümlülükleri ana hatlarıyla açıklar.
    • Davranış Kuralları, müşterilere veri koruması ve veri güvenliğiyle ilgili bilgi vererek mevzuat uyumluluğu konusunda belirli kararlar vermeleri gerektiğini bildirir. Davranış Kuralları, sağlayıcıların güvenlik taahhütlerini yerine getirme yönünde attığı adımlar konusunda şeffaf olmasını gerektirir. Bu adımlara verilerin güvenliğinin ihlal edilmesi, silinmesi ve üçüncü taraflarca işlenmesinin yanı sıra kolluk kuvvetleri ve devlet tarafından yapılan taleplere ilişkin bildirimler dahildir. Müşteriler bu bilgileri kullanarak sağlanan üst düzey güvenliği tam olarak anlayabilir.

    AWS'nin kolluk kuvvetleri tarafından gerçekleştirilen taleplere nasıl karşılık verdiğine ilişkin bilgi edinmek için bkz. "AWS ile Veri İkametine Yaklaşım".

  • GDPR, AB'de faaliyet gösteren kurumlar için hangi yenilikleri getirecek?

    GDPR'nin önemli boyutlarından biri, kişisel verilerin nasıl güvenli bir şekilde işlenebileceği, kullanılabileceği ve alıp verilebileceğine ilişkin AB üye devletlerinin tamamı için tutarlı bir çerçeve oluşturmasıdır. Kurumların sağlam teknik ve kurumsal önlemlerin yanı sıra mevzuat uyumluluğu politikaları uygulayıp bunları düzenli bir şekilde gözden geçirerek işledikleri verilerin güvenliğini ve GDPR ile uyumlu olduklarını sürekli olarak göstermesi gerekecek.

  • AWS, müşterilerinin GDPR ile uyumlu olmasına yardımcı olmak için hangi hizmetleri sunuyor?

    AWS zaten müşterilerin GDPR gereksinimlerini karşılamasına yardımcı olan belirli özellikler ve hizmetler sağlamaktadır:

    Erişim Denetimi: AWS kaynaklarına yalnızca yetkili yöneticilerin, kullanıcıların ve uygulamaların erişmesine izin verin

    • Multi-Factor-Authentication (MFA)
    • Amazon S3 Klasörleri/ Amazon SQS/ Amazon SNS ve diğer hizmetlerdeki nesnelere ince ayrıntılı erişim
    • API İsteği Kimlik Doğrulaması
    • Coğrafi Kısıtlamalar
    • AWS Security Token Service aracılığıyla geçici erişim belirteçleri

    İzleme ve Günlük Kaydı: AWS kaynaklarınızdaki etkinliklerin genel bir görünümünü elde edin

    • AWS Config ile Varlık Yönetimi ve Yapılandırması
    • AWS CloudTrail ile Mevzuat Uyumluluğu Denetimi ve güvenlik analitiği
    • AWS Trusted Advisor aracılığıyla yapılandırma zorluklarının belirlenmesi
    • Amazon S3 nesnelerine erişimin ince ayrıntılarla günlüğe kaydedilmesi
    • Amazon VPC-FlowLogs aracılığıyla ağdaki akışlar hakkında ayrıntılı bilgi
    • AWS Config Kuralları ile kural tabanlı yapılandırma denetimleri ve eylemleri
    • AWS CloudFront'taki WAF işlevleriyle uygulamalara HTTP erişiminin filtrelenmesi ve izlenmesi

    Şifreleme: AWS'deki Verileri Şifreleme

    • Bekleyen verilerinizin AES256 ile şifrelenmesi (EBS/S3/Glacier/RDS)
    • Merkezi olarak yönetilen Anahtar Yönetimi (AWS Bölgesine göre)
    • VPN-Gateway'ler ile AWS'ye IPsec tünelleri
    • AWS CloudHSM ile bulutta tahsis edilmiş HSM modülleri

    Güçlü Mevzuat Uyumluluğu Altyapısı ve Güvenlik Standartları:

    • ISO 27001/9001 sertifikalı
    • ISO 27017/27018 sertifikalı
    • Cloud Computing Compliance Controls Catalog (C5 – Alman Hükümeti tarafından desteklenen onaylama şeması)
    • AWS, denetçi TÜV TRUST IT ile birlikte Bulutta Alman BSI IT Grundschutz uyumluluğunu sağlama konusunda rehberlik sunan bir Müşteri Sertifika Çalışma Kitabı yayımlamıştır
  • Müşteriler GDPR hazırlıkları kapsamında neler yapabilir?

    İşte GDPR uyumluluğu ele alınırken yararlı olabilecek birkaç önemli nokta:

    • Bölgesel Kapsam: Bir kurumun faaliyetlerinin GDPR kapsamında olup olmadığının belirlenmesi, bu kurumun mevzuat uyumluluğu yükümlülüklerini yerine getirebilmesi açısından hayati öneme sahiptir. GDPR, AB'de kurulmuş olan tüm kurumlar için geçerlidir. Bununla birlikte, AB dışında kurulmuş olsanız bile faaliyetlerinize bağlı olarak GDPR sizin için de geçerli olabilir.
       
    • Veri Öznesi Hakları: GDPR, veri öznelerinin haklarını çeşitli yönlerden iyileştirir. Örneğin, veri özneleri verilerinin işlenmesine itiraz etme ve kendileriyle ilgili kişisel verilere erişme hakkına sahiptir. GDPR'ye tabi olan kurumlar veri öznelerinin kişisel verilerini işliyorsa haklarını gözetebileceklerinden emin olmalıdır.
       
    • Veri Güvenlik İhlali Bildirimleri: Bir veri denetçisiyseniz, kişisel verilerin güvenliğinin ihlal edilmesi durumunda bunu fazla gecikmeden, mümkünse durumu fark ettikten sonra en geç 72 saat içinde ilgili denetim makamına bildirmeniz gerekir. AWS'yi kullandığınızda kişisel verilerin nasıl işleneceği ve korunacağı konusunda denetime sahip olursunuz. Bu sayede, kendi ortamınızda güvenlik ihlali gerçekleşip gerçekleşmediğini izleyebilir ve GDPR gereksinimleri uyarınca ihlalleri düzenleyicilere ve durumdan etkilenen bireylere bildirebilirsiniz. Ayrıca, AWS bir veri işleyicisi olarak (i) güvenlik standartlarımızın ihlal edilmesi sonucu hesabınızdaki AWS hizmetlerine yüklenen herhangi bir kişisel verinin yanlışlıkla ya da kanun dışı bir şekilde yok olmasına, kaybolmasına, değişmesine, yetkisiz bir şekilde açıklanmasına ya da erişime açılmasına neden olan durumlardan veya (ii) AWS donanımlarına ya da tesislerine yetkisiz erişim sonucu hesabınızdaki AWS hizmetlerine yüklenen kişisel verilerin yok olmasına, kaybolmasına, yetkisiz bir şekilde açıklanmasına veya değiştirilmesine yol açan durumlardan haberdar olmamız halinde çok gecikme olmadan sizi bilgilendiririz.
       
    • Veri Koruma Yöneticisi (DPO): Veri güvenliğinin ve kişisel verilerin işlenmesiyle ilgili diğer konuların yönetilmesi için bir DPO atamanız gerekebilir.
       
    • Veri Koruması Etki Değerlendirmesi (DPIA): İşleme faaliyetleriniz için bir DPIA gerçekleştirmeniz ve bazı durumlarda bu değerlendirmeyi denetim makamına sunmanız gerekebilir. Bu değerlendirmede veri işleme prosedürlerinizin ve süreçlerinizin yanı sıra kişisel verilerin korunması için uygulanan denetimler belirtilmelidir.
       
    • Veri İşleme Sözleşmesi (DPA): Özellikle de kişisel veriler EEA dışına aktarılıyorsa GDPR gereksinimlerini karşılayan bir DPA'nızın olması gerekebilir. AWS, müşterilerine AWS Hizmet Koşulları'na dahil edilmiş ve GDPR uyumluluğu sağlaması gereken tüm müşteriler için otomatik olarak geçerli olan bir GDPR DPA'sı sunar. AWS, müşterilerin erişim denetimleri, izleme, günlük kaydı ve şifrelemeye yönelik hizmetler dahil olmak üzere GDPR gereksinimlerini karşılamasına yardımcı olan hizmetlerden ve belirli hizmet özelliklerinden oluşan geniş bir seçenek yelpazesi sunar. Yukarıdaki "AWS, müşterilerinin GDPR ile uyumlu olmasına yardımcı olmak için hangi hizmetleri sunuyor?" bölümünde bunlarla ilgili daha fazla bilgi sunulmuştur.

    Ayrıca, müşterilerle birlikte çalışarak bunların sorularını yanıtlayan ve GDPR yürürlüğe girdikten sonra bulutta iş yükü çalıştırmaya hazırlanmalarına yardımcı olan mevzuat uyumluluğu, veri koruması ve güvenlik uzmanlarından oluşan ekiplerimiz ve AWS Çözüm Ortaklarımız vardır. Bununla ilgili ek bilgi edinmek için lütfen AWS Hesap Yöneticinize başvurun.

  • AWS bir Veri İşleme Eki (DPA) sunuyor mu?

    Evet. AWS, GDPR sözleşme yükümlülüklerinizi yerine getirmenize imkan tanıyan, GDPR ile uyumlu bir Veri İşleme Eki (GDPR DPA) sunar. AWS GDPR DPA, AWS Hizmet Koşulları ile birleştirilmiştir ve GDPR ile uyumluluk için ihtiyacı olan tüm müşterilere küresel ölçekte otomatik olarak uygulanır.

  • AWS Hizmetleri GDPR ile uyumlu mu?

    AWS hizmetleri Genel Veri Koruma Yönetmeliği (GDPR) ile uyumludur. Bu, AWS'nin zaten hizmet güvenliği için aldığı tüm önlemlerden yararlanmaya ek olarak müşterilerin GDPR uyumluluğu planlarının önemli bir parçası olarak AWS hizmetleri dağıtabileceği anlamına gelir. Daha ayrıntılı bilgi edinmek için AWS Security Blog'daki GDPR hizmetlerine hazırlık duyurumuza bakın: https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/.

  • GDPR kapsamında AWS’nin rolü nedir? AWS bir veri işleyicisi veya veri denetçisi midir?

    AWS, GDPR kapsamında hem veri işleyicisi hem de veri denetçisi olarak faaliyet gösterir.

    • Veri işleyicisi olarak AWS – Müşteriler ve AWS Çözüm Ortağı Ağı (APN) Çözüm Ortakları içeriklerindeki kişisel verileri AWS hizmetlerini kullanarak işlediğinde AWS bir veri işleyicisi olarak faaliyet göstermiş olur. Müşteriler ve APN Çözüm Ortakları, güvenlik yapılandırması denetimleri dahil olmak üzere AWS hizmetlerinde sunulan denetimleri kişisel verilerin işlenmesi için kullanabilir. Bu koşullar altında müşterinin veya APN Çözüm Ortağının kendisi bir veri denetçisi ya da veri işleyicisi olarak faaliyet gösterebilirken AWS bir veri işleyicisi veya alt işleyici olarak faaliyet göstermiş olur. AWS, bir veri işleyicisi olarak AWS'nin taahhütlerini içeren, GDPR ile uyumlu bir Veri İşleme Eki (DPA) sunar.
    • Veri denetleyicisi olarak AWS – AWS, kişisel veriler topladığı ve bu kişisel verilerin işlenme amaçları ile yöntemlerini belirlediği durumlarda – örneğin, AWS'nin hesap kaydı, yönetim, hizmetlere erişim için hesap bilgilerini ya da müşteri destek etkinlikleri aracılığıyla yardım sağlanması için AWS hesabının iletişim bilgilerini depoladığı durumlar – bir veri denetçisi olarak faaliyet göstermiş olur.
  • GDPR, AWS'nin paylaşılan sorumluluk modelini nasıl etkiler?

    GDPR, bulut bilişim hizmetlerini kullanmaya odaklanan müşteriler ve APN Çözüm Ortakları için geçerliliğini koruyan AWS paylaşılan sorumluluk modelini değişikliğe uğratmaz. Paylaşılan sorumluluk modeli, GDPR kapsamında AWS'nin (bir veri işleyicisi ve alt işleyici olarak) ve müşterilerin ya da APN Çözüm Ortaklarının (veri denetçileri veya veri işleyicileri olarak) çeşitli sorumluluklarının gösterilmesi için kullanışlı bir yaklaşımdır.

    Paylaşılan sorumluluk modelinde AWS bulutu destekleyen temel altyapının güvenliğinden sorumluyken, veri denetçileri veya veri işleyicileri olarak faaliyet gösteren müşteriler ve APN çözüm ortakları buluta ekledikleri kişisel verilerden sorumludur.

    Bir veri işleyicisi olarak AWS'nin Sorumlulukları

    AWS, AWS Bulut'ta sunulan tüm hizmetlerin üzerinde çalıştığı küresel altyapının korunmasından sorumludur. Bu altyapı, AWS hizmetlerini çalıştıran ve müşteriler ile APN Çözüm Ortaklarına müşteri içeriklerinin işlenmesi için güvenlik yapılandırması denetimleri dahil olmak üzere güçlü denetimler sağlayan donanımlar, yazılımlar, ağ iletişimleri ve tesislerden oluşur. Bu altyapının korunması AWS’nin bir numaralı önceliğidir. AWS, çeşitli bilgisayar güvenliği standartlarıyla ve düzenlemeleriyle uyumluluğumuzu onaylayan üçüncü taraf denetimcilerce hazırlanmış uyumluluk raporları sunar (bilgi edinmek için şu adresi ziyaret edin: https://aws.amazon.com/compliance). Bu raporlar müşterilerimize ve APN Çözüm Ortaklarımıza AWS'de işlemeyi tercih ettikleri kişisel verileri koruduğumuzu gösterir. AWS'nin ISO 27001, 27017 ve 27018 uyumluluğu iyi birer örnektir. ISO 27018, kişisel verilerin korunmasına odaklanan güvenlik denetimleri içerir. AWS’nin ISO 27108 uyumluluğuyla ilgili ayrıntılara buradan ulaşılabilir: https://aws.amazon.com/compliance/iso-27018-faqs/.

    AWS, yönetilen hizmetler olarak görülen teknolojilerinin güvenlik yapılandırmasından da sorumludur. Bunların örnekleri arasında Amazon DynamoDB, Amazon RDS, Amazon Redshift, Amazon Elastic MapReduce ve diğer birkaç hizmet yer alır. Bu hizmetler, bulut tabanlı kaynakların ölçeklenebilirliğine ve esnekliğine ek olarak yönetilme avantajını sunar. Bu hizmetler için işletim sistemi (OS) güvenliği ve veritabanına düzeltme eki uygulama, güvenlik duvarı yapılandırma ve olağanüstü durum kurtarma gibi temel güvenlik görevleri AWS tarafından gerçekleştirilir. Yönetilen hizmetlerde müşteriler ve APN Çözüm Ortakları kaynakları için mantıksal erişim denetimlerini yapılandırır ve hesaplarının kimlik bilgilerini korur. Bunların birkaçı veritabanı kullanıcı hesaplarının ayarlanması gibi ek görevler gerektirebilir, ancak genel olarak güvenlik yapılandırması için gerekli çalışmalar hizmet tarafından gerçekleştirilir. Bu hizmetlerin tümünde müşterilerin ve APN Çözüm Ortaklarının buluta ekledikleri tüm kişisel verilerle ilgili sorumlukları devam eder.

    AWS ayrıca bir veri işleyicisi olarak AWS'nin taahhütlerini içeren, GDPR ile uyumlu bir Veri İşleme Eki (GDPR DPA) sunar. AWS GDPR DPA belgesi AWS Hizmet Koşulları'na dahil edilmiştir ve GDPR uyumluluğu sağlaması gereken tüm müşteriler için otomatik olarak geçerli olur.

    Veri denetçileri olarak müşterilerin ve APN Çözüm Ortaklarının sorumlulukları ve bunlar için AWS hizmetlerinden yararlanma:

    AWS Bulut'ta müşteriler ve APN çözüm ortakları haftalar değil dakikalar içinde sanal sunucular, depolama kaynakları, veritabanları ve masaüstleri tedarik edebilir. Ayrıca bulut tabanlı analitik ve iş akışı araçlarını kullanarak verileri gerektiği gibi işleyebilir ve ardından kendi veri merkezlerinde veya bulutta depolayabilirler. Müşterilerin ve APN çözüm ortaklarının GDPR sorumlulukları kapsamında ne kadar yapılandırma işinin olacağı, kullandıkları AWS hizmetlerine bağlıdır. Hizmet Olarak Altyapı (IaaS) kategorisindeki – Amazon EC2, Amazon VPC ve Amazon S3 gibi – AWS ürünleri tamamen bir müşterinin veya APN Çözüm Ortağının denetimi altındadır ve güvenlik yapılandırması ve yönetim görevleriyle ilgili tüm gerekli işlemleri bunların gerçekleştirmesini gerektirir. Örneğin, EC2 bulut sunucuları için konuk işletim sisteminin yönetiminden (güncelleştirmeler ve güvenlik düzeltme ekleri dahil), bulut sunucularına yüklenen tüm uygulama yazılımlarından veya yardımcı programlardan ve her bir bulut sunucusunda AWS tarafından sağlanan güvenlik duvarının (güvenlik grubu olarak adlandırılır) yapılandırılmasından, yani sunucuların nerede bulunduğundan bağımsız olarak gerçekleştirilmesi gereken güvenlik görevlerinden sorumludur.

    Tasarım ve varsayılan ilkeler gereği veri koruması sağlanabilmesi için müşterilerin ve APN Çözüm Ortaklarının AWS hesabı kimlik bilgilerini korumasını ve her kullanıcının kendi kimlik bilgilerine sahip olması, bu sayede de verilere izin tabanlı erişim ve kullanıcı rolüne göre görev ayrımı uygulanabilmesi amacıyla Amazon Identity and Access Management (IAM) ile bireysel kullanıcı hesapları ayarlamasını öneririz. Ayrıca her hesapla Multi-Factor Authentication (MFA) kullanılmasını, AWS kaynaklarıyla iletişim için SSL/TLS'nin zorunlu kılınmasını, AWS CloudTrail ile API/kullanıcı etkinliği için günlük kaydı ayarlanmasını, AWS şifreleme çözümlerinden ve AWS hizmetlerindeki diğer güvenlik denetimlerinden yararlanılmasını öneririz. Müşteriler ve APN Çözüm Ortakları GDPR uyumluluğu için hesap ve altyapı güvenliğine yönelik Amazon GuardDuty'nin yanı sıra Amazon S3'te depolanan kişisel verilerin bulunup korunmasına yardımcı olan Amazon Macie gibi gelişmiş güvenlik hizmetlerini de kullanabilir.

    Müşterilerin alabileceği ek önlemler ve AWS'nin sunduğu çözümler hakkında daha fazla bilgi edinmek için lütfen AWS En İyi Güvenlik Uygulamaları teknik incelemesine ve şu adresten erişebileceğiniz AWS Güvenlik Kaynakları web sayfasındaki önerilen okumaya başvurun: https://aws.amazon.com/security/.

  • GDPR ve AWS ile ilgili sorularım varsa kime ulaşmalıyım?

    Veri koruması veya AWS ve GDPR ile ilgili soruları olan müşterilerin ve APN Çözüm Ortaklarının önce AWS müşteri yöneticilerine başvurmasını öneririz. Müşteriler Enterprise Support aboneliğine sahipse Teknik Müşteri Yöneticilerine (TAM) de ulaşabilir. TAM'ler Çözüm Mimarlarıyla birlikte çalışarak müşterilerin olası riskleri ve olası düzeltme olanaklarını belirlemesine yardımcı olur. TAM'ler ve hesap ekipleri ayrıca belirli kaynaklara sahip olan müşterileri ve APN Çözüm Ortaklarını ortam ve gereksinimlerine göre yönlendirebilir.

    AWS'de Enterprise Support Temsilcileri ve Professional Services Danışmanlarından oluşan ekiplerin yanı sıra GDPR ile ilgili konularda yardımcı olabilecek başka çalışanlar da vardır. Müşterilerin ve APN Çözüm Ortaklarının eğitim düzeyinin daha da artırılması ve GDPR'yi anlayıp AWS araçlarını kullanarak çözümleri uygulamasına yardımcı olunması amacıyla AWS tarafından AWS Summit'lerde ve AWS Pop-up Loft'larda bir dizi konuşma etkinliği, web semineri ve atölye gerçekleştirilmektedir.

  • AWS, müşterilere ve APN Çözüm Ortaklarına GDPR ile ilgili hangi teknik rehberlik kaynaklarını sağlar?

    AWS, GDPR uyumluluğuna giden yolda müşterilere ve APN Çözüm Ortaklarına yardımcı olmak için bir dizi kaynak sunar. AWS'de müşterilere ve APN Çözüm Ortaklarına GDPR ile ilgili konularda yardımcı olabilecek Enterprise Support Temsilcilerinden, Professional Services Danışmanlarından ve başka çalışanlardan oluşan ekipler vardır. AWS ayrıca müşterilerin ve APN Çözüm Ortaklarının GDPR'yi anlamasına ve AWS araçları ile tasarım gereği, varsayılan olarak veri koruması uygulamasına yardımcı olmak için AWS Summit'lerde ve AWS Pop-up Loft'larda bir dizi konuşma etkinliği, web semineri ve atölye gerçekleştirmektedir.

  • AWS, GDPR uyumluluğu için Professional Services yardımı sunacak mı?

    AWS Professional Services ekibi, GDPR uyumluluğuna giden yolda müşterilere ve APN Çözüm Ortaklarına yardımcı olmak için çeşitli faaliyetler gerçekleştirmektedir. Professional Services Danışmanları özel danışmanlık oturumlarının yanı sıra AWS Summit'lerde ve AWS Pop-up Loft'larda herkese açık konuşma etkinlikleri, web seminerleri ve atölyeler sunarak GDPR ile ilgili soruların yanıtlanmasına yardımcı olmaktadır. AWS Professional Services ekibi ayrıca doğrudan müşteriler ve APN Çözüm Ortaklarıyla birlikte çalışarak bunlara GDPR ile ilgili teknik rehberliğin yanı sıra AWS araçlarını kullanarak tasarım gereği ve varsayılan olarak veri koruması uygulama konusunda rehberlik sağlamaktadır. Şu adresten AWS Professional Services Danışmanlarının müşterilere ve APN Çözüm Ortaklarına nasıl yardımcı olduğu hakkında daha ayrıntılı bilgi edinebilirsiniz: https://aws.amazon.com/professional-services/.

  • GDPR uyumluluğuna giden yolda AWS Support bana nasıl yardımcı olabilir?

    AWS Premium Support, müşteriler ve APN Çözüm Ortakları ile birlikte çalışarak GDPR uyumluluğuna giden yolda bunlara yardımcı olmak için teknik rehberlik sunar. Bu çalışmanın bir parçası olarak şu anda mevzuat uyumluluğu risklerinin belirlenip giderilmesine yardımcı olacak şekilde eğitilmiş Bulut Destek Mühendisi ve Teknik Müşteri Yöneticisi ekiplerimiz vardır. Müşterilerin ve APN Çözüm Ortaklarının GDPR uyumluluğunu sağlama çalışmaları boyunca yararlı bulabileceği iki program:

    • Cloud Operations Review – AWS Enterprise Support müşterilerinin yararlanabileceği bu program, bulutta çalışmaya yönelik yaklaşımdaki boşlukların tespit edilmesine yardımcı olacak şekilde tasarlanmıştır. AWS’nin büyük bir temsilci müşteri kümesiyle olan deneyimlerinden elde edilmiş bir dizi en iyi operasyonel uygulamadan yola çıkılarak oluşturulan bu program, bulut işlemlerini ve ilişkili yönetim uygulamalarını gözden geçirme olanağı sunarak GDPR uyumluluğuna giden yolda kurumlara yardımcı olabilir. Program, operasyonel kusursuzluğu hedefleyerek bulut kaynaklı sistemleri hazırlama, izleme, çalıştırma ve iyileştirmeye odaklı dört temel ilkeye dayanan bir yaklaşım kullanır.
    • Well-Architected Review – Bu program, kurumların mimarilerini en iyi AWS uygulamalarıyla karşılaştırmalı bir biçimde ölçmesine ve güvenli, güvenilir, yüksek performanslı ve uygun maliyetli mimariler oluşturmasına imkan tanır. Well-Architected Review'lar müşterilerin ve APN Çözüm Ortaklarının mimarinin nerelerinde risk olduğunu anlamasına ve uygulamalar üretime geçirilmeden önce bu riskleri gidermesine de imkan tanır.

    AWS Premium Support aboneliğinin nasıl yararlı olabileceğini anlamak isteyen müşteriler ve APN Çözüm Ortakları, AWS konsolu (https://console.aws.amazon.com/support/) üzerinden erişilebilen AWS Support Merkezi'nde, AWS ile imzalanan Enterprise Support Sözleşmesi'nde belirtilen kişi ayrıntılarını kullanarak veya şu adresteki AWS Premium Support sayfasını ziyaret ederek daha fazla bilgi edinebilir: https://aws.amazon.com/premiumsupport/. Enterprise Support aboneliği olan müşteriler GDPR ile ilgili soruları için TAM temsilcilerine ulaşmalıdır.

  • AWS'nin alt işleyicileri var mı?

    Müşterilerimizi ve APN Çözüm Ortaklarımızı kişiler veriler içerebilecek içerikler dahil olmak üzere AWS'ye yüklenen içeriklere erişimi olan alt yükleniciler konusunda proaktif olarak bilgilendiririz. Bu taahhüt AWS GDPR Veri İşleme Eki'ne (GDPR DPA) dahil edilmiştir. AWS GDPR DPA belgesi AWS Hizmet Koşulları'na dahil edilmiştir ve GDPR uyumluluğu sağlaması gereken tüm müşteriler için otomatik olarak geçerli olur.

  • Tasarım gereği ve varsayılan veri koruması için gerekli teknik ve kurumsal önlemleri uygulamam için AWS bana hangi araçları sunuyor?

    Çoğu GDPR gereksiniminin merkezinde verilerin denetlenmesi ve korunması vardır. AWS hizmetleri müşterilere ve APN Çözüm Ortaklarına aşağıdaki gibi belirli taktik önlemler dahil olmak üzere GDPR ile uyumlu bir şekilde kendi güvenlik önlemlerini uygulama olanağı sağlamaktadır:

    • Kişisel verilerin şifrelenmesi
    • İşleme sistemlerinin ve hizmetlerinin sürekli gizlilik, bütünlük, kullanılabilirlik ve dayanıklılığını sağlama olanağı
    • Fiziksel veya teknik bir kazanın gerçekleşmesi durumunda kişisel verilerin makul bir süre içinde yeniden erişilebilir olmasını sağlama olanağı
    • İşleme güvenliğini sağlamak amacıyla teknik ölçümlerin verimliliğini düzenli aralıklarla test etme ve değerlendirmeye yönelik bir işlem

    AWS'de GDPR gereksinimlerinin karşılanmasına yardımcı olmak amacıyla dağıtılabilecek, şunların da dahil olduğu bir dizi gelişmiş güvenlik ve mevzuat uyumluluğu hizmeti vardır:

    • Amazon GuardDuty – akıllı tehdit algılama ve kötü amaçlı ya da yetkisiz davranışların sürekli izlenmesi özelliklerine sahip bir hizmet
    • Amazon Macie – Amazon S3'te depolanan kişisel verilerin bulunup sınıflandırılmasına yardımcı olmaya yönelik bir makine öğrenimi aracı
    • Amazon Inspector – uygulamaların güvenlik açısından en iyi yöntemlerle uyumlu kalmasını sağlamaya yönelik otomatik bir güvenlik değerlendirme hizmeti
    • AWS Config Rules – bulut kaynaklarının güvenlik kurallarıyla uyumlu olup olmadığını dinamik olarak denetlemenize imkan tanıyan bir özellik

    AWS tarafından bu konuya özel olarak “AWS'de GDPR Uyumluluğu Sağlama” adlı bir teknik inceleme de yayımlanmıştır. Bu incelemede kaynakların özel olarak izleme, veri erişimi ve anahtar yönetimi gibi kavramlara nasıl bağlanacağı ele alınır ve bununla ilgili ayrıntılar açıklanır.

  • AWS'nin sistemleri korumak için uygulamaya hazır olduğu güvenlik önlemleri nelerdir?

    AWS Bulut altyapısı, bugün piyasadaki en esnek ve güvenli bulut bilişim ortamlarından biri olacak şekilde tasarlanmıştır. Amazon’un ölçeği, güvenlik politikası ve karşı önlemler konusunda neredeyse hiçbir büyük şirketin kendi başına altından kalkamayacağı ölçüde yatırım olanağı sağlar. Bu altyapı, AWS hizmetlerini çalıştıran ve müşteriler ile APN Çözüm Ortaklarına kişisel verilerin işlenmesi için güvenlik yapılandırması denetimleri dahil olmak üzere güçlü denetimler sağlayan donanımlar, yazılımlar, ağ iletişimleri ve tesislerden oluşur. AWS "Güvenlik Süreçlerine Genel Bakış Teknik İncelemesi" başlıklı belgesini okuyarak AWS'nin yüksek güvenlik düzeyini tutarlı olarak korumak için uyguladığı önlemlerle ilgili daha ayrıntılı bilgi edinebilirsiniz.

    AWS ayrıca çeşitli bilgisayar güvenliği standartlarıyla ve düzenlemeleriyle (ISO 27001, ISO 27017 ve ISO 27018 dahil) uyumluluğumuzu test edip onaylayan üçüncü taraf denetimcilerce hazırlanmış bazı mevzuat uyumluluğu raporları sunar. Bu önlemlerin ne kadar etkili olduğu konusunda şeffaflık sağlamak için müşterilerimizin ve APN Çözüm Ortaklarımızın AWS Management Console aracılığıyla üçüncü taraf denetim raporlarına erişmesine imkan tanırız. Bu raporlar, veri denetçileri veya veri işleyicileri olarak faaliyet gösteriyor olabilecek müşterilerimize ve APN Çözüm Ortaklarımıza kişisel verileri üzerinde depolayıp işledikleri temel altyapıyı koruduğumuzu gösterir. Daha fazla bilgi edinmek için şu adresi ziyaret edin: https://aws.amazon.com/compliance

  • AWS, veri denetçilerinin kişisel verilerin güvenliğinin ihlaline ilişkin bildirimler konusunda GDPR kapsamındaki yükümlülüklerini karşılamasına nasıl yardımcı olabilir?

    AWS'nin güvenlik olaylarını izleme ve veri güvenliğinin ihlalini bildirme konusunda hazır bir planı vardır ve AWS sistemlerinde doğruluğu onaylanan güvenlik ihlallerinde müşterileri ve APN Çözüm Ortaklarını destekler ve bilgilendirir. AWS, müşterilere ve APN Çözüm Ortaklarına sahip oldukları kaynaklara kimin, ne zaman ve nereden eriştiğini anlamaya yönelik bir dizi araç da sunar. Bu araçlardan biri de AWS hesabının yönetim, uyumluluk, operasyonel denetim ve risk denetimini mümkün kılan AWS CloudTrail'dır. AWS CloudTrail ile müşteriler, AWS altyapılarının tamamında gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydedebilir, sürekli olarak izleyebilir ve tutabilir. Bu, kurumların AWS altyapılarında olup bitenleri anlamasına ve olağan dışı etkinlikler karşısında hemen harekete geçmesine yardımcı olur. AWS CloudTrail ve AWS'nin veri denetçileri olarak GDPR kapsamında üstlendikleri yükümlülükleri yerine getirme konusunda müşterilere yardımcı olmak için sunduğu diğer güvenlik araçları hakkında daha fazla bilgi edinmek için şu adresi ziyaret edin: https://aws.amazon.com/security/.  

  • AWS, verilerimi siber saldırılara karşı korumama nasıl yardımcı olabilir?

    AWS, müşterilere ve APN Çözüm Ortaklarına sahip oldukları verilerin güvenliğinin sağlanmasına ve siber saldırılara karşı korunmasına yardımcı olmaya yönelik bir dizi araç sunar. Bu araçlardan biri de AWS Shield'dır. Bu, AWS'de çalışan web sitelerinin ve uygulamaların korunmasına yönelik, yönetilen bir Dağıtılmış Hizmet Engelleme (DDoS) koruma hizmetidir. AWS Shield Standard ek ücret olmaksızın sunulur ve uygulama kapalı kalma süresi ile gecikme süresini en aza indirebilecek her zaman açık algılama ve otomatik satır içi düzeltme olanağı sağlar. AWS'de çalışan ve ELB, Amazon CloudFront ve Amazon Route 53 kaynakları kullanan web uygulamalarını hedefleyen saldırılara karşı daha üst düzey bir koruma sağlamak isteyen müşteriler ve APN Çözüm Ortakları AWS Shield Advanced'a kaydolabilir. AWS ayrıca müşterilerin AWS'yi kullanarak DDoS saldırılarına karşı dayanıklı uygulamalar oluşturmasına yardımcı olan DDoS Dayanıklılığı için AWS En İyi Uygulamaları' belgesini yayımlar ve düzenli olarak günceller.

    Verilerin siber saldırılara karşı korunmasına yönelik diğer AWS araçları arasında şunlar yer alır:

    • AWS Identity and Access Management (IAM) ile kurumlar AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilir. Müşteriler ve APN Çözüm Ortakları IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
    • AWS Config, müşterilerin ve APN Çözüm Ortaklarının AWS kaynaklarının düzgün yapılandırılmış ve uyumlu bir durumda olduğundan emin olmasına yardımcı olan önceden paketlenmiş kuralları etkinleştirmesine imkan tanır.
    • AWS CloudTrail, kurumların AWS'de gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu, güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
    • Amazon GuardDuty, AWS hesaplarının ve iş yüklerinin korunmasına yardımcı olmak amacıyla sürekli olarak kötü amaçlı veya yetkisiz davranışları izleyen bir yönetilen tehdit algılama hizmetidir. Olağan dışı API çağrıları veya yetkisiz olabilecek dağıtımlar gibi olası hesap ihlallerine işaret edebilecek etkinlikleri izler. GuardDuty, güvenliği ihlal edilmiş olabilecek bulut sunucularını ve saldırganlar tarafından keşif gerçekleştirildiğini de algılar.
    • Amazon Macie, AWS'deki hassas verileri otomatik olarak keşfederek, sınıflandırarak ve koruyarak müşterilere ve APN Çözüm Ortaklarına yardımcı olmak için makine öğrenimi kullanan bir güvenlik hizmetidir. Tümüyle yönetilen hizmet, sürekli olarak veri erişimi etkinliğindeki anormallikleri izler ve yetkisiz erişim ya da yanlışlıkla veri sızdırma (müşterinin yanlışlıkla dış erişime açtığı hassas veriler gibi) durumu algıladığında ayrıntılı uyarılar oluşturur.  
  • AWS'deki içeriklerimin içindeki kişisel verilerimi bulma konusunda hangi araçlar bana yardımcı olabilir?

    Amazon Macie, müşterilerin ve APN Çözüm Ortaklarının AWS'deki hassas verileri otomatik olarak keşfetmesine, sınıflandırmasına ve korumasına yardımcı olmak için makine öğrenimi kullanan bir güvenlik hizmetidir. Tümüyle yönetilen hizmet, sürekli olarak veri erişimi etkinliğindeki anormallikleri izler ve yetkisiz erişim ya da yanlışlıkla veri sızdırma (hassas verilerin yanlışlıkla dış erişime açılması gibi) durumu algıladığında ayrıntılı uyarılar oluşturur. Macie, uluslararası geçerliliği olan bulut güvenliği için ISO 27017, bulut gizliliği için ISO 27018 gibi standartlarda sertifikalıdır. Müşteriler ve APN Çözüm ortakları Macie'yi kullanarak erişim düzenlerine göre şüpheli etkinlikleri algılamak için kendi verilerine erişimi sürekli izleyebilir.

  • AWS'deki içeriklerimin içindeki kişisel verilere erişimi nasıl denetleyebilirim?

    AWS, müşterilere ve APN Çözüm Ortaklarına GDPR uyumluluğu konusunda yardımcı olmak için AWS'de sahip oldukları içeriklerin barındırdığı kişisel verilere erişimi denetlemeye yönelik bir dizi araç sunar. Bunlara aşağıdakiler dahildir:

    Varsayılan olarak güvenlik, AWS hizmetlerinin varsayılan olarak güvenli olacak şekilde tasarlandığı anlamına gelir. Varsayılan yapılandırma kullanılırsa kaynaklara erişim yalnızca hesap sahibi ve kök yöneticisi tarafından açılabilecek şekilde kilitlenir.

    • AWS Identity and Access Management (IAM), müşterilerin ve APN Çözüm Ortaklarının AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetmesine imkan tanır. Kurumlar IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
    • AWS Multi-Factor Authentication (MFA), bir AWS hesabının kullanıcı adına ve parolasına ek olarak fazladan bir koruma katmanı sağlar. AWS, müşterilere sanal ve donanımsal MFA cihazları arasında seçim yapma seçeneği sunar.
    • AWS Directory Service, kurumsal dizinlerle entegrasyon ve federasyon imkanıyla müşterilerin ve APN Çözüm Ortaklarının yönetim yükünü azaltmasına ve son kullanıcı deneyimini geliştirmesine olanak tanır.
    • AWS Config, müşterilerin ve APN Çözüm Ortaklarının AWS kaynaklarının düzgün yapılandırılmış ve uyumlu bir durumda olduğundan emin olmasına yardımcı olan önceden paketlenmiş kuralları etkinleştirmesine imkan tanır.
    • AWS CloudTrail, müşterilerin ve APN Çözüm Ortaklarının AWS altyapılarında gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu, güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir.
    • Amazon Macie, AWS'deki hassas verileri otomatik olarak keşfederek, sınıflandırarak ve koruyarak müşterilerin veri kaybını önlemesine yardımcı olmak için makine öğrenimi kullanan bir güvenlik hizmetidir. Tümüyle yönetilen hizmet, sürekli olarak veri erişimi etkinliğindeki anormallikleri izler ve yetkisiz erişim ya da yanlışlıkla veri sızdırma (müşterinin yanlışlıkla dış erişime açtığı hassas veriler gibi) durumu algıladığında ayrıntılı uyarılar oluşturur.
  • AWS'de barındırılan kişisel verilere yetkisiz erişimi önlemek için bunları nasıl şifreleyebilirim?

    AWS, müşterilere ve APN Çözüm Ortaklarına buluttaki bekleyen verilerine ek bir güvenlik katmanı kazandırma olanağı sunar ve bunların GDPR kapsamındaki veri denetçileri olarak işleme güvenliği yükümlülüklerini karşılamasına yardımcı olur. AWS'de kullanılabilen şifreleme araçları:

    • Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS ve Redshift gibi AWS depolama ve veritabanı hizmetlerinde sunulan veri şifreleme özellikleri
    • Şifreleme anahtarlarının AWS tarafından yönetilmesinin tercih edilmesine veya müşterilerin anahtarların üzerinde tam denetim sahibi olmasına imkan tanıyan AWS Key Management Service gibi esnek anahtar yönetimi seçenekleri
    • Amazon SQS için sunucu tarafı şifreleme (SSE) kullanılarak hassas verilerin aktarılması için şifrelenen ileti kuyrukları
    • AWS CloudHSM ile tahsis edilmiş, donanım tabanlı şifreleme anahtarı depolama imkanı, müşterilerin mevzuat uyumluluğu gereksinimlerini karşılamasını mümkün kılar
     
    AWS ayrıca müşterilerin ve APN Çözüm Ortaklarının bir AWS ortamında geliştirdiği veya dağıttığı herhangi bir hizmette şifreleme ve veri koruma entegrasyonu yapmasını mümkün kılan API'ler sağlar.
  • AWS, müşterilerden gelen silme yönergelerini nasıl işler?

    AWS hizmetleri, müşterilerin içerikleri istediği zaman, AWS Management Console'u, API'leri ve diğer giriş yöntemlerini kullanarak silmesine imkan tanır. Özel olarak hizmetin işlevi hakkında daha fazla bilgi edinmek için lütfen bkz. https://aws.amazon.com/documentation.  

  • Bir veri koruma düzenleyicisine AWS kullanımımın GDPR ile uyumlu olduğunu nasıl kanıtlayabilirim?

    AWS, AWS'nin altyapısı için koruduğu yüksek mevzuat uyumluluğu düzeyini kanıtlamak için çeşitli bilgisayar güvenliği standartlarıyla ve düzenlemeleriyle uyumluluğumuzu onaylayan üçüncü taraf denetimcilerce hazırlanmış birkaç mevzuat uyumluluğu raporu dahil olmak üzere müşterilere ve APN Çözüm Ortaklarına yararlı bilgiler sunar. Bu raporlar müşterilerimize ve APN Çözüm Ortaklarımıza AWS'de işlemeyi tercih ettikleri kişisel verilerini koruduğumuzu gösterir. AWS'nin ISO 27001, 27017 ve 27018 uyumluluğu iyi birer örnektir. ISO 27018, kişisel verilerin korunmasına odaklanan güvenlik denetimleri içerir. AWS’nin ISO 27108 uyumluluğuyla ilgili ayrıntılara buradan ulaşılabilir: https://aws.amazon.com/compliance/iso-27018-faqs/

    AWS, veri koruması için CISPE Davranış Kuralları ile de uyumludur. CISPE, Avrupa'da müşterilere bulut hizmetleri sunan bulut altyapısı (Hizmet Olarak Altyapı olarak da bilinir) sağlayıcılarından oluşan bir koalisyondur. CISPE Davranış Kuralları, bulut müşterilerinin ve APN Çözüm Ortaklarının bulut altyapı sağlayıcıları tarafından GDPR ile uyumlu bir şekilde uygun veri koruma standartlarının kullanıldığından emin olmasına yardımcı olur. Kuralların bazı önemli avantajları şunlardır:

    • Veri koruması söz konusu olduğunda kimin neden sorumlu olduğunun açıklığa kavuşturulması: Davranış Kuralları, özellikle de bulut altyapı hizmetleri bağlamında hem sağlayıcının hem de müşterinin GDPR kapsamındaki rolünü açıklar.
    • Davranış Kuralları sağlayıcıların hangi ilkelere uyması gerektiğini açıklar: Davranış Kuralları sağlayıcıların GDPR ile uyumlu olmak ve müşteriler ile APN Çözüm Ortaklarının uyumlu olmasına yardımcı olmak için gerçekleştirmesi gereken eylemleri ve üstlenmesi gereken yükümlülükleri ana hatlarıyla açıklar.
    • Davranış Kuralları, müşterilere ve APN Çözüm Ortaklarına veri koruması ve veri güvenliğiyle ilgili bilgi vererek mevzuat uyumluluğu konusunda belirli kararlar vermeleri gerektiğini bildirir. Davranış Kuralları, sağlayıcıların güvenlik taahhütlerini yerine getirme yönünde attığı adımlar konusunda şeffaf olmasını gerektirir. Bu adımlara verilerin güvenliğinin ihlal edilmesi, silinmesi ve üçüncü taraflarca işlenmesinin yanı sıra kolluk kuvvetleri ve devlet tarafından yapılan taleplere ilişkin bildirimler dahildir. Müşteriler ve APN Çözüm Ortakları bu bilgileri kullanarak sağlanan üst düzey güvenliği tam olarak anlayabilir.
  • AWS AB-ABD Gizlilik Kalkanı kapsamında sertifikalı mıdır?

    Evet. Amazon.com, Inc. AB-ABD Gizlilik Kalkanı sertifikalıdır ve AWS bu sertifikanın kapsamındadır. Bu durum kişisel verileri ABD'ye aktarmayı seçen müşterilerin veri koruma yükümlülüklerini yerine getirmesine yardımcı olur. Amazon.com Inc’nin sertifikası şu adresteki AB-ABD Gizlilik Kalkanı web sitesinde bulunabilir: https://www.privacyshield.gov/list

    AWS bağlamında bu konu hakkında daha fazla bilgi edinmek için AB-ABD Gizlilik Kalkanı sayfamızı ziyaret edin.

compliance-contactus-icon
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »