墨西哥資料隱私權
概觀
「保護私人持有個人資料的聯邦法律 (Federal Law on Protection of Personal Data Held by Private Parties) (LFPDPPP)」是在 2010 年 7 月發佈,規範由個人或私營部門之合法實體所執行的個人資料處理 (個人資料的定義為有關已識別或可識別自然人的資訊)。接著工會聯盟核准各項法規,規範了資料隱私權,其中包含「保護義務方持有個人資料的一般法律 (General Law on Protection of Personal Data Held by Obligated Parties) (LGPDPPSO)」,其規範公共部門的個人資料處理。可存取個人資料的資訊和保護 (INAI) 的「國家透明度組織 (The National Institute of Transparency)」,是墨西哥的自治憲法機構,負責確保法律及其法規的合規。
如果是私營部門,LFPDPPP 法規第 52 條指出只要雲端提供者符合保護個人資料隱私權相關特定規範,個人資料控制者可以使用雲端中的服務、應用程式和基礎設施。對於公共部門,相同的授權在 LGPDPPSO 第 63 條。
AWS 關心您的隱私權和您資料的安全。AWS 從核心基礎設施開始便重視安全。我們的基礎設施專為雲端設計且符合全球最嚴格的安全規定,透過全天候的監控以確保客戶資料的機密性、完整性和可用性。監控此基礎設施的同一批世界著名安全專家也負責建立和維護我們的各種創新安全服務,這些服務能協助您符合自身安全與監管需求。身為 AWS 客戶,無論您的規模多大或位置何在,您都能享有我們專業知識的所有優點,這是根據最嚴格第三方安全計劃實測得來。
AWS 在全球認可的安全認證和規範框架下,實施和維護適用於 AWS 雲端基礎設施服務的技術和組織安全措施,包括但不限於 ISO 27001、ISO 27017、ISO 27018、PCI DSS 第 1 級 和 SOC 1、2、3。這些技術和組織安全措施由獨立的第三方評估機構驗證,旨在防止未經授權存取或披露客戶內容。
例如,ISO 27018 是第一個專為保護雲端個人資料而成立的國際性作業標準。它的根據是 ISO 27002 資訊安全標準,並提供公有雲端服務提供者處理的個人身分識別資訊 (PII) 適用的 ISO 27002 控制應用指導方針。其向客戶展現 AWS 擁有一套控制系統,專門用來保護其內容的隱私權。
AWS 的技術和組織措施符合 LFPDPPP 和 LGPDPPSO 保護個人資料的要求。使用 AWS 服務的客戶可以保有其內容的控制權,並負責根據其特定需求而實作其他安全措施,包括內容分類、加密、存取管理和安全登入資料。
因為 AWS 無法查看客戶選擇儲存在 AWS 上的內容類型,包括內容是否受限於 LFPDPPP 和 LGPDPPSO,所以最終是客戶必須負責其自身的合規。當您在國際資料中心處理個人資料時,此頁面的內容可補充現有資料隱私權資源的不足之處,協助您的個人需求與 AWS 共同的責任模型保持一致。
常見問答集
-
我可以使用 AWS 服務並且符合 LFPDPPP 和 LGPDPPSO 規範嗎?
是。所有 AWS 服務都可以根據 LFPDPPP 和 LGPDPPSO 規範使用以儲存墨西哥個人資料,包括刪除資料的相關問題。這表示客戶除了從 AWS 已採取來維護服務安全的所有措施獲益之外,還可以根據 LFPDPPP 和 LGPDPPSO 規範實作 AWS 服務做為其計劃的關鍵元件。
-
客戶在保護其內容中扮演什麼角色?
根據 AWS 共同的責任模型,AWS 客戶可以控制選擇實作何種安全措施來保護自己的內容、平台、應用程式、系統和網路,這與他們對位於自己的設施中資料中心 (內部部署資料中心) 的應用程式的具體操作並無不同。客戶可以仰賴 AWS 提供的技術、組織安全措施以及各種控制功能來管理自己的合規需求。除了 AWS Identity and Access Management 等 AWS 安全功能之外,客戶也可使用常見安全措施來保護他們的資料,例如加密和多重因素認證。
當評估雲端解決方案的安全時,客戶需要特別了解下列項目並分辨其中的差別:
- AWS 實作和操作的安全措施 -「AWS 雲端安全」和
- 客戶實作和操作的安全方法,這與使用 AWS 服務的內容與應用程式安全有關 -「客戶雲端安全」
-
誰可以存取客戶內容?
客戶保有其內容的擁有權和控制權,並可選取由哪些 AWS 服務處理、存放和接收其內容。除了提供客戶選取的 AWS 服務或者需要遵守法律或具有約束力的法律命令之外,AWS 並無法查看客戶內容,也不會使用或存取內容。
使用 AWS 服務的客戶可以在 AWS 環境中保有其內容的控制權。客戶可以:
- 決定儲存內容所在的位置,例如儲存環境的類型和儲存環境所處的地理位置。
- 控制該內容的格式,例如純文字、遮罩、匿名或加密、使用 AWS 提供的加密或客戶選擇的第三方加密機制。
- 管理存取控制,例如身分與存取管理以及安全登入資料。
- 控制是否使用 TLS、Virtual Private Cloud 和其他網路安全措施來防止未經授權的存取。
這可讓 AWS 客戶在 AWS 上控制其內容的整個生命週期,並根據自己的特定需求管理其內容,包括內容分類、存取控制、保留和刪除。
-
客戶內容將存放於何處?
AWS 全球基礎設施給予您選擇工作負載執行方式和位置的彈性。當您想要執行的時候,使用相同的 AWS 網路、控制平面、API 和服務。如果您想在全球範圍內執行應用程式,則可以從任何 AWS 區域和可用區域中進行選擇。客戶可以選擇要存放客戶內容的 AWS 區域,根據您的特定地理需求,在選擇的位置實作 AWS 服務。例如,如果位於澳大利亞的 AWS 客戶想要僅將其資料放在澳大利亞,可以選擇將 AWS 服務全都部署在 AWS 亞太區域 (雪梨) 區域。如果您想要了解其他靈活的儲存選項,請參閱 AWS 區域網頁。
您可在一個以上 AWS 區域複寫和備份客戶內容。除非在為遵守法律或政府機構具有約束力的指令所需,否則未經您同意,我們不會將您的內容轉移出或複寫到您所選擇的 AWS 區域以外的地方。但是請注意,並非所有 AWS 區域均提供所有 AWS 服務。如需有關不同 AWS 區域可用服務的詳細資訊,請參閱 AWS 區域服務網頁。
AWS 資料中心位於全球不同國家/地區的群組中。我們的每個資料中心群組都稱為「區域」。
AWS 客戶可選擇要在哪個 AWS 區域存放其內容。如此可讓有特定地理位置需求的客戶將環境建立在自己選擇的位置。
客戶可以在多個區域複寫和備份內容,但 AWS 不會將客戶內容移動到客戶所選區域以外的地方,除非根據客戶要求提供服務或是為了遵守適用的法律。 -
AWS 如何保護其資料中心?
AWS 對於資料中心安全的方法是根據可擴展的安全控制和多層次的保護,以協助保護客戶資訊。例如,AWS 會謹慎管理洪水和地震的潛在風險。我們使用實體屏障、安全保護、威脅偵測技術和徹底檢閱流程來限制對資料中心的存取。我們會備份自己的系統、頻繁測試設備和流程,並持續訓練 AWS 員工為突發事件做好準備。
為了驗證我們資料中心的安全,外部稽核機構會針對超過 2,600 項的標準和規定進行全年度的測試。透過這樣的獨立檢閱,我們可以確保始終符合安全標準,甚至超出預期。因此,全世界最高度管制的組織都信任 AWS 可保護他們的資料。
觀看虛擬教學 »,進一步了解我們如何有計劃的保護 AWS 資料中心 -
我可以使用哪些 AWS 區域?
客戶可以選擇使用任一區域、所有區域或任意區域組合,包括巴西和美國區域。如需 AWS 區域的完整清單,請瀏覽 AWS 全球基礎設施頁面。