Конфиденциальность данных в Индонезии

Защита данных

Завоевание доверия клиентов – основа нашего бизнеса в AWS. Мы знаем, что вы доверяете нам защиту самых важных и конфиденциальных активов: ваших данных. Мы завоевываем доверие, работая в тесном сотрудничестве с вами, чтобы понять, каковы ваши потребности в защите данных, и предлагая наиболее полный набор услуг, инструментов и опыта, которые помогут вам защитить свои данные. Для этого мы применяем технические, операционные и контрактные меры, необходимые для защиты ваших данных. С помощью AWS вы управляете конфиденциальностью своих данных, контролируете их использование, у кого есть доступ к ним, и как выполняется шифрование. Эти возможности лежат в основе самой гибкой и защищенной среды для облачных вычислений из существующих.

Наши обязательства перед вами

Управление данными

AWS позволяет вам управлять своими данными с помощью мощных сервисов и инструментов AWS, которые определяют, где находятся ваши данные, как они защищены и кто имеет к ним доступ. Такие сервисы, как AWS Identity and Access Management (IAM) предоставляют возможности безопасного управления доступом к сервисам и ресурсам AWS. AWS CloudTrail и Amazon Macie обеспечивают управление, соответствие требованиям, обнаружение и аудит, а AWS CloudHSM и AWS Key Management Service (KMS) позволяют безопасно создавать ключи шифрования и управлять ими.

Конфиденциальность данных

Мы постоянно поднимаем планку защиты конфиденциальности с помощью сервисов и функций, которые позволяют вам применять собственные средства управления конфиденциальностью, включая расширенный доступ, шифрование и ведение журналов. Мы упрощаем шифрование данных при их передаче и хранении с помощью ключей, управляемых AWS, или полностью управляемых вами. Вы можете использовать свои собственные ключи, которые были созданы и которыми управляли за пределами AWS. Мы внедряем согласованные и масштабируемые процессы для управления конфиденциальностью, в том числе методы сбора, использования, доступа, хранения и удаления данных. Мы предоставляем широкий спектр рекомендательных документов, обучающих программ и руководств, которые вы можете использовать для защиты своих данных, например, Основа безопасности концепции AWS Well-Architected Framework. Мы только обрабатываем данные клиентов – то есть любые личные данные, которые вы загружаете в свой аккаунт AWS, – в соответствии с представленными вами инструкциями и не осуществляем доступ, использование и передачу ваших данных без вашего согласия, за исключением случаев, когда это требуется для предотвращения мошенничества и нарушений или для соблюдения закона, как описано в нашем Пользовательском соглашении AWS и Приложении по обработке данных AWS GDPR. Тысячи клиентов, на которых распространяется действие GDPR, PCI и HIPAA, используют сервисы AWS для таких рабочих нагрузок. AWS получила многочисленные международно признанные сертификации и аккредитации, демонстрирующие соответствие строгим международным стандартам, таким как ISO 27017 относительно безопасности облака и ISO 27018 относительно конфиденциальности облака. Мы не используем данные клиентов или связанную с ними информацию для маркетинга и рекламы.
 

Суверенитет данных

Вы можете хранить данные своих клиентов в одном или нескольких регионах AWS по всему миру. Используя сервис AWS, вы также можете быть уверены, что данные клиентов останутся в выбранном вами регионе AWS. Небольшое количество сервисов AWS осуществляют передачу данных. Это необходимо, например, для модернизации и улучшения этих сервисов. В этом случае вы можете отказаться от передачи данных. Но в некоторых случаях передача данных является важной частью сервиса (например, сервис доставки контента). Мы запрещаем персоналу AWS получать удаленный доступ к данным клиента в любых целях, в том числе для обслуживания сервиса, за исключением случаев, когда этот доступ затребован вами, или когда доступ необходим для предотвращения мошенничества и нарушений или для соблюдения закона. Наши системы спроектированы таким образом, чтобы предотвращать такой доступ. Если мы получаем запрос от правоохранительных органов, мы будем оспаривать его на получение данных о клиентах от государственных органов, если они противоречат закону, носят слишком широкий характер или если у нас есть для этого соответствующие основания. Мы также предоставляем полугодовой Отчет по запросам на предоставление информации, в котором описываются типы и количество информационных запросов, которые AWS получает от правоохранительных органов.

Безопасность

В AWS безопасность – наш главный приоритет, а безопасность в облаке – это общая ответственность AWS и клиента. Наши клиенты, включая поставщиков финансовых и медицинских услуг, а также правительственные учреждения, доверяют нам обработку самой конфиденциальной информации. Вы можете улучшить свое соответствие основным требованиям безопасности, конфиденциальности и соответствия с помощью наших комплексных услуг, будь то через Amazon GuardDuty или AWS Nitro System, базовую платформу для наших инстансов EC2. Кроме того, такие сервисы, как AWS CloudHSM и AWS Key Management Service, позволяют вам безопасно создавать ключи шифрования и управлять ими, а AWS Config и AWS CloudTrail предоставляют возможности мониторинга и ведения журналов для соответствия требованиям и аудита.

Обзор

Индонезия приняла свой Закон о защите персональных данных (Закон Республики Индонезии № 27 от 2022 года, закон PDP) 17 октября 2022 года. Закон PDP распространяется на лица, проживающие (i) в Индонезии; и (ii) за ее пределами в том случае, если их действия имеют юридические последствия в Индонезии или для индонезийских субъектов данных, проживающих за границей.

В законе PDP проводится различие между контроллером и обработчиком данных, в отношении каждого из которых применяются разные обязательства в плане обработки данных. Контроллер данных осуществляет контроль за обработкой персональных данных и определяет ее цели. Обработчик данных в свою очередь обрабатывает данные по указанию контроллера данных. Не вдаваясь в подробности, некоторые из ключевых обязательств контроллеров данных включают в себя:

  • обработку персональных данных в соответствии с указанными правовыми основаниями для обработки, включая согласие субъекта данных, договорную необходимость и законный интерес;
  • применение соответствующих мер безопасности для защиты персональных данных от несанкционированного раскрытия;
  • реагирование на права субъектов данных, включая права на доступ к их персональным данным и их исправление, а также запросы на удаление этих данных;
  • передачу персональных данных за пределы Индонезии только в тех случаях, когда выполнены условия для такой передачи.

Закон PDP обязывает обработчиков данных выполнять обработку персональных данных исключительно в соответствии с указаниями контроллеров данных. В законе PDP не предусмотрено никаких требований относительно локализации данных.

Действующие правила защиты персональных данных, включая Закон № 11 от 2008 года, касающийся электронной информации и транзакций, Постановление правительства № 71 от 2019 года, определяющее работу электронных систем и осуществление транзакций (GR 71) (которое содержит поправки по сравнению с Постановлением правительства № 82 от 2012 года об электронных системах и осуществлении транзакций), Регламент № 20 от 2016 года о защите персональных данных в электронных системах, утвержденный Министром по коммуникациям и информатике (министерское положение № 20), остаются в силе до тех пор, пока не вступают в противоречие с законом PDP.

AWS внимательно следит за обеспечением конфиденциальности и защиты данных клиентов. Обеспечение безопасности в AWS начинается уже на уровне базовой инфраструктуры. Состояние инфраструктуры, созданной специально для облачных вычислений и отвечающей самым строгим мировым требованиям безопасности, круглосуточно отслеживается, чтобы обеспечивать конфиденциальность, целостность и доступность данных клиентов. Эксперты по безопасности мирового класса, отслеживающие состояние этой инфраструктуры, также создают и поддерживают широкий ряд инновационных сервисов безопасности AWS, которые упрощают соблюдение нормативных требований и требований безопасности. Независимо от размера или местоположения компании, клиенты AWS могут пользоваться всеми преимуществами нашего опыта, который прошел проверку на соответствие самым строгим требованиям сторонних организаций по обеспечению безопасности.

AWS внедряет и поддерживает технико‑организационные меры безопасности, которые распространяются на сервисы облачной инфраструктуры AWS и отвечают требованиям общепризнанных систем стандартов по обеспечению безопасности и сертификаций, включая ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 22301, PCI DSS Level 1, а также SOC 1, 2 и 3. Эти технико‑организационные меры обеспечения безопасности проверены независимыми сторонними инспекторами и предназначены для предотвращения несанкционированного доступа к пользовательскому контенту и раскрытия информации.

Например, ISO 27018 является первым международным сводом правил, который направлен на обеспечение защиты персональных данных в облаке. Он основан на стандарте информационной безопасности ISO 27002 и содержит руководство по использованию средств контроля этого стандарта, применимых к персональным данным, обрабатываемым поставщиками общедоступных облачных сервисов. Для клиентов это служит доказательством того, что AWS обладает системой средств контроля, предназначенных для обеспечения безопасности их контента.

Эти комплексные технико‑организационные меры AWS соответствуют целям стандартных нормативов по защите персональных данных. Клиенты, использующие сервисы AWS, могут полностью контролировать свой контент и несут ответственность за реализацию дополнительных мер безопасности, исходя из конкретных потребностей (включая классификацию контента, шифрование, управление доступом и распределение учетных данных для доступа).

Поскольку AWS не знает, какого рода информацию клиенты загружают в сеть, и не имеет возможности определить, попадают ли эти данные под действие закона PDP, полную ответственность за соблюдение требований закона PDP и соответствующих нормативно‑правовых актов несут сами клиенты. Содержимое этой страницы дополняет существующие ресурсы относительно конфиденциальности данных, чтобы вы могли привести свои требования в соответствие с моделью общей ответственности AWS при хранении и обработке персональных данных с помощью сервисов AWS.

  • По аналогии с обеспечением безопасности приложений в локальном центре обработки данных, в соответствии с моделью общей ответственности клиенты AWS самостоятельно определяют, какой уровень безопасности необходимо реализовать для защиты собственного контента, платформы, приложений, систем и сетей в облаке. Для управления соответствием актуальным для них требованиям клиенты могут использовать технико‑организационные меры обеспечения безопасности и средства управления, предлагаемые AWS. Клиентам доступны привычные средства защиты данных, такие как шифрование и многофакторная аутентификация, а также возможности обеспечения безопасности AWS, такие как сервис AWS Identity and Access Management.

    При оценке безопасности облачного решения клиенты должны понимать и различать следующие понятия:

    • меры безопасности, реализуемые и поддерживаемые AWS, – «безопасность облака» – и
    • меры безопасности, реализуемые и поддерживаемые клиентом и относящиеся к безопасности клиентского контента и приложений, использующих сервисы AWS, – «безопасность в облаке».
  • Клиенты сохраняют право собственности на свой контент и право управления им и сами выбирают, какие сервисы AWS могут обрабатывать, хранить и размещать его. AWS не видит клиентский контент, не имеет к нему доступа и не использует его ни для каких целей, кроме предоставления сервисов AWS, которые выбрал клиент, или в случаях, когда это требуется для соблюдения закона или предписания, имеющего законную силу.

    Клиенты, использующие сервисы AWS, полностью контролируют свой контент в среде AWS. Они могут выполнять следующие действия:

    • определять, где будет располагаться их контент, например выбирать тип среды хранения и географическое расположение хранилища;
    • задавать формат хранения этого контента, например в виде обычного текста, с использованием масок, анонимно или в зашифрованном виде с помощью механизма шифрования, предоставляемого AWS или сторонним поставщиком по выбору клиента;
    • управлять другими элементами контроля доступа, например сервисом Identity and Access Management и учетными данными для доступа;
    • контролировать использование SSL, Virtual Private Cloud и других мер сетевой безопасности для защиты от несанкционированного доступа.

    Это позволяет клиентам AWS контролировать полный жизненный цикл своего контента в AWS и управлять контентом, исходя из собственных потребностей, включая классификацию контента, управление доступом, хранение и удаление.

  • Центры обработки данных AWS созданы в виде кластеров в различных местоположениях по всему миру. Каждый кластер ЦОД в конкретном местоположении получает статус региона.

    Именно клиенты AWS выбирают регион (регионы) для хранения своего контента. Это позволяет клиентам с определенными географическими требованиями развертывать среды в нужных местоположениях (или в одном из них).

    Клиенты могут реплицировать контент и создавать резервные копии в нескольких регионах, но AWS не перемещает контент за пределы выбранного клиентом региона (регионов). Это возможно только при предоставлении сервисов по просьбе клиента или в соответствии с применимыми законодательными документами.

  • Стратегия безопасности центров обработки данных AWS состоит из масштабируемых элементов управления безопасностью и нескольких уровней защиты, которые помогают обеспечить безопасность информации клиентов. Например, AWS тщательно управляет потенциальными рисками наводнений и сейсмической активности. Для ограничения доступа к центрам обработки данных мы используем физические препятствия, службу охраны, технологию обнаружения угроз и процедуру углубленной проверки. Мы выполняем резервное копирование наших систем, регулярно тестируем оборудование и процессы, а также постоянно обучаем сотрудников AWS, чтобы они были готовы к нештатным ситуациям.

    Для проверки безопасности наших центров обработки данных внешние аудиторы проводят в них тестирование на соответствие более чем 2600 стандартам и требованиям в течение всего года. Такая независимая экспертиза гарантирует постоянное соблюдение или превышение стандартов безопасности. В результате даже организации с самыми строгими в мире требованиями доверяют AWS защиту своих данных.

    Подробнее о том, как мы защищаем центры обработки данных AWS, см. в виртуальной демонстрации »

  • Можно выбрать любой регион, все регионы или произвольный набор регионов. Полный список регионов AWS см. на странице глобальной инфраструктуры AWS.

  • На данный момент облачная инфраструктура AWS является одной из наиболее гибких и защищенных сред для облачных вычислений. Масштаб Amazon позволяет инвестировать в стратегию безопасности и защитные меры значительно больше, чем может позволить себе большинство других крупных компаний. Наша базовая инфраструктура состоит из аппаратного обеспечения, программного обеспечения, сетей и объектов, обеспечивающих работу сервисов AWS. Все это предоставляет клиентам и партнерам APN эффективные инструменты управления, в том числе инструменты настройки безопасности для обработки персональных данных.

    AWS также предоставляет ряд отчетов по соответствию требованиям от сторонних аудиторов, которые проверили наш уровень соответствия требованиям различных положений и стандартов безопасности, в том числе требованиям ISO 27001, ISO 27017, ISO 27018. С целью эффективного и открытого информирования об этих мерах мы предоставляем доступ к отчетам сторонних аудиторов в AWS Artifact. В этих отчетах для клиентов и партнеров APN указывается, кто может выступать оператором данных или обработчиком данных и как мы защищаем базовую инфраструктуру, на основе которой выполняется хранение и обработка персональных данных. Дополнительную информацию см. в разделе ресурсов по соответствию требованиям.

Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »