亚马逊AWS官方博客

AWS 服务达到了 GDPR 的要求

今天,我很高兴地宣布,AWS 服务达到了《通用数据保护条例》(General Data Protection Regulation,GDPR) 的要求。这意味着,客户不仅可以受益于 AWS 目前为了维护服务安全采取的所有措施,还可以将 AWS 服务作为 GDPR 合规性计划的重要部分进行部署。本公告证实我们已经全面完成了 GDPR 服务就绪度审核,证明所有的常用服务和功能都符合 GDPR 针对数据处理商制定的严格的隐私和数据保护标准。为了让客户和 APN 合作伙伴安心在我们提供的环境中构建符合 GDPR 要求的产品、服务和解决方案,我们在执行截止日期 (2018 年 5 月 25 日) 之前提前两个月完成了这项工作。让 AWS 服务达到 GDPR 要求只是我们工作的一个方面;我们将继续与客户及 AWS 合作伙伴网络 (APN) 合作,帮助他们实现 GDPR 合规性。借这次发布公告的机会,我想重点说明 AWS 助您加速实现 GDPR 合规性的部分途径。

个人数据安全性

在我们进行 GDPR 服务就绪度审核过程中,我们的安全性和合规性专家确认,AWS 采取了有效的技术和组织措施,可以帮助数据处理商根据 GDPR 的要求为个人数据提供安全保护。安全问题一直是我们工作的重中之重,我们不断创新,致力于在全球业务范围内建立严格的安全性和合规性标准。我们行业领先的功能是我们获得无数国际认可的认证和资格鉴定的基础,证明我们符合严格的国际标准,例如,技术措施方面的 ISO 27001、云安全性方面的 ISO 27017、云隐私方面的 ISO 27018、SOC 1、SOC 2 及 SOC 3、PCI DSS 1 级,以及 BSI 的 Common Cloud Computing Controls Catalogue (C5) 等面向欧洲地区的认证。AWS 会继续获取更多对客户有帮助的认证。

合规服务

GDPR 许多要求的重心都是确保有效控制和保护个人数据。AWS 服务提供的功能可让您以自己所需的方式实施安全措施及各类具体措施,助您实现 GDPR 合规性,部分措施示例如下:

  • 个人数据加密
  • 能够持续确保处理系统和服务的机密性、完整性、可用性和弹性
  • 在出现物理或技术事故时,能够及时恢复可用性和个人数据访问
  • 提供定期测试和评估技术及组织措施有效性的流程,确保安全处理

这是一组高级安全性和合规性服务,专门为了帮助客户满足 GDPR 要求而打造。许多 AWS 服务都对致力于实现 GDPR 合规性的客户具有重要意义,其中包括:

  • Amazon GuardDuty – 提供智能威胁检测和持续监控功能的安全服务
  • Amazon Macie – 有助于发现 Amazon S3 中存储的个人数据和确保数据安全的 Machine Learning 工具
  • Amazon Inspector – 有助于确保应用程序符合最佳安全实践的自动化安全评估服务
  • AWS Config 规则 – 动态检查云资源是否符合安全规则的监控服务

此外,我们还专门针对此主题发布了一个白皮书:“Navigating GDPR Compliance on AWS”(在 AWS 上实现 GDPR 合规性)。此白皮书详细说明了 GDPR 概念与特定 AWS 服务 (包括与监控、数据访问和密钥管理有关的服务) 的关系。另外,我们的 GDPR 中心还提供了应对 GDPR 要求所需的最新资源,为您满足要求提供直接支持。

符合要求的 DPA

我们提供符合 GDPR 要求的数据处理附件 (DPA),帮助您履行 GDPR 合约义务。

符合行为准则

GDPR 引入了遵守“行为准则”机制,充分保障数据处理商遵守 GDPR 对其提出的要求。我们之前就是在这一背景下宣布达到了 CISPE 行为准则的要求。CISPE 行为准则为客户提供了另外一重保障,让其可以在使用 AWS 等提供商提供的服务时,在安全合规的环境中实现对自己数据的完全控制。如需了解有关 CISPE 行为准则的更多信息,请访问:https://aws.amazon.com/compliance/cispe/

培训和峰会

我们的专业服务团队会就使用 AWS 服务实现 GDPR 合规性为您提供培训。该团队将举办 GDPR 研讨会,这次为期两天的促进会议将针对您的具体需求和遇到的困难提供解决方案。在欧洲国家/地区、旧金山和东京举行 AWS 峰会期间,我们也会提供与 GDPR 相关的演示。

其他资源

我们有合规性、数据保护和安全专家团队以及 APN,可以帮助全欧洲的客户在 GDPR 开始实施前,为在云中运行符合规定的工作负载做好准备。有关此方面的其他信息,请联系您的 AWS 客户经理。

在 5 月 25 日前后,我们还会发布一系列博客文章,深入探讨与 GDPR 有关的概念以及 AWS 提供的帮助。如需了解更多信息,请访问我们的 GDPR 中心 。我们非常开心可以与您携手达成这一重要条例的要求。

– Chad Woolf

AWS 安全保障部副总裁

对其他 AWS 安全性方面的新闻感兴趣?在 Twitter 上关注 AWS 安全性方面的博客。