Genel Veri Koruma Yönetmeliği (GDPR) Merkezi
AWS hizmetlerini kullanırken GDPR uyumluluğu
Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği (AB) vatandaşlarının temel gizlilik ve kişisel verilerinin korunması haklarını korur. Bu yönetmelik veri koruması, güvenlik ve mevzuat uyumluluğu standartlarını yükseltecek ve uyumlu hale getirecek güçlü gereksinimler içerir. Daha fazla bilgi için lütfen aşağıdaki GDPR SSS’lerimizi inceleyin.
AWS müşterileri, AWS hesapları altındaki AWS hizmetlerine (müşteri verileri) yüklenen kişisel verileri (GDPR'de tanımlandığı gibi) GDPR'ye uygun olarak işlemek için tüm AWS hizmetlerini kullanabilir. AWS olarak kendi mevzuat uyumluluğumuzu sağlamanın yanı sıra müşterilerin kendi faaliyetleri için geçerli olabilecek GDPR gereksinimleriyle uyumluluğunu sağlamaya yardımcı olmak için çeşitli hizmetler ve kaynaklar sunmaya önem veriyoruz. Düzenli olarak yeni özellikler kullanıma sunulurken, AWS'nin güvenlik ve uygunluğa odaklanan 500'den fazla özelliği ve hizmeti vardır. AWS'nin ne yaptığı hakkında daha fazla bilgi için blogumuzu okuyun: AWS, AB müşterilerinin veri koruması için yeni normalde gezinmesine nasıl yardımcı oluyor.
Müşteri kontrolü
Müşteriler, müşteri verilerinin kontrolüne sahiptir. AWS ile müşteriler:
- Depolama türü ve bu depolamanın coğrafi bölgesi dahil olmak üzere müşteri verilerinin nerede depolanacağını belirleyebilir.
- Müşteri verilerinin güvenlik altına alınmış durumunu seçebilir. Müşterilere aktarım veya bekleme halindeki müşteri verileri için güçlü şifreleme olanağının yanı sıra kendi şifreleme anahtarlarını yönetme seçeneği sunuyoruz.
- Kendi denetimleri altında olan kullanıcılar, gruplar, izinler ve kimlik bilgileri aracılığıyla müşteri verilerine, AWS hizmetlerine ve kaynaklarına erişimi denetleyebilir.
Avrupa Ekonomik Alanı (AEA) dışındaki aktarımlar
AWS müşterileri, GDPR’ye uygun olarak Avrupa Komisyonu'ndan (ABD dahil) bir yeterlilik kararı almamış olan AEA dışındaki ülkelere müşteri verilerini AEA’dan aktarmak için AWS hizmetlerini kullanmaya devam edebilir. AWS'de en yüksek önceliğimiz müşteri verilerinin güvenliğini sağlamaktır ve müşterinin hangi AWS Bölgesini seçtiğinden bağımsız olarak gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için sıkı teknik ve kurumsal önlemler uygularız. Şeffaflığın müşterilerimiz için önemli olduğunu biliyoruz. Müşteri verilerinin veri aktarımını içeren AWS hizmetlerini Gizlilik Özellikleri web sayfamızda listeleriz.
Mevzuat ve yasal çerçeve geliştikçe, müşterilerimizin faaliyet gösterdiği her yerde AWS hizmetlerinden yararlanmaya devam edebilmelerini sağlamak için her zaman çalışacağız. Daha fazla bilgi için lütfen AB-ABD Gizlilik Kalkanı hakkındaki müşteri güncellememize, AWS Veri İşleme Eki'nin Tamamlayıcı Eki hakkındaki blog gönderilerimize ve CISPE Veri Koruma Davranış Kuralları'na bakın.
GDPR kaynakları
GDPR SSS
Genel bakış ve GDPR’nin temelleri
-
GDPR nedir?
Genel Veri Koruma Yönetmeliği (GDPR), 25 Mayıs 2018'de yürürlüğe girmiş olan bir Avrupa gizlilik kanunudur. GDPR, Direktif 95/46/EC olarak da bilinen AB Veri Koruma Direktifi'nin yerini almıştır ve tüm üye devletler için bağlayıcı olan tek bir veri koruma kanununu yürürlüğe sokarak Avrupa Birliği (AB) genelinde veri koruma kanunlarını birbiriyle uyumlu hale getirmeyi amaçlamaktadır.
-
GDPR kimler için geçerlidir?
GDPR, AB'de kurulmuş olan tüm kuruluşların yanı sıra AB'de kurulmuş olup olmadığından bağımsız olarak AB vatandaşlarına mal veya hizmet sunma ya da AB'de gerçekleşen davranışların izlenmesi ile ilişkili olarak AB veri öznelerinin kişisel verilerini işleyen tüm kuruluşlar için geçerlidir. Kişisel veriler; adlar, e-posta adresleri ve telefon numaraları dahil olmak üzere kimliği belirli veya belirlenebilir gerçek kişiyle ilgili her türlü bilgidir.
-
AWS GDPR kapsamında bir veri işleyicisi veya veri denetçisi midir?
AWS, GDPR kapsamında hem veri işleyicisi hem de veri denetçisi olarak faaliyet gösterir.
- Veri işleyicisi olarak AWS – Müşteriler, AWS hizmetlerine yükledikleri içerikteki kişisel verileri işlemek için AWS hizmetlerini kullandıklarında, AWS bir veri işleyicisi olarak hareket eder. Müşteriler, güvenlik yapılandırması denetimleri dahil olmak üzere AWS hizmetlerinde sunulan denetimleri kişisel verilerin işlenmesi için kullanabilir. Bu koşullar altında müşterinin kendisi bir veri denetçisi veya veri işleyicisi olarak faaliyet gösterebilirken AWS, bir veri işleyicisi veya alt işleyici olarak faaliyet göstermiş olur. AWS ayrıca, bir veri işleyicisi olarak AWS'nin taahhütlerini içeren, GDPR ile uyumlu bir AWS Veri İşleme Eki (AWS DPA) sunar. Standart Sözleşme Maddeleri'ni içeren AWS DPA, AWS Hizmet Koşulları'nın bir parçasıdır ve GDPR ile uyumlu olması için buna ihtiyaç duyan tüm müşteriler tarafından otomatik olarak kullanılabilir.
- Veri denetleyicisi olarak AWS – AWS, kişisel veriler topladığı ve bu kişisel verilerin işlenme amaçları ile yöntemlerini belirlediği durumlarda -örneğin AWS'nin hesap kaydı, yönetim, hizmetlere erişim için hesap bilgilerini (ör. hesap kaydı sırasında sağlanan e-posta adresleri) veya müşteri destek etkinlikleri aracılığıyla yardım sağlanması için AWS hesabının iletişim bilgilerini depoladığı durumlar- bir veri denetçisi olarak faaliyet göstermiş olur. AWS'nin kişisel verileri bir denetleyici olarak nasıl işlediğine ilişkin ayrıntılar için lütfen AWS Gizlilik Bildirimi'ne bakın.
-
Standart Sözleşme Maddeleri (SCC) nelerdir?
Standart Sözleşme Maddeleri (SCC), kişisel verilerin (Avrupa Komisyonu'ndan bir yeterlilik kararı almamış, Avrupa Ekonomik Alanı dışındaki ülkeler (üçüncü ülkeler)) yasal olarak aktarılmasını sağlayan, tüm AB Üye Devletleri'nde geçerli olan, GDPR kapsamında önceden onaylanmış bir veri aktarım mekanizmasıdır.
-
AWS, Standart Sözleşme Maddeleri'ni (SCC) müşterilerle birlikte AWS GDPR Veri İşleme Eki'ne (DPA) nasıl dâhil eder?
AWS Hizmet Koşulları, Haziran 2021'de Avrupa Komisyonu (AK) tarafından kabul edilen Standart Sözleşme Maddeleri'ni (SCC) içerir ve AWS DPA; bir AWS müşterisi, müşteri verilerini Avrupa Komisyonu'ndan bir yeterlilik kararı almamış, Avrupa Ekonomik Alanı dışındaki ülkelere (üçüncü ülkeler) aktarmak için AWS hizmetlerini kullandığında Standart Sözleşme Maddeleri'nin (SCC) otomatik olarak uygulanacağını onaylar. AWS Hizmet Koşulları'nın bir parçası olarak, bir müşteri, müşteri verilerini üçüncü ülkelere aktarmak için AWS hizmetlerini kullandığında yeni Standart Sözleşme Maddeleri (SCC) otomatik olarak geçerli olacaktır. AWS Hizmet Koşulları'ndaki yeni SCC'ler, SCC'lerin önceki sürümlerinin yerini aldığından bir AWS DPA imzalayan az sayıda müşteri, bu AWS DPA'ya güvenmeye devam edebilir. Dolayısıyla müşteriler, AWS hizmetlerini kullanarak üçüncü ülkelere aktardıkları tüm müşteri verilerinin AEA'da müşteri verileriyle aynı yüksek düzeyde korumaya sahip olduğundan emin olabilir. Daha fazla bilgi almak için lütfen yeni Standart Sözleşme Maddeleri'nin uygulanması hakkındaki blog gönderisine bakın.
Schrems II kararı ve EDPB Tavsiyeleri uyarınca AWS ve GDPR uygunluğu
-
Schrems II kararı ve EDPB Tavsiyeleri nelerdir?
16 Temmuz 2020’de Avrupa Birliği Adalet Divanı (CJEU), AB bireylerinin kişisel verilerinin AEA (Schrems II) dışına aktarılmasına ilişkin bir karar verdi. Schrems II davasında, ABAD, AB-ABD Gizlilik Kalkanı’nın kişisel verileri AEA’dan ABD’ye aktarmak için artık geçerli bir mekanizma olmadığına karar verdi. Ancak, aynı kararda ABAD, şirketlerin (gerekirse ek tedbirlerin uygulanmasına tabi olarak) kişisel verileri AEA dışına aktarmak için geçerli bir mekanizma olarak Standart Sözleşme Maddelerini kullanmaya devam edebileceklerini teyit etmiştir. Ulusal veri koruma makamlarının temsilcilerinden oluşan bir Avrupa organı olan Avrupa Veri Koruma Kurulu (EDPB), o zamandan beri, “Şirketle uyumu sağlamak için aktarım araçlarını tamamlayan önlemlere ilişkin AB kişisel verilerin koruma düzeyine (EDPB Tavsiyeleri) uygun olarak 01/2020 sayılı Tavsiyelerinde” tamamlayıcı tedbirlerin kapsamlı olmayan bir listesini sağlamıştır.
EDPB Tavsiyeleri, veri ihracatçılarına uygulamaya konulabilecek ek önlem örnekleri sağlar. AWS'nin veri aktarım kaynaklarıyla ilgili ayrıntılar için aşağıdaki SSS bölümünde "Schrems II kararının ardından AWS hizmetlerini kullanmaya devam edebilir miyim?" sorusuna bakın.
-
Schrems II kararının ardından AWS hizmetlerini kullanmaya devam edebilir miyim?
Evet. AWS müşterileri, Avrupa Komisyonu'ndan bir yeterlilik kararı almamış olan AEA dışındaki ülkelere müşteri verilerini Avrupa'dan aktarmak için AWS hizmetlerini kullanmaya devam edebilir. Schrems II kararı, müşteri verilerini AEA dışına aktarmak için bir mekanizma olarak Standart Sözleşme Maddelerinin (SCC'ler) kullanımını doğrulamıştır ve AWS müşterileri, müşteri verilerinin GDPR ile uyumlu olarak AEA dışına her türlü aktarımı için SCC'lere güvenmeye devam edebilir.
- İşleme konumu. Müşteriler, müşteri verilerinin depolanacağı AWS Bölgesini seçer. Mevcut AWS Bölgelerine genel bakış, Bölgeler ve Erişilebilirlik Alanları altında bulunabilir. AWS, müşteri tarafından başlatılan AWS hizmetlerini sağlamak amacıyla gerekli olmadıkça veya yasalara veya bir devlet kurumunun bağlayıcı emrine uymak için gerekli olmadıkça, müşteri verilerini müşterinin seçtiği AWS Bölgesi dışında işlemeyecektir. AWS hizmetlerinin bir parçası olarak veri aktarımları hakkında daha fazla bilgi edinmek için lütfen Gizlilik Özellikleri web sayfamıza bakınız.
- Alt işleyiciler. AWS; müşteri verilerinin işlenmesine yardımcı olmak, AWS DPA kapsamında müşterilere karşı yükümlülüklerimizi yerine getirmek veya bizim adımıza hizmet sağlamak için alt işleyiciler, yani AWS bağlı kuruluşları veya üçüncü taraflar kullanabilir. Ayrıntılar için aşağıdaki SSS bölümünde "AWS, müşteri verilerini işlemek için alt işleyiciler kullanıyor mu?" sorusuna bakın.
- Aktarım araçları. Schrems II kararı, Avrupa Komisyonu'ndan bir yeterlilik kararı almayan AEA dışındaki ülkelere veri aktarımı için bir mekanizma olarak SCC'lerin kullanımını doğruladığından, müşterilerimiz GDPR'ye uygun olarak verilerini AEA dışına aktarmak için AWS DPA'ya dâhil edilen SCC'lere güvenmeye devam edebilir.
- Ek önlemler.
- Müşteri kontrol. Müşteriler, müşteri verilerinin nerede depolanacağını belirlemelerine, aktarım sırasında ve beklemedeyken müşteri verilerini güvence altına almalarına ve AWS kaynaklarına kullanıcı erişimini yönetmelerine ve müşteri verilerini değiştirmeye, silmeye ve almaya olanak tanıyan basit ancak güçlü araçlar aracılığıyla müşteri verileri üzerinde her zaman sahiplik ve denetime sahiptir.
- Teknik ve organizasyonel önlemler. AWS, müşteri verilerine yetkisiz erişimi veya bunların ifşasını önlemek için tasarlanmış sorumlu ve karmaşık teknik ve fiziksel kontroller ve süreçler uygular (daha fazla bilgi için AWS Uyumluluk web sayfasını ziyaret edin). Ayrıca, müşterilerin hem aktarım sırasında hem de hareketsiz durumdayken müşteri verilerini korumak için kullanabilecekleri bir dizi gelişmiş şifreleme ve anahtar yönetimi hizmeti (müşterilerin kendi anahtarlarını yönetmelerine olanak tanıyan hizmetler dahil) sunuyoruz: şifrelenmiş müşteri verileri, geçerli şifre çözme olmadan erişilemez hale getirilir anahtarlar. Müşteri verilerinin şifrelenmiş veya şifrelenmemiş olmasına bakılmaksızın, müşteri verilerini herhangi bir yetkisiz erişime karşı korumak için her zaman dikkatli bir şekilde çalışacağız.
- Kolluk kuvvetlerinden gelen talepler. AWS, kolluk kuvvetlerinden aldığımız taleplerle ilgilenmek için dahili işlemlere sahiptir. Kolluk kuvvetlerinden müşteri verileri için bir talep aldığımızda, doğruluğunu teyit etmek ve uygun olduğunu ve geçerli tüm yasalara uygun olduğunu doğrulamak için bunları dikkatle inceleriz. Yasal açıdan herhangi bir yasaklama olmadığı sürece AWS; müşterilerin, içeriklerini ifşadan korunmak için daha fazla adım atabilmeleri için müşteri verilerini açıklamadan önce müşterilere bildirimde bulunur. AWS DPA'nın Tamamlayıcı Ek'inde (Tamamlayıcı Ek) AWS; (i) müşteri verilerini talep eden herhangi bir devlet kurumunu ilgili müşteriye yönlendirmek için makul her türlü çabayı göstermeyi, (ii) yasal olarak izin veriliyorsa (gerekirse bir yasaktan feragat elde etmek için tüm makul ve yasal çabalar dâhil olmak üzere) talebi müşteriye derhâl bildirmeyi, (iii) talebin AB yasalarıyla çeliştiği durumlar da dâhil olmak üzere aşırı kapsamlı veya uygunsuz herhangi bir talebe itiraz etmeyi ve (iv) yukarıda açıklanan adımlardan sonra AWS resmî bir talebe yanıt olarak müşteri verilerini ifşa etmek zorunda kalırsa yalnızca talebi karşılamak için gereken minimum miktarda müşteri verisini ifşa etmeyi içeren güçlendirilmiş sözleşme taahhütlerinde bulunur.
- Sözleşme önlemleri. AWS, yukarıda açıklanan önlemler için AWS DPA ve Tamamlayıcı Ek'te yansıtılan çeşitli sözleşme taahhütlerinde bulunur. AWS DPA ve Tamamlayıcı Ek, AWS'nin aşağıdakilerle ilgili şu sözleşme taahhütlerini içerir: (1) müşterinin, müşteri verilerinin depolandığı ve işlendiği AWS Bölgeleri seçimi; (2) hem AWS'nin AWS altyapısını korumak için uyguladığı teknik ve kurumsal önlemler hem de müşterilerin müşteri verilerini korumak için uygulamayı seçebilecekleri teknik kurumsal önlemler; (3) AWS'nin, bir devlet kurumundan bir veri ifşa talebi olması durumunda müşteri verilerini korumaya ve müşteriyi bilgilendirmeye yönelik önlemleri ve (4) AWS'nin, müşteri verilerinin işlendiği üçüncü bir ülkede geçerli olan mevzuata uygun olarak AWS DPA'da belirtilen yükümlülüklerini yerine getirme kabiliyeti. Tamamlayıcı Ek, (5) bireylerin GDPR tarafından tanınan haklarının ihlali durumunda tazminat talep etme yasal haklarını da ele almaktadır.
- İşleme konumu. Müşteriler, müşteri verilerinin depolanacağı AWS Bölgesini seçer. Mevcut AWS Bölgelerine genel bakış, Bölgeler ve Erişilebilirlik Alanları altında bulunabilir. AWS, müşteri tarafından başlatılan AWS hizmetlerini sağlamak amacıyla gerekli olmadıkça veya yasalara veya bir devlet kurumunun bağlayıcı emrine uymak için gerekli olmadıkça, müşteri verilerini müşterinin seçtiği AWS Bölgesi dışında işlemeyecektir. AWS hizmetlerinin bir parçası olarak veri aktarımları hakkında daha fazla bilgi edinmek için lütfen Gizlilik Özellikleri web sayfamıza bakınız.
-
AWS, müşteri verilerini işlemek için alt işleyiciler kullanıyor mu?
Evet, AWS üç tür alt işleyici kullanabilir: (1) AWS hizmetlerinin üzerinde çalıştığı altyapıyı sağlayan AWS kuruluşları, (2) bu kuruluşların müşteri verilerini işlemesini gerektirebilecek belirli AWS hizmetlerini destekleyen AWS kuruluşları ve (3) AWS'nin belirli AWS hizmetleri için işleme faaliyetleri sağlamak üzere sözleşme yaptığı üçüncü taraflar. AWS Alt İşleyiciler web sayfası, AWS'nin müşteriler adına müşteri verileri üzerinde işleme etkinlikleri sağlamak için AWS DPA'ya uygun olarak çalıştığı alt işleyiciler hakkında daha fazla bilgi sağlar. Her bir müşteriyle ilgili alt işleyiciler, müşterinin seçtiği AWS Bölgesi'ne ve müşterinin kullandığı belirli AWS hizmetlerine bağlı olacaktır.
-
AWS, veri aktarımı değerlendirmeleri gerçekleştirdikleri sırada müşterilere nasıl yardımcı olur?
AB Veri Aktarım Gereklilikleriyle Uygunluk Sağlama başlıklı AWS teknik incelemesi, AWS'nin müşterilere Schrems II kararına göre veri aktarımı değerlendirmeleri gerçekleştirmelerine yardımcı olmak için sunduğu hizmetler ve kaynaklar hakkında bilgilere ek olarak Avrupa Veri Koruma Kurulu'ndan müteakip tavsiyeler sağlar. Teknik inceleme aynı zamanda, müşteri verilerini korumak için AWS tarafından alınan ve kullanıma sunulan önemli ek önlemleri de açıklar.
-
AWS hizmetlerini kullanımımın GDPR ile uyumlu olduğunu bir veri koruma yetkilisine nasıl kanıtlayabilirim?
AWS, AWS'nin altyapısı için sürdürdüğü yüksek uygunluk düzeyini kanıtlamak için çeşitli güvenlik standartlarıyla ve düzenlemeleriyle uygunluğumuzu onaylayan üçüncü taraf denetçilerce hazırlanmış birkaç uygunluk raporu dahil olmak üzere müşterilere yararlı bilgiler sunar. Bu raporlar müşterilerimize AWS'de işlemeyi tercih ettikleri müşteri verilerini koruduğumuzu gösterir. Bunun örnekleri arasında AWS'nin ISO 27001, 27017 ve 27018 uygunluğu sayılabilir. ISO 27018, müşteri verilerinin korunmasına odaklanan güvenlik denetimleri içerir.
AWS, veri koruması için CISPE Davranış Kuralları ile de uyumludur. CISPE Davranış Kuralları hakkında daha fazla bilgi için aşağıdaki SSS bölümünde "AWS, bulut altyapısı hizmetlerine özel GDPR onaylı Davranış Kuralları ile uyumlu mu?" sorusuna bakın.
-
AWS, bulut altyapısı hizmetlerine özel GDPR onaylı CISPE Davranış Kuralları ile uyumlu mu?
Evet. Haziran 2023 itibarıyla, 107 AWS hizmeti Avrupa'daki Bulut Altyapısı Hizmet Sağlayıcıları (CISPE) Veri Koruma Davranış Kuralları ile uyumludur. CISPE, milyonlarca Avrupalı müşteriye hizmet veren bulut bilgi işlem liderlerinin oluşturduğu bir koalisyondur. CISPE Veri Koruma Davranış Kuralları (CISPE Kuralları), bulut altyapısı hizmet sağlayıcılarına odaklanan ilk Pan-Avrupa veri koruma davranış kurallarıdır. CISPE Kuralları, Avrupa genelinde 27 veri koruma yetkilisi adına hareket eden Avrupa Veri Koruma Kurulu tarafından onaylanmış ve baş denetim yetkilisi olarak hareket eden Fransız Veri Koruma Yetkilisi (CNIL) tarafından resmi olarak kabul edilmiştir. AWS, 2017'de CISPE Kurallarının daha eski bir sürümüyle uyumlu olduğunu duyurdu.
CISPE Kuralları, müşterilerin bulut altyapısı hizmet sağlayıcılarının GDPR ile uyumluluğu göstermek ve müşteri verilerini korumak için uygun operasyonel güvenceler sunmasını sağlamalarına yardımcı olur. CISPE Kuralların bazı önemli avantajları şunlardır:
- Bulut altyapısı odaklı: Müşteri verilerinin, yani bulut altyapı hizmeti kullanılarak müşteri adına işlenen tüm kişisel verilerin işlenmesiyle ilgili olarak GDPR kapsamında bulut altyapısı hizmet sağlayıcısının rolünün netleştirilmesi.
- Avrupa'daki veriler: Bulut altyapısı hizmet sağlayıcılarının, müşterilere hizmetleri yalnızca Avrupa Ekonomik Alanı (EEA) içindeki müşteri verilerini depolamak ve işlemek için kullanma seçeneği sunmasını gerektirir.
- Veri gizliliği: CISPE Kuralları, kuruluşlara bulut altyapısı hizmet sağlayıcılarının GDPR kapsamında kendi adlarına işlenen kişisel veriler (müşteri verileri) için geçerli gereksinimleri karşıladığını garanti eder.
AWS uyumluluk durumunu gösteren Uyumluluk Sertifikası, CISPE Kamu Sicili'nde mevcuttur. Listelenen AWS hizmetlerinin CISPE Kurallarına uygun olduğu bağımsız olarak doğrulanmıştır. Doğrulama işlemi, CNIL tarafından akredite edilmiş, küresel olarak tanınan bağımsız bir izleme kuruluşu olan Ernst & Young CertifyPoint (EY CertifyPoint) tarafından gerçekleştirilmiştir.
Teknik ve kurumsal önlemler
-
GDPR, AWS paylaşılan sorumluluk modelini nasıl etkiler?
GDPR, müşteriler için geçerli olmaya devam eden AWS paylaşılan sorumluluk modelini değiştirmez. Paylaşılan sorumluluk modeli, GDPR kapsamında AWS'nin (bir veri işleyicisi ve alt işleyici olarak) ve müşterilerin (veri denetçileri veya veri işleyicileri olarak) çeşitli sorumluluklarının gösterilmesi için kullanışlı bir yaklaşımdır.
Paylaşılan sorumluluk modeli kapsamında AWS, AWS hizmetlerini (“Bulutun Güvenliği”) destekleyen temel altyapının güvenliğini sağlamaktan sorumludur ve veri denetleyicileri veya veri işleyicileri olarak hareket eden müşteriler, AWS hizmetlerine (“Bulutta Güvenlik”) yükledikleri tüm kişisel verilerden sorumludur.
AWS'nin sorumluluğu “Bulutun Güvenliği” – AWS, AWS hizmetlerinin çalıştırıldığı altyapıyı korumaktan sorumludur. Bu altyapı, AWS hizmetlerini çalıştıran ve müşteriler kendi içeriklerinin işlenmesi için güvenlik yapılandırması denetimleri dahil olmak üzere güçlü denetimler sağlayan donanımlar, yazılımlar, ağ iletişimleri ve tesislerden oluşur. AWS, çeşitli bilgisayar güvenlik standartları ve düzenlemeleriyle uyumluluğumuzu doğrulayan üçüncü taraf denetçilerden çeşitli uyumluluk raporları sağlar (daha fazla bilgi için AWS Uyumluluğu web sayfasını ziyaret edin). Bu raporlar müşterilerimize müşteri verilerini koruduğumuzu gösterir. Örnekler arasında AWS’nin ISO 27001, 27017 ve 27018 uyumluluğu sayılabilir. ISO 27018, müşteri verilerinin korunmasına odaklanan güvenlik denetimleri içerir.
Müşteri sorumluluğu “Bulutta Güvenlik” - AWS müşterileri, AWS hizmetlerinde devreye almayı seçtikleri uygulama ve çözümlerin mimarisini ve güvenliğini sağlamaktan sorumludur. AWS müşterileri, AWS hizmetlerini müşteri verilerinin gizliliğini, bütünlüğünü ve güvenlik gereksinimlerini koruyacak şekilde yapılandırmaktan da sorumludur. Müşterilerin müşteri verilerini güvence altına almak için sahip olduğu belirli sorumluluklar, müşterilerin kullanmayı seçtikleri AWS hizmetlerine ve bu hizmetlerin müşterilerin BT ortamlarına nasıl entegre edildiğine bağlı olarak değişiklik gösterir. AWS müşterileri, müşteri verileri üzerinde görünürlük ve denetime sahiptir ve belirli türdeki müşteri verilerinin hassasiyetine dayalı olarak esnek güvenlik denetimleri uygulayabilir. Müşteriler bunu kendi güvenlik önlemleri ve araçlarını kullanarak veya AWS veya diğer tedarikçiler tarafından sağlanan güvenlik önlemleri ve araçlarını kullanarak yapabilir. Bu şekilde müşteriler, daha hassas müşteri verileri için ek güvenlik katmanları yerleştirebilir.
AWS, müşterilerin uygulamalarını ve çözümlerini tasarlamak ve güvenceye almak için kullanabilecekleri ve GDPR gereksinimlerini karşılamaya yardımcı olmak için dağıtılabilecek, aşağıdakiler de dahil olmak üzere, kullanılabilir ürünler, araçlar ve hizmetler sunar:
- AWS Identity and Access Management (IAM) ile kurumlar AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilir. Müşteriler, IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
- AWS CloudTrail, kurumların AWS'de gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu, güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
- Amazon GuardDuty, AWS hesaplarının ve iş yüklerinin korunmasına yardımcı olmak amacıyla sürekli olarak kötü amaçlı veya yetkisiz davranışları izleyen bir yönetilen tehdit algılama hizmetidir. Olağan dışı API çağrıları veya yetkisiz olabilecek dağıtımlar gibi olası hesap ihlallerine işaret edebilecek etkinlikleri izler. GuardDuty, güvenliği ihlal edilmiş olabilecek bulut sunucularını ve saldırganlar tarafından keşif gerçekleştirildiğini de algılar.
- Amazon Macie, Amazon S3'te depolanan kişisel verilerin bulunup sınıflandırılmasına yardımcı olmaya yönelik bir makine öğrenimi aracı
AWS kaynaklarının GDPR ile uyumlu olarak nasıl kullanılacağına ilişkin daha fazla ayrıntı için lütfen AWS’de GDPR Uyumluluğunda Gezinme başlıklı teknik incelememize bakınız.
-
AWS Çözüm Ortakları, GDPR uyumluluğuna yardımcı olacak ürünler ve hizmetler sunuyor mu?
GDPR uygunluğu konusunda yardımcı olabilecek ürün ve hizmetlere sahip ISV'leri, MSP'leri ve SI çözüm ortaklarını bulmaya yardımcı olmak amacıyla AWS Çözüm Ortağı Çözümleri Bulucu'da "GDPR" için arama yapabilirsiniz. Müşteriler, AWS Marketplace'te de "GDPR" çözümleri için arama yapabilir.
-
AWS, GDPR mevzuat uyumluluğu için profesyonel hizmetler yardımı sunuyor mu?
Evet, AWS Güvenlik Güvencesi Hizmetleri ekibinin, müşterilere GDPR uyumluluğuna giden yolculuklarında yardımcı olacak bir dizi etkinliği vardır. Sektör sertifikalı uyumluluk uzmanlarından oluşan bu ekip, geçerli uyumluluk standartlarını AWS hizmetine özgü özellikler ve işlevlerle birleştirerek müşterilerin bulutta uyumluluğu sağlamasına, sürdürmesine ve otomatikleştirmesine yardımcı olur. AWS Professional Services Danışmanlarının müşterilere nasıl yardımcı olduğu hakkında daha fazla ayrıntı burada bulunabilir.
-
GDPR uygunluğuna giden yolda AWS Support bana nasıl yardımcı olabilir?
Müşteriler, GDPR uyumluluğuna giden yolda kendilerine yardımcı olacak teknik rehberlik almak için AWS Support’u kullanabilir. Bu çalışmanın bir parçası olarak mevzuat uyumluluğu risklerinin belirlenip giderilmesine yardımcı olacak şekilde eğitilmiş Bulut Destek Mühendisi ve Teknik Müşteri Yöneticisi (TMY) ekiplerimiz vardır. AWS’nin sağladığı destek düzeyi, müşterilerin seçtiği AWS Support Plan’ına bağlıdır. AWS Premium Support aboneliğinin nasıl yardımcı olabileceğini anlamak isteyen müşteriler, AWS Management Console üzerinden erişilebilen AWS Support Center'da, AWS ile imzalanan Enterprise Support Sözleşmesi'nde belirtilen iletişim bilgilerini kullanarak veya AWS Support web sayfasını ziyaret ederek daha fazla bilgi edinebilir. Enterprise Support aboneliği olan müşteriler, GDPR ile ilgili soruları için TAM temsilcilerine ulaşmalıdır.
Müşteriler, GDPR uyumluluğunu sürdürürken aşağıdaki iki programı faydalı bulabilir:
- Cloud Operations Review – AWS Enterprise Support müşterilerinin yararlanabileceği bu program, bulutta çalışmaya yönelik yaklaşımdaki boşlukların tespit edilmesine yardımcı olacak şekilde tasarlanmıştır. AWS'nin büyük bir temsilci müşteri kümesiyle olan deneyimlerinden elde edilmiş bir dizi en iyi operasyonel uygulamadan yola çıkılarak oluşturulan bu program, bulut işlemlerini ve ilişkili yönetim uygulamalarını gözden geçirme olanağı sunarak GDPR uyumluluğuna giden yolda kurumlara yardımcı olabilir. Program, operasyonel kusursuzluğu hedefleyerek bulut kaynaklı sistemleri hazırlama, izleme, çalıştırma ve iyileştirmeye odaklı dört temel ilkeye dayanan bir yaklaşım kullanır.
- Well-Architected Review – Bu program, kurumların mimarilerini en iyi AWS uygulamalarıyla karşılaştırmalı bir biçimde ölçmesine ve güvenli, güvenilir, yüksek performanslı ve uygun maliyetli mimariler oluşturmasına imkan tanır. Well-Architected Review'lar müşterilerin mimarinin nerelerinde risk olduğunu anlamasına ve uygulamalar üretime geçirilmeden önce bu riskleri gidermesine de imkân tanır.
-
AWS, müşterilerin kişisel verilerin güvenliğinin ihlaline ilişkin bildirimler konusunda GDPR kapsamındaki yükümlülüklerini karşılamasına nasıl yardımcı olabilir?
AWS'nin bir güvenlik olayı izleme ve veri ihlali bildirim süreci vardır ve AWS'nin güvenliğine ilişkin ihlalleri müşterilere gecikmeden ve AWS DPA'ya uygun olarak bildirir. AWS, müşterilere sahip oldukları kaynaklara kimin, ne zaman ve nereden eriştiğini anlamaya yönelik bir dizi araç da sunar. Bu araçlardan biri de AWS hesabının yönetim, uyumluluk, operasyonel denetim ve risk denetimini mümkün kılan AWS CloudTrail'dır. AWS CloudTrail ile müşteriler, AWS altyapılarının tamamında gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydedebilir, sürekli olarak izleyebilir ve tutabilir. Bu, kurumların AWS altyapılarında olup bitenleri anlamasına ve olağan dışı etkinlikler karşısında hemen harekete geçmesine yardımcı olur. AWS CloudTrail ve AWS'nin veri denetçileri olarak GDPR kapsamında üstlendikleri yükümlülükleri yerine getirme konusunda müşterilere yardımcı olmak için sunduğu diğer güvenlik araçları hakkında daha fazla bilgi edinmek için şu adresi ziyaret edin: AWS Cloud Security web sayfası.
-
AWS, müşteri verilerimi siber saldırılara karşı korumama nasıl yardımcı olur?
AWS, müşterilere ve APN Çözüm Ortaklarına sahip oldukları müşteri verilerinin güvenliğinin sağlanmasına ve siber saldırılara karşı korunmasına yardımcı olmaya yönelik bir dizi araç sunar. Bu araçlardan biri de AWS Shield'dır. Bu, AWS'de çalışan web sitelerinin ve uygulamaların korunmasına yönelik, yönetilen bir Dağıtılmış Hizmet Engelleme (DDoS) koruma hizmetidir. AWS Shield Standard ek ücret olmaksızın sunulur ve uygulama kapalı kalma süresi ile gecikme süresini en aza indirebilecek her zaman açık algılama ve otomatik satır içi düzeltme olanağı sağlar. AWS'de çalışan ve ELB, Amazon CloudFront ve Amazon Route 53 kaynakları kullanan web uygulamalarını hedefleyen saldırılara karşı daha üst düzey bir koruma sağlamak isteyen müşteriler ve APN Çözüm Ortakları, AWS Shield Advanced hizmetine abone olabilir. AWS ayrıca müşterilerin AWS'yi kullanarak DDoS saldırılarına karşı dayanıklı uygulamalar geliştirmesine yardımcı olabilecek DDoS Dayanıklılığı için AWS En İyi Uygulamaları teknik incelemesini yayınlar ve düzenli olarak günceller.
AWS’nin müşteri verilerini siber saldırılara karşı korumaya yardımcı olması gereken diğer araçlar arasında şunlar yer alır:
- AWS Identity and Access Management (IAM) ile kurumlar AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilir. Müşteriler ve APN Çözüm Ortakları IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
- AWS Config, müşterilerin ve APN Çözüm Ortaklarının AWS kaynaklarının düzgün yapılandırılmış ve uyumlu bir durumda olduğundan emin olmasına yardımcı olan önceden paketlenmiş kuralları etkinleştirmesine imkan tanır.
- AWS CloudTrail, kurumların AWS'de gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu, güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
- Amazon GuardDuty, AWS hesaplarının ve iş yüklerinin korunmasına yardımcı olmak amacıyla sürekli olarak kötü amaçlı veya yetkisiz davranışları izleyen bir yönetilen tehdit algılama hizmetidir. Olağan dışı API çağrıları veya yetkisiz olabilecek dağıtımlar gibi olası hesap ihlallerine işaret edebilecek etkinlikleri izler. GuardDuty, güvenliği ihlal edilmiş olabilecek bulut sunucularını ve saldırganlar tarafından keşif gerçekleştirildiğini de algılar.
-
AWS’deki içeriğimdeki kişisel verileri tanımlamama yardımcı olacak hangi araçlar mevcut?
Amazon Macie, AWS'deki kişisel verilerinizi keşfetmek ve korumak için makine öğrenimi ve desen eşlemeyi kullanan, tamamen yönetilen bir veri güvenliği ve veri gizliliği hizmetidir. Kuruluşlar giderek artan veri hacimlerini yönetirken uygun ölçekte kişisel verilerini tanımlamak ve korumak her geçen gün daha karmaşık, pahalı ve zaman alan bir iş olabilir. Amazon Macie, uygun ölçekte kişisel verilerin keşfedilmesini otomatik hale getirir ve verilerinizi koruma maliyetini düşürür. Macie, AWS Organizations'da tanımladıklarınız hariç olmak üzere şifrelenmemiş klasörler, genel erişime açık klasörler ve AWS hesaplarıyla paylaşılan klasörlerin bir listesini içeren bir Amazon S3 klasörleri envanterini otomatik olarak sağlar. Ardından Macie, makine öğrenimi ve desen eşleme tekniklerini tanımlanması için seçtiğiniz klasörlere uygular ve kişisel veriler konusunda sizi uyarır.
Amazon Macie, uluslararası geçerliliği olan bulut güvenliği için ISO 27017, bulut gizliliği için ISO 27018 gibi standartlarda sertifikalıdır. Müşteriler ve APN Çözüm ortakları Macie'yi kullanarak erişim düzenlerine göre şüpheli etkinlikleri algılamak için kendi verilerine erişimi sürekli izleyebilir.
-
AWS'deki içeriklerimin içindeki kişisel verilere erişimi nasıl denetleyebilirim?
AWS, müşterilere GDPR uyumluluğu konusunda yardımcı olmak için AWS'de sahip oldukları içeriklerin barındırdığı kişisel verilere erişimi denetlemeye yönelik bir dizi araç sunar. Bunlara aşağıdakiler dahildir:
- Varsayılan olarak güvenlik, AWS hizmetlerinin varsayılan olarak güvenli olacak şekilde tasarlandığı anlamına gelir. Varsayılan yapılandırma kullanılırsa kaynaklara erişim yalnızca hesap sahibi ve kök yöneticisi tarafından açılabilecek şekilde kilitlenir.
- AWS Identity and Access Management (IAM) ile AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilirsiniz. Kurumlar IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
- AWS Multi-Factor Authentication, bir AWS hesabının kullanıcı adına ve parolasına ek olarak fazladan bir koruma katmanı sağlar. AWS, müşterilere sanal ve donanımsal MFA cihazları arasında seçim yapma seçeneği sunar.
- AWS Directory Service, müşteriler için kurumsal dizinlerle entegrasyon ve federasyon aracılığıyla yönetim yükünü azaltmanıza ve son kullanıcı deneyimini iyileştirmenize olanak tanır.
- AWS Config, müşterilerin AWS kaynaklarının düzgün yapılandırılmış ve uyumlu bir durumda olduğundan emin olmasına yardımcı olan önceden paketlenmiş kuralları etkinleştirmesine imkan tanır.
- AWS CloudTrail, müşterilerin AWS altyapıları arasında gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu, güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
- Amazon Macie, AWS'deki hassas verileri otomatik olarak keşfederek, sınıflandırarak ve koruyarak müşterilerin veri kaybını önlemesine yardımcı olmak için makine öğrenimi kullanan bir güvenlik hizmetidir. Tümüyle yönetilen hizmet, sürekli olarak veri erişimi etkinliğindeki anormallikleri izler ve yetkisiz erişim ya da yanlışlıkla veri sızdırma (müşterinin yanlışlıkla dış erişime açtığı hassas veriler gibi) durumu algıladığında ayrıntılı uyarılar oluşturur.
-
AWS'de barındırılan müşteri verilerinin yetkisiz erişimi önlemek için bunları nasıl şifreleyebilirim?
AWS, müşterilere ve APN Çözüm Ortaklarına buluttaki bekleyen müşteri verilerine ek bir güvenlik katmanı kazandırma olanağı sunar ve bunların GDPR kapsamındaki veri denetçileri olarak işleme güvenliği yükümlülüklerini karşılamasına yardımcı olur. AWS'de kullanılabilen şifreleme araçları:
- Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS ve Redshift gibi AWS depolama ve veritabanı hizmetlerinde sunulan veri şifreleme özellikleri
- Şifreleme anahtarlarının AWS tarafından yönetilmesinin tercih edilmesine veya müşterilerin anahtarların üzerinde tam denetim sahibi olmasına imkan tanıyan AWS Key Management Service gibi esnek anahtar yönetimi seçenekleri
- Amazon SQS için sunucu tarafı şifreleme (SSE) kullanılarak hassas verilerin aktarılması için şifrelenen ileti kuyrukları
- AWS CloudHSM ile tahsis edilmiş, donanım tabanlı şifreleme anahtarı depolama imkanı, müşterilerin mevzuat uyumluluğu gereksinimlerini karşılamasını mümkün kılar
AWS ayrıca müşterilerin ve APN Çözüm Ortaklarının bir AWS ortamında geliştirdiği veya dağıttığı herhangi bir hizmette şifreleme ve veri koruma entegrasyonu yapmasını mümkün kılan API'ler sağlar. -
AWS, müşterilerinin GDPR'ye uygunluk sağlamasına yardımcı olmak için hangi hizmetleri sunuyor?
AWS müşterilerin GDPR gereksinimlerini karşılamasına yardımcı olan belirli özellikler ve hizmetler sağlamaktadır:
Erişim Denetimi: AWS kaynaklarına yalnızca yetkili yöneticilerin, kullanıcıların ve uygulamaların erişmesine izin verin
- Multi-Factor-Authentication (MFA)
- Amazon S3 Klasörleri/ Amazon SQS/ Amazon SNS ve diğer hizmetlerdeki nesnelere ince ayrıntılı erişim
- API İsteği Kimlik Doğrulaması
- Coğrafi Kısıtlamalar
- AWS Security Token Service aracılığıyla geçici erişim belirteçleri
İzleme ve Günlük Kaydı: AWS kaynaklarınızdaki etkinliklerin genel bir görünümünü elde edin
- AWS Config ile Varlık Yönetimi ve Yapılandırması
- AWS CloudTrail ile Mevzuat Uyumluluğu Denetimi ve güvenlik analitiği
- AWS Trusted Advisor aracılığıyla yapılandırma zorluklarının belirlenmesi
- Amazon S3 nesnelerine erişimin ince ayrıntılarla günlüğe kaydedilmesi
- Amazon VPC Flow Logs aracılığıyla ağdaki akışlar hakkında ayrıntılı bilgi
- AWS Config Kuralları ile kural tabanlı yapılandırma denetimleri ve eylemleri
- AWS CloudFront'taki AWS WAF işlevleriyle uygulamalara HTTP erişiminin filtrelenmesi ve izlenmesi
Şifreleme: AWS'deki Verileri Şifreleme
- Bekleyen verilerinizin AES256 ile şifrelenmesi (EBS/S3/Glacier/RDS)
- Merkezi olarak yönetilen Anahtar Yönetimi (AWS Bölgesine göre)
- VPN-Gateway'ler ile AWS'ye IPsec tünelleri
- AWS CloudHSM ile bulutta tahsis edilmiş HSM modülleri
Güçlü Uyum Çerçevesi ve Güvenlik Standartları: Aşağıdakiler gibi katı uluslararası standartlarla uyumluluğu gösteririz:
- Teknik önlemler için ISO 27001
- Bulut güvenliği için ISO 27017
- Bulut gizliliği için ISO 27018
- SOC 1, SOC 2 ve SOC 3, PCI DSS Seviyesi 1,
- BSI’nin Ortak Bulut Bilişim Kontrolleri Kataloğu (C5)
- ENS High
AWS ve Birleşik Krallık GDPR'si
-
GDPR, Birleşik Krallık için halen geçerli mi?
GDPR bir AB yönetmeliğidir ve Brexit sonrasında Birleşik Krallık için geçerliliği sona ermiştir. Birleşik Krallık devleti, GDPR'nin gerekliliklerini "Birleşik Krallık GDPR'si" adı altında Birleşik Krallık kanunlarının kapsamına almıştır.
-
Müşteriler, Birleşik Krallık GDPR'sine uygun şekilde AWS'yi nasıl kullanabilir?
AWS; AWS DPA'ya eklenen ve AWS'nin veri işleyicisi olarak sağladığı taahhütleri Birleşik Krallık GDPR'sinin kapsamına alan, Birleşik Krallık GDPR'sine uygun bir Birleşik Krallık GDPR Eki sunmaktadır. Birleşik Krallık GDPR Eki, AWS Hizmet Koşulları'nın bir parçasıdır ve Birleşik Krallık GDPR'sine uygunluk amacıyla bir veri işleme anlaşması gerektiren tüm müşteriler için otomatik olarak geçerlidir.
-
Müşteriler, Birleşik Krallık GDPR'sine uygun şekilde müşteri verilerini nasıl aktarabilir?
AWS Hizmet Koşulları'nın bir parçası olan Birleşik Krallık GDPR Eki, Avrupa Komisyonu tarafından benimsenen SCC'leri ve Birleşik Krallık veri koruma düzenleyicisi (Bilgi Komisyonu Ofisi) tarafından yayınlanan uluslararası veri aktarımı ekini (IDTA) içermektedir. IDTA, kişisel veriler için yeterli bir koruma düzeyi sağlayan ülke olarak onaylanmamış Birleşik Krallık dışındaki ülkelere (Birleşik Krallık üçüncü ülkeleri) uluslararası veri aktarımları için Birleşik Krallık GDPR'si kapsamında uygun bir koruma sağlayacak şekilde SCC’leri değiştirmiştir. Birleşik Krallık GDPR Eki, bir müşteri Birleşik Krallık GDPR’sine tabi olan müşteri verilerini (Birleşik Krallık müşteri verileri) Birleşik Krallık üçüncü ülkelerine aktarmak için AWS hizmetlerini kullandığında SCC'ler (IDTA tarafından değiştirilmiş hâli) otomatik olarak geçerli olacaktır. AWS Hizmet Koşulları'ndaki Birleşik Krallık GDPR Eki'nin bir parçası olarak, bir müşteri Birleşik Krallık müşteri verilerini Birleşik Krallık üçüncü ülkelerine aktarmak için AWS hizmetlerini kullandığında SCC'ler (IDTA tarafından değiştirilmiş hâli) otomatik olarak geçerli olacaktır.
AWS ve İsviçre Federal Veri Koruma Kanunu
-
Müşteriler AWS'yi İsviçre Federal Veri Koruma Kanunu'na uygun şekilde nasıl kullanabilir?
AWS, İsviçre Federal Veri Koruma Kanunu ("FDPA") kapsamında veri işleyen olarak AWS Veri İşleme Eki'ne, AWS'nin taahhütlerini içeren bir İsviçre Eki ("İsviçre Eki") sunar. İsviçre Eki, AWS Hizmet Koşulları'nın bir parçasıdır (bkz. Bölüm 1.14.4) ve müşteri verilerini işlemek için müşterinin AWS hizmetlerini kullanımında FDPA geçerli olduğunda otomatik olarak uygulanır.
-
Müşteriler, FDPA'ya uygun şekilde müşteri verilerini nasıl aktarabilir?
AWS Hizmet Koşulları'nın bir parçası olan (bkz. Bölüm 1.14.4) AWS Veri İşleme Eki'ne İsviçre Eki, Avrupa Komisyonu tarafından kabul edilen ve İsviçre Federal Veri Koruma ve Bilgi Komisyonu tarafından gerektiği gibi değiştirilen Standart Sözleşme Maddelerini ("SCC'ler") içerir. İsviçre Eki, bir müşteri FDPA'ya tabi olan müşteri verilerini üçüncü ülkelere aktarmak için AWS hizmetlerini kullandığında SCC'lerin (İsviçre Eki tarafından değiştirilmiş şekliyle) otomatik olarak geçerli olacağını onaylar.
İletişim
-
GDPR ve AWS ile ilgili sorularım varsa kime ulaşmalıyım?
GDPR ile ilgili soruları olan müşterilerin önce AWS müşteri yöneticilerine başvurmasını öneririz. Müşteriler Enterprise Support aboneliğine sahipse Teknik Müşteri Yöneticilerine (TAM) de ulaşabilir. TAM'ler Çözüm Mimarlarıyla birlikte çalışarak müşterilerin olası riskleri ve olası düzeltme olanaklarını belirlemesine yardımcı olur. TAM'ler ve hesap ekipleri ayrıca belirli kaynaklara sahip olan müşterileri ve APN Çözüm Ortaklarını ortam ve gereksinimlerine göre yönlendirebilir.AWS'de, GDPR ile ilgili sorular konusunda yardımcı olabilecek Kurumsal Destek Temsilcileri ve Profesyonel Hizmetler Danışmanlarından oluşan ekiplerin yanı sıra başka çalışanlar da vardır. Herhangi bir sorunuz olması durumunda buradan bizimle iletişime geçebilirsiniz.