Pusat General Data Protection Regulation (GDPR)

Pada tanggal 16 Juli 2020, Mahkamah Eropa (CJEU) menerbitkan aturan terkait transfer data pribadi masyarakat UE di luar EEA (Schrems II). Dalam Schrems II, CJEU memutuskan bahwa EU-US Privacy Shield bukan lagi mekanisme yang valid untuk mentransfer data pribadi dari EEA ke AS. Namun, dalam aturan yang sama, CJEU mengonfirmasi bahwa perusahaan (wajib menerapkan langkah-langkah tambahan, jika perlu) dapat terus menggunakan Klausul Kontraktual Standar sebagai mekanisme yang valid untuk mentransfer data pribadi di luar EEA. Dewan Perlindungan Data Eropa (EDPB), badan Eropa yang terdiri dari perwakilan otoritas perlindungan data negara Eropa, sejak saat itu memberikan daftar tindakan tambahan yang tidak lengkap dalam “Rekomendasi 01/2020 tentang tindakan yang melengkapi alat transfer untuk memastikan kepatuhan dengan tingkat perlindungan data pribadi di Eropa” (Rekomendasi EDPB).

Rekomendasi EDPB memberi pengekspor data contoh langkah-langkah tambahan yang dapat mereka diterapkan. Lihat FAQ “Apakah saya dapat terus menggunakan layanan AWS mengikuti pertimbangan Schrems II?” di bawah ini untuk detail tentang sumber daya transfer data AWS.

Ya, pelanggan AWS dapat terus menggunakan layanan AWS untuk mentransfer data pelanggan dari Eropa ke negara di luar EEA yang tidak menerima keputusan penerimaan dari Komisi Eropa. Aturan Schrems II memvalidasi penggunaan Klausul Kontraktual Standar (SCC) sebagai mekanisme untuk mentransfer data pelanggan di luar EEA dan pelanggan AWS dapat terus mengandalkan SCC untuk transfer data pelanggan apa pun di luar EEA sesuai dengan Peraturan Perlindungan Data Umum (GDPR).

• Lokasi pemrosesan. Pelanggan memilih AWS Region tempat data pelanggan mereka akan disimpan. Gambaran umum AWS Region yang tersedia dapat ditemukan di Region dan Zona Ketersediaan. AWS tidak akan memproses data pelanggan di luar Wilayah AWS yang dipilih pelanggan kecuali diperlukan untuk tujuan memberikan layanan AWS yang diajukan oleh pelanggan, atau seperlunya untuk mematuhi hukum atau perintah yang mengikat dari badan pemerintah. Lihat halaman web Fitur Privasi kami untuk mengetahui lebih lanjut tentang transfer data sebagai bagian dari layanan AWS.
• Subprosesor. AWS dapat menggunakan subprosesor, misalnya, afiliasi atau pihak ketiga AWS untuk membantu pemrosesan data pelanggan, untuk memenuhi kewajiban kami kepada pelanggan berdasarkan AWS DPA, atau untuk menyediakan layanan atas nama kami. Lihat FAQ “Apakah AWS menggunakan subprosesor untuk memproses data pelanggan?” di bawah untuk detailnya.
• Alat transfer. Sejak keputusan Schrems II memvalidasi penggunaan SSC sebagai mekanisme untuk mentransfer data ke negara di luar EEA yang belum menerima keputusan penerimaan dari Komisi Eropa, pelanggan kami dapat terus mengandalkan SSC yang disertakan dalam AWS DPA jika pelanggan memilih untuk mentransfer data pelanggan di luar EEA sesuai GDPR.
• Tindakan tambahan.
  • Kontrol pelanggan. Pelanggan memiliki kepemilikan dan kontrol atas data pelanggan mereka sepanjang waktu melalui alat sederhana yang canggih yang memungkinkan mereka menentukan lokasi data pelanggan mereka akan disimpan, mengamankan data pelanggan mereka dalam transit, dan mengelola akses pengguna ke sumber daya AWS mereka serta mengubah, menghapus, dan mengambil data pelanggan.
  • Tindakan teknis dan organisasional. AWS mengimplementasikan kontrol dan proses teknis serta fisik yang bertanggung jawab dan canggih yang dirancang untuk mencegah akses tidak sah atau mengungkap data pelanggan (kunjungi halaman web Kepatuhan AWS untuk informasi selengkapnya). Kami juga menyediakan sejumlah layanan enkripsi dan manajemen kunci lanjutan (termasuk layanan yang memungkinkan pelanggan mengelola kunci mereka sendiri) yang dapat digunakan pelanggan untuk melindungi data mereka, baik saat dalam maupun saat istirahat - data pelanggan yang dienkripsi menjadi tidak dapat diakses tanpa kunci dekripsi yang berlaku. Terlepas dari apakah data pelanggan dienkripsi atau tidak dienkripsi, kami akan selalu berupaya dengan waspada untuk melindungi data pelanggan dari akses tidak sah apa pun.
  • Permintaan penegakan hukum. AWS memiliki proses internal untuk mengatasi permintaan yang kami terima dari penegakan hukum. Ketika kami menerima permintaan untuk data pelanggan dari penegakan hukum, kami memeriksanya dengan hati-hati untuk mengautentikasi ketepatan dan untuk memastikan bahwa permintaan tersebut sesuai dengan hukum yang berlaku. Kecuali dilarang melakukannya secara hukum, AWS memberi tahu pelanggan sebelum mengungkapkan data pelanggan agar pelanggan dapat mengambil langkah selanjutnya untuk mencari perlindungan atas pengungkapan. Dalam Adendum Tambahan untuk AWS DPA (Adendum Tambahan), AWS membuat komitmen kontraktual yang diperkuat sehubungan dengan menangani permintaan pemerintah terkait data pelanggan, termasuk dengan berkomitmen untuk (i) melakukan segala upaya yang wajar untuk menghubungkan setiap badan pemerintah yang meminta data pelanggan kepada pelanggan yang bersangkutan, (ii) segera memberitahukan permintaan tersebut kepada pelanggan jika diizinkan secara hukum untuk melakukannya (termasuk dengan melakukan segala upaya yang wajar dan sah untuk mendapatkan pengabaian atas pelarangan jika perlu), (iii) menentang permintaan yang berlebihan atau tidak pantas, termasuk jika permintaan tersebut bertentangan dengan hukum Uni Eropa, dan (iv) jika, setelah menyelesaikan langkah-langkah yang dijelaskan di atas, AWS masih tetap dipaksa untuk mengungkapkan data pelanggan sehubungan dengan permintaan pemerintah, AWS hanya akan mengungkapkan data pelanggan dalam jumlah minimum yang diperlukan untuk memenuhi permintaan tersebut.
  • Tindakan kontraktual. AWS membuat beberapa komitmen kontraktual untuk tindakan yang dijelaskan di atas yang tercantum dalam AWS DPA dan Adendum Tambahan. AWS DPA dan Adendum Tambahan menyertakan komitmen kontraktual dari AWS mengenai (1) Wilayah AWS pilihan pelanggan tempat data pelanggan disimpan dan diproses, (2) tindakan teknis dan organisasional yang sudah diterapkan AWS untuk melindungi infrastruktur AWS dan tindakan organisasional teknis yang dapat dipilih pelanggan untuk diterapkan guna melindungi data pelanggan mereka, (3) tindakan AWS untuk melindungi data pelanggan dan memberi tahu pelanggan jika ada permintaan pengungkapan data dari badan pemerintah, dan (4) kemampuan AWS untuk memenuhi kewajibannya yang ditetapkan dalam AWS DPA sesuai dengan undang-undang yang berlaku di negara ketiga tempat data pelanggan diproses. Adendum Tambahan juga menangani (5) hak hukum individu untuk mengeklaim kompensasi jika terjadi pelanggaran hak mereka yang dijamin oleh Peraturan Perlindungan Data Umum (GDPR).

Ya, AWS dapat menggunakan tiga tipe subprosesor: (1) entitas AWS yang menyediakan infrastruktur tempat layanan AWS berjalan; (2) entitas AWS yang mendukung layanan AWS tertentu yang mungkin memerlukan entitas ini untuk memproses data pelanggan; dan (3) pihak ketiga yang sudah dikontrak AWS untuk menyediakan aktivitas pemrosesan untuk layanan AWS tertentu. Halaman web Subprosesor AWS menyediakan informasi lebih lanjut tentang subprosesor yang AWS libatkan sesuai dengan AWS DPA, untuk memberikan aktivitas pemrosesan data pelanggan atas nama pelanggan. Subprosesor yang relevan dengan pelanggan individu akan bergantung pada Wilayah AWS yang pelanggan pilih dan layanan AWS tertentu yang pelanggan gunakan.

Laporan resmi AWS, Menavigasi Kepatuhan dengan Persyaratan Transfer Data UE, memberikan informasi tentang layanan dan sumber daya yang ditawarkan AWS kepada pelanggan untuk membantu mereka melakukan penilaian transfer data sehubungan dengan keputusan Schrems II, dan rekomendasi selanjutnya dari Dewan Perlindungan Data Eropa. Laporan resmi ini juga menjelaskan langkah-langkah tambahan utama yang diambil dan disediakan oleh AWS untuk melindungi data pelanggan.

AWS menawarkan informasi yang bermanfaat kepada pelanggan, termasuk beberapa laporan kepatuhan dari auditor pihak ketiga, yang telah memverifikasi kepatuhan kami terhadap berbagai macam standar dan peraturan keamanan, untuk membuktikan tingkat kepatuhan tinggi yang dipertahankan AWS bagi infrastrukturnya. Laporan ini menunjukkan kepada pelanggan kami, bahwa kami melindungi data pelanggan yang mereka pilih untuk diproses di AWS. Contoh dari kepatuhan AWS ini mencakup ISO 27001, 27017, dan 27018. ISO 27018 berisi kontrol keamanan yang berfokus pada perlindungan data pelanggan.

AWS juga mematuhi Pedoman Perilaku CISPE untuk perlindungan data. Informasi selengkapnya tentang Pedoman Perilaku CISPE dapat ditemukan di FAQ di bawah ini, "Apakah AWS mematuhi Pedoman Perilaku yang disetujui oleh GDPR khusus untuk layanan infrastruktur cloud?"

Ya. Sejak bulan Juni 2023, 107 layanan AWS mematuhi Pedoman Perilaku Perlindungan Data Penyedia Layanan Infrastruktur Cloud di Eropa (CISPE). CISPE adalah koalisi para pemimpin komputasi cloud yang melayani jutaan pelanggan di Eropa. Pedoman Perilaku Perlindungan Data CISPE (Kode CISPE), adalah pedoman perilaku perlindungan data pan-Eropa pertama yang berfokus pada penyedia layanan infrastruktur cloud. Kode CISPE disetujui oleh Dewan Perlindungan Data Eropa, yang bertindak atas nama 27 otoritas perlindungan data di seluruh Eropa, dan secara resmi diadopsi oleh Otoritas Perlindungan Data Prancis (CNIL), yang bertindak sebagai otoritas pengawas utama. Pada tahun 2017, AWS mengumumkan kepatuhannya terhadap Kode CISPE versi sebelumnya.

Kode CISPE membantu pelanggan memastikan penyedia layanan infrastruktur cloud mereka menawarkan jaminan operasional yang tepat untuk menunjukkan kepatuhan terhadap GDPR dan melindungi data pelanggan. Beberapa manfaat utama Kode CISPE tersebut mencakup:

• Fokus infrastruktur cloud: Menjelaskan peran penyedia layanan infrastruktur cloud berdasarkan GDPR mengenai pemrosesan data pelanggan – yakni, data pribadi apa pun yang diproses atas nama pelanggan menggunakan layanan infrastruktur cloud.
• Data di Eropa: Penyedia layanan infrastruktur cloud wajib memberi pelanggan pilihan untuk memilih layanan yang menyimpan dan memproses data pelanggan secara eksklusif dalam Wilayah Ekonomi Eropa (EEA).
• Privasi data: Kode CISPE memberikan jaminan kepada organisasi bahwa penyedia layanan infrastruktur cloud mereka memenuhi persyaratan yang berlaku untuk data pribadi yang diproses atas nama mereka (data pelanggan) berdasarkan GDPR.

Sertifikat Kepatuhan yang menjelaskan status kepatuhan AWS tersedia di Daftar Publik CISPE. Layanan AWS yang terdaftar telah diverifikasi secara independen untuk mematuhi Kode CISPE. Proses verifikasi dilakukan oleh Ernst & Young CertifyPoint (EY CertifyPoint), sebuah lembaga pemantau independen yang diakui secara global dan diakreditasi oleh CNIL.

GDPR tidak mengubah model tanggung jawab bersama AWS, yang terus relevan bagi pelanggan. Model tanggung jawab bersama merupakan pendekatan bermanfaat untuk menggambarkan tanggung jawab AWS yang berbeda-beda (sebagai pemroses atau subpemroses data) dan pelanggan (sebagai pengendali data atau pemroses data) berdasarkan Peraturan Perlindungan Data Umum (GDPR).

Berdasarkan model tanggung jawab bersama, AWS bertanggung jawab untuk mengamankan infrastruktur dasar yang mendukung layanan AWS (“Keamanan “DARI” cloud), dan pelanggan, yang bertindak sebagai pengontrol data atau prosesor data, bertanggung jawab atas setiap data pribadi yang mereka unggah ke layanan AWS (“keamanan “DALAM” cloud”).

Tanggung jawab AWS "Keamanan cloud" - AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua layanan AWS. Infrastruktur ini terdiri dari perangkat keras, perangkat lunak, jaringan, dan fasilitas yang menjalankan layanan AWS, yang memberikan kontrol yang kuat untuk pelanggan, termasuk kontrol konfigurasi keamanan, untuk menangani konten pelanggan. AWS menyediakan beberapa laporan kepatuhan dari auditor pihak ke tiga yang telah memverifikasi kepatuhan kami terhadap berbagai macam standar dan peraturan keamanan komputer (untuk informasi selengkapnya, kunjungi: halaman web Kepatuhan AWS). Laporan ini memperlihatkan kepada pelanggan kami, bahwa kami melindungi data pelanggan mereka. Contoh mencakup kepatuhan ISO 27001, 27017, dan 27018 AWS. ISO 27018 berisi kontrol keamanan yang berfokus pada perlindungan data pelanggan.

Tanggung jawab pelanggan “Keamanan di Cloud” - Pelanggan AWS bertanggung jawab untuk merancang dan mengamankan aplikasi serta solusi yang mereka pilih untuk di-deploy di layanan AWS. Pelanggan AWS juga bertanggung jawab untuk mengonfigurasi layanan AWS dengan cara yang melindungi kerahasiaan, integritas, dan kebutuhan keamanan data pelanggan mereka. Tanggung jawab khusus yang harus dimiliki pelanggan untuk mengamankan data pelanggan mereka bervariasi bergantung pada layanan AWS yang pelanggan pilih untuk digunakan dan cara layanan tersebut diintegrasikan ke dalam lingkungan IT pelanggan. Pelanggan AWS memiliki visibilitas dan kontrol atas data pelanggan mereka serta dapat mengimplementasikan kontrol keamanan yang fleksibel berdasarkan sensitivitas jenis data pelanggan tertentu. Pelanggan dapat melakukan ini dengan memanfaatkan tindakan dan alat keamanannya sendiri, atau menggunakan tindakan dan alat keamanan yang disediakan oleh AWS atau pemasok lainnya. Dengan cara ini, pelanggan dapat menerapkan lapisan keamanan tambahan untuk data pelanggan yang lebih sensitif.

AWS menyediakan produk, alat, dan layanan yang dapat pelanggan gunakan untuk merancang dan mengamankan aplikasi dan solusi mereka serta yang dapat di-deploy untuk membantu mematuhi persyaratan Peraturan Perlindungan Data Umum (GDPR), termasuk:

• AWS Identity and Access Management (IAM) memungkinkan organisasi mengelola akses ke layanan dan sumber daya AWS secara aman. Dengan menggunakan IAM, pelanggan dapat membuat dan mengelola pengguna serta grup AWS serta menggunakan izin untuk membolehkan dan menolak akses ke sumber daya AWS. IAM adalah fitur akun AWS yang ditawarkan tanpa biaya tambahan.
• AWS CloudTrail memungkinkan organisasi mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di AWS, yang menyederhanakan analisis keamanan, pelacakan perubahan sumber daya, dan pemecahan masalah (AWS CloudTrail diaktifkan di semua akun AWS secara default).
• Amazon GuardDuty adalah layanan deteksi ancaman terkelola yang memantau perilaku jahat dan tidak sah secara terus-menerus untuk membantu melindungi akun dan beban kerja AWS. Layanan tersebut memantau aktivitas yang dapat menunjukkan kemungkinan kebocoran akun, seperti panggilan API yang tidak biasa atau penerapan yang berpotensi tidak sah. GuardDuty juga mendeteksi instans yang berpotensi ditembus atau diintai oleh penyerang.
• Amazon Macie adalah alat machine learning untuk membantu menemukan dan mengklasifikasikan data pribadi yang disimpan di Amazon S3.

Lihat laporan resmi kami, Menavigasi Kepatuhan GDPR di AWS, untuk detail lebih lanjut tentang cara menggunakan sumber daya AWS sesuai dengan GDPR.

Ya, Anda dapat mencari “GDPR” di Penemu Solusi Partner AWS untuk membantu menemukan partner ISV, MSP, dan SI yang memiliki produk dan layanan untuk membantu mewujudkan kepatuhan terhadap GDPR. Pelanggan juga dapat mencari solusi “GDPR” di AWS Marketplace.

Ya, Layanan Jaminan Keamanan AWS memiliki sejumlah aktivitas untuk membantu pelanggan di perjalanan mereka untuk mencapai kepatuhan Peraturan Perlindungan Data Umum (GDPR). Tim profesional kepatuhan yang disertifikasi industri ini membantu pelanggan mencapai, mengelola, dan mengotomatiskan kepatuhan di cloud dengan menyatukan kepatuhan yang berlaku ke fitur dan fungsionalitas khusus keamanan AWS. Detail selengkapnya tentang cara Konsultan AWS Professional Services membantu pelanggan dapat ditemukan di sini.

Pelanggan dapat menggunakan Dukungan AWS untuk menerima panduan teknis guna membantu mereka mencapai kepatuhan GDPR. Sebagai bagian dari aktivitas ini, kami memiliki tim Teknisi Dukungan Cloud dan Manajer Akun Teknis (TAM) yang dilatih untuk membantu mengidentifikasi dan memitigasi risiko kepatuhan. Tingkat dukungan yang disediakan AWS bergantung pada Paket AWS Support yang dipilih pelanggan. Pelanggan yang ingin memahami cara AWS Premium Support dapat membantu mereka untuk dapat menemukan informasi lebih lanjut di Pusat Dukungan AWS, yang tersedia melalui Konsol Manajemen AWS, dengan menggunakan detail kontak yang ditentukan dalam Perjanjian Dukungan Korporasi yang disepakati dengan AWS, atau dengan mengunjungi: halaman web Dukungan AWS. Pelanggan dengan Enterprise Support harus menghubungi TAM mereka dengan pertanyaan terkait Peraturan Perlindungan Data Umum (GDPR).

Kedua program ini akan bermanfaat bagi pelanggan yang ingin mengupayakan kepatuhan terhadap GDPR:

• Tinjauan Operasi Cloud – Tersedia bagi pelanggan AWS Enterprise Support, program ini didesain untuk membantu mengidentifikasi celah dalam pendekatan mereka untuk beroperasi di cloud. Berasal dari serangkaian praktik terbaik operasional yang ditawarkan dari pengalaman AWS dengan sejumlah besar pelanggan representatif, program ini memberikan tinjauan operasi cloud dan praktik manajemen terkait, yang dapat membantu organisasi memenuhi kepatuhan GDPR. Program tersebut menggunakan pendekatan empat pilar dengan berfokus pada persiapan, pemantauan, operasi, dan pengoptimalan sistem berbasis cloud dalam mewujudkan keunggulan operasional.
• Tinjauan Well-Architected – Program ini memungkinkan organisasi mengukur arsitektur mereka terhadap praktik terbaik AWS dan untuk membangun arsitektur yang aman, andal, beperforma tinggi, dan hemat biaya. Well-Architected Review juga memungkinkan pelanggan memahami bagian arsitektur mereka yang berisiko dan mengatasinya sebelum aplikasi diteruskan ke produksi.

AWS menyediakan notifikasi proses pemantauan insiden dan pelanggaran data serta akan memberi tahu pelanggan atas pelanggaran keamanan AWS tanpa penundaan yang tidak semestinya dan sesuai dengan AWS DPA. AWS juga memberi pelanggan sejumlah alat untuk memahami siapa yang memiliki akses ke sumber daya mereka, kapan, dan dari mana. Salah satu alat tersebut adalah AWS CloudTrail yang memungkinkan tata kelola, kepatuhan, audit operasional, dan audit risiko terhadap akun AWS. Dengan AWS CloudTrail, pelanggan dapat mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di seluruh infrastruktur AWS mereka. Hal ini membantu organisasi memahami apa yang terjadi dengan infrastruktur AWS mereka dan dapat segera mengambil tindakan atas aktivitas yang tidak biasa. Untuk informasi selengkapnya tentang alat keamanan lain yang diberikan AWS kepada pelanggan untuk membantu memenuhi kewajiban mereka sebagai pengontrol data berdasarkan GDPR, kunjungi: halaman web Keamanan AWS Cloud.

AWS memberi pelanggan dan Partner APN sejumlah alat untuk mengamankan data pelanggan mereka dan membantu melindungi serangan siber. Salah satu alat tersebut adalah AWS Shield. Ini adalah layanan perlindungan Distributed Denial of Service (DDoS) terkelola untuk melindungi situs web dan aplikasi yang berjalan di AWS. AWS Shield Standard tersedia tanpa biaya tambahan serta memberikan deteksi selalu aktif dan mitigasi inline otomatis yang dapat mengurangi downtime dan latensi aplikasi. Untuk tingkat perlindungan yang lebih tinggi terhadap serangan yang menargetkan aplikasi web yang berjalan di AWS dan yang menggunakan sumber daya ELB, Amazon CloudFront, dan Amazon Route 53, pelanggan dan Partner APN dapat berlangganan AWS Shield Advanced. AWS juga memublikasikan dan secara rutin memperbarui Praktik Terbaik AWS untuk Ketahanan DDoS yang dapat membantu pelanggan menggunakan AWS untuk membangun aplikasi yang tahan terhadap serangan DDoS.

Alat lain yang dimiliki AWS untuk membantu melindungi data pelanggan terhadap serangan siber meliputi:

• AWS Identity and Access Management (IAM) memungkinkan organisasi mengelola akses ke layanan dan sumber daya AWS secara aman. Dengan menggunakan IAM, pelanggan dan Partner APN dapat membuat dan mengelola pengguna dan grup AWS serta menggunakan izin untuk mengizinkan dan menolak akses ke sumber daya AWS. IAM adalah fitur akun AWS yang ditawarkan tanpa biaya tambahan.
• AWS Config memungkinkan pelanggan dan Partner APN menjalankan aturan yang dikemas sebelumnya yang membantu memastikan sumber daya AWS mereka dikonfigurasi dengan benar dan sesuai standar.
• AWS CloudTrail memungkinkan organisasi mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di AWS, yang menyederhanakan analisis keamanan, pelacakan perubahan sumber daya, dan pemecahan masalah (AWS CloudTrail diaktifkan di semua akun AWS secara default).
• Amazon GuardDuty adalah layanan deteksi ancaman terkelola yang memantau perilaku jahat dan tidak sah secara terus-menerus untuk membantu melindungi akun dan beban kerja AWS. Layanan tersebut memantau aktivitas yang dapat menunjukkan kemungkinan kebocoran akun, seperti panggilan API yang tidak biasa atau penerapan yang berpotensi tidak sah. GuardDuty juga mendeteksi instans yang berpotensi ditembus atau diintai oleh penyerang.

Amazon Macie adalah layanan privasi data dan keamanan data terkelola penuh yang menggunakan machine learning dan pencocokan pola untuk menemukan dan melindungi data personal Anda di AWS. Ketika organisasi mengelola volume data yang terus tumbuh, mengidentifikasi dan melindungi data personal mereka sesuai skala dapat menjadi proses yang makin rumit, mahal, dan menghabiskan banyak waktu. Amazon Macie mengotomatiskan penemuan data personal sesuai skala dan mengurangi biaya perlindungan data Anda. Macie secara otomatis menyediakan inventaris bucket Amazon S3 termasuk daftar bucket yang tidak terenkripsi, bucket yang dapat diakses publik, dan bucket yang dibagikan dengan akun AWS di luar yang sudah ditentukan di AWS Organizations. Selanjutnya, Macie menerapkan teknik machine learning dan pencocokan pola ke bucket yang Anda pilih untuk mengidentifikasi dan memperingatkan Anda terkait data pribadi.

Amazon Macie disertifikasi dengan standar yang diakui secara internasional, seperti ISO 27017 untuk keamanan cloud, ISO 27018 untuk privasi cloud. Pelanggan dan Partner APN juga dapat menggunakan Macie untuk terus memantau akses ke data mereka agar dapat mendeteksi aktivitas mencurigakan berdasarkan pola akses.

Untuk membantu pelanggan memenuhi kepatuhan GDPR, AWS memiliki sejumlah alat untuk mengontrol akses ke data pribadi yang terdapat dalam konten mereka di AWS. Alat tersebut mencakup:

• Keamanan secara default berarti layanan AWS didesain agar aman secara default. Jika konfigurasi default digunakan, akses ke sumber daya dikunci sehingga hanya tersedia bagi pemilik akun dan administrator root.
• AWS Identity and Access Management (IAM) memungkinkan Anda mengelola akses layanan dan sumber daya AWS secara aman. Dengan menggunakan IAM, organisasi dapat membuat dan mengelola pengguna dan grup AWS serta menggunakan izin untuk mengizinkan dan menolak akses ke sumber daya AWS. IAM adalah fitur akun AWS yang ditawarkan tanpa biaya tambahan.
• AWS Multi-Factor Authentication menambahkan lapisan perlindungan ekstra di samping nama pengguna dan kata sandi akun AWS. AWS memberi pelanggan opsi perangkat virtual dan MFA perangkat keras.
• AWS Directory Service memungkinkan pelanggan mengintegrasikan dan menggabungkan direktori korporasi untuk mengurangi biaya tambahan administratif dan meningkatkan pengalaman pengguna akhir.
• AWS Config memungkinkan pelanggan menjalankan aturan yang dikemas sebelumnya yang membantu memastikan sumber daya AWS mereka dikonfigurasi dengan benar dan sesuai standar.
• AWS CloudTrail memungkinkan pelanggan mencatat, memantau terus-menerus, dan mempertahankan informasi tentang aktivitas akun yang terkait dengan tindakan di seluruh infrastruktur AWS mereka, yang menyederhanakan analisis keamanan, pelacakan perubahan sumber daya, dan pemecahan masalah (AWS CloudTrail diaktifkan di semua akun AWS secara default).
• Amazon Macie menggunakan machine learning untuk membantu pelanggan mencegah kehilangan data dengan menemukan, mengklasifikasikan, dan melindungi data sensitif di AWS secara otomatis. Layanan yang dikelola sepenuhnya ini terus memantau anomali aktivitas akses data dan membuat peringatan mendetail ketika mendeteksi akses yang tidak sah atau kebocoran data secara tidak sengaja – seperti data sensitif yang secara tidak sengaja dibuat dapat diakses secara eksternal oleh pelanggan.

AWS menawarkan kepada pelanggan dan Partner APN kemampuan untuk menambahkan lapisan keamanan tambahan ke data diam pelanggan mereka di cloud dan membantu mereka memenuhi kewajiban keamanan pemrosesan mereka sebagai pengontrol data berdasarkan GDPR. Alat Enkripsi yang tersedia di AWS mencakup:

• Kemampuan enkripsi data yang tersedia di layanan penyimpanan dan basis data AWS, seperti Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS, dan Redshif
• Opsi manajemen kunci yang fleksibel, termasuk AWS Key Management Service, yang memberikan pilihan apakah akan meminta AWS mengelola kunci enkripsi atau membiarkan pelanggan memegang kendali penuh atas kunci
• Antrean pesan terenkripsi untuk transmisi data sensitif menggunakan enkripsi di sisi server (SSE) untuk Amazon SQS
• Penyimpanan kunci kriptografis khusus berbasis perangkat keras menggunakan AWS CloudHSM sehingga memungkinkan pelanggan memenuhi persyaratan kepatuhan

Selain itu, AWS menyediakan API bagi pelanggan dan Partner APN untuk mengintegrasikan enkripsi dan perlindungan data dengan salah satu layanan yang mereka kembangkan atau melakukan deployment di lingkungan AWS,

AWS memberikan fitur dan layanan khusus yang membantu pelanggan memenuhi persyaratan GDPR:

Kontrol Akses: Hanya izinkan administrator, pengguna, dan aplikasi yang sah untuk mengakses sumber daya AWS

• Autentikasi Multi-Faktor (MFA)
• Akses granuler halus ke objek di Amazon S3-Bucket/Amazon SQS/Amazon SNS dan lainnya
• Autentikasi Permintaan API
• Pembatasan Geografis
• Token akses sementara melalui AWS Security Token Service

Pemantauan dan Pencatatan Log: Dapatkan gambaran umum tentang aktivitas di sumber daya AWS Anda

• Manajemen dan Konfigurasi Aset dengan AWS Config
• Audit Kepatuhan dan analitik keamanan dengan AWS CloudTrail
• Identifikasi tantangan konfigurasi melalui AWS Trusted Advisor
• Pencatatan log yang sangat terperinci untuk akses ke objek Amazon S3
• Informasi mendetail tentang alur di jaringan melalui Log Aliran Amazon VPC
• Pemeriksaan dan tindakan konfigurasi berbasis aturan dengan Aturan AWS Config
• Memfilter dan memantau akses HTTP ke aplikasi dengan fungsi AWS WAF di AWS CloudFront

Enkripsi: Enkripsi Data di AWS

• Enkripsi data Anda dalam kondisi 'at rest' dengan AES256 (EBS/S3/Glacier/RDS)
• Manajemen Kunci yang Dikelola Secara Terpusat (menurut Wilayah AWS)
• Tunnel IPsec ke AWS dengan VPN-Gateway
• Modul HSM khusus di cloud dengan AWS CloudHSM

Kerangka Kerja Kepatuhan dan Standar Keamanan yang Kuat: Kami menunjukkan kepatuhan dengan standar internasional yang akurat, seperti:

• ISO 27001 untuk tindakan teknis
• ISO 27017 untuk keamanan cloud
• ISO 27018 untuk privasi cloud
• SOC 1, SOC 2, dan SOC 3, PCI DSS Level 1,
• Katalog Kontrol Komputasi Cloud Umum BSI (C5)
• ENS High

GDPR adalah peraturan Uni Eropa dan setelah Brexit, serta tidak lagi berlaku untuk Inggris Raya.  Pemerintah Inggris Raya memasukkan persyaratan Peraturan Perlindungan Data Umum (GDPR) ke dalam undang-undang Inggris Raya sebagai "GDPR Inggris Raya".

AWS menawarkan Adendum GDPR Inggris Raya yang sesuai GDPR Inggris Raya untuk AWS DPA yang mencantumkan komitmen AWS sebagai prosesor data berdasarkan GDPR Inggris Raya. GDPR Inggris Raya merupakan bagian dari Ketentuan Layanan AWS dan berlaku secara otomatis bagi semua pelanggan yang memerlukan perjanjian pemrosesan data guna mematuhi GDPR Inggris Raya.

Adendum GDPR Inggris Raya, yang merupakan bagian dari Ketentuan Layanan AWS, mencakup SCC yang diadopsi oleh EC dan adendum transfer data internasional (IDTA) yang diterbitkan oleh regulator perlindungan data Inggris Raya (Kantor Komisaris Informasi).  IDTA mengubah SCC untuk memastikan bahwa SCC merupakan perlindungan yang sesuai berdasarkan Regulasi Perlindungan Data Umum (GDPR) Inggris Raya untuk transfer data internasional ke negara-negara di luar Inggris Raya yang belum diakui serta memberikan tingkat perlindungan yang memadai untuk data pribadi (negara ketiga Inggris Raya). Adendum GDPR Inggris Raya mengonfirmasi bahwa SCC (sebagaimana diubah oleh IDTA) akan berlaku secara otomatis kapan saja bagi pelanggan saat menggunakan layanan AWS untuk mentransfer data pelanggan tunduk pada GDPR Inggris Raya (data pelanggan Inggris Raya) ke negara ketiga Inggris Raya.  Sebagai bagian dari Adendum GDPR Inggris Raya di Ketentuan Layanan AWS, SCC (sebagaimana diubah oleh IDTA) akan berlaku secara otomatis kapan saja bagi pelanggan saat menggunakan layanan AWS untuk mentransfer data pelanggan Inggris Raya ke negara ketiga Inggris Raya.

AWS menawarkan Adendum Swiss untuk Adendum Pemrosesan Data AWS (“Adendum Swiss”) yang memasukkan komitmen AWS sebagai prosesor data berdasarkan Undang-Undang Perlindungan Data Federal Swiss (“FDPA”). Adendum Swiss adalah bagian dari Ketentuan Layanan AWS (lihat Bagian 1.14.4) dan berlaku secara otomatis ketika FDPA berlaku untuk penggunaan layanan AWS oleh pelanggan untuk memproses data pelanggan.

Adendum Swiss untuk Adendum Pemrosesan Data AWS yang merupakan bagian dari Ketentuan Layanan AWS (lihat Bagian 1.14.4), mencakup Klausul Kontrak Standar (“SCC”) yang diadopsi oleh Komisi Eropa dan diubah sebagaimana diwajibkan oleh Komisaris Perlindungan Data dan Informasi Federal Swiss. Adendum Swiss mengonfirmasi bahwa SCC (sebagaimana diubah oleh Adendum Swiss) akan berlaku secara otomatis setiap kali pelanggan menggunakan layanan AWS untuk mentransfer data pelanggan yang tunduk pada FDPA ke negara ketiga.

Sebaiknya pelanggan yang memiliki pertanyaan terkait GDPR dapat menghubungi manajer akun AWS mereka terlebih dulu. Jika pelanggan mendaftar Enterprise Support, mereka juga dapat menghubungi Manajer Akun Teknis (TAM). TAM bekerja dengan Solutions Architect untuk membantu pelanggan mengidentifikasi kemungkinan risiko dan kemungkinan mitigasi. TAM dan tim akun juga dapat mengarahkan pelanggan dan Mitra APN ke sumber daya spesifik berdasarkan lingkungan dan kebutuhan mereka.

AWS juga memiliki tim Enterprise Support Representatives (Perwakilan Dukungan Korporasi), Professional Services Consultants (Konsultan Layanan Profesional), dan staf lain untuk membantu menjawab pertanyaan seputar GDPR. Anda dapat menghubungi kami dengan pertanyaan di sini.