ศูนย์ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR)
การปฏิบัติตามข้อกำหนดของ GDPR เมื่อใช้บริการของ AWS
ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) แห่งสหภาพยุโรปทำหน้าที่ปกป้องสิทธิพื้นฐานในด้านความเป็นส่วนตัวและการปกป้องข้อมูลส่วนบุคคลของสหภาพยุโรป (EU) GDPR ประกอบด้วยข้อกำหนดสำคัญที่จะช่วยยกระดับและสร้างประสานรวมมาตรฐานต่างๆ เพื่อการปกป้องข้อมูล ความปลอดภัย และการปฏิบัติตามข้อกำหนด โปรดตรวจสอบข้อมูลเพิ่มเติมได้ที่คำถามที่พบบ่อยเกี่ยวกับ GDPR ด้านล่าง
ลูกค้า AWS สามารถใช้บริการของ AWS เพื่อประมวลผลข้อมูลส่วนบุคคล (ตามที่กำหนดไว้ใน GDPR) ซึ่งอัปโหลดไปยังบริการของ AWS ภายใต้บัญชี AWS (ข้อมูลลูกค้า) ในการปฏิบัติตามข้อกำหนดของ GDPR นอกจากนี้ในด้านการปฏิบัติตามข้อกำหนดของเรา AWS มุ่งมั่นที่จะให้บริการและมอบทรัพยากรแก่ลูกค้าของเราเพื่อช่วยให้ลูกค้าปฏิบัติตามข้อกำหนด GDPR ซึ่งอาจมีผลบังคับใช้กับกิจการของพวกเขาได้ ฟีเจอร์ใหม่จะมีการเปิดตัวเป็นประจำ และ AWS ก็มีฟีเจอร์และบริการมากกว่า 500 รายการที่มุ่งเน้นเรื่องความปลอดภัยและการปฏิบัติตามข้อกำหนด อ่านบล็อก วิธีที่ AWS ช่วยให้ลูกค้าในสหภาพยุโรปดำเนินการด้านการคุ้มครองข้อมูลรูปแบบใหม่ในสถานการณ์ปัจจุบันเพื่อดูเพิ่มเติมว่า AWS กำลังทำอะไร
สิ่งที่สำคัญ
การควบคุมของลูกค้า
ลูกค้ามีสิทธิ์ควบคุมข้อมูลของตนเอง AWS ช่วยให้ลูกค้าทำสิ่งต่อไปนี้ได้
- กำหนดได้ว่าจะเก็บข้อมูลของลูกค้าเองไว้ที่ใด รวมทั้งประเภทของพื้นที่จัดเก็บและ Region ทางภูมิศาสตร์ของภูมิภาคของพื้นที่จัดเก็บนั้น
- เลือกสถานะที่ปลอดภัยของข้อมูลของตนเอง เรามีการเข้ารหัสที่มีประสิทธิภาพสูงสำหรับข้อมูลของลูกค้าในระหว่างส่งและจัดเก็บ และเราให้ตัวเลือกกับลูกค้าในการจัดการคีย์การเข้ารหัสด้วย
- จัดการการเข้าถึงข้อมูลของลูกค้าเองและการเข้าถึงบริการและทรัพยากรของ AWS ผ่านผู้ใช้ กลุ่ม สิทธิ์ และข้อมูลประจำตัวที่ลูกค้าควบคุม
การถ่ายโอนภายนอกเขตเศรษฐกิจยุโรป (EEA)
ลูกค้า AWS สามารถใช้บริการของ AWS ต่อไปเพื่อถ่ายโอนข้อมูลตนเองจาก EEA ไปยังประเทศที่อยู่นอก EEA ซึ่งไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป (รวมถึงสหรัฐอเมริกา) โดยเป็นไปตาม GDPR ที่ AWS สิ่งสำคัญที่สุดคือการรักษาความปลอดภัยให้กับข้อมูลของลูกค้า และเราได้นำมาตรการด้านเทคนิคและด้านองค์กรที่เข้มงวดมาใช้เพื่อคุ้มครองการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล ไม่ว่าลูกค้าจะเลือก AWS Region ใดก็ตาม เราทราบดีว่าความโปร่งใสนั้นสำคัญกับลูกค้าของเรา เราระบุบริการของ AWS ที่มีการถ่ายโอนข้อมูลของลูกค้าไว้ในหน้าเว็บฟีเจอร์ด้านความเป็นส่วนตัวของเรา
ในขณะที่ขอบเขตด้านระเบียบบังคับและกฎหมายพัฒนาขึ้นเรื่อยๆ เราก็จะยังมุ่งทำงานเพื่อดูแลให้ลูกค้าได้รับประโยชน์จากบริการของ AWS ต่อไปได้เสมอ ไม่ว่าลูกค้าจะดำเนินงานที่ใด โปรดดูข้อมูลเพิ่มเติมได้ที่การอัปเดตถึงลูกค้าเกี่ยวกับการคุ้มครองความเป็นส่วนตัวในการโอนข้อมูลระหว่างสหภาพยุโรปกับสหรัฐอเมริกา และบล็อกโพสต์ของเราเกี่ยวกับบทเสริมภาคผนวกการประมวลผลข้อมูลของ AWS และหลักจรรยาบรรณในการคุ้มครองข้อมูลของ CISPE สำหรับข้อมูลเพิ่มเติม
ภาพรวมและข้อมูลพื้นฐานเกี่ยวกับ GDPR
เปิดทั้งหมด-
ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR) คือกฎหมายด้านความเป็นส่วนตัวแห่งชาติยุโรปซึ่งมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018 GDPR เข้ามาแทนที่ EU Data Protection Directive หรือเรียกอีกอย่างว่า Directive 95/46/EC โดยมีจุดมุ่งหมายเพื่อประสานกฎหมายคุ้มครองข้อมูลทั่วทั้งสหภาพยุโรป (EU) ให้กลายเป็นหนึ่งเดียวโดยการใช้กฎหมายคุ้มครองข้อมูลซึ่งผูกพันครอบคลุมทุกประเทศสมาชิก
-
GDPR มีผลกับองค์กรทุกรูปแบบที่จัดตั้งขึ้นในสหภาพยุโรปและองค์กรอื่นๆ ที่ไม่ว่าจะจัดตั้งขึ้นในสหภาพยุโรปหรือไม่ก็ตาม ซึ่งมีการประมวลผลข้อมูลส่วนบุคคลของผู้ที่อยู่ในสหภาพยุโรปซึ่งเกี่ยวข้องกับการเสนอสินค้าหรือไม่ก็บริการไปยังเจ้าของข้อมูลที่อยู่ในสหภาพยุโรป หรือเกี่ยวกับการเฝ้าติดตามพฤติกรรมซึ่งเกิดขึ้นในสหภาพยุโรป ข้อมูลส่วนบุคคลคือข้อมูลใดๆ ก็ตามที่เกี่ยวข้องกับบุคคลที่ได้รับการระบุตัวตนหรือบุคคลธรรมดาที่สามารถระบุตัวตนได้ รวมถึงชื่อ อีเมล และหมายเลขโทรศัพท์
-
AWS ทำหน้าที่เป็นทั้งผู้ประมวลผลข้อมูลและผู้ควบคุมข้อมูลภายใต้ GDPR
-
SCC เป็นกลไกการถ่ายโอนข้อมูลที่ได้รับการอนุมัติล่วงหน้าภายใต้ GDPR ซึ่งมีผลบังคับใช้ในประเทศสมาชิกสหภาพยุโรปทั้งหมด โดย SCC จะทำให้สามารถถ่ายโอนข้อมูลส่วนบุคคลไปยังประเทศที่อยู่นอกเขตเศรษฐกิจยุโรปซึ่งไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป (ประเทศภายนอก) ได้อย่างถูกกฎหมาย
-
ข้อกำหนดการให้บริการของ AWS ประกอบด้วย SCC ที่คณะกรรมาธิการยุโรป (EC) ลงมติในเดือนมิถุนายน 2021 และ AWS DPA ยืนยันว่าจะดำเนินการตาม SCC โดยอัตโนมัติทุกครั้งที่ลูกค้าของ AWS ใช้บริการของ AWS เพื่อถ่ายโอนข้อมูลของลูกค้าไปยังประเทศภายนอกเขตเศรษฐกิจยุโรปซึ่งไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป (ประเทศภายนอก) ตามข้อกำหนดการให้บริการของ AWS นั้น SCC ใหม่จะมีผลบังคับใช้โดยอัตโนมัติทุกครั้งที่ลูกค้าใช้บริการของ AWS เพื่อถ่ายโอนข้อมูลของลูกค้าไปยังประเทศภายนอก ลูกค้าบางรายที่ได้ลงนามใน AWS DPA ยังสามารถใช้ AWS DPA ดังกล่าวต่อไปได้ เนื่องจาก SCC ใหม่ในข้อกำหนดการให้บริการของ AWS จะมาแทนที่ SCC เวอร์ชันก่อนหน้า ดังนั้นลูกค้าจึงสบายใจได้ว่าข้อมูลของลูกค้าที่ถูกถ่ายโอนไปยังประเทศภายนอกโดยใช้บริการของ AWS จะได้รับการคุ้มครองสูงในระดับเดียวกันกับข้อมูลของลูกค้าที่ได้รับในเขตเศรษฐกิจยุโรป สามารถดูข้อมูลเพิ่มเติมได้ที่บล็อกโพสต์เกี่ยวกับการบังคับใช้เงื่อนไขสัญญามาตรฐานใหม่
การปฏิบัติตามข้อกำหนดของ AWS และ GDPR หลังจากการสั่ง Schrems II และคำแนะนำของ EDPB
เปิดทั้งหมด-
ในวันที่ 16 กรกฎาคม 2020 ศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) ออกคำสั่งว่าด้วยการถ่ายโอนข้อมูลส่วนบุคคลของผู้ที่อยู่ในสหภาพยุโรปภายนอก EEA (Schrems II) ใน Schrems II นี้ CJEU ออกคำสั่งว่าการคุ้มครองความเป็นส่วนตัวในการโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกานั้น ไม่ใช่กลไกที่ถูกต้องสำหรับการถ่ายโอนข้อมูลส่วนบุคคลจาก EEA ไปยังสหรัฐฯ อีกต่อไป อย่างไรก็ตาม CJEU ยืนยันในคำสั่งเดียวกันว่าบริษัทต่างๆ สามารถ (ภายใต้มาตรการเสริมที่บังคับใช้ หากจำเป็น) ใช้เงื่อนไขสัญญามาตรฐานเป็นกลไกที่ถูกต้องสำหรับการถ่ายโอนข้อมูลส่วนบุคคลภายนอก EEA ต่อไปได้ คณะกรรมการด้านการคุ้มครองข้อมูลของยุโรป (EDPB) ซึ่งเป็นองค์กรในยุโรปที่ประกอบด้วยตัวแทนของหน่วยงานคุ้มครองข้อมูลระดับประเทศนั้น ได้ระบุรายการมาตรการเสริมโดยสังเขปใน “คำแนะนำ 01/2020 เกี่ยวกับมาตรการที่เสริมเครื่องมือถ่ายโอนข้อมูลเพื่อให้มีการปฏิบัติตามข้อกำหนดในระดับการคุ้มครองข้อมูลส่วนบุคคลใน EU” (คำแนะนำของ EDPB)
-
ได้ ลูกค้า AWS สามารถใช้บริการของ AWS ต่อไปเพื่อถ่ายโอนข้อมูลตนเองจากยุโรปไปยังประเทศที่อยู่นอก EEA ซึ่งไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป คำสั่ง Schrems II อนุมัติการใช้เงื่อนไขสัญญามาตรฐาน (SCCs) เป็นกลไกในการถ่ายโอนข้อมูลของลูกค้าภายนอก EEA และลูกค้า AWS สามารถพึ่งพาเงื่อนไขสัญญามาตรฐาน (SCCs) สำหรับการถ่ายโอนข้อมูลของลูกค้าใดๆ ภายนอก EEA โดยเป็นไปตาม GDPR
-
ใช่ AWS อาจใช้ผู้ประมวลผลชั้นรองมีสามประเภท ได้แก่ (1) นิติบุคคลของ AWS ที่ให้บริการโครงสร้างพื้นฐานที่บริการของ AWS ทำงาน (2) นิติบุคคลของ AWS ที่รองรับบริการของ AWS เฉพาะ ซึ่งอาจกำหนดให้เอนทิตีเหล่านี้ประมวลผลข้อมูลลูกค้า และ (3) บุคคลภายนอกที่ AWS ทำสัญญาเพื่อจัดเตรียมกิจกรรมการประมวลผลสำหรับบริการของ AWS ที่เฉพาะเจาะจง หน้าเว็บผู้ประมวลผลข้อมูลชั้นรองของ AWS ให้ข้อมูลเพิ่มเติมเกี่ยวกับผู้ประมวลผลชั้นรองที่ AWS นำมาร่วมประมวลผลตาม AWS DPA เพื่อจัดเตรียมกิจกรรมการประมวลผลข้อมูลลูกค้าในนามของลูกค้า ผู้ประมวลผลชั้นรองที่เกี่ยวข้องกับลูกค้าแต่ละรายจะขึ้นอยู่กับ AWS Region ที่ลูกค้าเลือกและบริการของ AWS เฉพาะที่ลูกค้าใช้
-
เอกสารรายงานของ AWS ว่าด้วยการดำเนินการปฏิบัติตามข้อกำหนดการถ่ายโอนข้อมูลของสหภาพยุโรป ให้ข้อมูลเกี่ยวกับบริการและแหล่งข้อมูลที่ AWS เสนอให้ลูกค้าเพื่อช่วยลูกค้าดำเนินการประเมินการถ่ายโอนข้อมูลให้เป็นไปตามกฎ Schrems II และรับข้อแนะนำจากคณะกรรมการคุ้มครองข้อมูลแห่งสหภาพยุโรป เอกสารรายงานยังอธิบายมาตรการสำคัญเพิ่มเติมที่มีและดำเนินงานโดย AWS เพื่อคุ้มครองข้อมูลของลูกค้า
-
AWS ได้เสนอข้อมูลที่มีประโยชน์ให้แก่ลูกค้า ซึ่งประกอบด้วยรายงานหลายฉบับเกี่ยวกับการปฏิบัติตามข้อกำหนดจากผู้ตรวจสอบจากภายนอก ซึ่งได้ยืนยันถึงการปฏิบัติตามข้อกำหนดของเรากับมาตรฐานและข้อบังคับด้านความปลอดภัยที่หลากหลาย เพื่อเป็นการพิสูจน์ถึงการปฏิบัติตามข้อกำหนดระดับสูงที่ AWS รักษาไว้ให้กับโครงสร้างพื้นฐาน รายงานเหล่านี้แสดงให้ลูกค้าของเราเห็นว่าเรากำลังปกป้องข้อมูลของพวกเขา ซึ่งเลือกที่จะประมวลผลบน AWS ตัวอย่างของเราประกอบด้วยการปฏิบัติตามข้อกำหนด ISO 27001, 27017 และ 27018 ของ AWS ISO 27018 ประกอบด้วยการควบคุมความปลอดภัยที่มุ่งเน้นเรื่องการคุ้มครองข้อมูลของลูกค้า
ได้ จรรยาบรรณการคุ้มครองข้อมูลการลงทะเบียนสาธารณะของผู้ให้บริการโครงสร้างพื้นฐานในระบบคลาวด์ในยุโรป (CISPE) ประกอบด้วยรายการบริการ AWS ที่ปฏิบัติตาม CISPE เป็นความร่วมมือกันของผู้นำการประมวลผลบนคลาวด์ที่ให้บริการลูกค้าชาวยุโรปหลายล้านคน หลักจรรยาบรรณในการคุ้มครองข้อมูลของ CISPE (CISPE Code) เป็นหลักจรรยาบรรณในการคุ้มครองข้อมูลแห่งภาคพื้นยุโรปฉบับแรกที่มุ่งเน้นผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ในยุโรป จรรยาบรรณ CISPE ได้รับการอนุมัติโดยคณะกรรมการด้านการคุ้มครองข้อมูลของยุโรป ซึ่งดำเนินการในนามของหน่วยงานคุ้มครองข้อมูล 27 แห่งทั่วยุโรป และได้รับการรับรองอย่างเป็นทางการโดยหน่วยงานคุ้มครองข้อมูลของฝรั่งเศส (CNIL) ซึ่งทำหน้าที่เป็นหัวหน้าหน่วยงานกำกับดูแล ในปี 2017 ทาง AWS ได้ประกาศการปฏิบัติตามจรรยาบรรณ CISPE ฉบับก่อนหน้านี้
มาตรการทางเทคนิคและทางองค์กร
เปิดทั้งหมด-
GDPR จะไม่เปลี่ยนแปลงโมเดลความรับผิดชอบร่วมกันของ AWS ซึ่งยังคงมีความเกี่ยวข้องกับลูกค้า โมเดลความรับผิดชอบร่วมกันคือแนวทางที่มีประโยชน์ในการแสดงให้เห็นถึงความรับผิดชอบต่างๆ ที่แตกต่างกันของ AWS (ในฐานะผู้ประมวลผลข้อมูล หรือ ผู้ประมวลผลย่อย) และลูกค้า (ทั้งในฐานะผู้ควบคุมข้อมูล หรือ ผู้ประมวลผลข้อมูล) ภายใต้ GDPR
-
มี คุณสามารถค้นหา “GDPR” ใน AWS Partner Solutions Finder (เครื่องมือค้นหาโซลูชันของพาร์ทเนอร์ AWS) เพื่อช่วยให้ค้นหาคู่ค้า ISV, MSP และ SI ซึ่งมีผลิตภัณฑ์และบริการเพื่อช่วยในการปฏิบัติตามข้อกำหนดของ GDPR ลูกค้ายังสามารถค้นหาโซลูชัน “GDPR” บน AWS Marketplace ได้
-
ใช่ ทีมบริการประกันความปลอดภัยของ AWS ได้จัดกิจกรรมมากมายเพื่อช่วยลูกค้าในเส้นทางการปฏิบัติตามข้อกำหนดของ GDPR ทีมผู้เชี่ยวชาญด้านการปฏิบัติตามข้อกำหนดที่ผ่านการรับรองในอุตสาหกรรมนี้จะช่วยให้ลูกค้าบรรลุหน้าที่ รักษา และตั้งระบบอัตโนมัติสำหรับการปฏิบัติตามข้อกำหนดในระบบคลาวด์ โดยเชื่อมโยงมาตรฐานการปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับคุณสมบัติและฟังก์ชันเฉพาะบริการของ AWS สามารถดูรายละเอียดเพิ่มเติมว่าที่ปรึกษา AWS Professional Services ช่วยลูกค้าอย่างไรบ้างได้ที่นี่
-
ลูกค้าสามารถใช้ AWS Support เพื่อรับคำแนะนำทางเทคนิคเพื่อช่วยปูเส้นทางสู่การปฏิบัติตามข้อกำหนดของ GDPR ได้ โดยเรามีทีมวิศวกรสนับสนุนด้านระบบคลาวด์และผู้จัดการบัญชีฝ่ายเทคนิค (TAM) ที่ผ่านการฝึกมาเพื่อช่วยระบุและลดความเสี่ยงด้านปฏิบัติตามข้อกำหนดในฐานะส่วนหนึ่งของกิจกรรมนี้อีกด้วย ระดับการสนับสนุนที่ AWS มีให้จะขึ้นอยู่กับแผน AWS Support ที่ลูกค้าเลือก ลูกค้าที่กำลังต้องการจะเข้าใจว่า AWS Premium Support สามารถช่วยเหลือพวกเขาได้อย่างไร สามารถหาข้อมูลเพิ่มเติมได้ใน AWS Support Center ซึ่งมีให้ใช้งานผ่าน AWS Management Console (คอนโซลการจัดการของ AWS) โดยการใช้รายละเอียดการติดต่อซึ่งระบุไว้ในข้อตกลงการสนับสนุนสำหรับองค์กรที่ป้อนไว้ให้กับ AWS หรือไปที่หน้าเว็บ AWS Support ลูกค้าที่มีการสนับสนุนสำหรับองค์กรโปรดติดต่อ TAM ของตนหากมีคำถามที่เกี่ยวข้องกับ GDPR
-
AWS มีกระบวนการตรวจสอบเหตุการณ์ด้านความปลอดภัยและการแจ้งเตือนกรณีข้อมูลรั่วไหลเพียบพร้อมอยู่ และจะแจ้งให้ลูกค้าทราบถึงกรณีการเจาะระบบรักษาความปลอดภัยของ AWS โดยไม่มีการล่าช้าตาม AWS DPA AWS ยังมอบเครื่องมือมากมายให้ลูกค้าในการทำความเข้าใจว่าใครมีสิทธิ์เข้าถึงแหล่งข้อมูลตน เข้าถึงเมื่อใดและจากที่ใดบ้าง หนึ่งในเครื่องมือเหล่านั้นคือ AWS CloudTrail ซึ่งทำให้เกิดการกำกับดูแล การปฏิบัติตามข้อกำหนด การตรวจสอบการดำเนินงาน และการตรวจสอบความเสี่ยงของบัญชี AWS ด้วย AWS CloudTrail ลูกค้าจะสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมของบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐาน AWS ได้ ซึ่งนี่จะช่วยให้องค์กรต่างๆ เข้าใจว่ากำลังเกิดอะไรขึ้นกับโครงสร้างพื้นฐาน AWS ของลูกค้าและสามารถลงมือจัดการกับกิจกรรมที่ไม่ปกติได้ทันที สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือด้านความปลอดภัยอื่นๆ ที่ AWS มอบให้แก่ลูกค้าเพื่อช่วยให้บรรลุภาระผูกพันในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ ให้ดูที่หน้าเว็บการรักษาความปลอดภัยของ AWS Cloud
-
AWS ยังมอบเครื่องมือมากมายให้แก่ลูกค้าและคู่ค้า APN เพื่อรักษาความปลอดภัยให้กับข้อมูลของลูกค้าและช่วยปกป้องจากการโจมตีทางไซเบอร์ หนึ่งในเครื่องมือดังกล่าวนั้นคือ AWS Shield ซึ่งนี่เป็นบริการป้องกัน Distributed Denial of Service (DDoS) ที่ได้รับการจัดการเพื่อปกป้องเว็บไซต์และแอปพลิเคชันที่ทำงานบน AWS AWS Shield Standard มีให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม และมีการตรวจจับที่ทำงานอยู่ตลอดเวลาและการลดการโจมตีภายในแบบอัตโนมัติที่จะลดเวลาหยุดทำงานและเวลาแฝงของแอปพลิเคชัน เพื่อการป้องกันระดับสูงจากการโจมตีที่มุ่งเป้าไปยังแอปพลิเคชันบนเว็บที่ทำงานบน AWS และใช้ทรัพยากร ELB, Amazon CloudFront, and Amazon Route 53 ลูกค้าและคู่ค้า APN สามารถสมัครใช้งาน AWS Shield Advanced ได้ ทั้งนี้ AWS ยังเผยแพร่และอัปเดตแนวทางปฏิบัติที่ดีที่สุดของ AWS สำหรับความทนทานต่อความเสียหายจาก DDoS เป็นประจำ ซึ่งช่วยลูกค้าสามารถใช้ AWS เพื่อสร้างแอปพลิเคชันที่ยืดหยุ่นต่อการโจมตีของ DDoS ได้
-
Amazon Macie เป็นบริการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลที่ได้รับการจัดการแบบเต็มรูปแบบซึ่งใช้แมชชีนเลิร์นนิงและการจับคู่รูปแบบเพื่อค้นหาและปกป้องข้อมูลส่วนบุคคลของคุณใน AWS ในขณะที่องค์กรต่างๆ จัดการกับปริมาณข้อมูลที่เพิ่มขึ้นเรื่อยๆ การระบุและปกป้องข้อมูลส่วนบุคคลในทุกระดับอาจมีความซับซ้อน มีราคาแพง และกินเวลามากขึ้น Amazon Macie จะทำให้การค้นหาข้อมูลส่วนบุคคลเป็นระบบอัตโนมัติในทุกระดับและลดค่าใช้จ่ายในการปกป้องข้อมูลของคุณ Macie จะมอบคลังบัคเก็ต Amazon S3 ให้โดยอัตโนมัติซึ่งรวมถึงรายการบัคเก็ตที่ไม่ได้เข้ารหัส บัคเก็ตที่ทุกคนสามารถเข้าถึงได้ และบัคเก็ตที่แชร์กับบัญชี AWS นอกเหนือจากที่คุณกำหนดไว้ใน AWS Organizations จากนั้น Macie จะใช้แมชชีนเลิร์นนิ่งและเทคนิคการจับคู่รูปแบบกับบัคเก็ตที่คุณเลือกเพื่อระบุและเตือนให้คุณทราบถึงข้อมูลส่วนบุคคล
- ความปลอดภัยตั้งแต่เริ่มต้นหมายความว่าบริการของ AWS ถูกออกแบบมาให้ปลอดภัยตั้งแต่เริ่มต้น หากมีการใช้งานการกำหนดค่าเริ่มต้น การเข้าถึงทรัพยากรจะถูกล็อกให้เฉพาะเจ้าของบัญชีและผู้ดูแลระบบระดับรากเท่านั้นที่สามารถเข้าถึงได้
- AWS Identity and Access Management (IAM) ช่วยให้ลูกค้าจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS อย่างปลอดภัย เมื่อใช้ IAM องค์กรจะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
- AWS Multi-Factor Authentication เพิ่มชั้นป้องกันพิเศษสำหรับชื่อผู้ใช้และรหัสผ่านของบัญชี AWS AWS มอบตัวเลือกของอุปกรณ์ MFA แบบเสมือนจริงและแบบฮาร์ดแวร์ให้แก่ลูกค้า
- AWS Directory Service จะช่วยให้ลูกค้าผสานและรวมเข้ากับไดเรกทอรีขององค์กรเพื่อลดค่าใช้จ่ายด้านการจัดการและปรับปรุงประสบการณ์ของผู้ใช้ปลายทาง
- AWS Config ช่วยลูกค้าให้สามารถใช้งานกฎที่จัดเตรียมไว้อยู่แล้วที่ช่วยรับประกันว่าทรัพยากร AWS ของลูกค้าจะอยู่ในสถานะที่มีการกำหนดค่าและปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสม
- AWS CloudTrail จะทำให้ลูกค้าสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐานของ AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
- Amazon Macie ใช้แมชชีนเลิร์นนิงเพื่อช่วยลูกค้าป้องกันการสูญหายของข้อมูลด้วยการค้นหา จัดหมวดหมู่ และปกป้องข้อมูลที่อ่อนไหวใน AWS โดยอัตโนมัติ บริการที่ได้รับการจัดการอย่างเต็มรูปแบบนี้จะเฝ้าติดตามกิจกรรมการเข้าถึงข้อมูลอย่างต่อเนื่องเพื่อตรวจหาความผิดปกติและส่งคำเตือนโดยละเอียดเมื่อตรวจพบความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ – เช่น ข้อมูลที่อ่อนไหวที่ลูกค้าเผลอให้เกิดการเข้าถึงจากภายนอกโดยไม่ได้ตั้งใจ
เพื่อช่วยเหลือลูกค้าในการปฏิบัติตามข้อกำหนดของ GDPR AWS จึงมีเครื่องมือมากมายสำหรับควบคุมการเข้าถึงข้อมูลส่วนบุคคลที่มีในเนื้อหาของลูกค้าบน AWS เครื่องมือเหล่านี้ประกอบด้วย:
- ความสามารถในการเข้ารหัสมีให้ใช้งานในบริการพื้นที่จัดเก็บและบริการฐานข้อมูลของ AWS เช่น Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS และ Redshift
- ตัวเลือกการจัดการคีย์ที่มีความยืดหยุ่น รวมทั้ง AWS Key Management Service จะช่วยให้คุณเลือกได้ว่าจะให้ AWS จัดการคีย์การเข้ารหัสหรือให้ลูกค้าเข้าควบคุมคีย์ได้เองอย่างสมบูรณ์
- คิวข้อความที่ถูกเข้ารหัสสำหรับการส่งผ่านข้อมูลที่อ่อนไหวโดยใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ (SSE) สำหรับ Amazon SQS
- พื้นที่จัดเก็บคีย์การเข้ารหัสลับด้วยฮาร์ดแวร์เฉพาะโดยใช้ AWS CloudHSM ทำให้ลูกค้าสามารถปฏิบัติตามข้อกำหนดได้
AWS มอบความสามารถในการเพิ่มความปลอดภัยอีกชั้นให้กับข้อมูลที่อยู่ในพื้นที่จัดเก็บของลูกค้าและคู่ค้า APN ในระบบคลาวด์ให้แก่ลูกค้าและช่วยให้ลูกค้าสามารถดำเนินการรักษาความปลอดภัยตามภาระผูกพันด้านการประมวลผลในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ เครื่องมือการเข้ารหัสที่พร้อมให้ใช้งานบน AWS ประกอบด้วย:
นอกจากนี้ AWS ยังมี API ต่างๆ ให้ลูกค้าและคู่ค้าของ APN สามารถผนวกรวมการเข้ารหัสและการป้องกันข้อมูลกับบริการใดๆ ที่ลูกค้าพัฒนาหรือปรับใช้ในสภาพแวดล้อม AWS ได้
- Multi-Factor Authentication (MFA)
- การเข้าถึงวัตถุแบบละเอียดพิเศษใน Amazon S3-Buckets/ Amazon SQS/ Amazon SNS และอื่นๆ
- การตรวจสอบสิทธิ์คำขอ API
- ข้อจำกัดทางภูมิศาสตร์
- โทเค็นการเข้าถึงแบบชั่วคราวผ่าน AWS Security Token Service
- การบริหารจัดการสินทรัพย์และการกำหนดค่าด้วย AWS Config
- การวิเคราะห์ความปลอดภัยและการตรวจสอบการปฏิบัติตามข้อกำหนดด้วย AWS CloudTrail
- การระบุความท้าทายด้านการกำหนดค่าผ่าน AWS Trusted Advisor
- การบันทึกแบบละเอียดพิเศษของการเข้าถึงอ็อบเจ็กต์ Amazon S3
- ข้อมูลอย่างละเอียดเกี่ยวกับการไหลในเครือข่ายผ่าน Amazon VPC Flow Logs
- การตรวจสอบและการดำเนินการการกำหนดค่าซึ่งอิงตามกฎด้วย AWS Config Rules
- คัดกรองและเฝ้าติดตามการเข้าถึงของ HTTP สู่แอปพลิเคชันด้วยฟังก์ชัน AWS WAF ใน AWS CloudFront
- การเข้ารหัสข้อมูลที่จัดเก็บของคุณด้วย AES256 (EBS/S3/Glacier/RDS)
- Key Management ซึ่งถูกจัดการแบบรวมศูนย์ (โดย AWS Region)
- IPsec เจาะเข้าสู่ AWS ด้วยเกตเวย์ VPN
- โมดูล Dedicated HSM ในระบบคลาวด์พร้อมด้วย AWS CloudHSM
- ISO 27001 สำหรับมาตรการทางเทคนิค
- ISO 27017 สำหรับการรักษาความปลอดภัยของระบบคลาวด์
- ISO 27018 สำหรับความเป็นส่วนตัวของระบบคลาวด์
- SOC 1, SOC 2 และ SOC 3, PCI DSS ระดับ 1,
- Common Cloud Computing Controls Catalogue (C5) ของ BSI
- ENS High
AWS ได้มอบคุณสมบัติและบริการเฉพาะซึ่งช่วยลูกค้าให้บรรลุข้อกำหนดของ GDPR ดังนี้
การควบคุมการเข้าถึง: อนุญาตเฉพาะผู้ดูแลระบบ ผู้ใช้ และแอปพลิเคชันที่ได้รับอนุญาตให้เข้าถึงทรัพยากร AWS
การเฝ้าติดตามและการบันทึก: รับภาพรวมเกี่ยวกับกิจกรรมบนทรัพยากร AWS ของคุณ
การเข้ารหัส: การเข้ารหัสข้อมูลบน AWS
เฟรมเวิร์กการปฏิบัติตามข้อกำหนดและมาตรฐานการรักษาความปลอดภัยที่แข็งแกร่ง: เราแสดงให้เห็นถึงการปฏิบัติตามมาตรฐานนานาชาติที่รัดกุม เช่น:
AWS และ UK GDPR
เปิดทั้งหมด-
GDPR เป็นกฎระเบียบของสหภาพยุโรป และภายหลังการถอนตัวออกจากสหภาพยุโรปของสหราชอาณาจักร กฎระเบียบนี้ก็ไม่มีผลบังคับใช้กับสหราชอาณาจักรอีกต่อไป รัฐบาลสหราชอาณาจักรได้รวมข้อกำหนดของ GDPR ลงในกฎหมายสหราชอาณาจักรเป็น “UK GDPR”
-
AWS แสดงข้อมูลบทเสริมของ UK GDPR ในAWS DPA ซึ่งรวมเอาภาระผูกพันของ AWS ในฐานะผู้ประมวลผลข้อมูลภายใต้ UK GDPR เอาไว้ บทเสริม UK GDPR นี้เป็นส่วนหนึ่งของข้อกำหนดการให้บริการของ AWS และบังคับใช้โดยอัตโนมัติสำหรับลูกค้าทั้งหมดที่ต้องการให้ข้อตกลงว่าด้วยการประมวลผลข้อมูลเป็นไปตามข้อกำหนดของ UK GDPR
บทเสริม UK GDPR ซึ่งเป็นส่วนหนึ่งของข้อกำหนดการให้บริการของ AWS รวมถึง SCC ที่ EC นำไปใช้และบทเสริมการถ่ายโอนข้อมูลระหว่างประเทศ (IDTA) ที่ออกโดยหน่วยงานกำกับดูแลการปกป้องข้อมูลของสหราชอาณาจักร (สำนักงานคณะกรรมาธิการข้อมูล) IDTA แก้ไข SCC เพื่อให้แน่ใจว่าเป็นการป้องกันที่เหมาะสมภายใต้ UK GDPR สำหรับการถ่ายโอนข้อมูลระหว่างประเทศไปยังประเทศนอกสหราชอาณาจักรที่ไม่ได้รับการยอมรับว่าปกป้องข้อมูลส่วนบุคคลได้ในระดับที่เพียงพอ (ประเทศที่สามของสหราชอาณาจักร) บทเสริม UK GDPR ยืนยันว่า SCC (ตามที่แก้ไขโดย IDTA) จะมีผลบังคับใช้โดยอัตโนมัติเมื่อใดก็ตามที่ลูกค้าใช้บริการของ AWS เพื่อถ่ายโอนข้อมูลลูกค้าภายใต้ UK GDPR (ข้อมูลลูกค้าในสหราชอาณาจักร) ไปยังประเทศที่สามของสหราชอาณาจักร ตามบทเสริม UK GDPRใน ข้อกำหนดการให้บริการของ AWS นั้น SCC (ตามที่แก้ไขโดย IDTA) จะมีผลบังคับใช้โดยอัตโนมัติเมื่อใดก็ตามที่ลูกค้าใช้บริการของ AWS ในการถ่ายโอนข้อมูลลูกค้าในสหราชอาณาจักรไปยังประเทศที่สามของสหราชอาณาจักร
AWS และกฎหมายคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์
เปิดทั้งหมด-
AWS จัดทำภาคผนวกสวิตเซอร์แลนด์ไว้กับภาคผนวกการประมวลผลข้อมูลของ AWS (“ภาคผนวกสวิตเซอร์แลนด์”) ที่ระบุภาระผูกพันของ AWS ในฐานะผู้ประมวลผลข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์ (“FDPA”) ภาคผนวกสวิตเซอร์แลนด์เป็นส่วนหนึ่งของข้อกําหนดการให้บริการของ AWS (ดูส่วนที่ 1.14.4) และมีผลบังคับใช้โดยอัตโนมัติเมื่อ FDPA มีความเกี่ยวข้องกับการที่ลูกค้าใช้บริการของ AWS เพื่อประมวลผลข้อมูลลูกค้า
-
ภาคผนวกสวิตเซอร์แลนด์ของภาคผนวกการประมวลผลข้อมูลของ AWS ซึ่งเป็นส่วนหนึ่งของข้อกําหนดการให้บริการของ AWS (ดูส่วนที่ 1.14.4) มีการระบุเงื่อนไขสัญญามาตรฐาน (“SCC”) ที่คณะกรรมาธิการยุโรปลงมติ และได้รับการแก้ไขตามที่กําหนดโดยคณะกรรมาธิการการคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์ ภาคผนวกสวิตเซอร์แลนด์ยืนยันว่า SCC (ตามที่แก้ไขโดยภาคผนวกสวิตเซอร์แลนด์) จะมีผลบังคับใช้โดยอัตโนมัติเมื่อใดก็ตามที่ลูกค้าใช้บริการของ AWS เพื่อถ่ายโอนข้อมูลลูกค้าภายใต้ภาคผนวกสวิตเซอร์แลนด์ไปยังประเทศที่สาม
ติดต่อ
เปิดทั้งหมด-
เราขอแนะนำให้ลูกค้าที่มีคำถามเกี่ยวกับ GDPR ให้ติดต่อผู้จัดการบัญชี AWS ของตนก่อนเป็นอันดับแรก หากลูกค้าได้สมัครใช้งาน Enterprise Support แล้ว ลูกค้าจะสามารถติดต่อผู้จัดการบัญชีฝ่ายเทคนิค (TAM) ได้ด้วยเช่นกัน TAM ทำงานกับสถาปนิกโซลูชันเพื่อช่วยลูกค้าในการระบุความเสี่ยงที่อาจเกิดขึ้นได้และการลดความเสี่ยงที่อาจเป็นไปได้ TAM และทีมบัญชียังสามารถระบุให้ลูกค้าและคู่ค้า APN เห็นถึงทรัพยากรที่เฉพาะเจาะจงโดยอิงจากสภาพแวดล้อมและความต้องการของพวกเขาได้
