Quyền riêng tư về dữ liệu ở Canada

Tổng quan

Khách hàng AWS có thể thiết kế và triển khai môi trường AWS cũng như sử dụng các dịch vụ AWS theo cách đáp ứng các nghĩa vụ của họ theo luật về quyền riêng tư liên bang, tỉnh và lãnh thổ ở Canada.

Khách hàng luôn nắm quyền kiểm soát cách họ quản lý và truy cập nội dung của mình được lưu trữ trên AWS. AWS không biết loại nội dung khách hàng tải lên các dịch vụ của mình, bao gồm cả việc liệu dữ liệu đó có được coi là tuân thủ luật về quyền riêng tư ở Canada hay không và khách hàng có trách nhiệm đảm bảo việc tuân thủ của mình với mọi luật hiện hành.

Phụ lục xử lý dữ liệu AWS (AWS DPA), còn gọi là thỏa thuận truyền dữ liệu, có phạm vi áp dụng trên toàn cầu và bao gồm các cam kết theo hợp đồng cụ thể nhằm giải quyết thỏa đáng vai trò và nghĩa vụ của mỗi bên liên quan đến quyền riêng tư và bảo mật dữ liệu cá nhân.

Có một số luật ở Canada liên quan đến việc bảo vệ thông tin cá nhân. Việc thực thi các luật này được xử lý bởi nhiều tổ chức và cơ quan chính phủ ở cấp liên bang, tỉnh và lãnh thổ.

Ở cấp liên bang, Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử (PIPEDA) có thể áp dụng cho việc thu thập, sử dụng và tiết lộ thông tin cá nhân trong khu vực tư nhân và Đạo luật về quyền riêng tư có thể áp dụng trong khu vực công. Văn phòng ủy ban về quyền riêng tư ở Canada (OPC) giám sát việc áp dụng cả hai luật.

Các tỉnh và vùng lãnh thổ của Canada cũng đã thông qua luật về quyền riêng tư của họ cho cả khu vực công và tư nhân, cũng như luật về quyền riêng tư dành riêng cho một số loại dữ liệu cá nhân, chẳng hạn như thông tin sức khỏe cá nhân. Trang web OPC đưa ra thông tin tổng quan về các luật và cơ quan cấp tỉnh và lãnh thổ này.

Đối với những khách hàng muốn xử lý dữ liệu của họ ở Canada, các khu vực áp dụng là Khu vực AWS Canada (Miền Trung) gần Montreal và Khu vực Canada (Miền Tây) gần Calgary. Để xem danh sách đầy đủ các dịch vụ và Khu vực AWS, hãy truy cập trang Cơ sở hạ tầng toàn cầu.

Câu hỏi thường gặp

• Làm thế nào khách hàng có thể xác định các luật về quyền riêng tư ở Canada áp dụng cho trường hợp sử dụng của họ?

  Phạm vi mà khách hàng AWS tuân thủ PIPEDA, Đạo luật về quyền riêng tư hay bất kỳ yêu cầu nào khác về quyền riêng tư ở Canada tùy thuộc vào hoạt động kinh doanh và trường hợp sử dụng của khách hàng. Khách hàng nên tham khảo ý kiến của cố vấn pháp lý riêng để hiểu rõ các luật về quyền riêng tư mà họ phải tuân thủ.

• Khách hàng có thể tuân thủ luật về quyền riêng tư ở Canada trên AWS như thế nào?

  Những khách hàng tuân thủ luật về quyền riêng tư ở Canada có thể phải tuân thủ các yêu cầu liên quan đến việc thu thập, truy cập, sử dụng, tiết lộ và bảo vệ thông tin cá nhân. AWS cho phép khách hàng kiểm soát việc lưu trữ hoặc xử lý nội dung của họ khi sử dụng dịch vụ AWS, bao gồm cả quyền kiểm soát cách bảo mật nội dung và đối tượng được quyền truy cập nội dung đó. AWS cung cấp các dịch vụ mà khách hàng có thể cấu hình và sử dụng để hỗ trợ việc bảo mật thông tin cá nhân mà họ lưu trữ trên AWS và khách hàng chịu trách nhiệm xây dựng giải pháp đáp ứng các yêu cầu hiện hành về quyền riêng tư.

  AWS cung cấp sổ công tác, báo cáo nghiên cứu chuyên sâu và hướng dẫn phương pháp thực hành tốt nhất trên trang Tài nguyên về tuân thủ của AWS và khách hàng có quyền truy cập theo yêu cầu vào các báo cáo kiểm tra của bên thứ ba của AWS trong AWS Artifact.

• Có luật về quyền riêng tư nào ở Canada cấm khách hàng AWS truyền hoặc lưu trữ dữ liệu cá nhân bên ngoài Canada không?

  Khách hàng nên tham khảo ý kiến của cố vấn pháp lý riêng để xác định những luật về quyền riêng tư ở Canada hoặc các nghĩa vụ khác có thể áp dụng cho tổ chức và trường hợp sử dụng của họ.

• Có luật về quyền riêng tư nào ở Canada yêu cầu thông tin cá nhân phải được mã hóa không?

  Các đơn vị tuân thủ luật về quyền riêng tư ở Canada phải thực hiện các bước để bảo vệ thông tin cá nhân, đồng thời mỗi khách hàng có trách nhiệm xác định xem việc mã hóa có cần thiết để đáp ứng các nghĩa vụ tuân thủ và bảo mật của họ hay không.

  Một thông lệ tốt nhất mà AWS đề xuất là khách hàng nên mã hóa dữ liệu đang được lưu trữ và đang trong quá trình truyền. Để biết thêm hướng dẫn, hãy tham khảo phần Mã hóa dữ liệu đang được lưu trữ và đang trong quá trình truyền.

• Khách hàng có vai trò gì trong việc bảo mật nội dung của họ trên AWS?

  Khi đánh giá khả năng bảo mật của giải pháp đám mây, khách hàng cần phải hiểu và phân biệt được giữa:

  • Các biện pháp bảo mật mà AWS triển khai và vận hành – "bảo mật của đám mây", và
  • Các biện pháp bảo mật mà khách hàng triển khai và vận hành, liên quan đến việc bảo mật nội dung của khách hàng và các ứng dụng sử dụng dịch vụ AWS – "bảo mật trên đám mây".

  

  Theo Mô hình trách nhiệm chung AWS, khách hàng của AWS giữ quyền kiểm soát mức độ bảo mật mà họ chọn triển khai để bảo vệ nội dung, nền tảng, ứng dụng, hệ thống và mạng của riêng họ, không khác gì so với các ứng dụng trong trung tâm dữ liệu tại chỗ. Khách hàng có thể sử dụng các biện pháp bảo mật quen thuộc, như mã hóa và xác thực đa yếu tố, để bảo vệ dữ liệu và giải quyết các yêu cầu tuân thủ của họ, bên cạnh các tính năng và dịch vụ bảo mật AWS như AWS Identity and Access Management (IAM).

• Ai có thể truy cập nội dung của khách hàng trên AWS?

  Khách hàng duy trì quyền sở hữu và kiểm soát nội dung khách hàng của mình, đồng thời chọn những dịch vụ AWS sẽ xử lý, lưu trữ và lưu trữ nội dung của khách hàng. AWS không truy cập hoặc sử dụng nội dung của khách hàng, trừ trường hợp cần thiết để duy trì hoặc cung cấp các dịch vụ AWS do khách hàng lựa chọn hoặc khi cần nhằm tuân thủ luật pháp hoặc lệnh ràng buộc của cơ quan chính phủ, như được quy định trong Thỏa thuận khách hàng của AWS.

  Khách hàng sử dụng dịch vụ AWS duy trì quyền kiểm soát đối với nội dung của họ trong môi trường AWS. Họ có thể:

  • Xác định nơi sẽ lưu trữ nội dung, chẳng hạn như bằng cách chọn loại môi trường lưu trữ và vị trí địa lý của nội dung được lưu trữ đó;
  • Kiểm soát định dạng nội dung, ví dụ như văn bản thuần túy, bị che phủ, ẩn danh hoặc mã hóa, bằng cách sử dụng mã hóa do AWS cung cấp hoặc cơ chế mã hóa của bên thứ ba do khách hàng tự chọn;
  • Quản lý các biện pháp kiểm soát quyền truy cập, chẳng hạn như AWS Identity and Access Management (IAM); và
  • Kiểm soát việc sử dụng hay không sử dụng mã hóa, các tính năng Đám mây riêng ảo (VPC) của Amazon cũng như các biện pháp bảo mật dữ liệu và mạng khác để ngăn chặn truy cập trái phép.

  Việc này cho phép khách hàng AWS kiểm soát toàn bộ vòng đời nội dung của họ trên AWS cũng như quản lý nội dung của họ theo nhu cầu cụ thể, bao gồm cả phân loại nội dung, kiểm soát quyền truy cập, lưu giữ và xóa.

• Nội dung của khách hàng được lưu trữ ở đâu?

  Cơ sở hạ tầng toàn cầu AWS giúp bạn linh hoạt lựa chọn cách thức và địa điểm bạn muốn chạy khối lượng công việc của mình. Với vai trò khách hàng, bạn có thể chọn các Khu vực AWS làm nơi lưu trữ nội dung của mình, cho phép bạn triển khai Dịch vụ AWS tại các vị trí bạn chọn, phù hợp với các yêu cầu cụ thể của bạn. Nếu bạn muốn khám phá các tùy chọn lưu trữ linh hoạt khác của chúng tôi, vui lòng tham khảo trang web Khu vực AWS.

  Bạn có thể sao chép và sao lưu nội dung của khách hàng ở nhiều Khu vực AWS. Chúng tôi sẽ không di chuyển nội dung của bạn ra ngoài các Khu vực AWS mà bạn chọn nếu bạn chưa đồng ý, trừ trường hợp cần thiết phải tuân thủ luật pháp hoặc lệnh ràng buộc của cơ quan chính phủ. Tuy nhiên, điều quan trọng cần lưu ý là có thể không phải Khu vực AWS nào cũng có sẵn tất cả các Dịch vụ AWS. Để biết thêm thông tin về các dịch vụ hiện có ở các Khu vực AWS, hãy tham khảo trang web Các dịch vụ theo Khu vực AWS.

• AWS có những biện pháp bảo mật nào tại chỗ để bảo vệ hệ thống?

  AWS được thiết kế để trở thành cơ sở hạ tầng đám mây toàn cầu bảo mật nhất nhằm xây dựng, di chuyển và quản lý ứng dụng cũng như khối lượng công việc. Cơ sở hạ tầng này bao gồm phần cứng, phần mềm, mạng và cơ sở vật chất chạy các dịch vụ AWS, cung cấp các biện pháp kiểm soát mạnh mẽ (bao gồm cả kiểm soát cấu hình bảo mật) cho khách hàng để xử lý dữ liệu cá nhân.

  AWS cung cấp một số báo cáo tuân thủ từ các tổ chức kiểm tra bên thứ ba, những bên kiểm tra và xác minh tính tuân thủ của chúng tôi với nhiều tiêu chuẩn bảo mật, bao gồm cả SOC 2 Loại 2, ISO 27001, ISO 27017 và ISO 27018. Ở Canada, các dịch vụ AWS cũng được Trung tâm an ninh mạng Canada đánh giá.

  Để cung cấp tính minh bạch về hiệu quả của các biện pháp này, chúng tôi cấp quyền truy cập vào các báo cáo kiểm tra của bên thứ ba trong AWS Artifact. Những báo cáo này cho khách hàng thấy rằng chúng tôi đang bảo vệ cơ sở hạ tầng cơ bản nơi họ lưu trữ và xử lý dữ liệu cá nhân. Để biết thêm thông tin, hãy tham khảo Tài nguyên về tuân thủ của chúng tôi.

• AWS bảo mật cho các trung tâm dữ liệu của mình như thế nào?

  Chiến lược bảo mật trung tâm dữ liệu của AWS được kết hợp với các biện pháp kiểm soát bảo mật có thể mở rộng và nhiều lớp bảo vệ giúp bảo vệ thông tin của bạn. Ví dụ: AWS quản lý rủi ro lũ lụt và hoạt động địa chấn tiềm ẩn một cách cẩn thận. Chúng tôi sử dụng rào chắn vật lý, biện pháp bảo mật, công nghệ phát hiện mối đe dọa và quy trình sàng lọc chuyên sâu để hạn chế truy cập trung tâm dữ liệu. Chúng tôi sao lưu hệ thống của mình, thường xuyên kiểm tra trang thiết bị và quy trình, đồng thời liên tục đào tạo nhân viên của AWS để họ luôn sẵn sàng trước điều bất ngờ.

  Để xác thực tính bảo mật của trung tâm dữ liệu của chúng tôi, các kiểm tra viên bên ngoài tiến hành kiểm tra hơn 2.600 tiêu chuẩn và yêu cầu trong suốt cả năm. Việc kiểm tra độc lập này giúp đảm bảo rằng các tiêu chuẩn bảo mật luôn được đáp ứng hoặc đáp ứng vượt mức. Kết quả là các tổ chức có quy định nghiêm ngặt nhất trên thế giới luôn tin tưởng giao cho AWS bảo vệ dữ liệu của họ.

  Tìm hiểu thêm về cách chúng tôi bảo mật cho các trung tâm dữ liệu của AWS theo thiết kế bằng cách tham gia chuyến tham quan ảo.