Защита данных клиентов в Европе – наш неизменный приоритет

AWS дает вам возможность управлять данными с помощью мощных сервисов и инструментов, которые помогают определять, где находятся ваши данные, как они защищены и кто имеет к ним доступ. Такие сервисы, как Управление идентификацией и доступом (IAM) AWS, предоставляют возможности безопасного управления правами доступа к сервисам и ресурсам AWS. AWS CloudTrail и Amazon Macie предназначены для обеспечения соответствия требованиям, обнаружения и аудита. Кроме того, с помощью AWS CloudHSM и Сервиса управления ключами AWS (AWS KMS) можно безопасно создавать ключи шифрования и управлять ими. AWS Control Tower предоставляет средства управления и контроля локализации данных.

Мы постоянно поднимаем планку защиты конфиденциальности с помощью сервисов и функций, которые позволяют вам применять собственные средства управления конфиденциальностью, включая контроль расширенного доступа, шифрование и ведение журналов. Мы упрощаем шифрование данных при их передаче и хранении с помощью ключей, управляемых AWS или полностью управляемых вами. Вы можете использовать свои собственные ключи, созданные и управляемые вне AWS. Мы внедряем согласованные и масштабируемые процессы для управления конфиденциальностью, включая методы сбора, использования, доступа, хранения и удаления данных. Вы можете воспользоваться широким набором практических руководств и обучающих программ по защите данных, например Основы безопасности Платформы AWS Well‑Architected. Мы обрабатываем только данные клиентов (то есть любые личные данные, которые вы загружаете в свой аккаунт AWS) в соответствии с вашими задокументированными инструкциями и не осуществляем доступ, использование и передачу ваших материалов без соответствующего согласия, как описано в нашем Клиентском соглашении AWS и Приложении по обработке данных AWS GDPR (AWS GDPR DPA). Тысячи клиентов, на которых распространяется действие GDPR, используют сервисы AWS для таких рабочих нагрузок. Мы получили международно признанные сертификации и аккредитации, демонстрирующие соответствие строгим международным стандартам, таким как ISO 27017 относительно безопасности облака, ISO 27701 касательно управления конфиденциальной информацией и ISO 27018 относительно конфиденциальности облака. Мы не используем данные клиентов или связанную с ними информацию для маркетинга и рекламы.

Подробнее в нашем Центре конфиденциальности данных.

Вы можете хранить данные своих клиентов в одном или нескольких наших европейских регионах, включая регионы ЕС во Франции, Германии, Ирландии, Италии, Испании и Швеции. Кроме того, вы можете отдать предпочтение хранению данных в наших регионах в Швейцарии и Великобритании. И в Швейцарии, и в Великобритании применяются адекватные, соответствующие стандартам GDPR решения для передачи персональных данных. Используя сервис AWS, вы также можете быть уверены в том, что данные клиентов останутся в выбранном вами регионе AWS. Небольшое количество сервисов AWS осуществляют передачу данных. Это необходимо, например, для модернизации и улучшения этих сервисов. В этом случае вы можете отказаться от передачи данных. Но в некоторых случаях передача данных является важной частью сервиса (например, сервис доставки контента). Мы запрещаем персоналу AWS получать удаленный доступ к данным клиента в любых целях, в том числе для обслуживания сервиса, за исключением случаев, когда этот доступ затребован вами, или когда доступ необходим для предотвращения мошенничества и нарушений или для соблюдения закона. Наши системы спроектированы таким образом, чтобы предотвращать такой доступ. Мы привержены важным программам ЕС по обеспечению конфиденциальности, мобильности и цифрового суверенитета, включая Кодекс поведения Поставщиков услуг облачной инфраструктуры в Европе (CISPE), Типовые контрактные положения (SCC) Европейской комиссии, Кодекс поведения SWIPO «Инфраструктура как услуга (IaaS)» и GAIA-X.

Наши контракты написаны простым и понятным языком и включают в себя обязательства по защите данных клиентов, не предлагаемые другими поставщиками облачных услуг. Наши усиленные обязательства перед вами основываются на длительном опыте выполнения сложных запросов, поступающих от правоохранительных органов. Если нам приходит запрос от правоохранительных органов на получение данных о клиентах из государственных учреждений как внутри, так и за пределами Европейской экономической зоны (ЕЭЗ), мы обязуемся оспаривать запросы, которые являются чрезмерно обширными, или при условии, что у нас есть соответствующие основания для этого, в том числе если запрос противоречит законодательству ЕС, как описано в нашем дополнительном приложении к AWS GDPR DPA. Мы также предоставляем полугодовой отчет по запросам информации, в котором описываются типы и количество запросов информации, которые AWS получает от правоохранительных органов.

Мы сохраняем открытость относительно наших обязательств по защите данных клиентов из ЕС. Наше Приложение AWS по обработке данных в соответствии с GDPR (AWS GPDR DPA), включая Стандартные договорные положения, автоматически применяется для наших клиентов, на которых распространяется действие Общего регламента по защите персональных данных (GDPR). Кроме того, наше Дополнение UK GDPR к Приложению AWS GDPR DPA применяется в тех случаях, когда при использовании сервисов AWS происходит обработка данных пользователей из Великобритании (в соответствии с определениями Дополнения UK GDPR от AWS). В рамках наших постоянных обязательств мы предлагаем функции конфиденциальности сервисов AWS. С их помощью вы можете определить, включает ли обслуживание и предоставление вам наших услуг передачу данных клиентов за пределы региона AWS, который вы выбрали для хранения этих данных. Эти ресурсы упрощают соблюдение (и демонстрацию соответствия) нормативным требованиям, в том числе GDPR. Они также помогут вам выполнить оценку соответствия передачи данных рекомендациям Европейского совета по защите данных (EDPB) по передаче личных данных в соответствии со «Schrems II». Использовать можно только сервисы AWS, которые хранят и обрабатывают данные клиентов в ЕС. Ссылки содержатся в нашем Центре GDPR.

В AWS безопасность – наш главный приоритет, а безопасность в облаке – это общая ответственность AWS и клиента. С помощью наших комплексных услуг можно добиться более полного соблюдения основных требований безопасности, конфиденциальности и соответствия нормативным требованиям, будь то через Amazon GuardDuty или AWS Nitro System, базовую платформу для наших инстансов EC2. Мы создали Систему AWS Nitro для обеспечения конфиденциальности рабочих нагрузок без доступа оператора. Благодаря Системе AWS Nitro никакая система или человек не способны выполнить вход на серверы EC2, прочитать память инстансов EC2 или получить доступ к данным, находящимся в хранилищах инстансов и зашифрованных томах EBS. Кроме того, такие сервисы как AWS CloudHSM и Сервис управления ключами AWS позволяют безопасно создавать ключи шифрования и управлять ими, а AWS Config и AWS CloudTrail дают возможность осуществлять мониторинг и вести журналы, чтобы соответствовать требованиям и проводить аудиты.

Мы соблюдаем международно признанные стандарты, такие как Cloud Computing Compliance Controls Catalog (C5) и Esquema Nacional de Seguridad (ENS). Мы также получили такие сертификации, как PCI-DSS, Hébergement de Données de Santé (HDS, Франция) и TISAX (EU Automotive), чтобы соответствовать требованиям регулирующих органов по всему ЕС. Среди тех, которые доверяют нам самую конфиденциальную информацию, можно выделить поставщиков финансовых услуг, медицинские учреждения и правительственные организации.

Узнайте больше о сервисах AWS по обеспечению безопасности, идентификации и соответствию нормативным требованиям.