Privacy dei dati in Messico

Panoramica

La legge federale sulla protezione dei dati personali detenuti da privati (LFPDPPP) è stata pubblicata nel luglio 2010 e regola il trattamento dei dati personali (definiti come qualsiasi informazione riguardante una persona fisica identificata o identificabile) effettuato da persone fisiche o giuridiche nel settore privato. Successivamente, il Congresso dell'unione ha approvato diversi regolamenti che disciplinano la privacy dei dati, tra cui la legge generale sulla protezione dei dati personali detenuti dagli obbligati (LGPDPPSO), che regola il trattamento dei dati personali da parte del settore pubblico. L'Istituto nazionale per la trasparenza, l'accesso all'informazione e la protezione dei dati personali (INAI) è l'organo costituzionale autonomo del Messico incaricato di garantire il rispetto delle leggi e dei relativi regolamenti.

Nel caso del settore privato, l'articolo 52 del Regolamento LFPDPPP stabilisce che i responsabili del trattamento dei dati personali possono utilizzare servizi, applicazioni e infrastrutture nel cloud a condizione che il fornitore del cloud rispetti determinati requisiti relativi, tra le altre cose, alla protezione della privacy dei dati personali. Per il settore pubblico, la stessa autorizzazione è contenuta nell'articolo 63 del LGPDPPSO.

AWS ha a cuore la tua privacy e la sicurezza dei tuoi dati. La sicurezza in AWS parte dalla nostra infrastruttura centrale. Progettata appositamente per il cloud e per soddisfare i requisiti di sicurezza più severi al mondo, la nostra infrastruttura è monitorata 24 ore su 24, 7 giorni su 7, per assicurare la riservatezza, l'integrità e la disponibilità dei dati dei nostri clienti. I medesimi esperti di sicurezza di fama mondiale che supervisionano questa infrastruttura, si occupano anche di creare e gestire la nostra ampia selezione di servizi di sicurezza innovativi, i quali possono aiutarti a soddisfare il rispetto dei requisiti di sicurezza e regolamentari. In qualità di cliente AWS, indipendentemente dalle tue dimensioni o dalla tua sede, hai tutti i vantaggi della nostra esperienza, che si misura con i più rigorosi programmi di sicurezza di terze parti.

AWS implementa e mantiene misure tecniche e organizzative di sicurezza applicabili ai servizi di infrastruttura del cloud AWS, in base a certificazioni di sicurezza e quadri normativi riconosciuti a livello globale, tra cui, a titolo esemplificativo e non esaustivo, ISO 27001, ISO 27017, ISO 27018, PCI DSS di livello 1 e SOC 1, 2 e 3. Queste misure di sicurezza tecnica e organizzativa sono convalidate da entità di controllo indipendenti di terze parti e sono studiate per impedire l’accesso non autorizzato o la divulgazione dei contenuti dei clienti.

Ad esempio, la norma ISO 27018 è il primo codice di condotta internazionale che si concentra sulla protezione dei dati personali nel cloud. È basata sullo standard di sicurezza delle informazioni ISO 27002 e fornisce linee guida per l'implementazione di controlli di sicurezza previsti dalla ISO 27002 applicabili alle informazioni personali di identificazione (PII) elaborate dai fornitori di servizi cloud pubblici. Ciò dimostra ai clienti che AWS dispone di un sistema di controllo specificamente orientato alla protezione della privacy dei loro contenuti.

Le misure tecniche e organizzative di AWS sono conformi ai requisiti della LFPDPPP e della LGPDPPSO per la protezione dei dati personali. I clienti che utilizzano i servizi AWS mantengono il controllo sul loro contenuto e sono responsabili dell’implementazione di misure di sicurezza aggiuntive basate sulle loro esigenze specifiche, tra cui la classificazione del contenuto, la crittografia, la gestione dell’accesso e le credenziali di sicurezza.

Poiché AWS non ha visibilità sul tipo di contenuti che i clienti scelgono di archiviare su AWS, compreso il fatto che tali contenuti siano considerati o meno soggetti all'LFPDPPP e all'LGPDPPSO, i clienti sono in ultima analisi responsabili della propria conformità. Il contenuto della presente pagina, integra le risorse esistenti in materia di privacy dei dati per aiutarti ad allineare i tuoi requisiti con il Modello di responsabilità condivisa di AWS nel momento in cui elabori i dati personali in data center internazionali. 

Domande frequenti

  • Sì. Tutti i servizi AWS possono essere utilizzati in conformità con la LFPDPPP e la LGPDPPSO per archiviare i dati personali dei messicani, comprese le problematiche relative alla cancellazione dei dati. Ciò significa che, oltre a beneficiare di tutte le misure che AWS già adotta per mantenere la sicurezza dei servizi, i clienti possono implementare i servizi AWS come componente chiave dei loro piani in conformità con la LFPDPPP e la LGPDPPSO. 

  • Ai sensi del Modello di responsabilità condivisa AWS, i clienti AWS detengono il controllo sulle misure di sicurezza da implementare per proteggere i loro contenuti, piattaforma, applicazioni, sistemi e reti, proprio come per le applicazioni situate in un data center presso le proprie strutture (data center on-premise). I clienti possono affidarsi alle salvaguardie e ai controlli tecnici e organizzativi forniti da AWS per gestire i propri requisiti di conformità. I clienti possono utilizzare misure di sicurezza comuni per proteggere i loro dati, ad esempio la crittografia e l’autenticazione a più fattori, oltre alle funzionalità di sicurezza AWS, come AWS Identity and Access Management.

    Quando si esamina la sicurezza di una soluzione cloud, è importante che i clienti comprendano e sappiano distinguere tra:

    • misure di sicurezza implementate e gestite da AWS: "sicurezza del cloud AWS", e
    • misure di sicurezza implementate e gestite dai clienti relative alla protezione dei loro contenuti e delle loro applicazioni che utilizzano i servizi AWS: "sicurezza del cloud dei clienti".
  • I clienti mantengono la titolarità e il controllo dei propri contenuti e scelgono quali servizi AWS possono elaborare, immagazzinare o ricevere nei loro contenuti. AWS non dispone di visibilità sui contenuti del cliente e non utilizza o accede a tali contenuti se non per fornire i servizi AWS selezionati dal cliente o se necessario per ottemperare alle disposizioni di legge o a un atto vincolante.

    I clienti che ricorrono ai servizi AWS mantengono il controllo del loro contenuto all’interno dell’ambiente AWS. I clienti possono:

    1. determinare il luogo di archiviazione dei contenuti, ad esempio il tipo di ambiente di archiviazione e la posizione geografica dell'archivio.
    2. controllare il formato dei contenuti, come testo semplice, mascherato, anonimo o crittografato, utilizzando il meccanismo di crittografia fornito da AWS o da terze parti, secondo le loro preferenze.
    3. gestire ulteriori controlli degli accessi, come gestione di identità e accessi e credenziali di sicurezza.
    4. controllare se TLS, il cloud privato virtuale e altre misure di sicurezza di rete vengono utilizzate per impedire accessi non autorizzati.

    Ciò consente ai clienti AWS di controllare l'intero ciclo di vita dei loro contenuti in AWS, gestendoli in base alle loro esigenze specifiche, tra cui la classificazione dei contenuti, il controllo degli accessi, la conservazione e la cancellazione. 

  • L'infrastruttura globale di AWS offre la flessibilità di scegliere come e dove eseguire i carichi di lavoro. In questo caso, utilizzi la stessa rete, lo stesso piano di controllo (control-plane), le stesse API e gli stessi servizi di AWS. Se vuoi eseguire le tue applicazioni a livello globale, puoi scegliere una qualsiasi delle Regioni AWS e delle zone di disponibilità. In qualità di cliente, puoi scegliere le Regioni AWS in cui verranno archiviati i tuoi contenuti, il che ti consente di implementare i servizi AWS in un luogo di tua scelta in base a specifici requisiti geografici. Ad esempio, se un cliente AWS in Australia desidera archiviare i propri dati solo in quel Paese, può scegliere di implementare i propri servizi AWS esclusivamente nella Regione AWS Asia Pacifico (Sydney). Se desideri scoprire altre opzioni di archiviazione flessibile, consulta la pagina Web dedicata alle Regioni AWS.

    Puoi replicare ed eseguire backup dei tuoi contenuti in più Regioni AWS. Non trasferiremo o replicheremo i tuoi contenuti al di fuori delle Regioni AWS prescelte senza il tuo consenso, ad eccezione di quanto necessario per rispettare la legge o un ordine vincolante di un'agenzia governativa. È tuttavia importante notare che non tutti i servizi AWS potrebbero essere disponibili in tutte le Regioni AWS. Per ulteriori informazioni su quali sono i servizi disponibili nelle diverse Regioni AWS, consulta la pagina Web Servizi regionali di AWS.

    I data center di AWS sono dislocati in gruppi in vari Paesi del mondo. Ciascun gruppo di data center viene definito "regione".

    I clienti AWS scelgono le Regioni AWS in cui saranno archiviati i propri contenuti. In questo modo è più semplice per loro soddisfare eventuali requisiti geografici specifici.
    I clienti possono richiedere di eseguire una replica o un backup dei contenuti in più di una regione, ma AWS non trasferirà i loro contenuti al di fuori della regione da loro scelta, se non per fornire i servizi da loro richiesti o in conformità alle normative applicabili. 

  • L'approccio di AWS alla sicurezza dei data center si basa su controlli di sicurezza scalabili e su più livelli di protezione per tutelare le informazioni dei clienti. Ad esempio, AWS gestisce con attenzione i rischi potenziali di inondazioni e terremoti. Ricorriamo a barriere fisiche, guardie di sicurezza private, tecnologia di rilevamento delle minacce e a un processo di verifica approfondito per limitare l'accesso ai data center. Eseguiamo il backup dei nostri sistemi, effettuiamo test regolari di attrezzature e processi e formiamo costantemente i dipendenti di AWS affinché siano pronti a ogni evenienza.

    Per convalidare la sicurezza dei nostri data center, i revisori esterni eseguono test su oltre 2.600 standard e requisiti nel corso dell'anno. Grazie a questa revisione indipendente, garantiamo che gli standard di sicurezza siano costantemente rispettati, o addirittura superati. Ecco perché le organizzazioni più regolamentate a livello globale si affidano ad AWS per la protezione dei loro dati.

    Per ulteriori informazioni su come proteggiamo i data center AWS fin dalla progettazione,  fai un tour virtuale » 
  • I clienti possono scegliere di usare qualsiasi regione, tutte le regioni o una combinazione di esse, tra cui quelle del Brasile e degli Stati Uniti. Per un elenco completo delle Regioni AWS, consulta la pagina Infrastruttura globale di AWS

Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »