Trung tâm Quy định chung về bảo vệ dữ liệu (GDPR)

Khách hàng kiểm soát

Chuyển dữ liệu ra bên ngoài Khu vực kinh tế châu Âu (EEA)

Các biện pháp về mặt kỹ thuật và tổ chức

• GDPR có ảnh hưởng như thế nào tới mô hình chia sẻ trách nhiệm của AWS?

  GDPR không thay đổi mô hình chia sẻ trách nhiệm của AWS. Mô hình này vẫn tiếp tục áp dụng cho khách hàng. Mô hình chia sẻ trách nhiệm là một phương pháp có ích để minh họa những trách nhiệm khác nhau của AWS (với tư cách là bên xử lý dữ liệu hoặc bên xử lý phụ) và khách hàng (với tư cách là bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu) theo GDPR.

  Theo mô hình chia sẻ trách nhiệm, AWS chịu trách nhiệm bảo mật cho cơ sở hạ tầng cơ bản hỗ trợ cho các dịch vụ AWS (“Tính bảo mật “CỦA” đám mây”), trong khi khách hàng, với vai trò là bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu, chịu trách nhiệm về bất kỳ dữ liệu cá nhân nào mà họ đăng tải lên các dịch vụ AWS (“Tính bảo mật “TRONG” đám mây”).
  

  Trách nhiệm của AWS đối với "Tính bảo mật của đám mây" - AWS chịu trách nhiệm bảo vệ cơ sở hạ tầng toàn cầu vận hành tất cả các dịch vụ AWS. Cơ sở hạ tầng này gồm có phần cứng, phần mềm, mạng và cơ sở vận hành dịch vụ AWS, cung cấp các biện pháp kiểm soát mạnh mẽ cho khách hàng (bao gồm các biện pháp kiểm soát cấu hình bảo mật) để xử lý nội dung khách hàng. AWS cung cấp một số báo cáo tuân thủ từ các chuyên viên đánh giá bên thứ ba đã xác minh tính tuân thủ của chúng tôi với nhiều tiêu chuẩn và quy định về bảo mật máy tính (để biết thêm thông tin, hãy truy cập: trang web Tuân thủ của AWS). Những báo cáo này cho khách hàng của chúng tôi biết rằng chúng tôi đang bảo vệ dữ liệu khách hàng của họ. Những ví dụ bao gồm việc tuân thủ ISO 27001, 27017 và 27018 của AWS. ISO 27018 có các biện pháp kiểm soát bảo mật tập trung vào việc bảo vệ dữ liệu khách hàng.
  

  Trách nhiệm của khách hàng đối với “Tính bảo mật trong đám mây” - Khách hàng của AWS chịu trách nhiệm thiết kế và bảo mật ứng dụng cũng như những giải pháp họ lựa chọn triển khai trên các dịch vụ AWS. Khách hàng của AWS cũng có trách nhiệm định cấu hình các dịch vụ AWS theo cách bảo vệ được tính bảo mật, tính toàn vẹn và nhu cầu bảo mật dữ liệu khách hàng của họ. Các trách nhiệm cụ thể của khách hàng trong việc bảo mật dữ liệu khách hàng của họ khác nhau tùy thuộc vào các dịch vụ AWS mà khách hàng lựa chọn sử dụng, cũng như cách những dịch vụ đó được tích hợp vào môi trường CNTT của khách hàng. Khách hàng của AWS có thể theo dõi, kiểm soát các dữ liệu khách hàng của họ và có thể triển khai các biện pháp kiểm soát bảo mật linh hoạt dựa trên mức độ nhạy cảm của loại dữ liệu khách hàng cụ thể. Khách hàng có thể thực hiện việc này bằng cách sử dụng các biện pháp và công cụ bảo mật của riêng mình hoặc bằng các biện pháp và công cụ bảo mật của AWS hay những nhà cung cấp khác. Thông qua đó, khách hàng có thể triển khai thêm các lớp bảo mật cho dữ liệu khách hàng nhạy cảm hơn.
  

  AWS cung cấp các sản phẩm, công cụ, dịch vụ mà khách hàng có thể sử dụng để thiết kế cũng như bảo mật những ứng dụng và giải pháp của họ và có thể được triển khai để giúp xử lý các yêu cầu của GDPR, bao gồm:

  • AWS Identity and Access Management (IAM) cho phép các tổ chức quản lý quyền truy cập vào dịch vụ và tài nguyên AWS một cách bảo mật. Khách hàng có thể sử dụng IAM để tạo, quản lý người dùng và nhóm AWS cũng như sử dụng quyền để cho phép và từ chối truy cập tài nguyên AWS. IAM là một tính năng của tài khoản AWS và được cung cấp miễn phí.
  • AWS CloudTrail cho phép các tổ chức ghi nhật ký, liên tục giám sát và giữ lại thông tin về hoạt động tài khoản liên quan đến các hành động trong AWS, từ đó đơn giản hóa việc phân tích bảo mật, theo dõi thay đổi tài nguyên và khắc phục sự cố (theo mặc định, AWS CloudTrail được kích hoạt trên tất cả tài khoản AWS).
  • Amazon GuardDuty là một dịch vụ phát hiện mối đe dọa được quản lý với chức năng liên tục giám sát hành vi độc hại hoặc trái phép để giúp bảo vệ tài khoản và khối lượng công việc AWS. Dịch vụ này giám sát hoạt động có dấu hiệu xâm phạm tài khoản như lệnh gọi API bất thường hoặc tác vụ triển khai có khả năng là trái phép. Đồng thời, GuardDuty cũng phát hiện các phiên bản có khả năng bị xâm phạm hoặc hành vi do thám của những kẻ tấn công.
  • Amazon Macie là một công cụ máy học giúp hỗ trợ khám phá và phân loại dữ liệu cá nhân lưu trữ trong Amazon S3.

  Để biết thêm thông tin chi tiết về cách sử dụng các tài nguyên AWS tuân thủ GDPR, vui lòng xem báo cáo nghiên cứu chuyên sâu Cách đảm bảo tuân thủ GDPR trên AWS của chúng tôi.
  

• Các đối tác AWS có cung cấp các sản phẩm và dịch vụ để giúp tuân thủ GDPR không?

  Bạn có thể tìm kiếm từ khóa "GDPR" trong AWS Partner Solutions Finder để tìm ra Nhà cung cấp phần mềm độc lập (ISV), Nhà cung cấp dịch vụ được quản lý (MSP) và các đối tác Tích hợp hệ thống (SI) có sản phẩm và dịch vụ hỗ trợ việc tuân thủ GDPR. Khách hàng cũng có thể tìm kiếm các giải pháp "GDPR" trên AWS Marketplace.

• AWS có hỗ trợ dịch vụ chuyên môn để đảm bảo tuân thủ GDPR không?

  Có. Đội ngũ AWS Security Assurance Services có nhiều hoạt động để trợ giúp khách hàng trên hành trình tuân thủ GDPR của họ. Đội ngũ các chuyên gia trong ngành về việc tuân thủ được chứng nhận này giúp khách hàng đạt được, duy trì và tự động hóa việc tuân thủ trên đám mây bằng cách vận dụng các tiêu chuẩn tuân thủ hiện hành vào những tính năng và chức năng cụ thể của các dịch vụ AWS. Bạn có thể xem thêm thông tin chi tiết về cách những Tư vấn viên của AWS Professional Services đang trợ giúp khách hàng tại đây.
  

• AWS Support có thể giúp tôi như thế nào trên hành trình tuân thủ GDPR?

  Khách hàng có thể sử dụng AWS Support để nhận được hướng dẫn kỹ thuật giúp họ tuân thủ GDPR. Trong khuôn khổ hoạt động này, chúng tôi có các nhóm Kỹ sư hỗ trợ đám mây và Quản lý khách hàng kỹ thuật (TAM), họ đã được đào tạo để có thể nhận biết và giảm thiểu rủi ro tuân thủ. Mức độ hỗ trợ do AWS cung cấp phụ thuộc vào gói dịch vụ AWS Support mà khách hàng chọn. Những khách hàng muốn tìm hiểu khả năng trợ giúp của AWS Premium Support có thể xem thêm thông tin trong AWS Support Center có sẵn tại Bảng điều khiển quản lý AWS, bằng cách sử dụng chi tiết liên hệ đã được nêu cụ thể trong Thỏa thuận hỗ trợ doanh nghiệp giao kết với AWS hoặc bằng cách truy cập trang web của AWS Support. Khách hàng mua gói Hỗ trợ doanh nghiệp có thể liên hệ với TAM của mình nếu có thắc mắc liên quan đến GDPR.
  

  Hai chương trình có thể giúp ích cho khách hàng khi họ thực hiện mục tiêu tuân thủ GDPR:
  

  • Cloud Operations Review – Dành cho khách hàng sử dụng AWS Enterprise Support, chương trình này được thiết kế để xác định các lỗ hổng trong cách tiếp cận hoạt động trên đám mây. Bắt nguồn từ một bộ các biện pháp thực hành nghiệp vụ tốt nhất cùng với kinh nghiệm của AWS trong quá trình làm việc với nhiều khách hàng tiêu biểu, chương trình này đánh giá hoạt động đám mây và các thực tiễn quản lý đi kèm, từ đó có thể hỗ trợ các tổ chức trên hành trình tuân thủ GDPR của họ. Chương trình này sử dụng một cách tiếp cận với bốn trụ cột, tập trung vào việc chuẩn bị, giám sát, vận hành và tối ưu hóa các hệ thống trên nền đám mây trong nỗ lực theo đuổi sự vận hành vượt trội.
  • Đánh giá kiến trúc tối ưu – Chương trình này cho phép các tổ chức đánh giá kiến trúc của mình theo những phương pháp tốt nhất của AWS đồng thời xây dựng kiến trúc bảo mật, đáng tin cậy, hiệu suất cao và tiết kiệm chi phí. Đánh giá kiến trúc tối ưu cho phép khách hàng hiểu rõ vị trí tiềm ẩn rủi ro trong kiến trúc của họ và giải quyết chúng trước khi ứng dụng vào sản xuất.
    
    

• Làm cách nào AWS có thể giúp khách hàng đáp ứng các nghĩa vụ của mình theo GDPR, liên quan đến thông báo xâm phạm dữ liệu cá nhân?

  AWS có quy trình giám sát sự cố bảo mật cũng như thông báo vi phạm dữ liệu và sẽ thông báo cho khách hàng về các hành vi xâm phạm hệ thống bảo mật của AWS ngay lập tức và phù hợp với AWS DPA. AWS cũng cung cấp cho khách hàng nhiều công cụ để hiểu rõ ai có quyền truy cập tài nguyên của họ, truy cập khi nào và từ vị trí nào. Một trong những công cụ này là AWS CloudTrail cho phép quản trị, tuân thủ, kiểm tra hoạt động và rủi ro của một tài khoản AWS. Với AWS CloudTrail, khách hàng có thể ghi nhật ký, liên tục giám sát và lưu giữ thông tin về hoạt động của tài khoản liên quan đến các hành động trên cơ sở hạ tầng AWS của họ. Điều này giúp các tổ chức hiểu rõ hoạt động đang diễn ra trong cơ sở hạ tầng AWS của mình và có thể ngay lập tức xử lý mọi hoạt động bất thường. Để biết thêm thông tin về các công cụ bảo mật khác được AWS cung cấp cho khách hàng nhằm giúp họ đáp ứng những nghĩa vụ của mình trong vai trò bên kiểm soát dữ liệu theo GDPR, hãy truy cậptrang web Khả năng bảo mật của Đám mây AWS.  

• Làm cách nào AWS giúp tôi bảo vệ dữ liệu khách hàng của mình trước các cuộc tấn công mạng?

  AWS cung cấp cho khách hàng và Đối tác APN nhiều công cụ để bảo mật dữ liệu khách hàng của họ và giúp bảo vệ trước các cuộc tấn công mạng. Một công cụ như vậy là AWS Shield. Đây là một dịch vụ bảo vệ khỏi các cuộc Tấn công từ chối dịch vụ phân tán (DDoS) được quản lý nhằm bảo vệ các trang web và ứng dụng chạy trên AWS. AWS Shield Standard được áp dụng miễn phí và cung cấp khả năng phát hiện luôn bật và tự động giảm trực tiếp để có thể giảm thiểu thời gian chết và độ trễ của ứng dụng. Nếu muốn nhận được mức độ bảo vệ cao hơn trước các cuộc tấn công nhắm vào ứng dụng web chạy trên AWS và sử dụng tài nguyên ELB, Amazon CloudFront cũng như Amazon Route 53, khách hàng và Đối tác APN có thể đăng ký sử dụng AWS Shield Advanced. AWS cũng phát hành và thường xuyên cập nhật tài liệu Các phương pháp tốt nhất của AWS để phục hồi sau tấn công DDoS, giúp khách hàng sử dụng AWS để xây dựng những ứng dụng có khả năng phục hồi sau các cuộc tấn công DDoS.

  Các công cụ khác của AWS giúp bảo vệ dữ liệu khách hàng trước các hình thức tấn công mạng bao gồm:

  • AWS Identity and Access Management (IAM) cho phép các tổ chức quản lý quyền truy cập vào dịch vụ và tài nguyên AWS một cách bảo mật. Khách hàng và Đối tác APN có thể sử dụng IAM để tạo, quản lý người dùng và nhóm AWS cũng như sử dụng quyền để cho phép và từ chối truy cập tài nguyên AWS. IAM là một tính năng của tài khoản AWS và được cung cấp miễn phí.
  • AWS Config cho phép khách hàng và Đối tác APN kích hoạt các quy tắc tích hợp sẵn để giúp đảm bảo rằng tài nguyên AWS của họ được định cấu hình và trong trạng thái tuân thủ phù hợp.
  • AWS CloudTrail cho phép các tổ chức ghi nhật ký, liên tục giám sát và giữ lại thông tin về hoạt động tài khoản liên quan đến các hành động trong AWS, từ đó đơn giản hóa việc phân tích bảo mật, theo dõi thay đổi tài nguyên và khắc phục sự cố (theo mặc định, AWS CloudTrail được kích hoạt trên tất cả tài khoản AWS).
  • Amazon GuardDuty là một dịch vụ phát hiện mối đe dọa được quản lý với chức năng liên tục giám sát hành vi độc hại hoặc trái phép để giúp bảo vệ tài khoản và khối lượng công việc AWS. Dịch vụ này giám sát hoạt động có dấu hiệu xâm phạm tài khoản như lệnh gọi API bất thường hoặc tác vụ triển khai có khả năng là trái phép. Đồng thời, GuardDuty cũng phát hiện các phiên bản có khả năng bị xâm phạm hoặc hành vi do thám của những kẻ tấn công.

• Có những công cụ nào giúp tôi xác định dữ liệu cá nhân trong nội dung của mình trên AWS?

  Amazon Macie là dịch vụ bảo mật dữ liệu và quyền riêng tư về dữ liệu được quản lý toàn phần, sử dụng các kỹ thuật máy học và đối chiếu mẫu để phát hiện cũng như bảo vệ dữ liệu cá nhân của bạn trên AWS. Khi lượng dữ liệu do các tổ chức quản lý không ngừng gia tăng, việc xác định và bảo vệ dữ liệu cá nhân trên quy mô lớn sẽ ngày càng phức tạp, tốn kém và mất thời gian. Amazon Macie tự động phát hiện dữ liệu cá nhân trên quy mô lớn và giảm chi phí bảo vệ dữ liệu của bạn. Macie tự động cung cấp kho lưu trữ cho các vùng lưu trữ của Amazon S3, bao gồm danh sách các vùng lưu trữ không được mã hóa, vùng lưu trữ có thể truy cập công khai và vùng lưu trữ được chia sẻ với tài khoản AWS nằm ngoài các tài khoản bạn đã xác định trong AWS Organizations. Sau đó, Macie áp dụng kỹ thuật máy học và đối chiếu mẫu cho các vùng lưu trữ bạn chọn để xác định và đưa ra cảnh báo về dữ liệu cá nhân của bạn.
  

  Amazon Macie được chứng nhận theo các tiêu chuẩn được công nhận trên toàn cầu như ISO 27017 đối với bảo mật đám mây, ISO 27018 đối với quyền riêng tư trên đám mây, đồng thời khách hàng và Đối tác APN cũng có thể sử dụng Macie để liên tục giám sát việc truy cập vào dữ liệu của họ nhằm phát hiện hoạt động đáng ngờ căn cứ vào các mẫu truy cập.
  

• Làm cách nào tôi có thể kiểm soát việc truy cập dữ liệu cá nhân trong nội dung của mình trên AWS?

  Để giúp khách hàng tuân thủ GDPR, AWS có nhiều công cụ để kiểm soát việc truy cập dữ liệu cá nhân có trong nội dung của họ trên AWS. Những công cụ này bao gồm:

  • Bảo mật theo mặc định, có nghĩa là dịch vụ AWS được thiết kế để luôn bảo mật theo mặc định. Nếu sử dụng cấu hình mặc định, quyền truy cập vào tài nguyên sẽ bị khóa, chỉ dành cho chủ tài khoản và quản trị viên gốc.
  • AWS Identity and Access Management (IAM) cho phép khách hàng quản lý việc truy cập vào các dịch vụ và tài nguyên AWS một cách bảo mật. Các tổ chức có thể sử dụng IAM để tạo, quản lý người dùng và nhóm AWS cũng như sử dụng quyền để cho phép và từ chối truy cập tài nguyên AWS. IAM là một tính năng của tài khoản AWS và được cung cấp miễn phí.
  • AWS Multi-Factor Authentication bổ sung thêm một lớp bảo vệ ngoài tên người dùng và mật khẩu của tài khoản AWS. AWS cho khách hàng lựa chọn giữa thiết bị MFA ảo và phần cứng.
  • AWS Directory Service cho phép khách hàng tích hợp và liên kết với các thư mục của doanh nghiệp để giảm tổng chi phí hành chính và cải thiện trải nghiệm người dùng cuối.
  • AWS Config cho phép khách hàng kích hoạt các quy tắc tích hợp sẵn để giúp đảm bảo rằng tài nguyên AWS của họ được định cấu hình và trong trạng thái tuân thủ phù hợp.
  • AWS CloudTrail cho phép khách hàng ghi nhật ký, liên tục giám sát và giữ lại thông tin về hoạt động tài khoản liên quan đến các hành động trên toàn bộ cơ sở hạ tầng AWS của họ, từ đó đơn giản hóa việc phân tích bảo mật, theo dõi thay đổi tài nguyên và khắc phục sự cố (theo mặc định, AWS CloudTrail được kích hoạt trên tất cả tài khoản AWS).
  • Amazon Macie sử dụng kỹ thuật máy học để giúp khách hàng ngăn chặn việc mất dữ liệu bằng cách tự động phát hiện, phân loại và bảo vệ dữ liệu nhạy cảm trên AWS. Dịch vụ được quản lý toàn diện này liên tục theo dõi hoạt động truy cập dữ liệu để phát hiện yếu tố bất thường, đồng thời khởi tạo cảnh báo chi tiết khi phát hiện thấy có rủi ro truy cập trái phép hoặc rò rỉ dữ liệu do vô ý – chẳng hạn như dữ liệu nhạy cảm mà một khách hàng đã vô tình tiết lộ ra bên ngoài.
     

• Làm cách nào tôi có thể mã hóa dữ liệu cá nhân trên AWS để ngăn chặn truy cập trái phép?

  AWS cung cấp cho khách hàng và Đối tác APN khả năng bổ sung một lớp bảo mật cho dữ liệu khách hàng của mình trong đám mây và giúp họ đáp ứng các nghĩa vụ xử lý bảo mật với vai trò là bên kiểm soát dữ liệu theo GDPR. Các công cụ mã hóa có sẵn trên AWS bao gồm:

  • Các khả năng mã hóa dữ liệu có sẵn trong các dịch vụ lưu trữ và cơ sở dữ liệu AWS nhưAmazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS và Redshift
  • Các tùy chọn quản lý khóa linh hoạt, bao gồm AWS Key Management Service, cho phép lựa chọn có nên để AWS quản lý khóa mã hóa hay cho phép khách hàng nắm toàn quyền kiểm soát các khóa
  • Hàng đợi tin nhắn mã hóa để truyền dữ liệu nhạy cảm bằng cách sử dụng mã hóa phía máy chủ (SSE) cho Amazon SQS
  • Lưu trữ khóa mật mã chuyên dụng, dựa trên phần cứng bằng cách sử dụng AWS CloudHSM, cho phép khách hàng đáp ứng các yêu cầu về tuân thủ

   

  Ngoài ra, AWS cung cấp API cho khách hàng và Đối tác APN để họ tích hợp khả năng mã hóa và bảo vệ dữ liệu với bất kỳ dịch vụ nào mà họ phát triển hoặc triển khai trong môi trường AWS.

• AWS cung cấp cho khách hàng những dịch vụ nào để giúp họ tuân thủ GDPR?

  AWS cung cấp các tính năng và dịch vụ cụ thể giúp khách hàng đáp ứng yêu cầu của GDPR:

  Kiểm soát truy cập: Chỉ cho phép các quản trị viên, người dùng và các ứng dụng được cấp quyền truy cập vào tài nguyên AWS

  • Multi-Factor-Authentication (MFA)
  • Truy cập sâu vào các đối tượng trong Amazon S3-Buckets/ Amazon SQS/ Amazon SNS và những đối tượng khác
  • Xác thực yêu cầu API
  • Hạn chế địa lý
  • Token truy cập tạm thời thông qua AWS Security Token Service

  Giám sát và ghi nhật ký: Xem nội dung tổng quan về các hoạt động trên tài nguyên AWS của bạn

  • Quản lý tài sản và định cấu hình bằng AWS Config
  • Kiểm tra tuân thủ và phân tích bảo mật bằng AWS CloudTrail
  • Nhận biết các thách thức về cấu hình thông qua AWS Trusted Advisor
  • Ghi nhật ký truy cập vào đối tượng Amazon S3 một cách chi tiết
  • Thông tin chi tiết về các luồng trong mạng thông qua Amazon VPC Flow Logs
  • Kiểm tra cấu hình dựa trên quy tắc và hành động theo Quy tắc AWS Config
  • Lọc và giám sát truy cập HTTP vào các ứng dụng có chức năng của AWS WAF trên AWS CloudFront

  Mã hóa: Mã hóa dữ liệu trên AWS

  • Mã hóa dữ liệu lưu trữ tại thiết bị của bạn bằng AES256 (EBS/S3/Glacier/RDS)
  • Dịch vụ quản lý khóa được quản lý tập trung (theo Vùng AWS)
  • Lồng ghép IPsec vào AWS bằng Cổng VPN
  • Mô-đun HSM chuyên dụng trong đám mây với AWS CloudHSM

  Khung tuân thủ và tiêu chuẩn bảo mật nghiêm ngặt: Chúng tôi thể hiện khả năng tuân thủ các tiêu chuẩn quốc tế nghiêm ngặt như:

  • ISO 27001 đối với các biện pháp kỹ thuật
  • ISO 27017 đối với bảo mật đám mây
  • ISO 27018 đối với quyền riêng tư trên đám mây
  • SOC 1, SOC 2 và SOC 3, PCI DSS cấp độ 1,
  • Danh mục biện pháp kiểm soát tuân thủ điện toán đám mây phổ biến của BSI (C5)
    
  • ENS High