خصوصية البيانات في إندونيسيا
حماية بياناتك
إن كسب ثقة العملاء هو أساس عملنا في AWS، ونحن نعلم أنك تثق في أننا نحمي أهم أصولك وأكثرها حساسية؛ ألا وهي بياناتك. نكتسب هذه الثقة من خلال التعاون الوثيق معك لفهم احتياجاتك المتعلقة بحماية البيانات، ومن خلال تقديم مجموعة شامة من الخدمات والأدوات والخبرات التي تساعدك في حماية بياناتك. وللقيام بذلك، نوفر التدابير الفنية والتشغيلية والتعاقدية اللازمة لحماية بياناتك. مع AWS، يُمكنك إدارة عناصر التحكم في خصوصية بياناتك، والتحكم في كيفية استخدام بياناتك، والتحكم في مَنْ يمكنه الوصول إليها، وفي كيفية تشفيرها. ندعم هذه الإمكانات من خلال أكثر بيئات الحوسبة السحابية الحالية أمنًا ومرونةً.
التزاماتنا تجاهك
التحكم في البيانات
مع AWS، تتحكم في بياناتك من خلال خدمات وأدوات AWS القوية لتحديد مكان تخزين بياناتك، وكيفية تأمينها، ومَنْ يمكنه الوصول إليها. تُمكّنك خدمات مثل AWS Identity and Access Management (IAM) من إدارة الوصول إلى خدمات AWS ومواردها بشكل آمن. تُمكّنك AWS CloudTrail وAmazon Macie من الحوكمة والامتثال والاكتشاف والتدقيق بينما تُمكّنك AWS CloudHSM وAWS Key Management Service (KMS) من إنشاء مفاتيح التشفير وإدارتها بشكل آمن.
خصوصية البيانات
سيادة البيانات
يُمكنك اختيار تخزين بيانات العملاء في أي منطقة أو أكثر من مناطق AWS في جميع أنحاء العالم. يُمكنك أيضًا استخدام خدمات AWS مع الثقة في بقاء بيانات العميل في منطقة AWS التي تحددها. تشتمل مجموعة صغيرة من خدمات AWS على نقل البيانات، على سبيل المثال، لتطوير تلك الخدمات وتحسينها، أو الخدمات التي فيها يمكنك إلغاء اشتراك النقل، أو لأن النقل جزء أساسي من الخدمة (مثل خدمة تقديم المحتوى) . نحظر وصول موظفي AWS عن بُعد، وأنظمتنا مصممة لمنع ذلك، إلى بيانات العميل لأي غرض، بما في ذلك صيانة الخدمة ما لم تطلب أنت ذلك الوصول، أو ما لم يكن الوصول مطلوبًا لمنع الاحتيال وإساءة الاستخدام، أو للامتثال للقانون. إذا تلقينا طلبًا لإنفاذ القانون، فسنطعن في طلبات إنفاذ القانون التي تقدمها الهيئات الحكومية للحصول على بيانات العملاء، وذلك إذا كانت هذه الطلبات تتعارض مع القانون، أو مبالغًا فيها، أو عندما يكون لدينا أسباب مناسبة للقيام بذلك. نقدم أيضًا تقرير طلبات المعلومات كل ستة أشهر حيث يصف التقرير أنواع وعدد طلبات المعلومات التي تتلقاها AWS من جهات إنفاذ القانون.
الأمان
في AWS، الأمان هو أولويتنا القصوى والأمان في السحابة هو مسؤولية مشتركة بين AWS وعملائنا. موفرو الخدمات المالية، ومقدمو الرعاية الصحية، والوكالات الحكومية من بين عملائنا الذين يثقون بنا في حماية معلوماتهم الأكثر حساسية. يُمكنك تحسين قدرتك على تلبية متطلبات الأمان والسرية والامتثال الأساسية مع خدماتنا الشاملة، سواءً كان ذلك من خلال Amazon GuardDuty، أو نظام AWS Nitro؛ وهو المنصة الأساسية لمثيلات EC2. بالإضافة إلى ذلك، تتيح لك خدمات، مثل: AWS CloudHSM و AWS Key Management Service إنشاء مفاتيح التشفير وإدارتها بشكل آمن بينما توفر AWS Config و AWS CloudTrail إمكانات المراقبة والتسجيل للامتثال والتدقيق.
نظرة عامة
أصدرت إندونيسيا قانونها لحماية البيانات الشخصية (قانون جمهورية إندونيسيا رقم 27 لعام 2022) (قانون حماية البيانات الشخصية) في 17 أكتوبر/تشرين الأول 2022. يسري قانون حماية البيانات الشخصية (PDP) على الأشخاص المقيمين (1) في إندونيسيا؛ و(2) الأشخاص المقيمين خارج إندونيسيا إذا كانت تصرفاتهم لها عواقب قانونية في إندونيسيا أو على أصحاب بيانات إندونيسيين موجودين في الخارج.
يُفرّق قانون حماية البيانات الشخصية (PDP) بين المتحكِّم في البيانات ومعالج البيانات، ويسري على كل منهما التزامات مختلقة تتعلق بمعالجة البيانات. المتحكِّم في البيانات هو الشخص الذي يحدد أهداف معالجة البيانات الشخصية، ويتولى تنفيذ عملية المعالجة. أما معالِج البيانات فهو الشخص الذي يتولى معالجة البيانات بناءً على تعليمات منه. على مستوى رفيع، تشتمل بعض الالتزامات الرئيسية التي تنطبق على المتحكِّمين في البيانات على ما يلي:
- معالجة البيانات الشخصية وفقًا للأسس القانونية الخاصة بالمعالجة، بما في ذلك موافقة صاحب البيانات، والضرورة التعاقدية، والمصلحة المشروعة
- تنفيذ التدابير الأمنية المناسبة لحماية البيانات الشخصية من الإفصاح غير المصرَّح به
- الاستجابة لحقوق أصحاب البيانات، بما في ذلك حقوق الوصول إلى بياناتهم الشخصية وتصحيحها، وطلبات حذف بياناتهم الشخصية
- عدم نقل البيانات الشخصية خارج إندونيسيا إلا في حالة استيفاء شروط هذا النقل
بالنسبة لمعالجي البيانات، يتطلب قانون حماية البيانات الشخصية (PDP) معالجة بياناتهم الشخصية وفقًا لتعليمات المتحكِّم في البيانات. لا يتضمن قانون حماية البيانات الشخصية (PDP) أي متطلبات متعلقة بتوطين البيانات.
تظل لوائح حماية البيانات الشخصية الحالية، بما في ذلك قانون رقم 11 لعام 2008 بشأن المعاملات والمعلومات الإلكترونية،واللائحة الحكومية رقم 71 لعام 2019 بشأن تشغيل النظام الإلكتروني والمعاملات (اللائحة الحكومية رقم 71) (التي تم تعديلها إلى اللائحة الحكومية رقم 82 لعام 2012 بشأن تشغيل النظام الإلكتروني والمعاملات)، ولائحة وزير الاتصالات والمعلوماتية رقم 20 لعام 2016 بشأن حماية البيانات الشخصية في النظام الإلكتروني (اللائحة الوزارية رقم 20) ساريةً إلى الحد الذي لا تتعارض فيه مع قانون حماية البيانات الشخصية (PDP).
تتعامل AWS بكل حذر مع خصوصيتك وأمان بياناتك. إنّ الأمان في AWS يبدأ من خلال البنية التحتية الأساسية الخاصة بنا. لقد تم إنشاء البنية التحتية الخاصة بنا بصورة مخصصة للسحابة وتم تصميمها لتلبية أكثر متطلبات الأمان صرامةً في العالم، وتتم مراقبتها على مدار الساعة للمساعدة في ضمان سرية وسلامة وتوافر بيانات العملاء لدينا. ويقوم نفس خبراء الأمان من المستوى العالمي لدينا والذين يراقبون هذه البنية التحتية كذلك ببناء مجموعة الخدمات الأمنية الإبداعية واسعة النطاق لدينا والحفاظ عليها، مما يمكن أن يساعدك على تبسيط سبل الوفاء بمتطلبات الأمان الخاصة بك والمتطلبات التنظيمية المفروضة عليك. وبصفتك أحد عملاء AWS، وبغض النظر عن حجم نشاطك أو موقعك، فإنك تستمتع بكل المزايا التي تتحقق من خلال الخبرة التي نتمتع بها، والتي تم اختبارها وفقًا لأطر العمل الأكثر صرامةً الخاصة بضمان كفاءة الأطراف الخارجية.
تقوم AWS بتنفيذ الإجراءات الأمنية التقنية والمؤسسية السارية على خدمات البنية الأساسية لسحابة AWS والحفاظ عليها في ظل أطر عمل وشهادات اعتماد معترف بها علميًا لضمان الأمان، بما في ذلك ISO 27001، وISO 27017، وISO 27018، وISO 27701، وISO 22301، وPCI DSS المستوى 1، وSOC 1 و2 و3. ويتم التحقق من تلك الإجراءات الأمنية التقنية والمؤسسية من خلال مسؤولي تقييم تابعين لأطراف خارجية مستقلة، وقد تم تصميمها لتحول دون الوصول غير المصرح به إلى المحتوى الخاص بالعملاء أو الكشف عنه.
على سبيل المثال، يعد معيار ISO 27018 بمثابة قانون الممارسة الدولي الأول الذي يركّز على حماية البيانات الشخصية في السحابة. وهو يعتمد على معيار أمان المعلومات الدولي ISO رقم 27002، كما أنه يوفر توجيهات تنفيذية بشأن ضوابط ISO 27002 السارية على المعلومات التي تحدد الهوية (PII) التي تتم معالجتها من خلال مقدمي الخدمات السحابية العموميين. ويبين ذلك للعملاء أن AWS تطبقّ نظامًا من الضوابط يتعامل بشكل خاص مع حماية خصوصية محتواهم.
وتتسق إجراءات AWS الفنية والمؤسسية الشاملة تلك مع الأهداف التنظيمية المتعارف عليها لحماية البيانات الشخصية. يتولى العملاء الذين يستخدمون خدمات AWS مهمة التحكم في المحتوى الخاص بهم، وهم مسؤولون عن تنفيذ الإجراءات الأمنية الإضافية اعتمادًا على الاحتياجات المحددة الخاصة بهم، بما في ذلك تصنيف المحتوى وتشفيره وإدارة الوصول إليه وكذلك بيانات اعتماد الأمان الخاصة به.
وبما أن AWS لا ترى ما يقوم العملاء بتحميله على الشبكة التابعة لها كما أنها لا تعلم به، بما في ذلك ما إذا كانت البيانات تعتبر خاضعةً لقانون حماية البيانات الشخصية (PDP) أم لا، فإن المسؤولية المطلقة تقع على عاتق العملاء فيما يتعلق بالتأكد من التزامهم بحماية البيانات الشخصية (PDP) واللوائح ذات الصلة. تُكمل المحتويات الموجودة في هذه الصفحة موارد خصوصية البيانات الموجودة بهدف مساعدتك على موائمة المتطلبات الخاصة بك مع نموذج المسؤولية المشتركة لدى AWS عندما تقوم بمعالجة البيانات الشخصية وتخزينها باستخدام خدمات AWS.
-
ما دور العميل في تأمين المحتويات الخاصة به؟
بموجب نموذج المسؤولية المشتركة لدى AWS، يحتفظ عملاء AWS بالسيطرة على المعايير الأمنية التي يختارون تنفيذها من أجل حماية المحتويات والأنظمة الأساسية والتطبيقات والأنظمة والشبكات الخاصة بهم، بشكل لا يختلف عما كانوا سوف يقومون بعمله فيما يتعلق بالتطبيقات السارية في مراكز البيانات الموجودة في الموقع. يمكن أن يقوم العملاء بالبناء على الإجراءات والضوابط الأمنية التقنية والمؤسسية التي توفرها AWS من أجل إدارة متطلبات الالتزام الخاصة بهم. يمكن أن يستخدم العملاء الموارد المألوفة لحماية البيانات الخاصة بهم، مثل التشفير والمصادقة متعددة العوامل، بالإضافة إلى سمات أمان AWS مثل AWS Identity and Access Management.
عند تقييم مدى أمان حل السحابة، من المهم بالنسبة للعملاء فهم ما يلي والتمييز بينه:
- الإجراءات الأمنية التي تقوم AWS بتنفيذها وتشغيلها - "أمان السحابة"، و
- الإجراءات الأمنية التي يقوم العملاء بتنفيذها وتشغيلها، والمتعلقة بأمان محتويات وتطبيقات العملاء الخاصة بهم والتي تستفيد من خدمات AWS، "الأمان في السحابة"
-
من الذي يمكنه الوصول إلى محتويات العملاء؟
يحظى العملاء بملكية محتويات العملاء الخاصة بهم ويسيطرون عليها، كما أنهم يحددون خدمات AWS التي تقوم بمعالجة محتويات العملاء الخاصة بهم وتخزينها واستضافتها. لا تتاح لشركة AWS إمكانية رؤية محتويات العملاء، كما أنه لا يتاح لها إمكانية الوصول إلى محتويات العملاء أو استخدامها إلا من أجل توفير خدمات AWS المحددة من جانب العملاء أو عندما يكون ذلك ضروريًا من أجل الالتزام بمتطلبات القانون أو الأوامر القانونية الملزمة.
يسيطر العملاء الذين يستخدمون خدمات AWS على المحتويات الخاصة بهم داخل بيئة AWS. حيث يمكنهم:
- تحديد الموقع الذي سوف تتواجد به، على سبيل المثال، نوع بيئة التخزين والموقع الجغرافي لذلك التخزين.
- السيطرة على تنسيق ذلك المحتوى، على سبيل المثال ظهوره من خلال نص بسيط أو إخفائه أو إخفاء هويته أو تشفيره، باستخدام إما آلية التشفير التي توفرها AWS أو آلية تشفير تابعة لطرف خارجي من اختيار العميل.
- إدارة الضوابط الأخرى الخاصة بإمكانية الوصول، مثل إدارة الوصول إلى الهوية وبيانات اعتماد الأمان.
- التحكم في اتخاذ قرار بشأن استخدام SSL والسحابة الخاصة الافتراضية وغير ذلك من إجراءات أمان الشبكات لمنع الوصول غير المصرح به.
ويسمح ذلك لعملاء AWS التحكم في دورة الحياة الكاملة للمحتويات الخاصة بهم على AWS بالإضافة إلى إدارة المحتويات بما يتوافق مع الاحتياجات المحددة الخاصة بهم، بما في ذلك تصنيف المحتويات والتحكم في الوصول إليها والاحتفاظ بها وحذفها.
-
أين سيتم تخزين محتويات العملاء؟
يتم بناء مراكز بيانات AWS في شكل مجموعات في مواقع متنوعة في مختلف أرجاء العالم. نشير إلى كل مجموعة من مجموعات مراكز البيانات الخاصة بنا في موقع معين باسم "المنطقة".
ويختار عملاء AWS منطقة (مناطق) AWS حيث سيتم تخزين المحتوى الخاص بهم. ويتيح ذلك للعملاء من ذوي المتطلبات الجغرافية المحددة إنشاء البيئات في الموقع (المواقع) من اختيارهم.
يمكن أن يقوم العملاء بنسخ المحتوى وعمل نسخ احتياطية منه في أكثر من منطقة واحدة، لكن AWS لا تنقل محتوى العملاء خارج نطاق المنطقة (المناطق) التي اختارها العميل، إلا من أجل توفير الخدمات المطلوبة من جانب العملاء أو من أجل الامتثال للقوانين السارية.
-
كيف تقوم AWS بتأمين مراكز البيانات الخاصة بها؟
يتم تجميع إستراتيجية أمان مركز بيانات AWS من خلال ضوابط أمان قابلة للتكيف وطبقات دفاعية متعددة، والتي تساعد على حماية المعلومات الخاصة بك. على سبيل المثال، تقوم AWS بإدارة مخاطر الفيضانات والأنشطة الزلزالية المحتملة بكل عناية. ونحن نستخدم حواجز مادية وحراس أمن وتقنية اكتشاف المخاطر بالإضافة إلى عملية فحص متعمقة من أجل الحد من الوصول إلى مراكز البيانات. ونقوم بعمل نسخ احتياطية للأنظمة الخاصة بنا، ونقوم باختبار المعدات والعمليات بشكلٍ منتظم، ونقوم بتدريب موظفي AWS لكي يكونوا على أهبة الاستعداد لكل ما هو غير متوقع.
للتحقق من أمان مراكز البيانات الخاصة بنا، يقوم المراجعون الخارجيون بإجراء الاختبارات على ما يزيد عن 2600 من المعايير والمتطلبات طوال العام. ويساعد هذا الفحص المستقل على ضمان الوفاء بمعايير الأمان أو تجاوزها بصفة مستمرة ودائمة. ونتيجة لذلك، فإن المؤسسات الأكثر تنظيمًا في العالم تثق في AWS فيما يتعلق بحماية البيانات الخاصة بها.
تعرّف على المزيد من المعلومات حول كيفية قيامنا بتأمين مراكز بيانات AWS من خلال تصميمها عبر أخذ جولة افتراضية »
-
ما مناطق AWS التي يمكنني استخدامها؟
يمكن أن يختار العملاء استخدام أية منطقة أو كل المناطق أو أي مجموعة محددة من المناطق. تفضل بزيارة صفحة البنية التحتية العالمية لـAWS للاطلاع على قائمة كاملة لمناطق AWS.
-
ما إجراءات الأمان التي تطبقها AWS من أجل حماية الأنظمة؟
تم تصميم بنية سحابة AWS التحتية لتكون واحدة من أكثر بيئات الحوسبة السحابية المتاحة الحالية أمنًا ومرونة. ويسمح نطاق أمازون بتوجيه المزيد من الاستثمارات الكبيرة نحو وضع سياسات الأمان والإجراءات المضادة عما يمكن أن تتحمله أية شركة كبيرة تقريبًا بمفردها. تتألف هذه البنية التحتية من الأجهزة والبرامج والشبكات والمنشآت التي تُشغَِّل خدمات AWS، والتي توفر عناصر التحكم القوية للعملاء وشركاء APN، بما في ذلك عناصر التحكم في تكوين الأمان، من أجل التعامل مع البيانات الشخصية.
كما توفر AWS كذلك العديد من تقارير الامتثال من المدققين التابعين لأطراف خارجية الذين قاموا باختبار امتثالنا بمجموعة متنوعة من معايير ولوائح الأمان وتحققوا من ذلك، بما في ذلك ISO 27001 وISO 27017 وISO 27018. من أجل توفير الشفافية بشأن فاعلية هذه الإجراءات، فإننا نوفر الوصول إلى تقارير التدقيق الصادرة عن أطراف خارجية في AWS Artifact. تبين هذه التقارير لعملائنا وشركاء APN لدينا، والذين يمكن أن يقوموا إما بدور مراقبي البيانات أو معالجي البيانات، أننا نقوم بحماية البنية التحتية الأساسية التي يقومون بتخزين ومعالجة البيانات الشخصية عليها. للحصول على المزيد من المعلومات، قم بزيارة موارد الالتزام الخاصة بنا.