一般資料保護規範 (GDPR) 中心

使用 AWS 服務時的 GDPR 合規

歐盟的一般資料保護規範 (GDPR) 可保護歐盟 (EU) 個人的基本隱私權及個人資料。GDPR 包含健全的要求,將提高並統一相關標準,以達到資料保護、安全性與合規性。如需詳細資訊,請檢閱下方我們的 GDPR 常見問題集

AWS 客戶可使用所有 AWS 服務來依據 GDPR 規範保護上傳至 AWS 服務中他們的 AWS 帳戶 (客戶資料) 下的個人資料 (如 GDPR 中所定義)。除了自己本身遵循法規之外,AWS 也致力於為客戶提供服務和資源,協助客戶針對其營業活動適用的 GDPR 規範達到合規的要求。AWS 定期推出新功能,目前已提供超過 500 種功能和服務,著重於安全性與合規性。 如需 AWS 功能的詳細資訊,請閱讀我們的部落格 AWS 如何協助 EU 客戶導覽資料保護的新規範

客戶控制

客戶可控制其客戶資料。藉由 AWS,客戶可:

  • 決定存放其客戶資料的位置,包括儲存的類型與該儲存的地理區域。
  • 選擇其客戶資料的安全狀態。針對傳輸中或靜態的客戶資料,我們為客戶提供強式加密,並提供讓他們管理自己加密金鑰的選項。
  • 透過客戶控制的使用者、群組、許可及登入資料,管理對客戶資料、AWS 服務與資源的存取。
進一步了解 »

歐洲經濟區 (EEA) 以外的傳輸

AWS 客戶可以繼續使用 AWS 服務將客戶資料從 EEA 傳輸到尚未收到歐盟委員會 (包括美國) 根據 GDPR 做出充分決定的非 EEA 國家/地區。在 AWS,我們的首要任務是保護客戶的資料,無論客戶選擇的是哪個 AWS 區域,我們都實施嚴格的技術和組織措施,來保護其保密性、完整性和可用性。 我們知道透明度對我們的客戶很重要。我們在隱私權功能網頁上列出了涉及客戶資料傳輸的 AWS 服務。

隨著監管和立法環境的發展,我們將始終努力確保客戶無論在何處營運,都能繼續享受 AWS 服務的好處。如需進一步的資訊,請參閱歐美隱私屏障的客戶更新和我們關於 AWS GDPR 資料處理附錄補充附錄的部落格文章

GDPR 資源

compliance-resources-banner@2x
導覽 AWS 上的 GDPR 合規
下載白皮書 »
compliance-banner-argentina
Brexit 和 AWS 的必要知識
進一步了解 »
compliance-latestnews-banners
有關 GDPR 的 AWS 安全部落格文章
進一步了解 »
compliance-programs-banner@2x
AWS 服務的隱私權功能
進一步了解 »

GDPR 常見問答集

概觀與 GDPR 基礎知識


  • 什麼是 GDPR?

    一般資料保護規則 (GDPR) 是歐洲隱私法,已在 2018 年 5 月 25 日施行。GDPR 取代歐盟資料保護行政命令 (也稱為 95/46/EC 行政命令),它旨在協調整個歐盟 (EU) 的資料保護法,透過實施單一資料保護法來約束每個成員國。

  • GDPR 適用哪些人?

    所有在歐盟成立的組織皆適用 GDPR。此外,那些無論是否在歐盟成立的組織,但其經手的歐盟個人的個人資料,只要涉及向歐盟的資料當事人提供商品或服務,或與監控歐盟範圍內發生的行為有關時,同樣適用 GDPR。個人資料是與已識別或可識別自然人相關的任何資訊,包括姓名、電子郵件地址和電話號碼。

  • AWS 是 GDPR 下的資料處理者或資料控制者?

    AWS 在 GDPR 下既是資料處理者也是資料控制者。

    • AWS 做為資料處理者 – 當客戶使用 AWS 服務來處理內容中的個人資料時,他們會上傳至 AWS 服務,AWS 是資料處理者。客戶可以使用 AWS 服務中提供的控制項 (包括安全組態控制項) 來處理個人資料。在這些情況下,客戶本身可能扮演資料控制者或資料處理者的角色,而 AWS 則為資料處理者或子處理者。AWS 提供符合 GDPR 標準的 AWS GDPR 資料處理增補合約 (AWS GDPR DPA),其中納入了 AWS 做為資料處理者的承諾。包含「標準合約條款」的 AWS GDPR DPA 是 AWS 服務條款的一部分,並且對於需要這個項目才能符合 GDPR 規範的客戶會自動提供給所有客戶使用。
    • AWS 做為資料控制者 – 當 AWS 收集個人資料並確定處理該個人資料的目的和方式時 – 例如,當 AWS 存放帳戶資訊 (例如,註冊帳戶時提供的電子郵件地址) 用於帳戶註冊、管理,服務存取,或 AWS 帳戶的聯絡資訊來透過客戶支援活動提供協助 – 就是資料控制者。如需有關 AWS 作為控制者如何處理個人資料的詳細資訊,請參閱 AWS 隱私權聲明
  • 標準合約條款 (SCC) 是什麼?

    SCC 是根據 GDPR 預先核准的資料傳輸機制,適用於所有歐盟成員國,允許將個人資料合法傳輸至第三國 (歐洲經濟區以外且尚未收到歐盟委員會做出充分决定的國家/地區)。
     

  • AWS 如何將 SCC 納入 AWS GDPR DPA?

    AWS 服務條款包括歐盟委員會 (EC) 於 2021 年 6 月採用的 SCC,AWS GDPR DPA 確認每當 AWS 客戶使用 AWS 服務將客戶資料傳輸至「第三國」(歐洲經濟區以外且尚未收到歐盟委員會做出充分决定的國家/地區) 時,SCC 將自動適用。因此,客戶可以放心,他們傳輸至第三國的任何客戶資料都受到與在歐洲經濟區接收的客戶資料相同的高級別保護。如需詳細資訊,請參閱部落格文章新標準合約條款現在成為客戶的 AWS GDPR 資料處理增補合約的一部分 (New Standard Contractual Clauses now part of the AWS GDPR Data Processing Addendum for customers)。

遵循 Schrems II 裁決和 EDPB 建議的 AWS 和 GDPR 合規


  • 什麼是 Schrems II 裁決和 EDPB 建議?

    2020 年 7 月 16 日,歐盟法院 (CJEU) 發佈了一項關於將歐盟個人的個人資料傳輸到歐洲經濟區 (Schrems II) 以外的裁決。在 Schrems II 中,CJEU 裁定歐美隱私屏障不再是將個人資料從 EEA 傳輸到美國的有效機制。然而,在同一裁決中,歐盟法院確認公司可以 (在需要時實施補充措施) 繼續使用標準合約條款作為將個人資料傳輸到歐洲經濟區以外的有效機制。歐洲資料保護委員會 (EDPB) 是一個由國家資料保護機構的代表組成的歐洲機構,此後在其「關於補充傳輸工具以確保符合歐盟對個人資料保護程度的相關措施的 01/2020 建議 」(EDPB 建議) 中提供了一份非詳盡的補充措施清單。

    EDPB 建議為資料匯出者提供可實施的補充措施範例。 如需有關 AWS 資料傳輸資源的詳細資訊,請參閱下方的常見問題集「根據 Schrems II 判決,我可以繼續使用 AWS 服務嗎?」。 

  • 根據 Schrems II 裁決,我可以繼續使用 AWS 服務嗎?

    是,AWS 客戶可以繼續使用 AWS 服務將客戶資料從歐洲傳輸到尚未收到歐盟委員會做出充分決定的非 EEA 國家/地區。Schrems II 的裁決驗證了使用標準合約條款 (SCC) 作為將客戶資料傳輸到 EEA 之外的機制,並且 AWS 客戶可以繼續按 SCC,依據 GDPR 將客戶資料傳輸到 EEA 之外。

    • 處理位置。客戶選擇將儲存其客戶資料的 AWS 區域。可以在區域和可用區域下找到可用 AWS 區域的概觀。AWS 不會在客戶選定的 AWS 區域之外的地區處理客戶資料,除非是為了提供客戶起始的 AWS 服務所必需的,或者是為了遵守法律或政府機構的約束性命令所必需的。請參閱我們的隱私權功能網頁以了解作為 AWS 服務一部分的資料傳輸的更多資訊。
    • 子處理者。 AWS 可能會使用轉包處理業者 (例如 AWS 關係企業或第三方) 來協助處理客戶資料、按照 DPA 履行我們對客戶的義務,或代表我們提供服務。如需詳細資訊,請參閱下方的常見問題集「AWS 是否會使用子處理者來處理客戶資料?」。
    • 傳輸工具。 由於 Schrems II 裁決已驗證使用 SCC 作為在未收到歐盟委員會充分決定的 EEA 境外國家傳輸資料的機制,因此,如果我們的客戶選擇將資料傳輸到符合 GDPR 的 EEA 以外地區,則可以繼續依賴 AWS GDPR DPA 中所含的 SCC。
    • 補充措施。
      • 客戶控制。 客戶可以透過簡單而強大的工具始終擁有並控制其客戶資料,這些工具可讓他們確定客戶資料的儲存位置、保護傳輸中和靜態的客戶資料、管理使用者對其 AWS 資源的存取,以及修改、刪除和擷取客戶資料。
      • 技術和組織措施。AWS 實作可信賴和複雜的技術與實體控制和流程,旨在防止未經授權的存取或揭露客戶資料 (如需詳細資訊,請造訪 AWS 合規網頁)。我們還提供多種進階加密與金鑰管理服務 (包括可讓客戶管理其自己金鑰的服務),客戶可用來保護其傳輸中和靜態資料,如果沒有適用的解密金鑰,加密的客戶資料將無法存取。無論客戶資料已加密還是解密,我們將始終在工作中保持警惕,以保護客戶資料免遭未經授權的任何存取。
      • 執法部門請求。 AWS 擁有應對執法部門請求的內部程序。當我們收到執法部門有關客戶資料的請求時,會仔細檢查以驗證準確性,並確認其是否適當和遵守所有適用法律。除非法律禁止,否則 AWS 會在揭露客戶資料前先通知客戶,使他們能在揭露前採取進一步的動作來尋求保護措施。在 AWS GDPR DPA 的補充附錄 (以下簡稱補充附錄) 中,AWS 加強了與處理政府對客戶資料的請求相關的合約承諾,包括承諾 (i) 盡一切合理努力將任何請求客戶資料的政府機構轉向相關客戶,(ii) 在法律允許的情況下立即將請求通知客戶 (包括在必要時採取一切合理合法的努力來獲得禁令的豁免權),(iii) 質疑任何過於寬泛或不當的請求,包括在該請求與歐盟法律相衝突,並且 (iv) 如果在用盡上述步驟後,AWS 仍然被迫根據政府要求披露客戶資料,則僅披露滿足請求所需的最少量客戶資料。
      • 合約措施。AWS 對上述措施做出多項合約承諾,這些承諾在 AWS GDPR DPA 和補充附錄中均有所反映。AWS GDPR DPA 和補充附錄包括 AWS 的合約承諾,涉及 (1) 客戶選擇儲存和處理客戶資料的 AWS 區域,(2) AWS 為保護 AWS 基礎設施而實施的技術和組織措施,以及客戶可選擇用於保護其客戶資料的技術組織措施,(3) AWS 保護客戶資料的措施,並在政府機構提出資料揭露請求時通知客戶,以及 (4) AWS 依據處理客戶資料的第三國的適用法律履行 AWS GDPR DPA 中規定的相關義務的能力。補充附錄還涉及 (5) 個人在 GDPR 授予的權利受到侵犯時索要賠償的法定權利。
  • AWS 是否會使用子處理者來處理客戶資料?

    是,AWS 可以使用以下三種類型的子處理者:(1) 提供 AWS 服務在其中執行的基礎設施的 AWS 實體;(2) 支援可能需要其處理客戶資料的特定 AWS 服務的 AWS 實體;(3) AWS 已與之簽訂合約以為特定 AWS 服務提供處理活動的第三方。AWS 子處理者網頁提供有關 AWS 依據 AWS GDPR DPA 提供的子處理者的詳細資訊,以代表客戶提供有關客戶資料的處理活動。與個別客戶相關的子處理者將視客戶選取的 AWS 區域和客戶所使用的特殊 AWS 服務而定。

  • AWS 如何協助客戶進行資料傳輸評定?

    AWS 白皮書導覽符合歐盟資料傳輸要求提供了有關 AWS 為客戶提供的服務和資源的資訊,以協助客戶根據 Schrems II裁决和歐洲資料保護委員會的後續建議進行資料傳輸評定。本白皮書還描述 AWS 為保護客戶資料而採取和提供的關鍵補充措施。

  • 我如何向資料保護機構證明我使用的 AWS 服務符合 GDPR?

    AWS 為客戶提供實用的資訊,其中包括來自第三方稽核員的多份合規報告,這些合規報告確認我們已符合各種安全標準和法規,以證明 AWS 在基礎設施方面所實施的嚴格合規標準。這些報告向我們的客戶展現我們正在保護他們選擇在 AWS 上處理的客戶資料。這方面的範例包括 AWS 的 ISO 27001、27017 和 27018 合規。ISO 27018 包含專注於客戶資料保護的安全控制。

    AWS 也符合資料保護的 CISPE 行為準則。有關 CISPE 行為準則的更多資訊,請參閱下方的常見問題集「AWS 是否遵守與雲端基礎設施服務相關的 GDPR 核可行為準則?

  • AWS 是否符合 GDPR 核准的雲端基礎設施服務特定的 GDPR 行為準則的規範?

    在 2017 年 2 月, AWS 已宣布符合 CISPE 資料保護行為準則CISPE (歐洲雲端基礎設施服務供應商聯盟) 是雲端運算領導廠商聯盟,負責為數百萬歐洲客戶提供服務。CISPE 與法國資料保護局 (CNIL) 合作制定了 CISPE 資料保護行為準則 (CISPE 準則),這是第一個專注於雲基礎設施服務的泛歐資料保護行為準則。CISPE 規範得到了 歐洲資料保護委員會的認可和 CNIL 的批准。
     
    CISPE 規範協助客戶確保其雲端基礎設施服務供應商提供適當的營運保證,以證明符合 GDPR 並保護客戶資料。CISPE 準則的幾項重要好處包括:
    • 釐清 GDPR 下云端基礎設施服務供應商在處理客戶資料方面的角色,即代表客戶使用雲端基礎設施服務處理的任何個人資料。
    • 要求雲端基礎設施服務供應商可以讓客戶選擇完全在歐洲經濟區內儲存和處理客戶資料的服務。
    • CISPE 準則規定雲端基礎設施服務供應商作為資料處理者應遵守的要求,特別注重安全措施:其概述了雲端基礎設施服務供應商應採取的動作和承諾以符合 GDPR (並幫助客戶確保他們符合 GDPR)。
    • CISPE 準則為客戶提供制定 GDPR 合規需求等決策時所需的資料保護和資料安全性資訊:其要求雲端基礎設施服務供應商透明地公開他們履行安全承諾時所採取的步驟。這些步驟包括與個人資料違規和第三方子處理有關的通知。客戶可以使用這些資訊完全地了解提供的高標準安全防護。

技術和組織措施


  • GDPR 如何影響 AWS 共同的責任模型?

    GDPR 不會變更 AWS 共同的責任模型,這個模型仍然與客戶有關。共同的責任模型非常適合用來說明 AWS (做為資料處理者或子處理者) 與客戶 (做為資料控制者或資料處理者) 在 GDPR 之下的不同責任。

    在共同的責任模型下,AWS 負責保護那些支援 AWS 服務 (「雲端本身的安全」) 的底層基礎設施,而做為資料控制者或資料處理者的客戶則負責上傳至 AWS 服務 (「雲端中的安全」) 的任何個人資料的安全。

    AWS 負責「雲端本身的安全」– AWS 負責保護執行所有 AWS 服務的全球基礎設施。這個基礎設施由執行 AWS 服務的硬體、軟體、聯網和設施組成,為客戶提供強大的控制,包括安全組態控制,以處理客戶的內容。AWS 提供多份第三方稽核員合規報告,這些稽核員已確定我們符合各種電腦安全標準和法規 (如需詳細資訊,請造訪 AWS 合規網頁)。這些報告向我們的客戶展現我們正在保護他們的客戶資料。AWS 的 ISO 27001、27017 和 27018 合規都是範例。ISO 27018 包含專注於客戶資料保護的安全控制。

    客戶負責「雲端中的安全」 - AWS 負責架構和保護他們選擇在 AWS 服務上部署的應用程式和解決方案的安全。AWS 客戶還負責以保護客戶機密性、完整性和安全性需求的方式設定 AWS 服務。客戶必須保護其客戶資料安全的特定責任,因客戶選擇使用的 AWS 服務和這些服務整合至客戶 IT 環境的方式而異。AWS 客戶可檢視和控制其客戶資料,且可根據具體客戶資料類型的敏感性實作靈活的安全控制。客戶可以透過使用自己的安全措施和工具,或使用 AWS 或其他供應商提供的安全措施和工具來實現。藉由這種方式,客戶可以為更敏感的客戶資料提供額外的安全保護。

    AWS 提供客戶可用來架構和保護其應用程式和解決方案,且可部署來協助應對 GDPR 要求的產品、工具及服務,包括:

    • AWS Identity and Access Management (IAM) 可讓組織安全地管理 AWS 服務與資源的存取。使用 IAM,客戶可以建立和管理 AWS 使用者與群組,並使用許可來允許和拒絕存取 AWS 資源。IAM 是 AWS 帳戶的一項功能,並不收取其他費用。
    • AWS CloudTrail 允許組織記錄、持續監控並保留與 AWS 動作有關的帳戶活動資訊,藉此簡化安全分析、資源變更追蹤和故障排除 (預設情況下,所有 AWS 帳戶都會啟用 AWS CloudTrail)。
    • Amazon GuardDuty 是一種受管的威脅偵測服務,可持續監控是否有惡意或未經授權的行為,以協助保護 AWS 帳戶和工作負載。它會監控各種表明帳戶已被侵入的活動,例如不尋常的 API 呼叫或可能未經授權的部署。GuardDuty 也會偵測可能受到危害的執行個體或攻擊者進行的偵察活動。
    • Amazon Macie – 可協助探索存放在 Amazon S3 中的個人資料並進行分類的機器學習工具。

    如需進一步了解有關如何依據 GDPR 使用 AWS 資源的詳細資訊,請參閱我們的白皮書導覽 AWS 上的 GDPR 合規

  • AWS 合作夥伴是否會提供產品和服務來協助符合 GDPR 規範?

    是,您可在 AWS Partner Solutions Finder 中搜尋「GDPR」的功能,以協助找出擁有有助於達成 GDPR 合規之產品和服務的 ISV、MSP 和 SI 合作夥伴。客戶也可以在 AWS Marketplace 搜尋「GDPR」解決方案。

  • AWS 是否提供與 GDPR 合規相關的專業服務協助?

    是,AWS 安全保證服務團隊有一些活動,可協助客戶達成 GDPR 合規。這支經過行業認證的合規專家團隊透過將適用的合規標準與 AWS 服務的特定功能聯繫起來,協助客戶在雲端中實現、維護和自動化合規。更多詳細資訊,請見此處的 AWS 專業服務顧問如何協助客戶。

  • AWS Support 如何協助我達成 GDPR 合規?

    客戶可使用 AWS Support 來接收技術指引,協助他們達成 GDPR 合規。在這個活動中,我們擁有訓練有素的雲端支援工程師和技術客戶經理 (TAM) 團隊,能夠協助識別並降低合規風險。AWS 提供的支援層級視客戶選擇的 AWS Support 計劃而定。想要了解 AWS Premium Support 可提供哪些協助的客戶,可以使用與 AWS 簽署之企業支援合約中指定的聯絡詳細資訊,或透過瀏覽 AWS Support 頁面,透過 AWS 管理主控台在 AWS Support Center 取得更多資訊。參加企業支援的客戶應該向他們的 TAM 請教有關 GDPR 方面的問題。

    客戶在追求 GDPR 合規時,可能會發現以下兩個很實用的計劃:

    • 雲端操作審閱 – 適用於 AWS Enterprise Support 客戶,這個計劃旨在協助識別雲端操作方法的缺陷。這個計劃從 AWS 與大量代表性客戶的經驗中擷取操作最佳實務,並審閱雲端操作及其相關管理實務,協助組織達成 GDPR 合規。這個計劃採用四個支柱方法,專注於準備、監控、操作和優化雲端系統,以追求最佳操作效能。
    • 良好架構審閱 – 這個計劃可讓組織根據 AWS 最佳實務來衡量其架構,並建構安全、可靠、高效能和符合經濟效益的架構。良好架構審閱還能讓客戶了解架構中何處存在風險,並在應用程式投入生產之前解決它們。

  • 在個人資料洩露的通知方面,AWS 如何協助客戶履行 GDPR 規定的各項義務?

    AWS 制定了安全事件監控和資料違規通知流程,並將根據 AWS GDPR DPA 及時通知客戶 AWS 的安全漏洞。AWS 也為客戶提供多種工具,以了解誰能在何時、何地使用他們的資源。其中一種工具是 AWS CloudTrail,它可以啟用 AWS 帳戶的管理、合規、操作稽核和風險稽核等功能。客戶可以使用 AWS CloudTrail 記錄、持續監控和保留其 AWS 基礎設施中與動作相關的帳戶活動資訊。這有助於組織了解他們的 AWS 基礎設施目前狀況,並立即對任何不尋常的活動採取行動。如需 AWS 提供給客戶的其他安全工具以幫助他們履行作為資料控制者在 GDPR 下應盡的義務的詳細資訊,請瀏覽 AWS 雲端安全網頁。  

  • AWS 如何協助我保護客戶資料免受網路攻擊?

    AWS 為客戶和 APN 合作夥伴提供許多工具,用來保護他們的客戶資料並協助防範網路攻擊。AWS Shield 就是這樣的工具。這是一種受管的分散式拒絕服務 (DDoS) 保護服務,用於保護在 AWS 上執行的網站和應用程式。使用 AWS Shield Standard 無須額外付費,它提供永遠啟用的偵測和自動化內嵌防禦功能,可最大限度地減少應用程式停機時間和延遲。如果需要針對在 AWS 上執行以及使用 ELB、Amazon CloudFront 和 Amazon Route 53 資源的 Web 應用程式提供更高一層的攻擊防護,客戶和 APN 合作夥伴可訂閱 AWS Shield Advanced。AWS 也發布並定期更新「AWS 的 DDoS 備援最佳實務」,可幫助客戶使用 AWS 建立可對抗 DDoS 攻擊的應用程式。

    AWS 其他可用來協助保護客戶資料免受網路攻擊的工具包括:

    • AWS Identity and Access Management (IAM) 可讓組織安全地管理 AWS 服務與資源的存取。使用 IAM,客戶及 APN 合作夥伴可以建立和管理 AWS 使用者與群組,並使用許可來允許和拒絕存取 AWS 資源。IAM 是 AWS 帳戶的一項功能,並不收取其他費用。
    • AWS Config 允許客戶和 APN 合作夥伴啟用預先封裝的規則,協助確認其 AWS 資源已正確設定並合規。
    • AWS CloudTrail 允許組織記錄、持續監控並保留與 AWS 動作有關的帳戶活動資訊,藉此簡化安全分析、資源變更追蹤和故障排除 (預設情況下,所有 AWS 帳戶都會啟用 AWS CloudTrail)。
    • Amazon GuardDuty 是一種受管的威脅偵測服務,可持續監控是否有惡意或未經授權的行為,以協助保護 AWS 帳戶和工作負載。它會監控各種表明帳戶已被侵入的活動,例如不尋常的 API 呼叫或可能未經授權的部署。GuardDuty 也會偵測可能受到危害的執行個體或攻擊者進行的偵察活動。
  • 哪些工具可以協助我在 AWS 內容中識別個人資料?

    Amazon Macie 是一個全受管資料安全和資料隱私服務,利用機器學習和模式比對來探索和保護 AWS 中的個人資料。隨著組織管理的資料量越來越多,大規模識別和保護組織的個人資料也會變得越來越複雜、昂貴且耗時。Amazon Macie 不僅可以大規模自動探索個人資料,還能降低資料保護成本。Macie 會自動提供 Amazon S3 儲存貯體的清單,包括列出未加密的儲存貯體、可公開存取的儲存貯體,以及與 AWS Organizations 中未定義的 AWS 帳戶共用的儲存貯體。Macie 接著會將機器學習和模式比對技術套用至您選取的儲存貯體,以識別個人資料並提醒您。

    Amazon Macie 已通過國際認可的標準認證,例如雲端安全的 ISO 27017、雲端隱私的 ISO 27018,客戶和 APN 合作夥伴也可以使用 Macie 持續監控資料的存取,以便根據存取模式來偵測可疑的活動。

  • 如何對 AWS 內容中的個人資料進行存取控制?

    為了協助客戶符合 GDPR 規定,AWS 提供許多工具來控制存取他們在 AWS 內容中包含的個人資料。這些工具包括:

    • 預設的安全表示 AWS 服務本身的設計就重視安全。如果使用預設組態,則對資源的存取權限僅限於帳戶擁有者和根管理員。
    • AWS Identity and Access Management (IAM) 可讓客戶安全地管理對 AWS 服務與資源的存取。組織可以使用 IAM 建立和管理 AWS 使用者和群組,並使用各種許可允許和拒絕存取 AWS 資源。IAM 是 AWS 帳戶的一項功能,並不收取其他費用。
    • AWS Multi-Factor Authentication 在 AWS 帳戶的使用者名稱和密碼之上,增加了一層額外的保護。AWS 為客戶提供虛擬和硬體 MFA 裝置選項。
    • AWS Directory Service 可讓客戶整合公司目錄並與其聯合,以降低管理費用和改善最終使用者體驗。
    • AWS Config 允許客戶啟用預先封裝的規則,協助確認其 AWS 資源已正確設定並合規。
    • AWS CloudTrail 允許客戶記錄、持續監控並保留與跨 AWS 基礎設施的動作有關的帳戶活動資訊,藉此簡化安全分析、資源變更追蹤和故障排除 (預設情況下,所有 AWS 帳戶都會啟用 AWS CloudTrail)。
    • Amazon Macie 使用機器學習並透過自動探索、分類和保護 AWS 中的敏感資料,協助客戶防止資料遺失。這種全受管服務會持續監控異常的資料存取活動,並在偵測到未經授權的存取或意外資料洩露的危險時產生詳細的提醒 – 例如客戶意外設定為可在外部存取的敏感資料。
       
  • 如何加密 AWS 中的客戶資料,防止未經授權的存取?

    AWS 讓客戶和 APN 合作夥伴可以針對雲端中的靜態客戶資料增加多一層安全,並幫助他們符合 GDPR 針對資料控制者規定的各種處理安全責任。AWS 上提供的加密工具包括:

     
    此外,AWS 還提供 API 讓客戶和 APN 合作夥伴將加密和資料保護整合到他們在 AWS 環境中開發或部署的任何服務。
  • AWS 為客戶提供哪些服務以協助其遵守 GDPR?

    AWS 提供特定功能和服務來幫助客戶達到 GDPR 的要求:

    存取控制:只允許已授權的管理員、使用者和應用程式存取 AWS 資源

    • Multi-Factor-Authentication (MFA)
    • 對 Amazon S3 儲存貯體/ Amazon SQS/ Amazon SNS 等等中的物件進行精細存取
    • API 請求身份驗證
    • 地理限制
    • 透過 AWS Security Token Service 取得臨時存取字符

    監控和記錄:取得 AWS 資源活動概觀。

    加密:在 AWS 上加密資料。

    • 使用 AES256 (EBS/S3/Glacier/RDS) 加密靜態資料
    • 集中管理的金鑰管理 (依 AWS 區域)
    • 透過 VPN 閘道經由 IPsec 通道連入 AWS
    • 使用 AWS CloudHSM 的雲端專用 HSM 模組

    強大的合規框架和安全標準:我們證明遵守嚴格的國際標準,例如:

聯絡


  • 如果我有關於 GDPR 和 AWS 方面的問題,我應該聯絡誰?

    如果客戶有關於 GDPR 方面的問題,我們建議先聯繫 AWS 客戶經理。如果客戶已經註冊企業支援,他們也可以聯繫他們的技術客戶經理 (TAM)。TAM 與解決方案架構師合作協助客戶找出潛在的風險和可能的補救措施。TAM 和客戶團隊還可以根據客戶的環境和需求,為客戶和 APN 合作夥伴提供特定的資源。
     

    AWS 還擁有企業支援代表團隊、專業服務諮詢師和其他人員,可協助處理與 GDPR 有關的問題。有疑問請在此處聯絡我們。

compliance-contactus-icon
有問題? 聯絡 AWS 業務代表
探索合規職缺?
立即申請 »
需要 AWS 合規更新?
在 Twitter 上關注我們 »