一般資料保護規範 (GDPR) 中心


概觀

歐盟的一般資料保護規範 (GDPR) 可保護歐盟資料當事人的基本隱私權及個人資料。此規範引進健全的要求,將提高並統一相關標準,以達到資料保護、安全性與合規性。

All AWS Services GDPR ready – 閱讀其他資訊

除了自己本身遵循法規之外,AWS 也致力於為客戶提供服務和資源,協助客戶針對其營業活動適用的 GDPR 規範達到合規的要求。AWS 定期推出新功能,目前已提供超過 500 種功能和服務,著重於安全性與合規性。

在您的 AWS 環境中實現 GDPR

AWS 提供了特定的功能與服務,客戶可加以利用,以達成遵循 GDPR 規範的目標。

在 AWS 上加密資料:

  • 使用 AES256 (EBS/S3/Glacier/RDS) 加密靜態資料
  • 集中管理的金鑰管理 (依 AWS 區域)
  • 透過 VPN 閘道經由 IPsec 通道連入 AWS
  • 使用 AWS CloudHSM 的雲端專用 HSM 模組

取得 AWS 資源活動概觀:

  • 使用 AWS Config 進行資產管理和組態
  • 運用 AWS CloudTrail 進行稽核與安全分析
  • 透過 Amazon VPC-FlowLogs 了解網路流量的詳細資訊
  • 使用 AWS Config Rules 執行以規則為基礎的組態檢查和動作
  • 利用 AWS CloudFront 中的 AWS WAF 功能,來過濾並監控應用程式的 HTTP 存取

只允許獲得授權的管理員、使用者和應用程式進行存取:

  • Multi-Factor-Authentication (MFA)
  • 針對 Amazon S3、Amazon SQS 和 Amazon SNS 中的物件,進行精細分級的存取控管
  • API 請求身份驗證
  • 地理限制
  • 透過 AWS Security Token Service 取得臨時存取字符

客戶控制其客戶內容。使用 AWS,客戶可以:

  • 決定存放其客戶內容的位置,包括儲存的類型與該儲存的地理區域。
  • 選擇其客戶內容的安全狀態。針對傳輸中或靜態的客戶內容,我們為客戶提供強式加密,並提供讓他們管理自己加密金鑰的選項。
  • 透過客戶控制的使用者、群組、許可及登入資料,管理對客戶內容、AWS 服務與資源的存取。

SbD 方法主要為了達成以下各項:

  • 建立強制執行功能,讓不得修改這些功能的使用者無法加以覆寫。
  • 建立可靠的控制項操作。
  • 啟用持續且即時的稽核。
  • 管理政策的技術指令碼編寫。

領先業界的功能為我們多項國際公認的認證和鑑定奠定了基礎,證明我們符合各種嚴格的國際標準,包括技術方法的 ISO 27001、雲端安全的 ISO 27017、雲端隱私的 ISO 27018SOC 1、SOC 2 和 SOC 3PCI DSS 第 1 級,以及歐洲特有的認證,如 BSI 的 Common Cloud Computing Controls Catalogue (C5) 和 ENS 高級認證。最近,AWS 也宣佈符合 CISPE 行為準則

利用 AWS 服務

Amazon Macie

主動保護個人身分資訊 (PII) 並掌握一舉一動。

進一步了解 AMAZON MACIE »

AWS Identity and Access Management (IAM)

建立和管理 AWS 使用者和群組,並使用各種許可允許和拒絕他們存取 AWS 資源。

進一步了解 AWS IAM »

AWS Config

簡化合規稽核、安全分析、變更管理和操作故障排除。 

進一步了解 AWS CONFIG »

Amazon Inspector

為您的應用程式制定標準和最佳實務,並驗證是否符合這些標準。

進一步了解 AMAZON INSPECTOR »

Amazon GuardDuty

智慧威脅偵測和持續監控,可保護 AWS 帳戶和工作負載。

進一步了解 AMAZON GUARDDUTY »

AWS Key Management Service (KMS)

輕鬆建立和控制用來加密資料的金鑰。

進一步了解 AWS KMS »

GDPR 常見問答集

  • 什麼是 GDPR?

    一般資料保護規則 (GDPR) 是新的歐洲隱私法,將在 2018 年 5 月 25 日施行。GDPR 將取代歐盟資料保護行政命令 (也稱為 95/46/EC 行政命令),它旨在協調整個歐盟 (EU) 的資料保護法,透過實施單一資料保護法來約束每個成員國。

  • GDPR 適用哪些人?

    所有在歐盟成立的組織皆適用 GDPR。此外,那些無論是否在歐盟成立的組織,但其經手的歐盟資料當事人的個人資料,只要涉及向歐盟的資料當事人提供商品或服務,或與監控歐盟範圍內發生的行為有關時,同樣適用 GDPR。個人資料是與已識別或可識別自然人相關的任何資訊。

  • GDPR 生效之後,現行的歐盟資料保護法會怎麼樣?

    GDPR 將取代現行的資料保護行政命令 (歐洲 95/46/EC 行政命令)。自 2018 年 5 月 25 日起,現行的資料保護行政命令及其相關的法律將不再適用。

  • AWS 針對 GDPR 進行哪些準備工作?

    AWS 合規、資料保護和安全專家與全世界的客戶密切合作,回答他們的問題,以及協助他們做好 GDPR 施行之後在 AWS 雲端執行工作負載的各項因應準備工作。這些團隊也會審查 AWS 服務對於符合 GDPR 要求的準備情況,並確認所有 AWS 服務都符合 GDPR 要求

    此外,我們提供客戶一份資料處理合約,它將符合 GDPR (GDPR DPA) 的各項要求。此 GDPR DPA 已與 AWS 服務條款結合,且自動適用於需要符合 GDPR 要求的全球所有客戶。

    最近,AWS 也宣佈符合 CISPE 行為準則。CISPE 行為準則可協助雲端客戶評估他們的雲端基礎設施供應商是否遵守 GDPR 的資料保護義務。AWS 已宣佈 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon Relational Database Service (Amazon RDS)、AWS Identity and Access Management (IAM)、AWS CloudTrailAmazon Elastic Block Storage (Amazon EBS) 完全遵守 CISPE 準則。這可為客戶提供額外的保證,讓他們在使用 AWS 時更有信心能夠在安全、可靠且合規的環境中完全控制資料。更多有關 AWS 合規與 CISPE 行為準則的詳細資訊可在下列網站中找到,網址為:https://cispe.cloud/

    AWS 持續為所有全球營運提供高標準的安全性和合規。安全性一直是我們的第一優先,也是真正的首要目標。領先業界的安全性為我們多項國際公認的認證和鑑定奠定了基礎,證明我們符合各種嚴格的國際標準,包括:雲端安全的 ISO 27017、雲端隱私的 ISO 27018、SOC 1、SOC 2 和 SOC 3、PCI DSS 第 1 級等等。AWS 也協助客戶達到當地的安全標準,如德國政府支援的鑑定 BSI Common Cloud Computing Controls Catalogue (C5)。

  • AWS 是否如 GDPR 要求符合行為準則的規範?

    AWS 已宣布符合 CISPE 資料保護行為準則。CISPE 是雲端基礎設施 (也稱為基礎設施即服務) 供應商聯盟,這些供應商為歐洲的客戶提供雲端服務。CISPE 行為準則可協助雲端客戶確保其雲端基礎設施供應商依照 GDPR 使用適當的資料保護標準來保護他們的資料。準則的幾項重要好處包括:

    • 釐清就資料保護而言誰該負責哪些項目:行為準則依照 GDPR 解釋雲端基礎設施服務中供應商客戶兩者的具體角色。
    • 行為準則列出供應商應當遵循的原則:行為準則概述供應商應該採取的行動和承諾以遵守 GDPR 且協助客戶遵守該規則。
    • 行為準則為客戶提供制定資料保護和資料安全合規等決策時的必要資訊:行為準則要求供應商透明地公開他們履行安全承諾時所採取的步驟。這些步驟包括資料洩露、資料刪除、第三方子流程以及執法機關和政府機關要求的相關通知。客戶可以使用這些資訊完全地了解提供的高標準安全防護。

    如需了解 AWS 處理執法機構請求的方式,請參閱:「解決 AWS 資料駐留問題」。

  • GDPR 會對歐盟營運的組織提供哪些改變?

    GDPR 其中一個要素是為歐盟會員國在安全地處理、使用、交換個人資料方面制定一致的規則。組織需要實施穩健的技術和組織化措施以及合規政策並定期檢閱,以持續證明資料處理的安全性以及 GDPR 的合規性。

  • AWS 為客戶提供哪些服務以協助其遵守 GDPR?

    AWS 已經提供特定功能和服務來幫助客戶達到 GDPR 的要求:

    存取控制:只允許已授權的管理員、使用者和應用程式存取 AWS 資源

    • Multi-Factor-Authentication (MFA)
    • 對 Amazon S3 儲存貯體/ Amazon SQS/ Amazon SNS 等等中的物件進行精細存取
    • API 請求身份驗證
    • 地理限制
    • 透過 AWS Security Token Service 取得臨時存取字符

    監控和記錄:取得 AWS 資源活動概觀

    • 使用 AWS Config 進行資產管理和組態
    • 利用 AWS CloudTrail 執行合規稽核和安全性分析
    • 透過 AWS Trusted Advisor 識別組態的挑戰
    • 精細記錄對 Amazon S3 物件的存取
    • 透過 Amazon VPC-FlowLogs 了解網路流量的詳細資訊
    • 使用 AWS Config Rules 執行以規則為基礎的組態檢查和動作
    • 利用 AWS CloudFront 中的 WAF 功能過濾和監控 HTTP 存取應用程式

    加密:在 AWS 上加密資料

    • 使用 AES256 (EBS/S3/Glacier/RDS) 加密靜態資料
    • 集中管理的金鑰管理 (依 AWS 區域)
    • 透過 VPN 閘道經由 IPsec 通道連入 AWS
    • 使用 AWS CloudHSM 的雲端專用 HSM 模組

    完備的合規架構和安全標準:

    • 已經過 ISO 27001/9001 認證
    • 已經過 ISO 27017/27018 認證
    • Cloud Computing Compliance Controls Catalog (C5 – 德國政府支持的鑑定機制)
    • AWS 與 TÜV TRUST IT 稽核者合作發佈客戶認證工作手冊,提供如何在雲端達到德國 BSI IT Grundschutz 合規的指導。
  • GDPR 客戶可針對 GDPR 做哪些準備?

    以下是考量 GDPR 合規時可提供協助的一些重點:

    • 地域範圍:確定 GDPR 是否適用於組織的活動,對於確保組織能否履行合規義務至關重要。GDPR 適用於在歐盟設立的所有組織。不過,根據您的活動,即使您在歐盟以外的地區設立,GDPR 也可能適用。
       
    • 資料主體權利:GDPR 以數種方式加強資料主體的權利。例如,資料主體有權反對其資料的處理,而且有權存取相關的個人資料。受 GDPR 規範的組織如果要處理其個人資料,必須確定該組織得到資料主體的授權。
       
    • 資料洩漏通知:如果您是資料控制者,必須立即將資料洩漏的情況呈報給資料保護機構,而且在合理的情況下,必須在得知情況的 72 小時內呈報。使用 AWS,您可以全權掌控個人資料的處理和保護方式。這樣能讓您監控自己的環境是否有違規的問題,並根據 GDPR 的規定通知執法機關及受影響的個人。此外,AWS 做為資料處理者,如果發現以下情況將會立即通知您:(i) 違反我們的網路安全標準,會導致意外或非法破壞、遺失、變更、未經授權揭露或存取上傳到您帳戶中 AWS 服務的任何個人資料,或 (ii) 任何未經授權的存取 AWS 設備或設施,在這種情況下,該存取會導致破壞、遺失、變更、未授權揭露,或變更上傳到您帳戶中 AWS 服務的個人資料。
       
    • 資料保護員 (DPO):您可能需要指派一位 DPO,負責管理資料安全以及有關於處理個人資料的其他問題。
       
    • 資料保護影響評估 (DPIA):您可能需要為處理的活動進行 DPIA,在某些情況下可能需要提交一份 DPIA 至監管機構。這將需要識別您的資料處理程序和流程以及保護個人資料的控管措施。
       
    • 資料處理合約 (DPA):您可能需要一份符合 GDPR 要求的 DPA,尤其是當您將個人資料傳輸至歐盟經濟體 (EEA) 以外的地方時。AWS 提供給客戶的 GDPR DPA 已與 AWS 服務條款結合,且自動適用於需要符合 GDPR 要求的全球所有客戶。AWS 為客戶提供各式各樣的服務和特定服務功能,協助他們符合 GDPR 的要求,包括存取控制、監控、記錄和加密等服務。如需詳細資訊,可參閱上方的「AWS 為客戶提供哪些服務以協助遵守 GDPR?」一節。

    我們還有合規、資料保護和安全專業團隊以及 AWS 合作夥伴,他們與客戶密切合作,回答客戶的各種問題,並協助他們做好 GDPR 施行後在雲端執行工作負載的相關因應準備工作。如需相關的詳細資訊,請聯絡您的 AWS 客戶經理。

  • AWS 是否提供資料處理增補合約 (DPA)?

    是。AWS 提供符合 GDPR 的資料處理增補合約 (GDPR DPA),讓您能夠遵守 GDPR 合約義務。AWS GDPR DPA 已與 AWS 服務條款結合,且自動適用於需要符合 GDPR 要求的全球所有客戶。

  • AWS 服務是否是 GDPR 合規服務?

    AWS 服務符合一般資料保護規範 (GDPR)。這表示除了受益於 AWS 為維護服務安全而採取的所有措施之外,客戶還可以將 AWS 服務做為其 GDPR 合規計劃的關鍵部分進行部署。如需更多詳細資訊,請參閱 AWS 安全部落格中我們的 GDPR 服務就緒公告:https://aws.amazon.com/blogs/security/all-aws-services-gdpr-ready/

  • AWS 在 GDPR 下的角色是什麼?AWS 是資料處理者或資料控制者?

    AWS 在 GDPR 下既是資料處理者也是資料控制者。

    • AWS 做為資料處理者 – 當客戶和 AWS 合作夥伴網路 (APN) 合作夥伴使用 AWS 服務來處理內容中的個人資料時,AWS 是資料處理者。客戶和 APN 合作夥伴可以使用 AWS 服務中提供的控制項 (包括安全組態控制項) 來處理個人資料。在這些情況下,客戶或 APN 合作夥伴本身可能扮演資料控制者或資料處理者的角色,而 AWS 則為資料處理者或子處理者。AWS 提供 GDPR 合規的資料處理增補合約 (DPA),其中納入了 AWS 做為資料處理者的承諾。
    • AWS 做為資料控制者 – 當 AWS 收集個人資料並確定處理該個人資料的目的和方式時 – 例如,當 AWS 存放帳戶資訊用於帳戶註冊、管理,服務存取,或 AWS 帳戶的聯絡資訊來透過客戶支援活動提供協助 – 就是資料控制者。
  • GDPR 如何影響 AWS 共同的責任模型?

    GDPR 不會變更 AWS 共同的責任模型,這個模型仍然與專注於使用雲端運算服務的客戶和 APN 合作夥伴有關。共同的責任模型非常適合用來說明 AWS (做為資料處理者或子處理者) 與客戶或 APN 合作夥伴 (做為資料控制者或資料處理者) 在 GDPR 之下的不同責任。

    在共同的責任模型下,AWS 負責保護那些支援雲端的底層基礎設施,而做為資料控制者或資料處理者的客戶和 APN 合作夥伴則負責他們放在雲端中的任何個人資料的安全。

    AWS 做為資料處理者的職責

    AWS 負責保護全球基礎設施,它執行 AWS 雲端中提供的所有服務。這個基礎設施由執行 AWS 服務的硬體、軟體、聯網和設施組成,為客戶和 APN 合作夥伴提供強大的控制,包括安全組態控制,以處理客戶的內容。保護這個基礎設施是 AWS 的首要任務。AWS 提供多份第三方稽核員合規報告,這些稽核員已確定我們符合各種電腦安全標準和法規 (如需詳細資訊,請參閱:https://aws.amazon.com/compliance)。這些報告向我們的客戶和 APN 合作夥伴展現我們正在保護他們選擇在 AWS 上處理的個人資料。AWS 的 ISO 27001、27017 和 27018 合規都是很好的例子。ISO 27018 包含專注於個人資料保護的安全控制。如需 AWS ISO 27108 合規詳細資訊,請瀏覽:https://aws.amazon.com/compliance/iso-27018-faqs/

    AWS 還負責其技術 (稱為受管服務) 的安全組態。這些範例包括 Amazon DynamoDB、Amazon RDS、Amazon Redshift、Amazon Elastic MapReduce 和其他幾種服務。這些服務提供雲端資源的可擴展性和靈活性,並具有可受管的額外優點。針對這些服務,AWS 會處理作業系統 (OS) 安全和資料庫修補、防火牆組態和災難復原等基本安全任務。針對受管服務,客戶和 APN 合作夥伴會為其資源設定邏輯存取控制,並保護其帳戶登入資料。其中一些可能需要額外的任務,例如設定資料庫使用者帳戶,但總體而言,安全組態工作由服務執行。在所有這些服務中,客戶和 APN 合作夥伴仍需為對他們放在雲端上的所有個人資料負責。

    AWS 還提供符合 GDPR 的資料處理增補合約 (GDPR DPA),其中納入了 AWS 做為資料處理者的承諾。AWS GDPR DPA 已與 AWS 服務條款結合,且自動適用於需要符合 GDPR 要求的全球所有客戶。

    客戶和 APN 合作夥伴做為資料控制者的責任 – 以及 AWS 服務如何提供協助:

    利用 AWS 雲端,客戶和 APN 合作夥伴可以在幾分鐘內而不是幾週內,佈建虛擬伺服器、儲存空間、資料庫和桌面。他們還可以使用雲端分析和工作流程工具隨需處理資料,然後將資料存放在自己的資料中心或雲端。客戶和 APN 合作夥伴使用的 AWS 服務,將決定他們必須執行多少組態工作,這是他們的 GDPR 職責的一部分。屬於基礎設施即服務 (IaaS) 類別的 AWS 產品,例如 Amazon EC2、Amazon VPC 和 Amazon S3,完全由客戶或 APN 合作夥伴控制,且要求他們執行所有必要的安全組態和管理任務。例如,以 EC2 執行個體為例,它們負責管理訪客作業系統 (包括更新和安全性修補程式)、安裝在執行個體上的任何應用程式軟體或公用程式,以及每個執行個體上 AWS 提供的防火牆的組態 (稱為安全群組),無論伺服器位於何處都需要執行安全任務。

    若要根據設計和預設原則實現資料保護,我們建議客戶和 APN 合作夥伴保護其 AWS 帳戶登入資料,並使用 Amazon Identity and Access Management (IAM) 設定個別使用者帳戶,讓每個使用者擁有自己的登入資料,如此便能實施以許可為基礎的資料存取以及按使用者角色劃分職責。我們還建議在每個帳戶中使用多重因素認證 (MFA),要求使用 SSL/TLS 與 AWS 資源進行通訊、使用 AWS CloudTrail 設定 API/使用者活動記錄、在AWS 服務中利用 AWS 加密解決方案以及其他安全控制。客戶和 APN 合作夥伴還可以使用進階的安全服務來執行 GDPR 合規,例如用於帳戶和基礎設施安全性的 Amazon GuardDuty,以及可協助探索和保護存放在 Amazon S3 中個人資料的 Amazon Macie。

    如需進一步了解客戶可採取的其他措施和 AWS 提供的解決方案,請參閱 AWS 安全最佳實務白皮書以及 AWS 安全資源網頁上的推薦閱讀,網址為:https://aws.amazon.com/security/

  • 如果我有關於 GDPR 和 AWS 方面的問題,我應該聯絡誰?

    我們建議客戶和 APN 合作夥伴如果有關於資料保護或 AWS 和 GDPR 這方面的問題,請先聯繫他們的 AWS 客戶經理。如果客戶已經註冊企業支援,他們也可以聯繫他們的技術客戶經理 (TAM)。TAM 與解決方案架構師合作協助客戶找出潛在的風險和可能的補救措施。TAM 和客戶團隊還可以根據客戶的環境和需求,為客戶和 APN 合作夥伴提供特定的資源。

    AWS 還擁有企業支援代表團隊、專業服務諮詢師和其他人員,可協助處理與 GDPR 有關的問題。為了協助進一步教育客戶和 APN 合作夥伴,AWS 另外在 AWS 高峰會AWS Pop-up Lofts 上舉辦了一系列演講活動、網路研討會和研討會,幫助他們了解 GDPR 和使用 AWS 工具實作解決方案。

  • AWS 為客戶和 APN 合作夥伴提供哪些 GDPR 技術指導?

    AWS 為客戶和 APN 合作夥伴提供大量資源,協助他們達成 GDPR 合規。AWS 擁有企業支援代表團隊、專業服務諮詢師和其他員工,可協助客戶和 APN 合作夥伴處理與 GDPR 有關的問題。AWS 也在 AWS 高峰會AWS Pop-up Lofts 上舉辦一系列演講活動、網路研討會和研討會,協助客戶和 APN 合作夥伴了解 GDPR,並利用 AWS 工具實作設計和預設的資料保護。

  • AWS 是否提供與 GDPR 合規相關的專業服務協助?

    AWS 專業服務團隊正在舉辦一系列活動,協助客戶和 APN 合作夥伴達成 GDPR 合規。專業服務諮詢師透過私人諮詢會議,以及在 AWS 高峰會AWS Pop-up Lofts 舉辦公開演講活動、網路研討會和研討會來幫助解答有關 GDPR 的問題。AWS 專業服務團隊也會直接與客戶和 APN 合作夥伴配合,為他們提供有關 GDPR 的技術指導,並利用 AWS 工具實作設計和預設的資料保護。如需 AWS 專業服務諮詢師如何協助客戶和 APN 合作夥伴的詳細資訊,請參閱:https://aws.amazon.com/professional-services/

  • AWS Support 如何協助我達成 GDPR 合規?

    AWS Premium Support 與客戶和 APN 合作夥伴合作提供技術指導,幫助他們達成 GDPR 合規。在這個活動中,我們目前擁有訓練有素的雲端支援工程師和技術客戶經理團隊,能夠協助識別並降低合規風險。客戶和 APN 合作夥伴在追求 GDPR 合規時,可能會發現兩個很實用的計劃:

    • 雲端操作審閱 – 適用於 AWS 企業支援客戶,這個計劃旨在協助識別雲端操作方法的缺陷。這個計劃從 AWS 與大量代表性客戶的經驗中擷取操作最佳實務,並審閱雲端操作及其相關管理實務,協助組織達成 GDPR 合規。這個計劃採用四個支柱方法,專注於準備、監控、操作和優化雲端系統,以追求最佳操作效能。
    • 良好架構審閱 – 這個計劃可讓組織根據 AWS 最佳實務來衡量其架構,並建構安全、可靠、高效能和符合經濟效益的架構。良好架構審閱還能讓客戶和 APN 合作夥伴了解架構中何處存在風險,並在應用程式投入生產之前解決它們。

    想要了解 AWS Premium Support 可提供哪些協助的客戶和 APN 合作夥伴,可以使用與 AWS 簽署之企業支援合約中指定的聯絡詳細資訊,透過 AWS 主控台 (https://console.aws.amazon.com/support/) 在 AWS 支援中心取得更多資訊,或瀏覽 AWS Premium Support 頁面:https://aws.amazon.com/premiumsupport/。參加企業支援的客戶應該向他們的 TAM 請教有關 GDPR 方面的問題。

  • AWS 是否有子處理者?

    我們會主動通知客戶和 APN 合作夥伴可存取上傳到 AWS 內容 (包含可能含有個人資料的內容) 的所有次承攬人。這個承諾包含在 AWS GDPR 資料處理增補合約 (GDPR DPA) 中。AWS GDPR DPA 已與 AWS 服務條款結合,且自動適用於需要符合 GDPR 要求的全球所有客戶。

  • AWS 為我提供哪些工具,以實作執行設計和預設資料保護所需的技術和組織措施?

    GDPR 的許多規定重點都是放在資料的控制和保護。AWS 服務提供的功能可讓客戶和 APN 合作夥伴實作自己的安全措施以符合 GDPR 各項規定,其中包括具體的策略措施,例如:

    • 個人資料加密
    • 可確保處理系統和服務的持續機密性、完整性、可用性和彈性
    • 可在發生實體或技術事件時及時恢復個人資料的可用性和存取權限
    • 定期測試、評估和評量技術方法有效性的程序,以確保處理的安全性

    AWS 有一套進階的安全和合規服務,部署之後可協助處理 GDPR 的各項規定,包括:

    • Amazon GuardDuty – 可對惡意或未授權行為進行智慧威脅偵測和持續監控的服務
    • Amazon Macie – 可協助探索存放在 Amazon S3 中的個人資料並進行分類的機器學習工具
    • Amazon Inspector – 可讓應用程式持續符合最佳安全實務的自動化安全評估服務
    • AWS Config Rules – 可讓您動態檢查雲端資源是否符合安全規則的功能

    AWS 也針對這個主題發表一篇白皮書:「導覽 AWS 上的 GDPR 合規」。本白皮書思考並詳細說明將資源與概念聯繫起來的具體方法,例如監控、資料存取和金鑰管理。

  • AWS 採取了哪些安全措施來保護系統?

    AWS 雲端基礎設施旨在建構現今最靈活且最安全的雲端運算環境。以 Amazon 的規模,在安全政策和對策方面所投入的資金遠高於幾乎任何其他大公司可自行負擔的程度。這個基礎設施是由執行 AWS 服務的硬體、軟體、聯網和設施組成,可為客戶和 APN 合作夥伴提供強大的控制,包括安全組態控制,以便處理個人資料。如需 AWS 為了保持始終如一的高度安全而採取哪些措施的詳細資訊,請參閱 AWS「安全程序概觀白皮書」。

    AWS 也提供多個第三方稽核員的合規報告,這些稽核員已測試並驗證我們對於各項電腦安全標準和法規的合規 (包括 ISO 27001、ISO 27017 和 ISO 27018)。為了讓外界知道這些措施的有效性,我們透過 AWS 管理主控台為我們的客戶和 APN 合作夥伴提供第三方稽核報告。這些報告向我們的客戶和可能做為資料控制者或資料處理者的 APN 合作夥伴,展現我們正在保護他們用來存放和處理個人資料的底層基礎設施。如需詳細資訊,請參閱:https://aws.amazon.com/compliance

  • 在個人資料洩露的通知方面,AWS 如何幫助資料控制者履行 GDPR 規定的各項義務?

    AWS 已制定安全事件監控和資料洩露通知流程,而且將支援並通知客戶和 APN 合作夥伴任何 AWS 系統已確認的違規行為。AWS 也為客戶和 APN 合作夥伴提供多種工具,以了解誰能在何時、何地使用他們的資源。其中一種工具是 AWS CloudTrail,它可以啟用 AWS 帳戶的管理、合規、操作稽核和風險稽核等功能。客戶可以使用 AWS CloudTrail 記錄、持續監控和保留其 AWS 基礎設施中與動作相關的帳戶活動資訊。這有助於組織了解他們的 AWS 基礎設施目前狀況,並立即對任何不尋常的活動採取行動。如需 AWS CloudTrail 的詳細資訊,以及 AWS 提供給客戶的其他安全工具以幫助他們根據 GDPR 履行作為資料控制者應盡的義務,請參閱:https://aws.amazon.com/security/

  • AWS 如何協助我保護個人資料免受網路攻擊?

    AWS 為客戶和 APN 合作夥伴提供許多工具,用來保護他們的資料並協助防範網路攻擊。AWS Shield 就是這樣的工具。這是一種受管的分散式拒絕服務 (DDoS) 保護服務,用於保護在 AWS 上執行的網站和應用程式。使用 AWS Shield Standard 無須額外付費,它提供永遠啟用的偵測和自動化內嵌防禦功能,可最大限度地減少應用程式停機時間和延遲。如果需要針對在 AWS 上執行以及使用 ELB、Amazon CloudFront 和 Amazon Route 53 資源的 Web 應用程式提供更高一層的攻擊防護,客戶和 APN 合作夥伴可訂閱 AWS Shield Advanced。AWS 也發佈並定期更新「AWS 的 DDoS 彈性最佳實務」文件,幫助客戶使用 AWS 建立應用程式彈性以對抗 DDoS 攻擊。

    AWS 其他可用來協助保護資料,免受網路攻擊的工具包括:

    • AWS Identity and Access Management (IAM) 可讓組織安全地管理 AWS 服務與資源的存取。使用 IAM,客戶及 APN 合作夥伴可以建立和管理 AWS 使用者與群組,並使用許可來允許和拒絕存取 AWS 資源。IAM 是 AWS 帳戶的一項功能,並不收取其他費用。
    • AWS Config 允許客戶和 APN 合作夥伴啟用預先封裝的規則,協助確認其 AWS 資源已正確設定並合規。
    • AWS CloudTrail 允許組織記錄、持續監控並保留與 AWS 動作有關的帳戶活動資訊,藉此簡化安全分析、資源變更追蹤和故障排除 (預設情況下,所有 AWS 帳戶都會啟用 AWS CloudTrail)。
    • Amazon GuardDuty 是一種受管的威脅偵測服務,可持續監控是否有惡意或未經授權的行為,以協助保護 AWS 帳戶和工作負載。它會監控各種表明帳戶已被侵入的活動,例如不尋常的 API 呼叫或可能未經授權的部署。GuardDuty 也會偵測可能受到危害的執行個體或攻擊者進行的偵察活動。
    • Amazon Macie 是一種安全服務,它使用機器學習技術並透過自動探索、分類和保護 AWS 中的敏感資料,為客戶和 APN 合作夥伴提供相關協助。這種全受管服務會持續監控異常的資料存取活動,並在偵測到未經授權的存取或意外資料洩露的危險時產生詳細的提醒 – 例如客戶意外設定為可在外部存取的敏感資料。 
  • 哪些工具可以協助我在 AWS 內容中尋找個人資料?

    Amazon Macie 是一種安全服務,可透過機器學習協助客戶和 APN 合作夥伴自動探索、分類和保護 AWS 中的敏感資料。這種全受管服務會持續監控異常的資料存取活動,並在偵測到未經授權的存取或意外資料洩露的危險時產生詳細的提醒,例如存取客戶意外設定為可在外部存取的敏感資料。Macie 已通過國際認可的標準認證,例如雲端安全的 ISO 27017、雲端隱私的 ISO 27018,客戶和 APN 合作夥伴也可以使用 Macie 持續監控資料的存取,以便根據存取模式來偵測可疑的活動。

  • 如何對 AWS 內容中的個人資料進行存取控制?

    為了協助客戶和 APN 合作夥伴符合 GDPR 規定,AWS 提供許多工具來控制存取他們在 AWS 內容中包含的個人資料。這些工具包括:

    預設的安全表示 AWS 服務本身的設計就重視安全。如果使用預設組態,則對資源的存取權限僅限於帳戶擁有者和根管理員。

    • AWS Identity and Access Management (IAM) 可讓客戶和 APN 合作夥伴安全地管理 AWS 服務與資源的存取。組織可以使用 IAM 建立和管理 AWS 使用者和群組,並使用各種許可允許和拒絕存取 AWS 資源。IAM 是 AWS 帳戶的一項功能,並不收取其他費用。
    • AWS Multi-Factor Authentication 在 AWS 帳戶的使用者名稱和密碼之上,增加了一層額外的保護。AWS 為客戶提供虛擬和硬體 MFA 裝置選項。
    • AWS Directory Service 可讓客戶和 APN 合作夥伴整合公司目錄並與其聯合,以降低管理費用和改善最終使用者體驗。
    • AWS Config 允許客戶和 APN 合作夥伴啟用預先封裝的規則,協助確認其 AWS 資源已正確設定並合規。
    • AWS CloudTrail 允許客戶和 APN 合作夥伴記錄、持續監控以及保留與其 AWS 基礎設施動作有關的帳戶活動資訊,藉此簡化安全分析、資源變更追蹤和故障排除。
    • Amazon Macie 使用機器學習並透過自動探索、分類和保護 AWS 中的敏感資料,協助客戶防止資料遺失。這種全受管服務會持續監控異常的資料存取活動,並在偵測到未經授權的存取或意外資料洩露的危險時產生詳細的提醒 – 例如客戶意外設定為可在外部存取的敏感資料。
  • 如何加密 AWS 中保存的個人資料,防止未經授權的存取?

    AWS 讓客戶和 APN 合作夥伴可以針對雲端中的靜態資料增加多一層安全,並幫助他們符合 GDPR 針對資料控制者規定的各種處理安全責任。AWS 上提供的加密工具包括:

     
    此外,AWS 還提供 API 讓客戶和 APN 合作夥伴將加密和資料保護整合到他們在 AWS 環境中開發或部署的任何服務。
  • AWS 如何處理客戶的刪除指令?

    AWS 服務讓客戶隨需使用 AWS 管理主控台、API 和其他輸入方法刪除內容。如需特定服務功能的詳細資訊,請參閱 https://aws.amazon.com/documentation

  • 我如何向資料保護監管機構證明我使用的 AWS 符合 GDPR?

    AWS 為客戶和 APN 合作夥伴提供實用的資訊,其中包括來自第三方稽核員的多份合規報告,這些合規報告確認我們已符合各種電腦安全標準和法規,以證明 AWS 在基礎設施方面所實施的嚴格合規標準。這些報告向我們的客戶和 APN 合作夥伴展現我們正在保護他們選擇在 AWS 上處理的個人資料。AWS 的 ISO 27001、27017 和 27018 合規都是很好的例子。ISO 27018 包含專注於個人資料保護的安全控制。如需 AWS 的 ISO 27108 合規詳細資訊,請瀏覽:https://aws.amazon.com/compliance/iso-27018-faqs/

    AWS 也符合資料保護的 CISPE 行為準則CISPE 是雲端基礎設施 (也稱為基礎設施即服務) 供應商聯盟,這些供應商為歐洲的客戶提供雲端服務。CISPE 行為準則可協助雲端客戶和 APN 合作夥伴確保其雲端基礎設施供應商依照 GDPR 使用適當的資料保護標準來保護他們的資料。準則的幾項重要好處包括:

    • 釐清就資料保護而言誰該負責哪些項目:行為準則依照 GDPR 解釋雲端基礎設施服務中供應商與客戶兩者的具體角色。
    • 行為準則列出供應商應當遵循的原則:行為準則概述供應商應該採取的行動和承諾以遵守 GDPR 且協助客戶和 APN 合作夥伴遵守該規則。
    • 行為準則為客戶和 APN 合作夥伴提供制定資料保護和資料安全合規等決策時的必要資訊:行為準則要求供應商透明地公開他們履行安全承諾時所採取的步驟。這些步驟包括資料洩露、資料刪除、第三方子流程以及執法機關和政府機關要求的相關通知。客戶和 APN 合作夥伴可以使用這些資訊全盤了解提供的高標準安全防護。
  • AWS 是否已獲得歐美隱私屏障的認證?

    是。Amazon.com, Inc. 已獲得歐美隱私屏障的認證,且 AWS 涵蓋於此認證內。這有助於選擇將個人資料轉移至美國的客戶遵守其資料保護義務。Amazon.com Inc. 的認證可在歐美隱私屏障網站上找到,網址為:https://www.privacyshield.gov/list

    要進一步了解此主題與 AWS 之間的關聯,請瀏覽我們的歐美隱私屏障頁面

compliance-contactus-icon
有問題?與 AWS 合規代表聯繫
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »