مركز اللائحة العامة لحماية البيانات (GDPR)

في 16 يوليو 2020، أصدرت محكمة العدل التابعة للاتحاد الأوروبي (CJEU) حُكمًا بشأن نقل البيانات الشخصية الخاصة بالأفراد داخل الاتحاد الأوروبي إلى خارج المنطقة الاقتصادية الأوروبية (Schrems II). في Schrems II، أصدرت محكمة العدل التابعة للاتحاد الأوروبي (CJEU) حُكمًا مفاده أن درع الخصوصية بين الاتحاد الأوروبي والولايات المتحدة لم يعد آليةً صالحةً لنقل البيانات الشخصية من المنطقة الاقتصادية الأوروبية إلى الولايات المتحدة. إلا أنه في نفس الحُكم، أكدت محكمة العدل التابعة للاتحاد الأوروبي (CJEU) أنه يمكن للشركات (مع مراعاة تنفيذ التدابير التكميلية، إذا لزم الأمر) الاستمرار في استخدام البنود التعاقدية القياسية كآلية صالحة لنقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية. قدم المجلس الأوروبي لحماية البيانات (EDPB)، وهو هيئة أوروبية مكونة من ممثلين عن الهيئات الوطنية الخاصة بحماية البيانات، منذ ذلك الحين قائمةً غير شاملة بالتدابير التكميلية في "توصياته الصادرة 01/2020 بشأن التدابير التي تتمم أدوات النقل لضمان الامتثال إلى مستوى الاتحاد الأوروبي في حماية البيانات الشخصية " (توصيات المجلس الأوروبي لحماية البيانات (EDPB)).

تقدم توصيات المجلس الأوروبي لحماية البيانات (EDPB) لمصدّري البيانات أمثلةً للتدابير التكميلية التي يمكن تنفيذها. راجع السؤال الشائع "هل يمكنني الاستمرار في استخدام خدمات AWS بعد الحُكم Schrems II؟" أدناه للحصول على تفاصيل حول موارد نقل البيانات في AWS.

نعم، يستطيع عملاء AWS مواصلة استخدام خدمات AWS في نقل بيانات العملاء من أوروبا إلى بلدان خارج المنطقة الاقتصادية الأوروبية لم تحصل على قرار كفاية من المفوضية الأوروبية. أَقرّ الحُكم Schrems II بصحة استخدام البنود التعاقدية القياسية (SCC) كآلية لنقل بيانات العملاء خارج المنطقة الاقتصادية الأوروبية ويمكن لعملاء AWS الاستمرار في الاعتماد على البنود التعاقدية القياسية (SCC) في نقل بيانات العملاء خارج المنطقة الاقتصادية الأوروبية بما يتوافق مع اللائحة العامة لحماية البيانات (GDPR).

• موقع المعالجة. يختار العملاء منطقة AWS التي يتم بها تخزين بيانات عملائهم. يمكن العثور على نظرة عامة حول مناطق AWS المتوفرة ضمن المناطق ومناطق توافر الخدمات. لا تُعالج AWS بيانات العملاء خارج منطقة AWS المحددة الخاصة بالعميل ما لم يكن ذلك ضروريًا لغرض تقديم خدمات AWS التي بدأها العميل، أو حسب الضرورة امتثالاً للقانون أو امتثالاً لأمر ملزم صادر عن هيئة حكومية. يُرجى الاطلاع على صفحة ميزات الخصوصية على الويب لمعرفة المزيد حول عمليات نقل البيانات كجزء من خدمات AWS.
• المعالجات الفرعية. يحق لـ AWS استخدام معالجات فرعية، مثل الشركات التابعة إلى AWS أو أطراف خارجية للمساعدة في معالجة بيانات العملاء، أو للوفاء بالتزاماتنا تجاه العملاء بموجب ملحق معالجة البيانات في AWS ‏(AWS DPA)، أو لتقديم الخدمات نيابةً عنا. راجع السؤال الشائع "هل تستخدم AWS معالجات فرعية لمعالجة بيانات العملاء؟" أدناه للحصول على التفاصيل.
• أدوات النقل. نظرًا لأن حُكم Schrems II قد أَقرّ بصحة استخدام البنود التعاقدية القياسية كآلية لنقل البيانات إلى بلدان خارج المنطقة الاقتصادية الأوروبية لم تحصل على قرار كفاية من المفوضية الأوروبية، يمكن لعملائنا الاستمرار في الاعتماد على البنود التعاقدية القياسية الواردة في ملحق معالجة البيانات في AWS ‏(AWS DPA) إذا اختاروا نقل بياناتهم خارج المنطقة الاقتصادية الأوروبية بما يتوافق مع اللائحة العامة لحماية البيانات (GDPR).
• التدابير التكميلية.
  • تحكم العملاء. يتمتع العملاء بالملكية والتحكم في بيانات عملائهم في جميع الأوقات من خلال أدوات بسيطة لكنها قوية تمكّنهم من تحديد مكان تخزين بيانات عملائهم، وتأمين بيانات عملائهم أثناء النقل وأثناء عدم النشاط، وإدارة وصول المستخدم إلى موارد AWS الخاصة بهم وتعديل بيانات العملاء وحذفها واسترجاعها.
  • التدابير الفنية والتنظيمية. تنفذ AWS العمليات والضوابط المادية والفنية المسؤولة والمتطورة التي تهدف إلى منع الوصول غير المصرح به إلى بيانات العملاء أو الكشف عنها (تفضل بزيارة صفحة امتثال AWS على الويب للحصول على مزيد من المعلومات). إننا نوفر أيضًا عددًا من خدمات التشفير المتقدمة وخدمات إدارة المفاتيح (بما في ذلك الخدمات التي تسمح للعملاء بإدارة مفاتيحهم) التي يمكن للعملاء استخدامها في حماية بيانات عملائهم أثناء النقل وأثناء عدم النشاط - حيث يتعذر الوصول إلى بيانات العميل المشفرة بدون مفاتيح فك التشفير المطبقة. بغض النظر عما إذا كانت بيانات العميل مشفرةً أو غير مشفرة، نتحلى دومًا باليقظة في العمل لحماية بيانات العملاء من أي وصول غير مصرح به.
  • طلبات إنفاذ القانون. يتوفر لدى AWS عمليات داخلية للتعامل مع الطلبات التي نتلقاها من جهات إنفاذ القانون. عندما نتلقى طلبًا من جهة إنفاذ القانون للحصول على بيانات العملاء، فإننا نفحص الطلب بعناية للتحقق من دقته وللتحقق من أنه ملزم ويتوافق مع جميع القوانين السارية. ما لم يكن محظورًا من الناحية القانونية، تُخطر AWS العملاء قبل الكشف عن البيانات حتى يتمكن العملاء من اتخاذ المزيد من الخطوات لطلب الحماية من الكشف. في الملحق التكميلي لملحق معالجة البيانات في AWS ‏(AWS DPA) (الملحق التكميلي)، تقدم AWS التزاماتٍ تعاقديةً معززةً فيما يتعلق بالتعامل مع الطلبات الحكومية الخاصة ببيانات العملاء، بما في ذلك الالتزام بما يلي (1) استخدام كل جهد معقول لإعادة توجيه أي هيئة حكومية تطلب بيانات العميل إلى العميل المعني، و(2) إخطار العميل على الفور بالطلب إذا كان ذلك مسموحًا قانونًا (بما في ذلك استخدام جميع الجهود المعقولة والقانونية للحصول على تنازل عن الحظر إن لزم الأمر)، و(3) الطعن في أي طلب مبالغ فيه أو فضفاض أو غير مناسب، بما في ذلك الطلب الذي يتعارض مع قانون الاتحاد الأوروبي، و(4) إذا ظلت، بعد استنفاد الخطوات الموضحة أعلاه، AWS مضطرةً للكشف عن بيانات العميل استجابةً لطلب حكومي، فإنها لا تكشف إلا عن الحد الأدنى من بيانات العميل المطلوب كشفه تلبيةً للطلب.
  • التدابير التعاقدية. تقدم AWS عدة التزامات تعاقدية للتدابير الموضحة أعلاه والتي تنعكس في ملحق معالجة البيانات في AWS ‏(AWS DPA) والملحق التكميلي. يتضمن ملحق معالجة البيانات في AWS ‏(AWS DPA) والملحق التكميلي الالتزامات التعاقدية من AWS المتعلقة بما يلي (1) اختيار العميل لمناطق AWS التي يتم فيها تخزين بيانات العميل ومعالجتها، و(2) كل من التدابير الفنية والتنظيمية التي نفذتها AWS لحماية بنية AWS الأساسية والتدابير التنظيمية الفنية التي يختار العملاء تطبيقها لحماية بيانات عملائهم، و(3) تدابير AWS لحماية بيانات العميل وإبلاغ العميل في حالة طلب إحدى الهيئات الحكومية الكشف عن بياناته، و(4) قدرة AWS على الوفاء بالتزاماتها المنصوص عليها في ملحق معالجة البيانات في AWS ‏(AWS DPA) وفقًا للتشريعات المعمول بها في بلد آخر تتم فيه معالجة بيانات العميل. يتناول الملحق التكميلي أيضًا (5) الحقوق القانونية للأفراد للمطالبة بالتعويض في حالة انتهاك حقوقهم التي تنص عليها اللائحة العامة لحماية البيانات (GDPR).

نعم، تستخدم AWS ثلاثة أنواع من المعالجات الفرعية: (1) كيانات AWS التي توفر البنية الأساسية التي تعمل عليها خدمات AWS؛ و(2) كيانات AWS التي تدعم خدمات AWS معينة التي قد تتطلب من هذه الكيانات معالجة بيانات العملاء؛ و(3) الأطراف الخارجية التي تعاقدت معها AWS لتقديم أنشطة المعالجة لخدمات AWS معيّنة. تقدم صفحة المعالجات الفرعية في AWS على الويب مزيدًا من المعلومات حول المعالجات الفرعية التي تستخدمها AWS وفقًا لملحق معالجة البيانات في AWS ‏(AWS DPA) لتوفير أنشطة المعالجة على بيانات العملاء نيابةً عن العملاء. تعتمد المعالجات الفرعية ذات الصلة بالعميل الفردي على منطقة AWS التي يختارها العميل وخدمات AWS المعينة التي يستخدمها العميل.

يوفر مستند AWS الفني، استكشاف الامتثال لمتطلبات نقل البيانات في الاتحاد الأوروبي، معلومات عن الخدمات والموارد التي توفّرها AWS للعملاء لمساعدتهم في إجراء تقييمات نقل البيانات في ضوء حكم Schrems II، والتوصيات اللاحقة من مجلس حماية البيانات الأوروبي. يصف المستند الفني أيضًا التدابير التكميلية الرئيسة التي تم اتخاذها وإتاحتها بواسطة AWS لحماية بيانات العملاء.

تقدم AWS معلومات مفيدةً للعملاء، منها العديد من تقارير الامتثال المقدمة من مدققين تابعين إلى جهات خارجية، قاموا بالتحقق من امتثالنا لمجموعة متنوعة من المعايير واللوائح الخاصة بالأمان، لإثبات المستويات العالية من الامتثال الذي تحافظ عليه AWS فيما يتعلق ببنيتها الأساسية. إذ تُظهر هذه التقارير لعملائنا، أننا نحمي بيانات عملائهم التي اختاروا معالجتها على AWS. من الأمثلة على هذا امتثال AWS لـ ISO 27001، و27017، و27018. حيث يحتوي ISO 27018 على ضوابط أمان تركز على حماية بيانات العملاء.

كما أن AWS تمتثل إلى مدونة قواعد سلوك CISPE الخاصة بحماية البيانات. يمكن العثور على مزيد من المعلومات حول مدونة قواعد السلوك الخاصة برابطة مقدّمي خدمات البنية الأساسية السحابية في أوروبا (CISPE) في السؤال الشائع أدناه، "هل تمتثل AWS لمدونة قواعد السلوك المعتمدة من اللائحة العامة لحماية البيانات (GDPR) في ما يخصّ خدمات البنية التحتية السحابية؟"

نعم. اعتبارًا من يونيو/حزيران 2023، كانت 107 من خدمات AWS متوافقة مع مدونة قواعد سلوك الخاصة بحماية بيانات مقدمي خدمات البنية التحتية السحابية في أوروبا (CISPE). CISPE هو ائتلاف من قادة الحوسبة السحابية يخدم ملايين العملاء الأوروبيين. مدوّنة قواعد سلوك CISPE المتعلقة بحماية البيانات (مدونة CISPE)؛ وهي أول مدونة قواعد سلوك لحماية البيانات لعموم أوروبا تركز على مقدمي خدمات البنية التحتية السحابية. تمت الموافقة على قانون CISPE من قبل المجلس الأوروبي لحماية البيانات، نيابةً عن سلطات حماية البيانات الـ 27 في جميع أنحاء أوروبا، وتم اعتماده رسميًا من قبل هيئة حماية البيانات الفرنسية (CNIL)، التي تعمل كسلطة إشرافية رائدة. عام 2017 أعلنت AWS امتثالها مع النسخ السابقة من مدونة CISPE.

تساعد مدونة CISPE العملاء في التأكد من أن موفر خدمات البنية التحتية السحابية الخاص بهم يقدم الضمانات التشغيلية المناسبة التي تُثبت الامتثال إلى اللائحة العامة لحماية البيانات (GDPR) وتحمي بيانات العملاء. ومن المزايا الرئيسة لمدونة CISPE ما يلي:

• التركيز على البنية التحتية السحابية: توضيح دور موفر خدمة البنية التحتية السحابية بموجب اللائحة العامة لحماية البيانات (GDPR) فيما يتعلق بمعالجة بيانات العملاء - بمعنى أي بيانات شخصية تتم معالجتها نيابةً عن العميل باستخدام خدمة البنية التحتية السحابية.
• البيانات في أوروبا: تطلب من موفري خدمات البنية التحتية السحابية منح العملاء خيار تحديد الخدمات التي تخزن بيانات العملاء وتعالجها بالكامل داخل المنطقة الاقتصادية الأوروبية.
• خصوصية البيانات: تضمن مدونة CISPE للمنظمات أن مقدمي خدمة البنية التحتية السحابية يلبون المتطلبات السارية على البيانات الشخصية المُعالجة نيابة عنهم (بيانات العميل) بموجب اللائحة العامة لحماية البيانات (GDPR).

تتوفر شهادة الامتثال التي توضح حالة امتثال AWS في سجل CISPE العام. تم التحقق بشكل مستقل من خدمات AWS المدرجة باعتبارها متوافقة مع مدونة CISPE. تم إجراء عملية التحقق من قبل Ernst & Young CertifyPoint (EY CertifyPoint)، وهي هيئة مراقبة مستقلة ومعترف بها عالميًا ومعتمدة من CNIL.

اللائحة العامة لحماية البيانات (GDPR) لا تغيّر من نموذج المسؤولية المشتركة الذي تتّبعه AWS، وسيظل ساريًا للعملاء. نموذج المسؤولية المشتركة هو نهج مفيد لتوضيح مسؤوليات AWS المختلفة (كمعالج بيانات أو معالج فرعي) والعملاء (كمتحكمين في البيانات أو معالجي بيانات) بموجب اللائحة العامة لحماية البيانات (GDPR).

بموجب نموذج المسؤولية المشتركة، تتحمل AWS المسؤولية عن تأمين البنية التحتية الأساسية التي تدعم خدمات AWS ("أمان" السحابة ")، ويُعد العملاء الذين يعملون كمتحكمين في البيانات أو كمعالجي بيانات مسؤولين عن أي بيانات شخصية يقومون بتحميلها إلى خدمات AWS ("الأمان "في" السحابة").

مسؤولية AWS "أمان السحابة" - تتحمل AWS المسؤولية عن حماية البنية التحتية العالمية التي تُشغِّل جميع خدمات AWS. تتألف هذه البنية التحتية من الأجهزة والبرامج والشبكات والمرافق التي تقوم بتشغيل خدمات AWS، والتي توفر الضوابط القوية للعملاء، بما في ذلك ضوابط تكوين الأمان، لمعالجة محتوى العملاء. توفر AWS العديد من تقارير الامتثال من جهات تدقيق خارجية التي تحققت من امتثالنا من خلال مجموعة متنوعة من معايير ولوائح أمان الكمبيوتر (للمزيد من المعلومات، تفضل بزيارة صفحة امتثال AWS على الويب). إذ تُظهر هذه التقارير لعملائنا، أننا نحمي بياناتهم عملائهم. من الأمثلة امتثال AWS لـ ISO 27001 و27017 و27018. حيث يحتوي ISO 27018 على ضوابط أمان تركز على حماية بيانات العملاء.

مسؤولية العميل "الأمان في السحابة" - يتحمل عملاء AWS مسؤولية تصميم وتأمين التطبيق والحلول التي يختارون نشرها على خدمات AWS. يتحمل عملاء AWS أيضًا مسؤولية تكوين خدمات AWS بطريقة تحمي السرية والسلامة واحتياجات الأمان لبيانات عملائهم. تختلف المسؤوليات التي يضطلع بها العملاء لتأمين بيانات عملائهم بناءً على خدمات AWS التي يختار العملاء استخدامها وكيفية دمج هذه الخدمات في بيئات تكنولوجيا المعلومات الخاصة بالعملاء. يتمتع عملاء AWS بإمكانية الرؤية والتحكم في بيانات عملائهم ويمكنهم تنفيذ ضوابط أمان مرنة بناءً على حساسية نوع بيانات العملاء. يمكن للعملاء القيام بذلك من خلال استخدام تدابير وأدوات الأمان الخاصة بهم، أو باستخدام تدابير وأدوات الأمان التي توفرها AWS أو يوفرها الموردون الآخرون. بهذه الطريقة، يمكن للعملاء تنفيذ طبقات أمان إضافية لبيانات العملاء الأكثر حساسية.

توفر AWS المنتجات والأدوات والخدمات التي يمكن للعملاء استخدامها في تصميم وتأمين تطبيقاتهم وحلولهم والتي يمكن نشرها للمساعدة في التعامل مع متطلبات اللائحة العامة لحماية البيانات (GDPR)، بما في ذلك:

• تمكِّن AWS Identity and Access Management‏ (IAM) المؤسسات من إدارة الوصول إلى خدمات وموارد AWS على نحو آمن. باستخدام IAM، يمكن للعملاء إنشاء مستخدمين ومجموعات في AWS وإدارتها، واستخدام الأذونات للسماح بالوصول إلى موارد AWS ورفضها أيضًا. IAM هي ميزة في حسابات AWS بدون أي رسوم إضافية.
• تسمح AWS CloudTrail للمؤسسات بتسجيل المعلومات المتعلقة بنشاط الحساب ومراقبتها باستمرار والإبقاء عليها، ما يسهل عملية تحليل الأمان وتتبع تغيير الموارد واستكشاف الأخطاء وإصلاحها (يتم تمكين AWS CloudTrail على جميع حسابات AWS افتراضيًا).
• Amazon GuardDuty هي خدمة مدارة للكشف عن التهديدات من شأنها إجراء المراقبة المستمرة للكشف عن السلوك الضار أو غير المصرح به للمساعدة في حماية حسابات وأعباء عمل حسابات AWS. وتقوم بالمراقبة للكشف عن أنشطة يمكنها الإشارة إلى اختراق حساب محتمل مثل استدعاءات واجهة برمجة التطبيقات غير العادية أو عمليات النشر المحتمل أنها غير مصرح بها التي تشير إلى إمكانية اختراق الحساب. وتكشف خدمة GuardDuty أيضًا عن المثيلات المحتمل تعرضها للاختراق أو عمليات الاستطلاع التي ينفذها المخترقون.
• Amazon Macie أداة تعلم آلة تساعد في اكتشاف وتصنيف البيانات الشخصية المخزنة في Amazon S3.

يُرجى الاطلاع على المستند الفني الخاص بنا، استكشاف امتثال اللائحة العامة لحماية البيانات (GDPR) على AWS، للحصول على مزيد من التفاصيل حول كيفية استخدام موارد AWS بما يتوافق مع اللائحة العامة لحماية البيانات (GDPR).

نعم، يمكنك البحث عن "اللائحة العامة لحماية البيانات (GDPR)" في باحث حلول شركاء AWS للمساعدة في العثور على بائعي البرمجيات المستقلين (ISVs) ومقدمي الخدمات المدارة (MSPs) وشركاء جهات تكامل الأنظمة (SI) الذين لديهم منتجات وخدمات للمساعدة في الامتثال إلى اللائحة العامة لحماية البيانات (GDPR). يمكن للعملاء أيضًا البحث عن حلول "اللائحة العامة لحماية البيانات (GDPR)" في AWS Marketplace.

نعم، يضطلع فريق ضمان الأمان في AWS ببعض الأنشطة التي تساعد العملاء في رحلتهم نحو الامتثال إلى اللائحة العامة لحماية البيانات (GDPR). إن هذا الفريق الذي يضم محترفي امتثال معتمدين في الصناعة يساعد العملاء على تحقيق وصيانة وأتمتة الامتثال في السحابة عن طريق الجمع بين معايير الامتثال المعمول بها وبين بعض ميزات ووظائف خدمة AWS. يمكن العثور على مزيد من التفاصيل حول كيفية مساعدة مستشاري خدمات AWS الاحترافية للعملاء هنا.

يستخدم العملاء AWS Support لتلقي التوجيه الفني لمساعدتهم في طريقهم نحو الامتثال إلى اللائحة العامة لحماية البيانات (GDPR). وكجزء من هذا النشاط، لدينا فِرق من مهندسي الدعم السحابي ومديري الحسابات الفنيين (TAMs) الذين تم تدريبهم للمساعدة في تحديد مخاطر الامتثال والتخفيف منها. يعتمد مستوى الدعم الذي تقدمه AWS على خطة AWS Support التي يختارها العملاء. إن العملاء الذين يسعون إلى فهم كيف يستطيع AWS Premium Support مساعدتهم في العثور على مزيد من المعلومات في AWS Support Center، المتاح من خلال وحدة إدارة تحكم AWS، من خلال استخدام تفاصيل جهة الاتصال المحددة في اتفاقية دعم المؤسسات المبرمة مع AWS، أو من خلال زيارة صفحة AWS Support على الويب. ويجب على العملاء المشتركين في Enterprise Support التواصل مع مدير الحساب الفني (TAM) لطرح الأسئلة المتعلقة باللائحة العامة لحماية البيانات (GDPR).

قد يجد العملاء البرنامجين التاليين مفيدين أثناء سعيهم للامتثال إلى اللائحة العامة لحماية البيانات (GDPR):

• مراجعة العمليات السحابية - متوفر لعملاء AWS Enterprise Support، وقد تم تصميم هذا البرنامج للمساعدة في تحديد الفجوات في نهجهم للعمل في السحابة. إذ ينشأ هذا البرنامج من مجموعة من أفضل الممارسات التشغيلية المستمدة من تجربة AWS مع مجموعة كبيرة من العملاء التمثيليين، ويوفر أيضًا مراجعة لعمليات السحابة وممارسات الإدارة المرتبطة بها، والتي يمكن أن تساعد الشركات في رحلتها نحو الامتثال للائحة العامة لحماية البيانات. ويستخدم البرنامج نهجًا من أربع ركائز مع التركيز على إعداد الأنظمة القائمة على السحابة ومراقبتها وتشغيلها وتحسينها في السعي لتحقيق التميز التشغيلي.
• مراجعة Well-Architected - يتيح هذا البرنامج للمنظمات قياس بنيتها وفقًا لأفضل ممارسات AWS وإنشاء هياكل آمنة وموثوقة وعالية الأداء وفعالة من حيث التكلفة. إذ تتيح مراجعات Well-Architected للعملاء فهم مكمن المخاطر في بنيتهم ومعالجتها قبل إدخال التطبيقات في مرحلة الإنتاج.

تمتلك AWS إجراءات تختص بمراقبة حوادث الأمان وبإشعارات انتهاك البيانات وتقوم بإخطار العملاء بانتهاكات أمان AWS بدون أي تأخير غير مبرر ووفقًا لملحق معالجة البيانات في AWS ‏(AWS DPA). وتمنح AWS أيضًا العملاء عددًا من الأدوات لفهم من يمكنه الوصول إلى مواردهم، وتوقيت وصوله، ومكان وصوله. ومن بين هذه الأدوات AWS CloudTrail التي تتيح حوكمة حساب AWS وامتثاله والتدقيق التشغيلي له وتدقيق مخاطره. ومع AWS CloudTrail، يمكن للعملاء تسجيل نشاط الحساب فيما يتعلق بالإجراءات عبر البنية التحتية لخدمات AWS لديهم ومراقبته على نحو مستمر والإبقاء على المعلومات حياله. وهذا يساعد الشركات على استيعاب ما يحدث مع بنية AWS، ويتيح لها اتخاذ إجراء بشأن أي نشاط غير عادي على الفور. لمزيد من المعلومات حول أدوات الأمان الأخرى التي توفرها AWS للعملاء للمساعدة في الوفاء بالتزاماتهم كمتحكمين في البيانات بموجب اللائحة العامة لحماية البيانات (GDPR)، تفضل بزيارة صفحة أمان سحابة AWS على الويب.

تمنح AWS العملاء وشركاء APN عددًا من الأدوات لتأمين بيانات عملائهم والمساعدة في الحماية من الهجمات الإلكترونية. إحدى هذه الأدوات هي AWS Shield. حيث إنها خدمة حماية مُدارة من هجمات منع الخدمة الموزعة (DDoS)، وهي خدمة تحمي مواقع الويب والتطبيقات التي تعمل على AWS. كما يتوفر المستوى القياسي من AWS Shield Standard بدون أي رسوم إضافية، حيث يوفر اكتشافًا دائمًا وعمليات تخفيف مضمنة تلقائية يمكنها تقليل وقت تعطل التطبيق وزمن الوصول. أما بالنسبة إلى المستويات الأعلى من الحماية ضد الهجمات التي تستهدف تطبيقات الويب التي تعمل على AWS وتستخدم موارد ELB، وAmazon CloudFront، وAmazon Route 53، يمكن للعملاء وشركاء APN الاشتراك في المستوى المتقدم من AWS Shield Advanced. تنشر AWS أيضًا وتحدِّث على نحو روتيني المستند أفضل ممارسات AWS فيما يتعلق بمرونة مواجهة هجمات منع الخدمة الموزعة (DDoS) الذي يساعد العملاء في استخدام AWS في بناء تطبيقات مرنة لهجمات منع الخدمة الموزعة (DDoS).

وتشمل الأدوات الأخرى التي تمتلكها AWS لمساعدتها في حماية بيانات العملاء ضد الهجمات الإلكترونية ما يلي:

• تمكِّن AWS Identity and Access Management‏ (IAM) المؤسسات من إدارة الوصول إلى خدمات وموارد AWS على نحو آمن. باستخدام IAM، يمكن للعملاء وشركاء APN إنشاء مستخدمين ومجموعات في AWS وإدارتها، واستخدام الأذونات للسماح بالوصول إلى موارد AWS ورفضها أيضًا. IAM هي ميزة في حسابات AWS بدون أي رسوم إضافية.
• تسمح AWS Config للعملاء وشركاء APN بتمكين القواعد المعدة مسبقًا والتي تساعد على ضمان أن موارد AWS الخاصة بهم في حالة مكوَّنة ومتوافقة على نحو صحيح.
• تسمح AWS CloudTrail للمؤسسات بتسجيل المعلومات المتعلقة بنشاط الحساب ومراقبتها باستمرار والإبقاء عليها، ما يسهل عملية تحليل الأمان وتتبع تغيير الموارد واستكشاف الأخطاء وإصلاحها (يتم تمكين AWS CloudTrail على جميع حسابات AWS افتراضيًا).
• Amazon GuardDuty هي خدمة مدارة للكشف عن التهديدات من شأنها إجراء المراقبة المستمرة للكشف عن السلوك الضار أو غير المصرح به للمساعدة في حماية حسابات وأعباء عمل حسابات AWS. وتقوم بالمراقبة للكشف عن أنشطة يمكنها الإشارة إلى اختراق حساب محتمل مثل استدعاءات واجهة برمجة التطبيقات غير العادية أو عمليات النشر المحتمل أنها غير مصرح بها التي تشير إلى إمكانية اختراق الحساب. وتكشف خدمة GuardDuty أيضًا عن المثيلات المحتمل تعرضها للاختراق أو عمليات الاستطلاع التي ينفذها المخترقون.

Amazon Macie هي خدمة خصوصية وأمان للبيانات مدارة بالكامل تستخدم تعلم الآلة ومطابقة الأنماط لاكتشاف بياناتك الشخصية في AWS وحمايتها. ونظرًا إلى أن المؤسسات تدير كميات متزايدة من البيانات، يمكن أن تصبح إجراءات التعرف على بياناتها الشخصية وحمايتها على نطاق واسع معقدة وباهظة الثمن ومضيعة للوقت بصورة متزايدة. تقوم خدمة Amazon Macie بأتمتة اكتشاف البيانات الشخصية على نطاق واسع وتعمل على خفض تكلفة توفير الحماية لبياناتك. وتوفر خدمة Macie حصرًا تلقائيًا لحاويات Amazon S3، بما في ذلك قائمة الحاويات غير المشفرة، والحاويات التي يمكن للجمهور العام الوصول إليها، والحاويات التي تتم مشاركتها مع حسابات AWS بخلاف تلك الحسابات التي اخترتها في AWS Organizations. وبعد ذلك، تطبق خدمة Macie تقنية تعلم الآلة وتقنية مطابقة الأنماط على الحاويات التي تحددها ليتم التعرف على البيانات الشخصية وتنبيهك بها.

تم اعتماد Amazon Macie وفقًا للمعايير المُعترف بها دوليًا، مثل ISO 27017 لأمان السحابة، وISO 27018 لخصوصية السحابة، ويمكن للعملاء وشركاء APN أيضًا استخدام Macie لمراقبة الوصول إلى بياناتهم باستمرار من أجل اكتشاف أي نشاط مشبوه بناءً على أنماط الوصول.

لمساعدة العملاء في الامتثال إلى اللائحة العامة لحماية البيانات (GDPR)، تمتلك AWS عددًا من الأدوات للتحكم في صلاحية الوصول إلى البيانات الشخصية المضمنة في محتواها على AWS. تتضمن هذه الأدوات:

• يُقصد بالأمان الافتراضي أن خدمات AWS مصممة لتكون آمنة بشكل افتراضي. وإذا تم استخدام التكوين الافتراضي، فسيتم تأمين الوصول إلى الموارد لمالك الحساب والمسؤول الأساسي فقط.
• تمكّنك AWS Identity and Access Management‏ (IAM) العملاء من إدارة الوصول إلى خدمات وموارد AWS بشكل آمن. باستخدام IAM، يمكن للمؤسسات إنشاء مستخدمين ومجموعات في AWS وإدارتها، واستخدام الأذونات للسماح بالوصول إلى موارد AWS ورفضها. IAM هي ميزة في حسابات AWS بدون أي رسوم إضافية.
• تضيف AWS Multi-Factor Authentication طبقةً إضافيةً من الحماية أعلى اسم المستخدم وكلمة المرور الخاصة بحساب AWS. وتوفر AWS للعملاء خيار أجهزة MFA الافتراضية وللآلات.
• تسمح خدمة AWS Directory Service للعملاء بدمج أدلة الشركات وتوحيدها لتقليل النفقات الإدارية وتحسين تجربة المستخدم النهائي.
• تسمح AWS Config للعملاء بتمكين القواعد المعدة مسبقًا والتي تساعد على ضمان أن موارد AWS الخاصة بهم في حالة مكوَّنة ومتوافقة على نحو صحيح.
• تسمح AWS CloudTrail للعملاء بتسجيل المعلومات المتعلقة بنشاط الحساب فيما يتعلق بالإجراءات عبر بنية AWS الخاصة بهم ومراقبة هذه المعلومات باستمرار والإبقاء عليها، ما يسهل عملية تحليل الأمان وتتبع تغيير الموارد واستكشاف الأخطاء وإصلاحها (يتم تمكين AWS CloudTrail على جميع حسابات AWS افتراضيًا).
• تستخدم Amazon Macie تعلم الآلة لمساعدة العملاء في تفادي فقد البيانات من خلال اكتشاف البيانات الحساسة في AWS وتصنيفها وحمايتها تلقائيًا. وتقوم هذه الخدمة المُدارة بالكامل بمراقبة نشاط الوصول إلى البيانات باستمرار لكشف أوجه الخلل، وتنشئ تنبيهات تفصيلية عند اكتشاف خطر وصول غير مصرح به أو تسريب غير مقصود في البيانات، مثل البيانات الحساسة التي جعلها العميل قابلة للوصول إليها خارجيًا عن طريق الخطأ.

توفر AWS للعملاء وشركاء APN إمكانية إضافة طبقة أمان إضافية إلى بيانات عملائهم في حالة عدم نشاطها في السحابة ومساعدتهم على الوفاء بالتزامات الأمان الخاصة بالمعالجة بصفتهم متحكمين في البيانات بموجب اللائحة العامة لحماية البيانات (GDPR). تشمل أدوات التشفير المتاحة في AWS ما يلي:

• إمكانات تشفير البيانات المتوفرة في خدمات التخزين وقواعد البيانات المقدمة من AWS، مثل Amazon Elastic Block Store، وAmazon S3، وAmazon Glacier، وAmazon DynamoDB، وOracle RDS، وSQL Server RDS، وRedshift
• خيارات مرنة لإدارة المفاتيح، تتضمن خدمة إدارة المفاتيح، من AWS، ما يسمح باختيار إما امتلاك إدارة AWS لمفاتيح التشفير أو تمكين التحكم الكامل في المفاتيح
• قوائم انتظار الرسائل المشفرة لنقل البيانات الحساسة باستخدام التشفير من جانب الخادم (SSE) لخدمة Amazon SQS
• تخزين المفاتيح القائم على الأجهزة للتوافق التنظيمي المخصص باستخدام AWS CloudHSM، ما يتيح تلبية متطلبات التوافق

بالإضافة إلى ذلك، توفر AWS واجهات برمجة تطبيقات للعملاء وشركاء APN لدمج التشفير وحماية البيانات مع أي من الخدمات التي يقومون بتطويرها أو نشرها في بيئة AWS.

توفّر AWS ميزات وخدمات محددة تساعد العملاء على الوفاء بمتطلبات اللائحة العامة لحماية البيانات (GDPR):

التحكم في الوصول: عدم السماح إلا للمسؤولين والمستخدمين المصرح لهم والتطبيقات المصرّح بها للوصول إلى موارد AWS

• المصادقة متعددة العوامل (MFA)
• الوصول بمستويات تفصيلية إلى العناصر الموجودة في حاويات Amazon S3/ Amazon SQS/ Amazon SNS وغيرها
• مصادقة طلبات واجهة برمجة التطبيقات
• القيود الجغرافية
• رموز الوصول المؤقت المميزة من خلال AWS Security Token Service

المراقبة والتسجيل: احصل على نظرة عامة عن الأنشطة الموجودة على موارد AWS الخاصة بك

• إدارة الأصول وتكوينها من خلال AWS Config
• تدقيق الامتثال وتحليلات الأمان من خلال AWS CloudTrail
• تحديد تحديات التكوين من خلال AWS Trusted Advisor
• التسجيل بمستويات تفصيلية للوصول إلى عناصر Amazon S3
• معلومات تفصيلية حول التدفقات في الشبكة من خلال Amazon VPC Flow Logs
• فحوصات وإجراءات التكوين المستندة إلى القواعد من خلال قواعد AWS Config
• تصفية ومراقبة وصول HTTP للتطبيقات من خلال وظائف AWS WAF في AWS CloudFront

التشفير::تشفير البيانات على AWS

• تشفير البيانات في وقت عدم النشاط من خلال AES256 (EBS/S3/Glacier/RDS)
• خدمة إدارة مفاتيح مُدارة مركزيًا (حسب منطقة AWS)
• الاتصالات النفقية IPsec إلى AWS من خلال بوابات VPN
• وحدات HSM مخصصة في السحابة من خلال AWS CloudHSM

إطار الامتثال القوي ومعايير الأمان: إننا نؤكد على امتثالنا للمعايير الدولية الصارمة، مثل:

• ISO 27001 للتدابير الفنية
• ISO 27017 لأمان السحابة
• ISO 27018 لخصوصية السحابة
• SOC 1 وSOC 2 وSOC 3،‏ PCI DSS المستوى 1.
• دليل Common Cloud Computing Controls Catalogue‏ (C5) الخاص بالهيئة البريطانية الوطنية (BSI)
• ENS High

اللائحة العامة لحماية البيانات (GDPR) هي لائحة خاصة بالاتحاد الأوروبي، وبعد البريكست لم تعد هذه اللائحة ساريةً بالمملكة المتحدة.  قامت حكومة المملكة المتحدة بتضمين متطلبات اللائحة العامة لحماية البيانات (GDPR) في قانون المملكة المتحدة تحت اسم UK GDPR (اللائحة العامة لحماية البيانات بالمملكة المتحدة).

تقدم AWS ملحقًا للائحة العامة لحماية البيانات بالمملكة المتحدة متوافقًا مع اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) إلى ملحق معالجة البيانات في AWS ‏(AWS DPA) الذي يتضمن التزامات AWS كمعالج بيانات يخضع للائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR). يعد ملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) جزءًا من بنود خدمة AWS ويُطبق تلقائيًا على جميع العملاء الذي يطلبون أن تكون اتفاقية معالجة البيانات متوافقةً مع ملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR).

يتضمن ملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR)، الذي هو جزء من بنود خدمة AWS، البنود التعاقدية القياسية (SCCs) التي اعتمدتها المفوضية الأوروبية (EC) والملحق الدولي لنقل البيانات (IDTA) الصادر عن الجهة المنظمة لحماية البيانات بالمملكة المتحدة (مكتب مفوضي المعلومات).  يُجري الملحق الدولي لنقل البيانات (IDTA) تعديلات على البنود التعاقدية القياسية (SCCs) لضمان أنها تشكل حمايةً مناسبةً بموجب اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) فيما يتعلق بعمليات نقل البيانات الدولية إلى دول خارج المملكة المتحدة لم يتم الاعتراف بها على أنها توفر مستوىً كافيًا من الحماية للبيانات الشخصية (دول المملكة المتحدة الثلاث). يؤكد ملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) على تطبيق البنود التعاقدية القياسية (SCCs) (بصيغتها المعدلة من قِبل الملحق الدولي لنقل البيانات (IDTA)) تلقائيًا عندما يستخدم أحد العملاء خدمات AWS في نقل بيانات العملاء الخاضعة لملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) (بيانات العملاء بالمملكة المتحدة) إلى دول المملكة المتحدة الثلاث.  كجزء من ملحق اللائحة العامة لحماية البيانات بالمملكة المتحدة (UK GDPR) في بنود خدمة AWS، ستُطبق البنود التعاقدية القياسية (SCCs) (بصيغتها المعدلة من قِبل الملحق الدولي لنقل البيانات (IDTA)) تلقائيًا في أي وقت يستخدم فيه أحد العملاء خدمات AWS في نقل بيانات العملاء بالمملكة المتحدة إلى دول المملكة المتحدة الثلاث

تقدم AWS ملحقًا سويسريًا إلى ملحق معالجة بيانات AWS («الملحق السويسري») الذي يتضمن التزامات AWS كمعالج بيانات بموجب قانون حماية البيانات الفيدرالي السويسري («FDPA»). يُعد الملحق السويسري جزءًا من شروط خدمة AWS (انظر القسم 1.14.4) ويُطبق تلقائيًا عندما يُطبق قانون حماية البيانات الفيدرالي السويسري (FDPA) على استخدام العميل لخدمات AWS لمعالجة بيانات العميل.

الملحق السويسرية المُضاف إلى ملحق معالجة بيانات AWS، والذي يُعد جزءًا من شروط خدمة AWS (انظر القسم 1.14.4)، يتضمن البنود التعاقدية القياسية («SCCs») التي اعتمدتها المفوضية الأوروبية وتم تعديلها وفقًا لما يقتضيه المفوض الفيدرالي السويسري لحماية البيانات والمعلومات. يُؤكد الملحق السويسرية أن البنود التعاقدية القياسية (بصيغتها المعدلة بموجب الملحق السويسري) سيتم تطبيقها تلقائيًا عندما يستخدم العميل خدمات AWS لنقل بيانات العميل الخاضعة لقانون FDPA إلى بلدان ثالثة.

ونوصي أيضًا العملاء الذين لديهم أسئلة تتعلق باللائحة العامة لحماية البيانات (GDPR) الاتصال بمدير حساب AWS الخاص بهم أولًا. وإذا اشترك العملاء في Enterprise Support، فيمكنهم أيضًا التواصل مع مدير الحساب الفني (TAM). إذ يعمل مديرو الحساب المتخصصون (TAM) مع مصممي الحلول لمساعدة العملاء على تحديد المخاطر المحتملة وعمليات التخفيف المحتملة. ويمكن أيضًا لفرق مديري الحساب المتخصصين وفرق الحسابات توجيه العملاء وشركاء APN بموارد محددة بناءً على بيئتهم واحتياجاتهم.

ولدى AWS أيضًا فرقٌ من ممثلي دعم الشركات Enterprise Support ومستشاري الخدمات الاحترافية وغيرهم من الموظفين للمساعدة في الإجابة عن الأسئلة المتعلقة باللائحة العامة لحماية البيانات (GDPR). إذا كانت لديك أسئلة، يُمكنك الاتصال بنا من هنا.