مركز اللائحة العامة لحماية البيانات (GDPR)

الامتثال إلى اللائحة العامة لحماية البيانات (GDPR) عند استخدام خدمات AWS

تحمي اللائحة العامة لحماية البيانات (GDPR) الحق الأساسي للأفراد داخل الاتحاد الأوروبي في الخصوصية وحماية البيانات الشخصية. تتضمن اللائحة العامة لحماية البيانات (GDPR) متطلبات قويةً ترفع معايير حماية البيانات وأمانها وامتثالها وتؤلف بينها. يُرجى مراجعة الأسئلة الشائعة حول اللائحة العامة لحماية البيانات (GDPR) أدناه للحصول على مزيد من المعلومات.

يمكن لعملاء AWS استخدام جميع خدمات AWS في معالجة البيانات الشخصية (على النحو الوارد في اللائحة العامة لحماية البيانات (GDPR) التي يتم تحميلها إلى خدمات AWS ضمن حسابات AWS الخاصة بهم (بيانات عملائهم) امتثالاً إلى اللائحة العامة لحماية البيانات (GDPR). بالإضافة إلى الامتثال من جانبنا، فإن AWS تلتزم بتقديم الخدمات والموارد لعملائنا لمساعدتهم في الامتثال إلى اللائحة العامة لحماية البيانات (GDPR) التي تسري على أنشطتهم. يتم بصفة منتظمة إطلاق ميزات جديدة، وتضم AWS أكثر من 500 ميزة وخدمة تركز على الأمان والامتثال. لمزيد من المعلومات حول ما تفعله AWS، اقرأ مدونتنا كيف تساعد AWS عملاء الاتحاد الأوروبي على التنقل في الوضع الطبيعي الجديد لحماية البيانات.

تحكم العملاء

يتمتع العملاء بالتحكم في بيانات عملائهم. مع AWS، يتمكن العملاء من:

  • تحديد مكان تخزين بيانات عملائهم، بما يشمل نوع التخزين والمنطقة الجغرافية لذلك التخزين.
  • اختيار الحالة الآمنة لبيانات عملائهم. إننا نقدم للعملاء تشفيرًا قويًا لبيانات العملاء في أثناء النقل وفي أثناء عدم النشاط، ونقدم للعملاء خيار إدارة مفاتيح التشفير الخاصة بهم.
  • إدارة الوصول إلى بيانات عملائهم وإلى خدمات وموارد AWS من قِبل المستخدمين والمجموعات والأذونات وبيانات الاعتماد التي يتحكم العملاء فيها.
تعلّم أكثر »

عمليات النقل خارج المنطقة الاقتصادية الأوروبية (EEA)

يمكن لعملاء AWS مواصلة استخدام خدمات AWS في نقل بيانات العملاء من المنطقة الاقتصادية الأوروبية إلى دول خارج المنطقة الاقتصادية الأوروبية لم تحصل على قرار كفاية من المفوضية الأوروبية (ومن هذه الدول الولايات المتحدة) امتثالاً إلى اللائحة العامة لحماية البيانات (GDPR). أهم أولوياتنا في AWS هي تأمين بيانات العملاء، ونحن نطبق تدابير فنية وتنظيمية صارمة لحماية سريتها وسلامتها وتوافرها بغض النظر عن منطقة AWS التي يختارها العميل. إننا نعلم أن الشفافية مهمة لعملائنا. إننا نذكر خدمات AWS التي تتضمن عمليات نقل لبيانات العملاء على صفحة ميزات الخصوصية على الويب.

مع تطور المشهد التنظيمي والتشريعي، نعمل دائمًا على ضمان استمرارية تمتع عملائنا بمزايا خدمات AWS أيًا كان موقع عملهم. للحصول على مزيد من المعلومات يُرجى الاطلاع على تحديث العملاء الخاص بدرع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة EU-US Privacy Shield وعلى منشورات مدونتنا حول الملحق التكميلي لملحق معالجة البيانات في AWS وعلى مدونة قواعد سلوك حماية بيانات رابطة موفري خدمات البنية التحتية السحابية في أوروبا (CISPE).

موارد اللائحة العامة لحماية البيانات (GDPR)

استكشاف الامتثال إلى اللائحة العامة لحماية البيانات (GDPR) على AWS
تنزيل المستند الفني »
ما تحتاج إلى معرفته حول البريكست وAWS
تعلّم أكثر »
منشورات مدونة أمان AWS حول اللائحة العامة لحماية البيانات (GDPR)
تعلّم أكثر »
ميزات الخصوصية في خدمات AWS
تعلّم أكثر »

الأسئلة الشائعة حول اللائحة العامة لحماية البيانات (GDPR)

نظرة عامة حول أساسيات اللائحة العامة لحماية البيانات (GDPR)


  • اللائحة العامة لحماية البيانات (GDPR) عبارة عن قانون أوروبي جديد يتعلق بالخصوصية ودخل حيز التنفيذ في 25 مايو/أيار 2018. وحلّت اللائحة العامة لحماية البيانات محل توجيه الاتحاد الأوروبي لحماية البيانات، الذي يُعرف أيضًا باسم التوجيه Directive 95/46/EC، والغرض منها هو التوفيق بين قوانين حماية البيانات في جميع أنحاء الاتحاد الأوروبي من خلال تطبيق قانون موحّد لحماية البيانات ومُلزِم لكل الدول الأعضاء.

  • تسري اللائحة العامة لحماية البيانات (GDPR) على جميع المنظمات التي أُنشئت داخل الاتحاد الأوروبي وعلى المنظمات، سواءً أُنشئت داخل الاتحاد الأوروبي أو خارجه، التي تتولى معالجة البيانات الشخصية الخاصة بالأفراد الموجودين داخل الاتحاد الأوروبي والمرتبطة إما بتوفير السلع أو الخدمات إلى أصحاب البيانات داخل الاتحاد الأوروبي أو بمراقبة السلوك الذي يقع داخل الاتحاد الأوروبي. البيانات الشخصية هي أي معلومات ذات صلة بشخص طبيعي محدد الهوية أو يمكن تحديد هويته، وتشمل الأسماء وعناوين البريد الإلكتروني وأرقام الهاتف.

  • تعمل AWS كمعالج للبيانات وكمتحكم في البيانات بموجب اللائحة العامة لحماية البيانات (GDPR).

    • AWS كمعالج بيانات – عندما يستخدم العملاء خدمات AWS في معالجة البيانات الشخصية الموجودة في المحتوى الذي يقومون بتحميله إلى خدمات AWS، تعمل AWS كمعالج بيانات. يستطيع العملاء استخدام الضوابط المتوفرة في خدمات AWS، بما في ذلك ضوابط تكوين الأمان، لمعالجة البيانات الشخصية. وفي ظل هذه الظروف، قد يعمل العميل نفسه كمتحكم في البيانات أو كمعالج البيانات، وتعمل AWS كمعالج بيانات أو معالج فرعي للبيانات. تقدم AWS أيضًا ملحق معالجة البيانات في AWS ‏(AWS DPA) متوافقًا مع اللائحة العامة لحماية البيانات (GDPR) حيث يتضمن التزامات AWS بوصفها معالج بيانات. إن ملحق معالجة البيانات في AWS ‏(AWS DPA)، الذي يتضمن البنود التعاقدية القياسية، هو جزء من شروط خدمة AWS وهو متاح تلقائيًا لجميع العملاء الذين يتطلبونه امتثالاً للائحة العامة لحماية البيانات (GDPR).
    • AWS كمتحكم في البيانات – عندما تجمع AWS البيانات الشخصية وتحدد أغراض ووسائل معالجة تلك البيانات الشخصية، على سبيل المثال، عندما تخزن AWS معلومات الحساب (مثل عناوين البريد الإلكتروني المقدمة أثناء تسجيل الحساب) الخاصة بتسجيل الحساب أو إدارته أو الوصول إلى الخدمات أو معلومات الاتصال الخاصة بحساب AWS من أجل تقديم المساعدة من خلال أنشطة دعم العملاء، فإنها تعمل كمتحكم في البيانات. يُرجى الاطلاع على إشعار خصوصية AWS للحصول على تفاصيل حول كيفية قيام AWS بمعالجة البيانات الشخصية كمتحكم.
  • البنود التعاقدية القياسية هي آلية نقل بيانات معتمدة مسبقًا بموجب اللائحة العامة لحماية البيانات (GDPR)، وهي قابلة للتطبيق في جميع الدول الأعضاء بالاتحاد الأوروبي، وتتيح النقل القانوني للبيانات الشخصية إلى دول خارج المنطقة الاقتصادية الأوروبية لم تحصل على قرار بخصوص الملاءمة من المفوضية الأوروبية (دول ثالثة).

  • تتضمن بنود خدمة AWS البنود التعاقدية القياسية التي اعتمدتها المفوضية الأوروبية (EC) في يونيو/حزيران 2021، ويؤكد ملحق معالجة البيانات في AWS ‏(AWS DPA) أن البنود التعاقدية القياسية ستُطبق تلقائيًا عندما يستخدم عميل AWS خدمات AWS في نقل بيانات العملاء إلى دول خارج المنطقة الاقتصادية الأوروبية لم تحصل على قرار بخصوص الملاءمة من المفوضية الأوروبية (دول ثالثة). كجزء من بنود خدمة AWS، ستُطبق البنود التعاقدية القياسية تلقائيًا في أي وقت يستخدم العميل فيه خدمات AWS لنقل بيانات العملاء إلى دول ثالثة. يستطيع عملاء محددون، أولئك العملاء الذين وقَّعوا على ملحق معالجة البيانات في AWS ‏(AWS DPA)، مواصلة الاعتماد على ملحق معالجة البيانات في AWS ‏(AWS DPA) هذا، لأن البنود التعاقدية القياسية الجديدة المتضمنة في بنود خدمة AWS تحل محل الإصدار السابق للبنود التعاقدية القياسية. وبالتالي يمكن للعملاء أن يشعروا بالاطمئنان من أن أي بيانات تخص العملاء ينقلونها إلى بلدان ثالثة باستخدام خدمات AWS تتمتع بالمستوى العالي نفسه من الحماية المتوفرة لبيانات العملاء في المنطقة الاقتصادية الأوروبية (EEA). لمزيد من المعلومات، يُرجى الاطلاع على منشور المدونة حول تنفيذ البنود التعاقدية القياسية الجديدة.

AWS والامتثال للائحة العامة لحماية البيانات (GDPR) في أعقاب حُكم Schrems II وتوصيات المجلس الأوروبي لحماية البيانات


  • في 16 يوليو 2020، أصدرت محكمة العدل التابعة للاتحاد الأوروبي (CJEU) حُكمًا بشأن نقل البيانات الشخصية الخاصة بالأفراد داخل الاتحاد الأوروبي إلى خارج المنطقة الاقتصادية الأوروبية (Schrems II). في Schrems II، أصدرت محكمة العدل التابعة للاتحاد الأوروبي (CJEU) حُكمًا مفاده أن درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة لم يعد آليةً صالحةً لنقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية إلى الولايات المتحدة. إلا أنه في نفس الحُكم، أكدت محكمة العدل التابعة للاتحاد الأوروبي (CJEU) أنه يمكن للشركات (مع مراعاة تنفيذ التدابير التكميلية، إذا لزم الأمر) الاستمرار في استخدام البنود التعاقدية القياسية كآلية صالحة لنقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية. قدم المجلس الأوروبي لحماية البيانات (EDPB)، وهو هيئة أوروبية مكونة من ممثلين عن الهيئات الوطنية الخاصة بحماية البيانات، منذ ذلك الحين قائمةً غير شاملة بالتدابير التكميلية في "توصياته الصادرة 01/2020 بشأن التدابير التي تتمم أدوات النقل لضمان الامتثال إلى مستوى الاتحاد الأوروبي في حماية البيانات الشخصية " (توصيات المجلس الأوروبي لحماية البيانات (EDPB)).

    تقدم توصيات المجلس الأوروبي لحماية البيانات (EDPB) لمصدّري البيانات أمثلةً للتدابير التكميلية التي يمكن تنفيذها. راجع السؤال الشائع "هل يمكنني الاستمرار في استخدام خدمات AWS بعد الحُكم Schrems II؟" أدناه للحصول على تفاصيل حول موارد نقل البيانات في AWS. 

  • نعم، يستطيع عملاء AWS مواصلة استخدام خدمات AWS في نقل بيانات العملاء من أوروبا إلى بلدان خارج المنطقة الاقتصادية الأوروبية لم تحصل على قرار كفاية من المفوضية الأوروبية. أَقرّ الحُكم Schrems II بصحة استخدام البنود التعاقدية القياسية (SCC) كآلية لنقل بيانات العملاء خارج المنطقة الاقتصادية الأوروبية ويمكن لعملاء AWS الاستمرار في الاعتماد على البنود التعاقدية القياسية (SCC) في نقل بيانات العملاء خارج المنطقة الاقتصادية الأوروبية بما يتوافق مع اللائحة العامة لحماية البيانات (GDPR).

    • موقع المعالجة. يختار العملاء منطقة AWS التي يتم بها تخزين بيانات عملائهم. يمكن العثور على نظرة عامة حول مناطق AWS المتوفرة ضمن المناطق ومناطق توافر الخدمات. لا تُعالج AWS بيانات العملاء خارج منطقة AWS المحددة الخاصة بالعميل ما لم يكن ذلك ضروريًا لغرض تقديم خدمات AWS التي بدأها العميل، أو حسب الضرورة امتثالاً للقانون أو امتثالاً لأمر ملزم صادر عن هيئة حكومية. يُرجى الاطلاع على صفحة ميزات الخصوصية على الويب لمعرفة المزيد حول عمليات نقل البيانات كجزء من خدمات AWS.
    • المعالجات الفرعية. يحق لـ AWS استخدام معالجات فرعية، مثل الشركات التابعة إلى AWS أو أطراف خارجية للمساعدة في معالجة بيانات العملاء، أو للوفاء بالتزاماتنا تجاه العملاء بموجب ملحق معالجة البيانات في AWS ‏(AWS DPA)، أو لتقديم الخدمات نيابةً عنا. راجع السؤال الشائع "هل تستخدم AWS معالجات فرعية لمعالجة بيانات العملاء؟" أدناه للحصول على التفاصيل.
    • أدوات النقل. نظرًا لأن حُكم Schrems II قد أَقرّ بصحة استخدام البنود التعاقدية القياسية كآلية لنقل البيانات إلى بلدان خارج المنطقة الاقتصادية الأوروبية لم تحصل على قرار كفاية من المفوضية الأوروبية، يمكن لعملائنا الاستمرار في الاعتماد على البنود التعاقدية القياسية الواردة في ملحق معالجة البيانات في AWS ‏(AWS DPA) إذا اختاروا نقل بياناتهم خارج المنطقة الاقتصادية الأوروبية بما يتوافق مع اللائحة العامة لحماية البيانات (GDPR).
    • التدابير التكميلية.
      • تحكم العملاء. يتمتع العملاء بالملكية والتحكم في بيانات عملائهم في جميع الأوقات من خلال أدوات بسيطة لكنها قوية تمكّنهم من تحديد مكان تخزين بيانات عملائهم، وتأمين بيانات عملائهم أثناء النقل وأثناء عدم النشاط، وإدارة وصول المستخدم إلى موارد AWS الخاصة بهم وتعديل بيانات العملاء وحذفها واسترجاعها.
      • التدابير الفنية والتنظيمية. تنفذ AWS العمليات والضوابط المادية والفنية المسؤولة والمتطورة التي تهدف إلى منع الوصول غير المصرح به إلى بيانات العملاء أو الكشف عنها (تفضل بزيارة صفحة امتثال AWS على الويب للحصول على مزيد من المعلومات). إننا نوفر أيضًا عددًا من خدمات التشفير المتقدمة وخدمات إدارة المفاتيح (بما في ذلك الخدمات التي تسمح للعملاء بإدارة مفاتيحهم) التي يمكن للعملاء استخدامها في حماية بيانات عملائهم أثناء النقل وأثناء عدم النشاط - حيث يتعذر الوصول إلى بيانات العميل المشفرة بدون مفاتيح فك التشفير المطبقة. بغض النظر عما إذا كانت بيانات العميل مشفرةً أو غير مشفرة، نتحلى دومًا باليقظة في العمل لحماية بيانات العملاء من أي وصول غير مصرح به.
      • طلبات إنفاذ القانون. يتوفر لدى AWS عمليات داخلية للتعامل مع الطلبات التي نتلقاها من جهات إنفاذ القانون. عندما نتلقى طلبًا من جهة إنفاذ القانون للحصول على بيانات العملاء، فإننا نفحص الطلب بعناية للتحقق من دقته وللتحقق من أنه ملزم ويتوافق مع جميع القوانين السارية. ما لم يكن محظورًا من الناحية القانونية، تُخطر AWS العملاء قبل الكشف عن البيانات حتى يتمكن العملاء من اتخاذ المزيد من الخطوات لطلب الحماية من الكشف. في الملحق التكميلي لملحق معالجة البيانات في AWS ‏(AWS DPA) (الملحق التكميلي)، تقدم AWS التزاماتٍ تعاقديةً معززةً فيما يتعلق بالتعامل مع الطلبات الحكومية الخاصة ببيانات العملاء، بما في ذلك الالتزام بما يلي (1) استخدام كل جهد معقول لإعادة توجيه أي هيئة حكومية تطلب بيانات العميل إلى العميل المعني، و(2) إخطار العميل على الفور بالطلب إذا كان ذلك مسموحًا قانونًا (بما في ذلك استخدام جميع الجهود المعقولة والقانونية للحصول على تنازل عن الحظر إن لزم الأمر)، و(3) الطعن في أي طلب مبالغ فيه أو فضفاض أو غير مناسب، بما في ذلك الطلب الذي يتعارض مع قانون الاتحاد الأوروبي، و(4) إذا ظلت، بعد استنفاد الخطوات الموضحة أعلاه، AWS مضطرةً للكشف عن بيانات العميل استجابةً لطلب حكومي، فإنها لا تكشف إلا عن الحد الأدنى من بيانات العميل المطلوب كشفه تلبيةً للطلب.
      • التدابير التعاقدية. تقدم AWS عدة التزامات تعاقدية للتدابير الموضحة أعلاه والتي تنعكس في ملحق معالجة البيانات في AWS ‏(AWS DPA) والملحق التكميلي. يتضمن ملحق معالجة البيانات في AWS ‏(AWS DPA) والملحق التكميلي الالتزامات التعاقدية من AWS المتعلقة بما يلي (1) اختيار العميل لمناطق AWS التي يتم فيها تخزين بيانات العميل ومعالجتها، و(2) كل من التدابير الفنية والتنظيمية التي نفذتها AWS لحماية بنية AWS الأساسية والتدابير التنظيمية الفنية التي يختار العملاء تطبيقها لحماية بيانات عملائهم، و(3) تدابير AWS لحماية بيانات العميل وإبلاغ العميل في حالة طلب إحدى الهيئات الحكومية الكشف عن بياناته، و(4) قدرة AWS على الوفاء بالتزاماتها المنصوص عليها في ملحق معالجة البيانات في AWS ‏(AWS DPA) وفقًا للتشريعات المعمول بها في بلد آخر تتم فيه معالجة بيانات العميل. يتناول الملحق التكميلي أيضًا (5) الحقوق القانونية للأفراد للمطالبة بالتعويض في حالة انتهاك حقوقهم التي تنص عليها اللائحة العامة لحماية البيانات (GDPR).
  • نعم، تستخدم AWS ثلاثة أنواع من المعالجات الفرعية: (1) كيانات AWS التي توفر البنية الأساسية التي تعمل عليها خدمات AWS؛ و(2) كيانات AWS التي تدعم خدمات AWS معينة التي قد تتطلب من هذه الكيانات معالجة بيانات العملاء؛ و(3) الأطراف الخارجية التي تعاقدت معها AWS لتقديم أنشطة المعالجة لخدمات AWS معيّنة. تقدم صفحة المعالجات الفرعية في AWS على الويب مزيدًا من المعلومات حول المعالجات الفرعية التي تستخدمها AWS وفقًا لملحق معالجة البيانات في AWS ‏(AWS DPA) لتوفير أنشطة المعالجة على بيانات العملاء نيابةً عن العملاء. تعتمد المعالجات الفرعية ذات الصلة بالعميل الفردي على منطقة AWS التي يختارها العميل وخدمات AWS المعينة التي يستخدمها العميل.

  • يوفر مستند AWS الفني، استكشاف الامتثال لمتطلبات نقل البيانات في الاتحاد الأوروبي، معلومات عن الخدمات والموارد التي توفّرها AWS للعملاء لمساعدتهم في إجراء تقييمات نقل البيانات في ضوء حكم Schrems II، والتوصيات اللاحقة من مجلس حماية البيانات الأوروبي. يصف المستند الفني أيضًا التدابير التكميلية الرئيسة التي تم اتخاذها وإتاحتها بواسطة AWS لحماية بيانات العملاء.

  • تقدم AWS معلومات مفيدةً للعملاء، منها العديد من تقارير الامتثال المقدمة من مدققين تابعين إلى جهات خارجية، قاموا بالتحقق من امتثالنا لمجموعة متنوعة من المعايير واللوائح الخاصة بالأمان، لإثبات المستويات العالية من الامتثال الذي تحافظ عليه AWS لبنيتها الأساسية. إذ تُظهر هذه التقارير لعملائنا، أننا نحمي بيانات عملائهم التي اختاروا معالجتها على AWS. من الأمثلة على هذا امتثال AWS لـ ISO 27001، و27017، و27018. حيث يحتوي ISO 27018 على ضوابط أمان تركز على حماية بيانات العملاء.

    كما أن AWS تمتثل إلى مدونة قواعد سلوك CISPE الخاصة بحماية البيانات. يمكن العثور على مزيد من المعلومات حول مدونة قواعد السلوك الخاصة برابطة مقدّمي خدمات البنية الأساسية السحابية في أوروبا (CISPE) في السؤال الشائع أدناه، "هل تمتثل AWS لمدونة قواعد السلوك المعتمدة من اللائحة العامة لحماية البيانات (GDPR) في ما يخصّ خدمات البنية التحتية السحابية؟"

  • نعم. اعتبارًا من يونيو/حزيران 2023، كانت 107 من خدمات AWS متوافقة مع مدونة قواعد سلوك الخاصة بحماية بيانات مقدمي خدمات البنية التحتية السحابية في أوروبا (CISPE). CISPE هو ائتلاف من قادة الحوسبة السحابية يخدم ملايين العملاء الأوروبيين. مدوّنة قواعد سلوك CISPE المتعلقة بحماية البيانات (مدونة CISPE)؛ وهي أول مدونة قواعد سلوك لحماية البيانات لعموم أوروبا تركز على مقدمي خدمات البنية التحتية السحابية. تمت الموافقة على قانون CISPE من قبل المجلس الأوروبي لحماية البيانات، نيابةً عن سلطات حماية البيانات الـ 27 في جميع أنحاء أوروبا، وتم اعتماده رسميًا من قبل هيئة حماية البيانات الفرنسية (CNIL)، التي تعمل كسلطة إشرافية رائدة. عام 2017 أعلنت AWS امتثالها مع النسخ السابقة من مدونة CISPE.

    تساعد مدونة CISPE العملاء في التأكد من أن موفر خدمات البنية التحتية السحابية الخاص بهم يقدم الضمانات التشغيلية المناسبة التي تُثبت الامتثال إلى اللائحة العامة لحماية البيانات (GDPR) وتحمي بيانات العملاء. ومن المزايا الرئيسة لمدونة CISPE ما يلي:

    • التركيز على البنية التحتية السحابية: توضيح دور موفر خدمة البنية التحتية السحابية بموجب اللائحة العامة لحماية البيانات (GDPR) فيما يتعلق بمعالجة بيانات العملاء - بمعنى أي بيانات شخصية تتم معالجتها نيابةً عن العميل باستخدام خدمة البنية التحتية السحابية.
    • البيانات في أوروبا: تطلب من موفري خدمات البنية التحتية السحابية منح العملاء خيار تحديد الخدمات التي تخزن بيانات العملاء وتعالجها بالكامل داخل المنطقة الاقتصادية الأوروبية.
    • خصوصية البيانات: تضمن مدونة CISPE للمنظمات أن مقدمي خدمة البنية التحتية السحابية يلبون المتطلبات السارية على البيانات الشخصية المُعالجة نيابة عنهم (بيانات العميل) بموجب اللائحة العامة لحماية البيانات (GDPR).

    تتوفر شهادة الامتثال التي توضح حالة امتثال AWS في سجل CISPE العام. تم التحقق بشكل مستقل من خدمات AWS المدرجة باعتبارها متوافقة مع مدونة CISPE. تم إجراء عملية التحقق من قبل Ernst & Young CertifyPoint (EY CertifyPoint)، وهي هيئة مراقبة مستقلة ومعترف بها عالميًا ومعتمدة من CNIL.

التدابير الفنية والتنظيمية


  • اللائحة العامة لحماية البيانات (GDPR) لا تغيّر من نموذج المسؤولية المشتركة الذي تتّبعه AWS ، وسيظل ساريًا للعملاء. نموذج المسؤولية المشتركة هو نهج مفيد لتوضيح مسؤوليات AWS المختلفة (كمعالج بيانات أو معالج فرعي) والعملاء (كمتحكمين في البيانات أو معالجي بيانات) بموجب اللائحة العامة لحماية البيانات (GDPR).

    بموجب نموذج المسؤولية المشتركة، تتحمل AWS المسؤولية عن تأمين البنية التحتية الأساسية التي تدعم خدمات AWS ("أمان" السحابة ")، ويُعد العملاء الذين يعملون كمتحكمين في البيانات أو كمعالجي بيانات مسؤولين عن أي بيانات شخصية يقومون بتحميلها إلى خدمات AWS ("الأمان "في" السحابة").

    مسؤولية AWS "أمان السحابة" - تتحمل AWS المسؤولية عن حماية البنية التحتية العالمية التي تُشغِّل جميع خدمات AWS. تتألف هذه البنية التحتية من الأجهزة والبرامج والشبكات والمرافق التي تقوم بتشغيل خدمات AWS، والتي توفر الضوابط القوية للعملاء، بما في ذلك ضوابط تكوين الأمان، لمعالجة محتوى العملاء. توفر AWS العديد من تقارير الامتثال من جهات تدقيق خارجية التي تحققت من امتثالنا من خلال مجموعة متنوعة من معايير ولوائح أمان الكمبيوتر (للمزيد من المعلومات، تفضل بزيارة صفحة امتثال AWS على الويب). إذ تُظهر هذه التقارير لعملائنا، أننا نحمي بياناتهم عملائهم. من الأمثلة امتثال AWS لـ ISO 27001 و27017 و27018. حيث يحتوي ISO 27018 على ضوابط أمان تركز على حماية بيانات العملاء.

    مسؤولية العميل "الأمان في السحابة" - يتحمل عملاء AWS مسؤولية تصميم وتأمين التطبيق والحلول التي يختارون نشرها على خدمات AWS. يتحمل عملاء AWS أيضًا مسؤولية تكوين خدمات AWS بطريقة تحمي السرية والسلامة واحتياجات الأمان لبيانات عملائهم. تختلف المسؤوليات التي يضطلع بها العملاء لتأمين بيانات عملائهم بناءً على خدمات AWS التي يختار العملاء استخدامها وكيفية دمج هذه الخدمات في بيئات تكنولوجيا المعلومات الخاصة بالعملاء. يتمتع عملاء AWS بإمكانية الرؤية والتحكم في بيانات عملائهم ويمكنهم تنفيذ ضوابط أمان مرنة بناءً على حساسية نوع بيانات العملاء. يمكن للعملاء القيام بذلك من خلال استخدام تدابير وأدوات الأمان الخاصة بهم، أو باستخدام تدابير وأدوات الأمان التي توفرها AWS أو يوفرها الموردون الآخرون. بهذه الطريقة، يمكن للعملاء تنفيذ طبقات أمان إضافية لبيانات العملاء الأكثر حساسية.

    توفر AWS المنتجات والأدوات والخدمات التي يمكن للعملاء استخدامها في تصميم وتأمين تطبيقاتهم وحلولهم والتي يمكن نشرها للمساعدة في التعامل مع متطلبات اللائحة العامة لحماية البيانات (GDPR)، بما في ذلك:

    • تمكِّن AWS Identity and Access Management (IAM) المؤسسات من إدارة الوصول إلى خدمات وموارد AWS على نحو آمن. باستخدام IAM، يمكن للعملاء إنشاء مستخدمين ومجموعات في AWS وإدارتها، واستخدام الأذونات للسماح بالوصول إلى موارد AWS ورفضها أيضًا. IAM هي ميزة في حسابات AWS بدون أي رسوم إضافية.
    • تسمح AWS CloudTrail للمؤسسات بتسجيل المعلومات المتعلقة بنشاط الحساب ومراقبتها باستمرار والإبقاء عليها، ما يسهل عملية تحليل الأمان وتتبع تغيير الموارد واستكشاف الأخطاء وإصلاحها (يتم تمكين AWS CloudTrail على جميع حسابات AWS افتراضيًا).
    • Amazon GuardDuty هي خدمة مدارة للكشف عن التهديدات من شأنها إجراء المراقبة المستمرة للكشف عن السلوك الضار أو غير المصرح به للمساعدة في حماية حسابات وأعباء عمل حسابات AWS. وتقوم بالمراقبة للكشف عن أنشطة يمكنها الإشارة إلى اختراق حساب محتمل مثل استدعاءات واجهة برمجة التطبيقات غير العادية أو عمليات النشر المحتمل أنها غير مصرح بها التي تشير إلى إمكانية اختراق الحساب. وتكشف خدمة GuardDuty أيضًا عن المثيلات المحتمل تعرضها للاختراق أو عمليات الاستطلاع التي ينفذها المخترقون.
    • Amazon Macie أداة تعلم آلة تساعد في اكتشاف وتصنيف البيانات الشخصية المخزنة في Amazon S3.

    يُرجى الاطلاع على المستند الفني الخاص بنا، استكشاف امتثال اللائحة العامة لحماية البيانات (GDPR) على AWS، للحصول على مزيد من التفاصيل حول كيفية استخدام موارد AWS بما يتوافق مع اللائحة العامة لحماية البيانات (GDPR).

  • نعم، يمكنك البحث عن "اللائحة العامة لحماية البيانات (GDPR)" في باحث حلول شركاء AWS للمساعدة في العثور على بائعي البرمجيات المستقلين (ISVs) ومقدمي الخدمات المدارة (MSPs) وشركاء جهات تكامل الأنظمة (SI) الذين لديهم منتجات وخدمات للمساعدة في الامتثال إلى اللائحة العامة لحماية البيانات (GDPR). يمكن للعملاء أيضًا البحث عن حلول "اللائحة العامة لحماية البيانات (GDPR)" في AWS Marketplace.

  • نعم، يضطلع فريق ضمان الأمان في AWS ببعض الأنشطة التي تساعد العملاء في رحلتهم نحو الامتثال إلى اللائحة العامة لحماية البيانات (GDPR). إن هذا الفريق الذي يضم محترفي امتثال معتمدين في الصناعة يساعد العملاء على تحقيق وصيانة وأتمتة الامتثال في السحابة عن طريق الجمع بين معايير الامتثال المعمول بها وبين بعض ميزات ووظائف خدمة AWS. يمكن العثور على مزيد من التفاصيل حول كيفية مساعدة مستشاري خدمات AWS الاحترافية للعملاء هنا.

  • يستخدم العملاء AWS Support لتلقي التوجيه الفني لمساعدتهم في طريقهم نحو الامتثال إلى اللائحة العامة لحماية البيانات (GDPR). وكجزء من هذا النشاط، لدينا فِرق من مهندسي الدعم السحابي ومديري الحسابات الفنيين (TAMs) الذين تم تدريبهم للمساعدة في تحديد مخاطر الامتثال والتخفيف منها. يعتمد مستوى الدعم الذي تقدمه AWS على خطة AWS Support التي يختارها العملاء. إن العملاء الذين يسعون إلى فهم كيف يستطيع AWS Premium Support مساعدتهم في العثور على مزيد من المعلومات في AWS Support Center، المتاح من خلال وحدة إدارة تحكم AWS، من خلال استخدام تفاصيل جهة الاتصال المحددة في اتفاقية دعم المؤسسات المبرمة مع AWS، أو من خلال زيارة صفحة AWS Support على الويب. ويجب على العملاء المشتركين في Enterprise Support التواصل مع مدير الحساب الفني (TAM) لطرح الأسئلة المتعلقة باللائحة العامة لحماية البيانات (GDPR).

    قد يجد العملاء البرنامجين التاليين مفيدين أثناء سعيهم للامتثال إلى اللائحة العامة لحماية البيانات (GDPR):

    • مراجعة العمليات السحابية - متوفر لعملاء AWS Enterprise Support، وقد تم تصميم هذا البرنامج للمساعدة في تحديد الفجوات في نهجهم للعمل في السحابة. إذ ينشأ هذا البرنامج من مجموعة من أفضل الممارسات التشغيلية المستمدة من تجربة AWS مع مجموعة كبيرة من العملاء التمثيليين، ويوفر أيضًا مراجعة لعمليات السحابة وممارسات الإدارة المرتبطة بها، والتي يمكن أن تساعد الشركات في رحلتها نحو الامتثال للائحة العامة لحماية البيانات. ويستخدم البرنامج نهجًا من أربع ركائز مع التركيز على إعداد الأنظمة القائمة على السحابة ومراقبتها وتشغيلها وتحسينها في السعي لتحقيق التميز التشغيلي.
    • مراجعة Well-Architected - يتيح هذا البرنامج للمنظمات قياس بنيتها وفقًا لأفضل ممارسات AWS وإنشاء هياكل آمنة وموثوقة وعالية الأداء وفعالة من حيث التكلفة. إذ تتيح مراجعات Well-Architected للعملاء فهم مكمن المخاطر في بنيتهم ومعالجتها قبل إدخال التطبيقات في مرحلة الإنتاج.

  • تمتلك AWS إجراءات تختص بمراقبة حوادث الأمان وبإشعارات انتهاك البيانات وتقوم بإخطار العملاء بانتهاكات أمان AWS بدون أي تأخير غير مبرر ووفقًا لملحق معالجة البيانات في AWS ‏(AWS DPA). وتمنح AWS أيضًا العملاء عددًا من الأدوات لفهم من يمكنه الوصول إلى مواردهم، وتوقيت وصوله، ومكان وصوله. ومن بين هذه الأدوات AWS CloudTrail التي تتيح حوكمة حساب AWS وامتثاله والتدقيق التشغيلي له وتدقيق مخاطره. ومع AWS CloudTrail، يمكن للعملاء تسجيل نشاط الحساب فيما يتعلق بالإجراءات عبر البنية التحتية لخدمات AWS لديهم ومراقبته على نحو مستمر والإبقاء على المعلومات حياله. وهذا يساعد الشركات على استيعاب ما يحدث مع بنية AWS، ويتيح لها اتخاذ إجراء بشأن أي نشاط غير عادي على الفور. لمزيد من المعلومات حول أدوات الأمان الأخرى التي توفرها AWS للعملاء للمساعدة في الوفاء بالتزاماتهم كمتحكمين في البيانات بموجب اللائحة العامة لحماية البيانات (GDPR)، تفضل بزيارة صفحة أمان سحابة AWS على الويب.  

  • تمنح AWS العملاء وشركاء APN عددًا من الأدوات لتأمين بيانات عملائهم والمساعدة في الحماية من الهجمات الإلكترونية. إحدى هذه الأدوات هي AWS Shield. حيث إنها خدمة حماية مُدارة من هجمات منع الخدمة الموزعة (DDoS)، وهي خدمة تحمي مواقع الويب والتطبيقات التي تعمل على AWS. كما يتوفر المستوى القياسي من AWS Shield Standard بدون أي رسوم إضافية، حيث يوفر اكتشافًا دائمًا وعمليات تخفيف مضمنة تلقائية يمكنها تقليل وقت تعطل التطبيق وزمن الوصول. أما بالنسبة إلى المستويات الأعلى من الحماية ضد الهجمات التي تستهدف تطبيقات الويب التي تعمل على AWS وتستخدم موارد ELB، وAmazon CloudFront، وAmazon Route 53، يمكن للعملاء وشركاء APN الاشتراك في المستوى المتقدم من AWS Shield Advanced. تنشر AWS أيضًا وتحدِّث على نحو روتيني المستند "أفضل ممارسات AWS فيما يتعلق بمرونة مواجهة هجمات منع الخدمة الموزعة (DDoS)" الذي يساعد العملاء في استخدام AWS في بناء تطبيقات مرنة لهجمات منع الخدمة الموزعة (DDoS).

    وتشمل الأدوات الأخرى التي تمتلكها AWS لمساعدتها في حماية بيانات العملاء ضد الهجمات الإلكترونية ما يلي:

    • تمكِّن AWS Identity and Access Management (IAM) المؤسسات من إدارة الوصول إلى خدمات وموارد AWS على نحو آمن. باستخدام IAM، يمكن للعملاء وشركاء APN إنشاء مستخدمين ومجموعات في AWS وإدارتها، واستخدام الأذونات للسماح بالوصول إلى موارد AWS ورفضها أيضًا. IAM هي ميزة في حسابات AWS بدون أي رسوم إضافية.
    • تسمح AWS Config للعملاء وشركاء APN بتمكين القواعد المعدة مسبقًا والتي تساعد على ضمان أن موارد AWS الخاصة بهم في حالة مكوَّنة ومتوافقة على نحو صحيح.
    • تسمح AWS CloudTrail للمؤسسات بتسجيل المعلومات المتعلقة بنشاط الحساب ومراقبتها باستمرار والإبقاء عليها، ما يسهل عملية تحليل الأمان وتتبع تغيير الموارد واستكشاف الأخطاء وإصلاحها (يتم تمكين AWS CloudTrail على جميع حسابات AWS افتراضيًا).
    • Amazon GuardDuty هي خدمة مدارة للكشف عن التهديدات من شأنها إجراء المراقبة المستمرة للكشف عن السلوك الضار أو غير المصرح به للمساعدة في حماية حسابات وأعباء عمل حسابات AWS. وتقوم بالمراقبة للكشف عن أنشطة يمكنها الإشارة إلى اختراق حساب محتمل مثل استدعاءات واجهة برمجة التطبيقات غير العادية أو عمليات النشر المحتمل أنها غير مصرح بها التي تشير إلى إمكانية اختراق الحساب. وتكشف خدمة GuardDuty أيضًا عن المثيلات المحتمل تعرضها للاختراق أو عمليات الاستطلاع التي ينفذها المخترقون.
  • Amazon Macie هي خدمة خصوصية وأمان للبيانات مدارة بالكامل تستخدم تعلم الآلة ومطابقة الأنماط لاكتشاف بياناتك الشخصية في AWS وحمايتها. ونظرًا إلى أن المؤسسات تدير كميات متزايدة من البيانات، يمكن أن تصبح إجراءات التعرف على بياناتها الشخصية وحمايتها على نطاق واسع معقدة وباهظة الثمن ومضيعة للوقت بصورة متزايدة. تقوم خدمة Amazon Macie بأتمتة اكتشاف البيانات الشخصية على نطاق واسع وتعمل على خفض تكلفة توفير الحماية لبياناتك. وتوفر خدمة Macie حصرًا تلقائيًا لحاويات Amazon S3، بما في ذلك قائمة الحاويات غير المشفرة، والحاويات التي يمكن للجمهور العام الوصول إليها، والحاويات التي تتم مشاركتها مع حسابات AWS بخلاف تلك الحسابات التي اخترتها في AWS Organizations. وبعد ذلك، تطبق خدمة Macie تقنية تعلم الآلة وتقنية مطابقة الأنماط على الحاويات التي تحددها ليتم التعرف على البيانات الشخصية وتنبيهك بها.

    تم اعتماد Amazon Macie وفقًا للمعايير المُعترف بها دوليًا، مثل ISO 27017 لأمان السحابة، و ISO 27018 لخصوصية السحابة، ويمكن للعملاء وشركاء APN أيضًا استخدام Macie لمراقبة الوصول إلى بياناتهم باستمرار من أجل اكتشاف أي نشاط مشبوه بناءً على أنماط الوصول.

  • لمساعدة العملاء في الامتثال إلى اللائحة العامة لحماية البيانات (GDPR)، تمتلك AWS عددًا من الأدوات للتحكم في صلاحية الوصول إلى البيانات الشخصية المضمنة في محتواها على AWS. تتضمن هذه الأدوات:

    • يُقصد بالأمان الافتراضي أن خدمات AWS مصممة لتكون آمنة بشكل افتراضي. وإذا تم استخدام التكوين الافتراضي، فسيتم تأمين الوصول إلى الموارد لمالك الحساب والمسؤول الأساسي فقط.
    • تمكّنك AWS Identity and Access Management (IAM) العملاء من إدارة الوصول إلى خدمات وموارد AWS بشكل آمن. باستخدام IAM، يمكن للمؤسسات إنشاء مستخدمين ومجموعات في AWS وإدارتها، واستخدام الأذونات للسماح بالوصول إلى موارد AWS ورفضها. IAM هي ميزة في حسابات AWS بدون أي رسوم إضافية.
    • تضيف AWS Multi-Factor Authentication طبقةً إضافيةً من الحماية أعلى اسم المستخدم وكلمة المرور الخاصة بحساب AWS. وتوفر AWS للعملاء خيار أجهزة MFA الافتراضية وللآلات.
    • تسمح خدمة AWS Directory Service للعملاء بدمج أدلة الشركات وتوحيدها لتقليل النفقات الإدارية وتحسين تجربة المستخدم النهائي.
    • تسمح AWS Config للعملاء بتمكين القواعد المعدة مسبقًا والتي تساعد على ضمان أن موارد AWS الخاصة بهم في حالة مكوَّنة ومتوافقة على نحو صحيح.
    • تسمح AWS CloudTrail للعملاء بتسجيل المعلومات المتعلقة بنشاط الحساب فيما يتعلق بالإجراءات عبر بنية AWS الخاصة بهم ومراقبة هذه المعلومات باستمرار والإبقاء عليها، ما يسهل عملية تحليل الأمان وتتبع تغيير الموارد واستكشاف الأخطاء وإصلاحها (يتم تمكين AWS CloudTrail على جميع حسابات AWS افتراضيًا).
    • تستخدم Amazon Macie تعلم الآلة لمساعدة العملاء في تفادي فقد البيانات من خلال اكتشاف البيانات الحساسة في AWS وتصنيفها وحمايتها تلقائيًا. وتقوم هذه الخدمة المُدارة بالكامل بمراقبة نشاط الوصول إلى البيانات باستمرار لكشف أوجه الخلل، وتنشئ تنبيهات تفصيلية عند اكتشاف خطر وصول غير مصرح به أو تسريب غير مقصود في البيانات، مثل البيانات الحساسة التي جعلها العميل قابلة للوصول إليها خارجيًا عن طريق الخطأ.
       
  • توفر AWS للعملاء وشركاء APN إمكانية إضافة طبقة أمان إضافية إلى بيانات عملائهم في حالة عدم نشاطها في السحابة ومساعدتهم على الوفاء بالتزامات الأمان الخاصة بالمعالجة بصفتهم متحكمين في البيانات بموجب اللائحة العامة لحماية البيانات (GDPR). تشمل أدوات التشفير المتاحة في AWS ما يلي:

    • إمكانات تشفير البيانات المتوفرة في خدمات التخزين وقواعد البيانات المقدمة من AWS، مثل Amazon Elastic Block Store، وAmazon S3، وAmazon Glacier، وAmazon DynamoDB، وOracle RDS، وSQL Server RDS، وRedshift
    • خيارات مرنة لإدارة المفاتيح، تتضمن AWS Key Management Service، ما يسمح باختيار إما امتلاك إدارة AWS لمفاتيح التشفير أو تمكين التحكم الكامل في المفاتيح
    • قوائم انتظار الرسائل المشفرة لنقل البيانات الحساسة باستخدام التشفير من جانب الخادم (SSE) لخدمة Amazon SQS
    • تخزين المفاتيح القائم على الأجهزة للتوافق التنظيمي المخصص باستخدام AWS CloudHSM، ما يتيح تلبية متطلبات التوافق
     
    بالإضافة إلى ذلك، توفر AWS واجهات برمجة تطبيقات للعملاء وشركاء APN لدمج التشفير وحماية البيانات مع أي من الخدمات التي يقومون بتطويرها أو نشرها في بيئة AWS.
  • توفّر AWS ميزات وخدمات محددة تساعد العملاء على الوفاء بمتطلبات اللائحة العامة لحماية البيانات (GDPR):

    التحكم في الوصول: عدم السماح إلا للمسؤولين والمستخدمين المصرح لهم والتطبيقات المصرّح بها للوصول إلى موارد AWS

    • المصادقة متعددة العوامل (MFA)
    • الوصول بمستويات تفصيلية إلى العناصر الموجودة في حاويات Amazon S3/ Amazon SQS/ Amazon SNS وغيرها
    • مصادقة طلبات واجهة برمجة التطبيقات
    • القيود الجغرافية
    • رموز الوصول المؤقت المميزة من خلال AWS Security Token Service

    المراقبة والتسجيل: احصل على نظرة عامة عن الأنشطة الموجودة على موارد AWS الخاصة بك

    التشفير: تشفير البيانات على AWS

    • تشفير البيانات في وقت عدم النشاط من خلال AES256 (EBS/S3/Glacier/RDS)
    • خدمة إدارة مفاتيح مُدارة مركزيًا (حسب منطقة AWS)
    • الاتصالات النفقية IPsec إلى AWS من خلال بوابات VPN
    • وحدات HSM مخصصة في السحابة من خلال AWS CloudHSM

    إطار الامتثال القوي ومعايير الأمان: إننا نؤكد على امتثالنا للمعايير الدولية الصارمة، مثل:

AWS واللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR)


AWS وقانون حماية البيانات الفيدرالي السويسري


الاتصال


  • ونوصي أيضًا العملاء الذين لديهم أسئلة تتعلق باللائحة العامة لحماية البيانات (GDPR) الاتصال بمدير حساب AWS الخاص بهم أولًا. وإذا اشترك العملاء في Enterprise Support، فيمكنهم أيضًا التواصل مع مدير الحساب الفني (TAM). إذ يعمل مديرو الحساب المتخصصون (TAM) مع مصممي الحلول لمساعدة العملاء على تحديد المخاطر المحتملة وعمليات التخفيف المحتملة. ويمكن أيضًا لفرق مديري الحساب المتخصصين وفرق الحسابات توجيه العملاء وشركاء APN بموارد محددة بناءً على بيئتهم واحتياجاتهم.
     

    ولدى AWS أيضًا فرقٌ من ممثلي دعم الشركات Enterprise Support ومستشاري الخدمات الاحترافية وغيرهم من الموظفين للمساعدة في الإجابة عن الأسئلة المتعلقة باللائحة العامة لحماية البيانات (GDPR). يمكنك الاتصال بنا بشأن الأسئلة هنا.

هل لديك أي أسئلة؟ اتصل بممثل AWS لشؤون الأعمال التجارية
هل تريد التعرف على قواعد الامتثال؟
التقديم اليوم »
هل ترغب في الحصول على التحديثات الخاصة بالامتثال إلى AWS؟
تابعنا على تويتر »