您可以選擇將您的客戶資料存放在我們的任何一個或多個歐洲區域，包括法國、德國、愛爾蘭、義大利、西班牙和瑞典的歐盟地區。您還可以選擇將您的客戶資料存放在我們的瑞士和英國區域。瑞士和英國目前都根據 GDPR 對個人資料傳輸做出了適足性認定。使用 AWS 服務時，您也可以確信您的客戶資料就放置在您所選取的 AWS 區域中。有小部分 AWS 服務涉及資料傳輸，例如，為了開發和改善特定服務，在這種情況下您可以選擇退出傳輸；或者因為傳輸本身就是服務的主要部分 (例如內容交付服務)。我們禁止且我們的系統旨在防止 AWS 人員出於任何目的 (包括服務維護) 從遠端存取客戶資料，除非您自己要求存取，或除非防止欺詐和濫用或是為了遵守法律而需要存取。我們承諾遵守重要的歐盟隱私權、可攜性和數位主權計劃 – 包括歐洲雲端基礎設施服務供應商聯盟 (CISPE) 行為準則、歐盟執行委員會標準合約條款 (SCC)、SWIPO 基礎架構即服務 (IaaS) 行為準則和 GAIA-X。

我們的合約以通俗易懂的語言編寫，並且包括超出其他雲端供應商提供的保護客戶資料的承諾。我們對您的堅定承諾建立在我們長期質疑執法申請的記錄之上。如果我們收到來自政府機構有關客戶資料的執法申請，無論是在歐洲經濟區 (EEA) 內部還是外部；對過於廣泛的申請，或者我們有任何適當的理由這樣做，包括申請與歐盟法律衝突，如我們的 AWS GDPR DPA 增補合約中所述，我們承諾會提出質疑。我們還提供雙年度資訊申請報告，描述 AWS 從執法部門收到的資訊申請的類型和數量。

我們對保護歐盟客戶資料的承諾是透明的。我們的 AWS GDPR 資料處理增補合約 (AWS GPDR DPA)，包括標準合約條款，自動適用於受《一般資料保護規範》(GDPR) 約束的客戶。此外，若使用 AWS 服務來處理英國客戶資料 (如 AWS 英國 GDPR 增補合約中定義) 時適用於英國 GDPR，則也要適用於 AWS GDPR DPA 合約裡面的英國 GDPR 增補合約。作為我們持續承諾的一部分，我們提供 AWS 服務的隱私權功能資源，以協助您確定維護和向您佈建我們的服務是否可能涉及將客戶資料傳輸到您選擇存放客戶資料的 AWS 區域之外。這些資源可讓您更輕鬆地遵守 (及證明符合) 法規，包括歐盟《一般資料保護規範》(GDPR)。它們還可協助您根據歐洲資料保護委員會 (EDPB) 關於按照 "Schrems II" 傳輸個人資料的建議完成資料傳輸評定。您可以選取使用僅在歐盟存放和處理客戶資料的 AWS 服務。我們的歐盟《一般資料保護規範》(GDPR) 中心提供了連結。

在 AWS，安全性是我們的首要考量，而雲端安全是 AWS 和我們客戶的共同的責任。您可以透過我們全面的服務 (無論是 Amazon GuardDuty 還是 EC2 執行個體的基礎平台 AWS Nitro System)，來提升滿足核心安全性、機密性和合規性要求的能力。我們所設計的 Nitro 系統具備工作負載保密功能，連操作者都無法存取。Nitro 系統沒有可讓任何系統或人員登入 EC2 伺服器、讀取 EC2 執行個體的記憶體或存取執行個體儲存體上所存任何資料的機制，亦無法存取加密 EBS 磁碟區上所存的任何資料。此外，AWS CloudHSM 和 AWS Key Management Service 等服務可讓您安全地產生和管理加密金鑰，而 AWS Config 和 AWS CloudTrail 可提供監控和記錄功能，以實現合規與稽核效果。

我們會遵守國際公認的標準，例如 Cloud Computing Compliance Controls Catalog (C5) 和 Esquema Nacional de Seguridad (ENS)。我們還獲得了 PCI-DSS、Hébergement de Données de Santé (HDS，法國) 和 TISAX (歐洲汽車) 等認證，可協助滿足歐盟主管機關的合規要求。金融服務提供者、醫療保健提供者及政府機構都是我們的客戶，他們信任我們並將一些極敏感資訊交由我們管理。

進一步了解 AWS 安全、身分和合規服務。