Bảo mật dữ liệu Argentina

Tổng quan

Luật bảo vệ dữ liệu cá nhân số 25.326 của Argentina, bao gồm Sắc lệnh hành pháp số 1558/2001 và quy định bổ sung (“PDPL”) là một đạo luật liên bang của Argentina áp dụng cho việc bảo vệ dữ liệu cá nhân ở Argentina và khi dữ liệu cá nhân được truyền ra nước ngoài để xử lý. Vào tháng 7 năm 2018, Cơ quan bảo vệ dữ liệu của Argentina (Agencia de Acceso a la Información Pública, “ADPA”) đã ban hành Nghị quyết 47/2018 (“Nghị quyết 47”) thuộc quy định PDPL nhằm bãi bỏ Quy định số 11/2006 liên quan đến các biện pháp bảo mật mà người kiểm soát dữ liệu (tức là khách hàng AWS) cần xem xét khi xử lý dữ liệu cá nhân. Nghị quyết 47 mô tả các biện pháp bảo mật mới được khuyến nghị phù hợp với các thông lệ và tiêu chuẩn quốc tế tốt nhất và nhằm bảo vệ tính bảo mật và toàn vẹn của dữ liệu cá nhân trong quá trình xử lý - từ thu thập dữ liệu đến xóa dữ liệu. Đặc biệt, nghị quyết mới này đã cập nhật danh sách các biện pháp và kiểm soát được khuyến nghị để quản lý, lập kế hoạch, kiểm soát và tăng tính bảo mật khi xử lý dữ liệu cá nhân. Các biện pháp bảo mật được đề xuất này được phân loại theo các hoạt động xử lý dữ liệu, bao gồm thu thập dữ liệu, kiểm soát truy cập, kiểm soát sự thay đổi, sao lưu và phục hồi, quản lý lỗ hổng, xóa hoặc loại bỏ dữ liệu, sự cố bảo mật và môi trường phát triển. Hơn nữa, Nghị quyết 47 bao gồm một danh sách các biện pháp bảo mật áp dụng cho “dữ liệu nhạy cảm” (như được định nghĩa trong PDPL).

AWS luôn thận trọng về quyền riêng tư và bảo mật dữ liệu của bạn. Tại AWS, bảo mật bắt đầu từ cơ sở hạ tầng cốt lõi của chúng tôi. Được xây dựng tùy chỉnh cho đám mây và thiết kế nhằm đáp ứng các yêu cầu bảo mật nghiêm ngặt nhất trên thế giới, cơ sở hạ tầng của chúng tôi được giám sát 24x7 để đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu khách hàng. Cơ sở hạ tầng này được giám sát bởi những chuyên gia bảo mật đẳng cấp thế giới, và chính họ cũng là những người đã xây dựng và duy trì một nhóm chọn lọc bao gồm nhiều loại dịch vụ bảo mật đổi mới của chúng tôi, giúp bạn đơn giản hóa việc đáp ứng các yêu cầu về bảo mật và quản lý của chính mình. Là một khách hàng của AWS, bất kể quy mô hay vị trí công ty của bạn, bạn đều được thừa hưởng tất cả lợi ích từ kinh nghiệm đã được kiểm chứng theo khuôn khổ bảo đảm bên thứ ba nghiêm ngặt nhất của chúng tôi.

AWS triển khai và duy trì các biện pháp bảo mật theo kỹ thuật và tổ chức áp dụng được cho dịch vụ cơ sở hạ tầng đám mây AWS theo khuôn khổ và chứng nhận bảo đảm bảo mật được công nhận trên toàn cầu, bao gồm ISO 27001, ISO 27017, ISO 27018, PCI DSS Cấp 1 và SOC 1, 2 và 3. Những biện pháp bảo mật theo kỹ thuật và tổ chức này được xác thực bởi các bên đánh giá thứ ba độc lập và được thiết kế nhằm ngăn chặn truy cập trái phép hoặc tiết lộ nội dung khách hàng.

Ví dụ: ISO 27018 là bộ quy phạm thực hành mang tính quốc tế đầu tiên tập trung vào việc bảo vệ dữ liệu cá nhân trong đám mây. Bộ quy phạm dựa trên tiêu chuẩn bảo mật thông tin ISO 27002 này hướng dẫn thực hiện các biện pháp kiểm soát ISO 27002 áp dụng cho thông tin nhận dạng cá nhân (PII) mà các nhà cung cấp dịch vụ đám mây công cộng xử lý. Điều này chứng tỏ với khách hàng rằng AWS có một hệ thống các biện pháp kiểm soát chuyên xử lý vấn đề bảo vệ quyền riêng tư cho nội dung của họ.

Những biện pháp kỹ thuật và tổ chức toàn diện này của AWS nhất quán với mục tiêu của PDPL và Nghị quyết 47 theo PDPL để bảo vệ dữ liệu cá nhân. Khách hàng sử dụng dịch vụ AWS duy trì quyền kiểm soát đối với nội dung của mình và chịu trách nhiệm thực hiện các biện pháp bảo mật bổ sung căn cứ vào nhu cầu cụ thể của họ, bao gồm phân loại nội dung, mã hóa, quản lý truy cập và thông tin xác thực bảo mật.

Do AWS không biết rõ khách hàng lựa chọn lưu trữ nội dung nào trên AWS, bao gồm việc dữ liệu đó có phải tuân thủ PDPL hay không, nên khách hàng phải chịu trách nhiệm cuối về việc tuân thủ PDPL và các quy định có liên quan. Nội dung trên trang này bổ sung các tài nguyên hiện có về Bảo mật dữ liệu để giúp bạn điều chỉnh các yêu cầu của mình theo Mô hình chia sẻ trách nhiệm của AWS khi bạn xử lý dữ liệu cá nhân tại các trung tâm dữ liệu quốc tế.

• Vai trò của khách hàng trong việc bảo mật nội dung của mình là gì?

  Theo Mô hình chia sẻ trách nhiệm của AWS, khách hàng của AWS giữ quyền kiểm soát mức độ bảo mật mà họ chọn thực hiện để bảo vệ nội dung, nền tảng, ứng dụng, hệ thống và mạng của chính mình, tương tự như các quyền của họ đối với các ứng dụng ở một trung tâm dữ liệu tại chỗ. Khách hàng có thể dựa vào các biện pháp kiểm soát bảo mật kỹ thuật và tổ chức mà AWS cung cấp để quản lý các yêu cầu tuân thủ của mình. Khách hàng có thể sử dụng các biện pháp quen thuộc để bảo vệ dữ liệu của mình, chẳng hạn như mã hóa và xác thực đa nhân tố, ngoài các tính năng bảo mật của AWS như AWS Identity and Access Management.

  Khi đánh giá khả năng bảo mật của giải pháp đám mây, khách hàng cần phải hiểu và phân biệt được giữa:

  • Các biện pháp bảo mật mà AWS triển khai và vận hành - "bảo mật của đám mây", và

  • Các biện pháp bảo mật mà khách hàng triển khai và vận hành liên quan tới việc bảo mật cho nội dung và ứng dụng của khách hàng của họ mà sử dụng dịch vụ AWS - "bảo mật trong đám mây"
    

  

• Ai có thể truy cập nội dung khách hàng?

  Khách hàng duy trì quyền sở hữu và kiểm soát đối với nội dung khách hàng của mình và lựa chọn những dịch vụ AWS để xử lý, lưu trữ nội dung khách hàng của họ. AWS không biết rõ nội dung khách hàng và không truy cập hay sử dụng nội dung khách hàng trừ khi nhằm mục đích cung cấp các dịch vụ AWS mà khách hàng lựa chọn hoặc trong trường hợp bắt buộc để tuân thủ luật pháp hoặc một sắc lệnh pháp lý ràng buộc.

  Khách hàng sử dụng dịch vụ AWS duy trì quyền kiểm soát đối với nội dung của mình trong môi trường AWS. Họ có thể:

  • Xác định nơi sẽ lưu trữ nội dung, ví dụ như loại môi trường lưu trữ và vị trí địa lý của nơi lưu trữ đó. 
  • Kiểm soát định dạng nội dung, ví dụ như văn bản thuần, có mặt nạ, ẩn danh hoặc mã hóa, sử dụng mã hóa do AWS cung cấp hoặc cơ chế mã hóa của bên thứ ba do khách hàng tự lựa chọn. 
  • Quản lý các biện pháp kiểm soát truy cập khác như quản lý truy cập qua danh tính và thông tin xác thực bảo mật. 
  • Kiểm soát việc có nên sử dụng SSL, Đám mây riêng ảo và các biện pháp bảo mật mạng khác để ngăn truy cập trái phép hay không.

  Điều này cho phép khách hàng của AWS kiểm soát toàn bộ vòng đời nội dung của mình trên AWS và quản lý nội dung của họ theo nhu cầu cụ thể, bao gồm phân loại, kiểm soát truy cập, giữ lại và xóa nội dung.
  

• Nội dung khách hàng được lưu trữ ở đâu?

  Cơ sở hạ tầng toàn cầu của AWS mang đến cho bạn sự linh hoạt trong việc lựa chọn cách thức và nơi bạn muốn chạy khối lượng công việc của mình, cũng như thời điểm bạn sử dụng cùng một mạng, mặt phẳng điều khiển, API và các Dịch vụ AWS. Nếu bạn muốn chạy các ứng dụng của mình trên toàn cầu, bạn có thể chọn từ bất kỳ Khu vực AWS và Vùng sẵn sàng nào. Với vai trò khách hàng, bạn có thể chọn (các) Khu vực AWS làm nơi lưu trữ nội dung của mình, cho phép bạn triển khai Dịch vụ AWS tại (những) vị trí bạn chọn, phù hợp với các yêu cầu địa lý cụ thể của bạn. Ví dụ: nếu một khách hàng của AWS ở Úc chỉ muốn dữ liệu của họ được lưu trữ tại quốc gia này, họ có thể chọn chỉ triển khai Dịch vụ AWS ở Khu vực AWS Châu Á Thái Bình Dương (Sydney). Nếu bạn muốn khám phá các tùy chọn lưu trữ linh hoạt khác, vui lòng xem trang web Khu vực AWS.
  

  Bạn có thể sao chép và sao lưu nội dung khách hàng của bạn ở nhiều Khu vực AWS. Chúng tôi sẽ không di chuyển hay sao chép nội dung của bạn ra ngoài (các) Khu vực AWS mà bạn đã chọn nếu bạn chưa đồng ý, trừ trường hợp cần thiết phải tuân thủ luật pháp hoặc lệnh ràng buộc của cơ quan chính phủ. Tuy nhiên, điều quan trọng cần lưu ý là có thể không phải Khu vực AWS nào cũng có sẵn tất cả các Dịch vụ AWS. Để biết thêm thông tin về những dịch vụ được cung cấp ở các Khu vực AWS, hãy xem trang web Các dịch vụ theo khu vực của AWS.
  

• AWS bảo mật cho các trung tâm dữ liệu của mình như thế nào?

  Chiến lược bảo mật cho trung tâm dữ liệu của AWS được lắp ghép bằng các biện pháp kiểm soát bảo mật có thể mở rộng và nhiều lớp phòng vệ giúp bảo vệ thông tin của bạn. Ví dụ: AWS quản lý rủi ro lũ lụt và hoạt động địa chấn tiềm ẩn một cách cẩn thận. Chúng tôi sử dụng rào chắn vật lý, biện pháp bảo mật, công nghệ phát hiện mối đe dọa và quy trình sàng lọc chuyên sâu để hạn chế truy cập trung tâm dữ liệu. Chúng tôi sao lưu hệ thống của mình, thường xuyên kiểm tra trang thiết bị và quy trình, đồng thời liên tục đào tạo nhân viên của AWS để họ luôn sẵn sàng trước điều bất ngờ.

  Để xác thực mức độ bảo mật ở trung tâm dữ liệu của chúng tôi, các kiểm tra viên bên ngoài đã thực hiện kiểm tra trên hơn 2.600 tiêu chuẩn và yêu cầu trong suốt cả năm. Việc kiểm tra độc lập như vậy giúp đảm bảo luôn đáp ứng đúng các tiêu chuẩn bảo mật hoặc đạt mức cao hơn các tiêu chuẩn này. Kết quả là các tổ chức có quy định nghiêm ngặt nhất trên thế giới luôn tin tưởng giao cho AWS bảo vệ dữ liệu của họ.
  

  Tìm hiểu thêm về cách chúng tôi bảo mật cho các trung tâm dữ liệu của AWS theo thiết kế bằng cách tham gia một chuyến tham quan ảo »
  

• Tôi có thể sử dụng những vùng AWS nào?

  Khách hàng có thể chọn sử dụng một Vùng bất kỳ, tất cả các Vùng hoặc kết hợp nhiều Vùng bất kỳ, bao gồm các Vùng ở Brazil và Hoa Kỳ. Truy cập Trang Cơ sở hạ tầng toàn cầu AWS để xem danh sách đầy đủ các Khu vực AWS.

• Cơ quan Bảo vệ Dữ liệu Argentina đã xác định rằng một số quốc gia nhất định cung cấp "mức bảo vệ thỏa đáng" cho dữ liệu cá nhân. Có Khu vực AWS ở bất kỳ quốc gia nào trong số những quốc gia này không?

  Theo PDPL, bên kiểm soát dữ liệu (tức là khách hàng của AWS) được phép truyền dữ liệu cá nhân sang các lãnh thổ pháp lý có “mức bảo vệ thỏa đáng” cho dữ liệu cá nhân theo xác định của ADPA. Theo Quyết định 60-E/2016 do ADPA ban hành, các nước thành viên của Liên minh Châu Âu (EU) và Cộng đồng Kinh tế Châu Âu (EEC) được xem như có mức bảo vệ thỏa đáng cho dữ liệu cá nhân.

  AWS có các Vùng ở nhiều quốc gia mà ADPA xác định là có “mức bảo vệ thỏa đáng” theo PDPL, chẳng hạn như Đức, Pháp, Vương Quốc Anh và Ai-len ở EU. Truy cập Trang Cơ sở hạ tầng toàn cầu AWS để xem danh sách đầy đủ các Khu vực AWS.

  Dù bạn chọn Khu vực nào thì AWS cũng áp dụng cùng một tiêu chuẩn bảo mật cho các trung tâm dữ liệu của mình.
  

• AWS có các thỏa thuận truyền dữ liệu quốc tế nào để đáp ứng yêu cầu bảo vệ dữ liệu cá nhân khi truyền sang bất kỳ quốc gia nào, bao gồm Brazil và Hoa Kỳ?

  Trong thỏa thuận với khách hàng, AWS đưa ra các cam kết cụ thể về bảo mật và quyền riêng tư được áp dụng chung cho nội dung khách hàng ở mỗi Khu vực mà khách hàng chọn lưu trữ dữ liệu của mình. Cam kết mà AWS đưa ra nhất quán với mục tiêu của PDPL, Quy định 60-E/2016 và Nghị quyết 47/2018 theo PDPL để bảo vệ dữ liệu cá nhân.

  AWS cũng có Phụ lục về xử lý dữ liệu (DPA) quốc tế, còn được gọi là thỏa thuận chuyển dữ liệu, có phạm vi áp dụng trên toàn cầu và bao gồm các cam kết theo hợp đồng cụ thể nhằm giải quyết thỏa đáng vai trò và nghĩa vụ của mỗi bên liên quan về quyền riêng tư và bảo mật dữ liệu cá nhân.

  Khách hàng cũng có thể chọn tham gia một Thỏa thuận doanh nghiệp với AWS, thỏa thuận này có thể được điều chỉnh thêm sao cho phù hợp nhất với nhu cầu cụ thể của khách hàng. Để biết thêm thông tin về Thỏa thuận doanh nghiệp hoặc DPA, vui lòng liên hệ với đại diện bán hàng AWS của bạn.