Trung tâm Quy định chung về bảo vệ dữ liệu (GDPR)

Ngày 16 tháng 7 năm 2020, Tòa án Công lý Liên minh châu Âu (CJEU) đã đưa ra phán quyết liên quan đến việc truyền dữ liệu cá nhân của các chủ thể dữ liệu tại EU ra bên ngoài EEA (Schrems II). Trong Schrems II, CJEU đã ra phán quyết rằng Chương trình bảo vệ quyền riêng tư giữa Liên minh châu Âu và Hoa Kỳ không còn là cơ chế hợp lệ để chuyển dữ liệu cá nhân từ EEA tới Hoa Kỳ. Tuy nhiên, cũng trong phán quyết này, CJEU xác nhận rằng các công ty có thể (tùy vào việc thực hiện những biện pháp bổ sung, nếu được yêu cầu) tiếp tục sử dụng Điều khoản hợp đồng tiêu chuẩn như một cơ chế hợp lệ để chuyển dữ liệu cá nhân ra bên ngoài EEA. Ủy ban bảo vệ dữ liệu châu Âu (EDPB) -một hội đồng bao gồm đại diện của các cơ quan bảo vệ dữ liệu quốc gia tại châu Âu - đã đưa ra một danh sách chưa đầy đủ liệt kê các biện pháp bổ sung trong “Khuyến nghị số 01/2020 về những biện pháp bổ sung cho các công cụ chuyển dữ liệu nhằm đảm bảo tuân thủ mức độ bảo vệ dữ liệu cá nhân tại EU” của họ (Khuyến nghị EDPB).

Khuyến nghị EDPB cung cấp ví dụ về những biện pháp bổ sung mà các bên truy xuất dữ liệu có thể triển khai. Để biết chi tiết về tài nguyên liên quan đến việc truyền dữ liệu của AWS, hãy xem Câu hỏi thường gặp bên dưới: “Tôi có thể tiếp tục sử dụng các dịch vụ AWS sau phán quyết Schrems II không?”.

Có. Khách hàng của AWS có thể tiếp tục sử dụng các dịch vụ AWS để chuyển dữ liệu khách hàng từ châu Âu đến các quốc gia bên ngoài EEA và chưa được Ủy ban châu Âu đưa ra quyết định xác nhận biện pháp bảo vệ đầy đủ. Phán quyết Schrems II đã phê chuẩn việc sử dụng Điều khoản hợp đồng tiêu chuẩn (SCC) làm cơ chế truyền dữ liệu khách hàng ra bên ngoài EEA. Khách hàng của AWS có thể tiếp tục dựa vào SCC cho bất kỳ việc truyền dữ liệu khách hàng nào ra bên ngoài EEA theo GDPR.

• Địa điểm xử lý. Khách hàng chọn Khu vực AWS lưu trữ dữ liệu khách hàng của họ. Bạn có thể tìm thấy phần tổng quan về Khu vực AWS hiện có trong Khu vực và Vùng sẵn sàng. AWS sẽ không xử lý dữ liệu khách hàng bên ngoài Khu vực AWS mà khách hàng đã chọn, trừ khi cần thiết cho mục đích cung cấp các dịch vụ AWS do khách hàng khởi xướng hoặc khi cần thiết để tuân thủ luật pháp hay lệnh ràng buộc của cơ quan chính phủ. Để tìm hiểu thêm về hoạt động truyền dữ liệu nằm trong các dịch vụ AWS, vui lòng xem trang web Tính năng bảo mật của chúng tôi.
• Bên xử lý phụ. AWS có thể sử dụng các bên xử lý phụ, tức là những công ty liên kết với AWS hoặc các bên thứ ba hỗ trợ xử lý dữ liệu khách hàng, để thực hiện các nghĩa vụ của chúng tôi đối với khách hàng theo AWS DPA hoặc để thay mặt chúng tôi cung cấp các dịch vụ. Để biết chi tiết, hãy xem Câu hỏi thường gặp bên dưới: “AWS có sử dụng bên xử lý phụ để xử lý dữ liệu khách hàng không?”.
• Công cụ truyền dữ liệu. Do phán quyết Schrems II đã phê chuẩn việc sử dụng SCC làm cơ chế truyền dữ liệu đến quốc gia bên ngoài EEA chưa được Ủy ban châu Âu đưa ra quyết định xác nhận có mức độ bảo vệ dữ liệu thỏa đáng, nên khách hàng của chúng tôi có thể tiếp tục dựa vào SCC có trong AWS DPA nếu muốn truyền dữ liệu của họ ra bên ngoài EEA tuân theo GDPR.
• Biện pháp bổ sung.
  • Khách hàng kiểm soát. Khách hàng luôn có quyền sở hữu và kiểm soát dữ liệu khách hàng của họ thông qua các công cụ đơn giản nhưng mạnh mẽ, cho phép xác định vị trí mà họ sẽ lưu trữ dữ liệu khách hàng, bảo mật dữ liệu khách hàng khi đang truyền và lưu trữ, cũng như quản lý quyền truy cập của người dùng vào tài nguyên AWS của họ, đồng thời sửa đổi, xóa và truy xuất dữ liệu khách hàng.
  • Các biện pháp về mặt kỹ thuật và tổ chức. AWS triển khai các quy trình cũng như biện pháp kiểm soát có trách nhiệm và tinh vi về mặt vật lý và kỹ thuật, được thiết kế để ngăn chặn hành vi truy cập trái phép hoặc tiết lộ dữ liệu khách hàng (hãy truy cập trang web Tuân thủ của AWS để biết thêm thông tin). Chúng tôi cũng cung cấp một số dịch vụ mã hóa và dịch vụ quản lý khóa nâng cao (bao gồm các dịch vụ cho phép khách hàng quản lý khóa của riêng họ) mà khách hàng có thể sử dụng để bảo vệ dữ liệu khách hàng của họ khi đang chuyển và lưu trữ - không thể truy cập dữ liệu khách hàng đã mã hóa nếu không có khóa giải mã thích hợp. Dù dữ liệu của khách hàng đã được mã hóa hay chưa, chúng tôi sẽ luôn làm việc thận trọng để bảo vệ dữ liệu của khách hàng khỏi mọi hành vi truy cập trái phép.
  • Yêu cầu của cơ quan thực thi pháp luật. AWS có các quy trình nội bộ để xử lý những yêu cầu chúng tôi nhận được từ cơ quan thực thi pháp luật. Khi chúng tôi nhận được yêu cầu cung cấp dữ liệu khách hàng từ phía cơ quan thực thi pháp luật, chúng tôi sẽ kiểm tra cẩn thận để xác thực tính chính xác và để xác minh rằng yêu cầu đó là thích đáng cũng như tuân thủ mọi luật hiện hành. AWS sẽ thông báo cho khách hàng trước khi tiết lộ dữ liệu khách hàng để họ có thể tìm kiếm biện pháp bảo vệ trước việc tiết lộ, trừ khi luật pháp cấm làm như vậy. Trong Phụ lục bổ sung cho AWS DPA (Phụ lục bổ sung), AWS củng cố những cam kết theo hợp đồng liên quan đến việc xử lý các yêu cầu cung cấp dữ liệu khách hàng của chính phủ, bao gồm bằng cách cam kết (i) sử dụng mọi nỗ lực hợp lý để chuyển hướng bất kỳ cơ quan chính phủ nào yêu cầu dữ liệu khách hàng đến khách hàng có liên quan, (ii) nhanh chóng thông báo yêu cầu đến khách hàng nếu được luật pháp cho phép làm vậy (bao gồm bằng cách sử dụng mọi nỗ lực hợp lý và hợp pháp để có được miễn trừ lệnh cấm nếu cần thiết), (iii) phản đối bất kỳ yêu cầu nào quá giới hạn hoặc không phù hợp, bao gồm cả trường hợp yêu cầu xung đột với luật của Liên minh Châu Âu, và (iv) nếu, sau khi hoàn thành các bước được mô tả ở trên, AWS vẫn buộc phải tiết lộ dữ liệu khách hàng theo yêu cầu của chính phủ, AWS chỉ tiết lộ những dữ liệu cần thiết tối thiểu để đáp ứng yêu cầu này.
  • Các biện pháp theo hợp đồng. AWS đưa ra một số cam kết theo hợp đồng đối với các biện pháp đã mô tả ở trên và được phản ánh trong AWS DPA cũng như Phụ lục bổ sung. AWS DPA và Phụ lục bổ sung bao gồm các cam kết theo hợp đồng của AWS liên quan đến (1) lựa chọn của khách hàng về các Khu vực AWS nơi dữ liệu khách hàng được lưu trữ và xử lý, (2) các biện pháp kỹ thuật và tổ chức mà AWS đã triển khai để bảo vệ cơ sở hạ tầng AWS cũng như các biện pháp tổ chức - kỹ thuật mà khách hàng có thể lựa chọn áp dụng để bảo vệ dữ liệu khách hàng của họ, (3) các biện pháp của AWS nhằm bảo vệ dữ liệu khách hàng và thông báo tới khách hàng trong trường hợp cơ quan chính phủ yêu cầu tiết lộ dữ liệu, và (4) khả năng AWS thực hiện các nghĩa vụ được quy định trong AWS DPA tuân theo luật áp dụng ở quốc gia thứ ba nơi dữ liệu khách hàng được xử lý. Phụ lục bổ sung cũng đề cập đến (5) quyền theo luật định của cá nhân về việc yêu cầu bồi thường trong trường hợp các quyền của họ được GDPR trao cho bị vi phạm.

Có. AWS có thể sử dụng bên xử lý phụ thuộc ba loại sau: (1) các đơn vị AWS cung cấp cơ sở hạ tầng mà dịch vụ AWS chạy trên đó; (2) các đơn vị AWS hỗ trợ những dịch vụ AWS cụ thể mà có thể yêu cầu các đơn vị này xử lý dữ liệu khách hàng; và (3) các bên thứ ba mà AWS đã ký hợp đồng để cung cấp hoạt động xử lý cho những dịch vụ AWS cụ thể. Trang web Bên xử lý phụ của AWS cung cấp thêm thông tin về các bên xử lý phụ mà AWS thuê theo AWS DPA, nhằm thay mặt khách hàng cung cấp các hoạt động xử lý dữ liệu khách hàng. Các đơn vị xử lý phụ liên quan đến từng khách hàng sẽ phụ thuộc vào Khu vực AWS mà khách hàng lựa chọn và các dịch vụ AWS cụ thể mà khách hàng sử dụng.

Báo cáo nghiên cứu chuyên sâu của AWS có tên Hướng dẫn việc tuân thủ các yêu cầu về truyền dữ liệu của EU trình bày thông tin về các dịch vụ và tài nguyên mà AWS cung cấp cho khách hàng để hỗ trợ thực hiện đánh giá truyền dữ liệu theo phán quyết Schrems II và các khuyến nghị sau đó của Ủy ban bảo vệ dữ liệu châu Âu. Báo cáo nghiên cứu chuyên sâu này cũng đề cập đến các biện pháp bổ sung đã được AWS thực hiện và cung cấp nhằm bảo vệ dữ liệu khách hàng.

AWS cung cấp thông tin có ích cho khách hàng, bao gồm một số báo cáo tuân thủ từ các chuyên viên đánh giá bên thứ ba đã xác minh tính tuân thủ của chúng tôi bằng nhiều tiêu chuẩn và quy định về bảo mật, để chứng minh mức độ tuân thủ cao mà AWS duy trì đối với cơ sở hạ tầng của mình. Những báo cáo này cho khách hàng của chúng tôi biết rằng chúng tôi đang bảo vệ dữ liệu khách hàng mà họ chọn xử lý trên AWS. Ví dụ bao gồm việc tuân thủ ISO 27001, 27017 và 27018 của AWS. ISO 27018 có các biện pháp kiểm soát bảo mật tập trung vào việc bảo vệ dữ liệu khách hàng.

AWS cũng tuân thủ Bộ quy tắc ứng xử của CISPE đối với việc bảo vệ dữ liệu. Bạn có thể tìm thêm thông tin về Bộ quy tắc ứng xử của CISPE trong Câu hỏi thường gặp bên dưới: “AWS có tuân thủ Bộ quy tắc ứng xử được GDPR phê duyệt dành riêng cho các dịch vụ cơ sở hạ tầng đám mây không?”

Có. Tính đến tháng 6 năm 2023, 107 dịch vụ AWS tuân thủ Bộ quy tắc ứng xử về bảo vệ dữ liệu của Nhà cung cấp dịch vụ cơ sở hạ tầng đám mây ở châu Âu (CISPE). CISPE là liên minh các tổ chức hàng đầu về điện toán đám mây, đang phục vụ hàng triệu khách hàng ở châu Âu. Bộ quy tắc ứng xử về bảo vệ dữ liệu của CISPE (Bộ quy tắc CISPE), là bộ quy tắc ứng xử về bảo vệ dữ liệu đầu tiên trên toàn châu Âu tập trung vào các nhà cung cấp dịch vụ cơ sở hạ tầng đám mây. Bộ quy tắc CISPE đã được Ủy ban bảo vệ dữ liệu châu Âu phê duyệt, thay mặt cho 27 cơ quan bảo vệ dữ liệu trên khắp châu Âu và được Cơ quan bảo vệ dữ liệu của Pháp (CNIL) áp dụng chính thức, đây cũng là cơ quan đóng vai trò là cơ quan giám sát chính. Năm 2017, AWS công bố tuân thủ theo phiên bản mới nhất của Bộ quy tắc CISPE.

Bộ quy tắc CISPE giúp khách hàng bảo đảm rằng nhà cung cấp dịch vụ cơ sở hạ tầng đám mây của họ cung cấp các biện pháp bảo đảm vận hành thích hợp để thể hiện sự tuân thủ GDPR và bảo vệ dữ liệu của khách hàng. Một số lợi ích chính của Bộ quy tắc CISPE bao gồm:

• Cơ sở hạ tầng đám mây tập trung: Làm rõ vai trò của nhà cung cấp dịch vụ cơ sở hạ tầng đám mây theo GDPR đối với việc xử lý dữ liệu khách hàng – tức là bất kỳ dữ liệu cá nhân nào được xử lý thay mặt cho khách hàng sử dụng dịch vụ cơ sở hạ tầng đám mây.
• Dữ liệu tại châu Âu: Yêu cầu các nhà cung cấp dịch vụ cơ sở hạ tầng đám mây cung cấp cho khách hàng quyền lựa chọn sử dụng các dịch vụ để lưu trữ và xử lý dữ liệu khách hàng hoàn toàn trong Khu vực kinh tế châu Âu (EEA).
• Quyền riêng tư về dữ liệu: Bộ quy tắc CISPE đảm bảo với các tổ chức rằng các nhà cung cấp dịch vụ cơ sở hạ tầng đám mây đáp ứng các yêu cầu áp dụng cho dữ liệu cá nhân được xử lý thay mặt họ (dữ liệu khách hàng) theo GDPR.

Chứng nhận tuân thủ làm rõ trạng thái tuân thủ của AWS có trên Sổ đăng ký công khai của CISPE. Các dịch vụ AWS được liệt kê đã được xác minh độc lập là tuân thủ Bộ quy tắc của CISPE. Quy trình xác minh được thực hiện bởi Ernst & Young CertifyPoint (EY CertifyPoint), một cơ quan giám sát độc lập được công nhận trên toàn cầu do CNIL chứng nhận.

GDPR không thay đổi mô hình trách nhiệm chung AWS. Mô hình này vẫn tiếp tục áp dụng cho khách hàng. Mô hình chia sẻ trách nhiệm là một phương pháp có ích để minh họa những trách nhiệm khác nhau của AWS (với tư cách là bên xử lý dữ liệu hoặc bên xử lý phụ) và khách hàng (với tư cách là bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu) theo GDPR.

Theo mô hình trách nhiệm chung, AWS chịu trách nhiệm bảo mật cho cơ sở hạ tầng cơ bản hỗ trợ cho các dịch vụ AWS (“Tính bảo mật “CỦA” đám mây”), trong khi khách hàng, với vai trò là bên kiểm soát dữ liệu hoặc bên xử lý dữ liệu, chịu trách nhiệm về bất kỳ dữ liệu cá nhân nào mà họ đăng tải lên các dịch vụ AWS (“Tính bảo mật “TRONG” đám mây”).

Trách nhiệm của AWS đối với "Tính bảo mật của đám mây" – AWS chịu trách nhiệm bảo vệ cơ sở hạ tầng toàn cầu vận hành tất cả các dịch vụ AWS. Cơ sở hạ tầng này gồm có phần cứng, phần mềm, mạng và cơ sở vận hành dịch vụ AWS, cung cấp các biện pháp kiểm soát mạnh mẽ cho khách hàng (bao gồm các biện pháp kiểm soát cấu hình bảo mật) để xử lý nội dung khách hàng. AWS cung cấp một số báo cáo tuân thủ từ các chuyên viên đánh giá bên thứ ba đã xác minh tính tuân thủ của chúng tôi với nhiều tiêu chuẩn và quy định về bảo mật máy tính (để biết thêm thông tin, hãy truy cập trang web Tuân thủ của AWS). Những báo cáo này cho khách hàng của chúng tôi biết rằng chúng tôi đang bảo vệ dữ liệu khách hàng của họ. Những ví dụ bao gồm việc tuân thủ ISO 27001, 27017 và 27018 của AWS. ISO 27018 có các biện pháp kiểm soát bảo mật tập trung vào việc bảo vệ dữ liệu khách hàng.

Trách nhiệm của khách hàng đối với “Tính bảo mật trong đám mây” – Khách hàng của AWS chịu trách nhiệm thiết kế và bảo mật ứng dụng cũng như những giải pháp họ lựa chọn triển khai trên các dịch vụ AWS. Khách hàng của AWS cũng có trách nhiệm định cấu hình các dịch vụ AWS theo cách bảo vệ được tính bảo mật, tính toàn vẹn và nhu cầu bảo mật dữ liệu khách hàng của họ. Các trách nhiệm cụ thể của khách hàng trong việc bảo mật dữ liệu khách hàng của họ khác nhau tùy thuộc vào các dịch vụ AWS mà khách hàng lựa chọn sử dụng, cũng như cách những dịch vụ đó được tích hợp vào môi trường CNTT của khách hàng. Khách hàng của AWS có thể theo dõi, kiểm soát các dữ liệu khách hàng của họ và có thể triển khai các biện pháp kiểm soát bảo mật linh hoạt dựa trên mức độ nhạy cảm của loại dữ liệu khách hàng cụ thể. Khách hàng có thể thực hiện việc này bằng cách sử dụng các biện pháp và công cụ bảo mật của riêng mình hoặc bằng các biện pháp và công cụ bảo mật của AWS hay những nhà cung cấp khác. Thông qua đó, khách hàng có thể triển khai thêm các lớp bảo mật cho dữ liệu khách hàng nhạy cảm hơn.

AWS cung cấp các sản phẩm, công cụ, dịch vụ mà khách hàng có thể sử dụng để thiết kế cũng như bảo mật những ứng dụng và giải pháp của họ và có thể được triển khai để giúp xử lý các yêu cầu của GDPR, bao gồm:

• Quản lý danh tính và truy cập (IAM) trong AWS cho phép các tổ chức quản lý quyền truy cập vào dịch vụ và tài nguyên AWS một cách bảo mật. Khách hàng có thể sử dụng IAM để tạo, quản lý người dùng và nhóm AWS cũng như sử dụng quyền để cho phép và từ chối truy cập tài nguyên AWS. IAM là một tính năng của tài khoản AWS và được cung cấp miễn phí.
• AWS CloudTrail cho phép các tổ chức tạo bản ghi, liên tục giám sát và giữ lại thông tin về hoạt động tài khoản liên quan đến các hành động trong AWS, từ đó đơn giản hóa việc phân tích bảo mật, theo dõi thay đổi tài nguyên và khắc phục sự cố (theo mặc định, AWS CloudTrail được kích hoạt trên tất cả tài khoản AWS).
• Amazon GuardDuty là một dịch vụ phát hiện mối đe dọa được quản lý với chức năng liên tục giám sát hành vi độc hại hoặc trái phép để giúp bảo vệ tài khoản và khối lượng công việc AWS. Dịch vụ này giám sát hoạt động có dấu hiệu xâm phạm tài khoản như lệnh gọi API bất thường hoặc tác vụ triển khai có khả năng là trái phép. Đồng thời, GuardDuty cũng phát hiện các phiên bản hoặc hoạt động do thám có khả năng gây tổn hại của kẻ tấn công.
• Amazon Macie là một công cụ máy học giúp hỗ trợ khám phá và phân loại dữ liệu cá nhân lưu trữ trong Amazon S3.

Để biết thêm thông tin chi tiết về cách sử dụng các tài nguyên AWS tuân thủ GDPR, vui lòng xem báo cáo nghiên cứu chuyên sâu: Cách đảm bảo tuân thủ GDPR trên AWS của chúng tôi.

Có, bạn có thể tìm kiếm từ khóa "GDPR" trong Công cụ tìm kiếm giải pháp đối tác AWS để tìm ra Nhà cung cấp phần mềm độc lập (ISV), Nhà cung cấp dịch vụ được quản lý (MSP) và các đối tác Tích hợp hệ thống (SI) có sản phẩm và dịch vụ hỗ trợ việc tuân thủ GDPR. Khách hàng cũng có thể tìm kiếm các giải pháp “GDPR” trên AWS Marketplace.

Có. Đội ngũ AWS Security Assurance Services có nhiều hoạt động để trợ giúp khách hàng trên hành trình tuân thủ GDPR của họ. Đội ngũ các chuyên gia trong ngành về việc tuân thủ được chứng nhận này giúp khách hàng đạt được, duy trì và tự động hóa việc tuân thủ trên đám mây bằng cách vận dụng các tiêu chuẩn tuân thủ hiện hành vào những tính năng và chức năng cụ thể của các dịch vụ AWS. Bạn có thể xem thêm thông tin chi tiết về cách những Tư vấn viên của AWS Professional Services đang trợ giúp khách hàng tại đây.

Khách hàng có thể sử dụng Hỗ trợ AWS để nhận được hướng dẫn kỹ thuật giúp họ tuân thủ GDPR. Trong khuôn khổ hoạt động này, chúng tôi có các nhóm Kỹ sư hỗ trợ đám mây và Quản lý khách hàng kỹ thuật (TAM), họ đã được đào tạo để có thể nhận biết và giảm thiểu rủi ro tuân thủ. Mức độ hỗ trợ do AWS cung cấp phụ thuộc vào gói dịch vụ AWS Support mà khách hàng chọn. Những khách hàng muốn tìm hiểu khả năng trợ giúp của Hỗ trợ AWS cao cấp có thể xem thêm thông tin trong Trung tâm Hỗ trợ AWS có sẵn tại Bảng điều khiển quản lý AWS, bằng cách sử dụng chi tiết liên hệ đã được nêu cụ thể trong Thỏa thuận hỗ trợ doanh nghiệp giao kết với AWS hoặc bằng cách truy cập trang web Hỗ trợ AWS. Khách hàng mua gói Hỗ trợ doanh nghiệp có thể liên hệ với TAM của mình nếu có thắc mắc liên quan đến GDPR.

Hai chương trình sau đây có thể giúp ích cho khách hàng khi họ thực hiện mục tiêu tuân thủ GDPR:

• Đánh giá hoạt động trong đám mây – Dành cho khách hàng sử dụng Hỗ trợ dành cho doanh nghiệp AWS, chương trình này được thiết kế để xác định các lỗ hổng trong cách tiếp cận hoạt động trên đám mây. Bắt nguồn từ một bộ các biện pháp thực hành nghiệp vụ tốt nhất cùng với kinh nghiệm của AWS trong quá trình làm việc với nhiều khách hàng tiêu biểu, chương trình này đánh giá hoạt động đám mây và các thực tiễn quản lý đi kèm, từ đó có thể hỗ trợ các tổ chức trên hành trình tuân thủ GDPR của họ. Chương trình này sử dụng một cách tiếp cận với bốn trụ cột, tập trung vào việc chuẩn bị, giám sát, vận hành và tối ưu hóa các hệ thống trên nền đám mây trong nỗ lực theo đuổi sự vận hành vượt trội.
• Đánh giá kiến trúc tối ưu – Chương trình này cho phép các tổ chức đánh giá kiến trúc của mình theo những phương pháp tốt nhất của AWS đồng thời xây dựng kiến trúc bảo mật, đáng tin cậy, hiệu suất cao và tiết kiệm chi phí. Đánh giá kiến trúc tối ưu cho phép khách hàng hiểu rõ vị trí tiềm ẩn rủi ro trong kiến trúc của họ và giải quyết chúng trước khi ứng dụng vào sản xuất.

AWS có quy trình giám sát sự cố bảo mật cũng như thông báo vi phạm dữ liệu và sẽ thông báo cho khách hàng về các hành vi xâm phạm hệ thống bảo mật của AWS ngay lập tức và phù hợp với AWS DPA. AWS cũng cung cấp cho khách hàng nhiều công cụ để hiểu rõ ai có quyền truy cập tài nguyên của họ, truy cập khi nào và từ vị trí nào. Một trong những công cụ này là AWS CloudTrail cho phép quản trị, tuân thủ, kiểm tra hoạt động và kiểm tra rủi ro của một tài khoản AWS. Với AWS CloudTrail, khách hàng có thể ghi nhật ký, liên tục giám sát và lưu giữ thông tin về hoạt động của tài khoản liên quan đến các hành động trên cơ sở hạ tầng AWS của họ. Điều này giúp các tổ chức hiểu rõ hoạt động đang diễn ra trong cơ sở hạ tầng AWS của mình và có thể ngay lập tức xử lý mọi hoạt động bất thường. Để biết thêm thông tin về các công cụ bảo mật khác được AWS cung cấp cho khách hàng nhằm giúp họ đáp ứng những nghĩa vụ của mình trong vai trò bên kiểm soát dữ liệu theo GDPR, hãy truy cập trang web Khả năng bảo mật của Đám mây AWS.

AWS cung cấp cho khách hàng và Đối tác APN nhiều công cụ để bảo mật dữ liệu khách hàng của họ và giúp bảo vệ trước các cuộc tấn công mạng. Một công cụ như vậy là AWS Shield. Đây là một dịch vụ bảo vệ khỏi các cuộc Tấn công từ chối dịch vụ phân tán (DDoS) được quản lý nhằm bảo vệ các trang web và ứng dụng chạy trên AWS. AWS Shield Standard được áp dụng miễn phí và cung cấp khả năng phát hiện luôn bật và tự động giảm trực tiếp để có thể giảm thiểu thời gian chết và độ trễ của ứng dụng. Nếu muốn nhận được mức độ bảo vệ cao hơn trước các cuộc tấn công nhắm vào ứng dụng web chạy trên AWS và sử dụng tài nguyên ELB, Amazon CloudFront cũng như Amazon Route 53, khách hàng và Đối tác APN có thể đăng ký sử dụng AWS Shield Advanced. AWS cũng phát hành và thường xuyên cập nhật tài liệu Các phương pháp tốt nhất của AWS để phục hồi sau tấn công DDoS, giúp khách hàng sử dụng AWS để xây dựng những ứng dụng có khả năng phục hồi sau các cuộc tấn công DDoS.

Các công cụ khác của AWS giúp bảo vệ dữ liệu khách hàng trước các hình thức tấn công mạng bao gồm:

• Quản lý danh tính và truy cập (IAM) trong AWS cho phép các tổ chức quản lý quyền truy cập vào dịch vụ và tài nguyên AWS một cách bảo mật. Khách hàng và Đối tác APN có thể sử dụng IAM để tạo, quản lý người dùng và nhóm AWS cũng như sử dụng quyền để cho phép và từ chối truy cập tài nguyên AWS. IAM là một tính năng của tài khoản AWS và được cung cấp miễn phí.
• AWS Config cho phép khách hàng và Đối tác APN kích hoạt các quy tắc tích hợp sẵn để giúp đảm bảo rằng tài nguyên AWS của họ ở trạng thái tuân thủ và được cấu hình phù hợp.
• AWS CloudTrail cho phép các tổ chức tạo bản ghi, liên tục giám sát và giữ lại thông tin về hoạt động tài khoản liên quan đến các hành động trong AWS, từ đó đơn giản hóa việc phân tích bảo mật, theo dõi thay đổi tài nguyên và khắc phục sự cố (theo mặc định, AWS CloudTrail được kích hoạt trên tất cả tài khoản AWS).
• Amazon GuardDuty là một dịch vụ phát hiện mối đe dọa được quản lý với chức năng liên tục giám sát hành vi độc hại hoặc trái phép để giúp bảo vệ tài khoản và khối lượng công việc AWS. Dịch vụ này giám sát hoạt động có dấu hiệu xâm phạm tài khoản như lệnh gọi API bất thường hoặc tác vụ triển khai có khả năng là trái phép. Đồng thời, GuardDuty cũng phát hiện các phiên bản hoặc hoạt động do thám có khả năng gây tổn hại của kẻ tấn công.

Amazon Macie là dịch vụ bảo mật dữ liệu và quyền riêng tư về dữ liệu được quản lý toàn phần, sử dụng các kỹ thuật máy học và so khớp mẫu để phát hiện cũng như bảo vệ dữ liệu cá nhân của bạn trên AWS. Khi lượng dữ liệu do các tổ chức quản lý không ngừng gia tăng, việc xác định và bảo vệ dữ liệu cá nhân trên quy mô lớn sẽ ngày càng phức tạp, tốn kém và mất thời gian. Amazon Macie tự động phát hiện dữ liệu cá nhân trên quy mô lớn và giảm chi phí bảo vệ dữ liệu của bạn. Macie tự động cung cấp kho lưu trữ cho các vùng lưu trữ của Amazon S3, bao gồm danh sách các vùng lưu trữ không được mã hóa, vùng lưu trữ có thể truy cập công khai và vùng lưu trữ được chia sẻ với tài khoản AWS nằm ngoài các tài khoản bạn đã xác định trong AWS Organizations. Sau đó, Macie áp dụng kỹ thuật máy học và đối chiếu mẫu cho các vùng lưu trữ bạn chọn để xác định và đưa ra cảnh báo về dữ liệu cá nhân của bạn.

Amazon Macie được chứng nhận theo các tiêu chuẩn được công nhận trên toàn cầu như ISO 27017 đối với bảo mật đám mây, ISO 27018 đối với quyền riêng tư trên đám mây, đồng thời khách hàng và Đối tác APN cũng có thể sử dụng Macie để liên tục giám sát việc truy cập vào dữ liệu của họ nhằm phát hiện hoạt động đáng ngờ căn cứ vào các mẫu truy cập.

Để giúp khách hàng tuân thủ GDPR, AWS có nhiều công cụ để kiểm soát việc truy cập dữ liệu cá nhân có trong nội dung của họ trên AWS. Những công cụ này bao gồm:

• Bảo mật theo mặc định, có nghĩa là dịch vụ AWS được thiết kế để luôn bảo mật theo mặc định. Nếu sử dụng cấu hình mặc định, quyền truy cập vào tài nguyên sẽ bị khóa, chỉ dành cho chủ tài khoản và quản trị viên gốc.
• Quản lý danh tính và truy cập (IAM) trong AWS cho phép khách hàng quản lý việc truy cập vào các dịch vụ và tài nguyên AWS một cách bảo mật. Các tổ chức có thể sử dụng IAM để tạo, quản lý người dùng và nhóm AWS cũng như sử dụng quyền để cho phép và từ chối truy cập tài nguyên AWS. IAM là một tính năng của tài khoản AWS và được cung cấp miễn phí.
• Xác thực nhiều yếu tố trong AWS bổ sung thêm một lớp bảo vệ ngoài tên người dùng và mật khẩu của tài khoản AWS. AWS cho khách hàng lựa chọn giữa thiết bị MFA ảo và phần cứng.
• Dịch vụ thư mục của AWS cho phép khách hàng tích hợp và liên kết với các thư mục của doanh nghiệp để giảm tổng chi phí hành chính và cải thiện trải nghiệm người dùng cuối.
• AWS Config cho phép khách hàng kích hoạt các quy tắc tích hợp sẵn để giúp đảm bảo rằng tài nguyên AWS của họ ở trạng thái tuân thủ và được cấu hình phù hợp.
• AWS CloudTrail cho phép khách hàng tạo bản ghi, liên tục giám sát và giữ lại thông tin về hoạt động tài khoản liên quan đến các hành động trên toàn bộ cơ sở hạ tầng AWS của họ, từ đó đơn giản hóa việc phân tích bảo mật, theo dõi thay đổi tài nguyên và khắc phục sự cố (theo mặc định, AWS CloudTrail được kích hoạt trên tất cả tài khoản AWS).
• Amazon Macie sử dụng kỹ thuật máy học để giúp khách hàng ngăn chặn việc mất dữ liệu bằng cách tự động phát hiện, phân loại và bảo vệ dữ liệu nhạy cảm trên AWS. Dịch vụ được quản lý toàn diện này liên tục theo dõi hoạt động truy cập dữ liệu để phát hiện yếu tố bất thường, đồng thời khởi tạo cảnh báo chi tiết khi phát hiện thấy có rủi ro truy cập trái phép hoặc rò rỉ dữ liệu do vô ý – chẳng hạn như dữ liệu nhạy cảm mà một khách hàng đã vô tình tiết lộ ra bên ngoài.

AWS cung cấp cho khách hàng và Đối tác APN khả năng bổ sung một lớp bảo mật cho dữ liệu đang được lưu trữ trong đám mây của khách hàng và giúp họ đáp ứng các nghĩa vụ xử lý bảo mật với vai trò là bên kiểm soát dữ liệu theo GDPR. Các công cụ mã hóa có sẵn trên AWS bao gồm:

• Các khả năng mã hóa dữ liệu có sẵn trong các dịch vụ lưu trữ và cơ sở dữ liệu AWS như Kho lưu trữ khối linh hoạt của Amazon, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS và Redshift
• Các tùy chọn quản lý khóa linh hoạt, bao gồm Dịch vụ quản lý khóa của AWS, cho phép lựa chọn có nên để AWS quản lý khóa mã hóa hay cho phép khách hàng nắm toàn quyền kiểm soát các khóa
• Hàng đợi thông điệp mã hóa để truyền dữ liệu nhạy cảm bằng cách sử dụng mã hóa phía máy chủ (SSE) cho Amazon SQS
• Lưu trữ khóa mật mã chuyên dụng, dựa trên phần cứng bằng cách sử dụng AWS CloudHSM, cho phép khách hàng đáp ứng các yêu cầu về tuân thủ

Ngoài ra, AWS cung cấp API cho khách hàng và Đối tác APN để họ tích hợp khả năng mã hóa và bảo vệ dữ liệu với bất kỳ dịch vụ nào mà họ phát triển hoặc triển khai trong môi trường AWS.

AWS cung cấp các tính năng và dịch vụ cụ thể giúp khách hàng đáp ứng yêu cầu của GDPR:

Kiểm soát truy cập: Chỉ cho phép các quản trị viên, người dùng và các ứng dụng được cấp quyền truy cập vào tài nguyên AWS

• Multi-Factor-Authentication (MFA)
• Truy cập sâu vào các đối tượng trong Amazon S3-Buckets/ Amazon SQS/ Amazon SNS và những đối tượng khác
• Xác thực yêu cầu API
• Hạn chế địa lý
• Mã thông báo truy cập tạm thời thông qua Dịch vụ mã thông báo bảo mật của AWS

Giám sát và tạo bản ghi: Xem nội dung tổng quan về các hoạt động trên tài nguyên AWS của bạn

• Quản lý tài sản và cấu hình bằng AWS Config
• Kiểm tra tuân thủ và phân tích bảo mật bằng AWS CloudTrail
• Nhận biết các thách thức về cấu hình thông qua AWS Trusted Advisor
• Tạo bản ghi truy cập vào đối tượng Amazon S3 một cách chi tiết
• Thông tin chi tiết về các luồng trong mạng thông qua Bản ghi lưu lượng Amazon VPC
• Kiểm tra cấu hình dựa trên quy tắc và hành động theo Quy tắc AWS Config
• Lọc và giám sát truy cập HTTP vào các ứng dụng có chức năng của AWS WAF trên AWS CloudFront

Mã hóa: Mã hóa dữ liệu trên AWS

• Mã hóa dữ liệu lưu trữ tại thiết bị của bạn bằng AES256 (EBS/S3/Glacier/RDS)
• Dịch vụ quản lý khóa được quản lý tập trung (theo Vùng AWS)
• Lồng ghép IPsec vào AWS bằng Cổng VPN
• Mô-đun HSM chuyên dụng trong đám mây với AWS CloudHSM

Khung tuân thủ và tiêu chuẩn bảo mật nghiêm ngặt: Chúng tôi thể hiện khả năng tuân thủ các tiêu chuẩn quốc tế nghiêm ngặt như:

• ISO 27001 đối với các biện pháp kỹ thuật
• ISO 27017 đối với bảo mật đám mây
• ISO 27018 đối với quyền riêng tư trên đám mây
• SOC 1, SOC 2 và SOC 3, PCI DSS cấp độ 1,
• Danh mục biện pháp kiểm soát tuân thủ điện toán đám mây (C5) của BSI
• ENS Cao

GDPR là một quy định của Liên minh châu Âu và hậu Brexit. Quy định này không áp dụng cho Vương quốc Anh nữa.  Chính phủ Vương quốc Anh đã đưa các yêu cầu của GDPR vào luật pháp Vương quốc Anh với tên “UK GDPR”.

AWS cung cấp một Phụ lục UK GDPR tuân thủ UK GDPR bổ sung vào AWS DPA, trong đó có các cam kết của AWS với tư cách là bên xử lý dữ liệu theo UK GDPR. Phụ lục UK GDPR là một phần của Điều khoản dịch vụ của AWS và tự động được áp dụng cho tất cả những khách hàng cần có thỏa thuận xử lý dữ liệu để tuân thủ UK GDPR.

Phụ lục UK GDPR là một phần của Điều khoản dịch vụ của AWS, bao gồm SCC được EC thông qua và phụ lục truyền dữ liệu quốc tế (IDTA) do nhà quản lý bảo vệ dữ liệu tại Vương quốc Anh (Văn phòng ủy viên thông tin) cấp.  IDTA sửa đổi SCC để đảm bảo những điều khoản này tạo thành một biện pháp bảo vệ thích hợp theo UK GDPR đối với hoạt động truyền dữ liệu quốc tế đến các quốc gia bên ngoài Vương quốc Anh chưa được công nhận là đã cung cấp mức độ bảo vệ đầy đủ cho dữ liệu cá nhân (các quốc gia thứ ba của Vương quốc Anh). Phụ lục UK GDPR xác nhận rằng SCC (được IDTA sửa đổi) sẽ tự động được áp dụng bất cứ khi nào khách hàng sử dụng dịch vụ AWS để truyền dữ liệu khách hàng tuân theo UK GDPR (dữ liệu khách hàng tại Vương quốc Anh) đến các quốc gia thứ ba của Vương quốc Anh.  Là một phần của Phụ lục UK GDPR trong Điều khoản dịch vụ của AWS, SCC (được IDTA sửa đổi) sẽ tự động được áp dụng bất cứ khi nào khách hàng sử dụng dịch vụ AWS để truyền dữ liệu khách hàng tại Vương quốc Anh đến các quốc gia thứ ba của Vương quốc Anh.

AWS đưa ra Phụ lục Thụy Sĩ bổ sung vào Phụ lục xử lý dữ liệu của AWS (“Phụ lục Thụy Sĩ”). Phụ lục này chứa các cam kết của AWS với tư cách là bên xử lý dữ liệu theo Đạo luật bảo vệ dữ liệu liên bang Thụy Sĩ (“FDPA”). Phụ lục Thụy Sĩ là một phần trong Điều khoản dịch vụ của AWS (xem Phần 1.14.4) và được áp dụng tự động khi FDPA được áp dụng cho việc khách hàng sử dụng dịch vụ AWS để xử lý dữ liệu khách hàng.

Phụ lục Thụy Sĩ bổ sung vào Phụ lục xử lý dữ liệu AWS – một phần trong Điều khoản dịch vụ của AWS (xem Phần 1.14.4), chứa các Điều khoản hợp đồng tiêu chuẩn (“SCC”) được Ủy ban Châu Âu thông qua và được sửa đổi theo yêu cầu của Ủy viên thông tin và bảo vệ dữ liệu liên bang Thụy Sĩ. Phụ lục Thụy Sĩ xác nhận rằng SCC (được sửa đổi bởi Phụ lục Thụy Sĩ) sẽ tự động được áp dụng bất cứ khi nào khách hàng sử dụng dịch vụ AWS để truyền dữ liệu khách hàng tuân theo FDPA đến các quốc gia thứ ba.

Chúng tôi khuyến nghị khách hàng nên liên hệ với quản lý khách hàng AWS của mình trước tiên nếu có thắc mắc về GDPR. Nếu đã đăng ký gói Hỗ trợ doanh nghiệp, khách hàng cũng có thể liên hệ với Quản lý khách hàng kỹ thuật (TAM) của mình. Các TAM làm việc với Kiến trúc sư giải pháp để giúp khách hàng nhận biết những rủi ro tiềm tàng và biện pháp giảm nhẹ thiệt hại có thể có. Các TAM và đội ngũ quản lý khách hàng cũng có thể chỉ cho khách hàng và Đối tác APN biết các tài nguyên cụ thể căn cứ theo môi trường và nhu cầu của họ.

AWS cũng có những nhóm Người đại diện hỗ trợ doanh nghiệp, Tư vấn viên dịch vụ chuyên môn và các nhân viên khác để giúp giải đáp thắc mắc về GDPR. Bạn có thể gửi câu hỏi cho chúng tôi tại đây.