ศูนย์ระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR)

ในวันที่ 16 กรกฎาคม 2020 ศาลยุติธรรมแห่งสหภาพยุโรป (CJEU) ออกคำสั่งว่าด้วยการถ่ายโอนข้อมูลส่วนบุคคลของผู้ที่อยู่ในสหภาพยุโรปภายนอก EEA (Schrems II) ใน Schrems II นี้ CJEU ออกคำสั่งว่าการคุ้มครองความเป็นส่วนตัวในการโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐอเมริกานั้น ไม่ใช่กลไกที่ถูกต้องสำหรับการถ่ายโอนข้อมูลส่วนบุคคลจาก EEA ไปยังสหรัฐฯ อีกต่อไป อย่างไรก็ตาม CJEU ยืนยันในคำสั่งเดียวกันว่าบริษัทต่างๆ สามารถ (ภายใต้มาตรการเสริมที่บังคับใช้ หากจำเป็น) ใช้เงื่อนไขสัญญามาตรฐานเป็นกลไกที่ถูกต้องสำหรับการถ่ายโอนข้อมูลส่วนบุคคลภายนอก EEA ต่อไปได้ คณะกรรมการด้านการคุ้มครองข้อมูลของยุโรป (EDPB) ซึ่งเป็นองค์กรในยุโรปที่ประกอบด้วยตัวแทนของหน่วยงานคุ้มครองข้อมูลระดับประเทศนั้น ได้ระบุรายการมาตรการเสริมโดยสังเขปใน “คำแนะนำ 01/2020 เกี่ยวกับมาตรการที่เสริมเครื่องมือถ่ายโอนข้อมูลเพื่อให้มีการปฏิบัติตามข้อกำหนดในระดับการคุ้มครองข้อมูลส่วนบุคคลใน EU” (คำแนะนำของ EDPB)

คำแนะนำของ EDPB ระบุตัวอย่างมาตรการเสริมที่ผู้ส่งออกข้อมูลนำไปบังคับใช้ได้ ดูรายละเอียดเกี่ยวกับทรัพยากรการถ่ายโอนข้อมูลจากคำถามที่พบบ่อยฉันจะใช้บริการของ AWS ต่อไปได้หรือไม่หลังจากคำสั่ง Schrems II” ด้านล่าง

ได้ ลูกค้า AWS สามารถใช้บริการของ AWS ต่อไปเพื่อถ่ายโอนข้อมูลตนเองจากยุโรปไปยังประเทศที่อยู่นอก EEA ซึ่งไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป คำสั่ง Schrems II อนุมัติการใช้เงื่อนไขสัญญามาตรฐาน (SCCs) เป็นกลไกในการถ่ายโอนข้อมูลของลูกค้าภายนอก EEA และลูกค้า AWS สามารถพึ่งพาเงื่อนไขสัญญามาตรฐาน (SCCs) สำหรับการถ่ายโอนข้อมูลของลูกค้าใดๆ ภายนอก EEA โดยเป็นไปตาม GDPR

• ตำแหน่งที่ตั้งในการประมวลผล ลูกค้าเลือก AWS Region ที่จะจัดเก็บข้อมูลของตนเอง สามารถดูภาพรวม AWS Region ได้ภายใต้Region และ Availability Zone AWS จะไม่ประมวลผลข้อมูลของลูกค้าภายนอก AWS Region ที่ลูกค้าเลือกไว้ เว้นแต่ว่ามีความจำเป็นเพื่อจุดประสงค์ด้านการให้บริการของ AWS ที่เริ่มต้นโดยลูกค้า หรือตามที่จำเป็นเพื่อปฏิบัติตามกฎหมายหรือคำสั่งผูกมัดของหน่วยงานรัฐบาล โปรดดูหน้าเว็บ คุณสมบัติด้านความเป็นส่วนตัว เพื่ออ่านเพิ่มเติมเกี่ยวกับการถ่ายโอนข้อมูลในฐานะส่วนหนึ่งของบริการของ AWS
• ผู้ประมวลผลชั้นรอง AWS อาจใช้ผู้ประมวลผลชั้นรอง เช่น บริษัทในเครือ AWS หรือบุคคลภายนอก เพื่อช่วยในการประมวลผลข้อมูลของลูกค้า เพื่อบรรลุภาระหน้าที่ต่อลูกค้าภายใต้ AWS DPA หรือให้บริการในนามของเรา ดูรายละเอียดได้ในคำถามที่พบบ่อยด้านล่างนี้ “AWS ใช้ผู้ประมวลผลชั้นรองเพื่อประมวลผลข้อมูลของลูกค้าหรือไม่”
• เครื่องมือถ่ายโอน เนื่องจากคำสั่ง Schrems II ได้อนุมัติการใช้ SCC เป็นกลไกสำหรับการถ่ายโอนข้อมูลนอกกลุ่มประเทศ EEA ที่ยังไม่ได้รับการพิจารณาว่ามีการคุ้มครองที่เพียงพอจากคณะกรรมาธิการยุโรป ลูกค้าของเราจะยังคงสามารถใช้ SCC ที่รวมอยู่ใน AWS DPA ได้ต่อไป หากเลือกที่จะถ่ายโอนข้อมูลของตนออกไปนอก EEA โดยเป็นไปตาม GDPR
• มาตรการเสริม
  • การควบคุมของลูกค้า ลูกค้ามีความเป็นเจ้าของและอำนาจควบคุมเหนือข้อมูลของตนเองตลอดเวลาผ่านเครื่องมือที่ใช้งานง่ายแต่ทรงพลัง ซึ่งช่วยให้ระบุสถานที่จะจัดเก็บข้อมูลของลูกค้า รักษาความปลอดภัยให้ข้อมูลนั้นระหว่างโยกย้ายหรือขณะอยู่กับที่ และจัดการการเข้าถึงทรัพยากร AWS ของผู้ใช้ ตลอดจนแก้ไข ลบ และเรียกใช้ข้อมูลดังกล่าว
  • มาตรการทางเทคนิคและทางองค์กร AWS ใช้การควบคุมและกระบวนการทางเทคนิคและแบบจับต้องได้ที่มีความรับผิดชอบและซับซ้อน โดยออกแบบมาเพื่อป้องกันการเข้าถึงหรือเปิดเผยข้อมูลของลูกค้าโดยไม่ได้รับอนุญาต (ไปที่หน้าเว็บการปฏิบัติตามข้อกำหนดของ AWS เพื่อดูข้อมูลเพิ่มเติม) และเรายังให้บริการเข้ารหัสขั้นสูงและการจัดการคีย์จำนวนมาก (รวมถึงบริการที่อนุญาตให้ลูกค้าจัดการคีย์ของตนเอง) ที่ลูกค้าใช้เพื่อคุ้มครองข้อมูลของตนเองทั้งระหว่างโยกย้ายและขณะอยู่กับที่ได้ ระบบจะทำให้ไม่สามารถเข้าถึงข้อมูลของลูกค้าที่เข้ารหัสไว้ โดยไม่มีคีย์การถอดรหัสที่เกี่ยวข้อง ไม่ว่าข้อมูลของลูกค้าจะได้รับการเข้ารหัสหรือไม่ เราจะมุ่งทำงานอย่างคอยระมัดระวังเพื่อคุ้มครองข้อมูลของลูกค้าจากการเข้าถึงที่ไม่ได้รับอนุญาต
  • คำขอจากหน่วยงานบังคับใช้กฎหมาย AWS มีกระบวนการภายในที่จัดการกับคำขอที่เราได้รับจากหน่วยงานบังคับใช้กฎหมาย เมื่อเราได้รับคำขอดูข้อมูลของลูกค้าจากหน่วยงานบังคับใช้กฎหมาย เราจะตรวจสอบอย่างละเอียดเพื่อดูความถูกต้องและเพื่อตรวจสอบว่าเหมาะสมและเป็นไปตามกฎหมายที่บังคับใช้ทั้งหมด AWS จะแจ้งลูกค้าก่อนที่จะเปิดเผยข้อมูลของลูกค้า เพื่อให้ลูกค้าสามารถดำเนินการเพิ่มเติมเพื่อเตรียมหาการคุ้มครองจากการเปิดเผย เว้นแต่ว่า AWS จะถูกสั่งระงับไม่ให้ดำเนินการดังกล่าวตามกฎหมาย ในบทเสริม AWS DPA (บทเสริม) AWS สร้างข้อผูกมัดทางสัญญาเสริมความมั่นคงในด้านที่เรื่องการจัดการกับคำขอข้อมูลลูกค้าจากรัฐบาล รวมถึงโดยการผูกมัดในด้านการ (1) ใช้ความพยายามที่สมเหตุสมผลอย่างเต็มที่เพื่อพาให้หน่วยงานรัฐบาลที่ร้องขอข้อมูลลูกค้าไปหาลูกค้าที่เกี่ยวข้อง (2) แจ้งให้ลูกค้าทราบถึงคำขอทันทีหากกฎหมายอนุญาตให้ทำเช่นนั้น (รวมถึงโดยใช้ความพยายามที่สมเหตุสมผลและชอบด้วยกฎหมายอย่างเต็มที่เพื่อขอการยกเว้นการห้ามหากจำเป็น) (3) โต้แย้งคำขอใดๆ ที่กว้างเกินไปหรือไม่เหมาะสม รวมทั้งกรณีที่คำขอขัดแย้งกับกฎหมายใน EU และ (4) หากหลังจากปฏิบัติตามขั้นตอนข้างต้นทั้งหมดแล้ว AWS ยังคงประสงค์ที่จะเปิดเผยข้อมูลของลูกค้าเพื่อตอบสนองต่อคำขอจากรัฐบาล ต้องมีการเปิดเผยข้อมูลดังกล่าวเป็นขั้นต่ำที่สุดเท่าที่จำเป็นตามคำขอ
  • มาตรการทางสัญญา AWS สร้างข้อผูกมัดทางสัญญาหลายข้อกับมาตรการที่อธิบายข้างต้น ซึ่งระบุไว้ใน AWS DPA และบทเสริม AWS DPA และบทเสริมประกอบด้วยข้อผูกมัดทางสัญญาจาก AWS เกี่ยวกับ (1) การเลือก AWS Region ของลูกค้า ซึ่งจัดเก็บและประมวลผลข้อมูลของลูกค้า (2) ทั้งมาตรการทางเทคนิคและองค์กรที่ AWS ได้นำมาใช้เพื่อปกป้องโครงสร้างพื้นฐานของ AWS และมาตรการทางเทคนิคขององค์กรที่ลูกค้าอาจเลือกใช้เพื่อคุ้มครองข้อมูลของตนเอง (3) มาตรการของ AWS เพื่อคุ้มครองข้อมูลของลูกค้าและแจ้งให้ลูกค้าทราบในกรณีที่มีคำขอให้เปิดเผยข้อมูลจากหน่วยงานรัฐบาล และ (4) ความสามารถของ AWS ในการปฏิบัติตามภาระหน้าที่ซึ่งกำหนดไว้ใน AWS DPA ตามกฎหมายที่มีผลบังคับใช้ในประเทศภายนอกที่ประมวลผลข้อมูลของลูกค้า นอกจากนี้ บทเสริมยังอ้างอิงถึง (5) สิทธิตามกฎหมายของบุคคลในการเรียกร้องการชดเชยในกรณีที่มีการละเมิดสิทธิที่บุคคลนั้นมอบให้ตาม GDPR

ใช่ AWS อาจใช้ผู้ประมวลผลชั้นรองมีสามประเภท ได้แก่ (1) นิติบุคคลของ AWS ที่ให้บริการโครงสร้างพื้นฐานที่บริการของ AWS ทำงาน (2) นิติบุคคลของ AWS ที่รองรับบริการของ AWS เฉพาะ ซึ่งอาจกำหนดให้เอนทิตีเหล่านี้ประมวลผลข้อมูลลูกค้า และ (3) บุคคลภายนอกที่ AWS ทำสัญญาเพื่อจัดเตรียมกิจกรรมการประมวลผลสำหรับบริการของ AWS ที่เฉพาะเจาะจง หน้าเว็บผู้ประมวลผลข้อมูลชั้นรองของ AWS ให้ข้อมูลเพิ่มเติมเกี่ยวกับผู้ประมวลผลชั้นรองที่ AWS นำมาร่วมประมวลผลตาม AWS DPA เพื่อจัดเตรียมกิจกรรมการประมวลผลข้อมูลลูกค้าในนามของลูกค้า ผู้ประมวลผลชั้นรองที่เกี่ยวข้องกับลูกค้าแต่ละรายจะขึ้นอยู่กับ AWS Region ที่ลูกค้าเลือกและบริการของ AWS เฉพาะที่ลูกค้าใช้

เอกสารรายงานของ AWS ว่าด้วยการดำเนินการปฏิบัติตามข้อกำหนดการถ่ายโอนข้อมูลของสหภาพยุโรป ให้ข้อมูลเกี่ยวกับบริการและแหล่งข้อมูลที่ AWS เสนอให้ลูกค้าเพื่อช่วยลูกค้าดำเนินการประเมินการถ่ายโอนข้อมูลให้เป็นไปตามกฎ Schrems II และรับข้อแนะนำจากคณะกรรมการคุ้มครองข้อมูลแห่งสหภาพยุโรป เอกสารรายงานยังอธิบายมาตรการสำคัญเพิ่มเติมที่มีและดำเนินงานโดย AWS เพื่อคุ้มครองข้อมูลของลูกค้า

AWS ได้เสนอข้อมูลที่มีประโยชน์ให้แก่ลูกค้า ซึ่งประกอบด้วยรายงานหลายฉบับเกี่ยวกับการปฏิบัติตามข้อกำหนดจากผู้ตรวจสอบจากภายนอก ซึ่งได้ยืนยันถึงการปฏิบัติตามข้อกำหนดของเรากับมาตรฐานและข้อบังคับด้านความปลอดภัยที่หลากหลาย เพื่อเป็นการพิสูจน์ถึงการปฏิบัติตามข้อกำหนดระดับสูงที่ AWS รักษาไว้ให้กับโครงสร้างพื้นฐาน รายงานเหล่านี้แสดงให้ลูกค้าของเราเห็นว่าเรากำลังปกป้องข้อมูลของพวกเขา ซึ่งเลือกที่จะประมวลผลบน AWS ตัวอย่างของเราประกอบด้วยการปฏิบัติตามข้อกำหนด ISO 27001, 27017 และ 27018 ของ AWS ISO 27018 ประกอบด้วยการควบคุมความปลอดภัยที่มุ่งเน้นเรื่องการคุ้มครองข้อมูลของลูกค้า

AWS ยังปฏิบัติตามข้อกำหนดของหลักจรรยาบรรณของ CISPE เพื่อการปกป้องข้อมูลอีกด้วย สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับหลักจรรยาบรรณของ CISPE ได้ในคำถามที่พบบ่อยด้านล่างนี้ “AWS ปฏิบัติตามหลักจรรยาบรรณด้านบริการโครงสร้างพื้นฐานระบบคลาวด์ตามที่ระบุไว้ใน GDPR หรือไม่”

ใช่ ณ เดือนมิถุนายน 2023 บริการของ AWS 107 เป็นไปตามหลักจรรยาบรรณในการคุ้มครองข้อมูลของผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ในยุโรป (CISPE) CISPE เป็นความร่วมมือกันของผู้นำการประมวลผลบนคลาวด์ที่ให้บริการลูกค้าชาวยุโรปหลายล้านคน หลักจรรยาบรรณในการคุ้มครองข้อมูลของ CISPE (CISPE Code) เป็นหลักจรรยาบรรณในการคุ้มครองข้อมูลแห่งภาคพื้นยุโรปฉบับแรกที่มุ่งเน้นผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ในยุโรป จรรยาบรรณ CISPE ได้รับการอนุมัติโดยคณะกรรมการด้านการคุ้มครองข้อมูลของยุโรป ซึ่งดำเนินการในนามของหน่วยงานคุ้มครองข้อมูล 27 แห่งทั่วยุโรป และได้รับการรับรองอย่างเป็นทางการโดยหน่วยงานคุ้มครองข้อมูลของฝรั่งเศส (CNIL) ซึ่งทำหน้าที่เป็นหัวหน้าหน่วยงานกำกับดูแล ในปี 2017 ทาง AWS ได้ประกาศการปฏิบัติตามจรรยาบรรณ CISPE ฉบับก่อนหน้านี้

จรรยาบรรณ CISPE ช่วยให้ลูกค้ามั่นใจว่าบริการโครงสร้างพื้นฐานระบบคลาวด์มอบการรับประกันด้านการดำเนินงานที่เหมาะสมในด้านการปฏิบัติตาม GDPR และคุ้มครองข้อมูลของลูกค้า ประโยชน์ที่สำคัญบางอย่างของหลักจรรยาบรรณของ CISPE ประกอบด้วย:

• มุ่งเน้นโครงสร้างพื้นฐานระบบคลาวด์: การชี้แจ้งบทบาทของผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ให้ชัดเจนภายใต้ GDPR เกี่ยวกับการประมวลผลข้อมูลของลูกค้า นั่นคือข้อมูลส่วนบุคคลใดๆ ที่ประมวลผลในนามของลูกค้าโดยใช้บริการโครงสร้างพื้นฐานระบบคลาวด์
• ข้อมูลในยุโรป: ต้องมีผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์เพื่อให้ลูกค้าสามารถเลือกใช้บริการต่างๆ ในการจัดเก็บและประมวลผลข้อมูลของลูกค้าเฉพาะในเขตเศรษฐกิจยุโรป (EEA)
• ความเป็นส่วนตัวของข้อมูล: จรรยาบรรณ CISPE ช่วยให้องค์กรมั่นใจได้ว่าผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ของตนตรงตามข้อกำหนดที่บังคับใช้กับข้อมูลส่วนบุคคลที่ประมวลผลในนามของพวกเขา (ข้อมูลลูกค้า) ภายใต้ GDPR

ใบรับรองการปฏิบัติตามข้อกำหนดที่แสดงสถานะการปฏิบัติตามข้อกำหนดของ AWS มีอยู่ใน CISPE Public Register บริการของ AWS ที่อยู่ในรายการได้รับการยืนยันอย่างเป็นอิสระว่าเป็นไปตาม CISPE Code กระบวนการตรวจสอบนั้นดำเนินการโดย Ernst & Young CertifyPoint (EY CertifyPoint) ซึ่งเป็นหน่วยงานตรวจสอบอิสระที่ได้รับการยอมรับทั่วโลกและได้รับการรับรองโดย CNIL

GDPR จะไม่เปลี่ยนแปลงโมเดลความรับผิดชอบร่วมกันของ AWS ซึ่งยังคงมีความเกี่ยวข้องกับลูกค้า โมเดลความรับผิดชอบร่วมกันคือแนวทางที่มีประโยชน์ในการแสดงให้เห็นถึงความรับผิดชอบต่างๆ ที่แตกต่างกันของ AWS (ในฐานะผู้ประมวลผลข้อมูล หรือ ผู้ประมวลผลย่อย) และลูกค้า (ทั้งในฐานะผู้ควบคุมข้อมูล หรือ ผู้ประมวลผลข้อมูล) ภายใต้ GDPR

ภายใต้โมเดลความรับผิดชอบร่วมกัน AWS จะรับผิดชอบการรักษาความปลอดภัยโครงสร้างพื้นฐานซึ่งรองรับบริการของ AWS (“การรักษาความปลอดภัย “ของ” ระบบคลาวด์”) และลูกค้าซึ่งทำหน้าที่เป็นทั้งผู้ควบคุมข้อมูลหรือผู้ประมวลผลข้อมูล มีหน้าที่รับผิดชอบข้อมูลส่วนบุคคลใดๆ ที่อัปโหลดไปยังบริการของ AWS (“การรักษาความปลอดภัย “ใน” ระบบคลาวด์”)

ความรับผิดชอบของ AWS “การรักษาความปลอดภัยของระบบคลาวด์”– AWS รับผิดชอบในการปกป้องโครงสร้างพื้นฐานในการให้บริการทั้งหมดของ AWS โครงสร้างพื้นฐานนี้จะประกอบไปด้วยฮาร์ดแวร์ ซอฟต์แวร์ เครือข่าย และสิ่งอำนวยความสะดวกที่เรียกใช้บริการของ AWS ที่รวมถึงการควบคุมการกำหนดค่าความปลอดภัย ซึ่งมอบการควบคุมอันทรงพลังแก่ลูกค้าสำหรับการจัดการเนื้อหาของลูกค้า AWS ยังมอบรายงานการปฏิบัติตามข้อกำหนดหลายฉบับจากผู้ตรวจสอบบริษัทอื่นซึ่งได้ยืนยันการปฏิบัติตามข้อกำหนดของเราด้วยมาตรฐานและข้อบังคับด้านความปลอดภัยคอมพิวเตอร์ต่างๆ (สำหรับข้อมูลเพิ่มเติม ไปที่หน้าเว็บการปฏิบัติตามข้อกำหนดของ AWS) รายงานเหล่านี้แสดงให้ลูกค้าเห็นว่าเรากำลังปกป้องข้อมูลของตนเอง ตัวอย่างของเราประกอบด้วยการปฏิบัติตามข้อกำหนด ISO 27001, 27017 และ 27018 ของ AWS ISO 27018 ประกอบด้วยการควบคุมความปลอดภัยที่มุ่งเน้นเรื่องการคุ้มครองข้อมูลของลูกค้า

ความรับผิดชอบของลูกค้า “การรักษาความปลอดภัยในระบบคลาวด์” - ลูกค้า AWS มีความรับผิดชอบต่อการสร้างและรักษาความปลอดภัยแอปพลิเคชันและโซลูชันที่เลือกติดตั้งใช้จริงบนบริการของ AWS และลูกค้า AWS มีความรับผิดชอบต่อการกำหนดค่าบริการของ AWS ในลักษณะที่คุ้มครองความจำเป็นด้านการเป็นความลับ ความสมบูรณ์ และความปลอดภัยของข้อมูลลูกค้า ความรับผิดชอบแต่ละด้านที่ลูกค้ามีต่อการรักษาความปลอดภัยของข้อมูลตนเองนั้นแตกต่างกันไป โดยขึ้นอยู่กับบริการของ AWS ที่ลูกค้าเลือกใช้และวิธีที่บริการเหล่านั้นรวมเข้าอยู่ในสภาพแวดล้อมไอทีของลูกค้า ลูกค้า AWS มีความสามารถในการมองเห็นและควบคุมข้อมูลของตนเองและใช้มาตรการควบคุมที่ยืดหยุ่นตามความละเอียดอ่อนของข้อมูลดังกล่าวในประเภทต่างๆ ได้ ลูกค้าทำเช่นนี้ได้โดยใช้มาตรการและเครื่องมือรักษาความปลอดภัยในระบบเอง หรือใช้มาตรการรและเครื่องมือรักษาความปลอดภัยที่ AWS หรือซัพพลายเออร์อื่นมีให้ใช้ โดยวิธีนี้ช่วยให้ลูกค้าวางชั้นรักษาความปลอดภัยเพิ่มเติมสำหรับข้อมูลที่ละเอียดอ่อนกว่าของตนเองได้

AWS มีผลิตภัณฑ์ เครื่องมือ และบริการต่างๆ ให้ลูกค้าสามารถใช้เพื่อสร้างและรักษาความปลอดภัยแอปพลิเคชันและโซลูชันที่ติดตั้งใช้จริงเพื่อช่วยจัดการกับข้อกำหนดของ GDPR ได้ ได้แก่

• AWS Identity and Access Management (IAM) ช่วยให้องค์กรจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS ได้อย่างปลอดภัย เมื่อใช้ IAM ลูกค้าจะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
• AWS CloudTrail จะทำให้องค์กรสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ใน AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
• Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่ได้รับการจัดการซึ่งคอยเฝ้าติดตามพฤติกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตอย่างต่อเนื่องเพื่อช่วยปกป้องบัญชี AWS และปริมาณงาน โดยจะเฝ้าติดตามกิจกรรมต่างๆ ซึ่งสามารถบ่งบอกถึงการบุกรุกบัญชีที่อาจเกิดขึ้นได้อย่างเช่น การเรียก API ที่ผิดปกติหรือการปรับใช้ที่อาจไม่ได้รับอนุญาต GuardDuty ยังตรวจหาอินสแตนซ์ที่อาจถูกบุกรุกหรือการลาดตระเวนโดยผู้บุกรุก
• Amazon Macie เป็นเครื่องมือแมชชีนเลิร์นนิงที่ช่วยในการสำรวจและจัดหมวดหมู่ของข้อมูลส่วนบุคคลที่จัดเก็บใน Amazon S3

โปรดดูเอกสารรายงานของเรา การปฏิบัติตามข้อกำหนด GDPR บน AWS สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับวิธีใช้ทรัพยากรของ AWS ให้เป็นไปตามข้อกำหนด GDPR

มี คุณสามารถค้นหา “GDPR” ใน AWS Partner Solutions Finder (เครื่องมือค้นหาโซลูชันของพาร์ทเนอร์ AWS) เพื่อช่วยให้ค้นหาคู่ค้า ISV, MSP และ SI ซึ่งมีผลิตภัณฑ์และบริการเพื่อช่วยในการปฏิบัติตามข้อกำหนดของ GDPR ลูกค้ายังสามารถค้นหาโซลูชัน “GDPR” บน AWS Marketplace ได้

ใช่ ทีมบริการประกันความปลอดภัยของ AWS ได้จัดกิจกรรมมากมายเพื่อช่วยลูกค้าในเส้นทางการปฏิบัติตามข้อกำหนดของ GDPR ทีมผู้เชี่ยวชาญด้านการปฏิบัติตามข้อกำหนดที่ผ่านการรับรองในอุตสาหกรรมนี้จะช่วยให้ลูกค้าบรรลุหน้าที่ รักษา และตั้งระบบอัตโนมัติสำหรับการปฏิบัติตามข้อกำหนดในระบบคลาวด์ โดยเชื่อมโยงมาตรฐานการปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับคุณสมบัติและฟังก์ชันเฉพาะบริการของ AWS สามารถดูรายละเอียดเพิ่มเติมว่าที่ปรึกษา AWS Professional Services ช่วยลูกค้าอย่างไรบ้างได้ที่นี่

ลูกค้าสามารถใช้ AWS Support เพื่อรับคำแนะนำทางเทคนิคเพื่อช่วยปูเส้นทางสู่การปฏิบัติตามข้อกำหนดของ GDPR ได้ โดยเรามีทีมวิศวกรสนับสนุนด้านระบบคลาวด์และผู้จัดการบัญชีฝ่ายเทคนิค (TAM) ที่ผ่านการฝึกมาเพื่อช่วยระบุและลดความเสี่ยงด้านปฏิบัติตามข้อกำหนดในฐานะส่วนหนึ่งของกิจกรรมนี้อีกด้วย ระดับการสนับสนุนที่ AWS มีให้จะขึ้นอยู่กับแผน AWS Support ที่ลูกค้าเลือก ลูกค้าที่กำลังต้องการจะเข้าใจว่า AWS Premium Support สามารถช่วยเหลือพวกเขาได้อย่างไร สามารถหาข้อมูลเพิ่มเติมได้ใน AWS Support Center ซึ่งมีให้ใช้งานผ่าน AWS Management Console (คอนโซลการจัดการของ AWS) โดยการใช้รายละเอียดการติดต่อซึ่งระบุไว้ในข้อตกลงการสนับสนุนสำหรับองค์กรที่ป้อนไว้ให้กับ AWS หรือไปที่หน้าเว็บ AWS Support ลูกค้าที่มีการสนับสนุนสำหรับองค์กรโปรดติดต่อ TAM ของตนหากมีคำถามที่เกี่ยวข้องกับ GDPR

สองโปรแกรมที่อาจมีประโยชน์กับลูกค้าในการดำเนินการตามการปฏิบัติตามข้อกำหนดของ GDPR ได้แก่:

• การตรวจสอบการปฏิบัติการบนระบบคลาวด์ – พร้อมให้ลูกค้า AWS Enterprise Support ใช้บริการ โปรแกรมนี้ออกแบบมาเพื่อช่วยระบุช่องโหว่ในแนวทางที่ลูกค้าใช้ในการปฏิบัติการบนระบบคลาวด์ โปรแกรมนี้ให้การตรวจสอบปฏิบัติการบนระบบคลาวด์และแนวปฏิบัติด้านการจัดการที่เกี่ยวข้อง โดยเป็นโปรแกรมที่มาจากชุดแนวปฏิบัติที่ดีที่สุดซึ่งกลั่นกรองจากประสบการณ์ของ AWS ที่มีร่วมกับลูกค้าที่เป็นตัวแทนจำนวนมาก ซึ่งสามารถช่วยองค์กรในเส้นทางสายปฏิบัติตามข้อกำหนดของ GDPR ได้ โปรแกรมจะใช้แนวทางสี่เสาหลักซึ่งมุ่งเน้นด้านการเตรียมความพร้อม การเฝ้าติดตาม การปฏิบัติการ และเพิ่มประสิทธิภาพของระบบบนระบบคลาวด์ให้เหมาะสมเพื่อนำไปสู่ความเป็นเลิศด้านการปฏิบัติงาน
• การตรวจสอบ Well-Architected – โปรแกรมนี้จะทำให้องค์กรสามารถวัดสถาปัตยกรรมของตนกับแนวปฏิบัติที่ดีที่สุดของ AWS และเพื่อสร้างสถาปัตยกรรมที่ปลอดภัย น่าเชื่อถือ มีประสิทธิภาพสูง และคุ้มค่า การตรวจสอบ Well-Architected ยังสามารถทำให้ลูกค้าเข้าใจว่าสถาปัตยกรรมของตนมีความเสี่ยงตรงจุดใดบ้างและช่วยจัดการกับความเสี่ยงนั้นก่อนนำแอปพลิเคชันไปสู่ขั้นตอนการผลิต

AWS มีกระบวนการตรวจสอบเหตุการณ์ด้านความปลอดภัยและการแจ้งเตือนกรณีข้อมูลรั่วไหลเพียบพร้อมอยู่ และจะแจ้งให้ลูกค้าทราบถึงกรณีการเจาะระบบรักษาความปลอดภัยของ AWS โดยไม่มีการล่าช้าตาม AWS DPA AWS ยังมอบเครื่องมือมากมายให้ลูกค้าในการทำความเข้าใจว่าใครมีสิทธิ์เข้าถึงแหล่งข้อมูลตน เข้าถึงเมื่อใดและจากที่ใดบ้าง หนึ่งในเครื่องมือเหล่านั้นคือ AWS CloudTrail ซึ่งทำให้เกิดการกำกับดูแล การปฏิบัติตามข้อกำหนด การตรวจสอบการดำเนินงาน และการตรวจสอบความเสี่ยงของบัญชี AWS ด้วย AWS CloudTrail ลูกค้าจะสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมของบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐาน AWS ได้ ซึ่งนี่จะช่วยให้องค์กรต่างๆ เข้าใจว่ากำลังเกิดอะไรขึ้นกับโครงสร้างพื้นฐาน AWS ของลูกค้าและสามารถลงมือจัดการกับกิจกรรมที่ไม่ปกติได้ทันที สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือด้านความปลอดภัยอื่นๆ ที่ AWS มอบให้แก่ลูกค้าเพื่อช่วยให้บรรลุภาระผูกพันในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ ให้ดูที่หน้าเว็บการรักษาความปลอดภัยของ AWS Cloud

AWS ยังมอบเครื่องมือมากมายให้แก่ลูกค้าและคู่ค้า APN เพื่อรักษาความปลอดภัยให้กับข้อมูลของลูกค้าและช่วยปกป้องจากการโจมตีทางไซเบอร์ หนึ่งในเครื่องมือดังกล่าวนั้นคือ AWS Shield ซึ่งนี่เป็นบริการป้องกัน Distributed Denial of Service (DDoS) ที่ได้รับการจัดการเพื่อปกป้องเว็บไซต์และแอปพลิเคชันที่ทำงานบน AWS AWS Shield Standard มีให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม และมีการตรวจจับที่ทำงานอยู่ตลอดเวลาและการลดการโจมตีภายในแบบอัตโนมัติที่จะลดเวลาหยุดทำงานและเวลาแฝงของแอปพลิเคชัน เพื่อการป้องกันระดับสูงจากการโจมตีที่มุ่งเป้าไปยังแอปพลิเคชันบนเว็บที่ทำงานบน AWS และใช้ทรัพยากร ELB, Amazon CloudFront, and Amazon Route 53 ลูกค้าและคู่ค้า APN สามารถสมัครใช้งาน AWS Shield Advanced ได้ ทั้งนี้ AWS ยังเผยแพร่และอัปเดตแนวทางปฏิบัติที่ดีที่สุดของ AWS สำหรับความทนทานต่อความเสียหายจาก DDoS เป็นประจำ ซึ่งช่วยลูกค้าสามารถใช้ AWS เพื่อสร้างแอปพลิเคชันที่ยืดหยุ่นต่อการโจมตีของ DDoS ได้

เครื่องมืออื่นๆ ของ AWS ที่ช่วยปกป้องข้อมูลของลูกค้าจากการโจมตีทางไซเบอร์ประกอบด้วย:

• AWS Identity and Access Management (IAM) ช่วยให้องค์กรจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS ได้อย่างปลอดภัย เมื่อใช้ IAM ลูกค้าและคู่ค้า APN จะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
• AWS Config ช่วยลูกค้าและคู่ค้า APN ให้สามารถใช้งานกฎที่จัดเตรียมไว้อยู่แล้วที่ช่วยรับประกันว่าทรัพยากร AWS ของลูกค้าจะอยู่ในสถานะที่มีการกำหนดค่าและปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสม
• AWS CloudTrail จะทำให้องค์กรสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ใน AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
• Amazon GuardDuty เป็นบริการตรวจจับภัยคุกคามที่ได้รับการจัดการซึ่งคอยเฝ้าติดตามพฤติกรรมที่เป็นอันตรายหรือไม่ได้รับอนุญาตอย่างต่อเนื่องเพื่อช่วยปกป้องบัญชี AWS และปริมาณงาน โดยจะเฝ้าติดตามกิจกรรมต่างๆ ซึ่งสามารถบ่งบอกถึงการบุกรุกบัญชีที่อาจเกิดขึ้นได้อย่างเช่น การเรียก API ที่ผิดปกติหรือการปรับใช้ที่อาจไม่ได้รับอนุญาต GuardDuty ยังตรวจหาอินสแตนซ์ที่อาจถูกบุกรุกหรือการลาดตระเวนโดยผู้บุกรุก

Amazon Macie เป็นบริการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลที่ได้รับการจัดการแบบเต็มรูปแบบซึ่งใช้แมชชีนเลิร์นนิงและการจับคู่รูปแบบเพื่อค้นหาและปกป้องข้อมูลส่วนบุคคลของคุณใน AWS ในขณะที่องค์กรต่างๆ จัดการกับปริมาณข้อมูลที่เพิ่มขึ้นเรื่อยๆ การระบุและปกป้องข้อมูลส่วนบุคคลในทุกระดับอาจมีความซับซ้อน มีราคาแพง และกินเวลามากขึ้น Amazon Macie จะทำให้การค้นหาข้อมูลส่วนบุคคลเป็นระบบอัตโนมัติในทุกระดับและลดค่าใช้จ่ายในการปกป้องข้อมูลของคุณ Macie จะมอบคลังบัคเก็ต Amazon S3 ให้โดยอัตโนมัติซึ่งรวมถึงรายการบัคเก็ตที่ไม่ได้เข้ารหัส บัคเก็ตที่ทุกคนสามารถเข้าถึงได้ และบัคเก็ตที่แชร์กับบัญชี AWS นอกเหนือจากที่คุณกำหนดไว้ใน AWS Organizations จากนั้น Macie จะใช้แมชชีนเลิร์นนิ่งและเทคนิคการจับคู่รูปแบบกับบัคเก็ตที่คุณเลือกเพื่อระบุและเตือนให้คุณทราบถึงข้อมูลส่วนบุคคล

Amazon Macie ได้รับการรับรองตามมาตรฐานที่เป็นที่ยอมรับในระดับสากล เช่น ISO 27017 สำหรับความปลอดภัยของระบบคลาวด์, ISO 27018 สำหรับความเป็นส่วนตัวของระบบคลาวด์ และลูกค้าและคู่ค้า APN ยังสามารถใช้ Macie เพื่อเฝ้าติดตามการเข้าถึงข้อมูลได้อย่างต่อเนื่องเพื่อตรวจจับกิจกรรมที่น่าสงสัยโดยอิงตามรูปแบบการเข้าถึง

เพื่อช่วยเหลือลูกค้าในการปฏิบัติตามข้อกำหนดของ GDPR AWS จึงมีเครื่องมือมากมายสำหรับควบคุมการเข้าถึงข้อมูลส่วนบุคคลที่มีในเนื้อหาของลูกค้าบน AWS เครื่องมือเหล่านี้ประกอบด้วย:

• ความปลอดภัยตั้งแต่เริ่มต้นหมายความว่าบริการของ AWS ถูกออกแบบมาให้ปลอดภัยตั้งแต่เริ่มต้น หากมีการใช้งานการกำหนดค่าเริ่มต้น การเข้าถึงทรัพยากรจะถูกล็อกให้เฉพาะเจ้าของบัญชีและผู้ดูแลระบบระดับรากเท่านั้นที่สามารถเข้าถึงได้
• AWS Identity and Access Management (IAM) ช่วยให้ลูกค้าจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการของ AWS อย่างปลอดภัย เมื่อใช้ IAM องค์กรจะสามารถสร้างและจัดการผู้ใช้และกลุ่ม AWS ได้ และยังใช้สิทธิ์เพื่ออนุมัติหรือปฏิเสธไม่ให้ผู้ใช้เข้าถึงทรัพยากร AWS ได้เช่นเดียวกัน IAM เป็นคุณสมบัติอย่างหนึ่งในบัญชี AWS ที่ให้บริการโดยไม่คิดค่าใช้จ่ายเพิ่มเติม
• AWS Multi-Factor Authentication เพิ่มชั้นป้องกันพิเศษสำหรับชื่อผู้ใช้และรหัสผ่านของบัญชี AWS AWS มอบตัวเลือกของอุปกรณ์ MFA แบบเสมือนจริงและแบบฮาร์ดแวร์ให้แก่ลูกค้า
• AWS Directory Service จะช่วยให้ลูกค้าผสานและรวมเข้ากับไดเรกทอรีขององค์กรเพื่อลดค่าใช้จ่ายด้านการจัดการและปรับปรุงประสบการณ์ของผู้ใช้ปลายทาง
• AWS Config ช่วยลูกค้าให้สามารถใช้งานกฎที่จัดเตรียมไว้อยู่แล้วที่ช่วยรับประกันว่าทรัพยากร AWS ของลูกค้าจะอยู่ในสถานะที่มีการกำหนดค่าและปฏิบัติตามข้อกำหนดอย่างถูกต้องเหมาะสม
• AWS CloudTrail จะทำให้ลูกค้าสามารถบันทึก เฝ้าติดตามอย่างต่อเนื่อง และรักษาข้อมูลเกี่ยวกับกิจกรรมบัญชีที่เกี่ยวข้องกับการดำเนินการต่างๆ ทั่วทั้งโครงสร้างพื้นฐานของ AWS ได้ ซึ่งเป็นการลดความซับซ้อนในการวิเคราะห์ความปลอดภัย การติดตามการเปลี่ยนแปลงของทรัพยากร และการแก้ปัญหา (AWS CloudTrail จะเปิดใช้งานในทุกบัญชี AWS ตามค่าเริ่มต้น)
• Amazon Macie ใช้แมชชีนเลิร์นนิงเพื่อช่วยลูกค้าป้องกันการสูญหายของข้อมูลด้วยการค้นหา จัดหมวดหมู่ และปกป้องข้อมูลที่อ่อนไหวใน AWS โดยอัตโนมัติ บริการที่ได้รับการจัดการอย่างเต็มรูปแบบนี้จะเฝ้าติดตามกิจกรรมการเข้าถึงข้อมูลอย่างต่อเนื่องเพื่อตรวจหาความผิดปกติและส่งคำเตือนโดยละเอียดเมื่อตรวจพบความเสี่ยงจากการเข้าถึงโดยไม่ได้รับอนุญาตหรือข้อมูลรั่วไหลโดยไม่ได้ตั้งใจ – เช่น ข้อมูลที่อ่อนไหวที่ลูกค้าเผลอให้เกิดการเข้าถึงจากภายนอกโดยไม่ได้ตั้งใจ

AWS มอบความสามารถในการเพิ่มความปลอดภัยอีกชั้นให้กับข้อมูลที่อยู่ในพื้นที่จัดเก็บของลูกค้าและคู่ค้า APN ในระบบคลาวด์ให้แก่ลูกค้าและช่วยให้ลูกค้าสามารถดำเนินการรักษาความปลอดภัยตามภาระผูกพันด้านการประมวลผลในฐานะผู้ควบคุมข้อมูลภายใต้ GDPR ได้ เครื่องมือการเข้ารหัสที่พร้อมให้ใช้งานบน AWS ประกอบด้วย:

• ความสามารถในการเข้ารหัสมีให้ใช้งานในบริการพื้นที่จัดเก็บและบริการฐานข้อมูลของ AWS เช่น Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS และ Redshift
• ตัวเลือกการจัดการคีย์ที่มีความยืดหยุ่น รวมทั้ง AWS Key Management Service จะช่วยให้คุณเลือกได้ว่าจะให้ AWS จัดการคีย์การเข้ารหัสหรือให้ลูกค้าเข้าควบคุมคีย์ได้เองอย่างสมบูรณ์
• คิวข้อความที่ถูกเข้ารหัสสำหรับการส่งผ่านข้อมูลที่อ่อนไหวโดยใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ (SSE) สำหรับ Amazon SQS
• พื้นที่จัดเก็บคีย์การเข้ารหัสลับด้วยฮาร์ดแวร์เฉพาะโดยใช้ AWS CloudHSM ทำให้ลูกค้าสามารถปฏิบัติตามข้อกำหนดได้

นอกจากนี้ AWS ยังมี API ต่างๆ ให้ลูกค้าและคู่ค้า APN สามารถผนวกรวมการเข้ารหัสและการป้องกันข้อมูลกับบริการใดๆ ที่ลูกค้าพัฒนาหรือปรับใช้ในสภาพแวดล้อม AWS ได้

AWS ได้มอบคุณสมบัติและบริการเฉพาะซึ่งช่วยลูกค้าให้บรรลุข้อกำหนดของ GDPR ดังนี้

การควบคุมการเข้าถึง: อนุญาตเฉพาะผู้ดูแลระบบ ผู้ใช้ และแอปพลิเคชันที่ได้รับอนุญาตให้เข้าถึงทรัพยากร AWS

• Multi-Factor Authentication (MFA)
• การเข้าถึงวัตถุแบบละเอียดพิเศษใน Amazon S3-Buckets/ Amazon SQS/ Amazon SNS และอื่นๆ
• การตรวจสอบสิทธิ์คำขอ API
• ข้อจำกัดทางภูมิศาสตร์
• โทเค็นการเข้าถึงแบบชั่วคราวผ่าน AWS Security Token Service

การเฝ้าติดตามและการบันทึก: รับภาพรวมเกี่ยวกับกิจกรรมบนทรัพยากร AWS ของคุณ

• การบริหารจัดการสินทรัพย์และการกำหนดค่าด้วย AWS Config
• การวิเคราะห์ความปลอดภัยและการตรวจสอบการปฏิบัติตามข้อกำหนดด้วย AWS CloudTrail
• การระบุความท้าทายด้านการกำหนดค่าผ่าน AWS Trusted Advisor
• การบันทึกแบบละเอียดพิเศษของการเข้าถึงอ็อบเจ็กต์ Amazon S3
• ข้อมูลอย่างละเอียดเกี่ยวกับการไหลในเครือข่ายผ่าน Amazon VPC Flow Logs
• การตรวจสอบและการดำเนินการการกำหนดค่าซึ่งอิงตามกฎด้วย AWS Config Rules
• คัดกรองและเฝ้าติดตามการเข้าถึงของ HTTP สู่แอปพลิเคชันด้วยฟังก์ชัน AWS WAF ใน AWS CloudFront

การเข้ารหัส: การเข้ารหัสข้อมูลบน AWS

• การเข้ารหัสข้อมูลที่จัดเก็บของคุณด้วย AES256 (EBS/S3/Glacier/RDS)
• Key Management ซึ่งถูกจัดการแบบรวมศูนย์ (โดย AWS Region)
• IPsec เจาะเข้าสู่ AWS ด้วยเกตเวย์ VPN
• โมดูล Dedicated HSM ในระบบคลาวด์พร้อมด้วย AWS CloudHSM

เฟรมเวิร์กการปฏิบัติตามข้อกำหนดและมาตรฐานการรักษาความปลอดภัยที่แข็งแกร่ง: เราแสดงให้เห็นถึงการปฏิบัติตามมาตรฐานนานาชาติที่รัดกุม เช่น:

• ISO 27001 สำหรับมาตรการทางเทคนิค
• ISO 27017 สำหรับการรักษาความปลอดภัยของระบบคลาวด์
• ISO 27018 สำหรับความเป็นส่วนตัวของระบบคลาวด์
• SOC 1, SOC 2 และ SOC 3, PCI DSS ระดับ 1,
• Common Cloud Computing Controls Catalogue (C5) ของ BSI
• ENS High

GDPR เป็นกฎระเบียบของสหภาพยุโรป และภายหลังการถอนตัวออกจากสหภาพยุโรปของสหราชอาณาจักร กฎระเบียบนี้ก็ไม่มีผลบังคับใช้กับสหราชอาณาจักรอีกต่อไป  รัฐบาลสหราชอาณาจักรได้รวมข้อกำหนดของ GDPR ลงในกฎหมายสหราชอาณาจักรเป็น “UK GDPR”

AWS แสดงข้อมูลบทเสริมของ UK GDPR ในAWS DPA ซึ่งรวมเอาภาระผูกพันของ AWS ในฐานะผู้ประมวลผลข้อมูลภายใต้ UK GDPR เอาไว้ บทเสริม UK GDPR นี้เป็นส่วนหนึ่งของข้อกำหนดการให้บริการของ AWS และบังคับใช้โดยอัตโนมัติสำหรับลูกค้าทั้งหมดที่ต้องการให้ข้อตกลงว่าด้วยการประมวลผลข้อมูลเป็นไปตามข้อกำหนดของ UK GDPR

บทเสริม UK GDPR ซึ่งเป็นส่วนหนึ่งของข้อกำหนดการให้บริการของ AWS รวมถึง SCC ที่ EC นำไปใช้และบทเสริมการถ่ายโอนข้อมูลระหว่างประเทศ (IDTA) ที่ออกโดยหน่วยงานกำกับดูแลการปกป้องข้อมูลของสหราชอาณาจักร (สำนักงานคณะกรรมาธิการข้อมูล)  IDTA แก้ไข SCC เพื่อให้แน่ใจว่าเป็นการป้องกันที่เหมาะสมภายใต้ UK GDPR สำหรับการถ่ายโอนข้อมูลระหว่างประเทศไปยังประเทศนอกสหราชอาณาจักรที่ไม่ได้รับการยอมรับว่าปกป้องข้อมูลส่วนบุคคลได้ในระดับที่เพียงพอ (ประเทศที่สามของสหราชอาณาจักร) บทเสริม UK GDPR ยืนยันว่า SCC (ตามที่แก้ไขโดย IDTA) จะมีผลบังคับใช้โดยอัตโนมัติเมื่อใดก็ตามที่ลูกค้าใช้บริการของ AWS เพื่อถ่ายโอนข้อมูลลูกค้าภายใต้ UK GDPR (ข้อมูลลูกค้าในสหราชอาณาจักร) ไปยังประเทศที่สามของสหราชอาณาจักร  ตามบทเสริม UK GDPRใน ข้อกำหนดการให้บริการของ AWS นั้น SCC (ตามที่แก้ไขโดย IDTA) จะมีผลบังคับใช้โดยอัตโนมัติเมื่อใดก็ตามที่ลูกค้าใช้บริการของ AWS ในการถ่ายโอนข้อมูลลูกค้าในสหราชอาณาจักรไปยังประเทศที่สามของสหราชอาณาจักร

AWS จัดทำภาคผนวกสวิตเซอร์แลนด์ไว้กับภาคผนวกการประมวลผลข้อมูลของ AWS (“ภาคผนวกสวิตเซอร์แลนด์”) ที่ระบุภาระผูกพันของ AWS ในฐานะผู้ประมวลผลข้อมูลภายใต้กฎหมายคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์ (“FDPA”) ภาคผนวกสวิตเซอร์แลนด์เป็นส่วนหนึ่งของข้อกําหนดการให้บริการของ AWS (ดูส่วนที่ 1.14.4) และมีผลบังคับใช้โดยอัตโนมัติเมื่อ FDPA มีความเกี่ยวข้องกับการที่ลูกค้าใช้บริการของ AWS เพื่อประมวลผลข้อมูลลูกค้า

ภาคผนวกสวิตเซอร์แลนด์ของภาคผนวกการประมวลผลข้อมูลของ AWS ซึ่งเป็นส่วนหนึ่งของข้อกําหนดการให้บริการของ AWS (ดูส่วนที่ 1.14.4) มีการระบุเงื่อนไขสัญญามาตรฐาน (“SCC”) ที่คณะกรรมาธิการยุโรปลงมติ และได้รับการแก้ไขตามที่กําหนดโดยคณะกรรมาธิการการคุ้มครองข้อมูลของรัฐบาลกลางสวิตเซอร์แลนด์ ภาคผนวกสวิตเซอร์แลนด์ยืนยันว่า SCC (ตามที่แก้ไขโดยภาคผนวกสวิตเซอร์แลนด์) จะมีผลบังคับใช้โดยอัตโนมัติเมื่อใดก็ตามที่ลูกค้าใช้บริการของ AWS เพื่อถ่ายโอนข้อมูลลูกค้าภายใต้ภาคผนวกสวิตเซอร์แลนด์ไปยังประเทศที่สาม

เราขอแนะนำให้ลูกค้าที่มีคำถามเกี่ยวกับ GDPR ให้ติดต่อผู้จัดการบัญชี AWS ของตนก่อนเป็นอันดับแรก หากลูกค้าได้สมัครใช้งาน Enterprise Support แล้ว ลูกค้าจะสามารถติดต่อผู้จัดการบัญชีฝ่ายเทคนิค (TAM) ได้ด้วยเช่นกัน TAM ทำงานกับสถาปนิกโซลูชันเพื่อช่วยลูกค้าในการระบุความเสี่ยงที่อาจเกิดขึ้นได้และการลดความเสี่ยงที่อาจเป็นไปได้ TAM และทีมบัญชียังสามารถระบุให้ลูกค้าและคู่ค้า APN เห็นถึงทรัพยากรที่เฉพาะเจาะจงโดยอิงจากสภาพแวดล้อมและความต้องการของพวกเขาได้

AWS ยังมีทีมตัวแทนสนับสนุนองค์กร ผู้ให้คำปรึกษาด้านบริการมืออาชีพ และทีมงานอื่นๆ ที่คอยช่วยเหลือด้านคำถามที่เกี่ยวข้องกับ GDPR อีกด้วย คุณสามารถติดต่อเราพร้อมกับคำถามได้ที่นี่