個人資訊保護與電子文件法

加拿大聯邦民營部門隱私立法

個人資訊保護與電子文件法 (PIPEDA) 是適用於在所有加拿大省分進行商業活動期間收集、使用和揭露個人資訊的加拿大聯邦法，以補充亞伯達、英屬哥倫比亞和魁北克等行政區本質類似的省隱私法。PIPEDA 也適用於國際和各省之間的個人資訊傳輸。由於 AWS 無法看見或得知客戶上傳到其網路的內容，包含該資料是否需受 PIPEDA 規範，因此客戶必須自行負責本身的 PIPEDA 合規。

AWS 加拿大 (中部) 區域 目前提供多種服務，包含 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。如需 AWS 區域和服務的完整清單，請瀏覽全球基礎設施頁面。各項服務的詳細資訊頁面都會提供加拿大區域定價，您可以在我們的產品和服務頁面找到相關資訊。

我們在全世界地理位置隔離的叢集都建置了 AWS 資料中心，稱為「區域」。 客戶可以在全球 16 個 AWS 區域中選擇要使用的區域，包含在美國、澳洲、巴西、加拿大、中國、德國、印度、愛爾蘭、日本、韓國、新加坡和英國等地的區域。

• 在保護客戶內容方面，客戶所扮演的角色為何？

  AWS 提供一組廣泛的全球運算、儲存、資料庫、分析、應用程式和部署服務，可協助組織更快地遷移、降低 IT 成本和擴展應用程式。利用 AWS 共用的責任模型，AWS 客戶可以控制要實作何種安全性來保護自己的內容、平台、應用程式、系統以及網路，這與他們對現場資料中心內的應用程式所做的操作並無不同。

  當評估雲端解決方案的安全時，客戶需要特別了解下列項目並分辨其中的差別：

  • AWS 實作和操作的安全方法 -「雲端本身的安全」

  和

  • 客戶實作和操作的安全方法，這與利用 AWS 服務的內容與應用程式安全有關 –「雲端內部的安全」

  

  有關核心 class="non-printable-char non-printable-space"> AWS。 class="non-printable-char non-printable-space"> 雲端基礎設施、平台和服務內建的所有安全措施的完整清單，請參閱我們的安全程序概觀白皮書。

• 客戶如何保有客戶內容的擁有權和進行控制？

  維持客戶信任感是持續不斷的承諾，我們致力於讓客戶了解我們實行的隱私權及資料安全政策、實務和技術。這些承諾包括：

  客戶內容的擁有權和控制權：

  存取：客戶保有內容和責任完全控制，以設定 AWS 服務和資源的存取權。我們提供一組進階的存取權、加密和記錄功能，可協助您有效地管理 (例如 AWS CloudTrail)。 我們提供 API，讓您對所有在 AWS 環境中開發或部署的服務設定控制權限。未經您的同意，我們不會出於任何目的存取或使用您的內容。

  儲存：客戶選擇要將其客戶內容存放在哪個區域。未經客戶同意，我們不會將客戶內容移出或複寫到客戶指定區域以外的地方。

  安全性：客戶選擇保護其客戶內容安全的方式。針對傳輸中和靜態的客戶內容，我們為客戶提供強式加密，並提供讓他們管理自己加密金鑰的選項。

  客戶內容的揭露：除非為遵守法律或有效及具有法律約束力的政府或監察機構命令所需，否則我們不會揭露客戶內容。除非法律禁止，或有和使用 Amazon 產品或服務相關的明確法律行為指示，否則 Amazon 會在揭露客戶內容前先通知客戶，使他們能在揭露前採取保護措施。

  如需如何為組織建立一組安全政策和程序的最佳實務，請參閱 AWS 安全最佳實務白皮書。

• AWS 安全控制環境通過哪些第三方稽核驗證？

  使用 AWS 時，組織可倚賴具有多項嚴格安全標準的 AWS 認證，例如 ISO 27001、ISO 27018、SOC 1,2, 和 3 以及 PCI DSS 第 1 級。除了 AWS Identity and Access Management 等 AWS 安全功能之外，AWS 客戶也可使用類似的措施來保護他們的資料，例如加密和強式密碼。

• 客戶是否可使用 AWS 同時遵守加拿大 PIPEDA 法律？

  AWS 客戶可以精準地控制在 AWS 雲端中存放的資料。AWS 客戶可以獲得第一手協助：我們在加拿大有針對雲端安全與合規特別訓練的解決方案架構師、客戶經理、顧問、訓練人員及其他成員組成的團隊，以協助 AWS 客戶達到高度的安全性與合規性，包括需遵守 PIPEDA 法規的客戶在內。

  如需依照 PIPEDA 使用 AWS 的詳細資訊，建議聯絡您的隱私權顧問。