Datenschutz in Mexiko
Übersicht
Das Bundesgesetz zum Schutz von personenbezogenen Daten, die durch nicht-öffentliche Stellen verwaltet werden, (LFPDPPP) wurde im Juli 2010 veröffentlicht und regelt die Verarbeitung von personenbezogenen Daten (definiert als alle Informationen, die eine identifizierte oder identifizierbare natürliche Person betreffen) durch natürliche oder juristische Personen des privaten Sektors. Der Kongress der Union Mexiko billigte anschließend verschiedene Verordnungen zum Datenschutz, darunter das allgemeine Gesetz zum Schutz von personenbezogenen Daten, die von Verpflichteten verwaltet werden, (LGPDPPSO), die die Verarbeitung von personenbezogenen Daten durch den öffentlichen Sektor regeln. Das Nationale Institut für Transparenz, Zugang zu Informationen und Schutz personenbezogener Daten (INAI) ist das autonome Verfassungsorgan Mexikos, das für die Sicherstellung der Einhaltung beider Gesetze und ihrer Verordnungen verantwortlich ist.
Für den privaten Sektor besagt Artikel 52 des LFPDPPP, dass Datenverantwortliche Services, Anwendungen und Infrastruktur in der Cloud nutzen dürfen, sofern der Cloud-Anbieter bestimmte Anforderungen, unter anderem in Bezug auf den Datenschutz von personenbezogenen Daten, erfüllt. Artikel 63 des LGPDPPSO beschreibt die gleiche Billigung für den öffentlichen Sektor.
AWS ist Ihre Privatsphäre und der Schutz Ihrer Daten sehr wichtig. Bei AWS beginnt Sicherheit bei unserer Kerninfrastruktur. Für die Cloud entwickelt und den strengsten Sicherheitsanforderungen der Welt angepasst, wird unsere Infrastruktur rund um die Uhr überwacht, um die Sicherheit, Integrität und Verfügbarkeit unserer Kundendaten sicherzustellen. Die gleichen renommierten Sicherheitsexperten, die diese Infrastruktur überwachen, sind auch für die Entwicklung und Verwaltung unserer breiten Auswahl an innovativen Sicherheitsservices verantwortlich, die Ihnen bei der Erfüllung Ihrer eigenen regulatorischen und Sicherheitsansprüche helfen. Als AWS-Kunde profitieren Sie unabhängig von Ihrer Größe und Ihrem Standort von unserer gesamten Expertise, die an den strengsten Sicherheitsprogrammen Dritter gemessen wird.
AWS implementiert und pflegt technische und organisatorische Sicherheitsmaßnahmen für Dienste in der AWS-Cloud-Infrastruktur unter weltweit anerkannten Sicherheitszertifizierungen und regulatorischen Frameworks, darunter, aber nicht beschränkt auf, ISO 27001, ISO 27017, ISO 27018, PCI DSS Level 1 und SOC 1, 2 und 3. Diese technischen und organisatorischen Sicherheitsmaßnahmen, die nicht autorisierten Zugriff oder die Offenlegung von Kundeninhalten verhindern, wurden von unabhängigen Prüfern validiert.
ISO 27018 beispielsweise ist der erste internationale Leitfaden für den Schutz personenbezogener Daten in der Cloud. Er basiert auf dem Informationssicherheitsstandard ISO 27002 und bietet eine Anleitung zur Anwendung von Kontrollen gemäß ISO 27002, die für persönlich identifizierbare Informationen (PII) gelten, die von öffentlichen Cloud-Dienstanbietern verarbeitet werden. AWS bietet Kunden somit ein System von Kontrollmechanismen, die sich speziell mit dem Datenschutz der Kundeninhalte beschäftigen.
Die technischen und organisatorischen Sicherheitsmaßnahmen von AWS sind konsistent mit den Bestimmungen des LFPDPPP und des LGPDPPSO zum Schutz personenbezogener Daten. Kunden, die AWS-Services verwenden, behalten die Kontrolle über ihre Inhalte und sind eigenverantwortlich für die Implementierung zusätzlicher, ihren Anforderungen angepasster Sicherheitsmaßnahmen, zu denen etwa die Inhaltsklassifizierung, Verschlüsselung, Zugriffsmanagement und Sicherheitsanmeldeinformationen zählen.
Da AWS nicht sehen kann, was für Inhalte Kunden in AWS speichern, etwa ob diese Inhalte dem LFPDPPP und dem LGPDPPSO unterliegen, tragen Kunden letztendlich selbst die Verantwortung für ihre Einhaltung. Diese Seite ist eine Ergänzung zu den bestehenden Datenschutz-Ressourcen. Die Informationen auf dieser Seite helfen Ihnen bei der Ausrichtung Ihrer Sicherheitsmaßnahmen an Ihre Anforderungen im Rahmen des AWS-Modells der geteilten Verantwortung, wenn Sie personenbezogene Daten in weltweit verteilten Rechenzentren verarbeiten.
Häufig gestellte Fragen
-
Kann ich AWS-Services nutzen und das LFPDPPP und das LGPDPPSO einhalten?
Ja. Alle AWS-Services können in Übereinstimmung mit dem LFPDPPP und dem LGPDPPSO genutzt werden, um mexikanische personenbezogene Daten zu speichern, einschließlich Probleme im Zusammenhang mit dem Löschen von Daten. Das bedeutet, dass Kunden nicht nur von all den Maßnahmen profitieren, die AWS bereits für die Sicherheit der Services ergreift, sondern auch AWS-Services als wesentlichen Bestandteil ihrer Pläne in Übereinstimmung mit dem LFPDPPP und dem LGPDPPSO implementieren können.
-
Welche Rolle übernimmt der Kunde beim Schutz seiner Inhalte?
Unter dem AWS-Modell der geteilten Verantwortung behalten AWS-Kunden die Kontrolle über die Sicherheitsmaßnahmen, die sie zum Schutz ihrer Inhalte, der Plattform, der Anwendungen, Systeme und Netzwerke einsetzen – genau so, wie es auch bei Anwendungen in einem Rechenzentrum in ihren eigenen Anlagen (On-Premises-Rechenzentrum) an der Fall wäre. Dabei können Kunden sich auf die technischen und organisatorischen Sicherheitsmaßnahmen und -kontrollen von AWS verlassen, um ihre eigenen Compliance-Anforderungen unter Kontrolle zu behalten. Kunden können auf gängige Sicherheitsmaßnahmen zum Schutz ihrer Daten zurückgreifen. Beispielsweise können sie neben AWS-Sicherheitsfunktionen wie AWS Identity and Access Management auch Methoden wie Verschlüsselung oder Multifaktor-Authentifizierung verwenden.
Der Kunde muss bei der Bewertung der Sicherheit einer Cloud-Lösung Folgendes verstehen und dazwischen unterscheiden können:
- Sicherheitsmaßnahmen, die AWS implementiert und betreibt – „Sicherheit der AWS Cloud“ – und
- Sicherheitsmaßnahmen, die von Kunden in Bezug auf die Sicherheit der Kundeninhalte und -anwendungen, welche AWS-Services nutzen, implementiert und betrieben werden – „Sicherheit der Kunden-Cloud“
-
Wer hat Zugriff auf Kundeninhalte?
Kunden sind weiterhin Eigentümer ihrer Inhalte und haben volle Kontrolle darüber. Sie wählen aus, durch welche AWS-Services ihre Inhalte verarbeitet, gespeichert und bereitgestellt werden. AWS hat keinen Einblick in die Inhalte seiner Kunden und greift auf diese Inhalte auch nicht zu und nutzt sie nicht, außer zum Zwecke der Bereitstellung der vom Kunden gewählten AWS-Services oder sofern zur Erfüllung eines Gesetzes oder einer bindenden Rechtsvorschrift erforderlich.
Kunden, die AWS-Services nutzen, behalten innerhalb der AWS-Umgebung die Kontrolle über ihre Inhalte. Kunden haben folgende Möglichkeiten:
- Sie können bestimmen, wo die Inhalte gespeichert werden, z. B. die Art der Speicherumgebung und den geografischen Standort des Speichers.
- Sie können das Format ihrer Inhalte steuern, z. B. Klartext, maskiert, anonymisiert oder verschlüsselt, indem sie das von AWS bereitgestellte Verschlüsselungsverfahren oder die Verschlüsselungstechnik eines frei gewählten Drittanbieters verwenden.
- Sie verwalten Zugriffssteuerungen, etwa Identitäts- und Zugriffsmanagement sowie Sicherheitsanmeldeinformationen.
- Sie können festlegen, ob TLS, Virtual Private Cloud und andere Maßnahmen für die Netzwerksicherheit eingesetzt werden, um unbefugte Zugriffe zu verhindern.
Dies gibt AWS-Kunden die Kontrolle über den gesamten Lebenszyklus ihrer Inhalte auf AWS und ermöglicht ihnen, ihre Inhalte entsprechend spezifischen Anforderungen zu verwalten, einschließlich Klassifizierung der Inhalte, Zugriffskontrolle, Aufbewahrung und Löschung.
-
Wo werden die Kundeninhalte gespeichert?
Durch die globale AWS-Infrastruktur können Sie ganz flexibel auswählen, wie und wo Sie Workloads ausführen möchten. Sie nutzen dann dasselbe AWS-Netzwerk, dieselbe AWS-Steuerebene, dieselben APIs und dieselben AWS-Services. Wenn Sie Ihre Anwendungen weltweit ausführen möchten, können Sie aus allen AWS-Regionen und Availability Zones auswählen. Als Kunde können Sie die AWS-Region(en) auswählen, in der/denen Ihre Inhalte gespeichert werden, sodass Sie die AWS-Services an einem Ort Ihrer Wahl entsprechend Ihren spezifischen geographischen Anforderungen implementieren können. Wenn beispielsweise ein AWS-Kunde in Australien seine Daten nur in diesem Land speichern möchte, kann er seine AWS-Services ausschließlich in der AWS-Region Asien-Pazifik (Sydney) implementieren. Weitere flexible Speicheroptionen finden Sie auf der AWS-Regionen-Webseite.
Sie können Ihre Kundeninhalte in mehr als einer AWS-Region replizieren und sichern. Wir werden Ihre Inhalte nicht ohne Ihre Zustimmung außerhalb der gewählten AWS-Regionen übertragen oder replizieren, es sei denn, dies ist erforderlich, um dem Gesetz oder der verbindlichen Anordnung einer Regierungsbehörde nachzukommen. Es muss jedoch beachtet werden, dass nicht alle AWS-Services in allen AWS-Regionen verfügbar sind. Weitere Informationen darüber, welche Services in den verschiedenen AWS-Regionen verfügbar sind, finden Sie auf der Webseite Regionale AWS-Services.
AWS-Rechenzentren sind verschiedenen Ländern weltweit in Gruppen verteilt. Jede dieser Rechenzentrumsgruppen wird als eine „Region“ bezeichnet.
AWS-Kunden wählen die AWS-Region(en), in der/denen ihre Inhalte gespeichert werden sollen. So können Kunden mit bestimmten geografischen Anforderungen Umgebungen am gewünschten Standort (oder auch an mehreren Standorten) einrichten.
Kunden können ihre Inhalte in mehrere Regionen replizieren und dort speichern. AWS verschiebt jedoch keine Kundeninhalte außerhalb der vom Kunden ausgewählten Region(en), außer um die vom Kunden beantragten Services bereitzustellen oder um Gesetze einzuhalten. -
Wie schützt AWS seine Rechenzentren?
Der AWS-Ansatz in Bezug auf die Sicherheit von Rechenzentren basiert auf skalierbaren Kontrollen und mehreren Schutzebenen, um die Informationen der Kunden zu schützen. So steuert AWS beispielsweise sorgsam mögliche Risiken durch Überschwemmungen und Erdbeben. Den Zugang zu unseren Rechenzentren kontrollieren wir durch physische Sicherheitsanlagen, Sicherheitskräfte, Bedrohungserkennungstechnologie und einen gründlichen Prüfungsprozess. Wir sichern unsere Systeme, testen Anlagen und Prozesse regelmäßig und schulen unser AWS-Personal laufend in Achtsamkeit vor dem Unerwarteten.
Zur Validierung unserer Rechenzentren führen externe Prüfer das gesamte Jahr hindurch Tests zu mehr als 2.600 Standards und Anforderungen durch. Mit dieser unabhängigen Überprüfung stellen wir sicher, dass Sicherheitsstandards erfüllt oder sogar übertroffen werden. Aus diesem Grund verlassen sich auch Organisationen in den weltweit am meisten regulierten Branchen darauf, dass ihre Daten bei AWS sicher sind.
Erfahren Sie mehr über unsere inhärenten Vorkehrungen zum Schutz unserer Rechenzentren in einer virtuellen Tour durch ein AWS-Rechenzentrum ». -
Welche AWS-Region kann ich nutzen?
Kunden können eine bestimmte Region, alle Regionen oder eine Kombination aus bestimmten Regionen, einschließlich Regionen in Brasilien und den USA, wählen. Eine vollständige Liste der AWS-Regionen finden Sie auf der Seite Globale AWS-Infrastruktur.