Bộ quy tắc bảo vệ dữ liệu của CISPE

Bộ quy tắc bảo vệ dữ liệu dành cho các nhà cung cấp dịch vụ cơ sở hạ tầng đám mây tại châu Âu (Bộ quy tắc CISPE) là bộ quy tắc bảo vệ dữ liệu đầu tiên trên toàn châu Âu dành cho các nhà cung cấp dịch vụ cơ sở hạ tầng đám mây theo Điều 40 trong Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR). Bộ quy tắc này đã được Ủy ban bảo vệ dữ liệu châu Âu (EDPB) phê duyệt vào tháng 5/2021 và được Cơ quan bảo vệ dữ liệu của Pháp (CNIL) áp dụng chính thức vào tháng 6/2021.

Bộ quy tắc CISPE đảm bảo với các tổ chức rằng nhà cung cấp dịch vụ cơ sở hạ tầng đám mây đáp ứng các yêu cầu áp dụng cho một đơn vị xử lý dữ liệu theo GDPR. Điều này giúp các khách hàng sử dụng đám mây thêm yên tâm rằng họ có thể lựa chọn các dịch vụ đã được kiểm chứng độc lập về tính tuân thủ theo GDPR.

Việc AWS tuân thủ Bộ quy tắc CISPE cung cấp thêm một mức độ đảm bảo cho khách hàng của chúng tôi rằng AWS đã triển khai các biện pháp vận hành và hợp đồng đáp ứng được các yêu cầu áp dụng cho một đơn vị xử lý dữ liệu theo Điều 28 trong GDPR. Tính tuân thủ theo Bộ quy tắc CISPE của AWS đã được kiểm chứng bởi EY CertifyPoint, một đơn vị kiểm tra bên ngoài đã được CNIL công nhận là Cơ quan giám sát.

Bộ quy tắc CISPE còn vượt trên quy định tuân thủ của GDPR qua việc yêu cầu các nhà cung cấp dịch vụ cơ sở hạ tầng đám mây mang lại cho khách hàng tùy chọn lưu trữ và xử lý dữ liệu của họ trong Khu vực kinh tế châu Âu. Các nhà cung cấp dịch vụ cơ sở hạ tầng đám mây cũng phải cam kết rằng họ sẽ không truy cập hay sử dụng dữ liệu của khách hàng, trừ trường hợp cần thiết để cung cấp và duy trì các dịch vụ đã tuyên bố. Cụ thể, các nhà cung cấp dịch vụ cơ sở hạ tầng đám mây phải cam kết không sử dụng dữ liệu khách hàng cho các mục đích riêng, bao gồm khai thác dữ liệu, tạo hồ sơ hoặc tiếp thị trực tiếp.

Bộ quy tắc CISPE cho phép các khách hàng đám mây tự tin lựa chọn những dịch vụ cơ sở hạ tầng đám mây mà có thể được sử dụng tuân thủ theo GDPR. Bộ quy tắc CISPE đảm bảo với các tổ chức rằng nhà cung cấp dịch vụ cơ sở hạ tầng đám mây đáp ứng các yêu cầu áp dụng cho một đơn vị xử lý dữ liệu theo GDPR. Điều này giúp các khách hàng sử dụng đám mây thêm yên tâm rằng họ có thể chọn các dịch vụ đã được kiểm chứng độc lập về tính tuân thủ theo GDPR. AWS tuyên bố các dịch vụ tuân thủ theo Bộ quy tắc CISPE vì điều này khiến khách hàng thêm phần yên tâm. Bộ quy tắc CISPE là bộ quy tắc bảo vệ dữ liệu đầu tiên trên toàn châu Âu tập trung vào các dịch vụ cơ sở hạ tầng đám mây và được chấp thuận bởi Ủy ban bảo vệ dữ liệu châu Âu và phê duyệt bởi Cơ quan bảo vệ dữ liệu của Pháp (CNIL), hoạt động với tư cách là cơ quan bảo vệ dữ liệu chính.

Đúng vậy, AWS duy trì các biện pháp bảo vệ dữ liệu và kiểm soát quyền riêng tư ở mức độ cao được nêu trong Bộ quy tắc CISPE cho tất cả nội dung của khách hàng.

EY CertifyPoint (EYCP) đã độc lập chứng nhận các dịch vụ AWS tuân thủ theo Bộ quy tắc CISPE. EYCP là "cơ quan giám sát" đầu tiên được CNIL công nhận để xác minh tính tuân thủ của nhà cung cấp cơ sở hạ tầng đám mây đối với Bộ quy tắc CISPE. Từ đó đến nay, CNIL đã công nhận một số cơ quan giám sát khác bao gồm Bureau Veritas và LNE. Đây đều là các cơ quan kiểm tra và chứng nhận độc lập được quốc tế công nhận với kinh nghiệm đã được kiểm chứng trong việc xác minh tính tuân thủ của các công ty đối với những yêu cầu bảo vệ dữ liệu.

Các dịch vụ được tuyên bố là tuân thủ Bộ quy tắc CISPE được đăng ký trong Sổ đăng ký công khai của CISPE là “Tuân thủ có kiểm soát”. Đối với những dịch vụ này, tính tuân thủ theo các yêu cầu trong Bộ quy tắc CISPE của AWS đã được kiểm chứng bởi EY CertifyPoint, một Cơ quan giám sát độc lập đã được CNIL công nhận. Bạn cũng có thể tìm thấy những dịch vụ AWS nằm trong phạm vi Bộ quy tắc CISPE tại Dịch vụ AWS trong phạm vi theo Chương trình tuân thủ.

AWS hỗ trợ nhiều tiêu chuẩn bảo mật và chứng nhận tuân thủ hơn bất kỳ nhà cung cấp dịch vụ đám mây nào khác và chúng tôi liên tục xem xét các nhu cầu của khách hàng trong quá trình môi trường pháp lý thay đổi. Bộ quy tắc CISPE cho phép các khách hàng sử dụng đám mây tự tin lựa chọn những dịch vụ cơ sở hạ tầng đám mây có thể được sử dụng tuân thủ theo GDPR và giải quyết các yêu cầu tuân thủ của khách hàng của chúng tôi hiện nay.

Bộ quy tắc đám mây của Liên minh châu Âu là một sáng kiến khác biệt nhưng vẫn có những cân nhắc và phương thức tiếp cận tương tự như Bộ quy tắc CISPE. Mặc dù AWS tin rằng Bộ quy tắc CISPE là một công cụ tuyệt vời để thể hiện tính tuân thủ của AWS theo GDPR và thỏa mãn các kỳ vọng tương ứng của khách hàng, chúng tôi sẽ tiếp tục xem xét các nhu cầu của khách hàng trong quá trình môi trường pháp lý thay đổi.