Genel Veri Koruma Yönetmeliği (GDPR) Merkezi

16 Temmuz 2020'de Avrupa Birliği Adalet Divanı (CJEU), AB bireylerinin kişisel verilerinin AEA (Schrems II) dışına aktarılmasına ilişkin bir karar verdi. Schrems II davasında, ABAD, AB-ABD Gizlilik Kalkanı’nın kişisel verileri AEA’dan ABD’ye aktarmak için artık geçerli bir mekanizma olmadığına karar verdi. Ancak, aynı kararda ABAD, şirketlerin (gerekirse ek tedbirlerin uygulanmasına tabi olarak) kişisel verileri AEA dışına aktarmak için geçerli bir mekanizma olarak Standart Sözleşme Maddelerini kullanmaya devam edebileceklerini teyit etmiştir. Ulusal veri koruma makamlarının temsilcilerinden oluşan bir Avrupa organı olan Avrupa Veri Koruma Kurulu (EDPB), o zamandan beri, “Şirketle uyumu sağlamak için aktarım araçlarını tamamlayan önlemlere ilişkin AB kişisel verilerin koruma düzeyine (EDPB Tavsiyeleri) uygun olarak 01/2020 sayılı Tavsiyelerinde” tamamlayıcı tedbirlerin kapsamlı olmayan bir listesini sağlamıştır.

EDPB Tavsiyeleri, veri ihracatçılarına uygulamaya konulabilecek ek önlem örnekleri sağlar. AWS'nin veri aktarım kaynaklarıyla ilgili ayrıntılar için aşağıdaki SSS bölümünde "Schrems II kararının ardından AWS hizmetlerini kullanmaya devam edebilir miyim?" sorusuna bakın.

Evet. AWS müşterileri, Avrupa Komisyonu'ndan bir yeterlilik kararı almamış olan AEA dışındaki ülkelere müşteri verilerini Avrupa'dan aktarmak için AWS hizmetlerini kullanmaya devam edebilir. Schrems II kararı, müşteri verilerini AEA dışına aktarmak için bir mekanizma olarak Standart Sözleşme Maddelerinin (SCC'ler) kullanımını doğrulamıştır ve AWS müşterileri, müşteri verilerinin GDPR ile uyumlu olarak AEA dışına her türlü aktarımı için SCC'lere güvenmeye devam edebilir.

• İşleme konumu. Müşteriler, müşteri verilerinin depolanacağı AWS Bölgesini seçer. Mevcut AWS Bölgelerine genel bakış, Bölgeler ve Erişilebilirlik Alanları altında bulunabilir. AWS, müşteri tarafından başlatılan AWS hizmetlerini sağlamak amacıyla gerekli olmadıkça veya yasalara veya bir devlet kurumunun bağlayıcı emrine uymak için gerekli olmadıkça, müşteri verilerini müşterinin seçtiği AWS Bölgesi dışında işlemeyecektir. AWS hizmetlerinin bir parçası olarak veri aktarımları hakkında daha fazla bilgi edinmek için lütfen Gizlilik Özellikleri web sayfamıza bakın.
• Alt işleyiciler. AWS; müşteri verilerinin işlenmesine yardımcı olmak, AWS DPA kapsamında müşterilere karşı yükümlülüklerimizi yerine getirmek veya bizim adımıza hizmet sağlamak için alt işleyiciler, yani AWS bağlı kuruluşları veya üçüncü taraflar kullanabilir. Ayrıntılar için aşağıdaki SSS bölümünde "AWS, müşteri verilerini işlemek için alt işleyiciler kullanıyor mu?" sorusuna bakın.
• Aktarım araçları. Schrems II kararı, Avrupa Komisyonu'ndan bir yeterlilik kararı almayan AEA dışındaki ülkelere veri aktarımı için bir mekanizma olarak SCC'lerin kullanımını doğruladığından, müşterilerimiz GDPR'ye uygun olarak verilerini AEA dışına aktarmak için AWS DPA'ya dahil edilen SCC'lere güvenmeye devam edebilir.
• Ek önlemler.
  • Müşteri kontrol. Müşteriler, müşteri verilerinin nerede depolanacağını belirlemelerine, aktarım sırasında ve beklemedeyken müşteri verilerini güvence altına almalarına ve AWS kaynaklarına kullanıcı erişimini yönetmelerine ve müşteri verilerini değiştirmeye, silmeye ve almaya olanak tanıyan basit ancak güçlü araçlar aracılığıyla müşteri verileri üzerinde her zaman sahiplik ve denetime sahiptir.
  • Teknik ve kurumsal önlemler. AWS, müşteri verilerine yetkisiz erişimi veya bunların ifşasını önlemek için tasarlanmış sorumlu ve karmaşık teknik ve fiziksel denetimler ve süreçler uygular (daha fazla bilgi için AWS Uygunluğu web sayfasını ziyaret edin). Ayrıca, müşterilerin hem aktarım sırasında hem de hareketsiz durumdayken müşteri verilerini korumak için kullanabilecekleri bir dizi gelişmiş şifreleme ve anahtar yönetimi hizmeti (müşterilerin kendi anahtarlarını yönetmelerine olanak tanıyan hizmetler dahil) sunuyoruz: şifrelenmiş müşteri verileri, geçerli şifre çözme olmadan erişilemez hale getirilir anahtarlar. Müşteri verilerinin şifrelenmiş veya şifrelenmemiş olmasına bakılmaksızın, müşteri verilerini herhangi bir yetkisiz erişime karşı korumak için her zaman dikkatli bir şekilde çalışacağız.
  • Kolluk kuvvetlerinden gelen talepler. AWS, kolluk kuvvetlerinden aldığımız taleplerle ilgilenmek için dahili işlemlere sahiptir. Kolluk kuvvetlerinden müşteri verileri için bir talep aldığımızda, doğruluğunu teyit etmek ve uygun olduğunu ve geçerli tüm yasalara uygun olduğunu doğrulamak için bunları dikkatle inceleriz. Yasal açıdan herhangi bir yasaklama olmadığı sürece AWS; müşterilerin, içeriklerini ifşadan korunmak için daha fazla adım atabilmeleri için müşteri verilerini açıklamadan önce müşterilere bildirimde bulunur. AWS DPA'nın Tamamlayıcı Ek'inde (Tamamlayıcı Ek) AWS; (i) müşteri verilerini talep eden herhangi bir devlet kurumunu ilgili müşteriye yönlendirmek için makul her türlü çabayı göstermeyi, (ii) yasal olarak izin veriliyorsa (gerekirse bir yasaktan feragat elde etmek için tüm makul ve yasal çabalar dahil olmak üzere) talebi müşteriye derhal bildirmeyi, (iii) talebin AB yasalarıyla çeliştiği durumlar da dahil olmak üzere aşırı kapsamlı veya uygunsuz herhangi bir talebe itiraz etmeyi ve (iv) yukarıda açıklanan adımlardan sonra AWS resmi bir talebe yanıt olarak müşteri verilerini ifşa etmek zorunda kalırsa yalnızca talebi karşılamak için gereken minimum miktarda müşteri verisini ifşa etmeyi içeren güçlendirilmiş sözleşme taahhütlerinde bulunur.
  • Sözleşme önlemleri. AWS, yukarıda açıklanan önlemler için AWS DPA ve Tamamlayıcı Ek'te yansıtılan çeşitli sözleşme taahhütlerinde bulunur. AWS DPA ve Tamamlayıcı Ek, AWS'nin aşağıdakilerle ilgili şu sözleşme taahhütlerini içerir: (1) müşterinin, müşteri verilerinin depolandığı ve işlendiği AWS Bölgeleri seçimi; (2) hem AWS'nin AWS altyapısını korumak için uyguladığı teknik ve kurumsal önlemler hem de müşterilerin müşteri verilerini korumak için uygulamayı seçebilecekleri teknik kurumsal önlemler; (3) AWS'nin, bir devlet kurumundan bir veri ifşa talebi olması durumunda müşteri verilerini korumaya ve müşteriyi bilgilendirmeye yönelik önlemleri ve (4) AWS'nin, müşteri verilerinin işlendiği üçüncü bir ülkede geçerli olan mevzuata uygun olarak AWS DPA'da belirtilen yükümlülüklerini yerine getirme kabiliyeti. Tamamlayıcı Ek, (5) bireylerin GDPR tarafından tanınan haklarının ihlali durumunda tazminat talep etme yasal haklarını da ele almaktadır.

Evet, AWS üç tür alt işleyici kullanabilir: (1) AWS hizmetlerinin üzerinde çalıştığı altyapıyı sağlayan AWS kuruluşları, (2) bu kuruluşların müşteri verilerini işlemesini gerektirebilecek belirli AWS hizmetlerini destekleyen AWS kuruluşları ve (3) AWS'nin belirli AWS hizmetleri için işleme faaliyetleri sağlamak üzere sözleşme yaptığı üçüncü taraflar. AWS Alt İşleyiciler web sayfası, AWS'nin müşteriler adına müşteri verileri üzerinde işleme etkinlikleri sağlamak için AWS DPA'ya uygun olarak çalıştığı alt işleyiciler hakkında daha fazla bilgi sağlar. Her bir müşteriyle ilgili alt işleyiciler, müşterinin seçtiği AWS Bölgesi'ne ve müşterinin kullandığı belirli AWS hizmetlerine bağlı olacaktır.

AB Veri Aktarım Gereklilikleriyle Uygunluk Sağlama başlıklı AWS teknik incelemesi, AWS'nin müşterilere Schrems II kararına göre veri aktarımı değerlendirmeleri gerçekleştirmelerine yardımcı olmak için sunduğu hizmetler ve kaynaklar hakkında bilgilere ek olarak Avrupa Veri Koruma Kurulu'ndan müteakip tavsiyeler sağlar. Teknik inceleme aynı zamanda, müşteri verilerini korumak için AWS tarafından alınan ve kullanıma sunulan önemli ek önlemleri de açıklar.

AWS, AWS'nin altyapısı için sürdürdüğü yüksek uygunluk düzeyini kanıtlamak için çeşitli güvenlik standartlarıyla ve düzenlemeleriyle uygunluğumuzu onaylayan üçüncü taraf denetçilerce hazırlanmış birkaç uygunluk raporu dahil olmak üzere müşterilere yararlı bilgiler sunar. Bu raporlar müşterilerimize AWS'de işlemeyi tercih ettikleri müşteri verilerini koruduğumuzu gösterir. Bunun örnekleri arasında AWS'nin ISO 27001, 27017 ve 27018 uygunluğu sayılabilir. ISO 27018, müşteri verilerinin korunmasına odaklanan güvenlik denetimleri içerir.

AWS, veri koruması için CISPE Davranış Kuralları ile de uyumludur. CISPE Davranış Kuralları hakkında daha fazla bilgi için aşağıdaki SSS bölümünde "AWS, bulut altyapısı hizmetlerine özel GDPR onaylı Davranış Kuralları ile uyumlu mu?" sorusuna bakın.

Evet. Haziran 2023 itibarıyla, 107 AWS hizmeti Avrupa'daki Bulut Altyapısı Hizmet Sağlayıcıları (CISPE) Veri Koruma Davranış Kuralları ile uyumludur. CISPE, milyonlarca Avrupalı müşteriye hizmet veren bulut bilgi işlem liderlerinin oluşturduğu bir koalisyondur. CISPE Veri Koruma Davranış Kuralları (CISPE Kuralları), bulut altyapısı hizmet sağlayıcılarına odaklanan ilk Pan-Avrupa veri koruma davranış kurallarıdır. CISPE Kuralları, Avrupa genelinde 27 veri koruma yetkilisi adına hareket eden Avrupa Veri Koruma Kurulu tarafından onaylanmış ve baş denetim yetkilisi olarak hareket eden Fransız Veri Koruma Yetkilisi (CNIL) tarafından resmi olarak kabul edilmiştir. AWS, 2017'de CISPE Kurallarının daha eski bir sürümüyle uyumlu olduğunu duyurdu.

CISPE Kuralları, müşterilerin bulut altyapısı hizmet sağlayıcılarının GDPR ile uyumluluğu göstermek ve müşteri verilerini korumak için uygun operasyonel güvenceler sunmasını sağlamalarına yardımcı olur. CISPE Kuralların bazı önemli avantajları şunlardır:

• Bulut altyapısı odaklı: Müşteri verilerinin, yani bulut altyapı hizmeti kullanılarak müşteri adına işlenen tüm kişisel verilerin işlenmesiyle ilgili olarak GDPR kapsamında bulut altyapısı hizmet sağlayıcısının rolünün netleştirilmesi.
• Avrupa'daki veriler: Bulut altyapısı hizmet sağlayıcılarının, müşterilere hizmetleri yalnızca Avrupa Ekonomik Alanı (EEA) içindeki müşteri verilerini depolamak ve işlemek için kullanma seçeneği sunmasını gerektirir.
• Veri gizliliği: CISPE Kuralları, kuruluşlara bulut altyapısı hizmet sağlayıcılarının GDPR kapsamında kendi adlarına işlenen kişisel veriler (müşteri verileri) için geçerli gereksinimleri karşıladığını garanti eder.

AWS uyumluluk durumunu gösteren Uyumluluk Sertifikası, CISPE Kamu Sicili'nde mevcuttur. Listelenen AWS hizmetlerinin CISPE Kurallarına uygun olduğu bağımsız olarak doğrulanmıştır. Doğrulama işlemi, CNIL tarafından akredite edilmiş, küresel olarak tanınan bağımsız bir izleme kuruluşu olan Ernst & Young CertifyPoint (EY CertifyPoint) tarafından gerçekleştirilmiştir.

GDPR, müşteriler için geçerli olmaya devam eden AWS paylaşılan sorumluluk modelini değiştirmez. Paylaşılan sorumluluk modeli, GDPR kapsamında AWS'nin (bir veri işleyicisi ve alt işleyici olarak) ve müşterilerin (veri denetçileri veya veri işleyicileri olarak) çeşitli sorumluluklarının gösterilmesi için kullanışlı bir yaklaşımdır.

Paylaşılan sorumluluk modeli kapsamında AWS, AWS hizmetlerini ("Bulutun Güvenliği") destekleyen temel altyapının güvenliğini sağlamaktan sorumludur ve veri denetleyicileri veya veri işleyicileri olarak hareket eden müşteriler, AWS hizmetlerine ("Bulutta Güvenlik") yükledikleri tüm kişisel verilerden sorumludur.

AWS'nin sorumluluğu "Bulutun Güvenliği": AWS, AWS hizmetlerinin çalıştırıldığı altyapıyı korumaktan sorumludur. Bu altyapı, AWS hizmetlerini çalıştıran ve müşteriler kendi içeriklerinin işlenmesi için güvenlik yapılandırması denetimleri dahil olmak üzere güçlü denetimler sağlayan donanımlar, yazılımlar, ağ iletişimleri ve tesislerden oluşur. AWS, çeşitli bilgisayar güvenlik standartları ve düzenlemelerine uygunluğumuzu doğrulayan üçüncü taraf denetçilerden çeşitli uygunluk raporları sağlar (daha fazla bilgi için AWS Uygunluğu web sayfasını ziyaret edin). Bu raporlar müşterilerimize müşteri verilerini koruduğumuzu gösterir. Örnekler arasında AWS’nin ISO 27001, 27017 ve 27018 uyumluluğu sayılabilir. ISO 27018, müşteri verilerinin korunmasına odaklanan güvenlik denetimleri içerir.

Müşteri sorumluluğu "Bulutta Güvenlik": AWS müşterileri, AWS hizmetlerinde devreye almayı seçtikleri uygulama ve çözümlerin mimarisini ve güvenliğini sağlamaktan sorumludur. AWS müşterileri, AWS hizmetlerini müşteri verilerinin gizliliğini, bütünlüğünü ve güvenlik gereksinimlerini koruyacak şekilde yapılandırmaktan da sorumludur. Müşterilerin müşteri verilerini güvence altına almak için sahip olduğu belirli sorumluluklar, müşterilerin kullanmayı seçtikleri AWS hizmetlerine ve bu hizmetlerin müşterilerin BT ortamlarına nasıl entegre edildiğine bağlı olarak değişiklik gösterir. AWS müşterileri, müşteri verileri üzerinde görünürlük ve denetime sahiptir ve belirli türdeki müşteri verilerinin hassasiyetine dayalı olarak esnek güvenlik denetimleri uygulayabilir. Müşteriler bunu kendi güvenlik önlemleri ve araçlarını kullanarak veya AWS veya diğer tedarikçiler tarafından sağlanan güvenlik önlemleri ve araçlarını kullanarak yapabilir. Bu şekilde müşteriler, daha hassas müşteri verileri için ek güvenlik katmanları yerleştirebilir.

AWS, müşterilerin uygulamalarını ve çözümlerini tasarlamak ve güvenceye almak için kullanabilecekleri ve GDPR gereksinimlerini karşılamaya yardımcı olmak için dağıtılabilecek, aşağıdakiler de dahil olmak üzere, kullanılabilir ürünler, araçlar ve hizmetler sunar:

• AWS Kimlik ve Erişim Yönetimi (IAM) ile kurumlar AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilir. Müşteriler, IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
• AWS CloudTrail, kurumların AWS'de gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu; güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
• Amazon GuardDuty, AWS hesaplarının ve iş yüklerinin korunmasına yardımcı olmak amacıyla sürekli olarak kötü amaçlı veya yetkisiz davranışları izleyen bir yönetilen tehdit algılama hizmetidir. Olağan dışı API çağrıları veya yetkisiz olabilecek dağıtımlar gibi olası hesap ihlallerine işaret edebilecek etkinlikleri izler. GuardDuty, güvenliği ihlal edilmiş olabilecek bulut sunucularını ve saldırganlar tarafından keşif gerçekleştirildiğini de algılar.
• Amazon Macie, Amazon S3'te depolanan kişisel verilerin bulunup sınıflandırılmasına yardımcı olmaya yönelik bir makine öğrenimi aracıdır.

AWS kaynaklarının GDPR'ye uygun olarak nasıl kullanılacağına ilişkin daha fazla ayrıntı için lütfen AWS'de GDPR'ye Uygunluğu Sağlama başlıklı teknik incelememize bakın.

Evet. GDPR uygunluğu konusunda yardımcı olabilecek ürün ve hizmetlere sahip ISV'leri, MSP'leri ve SI çözüm ortaklarını bulmaya yardımcı olmak amacıyla AWS Çözüm Ortağı Çözümleri Bulucu'da "GDPR" için arama yapabilirsiniz. Müşteriler, AWS Marketplace'te de "GDPR" çözümleri için arama yapabilir.

Evet, AWS Güvenlik Güvencesi Hizmetleri ekibinin, müşterilere GDPR uyumluluğuna giden yolculuklarında yardımcı olacak bir dizi etkinliği vardır. Sektör sertifikalı uyumluluk uzmanlarından oluşan bu ekip, geçerli uyumluluk standartlarını AWS hizmetine özgü özellikler ve işlevlerle birleştirerek müşterilerin bulutta uyumluluğu sağlamasına, sürdürmesine ve otomatikleştirmesine yardımcı olur. AWS Professional Services Danışmanlarının müşterilere nasıl yardımcı olduğu hakkında daha fazla ayrıntı burada bulunabilir.

Müşteriler, GDPR uygunluğuna giden yolda kendilerine yardımcı olacak teknik rehberlik almak için AWS Destek'i kullanabilir. Bu çalışmanın bir parçası olarak mevzuat uyumluluğu risklerinin belirlenip giderilmesine yardımcı olacak şekilde eğitilmiş Bulut Destek Mühendisi ve Teknik Müşteri Yöneticisi (TMY) ekiplerimiz vardır. AWS’nin sağladığı destek düzeyi, müşterilerin seçtiği AWS Support Plan’ına bağlıdır. AWS Premium Destek aboneliğinin nasıl yardımcı olabileceğini anlamak isteyen müşteriler, AWS Yönetim Konsolu üzerinden erişilebilen AWS Destek Merkezi'nde, AWS ile imzalanan Kurumsal Destek Sözleşmesi'nde belirtilen iletişim bilgilerini kullanarak veya AWS Destek web sayfasını ziyaret ederek daha fazla bilgi edinebilir. Enterprise Support aboneliği olan müşteriler, GDPR ile ilgili soruları için TAM temsilcilerine ulaşmalıdır.

Müşteriler, GDPR uygunluğunu sürdürürken aşağıdaki iki programı faydalı bulabilir:

• Bulut Operasyonları İncelemesi: AWS Kurumsal Destek müşterilerinin yararlanabileceği bu program, bulutta çalışmaya yönelik yaklaşımdaki boşlukların tespit edilmesine yardımcı olacak şekilde tasarlanmıştır. AWS'nin büyük bir temsilci müşteri kümesiyle olan deneyimlerinden elde edilmiş bir dizi en iyi operasyonel uygulamadan yola çıkılarak oluşturulan bu program, bulut işlemlerini ve ilişkili yönetim uygulamalarını gözden geçirme olanağı sunarak GDPR uyumluluğuna giden yolda kurumlara yardımcı olabilir. Program, operasyonel kusursuzluğu hedefleyerek bulut kaynaklı sistemleri hazırlama, izleme, çalıştırma ve iyileştirmeye odaklı dört temel ilkeye dayanan bir yaklaşım kullanır.
• Well-Architected İncelemesi: Bu program, kurumların mimarilerini en iyi AWS uygulamalarıyla karşılaştırmalı bir biçimde ölçmesine ve güvenli, güvenilir, yüksek performanslı ve uygun maliyetli mimariler oluşturmasına imkan tanır. Well-Architected Review'lar müşterilerin mimarinin nerelerinde risk olduğunu anlamasına ve uygulamalar üretime geçirilmeden önce bu riskleri gidermesine de imkân tanır.

AWS'nin bir güvenlik olayı izleme ve veri ihlali bildirim süreci vardır ve AWS'nin güvenliğine ilişkin ihlalleri müşterilere gecikmeden ve AWS DPA'ya uygun olarak bildirir. AWS, müşterilere sahip oldukları kaynaklara kimin, ne zaman ve nereden eriştiğini anlamaya yönelik bir dizi araç da sunar. Bu araçlardan biri de AWS hesabının yönetim, uygunluk, operasyonel denetim ve risk denetimini mümkün kılan AWS CloudTrail'dır. AWS CloudTrail ile müşteriler, AWS altyapılarının tamamında gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydedebilir, sürekli olarak izleyebilir ve tutabilir. Bu, kurumların AWS altyapılarında olup bitenleri anlamasına ve olağan dışı etkinlikler karşısında hemen harekete geçmesine yardımcı olur. AWS'nin veri denetçileri olarak GDPR kapsamında üstlendikleri yükümlülükleri yerine getirme konusunda müşterilere yardımcı olmak için sunduğu diğer güvenlik araçları hakkında daha fazla bilgi edinmek için AWS Bulut Güvenliği web sayfasını ziyaret edin.

AWS, müşterilere ve APN Çözüm Ortaklarına sahip oldukları müşteri verilerinin güvenliğinin sağlanmasına ve siber saldırılara karşı korunmasına yardımcı olmaya yönelik bir dizi araç sunar. Bu araçlardan biri de AWS Shield'dır. Bu, AWS'de çalışan web sitelerinin ve uygulamaların korunmasına yönelik, yönetilen bir Dağıtılmış Hizmet Engelleme (DDoS) koruma hizmetidir. AWS Shield Standard ek ücret olmaksızın sunulur ve uygulama kapalı kalma süresi ile gecikme süresini en aza indirebilecek her zaman açık algılama ve otomatik satır içi düzeltme olanağı sağlar. AWS'de çalışan ve ELB, Amazon CloudFront ve Amazon Route 53 kaynakları kullanan web uygulamalarını hedefleyen saldırılara karşı daha üst düzey bir koruma sağlamak isteyen müşteriler ve APN Çözüm Ortakları, AWS Shield Advanced hizmetine abone olabilir. AWS ayrıca müşterilerin AWS'yi kullanarak DDoS saldırılarına karşı dayanıklı uygulamalar geliştirmesine yardımcı olabilecek DDoS Dayanıklılığı İçin AWS En İyi Uygulamaları teknik incelemesini yayınlar ve düzenli olarak günceller.

AWS'nin müşteri verilerini siber saldırılara karşı korumaya yardımcı olması gereken diğer araçlar arasında şunlar yer alır:

• AWS Kimlik ve Erişim Yönetimi (IAM) ile kurumlar AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilir. Müşteriler ve APN Çözüm Ortakları IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
• AWS Config, müşterilerin ve APN Çözüm Ortaklarının AWS kaynaklarının düzgün yapılandırılmış ve uyumlu bir durumda olduğundan emin olmasına yardımcı olan önceden paketlenmiş kuralları etkinleştirmesine imkan tanır.
• AWS CloudTrail, kurumların AWS'de gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu; güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
• Amazon GuardDuty, AWS hesaplarının ve iş yüklerinin korunmasına yardımcı olmak amacıyla sürekli olarak kötü amaçlı veya yetkisiz davranışları izleyen bir yönetilen tehdit algılama hizmetidir. Olağan dışı API çağrıları veya yetkisiz olabilecek dağıtımlar gibi olası hesap ihlallerine işaret edebilecek etkinlikleri izler. GuardDuty, güvenliği ihlal edilmiş olabilecek bulut sunucularını ve saldırganlar tarafından keşif gerçekleştirildiğini de algılar.

Amazon Macie, AWS'deki kişisel verilerinizi keşfetmek ve korumak için makine öğrenimi ve düzen eşlemeyi kullanan, tamamen yönetilen bir veri güvenliği ve veri gizliliği hizmetidir. Kuruluşlar giderek artan veri hacimlerini yönetirken uygun ölçekte kişisel verilerini tanımlamak ve korumak her geçen gün daha karmaşık, pahalı ve zaman alan bir iş olabilir. Amazon Macie, uygun ölçekte kişisel verilerin keşfedilmesini otomatik hale getirir ve verilerinizi koruma maliyetini düşürür. Macie, AWS Organizations'da tanımladıklarınız hariç olmak üzere şifrelenmemiş klasörler, genel erişime açık klasörler ve AWS hesaplarıyla paylaşılan klasörlerin bir listesini içeren bir Amazon S3 klasörleri envanterini otomatik olarak sağlar. Ardından Macie, makine öğrenimi ve desen eşleme tekniklerini tanımlanması için seçtiğiniz klasörlere uygular ve kişisel veriler konusunda sizi uyarır.

Amazon Macie, uluslararası geçerliliği olan bulut güvenliği için ISO 27017, bulut gizliliği için ISO 27018 gibi standartlarda sertifikalıdır. Müşteriler ve APN Çözüm ortakları Macie'yi kullanarak erişim düzenlerine göre şüpheli etkinlikleri algılamak için kendi verilerine erişimi sürekli izleyebilir.

AWS, müşterilere GDPR uygunluğu konusunda yardımcı olmak için AWS'de sahip oldukları içeriklerin barındırdığı kişisel verilere erişimi denetlemeye yönelik bir dizi araç sunar. Bunlara aşağıdakiler dahildir:

• Varsayılan olarak güvenlik, AWS hizmetlerinin varsayılan olarak güvenli olacak şekilde tasarlandığı anlamına gelir. Varsayılan yapılandırma kullanılırsa kaynaklara erişim yalnızca hesap sahibi ve kök yöneticisi tarafından açılabilecek şekilde kilitlenir.
• AWS Kimlik ve Erişim Yönetimi (IAM) ile AWS hizmetlerine ve kaynaklarına erişimi güvenli bir şekilde yönetebilirsiniz. Kurumlar IAM hizmetini kullanarak AWS kullanıcıları ve grupları oluşturup bunları yönetebileceği gibi izinleri kullanarak AWS kaynaklarına erişime izin verebilir ve erişimi reddedebilir. IAM, AWS hesaplarının ek ücret olmaksızın sunulan bir özelliğidir.
• AWS Çok Faktörlü Kimlik Doğrulaması, bir AWS hesabının kullanıcı adına ve parolasına ek olarak fazladan bir koruma katmanı sağlar. AWS, müşterilere sanal ve donanımsal MFA cihazları arasında seçim yapma seçeneği sunar.
• AWS Dizin Hizmeti, müşteriler için kurumsal dizinlerle entegrasyon ve federasyon aracılığıyla yönetim yükünü azaltmanıza ve son kullanıcı deneyimini iyileştirmenize olanak tanır.
• AWS Config, müşterilerin AWS kaynaklarının düzgün yapılandırılmış ve uyumlu bir durumda olduğundan emin olmasına yardımcı olan önceden paketlenmiş kuralları etkinleştirmesine imkan tanır.
• AWS CloudTrail, müşterilerin AWS altyapıları arasında gerçekleşen eylemlerle ilgili hesap etkinlikleri hakkındaki bilgileri günlüğe kaydetmesine, sürekli olarak izlemesine ve tutmasına imkan tanır. Bu; güvenlik analizi, kaynak değişikliği izleme ve sorun gidermeyi basitleştirir (AWS CloudTrail tüm AWS hesaplarında varsayılan olarak etkindir).
• Amazon Macie, AWS'deki hassas verileri otomatik olarak keşfederek, sınıflandırarak ve koruyarak müşterilerin veri kaybını önlemesine yardımcı olmak için makine öğrenimi kullanan bir güvenlik hizmetidir. Tümüyle yönetilen hizmet, sürekli olarak veri erişimi etkinliğindeki anormallikleri izler ve yetkisiz erişim ya da yanlışlıkla veri sızdırma (müşterinin yanlışlıkla dış erişime açtığı hassas veriler gibi) durumu algıladığında ayrıntılı uyarılar oluşturur.

AWS, müşterilere ve APN Çözüm Ortaklarına buluttaki bekleyen müşteri verilerine ek bir güvenlik katmanı kazandırma olanağı sunar ve bunların GDPR kapsamındaki veri denetçileri olarak işleme güvenliği yükümlülüklerini karşılamasına yardımcı olur. AWS'de kullanılabilen şifreleme araçları:

• Amazon Esnek Blok Deposu, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS ve Redshift gibi AWS depolama ve veri tabanı hizmetlerinde sunulan veri şifreleme özellikleri
• Şifreleme anahtarlarının AWS tarafından yönetilmesinin tercih edilmesine veya müşterilerin anahtarların üzerinde tam denetim sahibi olmasına imkan tanıyan AWS Anahtar Yönetimi Hizmeti gibi esnek anahtar yönetimi seçenekleri
• Amazon SQS için sunucu tarafı şifreleme (SSE) kullanılarak hassas verilerin aktarılması için şifrelenen mesaj kuyrukları
• AWS CloudHSM ile tahsis edilmiş, donanım tabanlı şifreleme anahtarı depolama imkanı, müşterilerin uygunluk gereksinimlerini karşılamasını mümkün kılar

AWS ayrıca müşterilerin ve APN Çözüm Ortaklarının bir AWS ortamında geliştirdiği veya dağıttığı herhangi bir hizmette şifreleme ve veri koruma entegrasyonu yapmasını mümkün kılan API'ler sağlar.

AWS müşterilerin GDPR gereksinimlerini karşılamasına yardımcı olan belirli özellikler ve hizmetler sağlamaktadır:

Erişim Denetimi: AWS kaynaklarına yalnızca yetkili yöneticilerin, kullanıcıların ve uygulamaların erişmesine izin verin

• Multi-Factor-Authentication (MFA)
• Amazon S3 Klasörleri/ Amazon SQS/ Amazon SNS ve diğer hizmetlerdeki nesnelere ince ayrıntılı erişim
• API İsteği Kimlik Doğrulaması
• Coğrafi Kısıtlamalar
• AWS Güvenlik Belirteci Hizmeti aracılığıyla geçici erişim belirteçleri

İzleme ve Günlük Kaydı: AWS kaynaklarınızdaki etkinliklerin genel bir görünümünü elde edin

• AWS Config ile Varlık Yönetimi ve Yapılandırması
• AWS CloudTrail ile uygunluk denetimi ve güvenlik analizi
• AWS Trusted Advisor aracılığıyla yapılandırma zorluklarının belirlenmesi
• Amazon S3 nesnelerine erişimin ince ayrıntılarla günlüğe kaydedilmesi
• Amazon VPC Akış Günlükleri aracılığıyla ağdaki akışlar hakkında ayrıntılı bilgi
• AWS Config Kuralları ile kural tabanlı yapılandırma denetimleri ve eylemleri
• AWS CloudFront'taki AWS WAF işlevleriyle uygulamalara HTTP erişiminin filtrelenmesi ve izlenmesi

Şifreleme: AWS'deki Verileri Şifreleme

• Bekleyen verilerinizin AES256 ile şifrelenmesi (EBS/S3/Glacier/RDS)
• Merkezi olarak yönetilen Anahtar Yönetimi (AWS Bölgesine göre)
• VPN-Gateway'ler ile AWS'ye IPsec tünelleri
• AWS CloudHSM ile bulutta tahsis edilmiş HSM modülleri

Güçlü Uygunluk Çerçevesi ve Güvenlik Standartları: Aşağıdakiler gibi katı uluslararası standartlara uygunluğu gösteririz:

• Teknik önlemler için ISO 27001
• Bulut güvenliği için ISO 27017
• Bulut gizliliği için ISO 27018
• SOC 1, SOC 2 ve SOC 3, PCI DSS Seviyesi 1,
• BSI'nın Ortak Bulut Bilgi İşlem Denetimleri Kataloğu (C5)
• ENS High

GDPR bir AB yönetmeliğidir ve Brexit sonrasında Birleşik Krallık için geçerliliği sona ermiştir.  Birleşik Krallık devleti, GDPR'nin gerekliliklerini "Birleşik Krallık GDPR'si" adı altında Birleşik Krallık kanunlarının kapsamına almıştır.

AWS; AWS DPA'ya eklenen ve AWS'nin veri işleyicisi olarak sağladığı taahhütleri Birleşik Krallık GDPR'sinin kapsamına alan, Birleşik Krallık GDPR'sine uygun bir Birleşik Krallık GDPR Eki sunmaktadır. Birleşik Krallık GDPR Eki, AWS Hizmet Koşulları'nın bir parçasıdır ve Birleşik Krallık GDPR'sine uygunluk amacıyla bir veri işleme anlaşması gerektiren tüm müşteriler için otomatik olarak geçerlidir.

AWS Hizmet Koşulları'nın bir parçası olan Birleşik Krallık GDPR Eki, Avrupa Komisyonu tarafından benimsenen SCC'leri ve Birleşik Krallık veri koruma düzenleyicisi (Bilgi Komisyonu Ofisi) tarafından yayınlanan uluslararası veri aktarımı ekini (IDTA) içermektedir.  IDTA, kişisel veriler için yeterli bir koruma düzeyi sağlayan ülke olarak onaylanmamış Birleşik Krallık dışındaki ülkelere (Birleşik Krallık üçüncü ülkeleri) uluslararası veri aktarımları için Birleşik Krallık GDPR'si kapsamında uygun bir koruma sağlayacak şekilde SCC’leri değiştirmiştir. Birleşik Krallık GDPR Eki, bir müşteri Birleşik Krallık GDPR'sine tabi olan müşteri verilerini (Birleşik Krallık müşteri verileri) Birleşik Krallık üçüncü ülkelerine aktarmak için AWS hizmetlerini kullandığında SCC'ler (IDTA tarafından değiştirilmiş hali) otomatik olarak geçerli olacaktır.  AWS Hizmet Koşulları'ndaki Birleşik Krallık GDPR Eki'nin bir parçası olarak, bir müşteri Birleşik Krallık müşteri verilerini Birleşik Krallık üçüncü ülkelerine aktarmak için AWS hizmetlerini kullandığında SCC'ler (IDTA tarafından değiştirilmiş hali) otomatik olarak geçerli olacaktır.

AWS, İsviçre Federal Veri Koruma Kanunu ("FDPA") kapsamında veri işleyen olarak AWS Veri İşleme Eki'ne, AWS'nin taahhütlerini içeren bir İsviçre Eki ("İsviçre Eki") sunar. İsviçre Eki, AWS Hizmet Koşulları'nın bir parçasıdır (bkz. Bölüm 1.14.4) ve müşteri verilerini işlemek için müşterinin AWS hizmetlerini kullanımında FDPA geçerli olduğunda otomatik olarak uygulanır.

AWS Hizmet Koşulları'nın bir parçası olan (bkz. Bölüm 1.14.4) AWS Veri İşleme Eki'ne İsviçre Eki, Avrupa Komisyonu tarafından kabul edilen ve İsviçre Federal Veri Koruma ve Bilgi Komisyonu tarafından gerektiği gibi değiştirilen Standart Sözleşme Maddelerini ("SCC'ler") içerir. İsviçre Eki, bir müşteri FDPA'ya tabi olan müşteri verilerini üçüncü ülkelere aktarmak için AWS hizmetlerini kullandığında SCC'lerin (İsviçre Eki tarafından değiştirilmiş şekliyle) otomatik olarak geçerli olacağını onaylar.

GDPR ile ilgili soruları olan müşterilerin önce AWS müşteri yöneticilerine başvurmasını öneririz. Müşteriler Enterprise Support aboneliğine sahipse Teknik Müşteri Yöneticilerine (TAM) de ulaşabilir. TAM'ler Çözüm Mimarlarıyla birlikte çalışarak müşterilerin olası riskleri ve olası düzeltme olanaklarını belirlemesine yardımcı olur. TAM'ler ve hesap ekipleri ayrıca belirli kaynaklara sahip olan müşterileri ve APN Çözüm Ortaklarını ortam ve gereksinimlerine göre yönlendirebilir.

AWS'de, GDPR ile ilgili sorular konusunda yardımcı olabilecek Kurumsal Destek Temsilcileri ve Profesyonel Hizmetler Danışmanlarından oluşan ekiplerin yanı sıra başka çalışanlar da vardır. Herhangi bir sorunuz olması durumunda buradan bizimle iletişime geçebilirsiniz.