Центр Общих норм защиты данных (GDPR)

16 июля 2020 г. Суд Европейского союза (CJEU) выпустил правила передачи данных физических лиц из ЕС за пределы ЕЭЗ (Schrems II). В рамках Schrems II CJEU постановил, что EU-US Privacy Shield больше не является приемлемым механизмом передачи персональных данных из ЕЭЗ в США. Однако в том же постановлении CJEU подтвердил, что компании могут (при условии принятия дополнительных мер, если таковые необходимы) продолжать использовать Стандартные контрактные положения как допустимый механизм передачи персональных данных за пределы ЕЭЗ. После этого Европейский совет по защите данных (EDPB), в состав которого входят представители государственных органов по защите данных, предоставил неполный список дополнительных мер в своих «Рекомендациях 01/2020 относительно мер, которые применяются в дополнение к инструментам передачи для обеспечения соответствия уровню безопасности персональных данных в ЕС» (Рекомендации EDPB).

В Рекомендациях EDPB для экспортеров данных приведены примеры дополнительных мер, которые могут быть приняты. Более подробную информацию о ресурсах AWS для передачи данных см. в разделе ниже «Могу ли я продолжать пользоваться сервисами AWS после принятия постановления Schrems II?»

Да. Клиенты AWS могут продолжать пользоваться сервисами AWS для передачи данных клиентов из Европы в страны за пределами ЕЭЗ, которые не получили от Европейской комиссии решение о достаточности мер. Постановление Schrems II узаконило использование Стандартных контрактных положений (SCC) как механизма для передачи данных клиентов за пределы ЕЭЗ, и клиенты AWS могут и далее полагаться на SCC при любой передаче данных клиентов за пределы ЕЭЗ в соответствии с GDPR.

• Место обработки. Клиенты выбирают регион AWS, в котором будут храниться их клиентские данные. Обзор доступных регионов AWS приведен в разделе Регионы и зоны доступности. AWS не будет обрабатывать данные клиентов за пределами выбранного клиентом региона AWS за исключением случаев, когда это необходимо для предоставления сервисов AWS и затребовано клиентом или требуется для соблюдения закона или обязывающего предписания правительственного органа. Подробнее о передаче данных с использованием сервисов AWS см. на веб-странице Функции конфиденциальности.
• Субподрядчики. AWS может пользоваться услугами субподрядчиков, то есть дочерних организаций AWS или сторонних компаний, чтобы получить помощь в обработке данных клиентов для выполнения своих обязательств перед клиентами по Положению по обработке данных AWS или для предоставления сервисов от нашего имени. Для получения подробной информации см. раздел ниже «Пользуется ли AWS услугами субподрядчиков при обработке клиентских данных?»
• Инструменты передачи. Поскольку постановление Schrems II утвердило SCC как механизм передачи данных в страны за пределы ЕЭЗ, которые не получили от Европейской комиссии решение о достаточности мер, наши клиенты могут по-прежнему руководствоваться стандартными договорными условиями, приведенными в положении AWS DPA, если им требуется передавать данные за пределы ЕЭЗ в соответствии с GDPR.
• Дополнительные меры.
  • Контроль со стороны клиентов. Клиенты всегда являются владельцами своих данных клиентов и контролируют их с помощью простых, но эффективных инструментов, которые дают им возможность определять, где будут храниться данные клиентов, защищать данные клиентов при передаче и хранении и управлять доступом пользователей к ресурсам AWS, а также изменять, удалять и получать данные клиентов.
  • Технические и организационные меры. AWS реализует надежные комплексные средства и процессы технического и физического контроля, предназначенные для предотвращения несанкционированного доступа к клиентским данным или их раскрытия (дополнительную информацию см. на странице соответствия AWS нормативным требованиям). Также мы предоставляем комплект продвинутых сервисов для шифрования и управления ключами (в том числе сервисы, которые дают клиентам возможность управлять собственными ключами), которые можно использовать для защиты данных клиентов при передаче и хранении: зашифрованные данные клиентов становятся недоступными без соответствующих ключей расшифровки. Независимо от того, зашифрованы ли данные клиентов, мы всегда бдительно защищаем данные клиентов от несанкционированного доступа.
  • Запросы от правоохранительных органов. В AWS есть внутренние процессы обработки запросов, получаемых от правоохранительных органов. При получении запроса на предоставление данных клиента от правоохранительных органов мы тщательно изучаем его, чтобы удостовериться в его приемлемости и соответствии применимому законодательству. Если это не запрещено законом, AWS уведомляет клиентов перед раскрытием их данных, чтобы они могли воспользоваться средством правовой защиты во избежание раскрытия. В Дополнительном приложении к положению AWS DPA (далее – Дополнительное приложение) AWS выражает стойкие контрактные обязательства относительно обработки правительственных запросов на получение клиентских данных, в том числе обязуется: (i) принимать все обоснованные меры для перенаправления любых правительственных органов, запрашивающих клиентские данные, к соответствующему клиенту; (ii) незамедлительно сообщать о запросе клиенту, если это разрешено законом (в том числе принимая все обоснованные и законные меры с целью получить отклонение запрета, если это необходимо); (iii) оспаривать любой расплывчатый или неприемлемый запрос, в том числе если он противоречит законодательству ЕС; (iv) раскрывать только минимальное количество клиентских данных, необходимое для удовлетворения запроса, если после принятия всех вышеуказанных мер от AWS еще требуется предоставлять клиентские данные в ответ на правительственный запрос.
  • Договорные меры. AWS дает некоторые контрактные обязательства по принятию вышеуказанных мер, которые отражены в положении AWS DPA и Дополнительном приложении. В Положение по обработке данных AWS и Дополнительном приложении приведены контрактные обязательства AWS относительно следующего: (1) выбора клиентом регионов AWS, в которых будут храниться и обрабатываться данные клиентов; (2) технические и организационные меры, которые приняты AWS для защиты инфраструктуры AWS, и технические и организационные меры, которые могут выбрать клиенты для защиты данных клиентов; (3) меры AWS по защите данных клиентов и информированию клиентов в случае получения запроса от правительственного органа на раскрытие данных; (4) способности AWS выполнить свои обязательства, изложенные в Положении по обработке данных AWS в соответствии с применимым законодательством в третьей стране, в которой обрабатываются данные клиентов. Также в Дополнительном приложении приведены (5) законные права физических лиц на требование компенсации в случае нарушения их прав, предоставленных GDPR.

Да, в AWS имеется три типа субподрядчиков: (1) подразделения AWS, которые предоставляют инфраструктуру, на основе которой работают сервисы AWS; (2) подразделения AWS, которые поддерживают определенные сервисы AWS, что может потребовать от этих подразделений обработки данных клиента; и (3) третьи лица, с которыми у AWS был заключен договор на обработку данных для определенных сервисов AWS. На веб-странице Субподрядчики AWS приведена дополнительная информация о субподрядчиках, услугами которых пользуется AWS в соответствии с положением AWS DPA для обработки клиентских данных от имени клиентов. Субподрядчики для отдельного клиента зависят от региона AWS, выбранного клиентом, и от конкретных сервисов AWS, которыми пользуется клиент.

Техническое описание AWS Механизмы соответствия требованиям, которые помогут выполнить условия ЕС относительно передачи данных, предоставляет информацию о том, с помощью каких сервисов и ресурсов AWS наши клиенты могут провести оценку передачи данных в свете постановления Schrems II и последующих рекомендаций Европейского совета по защите данных. Также это техническое описание содержит сведения об основных вспомогательных мерах, принятых AWS и предоставленных клиентам для защиты клиентских данных.

AWS предоставляет полезную для клиентов информацию, в том числе несколько отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов и положений по безопасности, в качестве подтверждения того, что AWS поддерживает высокий уровень соответствия требованиям для своей инфраструктуры. Благодаря этим отчетам наши клиенты могут быть уверены, что мы защищаем данные клиентов, которые они обрабатывают на AWS. Примером является соответствие AWS стандартам ISO 27001, 27017 и 27018. ISO 27018 содержит описание средств управления безопасностью, которые предназначены для защиты клиентских данных.

AWS также соответствует требованиям Кодекса поведения CISPE в области защиты данных. Подробнее о Кодексе CISPE можно узнать из приведенного ниже раздела «Соблюдает ли AWS одобренный в GDPR Кодекс поведения для сервисов облачной инфраструктуры?»

Да. По состоянию на июнь 2023 года 107 сервисов AWS соответствуют требованиям Кодекса поведения европейских поставщиков сервисов облачной инфраструктуры (CISPE) в области защиты данных. CISPE – это объединение передовых поставщиков облачных вычислений, которые обслуживают миллионы клиентов в Европе. Кодекс поведения CISPE в области защиты данных (далее – Кодекс CISPE) – это первый панъевропейский кодекс поведения в области защиты данных, который ориентирован на поставщиков сервисов облачной инфраструктуры. Кодекс CISPE утвержден Европейским советом по защите данных, который действует в интересах 27 органов, обеспечивающих защиту данных в Европе. Кодекс официально принят Органом по надзору за соблюдением законодательства о защите персональных данных во Франции (CNIL) – главным контролирующим ведомством по надзору. В 2017 году в AWS было сделано заявление об обеспечении соответствия требованиям более ранней версии Кодекса CISPE.

Кодекс CISPE помогает клиентам убедиться в том, что их поставщик сервисов облачной инфраструктуры предоставляет надлежащие гарантии, чтобы продемонстрировать соответствие GDPR и защитить клиентские данные. Ниже перечислены основные преимущества Кодекса CISPE.

• Ориентированность на облачную инфраструктуру. Прояснение роли поставщика сервисов облачной инфраструктуры в соответствии с GDPR в отношении обработки клиентских данных, то есть любых персональных данных, которые обрабатываются от имени клиента с помощью сервиса облачной инфраструктуры.
• Данные в Европе. Требование того, чтобы поставщики сервисов облачной инфраструктуры предоставляли клиентам возможность выбора сервисов, которые хранят и обрабатывают все клиентские данные в Европейской экономической зоне (ЕЭЗ).
• Конфиденциальность данных. Кодекс CISPE гарантирует организациям, что поставщики сервисов облачной инфраструктуры соответствуют требованиям в отношении обработки персональных данных (данных клиентов) от их имени согласно GDPR.

Сертификат соответствия, который подтверждает надлежащий статус AWS, доступен в открытом реестре CISPE. Перечисленные сервисы AWS прошли независимую проверку на соответствие Кодексу CISPE, которую осуществила компания Ernst & Young CertifyPoint (EY CertifyPoint), независимый всемирно признанный контрольный орган, аккредитованный CNIL.

GDPR не меняет Модель общей ответственности AWS. Она сохраняет свою актуальность для клиентов. Модель общей ответственности – полезный принцип, демонстрирующий разграничение ответственности AWS (в качестве обработчика данных или субподрядчика) и клиентов (как обработчиков данных или операторов данных) в рамках GDPR.

В рамках Модели общей ответственности на AWS налагаются определенные обязательства в отношении защиты безопасности базовой инфраструктуры, которая поддерживает сервисы AWS («безопасность облака»). Клиенты, выступающие в роли контролеров или обработчиков данных, несут ответственность за все персональные данные, которые они размещают в облаке («безопасность в облаке»).

Ответственность AWS: «безопасность облака». AWS несет ответственность за защиту глобальной инфраструктуры, на которой работают все сервисы AWS. Данная инфраструктура состоит из аппаратного обеспечения, программного обеспечения, сетей и объектов, обеспечивающих работу сервисов AWS. Эти системы предоставляют клиентам мощные инструменты управления, в том числе инструменты настройки безопасности для обработки контента клиентов. AWS предоставляет ряд отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных стандартов и положений по вычислительной безопасности (подробнее см. на странице Соответствие AWS нормативным требованиям). Благодаря этим отчетам наши клиенты могут быть уверены, что мы защищаем данные клиентов. Примером является соответствие AWS стандартам ISO 27001, 27017 и 27018. ISO 27018 содержит описание средств управления безопасностью, которые предназначены для защиты клиентских данных.

Ответственность клиента: «безопасность в облаке». Клиенты AWS несут ответственность за создание архитектуры и обеспечение безопасности приложения и решений, которые они выбирают для развертывания сервисов AWS. Также клиенты AWS несут ответственность за настройку конфигурации сервисов AWS таким образом, который позволит удовлетворить потребности в конфиденциальности, целостности и безопасности данных клиентов. Конкретная ответственность, которую несет клиент относительно защиты данных клиентов, зависит от сервисов AWS, выбранных клиентом для использования, и от того, как эти сервисы интегрируются в ИТ-среды клиентов. Клиенты AWS пользуются преимуществами видимости и контроля над данными клиентов и могут реализовать гибкие средства обеспечения безопасности в зависимости от уровня конфиденциальности определенного типа данных клиентов. Это делается за счет применения собственных мер и инструментов обеспечения безопасности или применения мер и инструментов обеспечения безопасности, предоставляемых AWS или другими поставщиками. Таким образом клиенты могут реализовать дополнительные уровни безопасности для более конфиденциальных данных клиентов.

AWS предоставляет продукты, инструменты и сервисы, которые клиенты могут использовать для создания архитектуры и обеспечения безопасности их приложений и решений и которые можно развернуть для соблюдения требований GDPR, в том числе следующих.

• Управление идентификацией и доступом AWS (IAM) предоставляет организациям возможность безопасно управлять доступом к сервисам и ресурсам AWS. С помощью IAM клиенты могут создавать пользователей AWS и группы пользователей, управлять ими, а также применять разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
• AWS CloudTrail позволяет организациям вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с ресурсами AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
• Amazon GuardDuty – это управляемый сервис обнаружения угроз, который постоянно отслеживает вредоносное или несанкционированное поведение с целью защиты аккаунтов AWS и связанных рабочих нагрузок. Он отслеживает действия, которые могут представлять угрозу для аккаунтов, например необычные вызовы API или потенциально несанкционированные развертывания. GuardDuty также обнаруживает потенциально небезопасные инстансы или исследование систем злоумышленниками.
• Amazon Macie – сервис, который использует машинное обучение для обнаружения и классификации персональных данных, хранящихся в Amazon S3.

См. наше техническое описание Обеспечение соответствия требованиям GDPR на AWS, чтобы получить дополнительные сведения о том, как использовать ресурсы AWS в соответствии с GDPR.

Да. Можно выполнить поиск в Инструменте поиска партнерских решений AWS по ключевому слову GDPR, чтобы помочь клиентам найти независимых поставщиков программного обеспечения (ISV), поставщиков управляемых сервисов (MSP) и системных интеграторов (SI), продукты и сервисы которых дают возможность выполнить требования GDPR. Кроме того, искать решения по ключевому слову GDPR можно и на веб-сайте AWS Marketplace.

Да. Команда AWS Security Assurance Services проводит некоторые мероприятия для клиентов, помогая им обеспечить соответствие требованиям GDPR. Эта команда сертифицированных специалистов в области обеспечения соответствия требованиям помогает клиентам обеспечивать, поддерживать и автоматизировать обеспечение соответствия требованиям в облаке, связывая применимые стандарты обеспечения соответствия с определенными функциями и возможностями сервисов AWS. Подробнее о том, как консультанты AWS Professional Services помогают клиентам, можно узнать здесь.

С помощью Поддержки AWS клиенты могут получить технические инструкции, которые им помогут реализовать соответствие требованиям GDPR. В рамках этой деятельности у нас имеются специалисты по облачной поддержке и персональные менеджеры технической поддержки (TAM), которые подготовлены для помощи в обнаружении рисков в вопросах соответствия требованиям и их нейтрализации. Уровень поддержки, которую оказывает AWS, зависит от выбранного клиентом плана AWS Support. Подробная информация о Поддержке AWS-премиум для клиентов приведена в Центре Поддержки AWS на Консоли управления AWS. Кроме того, можно воспользоваться контактными данными, приведенными в соглашении AWS о корпоративной поддержке, или перейти на страницу Поддержка AWS. По вопросам GDPR клиентам с уровнем поддержки Enterprise Support следует обращаться к персональному техническому менеджеру.

Клиентам, ориентированным на соответствие требованиям GDPR, могут пригодиться следующие две программы.

• Программа проверки операций в облаке Cloud Operations Review. Программа доступна для клиентов Корпоративной поддержки AWS и предназначена для определения пробелов в подходе клиентов к работе в облаке. Программа создана на основе ряда рекомендаций, полученных из опыта работы AWS с большим количеством типовых клиентов. Она представляет собой обзор облачных операций и соответствующих методов управления, поэтому может помочь организациям соответствовать требованиям GDPR. В программе использован четырехсторонний подход: подготовка, мониторинг, использование и оптимизация облачных систем для достижения эффективности бизнес-процессов.
• Программа проверки архитектуры Well-Architected Review. Эта программа позволяет организациям сопоставить свою архитектуру с рекомендациями AWS с целью создания безопасной, надежной, высокопроизводительной и экономичной архитектуры. Оценки Well-Architected Review позволяют клиентам выявить риски в архитектуре и устранить их до начала эксплуатации приложений.

В AWS реализован процесс мониторинга инцидентов безопасности и взлома данных, и клиенты будут получать уведомления о взломе системы безопасности AWS без задержки и в соответствии с положением AWS DPA. AWS также предоставляет клиентам набор инструментов для получения информации о том, кто, когда и откуда получил доступ к их ресурсам. Один из таких инструментов – AWS CloudTrail. Сервис позволяет управлять аккаунтом AWS, обеспечивать соответствие требованиям и проводить аудит операционных процессов и рисков. С помощью AWS CloudTrail можно вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях в аккаунте в пределах всей используемой инфраструктуры AWS. Таким образом, в распоряжении организации находится информация о том, что происходит с корпоративной инфраструктурой AWS. Более того, компания может незамедлительно принимать меры в случае подозрительных действий. Подробнее о других инструментах безопасности, предоставляемых AWS клиентам для обеспечения соответствия требованиям GDPR как контроллеров данных, см. на странице Безопасность облака AWS.

AWS предоставляет клиентам и партнерам APN ряд инструментов для обеспечения безопасности клиентских данных и защиты от кибератак. Один из таких инструментов – AWS Shield. Это управляемый сервис защиты от атак типа «распределенный отказ в обслуживании» (DDoS). Он защищает приложения и веб-сайты, работающие на AWS. AWS Shield Standard предоставляется бесплатно, он обеспечивает непрерывное обнаружение и автоматическую линейную нейтрализацию атак, сокращая время простоя и задержку приложений. Клиенты и партнеры APN могут оформить подписку на AWS Shield Advanced и обеспечить защиту более высокого уровня от атак, нацеленных на веб-приложения в сервисах AWS, которые используют ресурсы ELB, Amazon CloudFront и Amazon Route 53. Также AWS публикует и регулярно обновляет рекомендации AWS по обеспечению устойчивости к DDoS-атакам, которые помогают клиентам использовать AWS для создания приложений, устойчивых к DDoS-атакам.

Другие инструменты AWS для защиты клиентских данных от кибератак перечислены ниже.

• Управление идентификацией и доступом AWS (IAM) предоставляет организациям возможность безопасно управлять доступом к сервисам и ресурсам AWS. С помощью IAM клиенты и партнеры APN могут создавать пользователей AWS и группы пользователей, управлять ими, а также применять разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
• AWS Config позволяет клиентам и партнерам APN задействовать встроенные правила, которые проверяют правильность настройки и состояние соответствия для ресурсов AWS.
• AWS CloudTrail позволяет организациям вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с ресурсами AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
• Amazon GuardDuty – это управляемый сервис обнаружения угроз, который постоянно отслеживает вредоносное или несанкционированное поведение с целью защиты аккаунтов AWS и связанных рабочих нагрузок. Он отслеживает действия, которые могут представлять угрозу для аккаунтов, например необычные вызовы API или потенциально несанкционированные развертывания. GuardDuty также обнаруживает потенциально небезопасные инстансы или исследование систем злоумышленниками.

Amazon Macie – это полностью управляемый сервис, который обеспечивает безопасность и конфиденциальность данных, а также использует машинное обучение и сопоставление с шаблонами для обнаружения и защиты персональных данных в AWS. По мере роста объема данных, с которыми работают организации, распознавание и защита больших объемов персональных данных становится все более сложной, дорогостоящей и трудоемкой задачей. Сервис Amazon Macie позволяет автоматизировать обнаружение персональных данных и снизить затраты на их защиту. Macie автоматически предоставляет перечень корзин Amazon S3, включая список незашифрованных и общедоступных корзин, а также корзин, доступ к которым предоставлен аккаунтам AWS, не включенным в AWS Organizations. Кроме того, сервис Macie применяет к выбранным корзинам методы Machine Learning и сопоставления с шаблонами, чтобы распознавать конфиденциальные данные и отправлять уведомления о них.

Сервис Amazon Macie сертифицирован по признанным на международном уровне стандартам, например ISO 27017 относительно безопасности облака и ISO 27018 относительно конфиденциальности облака. Клиенты и партнеры APN могут использовать Macie для непрерывного мониторинга доступа к данным, чтобы обнаружить подозрительные действия на основе шаблонов доступа.

Чтобы помочь клиентам соответствовать требованиям GDPR, AWS предлагает ряд инструментов для контроля доступа к персональным данным, хранящимся как контент клиентов на AWS. Примеры таких инструментов показаны ниже.

• Безопасность по умолчанию означает, что сервисы AWS спроектированы безопасными по умолчанию. При использовании конфигурации по умолчанию доступ к ресурсам предоставляется только владельцу аккаунта и администратору с правами root.
• Управление идентификацией и доступом AWS (IAM) предоставляет клиентам возможности безопасного управления доступом к сервисам и ресурсам AWS. Используя сервис IAM, организации могут создавать пользователей и группы AWS и управлять ими, а также использовать разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. IAM – это возможность аккаунта AWS, которая предоставляется бесплатно.
• Многофакторная аутентификация AWS вводит дополнительный уровень защиты, помимо проверки имени пользователя и пароля аккаунта AWS. AWS предоставляет клиентам выбор аппаратного или виртуального устройства MFA.
• Сервис каталогов AWS позволяет клиентам выполнять интеграцию и федерализацию с корпоративными директориями для уменьшения административных накладных расходов и улучшения условий работы конечных пользователей.
• AWS Config позволяет клиентам задействовать встроенные правила, которые проверяют правильность настройки и состояние соответствия для ресурсов AWS.
• AWS CloudTrail позволяет клиентам вести журналы, осуществлять непрерывный мониторинг и сохранять информацию обо всех действиях аккаунта, связанных с действиями в инфраструктуре AWS. Это упрощает анализ безопасности, отслеживание изменений ресурсов, а также поиск и устранение ошибок (AWS CloudTrail включен по умолчанию во всех аккаунтах AWS).
• Amazon Macie помогает клиентам предотвращать потерю данных, используя машинное обучение для автоматического обнаружения, классификации и защиты конфиденциальных данных в AWS. Amazon Macie является полностью управляемым сервисом. Он непрерывно выполняет мониторинг действий по доступу к данным для выявления отклонений от нормы и генерирует предупреждения, если обнаруживает риск несанкционированного доступа или неумышленной утечки данных, например когда клиент открыл доступ к конфиденциальным данным извне.

AWS предлагает клиентам и партнерам APN возможность добавить дополнительный уровень безопасности для клиентских данных, хранящихся в облаке, а также помогает им выполнять собственные обязательства (обязательства контролеров данных) в отношении безопасной обработки данных в рамках GDPR. К инструментам шифрования, доступным на AWS, относятся указанные ниже.

• Функции шифрования данных, доступные в сервисах AWS для хранилищ и баз данных, таких как Эластичное блочное хранилище Amazon, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS и Redshift
• Гибкие варианты управления ключами, в том числе Сервис управления ключами AWS, позволяющие клиентам выбирать, сохранять ли полный контроль над ключами шифрования или передать управление ключами AWS
• Очереди зашифрованных сообщений для передачи конфиденциальных данных с помощью шифрования на стороне сервера (SSE) в Amazon SQS
• Выделенные аппаратные хранилища криптографических ключей, использующие AWS CloudHSM, которые позволяют клиентам обеспечить соответствие требованиям

Кроме того, AWS предоставляет API, позволяющие клиентам и партнерам APN интегрировать шифрование и защиту данных с любыми сервисами, которые они разрабатывают или развертывают в среде AWS.

AWS предоставляет своим клиентам целый ряд функций и сервисов, с помощью которых они смогут достичь соответствия требованиям GDPR.

Контроль доступа. Возможность предоставления доступа к ресурсам AWS только авторизованным администраторам, пользователям и приложениям.

• Многофакторная аутентификация (MFA)
• Тщательная настройка доступа к объектам в корзинах Amazon S3/Amazon SQS/Amazon SNS и других сервисах
• Аутентификация через запрос API
• Географические ограничения
• Временные токены доступа, распределяемые с помощью Сервиса токенов безопасности AWS

Мониторинг и ведение журналов. Обзор процессов, происходящих в клиентских ресурсах AWS.

• Управление ресурсами и их настройка с помощью AWS Config
• Аудит на предмет соответствия требованиям и анализ безопасности с помощью AWS CloudTrail
• Определение проблем конфигурации с помощью AWS Trusted Advisor
• Тщательное ведение журналов доступа к объектам Amazon S3
• Предоставление подробных сведений о сетевых потоках с помощью Amazon VPC Flow Logs
• Проверка конфигурации и принятие необходимых мер на основе правил, прописываемых в AWS Config Rules
• Фильтрация и мониторинг доступа к приложениям по HTTP с использованием функций AWS WAF в составе AWS CloudFront

Шифрование. Шифрование данных в AWS.

• Шифрование сохраненных клиентских данных по стандарту AES256 (сервисы EBS/S3/Glacier/RDS)
• Централизованное управление ключами (в пределах одного региона AWS)
• Туннели IPsec, предоставляемые AWS сервисом VPN-Gateways
• Выделение в облаке модулей HSM с помощью AWS CloudHSM

Надежная платформа обеспечения соответствия требованиям и стандарты безопасности. Мы демонстрируем соответствие требованиям, соблюдая строгие международные стандарты, в том числе следующие.

• ISO 27001 относительно технических мер
• ISO 27017 относительно безопасности облака
• ISO 27018 относительно конфиденциальности облака
• SOC 1, SOC 2 и SOC 3, PCI DSS уровня 1
• Common Cloud Computing Controls Catalogue (C5) от BSI
• ENS высокого уровня

GDPR – это европейский свод нормативных требований, который утратил правовую силу на территории Великобритании после Брексита.  Правительство Великобритании включило требования GDPR в государственное законодательство в качестве UK GDPR.

AWS представляет вниманию клиентов соответствующее UK GDPR Дополнение UK GDPR к положению AWS DPA, которое включает обязательства AWS в отношении обработки данных согласно UK GDPR. Дополнение UK GDPR является частью Условий обслуживания в AWS и автоматически применяется ко всем клиентам, для которых требуется соглашение об обработке данных в соответствии с UK GDPR.

Дополнение UK GDPR, которое является частью Условий обслуживания в AWS, включает SCC, утвержденные Европейской комиссией, и соглашение о международной передаче данных (IDTA), выданное регулирующим органом Великобритании по защите информации (Information Commissioners Office).  IDTA дополняет типовые договорные положения, чтобы они в соответствии с UK GDPR надлежащим образом гарантировали безопасность информации, передающейся за пределы Великобритании в страны, которые не были признаны как обеспечивающие удовлетворительный уровень защиты персональных данных (третьи страны согласно законодательству Великобритании). Дополнение UK GDPR подтверждает, что SCC (дополненные соглашением IDTA) будут автоматически применяться всякий раз, когда клиент использует сервисы AWS для передачи клиентских данных, регулируемых UK GDPR (данных клиентов из Великобритании), в такие третьи страны.  Поскольку SCC (дополненные соглашением IDTA) являются частью Дополнения UK GDPR, которое входит в Условия обслуживания в AWS, такие положения будут применяться автоматически всякий раз, когда клиент использует сервисы AWS для передачи клиентских данных из Великобритании в третьи страны.

AWS предлагает швейцарское дополнение к Положению по обработке данных AWS (далее – Швейцарское дополнение), в котором отражены обязательства AWS как обработчика данных в соответствии с Федеральным законом Швейцарии о защите данных (далее – FDPA). Швейцарское дополнение является частью Условий обслуживания в AWS (см. раздел 1.14.4) и действует автоматически, когда FDPA применяется к использованию клиентами сервисов AWS для обработки клиентских данных.

Швейцарское дополнение к Положению по обработке данных AWS, которое является частью Условий обслуживания AWS (см. раздел 1.14.4), включает стандартные договорные положения (далее – SCC), принятые Европейской комиссией и измененные в соответствии с требованиями Федерального комиссара по защите данных и информации Швейцарии. Швейцарское дополнение подтверждает, что типовые договорные положения (дополненные Швейцарским дополнением) будут автоматически применяться всякий раз, когда клиент использует сервисы AWS для передачи клиентских данных, регулируемых FDPA, в такие третьи страны.

Если у клиентов остаются вопросы о GDPR, рекомендуем им в первую очередь обратиться к персональному менеджеру AWS. При наличии уровня поддержки Enterprise Support можно также обратиться к своему персональному техническому менеджеру. Персональные технические менеджеры (TAM) работают в контакте с архитекторами решений, чтобы помочь клиентам выявить потенциальные риски и возможности их нейтрализации. Персональные технические менеджеры (TAM) и сотрудники, отвечающие за поддержку аккаунта, могут предлагать конкретные ресурсы в зависимости от среды и потребностей клиентов и партнеров APN.

С вопросами о GDPR обращайтесь к представителям корпоративного уровня поддержки, консультантам Professional Services и другим сотрудникам AWS. Если есть вопросы, свяжитесь с нами, перейдя по этой ссылке.